CVE-2022-41697
CVE-2022-41697
En resumen
Ghost 5.9.4 permite que atacantes descubran cuentas de usuario válidas mediante solicitudes de inicio de sesión especialmente diseñadas, observando respuestas diferentes. Esto facilita la construcción de listas de usuarios reales antes de ataques de fuerza bruta.
Detalle técnico
Vulnerabilidad de enumeración de usuarios en el punto final de inicio de sesión de Ghost 5.9.4 (CWE-204) que permite distinguir entre usuarios válidos e inválidos mediante análisis diferencial de respuestas HTTP. Requiere solo capacidad de enviar solicitudes HTTP sin autenticación previa; el impacto es la divulgación de identidades de usuarios registrados.
Resumen generado y traducido por IA a partir de la descripción oficial.
A user enumeration vulnerability exists in the login functionality of Ghost Foundation Ghost 5.9.4. A specially-crafted HTTP request can lead to a disclosure of sensitive information. An attacker can send a series of HTTP requests to trigger this vulnerability.
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
Productos afectados
Ghost Foundation · Ghost¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →