概要
Ghost は オープンソース の コンテンツ管理 システム(CMS)です。CSRF(Cross-Site Request Forgery)保護 が 不十分 で あり、ワンタイムコード(OTC)の 再利用 が 可能 な 脆弱性 が 存在 します。
CWE-352(Cross-Site Request Forgery)に 分類 される この 問題 に より、攻撃者 は ユーザー に 悪意 の ある ページ を 閲覧 させる こと で、認証済み ユーザー の 権限 で 意図 しない 操作 を 実行 させる こと が 可能 です。また、OTC の 再利用 に より 認証 バイパス の リスク も あります。
Ghost CMS を 運用 して いる 環境 で は、速やか に 修正 バージョン へ の アップデート が 推奨 されます。
CVSSベクトル
| 項目 | 値 |
|---|---|
| CVSSスコア | 7.5 |
| 深刻度 | High |
| CWE | CWE-352 (クロスサイトリクエストフォージェリ) |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| Ghost | Ghost Foundation | 影響バージョンはアドバイザリを参照 |
修正バージョンと回避策
- 修正バージョン: Ghost の 最新 バージョン へ アップデート
- 暫定回避策: 管理画面 へ の アクセス を 信頼 できる ネットワーク に 制限 する
関連リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。