https://blog.qife122.com/tags/ghost-cms/ Recent content in Ghost CMS on 办公AI智能小助手 Hugo zh-cn qife Mon, 12 Jan 2026 11:14:19 +0800 https://blog.qife122.com/p/ghost-cms%E9%AB%98%E5%8D%B1sql%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9Ecve-2026-22596%E6%8A%80%E6%9C%AF%E5%88%86%E6%9E%90%E4%B8%8E%E4%BF%AE%E5%A4%8D%E6%8C%87%E5%8D%97/ Mon, 12 Jan 2026 11:14:19 +0800 https://blog.qife122.com/p/ghost-cms%E9%AB%98%E5%8D%B1sql%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9Ecve-2026-22596%E6%8A%80%E6%9C%AF%E5%88%86%E6%9E%90%E4%B8%8E%E4%BF%AE%E5%A4%8D%E6%8C%87%E5%8D%97/ <h1 id="cve-2026-22596ghost-cms中的sql注入漏洞技术分析">CVE-2026-22596：Ghost CMS中的SQL注入漏洞技术分析</h1> <h2 id="漏洞概述">漏洞概述</h2> <p><strong>CVE-2026-22596</strong> 是一个在Ghost内容管理系统中发现的SQL注入漏洞。Ghost是一个基于Node.js的流行数字出版平台。该漏洞被归类为<strong>CWE-89：SQL命令中使用的特殊元素中和不当</strong>。</p> https://blog.qife122.com/p/ghost-cms%E9%AB%98%E5%8D%B1%E8%AE%A4%E8%AF%81%E7%BB%95%E8%BF%87%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90cve-2026-22594%E7%9A%84%E6%8A%80%E6%9C%AF%E7%BB%86%E8%8A%82%E4%B8%8E%E7%BC%93%E8%A7%A3%E6%8E%AA%E6%96%BD/ Sun, 11 Jan 2026 16:40:38 +0800 https://blog.qife122.com/p/ghost-cms%E9%AB%98%E5%8D%B1%E8%AE%A4%E8%AF%81%E7%BB%95%E8%BF%87%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90cve-2026-22594%E7%9A%84%E6%8A%80%E6%9C%AF%E7%BB%86%E8%8A%82%E4%B8%8E%E7%BC%93%E8%A7%A3%E6%8E%AA%E6%96%BD/ <h3 id="cve-2026-22594-cwe-287-tryghost-ghost中的不当认证">CVE-2026-22594: CWE-287: TryGhost Ghost中的不当认证</h3> <p><strong>严重性：高</strong> <strong>类型：漏洞</strong></p> <p><strong>CVE-2026-22594</strong></p> <p>Ghost是一个基于Node.js的内容管理系统。在5.105.0至5.130.5版本以及6.0.0至6.10.3版本中，Ghost的双因素认证机制存在一个漏洞，允许员工用户跳过电子邮件2FA。此问题已在5.130.6和6.11.0版本中修复。</p> https://blog.qife122.com/p/ghost-cms-%E6%9C%8D%E5%8A%A1%E5%99%A8%E7%AB%AF%E8%AF%B7%E6%B1%82%E4%BC%AA%E9%80%A0ssrf%E6%BC%8F%E6%B4%9E%E6%B7%B1%E5%BA%A6%E8%A7%A3%E6%9E%90/ Sun, 11 Jan 2026 11:38:31 +0800 https://blog.qife122.com/p/ghost-cms-%E6%9C%8D%E5%8A%A1%E5%99%A8%E7%AB%AF%E8%AF%B7%E6%B1%82%E4%BC%AA%E9%80%A0ssrf%E6%BC%8F%E6%B4%9E%E6%B7%B1%E5%BA%A6%E8%A7%A3%E6%9E%90/ <h1 id="cve-2026-22597-cwe-918-tryghost-ghost中的服务器端请求伪造ssrf">CVE-2026-22597: CWE-918: TryGhost Ghost中的服务器端请求伪造(SSRF)</h1> <p><strong>严重性:</strong> 中等 <strong>类型:</strong> 漏洞 <strong>CVE:</strong> CVE-2026-22597</p> <p>Ghost是一个基于Node.js的内容管理系统。在5.38.0至5.130.5版本以及6.0.0至6.10.3版本中，Ghost的媒体内联机制存在一个漏洞，使得拥有Ghost管理API有效身份验证令牌的工作人员用户能够通过SSRF从内部系统窃取数据。此问题已在5.130.6和6.11.0版本中得到修复。</p> https://blog.qife122.com/p/ghost-cms-5.59.1%E4%BB%BB%E6%84%8F%E6%96%87%E4%BB%B6%E8%AF%BB%E5%8F%96%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90%E4%B8%8E%E5%88%A9%E7%94%A8/ Wed, 12 Nov 2025 19:25:12 +0800 https://blog.qife122.com/p/ghost-cms-5.59.1%E4%BB%BB%E6%84%8F%E6%96%87%E4%BB%B6%E8%AF%BB%E5%8F%96%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90%E4%B8%8E%E5%88%A9%E7%94%A8/ <h1 id="ghost-cms-5591-任意文件读取漏洞">Ghost CMS 5.59.1 任意文件读取漏洞</h1> <h2 id="漏洞信息">漏洞信息</h2> <p><strong>发布日期</strong>: 2023-09-20<br> <strong>漏洞作者</strong>: ibrahimsql<br> <strong>受影响版本</strong>: &lt; 5.59.1<br> <strong>CVE编号</strong>: CVE-2023-40028<br> <strong>CWE分类</strong>: CWE-200<br> <strong>风险等级</strong>: 中等<br> <strong>CVSS评分</strong>: 6.5</p> <h2 id="漏洞描述">漏洞描述</h2> <p>Ghost CMS 5.59.1之前版本存在一个安全漏洞，允许认证用户上传符号链接文件。攻击者可以利用此漏洞读取主机操作系统上的任意文件。该漏洞存在于文件上传机制中，未能正确验证符号链接文件，使得攻击者可以通过符号链接遍历访问预期目录结构之外的文件。</p>