概要
GhostはNode.jsベースのコンテンツ管理システム(CMS)です。バージョン0.7.2から6.19.0において、悪意あるテーマをアップロードすることでサーバー上で任意のコードが実行可能な脆弱性が存在します。
テーマのアップロード権限を持つユーザー(通常は管理者)が悪意あるテーマをインストールした場合、サーバー側で任意のコードが実行されます。バージョン6.19.1で修正されています。
CVSSベクトル
| 項目 | 値 |
|---|---|
| CVSSスコア | 7.6 |
| 深刻度 | High |
| CWE | CWE-74 (インジェクション) |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| Ghost | Ghost Foundation | 0.7.2〜6.19.0 |
修正バージョンと回避策
- 修正バージョン: Ghost 6.19.1
- 暫定回避策: 信頼できないソースからのテーマインストールを避ける。テーマアップロード権限を持つユーザーを最小限に制限する
関連リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。