Ghost 4.15.1: Cập nhật vá lỗi tính năng thành viên (member) 🐞

Trước đây, bạn có thể thêm thành viên vào Ghost site của bạn thông qua một API ẩn là

POST /members/api/send-magic-link/

Kỹ thuật này tuy tôi đã sử dụng thàng công, nhưng khi nhận thức lại thì nó rõ ràng tiềm ẩn rủi ro về bảo mật, và đúng là hôm nay Ghost đã chặn cách này để bảo mật.

Phương thức này có thể bị chuyển đổi sang tấn công site bạn bằng việc chèn các thành viên spam vào site bạn mà bỏ qua các lớp bảo vệ như xác thực email, cũng như thay đổi địa chỉ email của thành viên khác.

Nếu bạn đang dùng Ghost (Pro) thì bạn sẽ được cập nhật tự động. Mọi site host bởi ghostFam cũng được cập nhật phiên bản mới nhất 4.16 để bảo vệ site bạn.

Ngoài lề một chút về báo lỗi của Ghost

Tôi đã từng nghĩ việc Ghost Dashboard trưng bày quá nhiều thông tin của Ghost cũng như có chút can thiệp vào site bạn là không tốt, nhưng hôm nay sau khi nhận được các thông báo của Ghost trực tiếp ở Dashboard và email thì mới thấy rằng Ghost đã tính toán sẵn cho các  tình huống mật cấp bách như hôm nay.

Thông tin chi tiết về lỗi bảo mật này bạn có thể xem tại đây.

Good job, Ghost team!👍