Katalog CVE

CVE-2026-53947

ŚrednieCVSS 5.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.21%

Percentyl 11 — wyżej niż 11% wszystkich znanych CVE

Streszczenie

Podatność w systemie zarządzania treścią Ghost (wersje od 5.18.0 do 6.21.1) umożliwia nieuwierzytelnionemu atakującemu sprawdzenie, czy dany adres e-mail należy do zarejestrowanego użytkownika. Problem wynika z różnic w odpowiedziach zwracanych przez endpointy logowania członków.

Ocena ryzyka

Atakujący może przeprowadzić atak enumeracji kont, co ułatwia ukierunkowane ataki socjotechniczne lub brute-force na znane adresy e-mail.

Rekomendacja

Należy niezwłocznie zaktualizować Ghost do wersji 6.21.1 lub nowszej, która zawiera poprawkę eliminującą tę lukę.

Oryginalny opis (angielski, źródło NVD)

Ghost is a Node.js content management system. From 5.18.0 until 6.21.1, a discrepancy in responses from the members signin endpoints made it possible for an unauthenticated attacker to determine whether a given email address belongs to a registered member of a Ghost site. This vulnerability is fixed in 6.21.1.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS