CVE-2026-22594 (CNNVD-202601-1755)

HIGH
中文标题:
Ghost 授权问题漏洞
英文标题:
Ghost has Staff 2FA bypass
CVSS分数: 8.1
发布时间: 2026-01-10 02:56:47
漏洞类型: 授权问题
状态: PUBLISHED
数据质量分数: 0.40
数据版本: v4
漏洞描述
中文描述:

Ghost是Ghost开源的一个托管服务。 Ghost 5.105.0版本至5.130.5版本和6.0.0版本至6.10.3版本存在授权问题漏洞,该漏洞源于Ghost的双因素认证机制存在缺陷,可能导致工作人员用户跳过电子邮件双因素认证。

英文描述:

Ghost is a Node.js content management system. In versions 5.105.0 through 5.130.5 and 6.0.0 through 6.10.3, a vulnerability in Ghost's 2FA mechanism allows staff users to skip email 2FA. This issue has been patched in versions 5.130.6 and 6.11.0.

CWE类型:
CWE-287
标签:
(暂无数据)
受影响产品
厂商 产品 版本 版本范围 平台 CPE
TryGhost Ghost >= 6.0.0, < 6.11.0 - - cpe:2.3:a:tryghost:ghost:>=_6.0.0,_<_6.11.0:*:*:*:*:*:*:*
TryGhost Ghost >= 5.105.0, < 5.130.6 - - cpe:2.3:a:tryghost:ghost:>=_5.105.0,_<_5.130.6:*:*:*:*:*:*:*
ghost ghost * - - cpe:2.3:a:ghost:ghost:*:*:*:*:*:node.js:*:*
解决方案
中文解决方案:
(暂无数据)
英文解决方案:
(暂无数据)
临时解决方案:
(暂无数据)
参考链接
https://github.com/TryGhost/Ghost/security/advisories/GHSA-5fp7-g646-ccf4 x_refsource_CONFIRM
cve.org
访问
https://github.com/TryGhost/Ghost/commit/b59f707f670e6f175b669977724ccf16c718430b x_refsource_MISC
cve.org
访问
https://github.com/TryGhost/Ghost/commit/fc7bc2fb0888513498154ec5cb4b21eccb88de07 x_refsource_MISC
cve.org
访问
CVSS评分详情
3.1 (cna)
HIGH
8.1
CVSS向量: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N
机密性
HIGH
完整性
HIGH
可用性
NONE
时间信息
发布时间:
2026-01-10 02:56:47
修改时间:
2026-01-10 02:56:47
创建时间:
2026-01-12 02:12:39
更新时间:
2026-01-16 02:48:21
利用信息
暂无可利用代码信息
数据源详情
数据源 记录ID 版本 提取时间
CVE cve_CVE-2026-22594 2026-01-11 02:02:50 2026-01-12 02:12:39
NVD nvd_CVE-2026-22594 2026-01-11 03:00:07 2026-01-12 02:28:17
CNNVD cnnvd_CNNVD-202601-1755 2026-01-13 07:38:23 2026-01-13 07:41:16
版本与语言
当前版本: v4
主要语言: EN
支持语言:
EN ZH
安全公告
暂无安全公告信息
变更历史
v4 NVD
2026-01-16 02:48:09
affected_products_count: 2 → 3
查看详细变更
  • affected_products_count: 2 -> 3
v3 CNNVD
2026-01-13 07:41:16
vulnerability_type: 未提取 → 授权问题; cnnvd_id: 未提取 → CNNVD-202601-1755; data_sources: ['cve', 'nvd'] → ['cnnvd', 'cve', 'nvd']
查看详细变更
  • vulnerability_type: 未提取 -> 授权问题
  • cnnvd_id: 未提取 -> CNNVD-202601-1755
  • data_sources: ['cve', 'nvd'] -> ['cnnvd', 'cve', 'nvd']
v2 NVD
2026-01-12 02:28:17
data_sources: ['cve'] → ['cve', 'nvd']
查看详细变更
  • data_sources: ['cve'] -> ['cve', 'nvd']