Vulnerability Details CVE-2026-22594
Ghost is a Node.js content management system. In versions 5.105.0 through 5.130.5 and 6.0.0 through 6.10.3, a vulnerability in Ghost's 2FA mechanism allows staff users to skip email 2FA. This issue has been patched in versions 5.130.6 and 6.11.0.
Exploit prediction scoring system (EPSS) score
EPSS Score 0.0
EPSS Ranking 6.9%
CVSS Severity
CVSS v3 Score 8.1
References
Products affected by CVE-2026-22594
-
cpe:2.3:a:ghost:ghost:5.105.0
-
cpe:2.3:a:ghost:ghost:5.106.0
-
cpe:2.3:a:ghost:ghost:5.106.1
-
cpe:2.3:a:ghost:ghost:5.106.2
-
cpe:2.3:a:ghost:ghost:5.107.0
-
cpe:2.3:a:ghost:ghost:5.107.1
-
cpe:2.3:a:ghost:ghost:5.107.2
-
cpe:2.3:a:ghost:ghost:5.108.0
-
cpe:2.3:a:ghost:ghost:5.108.1
-
cpe:2.3:a:ghost:ghost:5.108.2
-
cpe:2.3:a:ghost:ghost:5.109.0
-
cpe:2.3:a:ghost:ghost:5.109.1
-
cpe:2.3:a:ghost:ghost:5.109.2
-
cpe:2.3:a:ghost:ghost:5.109.3
-
cpe:2.3:a:ghost:ghost:5.109.4
-
cpe:2.3:a:ghost:ghost:5.109.5
-
cpe:2.3:a:ghost:ghost:5.109.6
-
cpe:2.3:a:ghost:ghost:5.110.0
-
cpe:2.3:a:ghost:ghost:5.110.1
-
cpe:2.3:a:ghost:ghost:5.110.2
-
cpe:2.3:a:ghost:ghost:5.110.3
-
cpe:2.3:a:ghost:ghost:5.110.4
-
cpe:2.3:a:ghost:ghost:5.111.0
-
cpe:2.3:a:ghost:ghost:5.112.0
-
cpe:2.3:a:ghost:ghost:5.113.0
-
cpe:2.3:a:ghost:ghost:5.113.1
-
cpe:2.3:a:ghost:ghost:5.114.0
-
cpe:2.3:a:ghost:ghost:5.114.1
-
cpe:2.3:a:ghost:ghost:5.115.0
-
cpe:2.3:a:ghost:ghost:5.115.1
-
cpe:2.3:a:ghost:ghost:5.116.0
-
cpe:2.3:a:ghost:ghost:5.116.1
-
cpe:2.3:a:ghost:ghost:5.116.2
-
cpe:2.3:a:ghost:ghost:5.117.0
-
cpe:2.3:a:ghost:ghost:5.118.0
-
cpe:2.3:a:ghost:ghost:5.118.1
-
cpe:2.3:a:ghost:ghost:5.119.0
-
cpe:2.3:a:ghost:ghost:5.119.1
-
cpe:2.3:a:ghost:ghost:5.119.2
-
cpe:2.3:a:ghost:ghost:5.119.3
-
cpe:2.3:a:ghost:ghost:5.120.0
-
cpe:2.3:a:ghost:ghost:5.120.1
-
cpe:2.3:a:ghost:ghost:5.120.2
-
cpe:2.3:a:ghost:ghost:5.120.3
-
cpe:2.3:a:ghost:ghost:5.120.4
-
cpe:2.3:a:ghost:ghost:5.121.0
-
cpe:2.3:a:ghost:ghost:5.122.0
-
cpe:2.3:a:ghost:ghost:5.123.0
-
cpe:2.3:a:ghost:ghost:5.124.0
-
cpe:2.3:a:ghost:ghost:5.125.0
-
cpe:2.3:a:ghost:ghost:5.125.1
-
cpe:2.3:a:ghost:ghost:5.126.0
-
cpe:2.3:a:ghost:ghost:5.126.1
-
cpe:2.3:a:ghost:ghost:5.127.0
-
cpe:2.3:a:ghost:ghost:5.127.1
-
cpe:2.3:a:ghost:ghost:5.127.2
-
cpe:2.3:a:ghost:ghost:5.128.0
-
cpe:2.3:a:ghost:ghost:5.128.1
-
cpe:2.3:a:ghost:ghost:5.129.0
-
cpe:2.3:a:ghost:ghost:5.129.1
-
cpe:2.3:a:ghost:ghost:5.129.2
-
cpe:2.3:a:ghost:ghost:5.130.0
-
cpe:2.3:a:ghost:ghost:5.130.1
-
cpe:2.3:a:ghost:ghost:5.130.2
-
cpe:2.3:a:ghost:ghost:5.130.3
-
cpe:2.3:a:ghost:ghost:5.130.4
-
cpe:2.3:a:ghost:ghost:5.130.5
-
cpe:2.3:a:ghost:ghost:6.0.0
-
cpe:2.3:a:ghost:ghost:6.0.1
-
cpe:2.3:a:ghost:ghost:6.0.10
-
cpe:2.3:a:ghost:ghost:6.0.2
-
cpe:2.3:a:ghost:ghost:6.0.3
-
cpe:2.3:a:ghost:ghost:6.0.4
-
cpe:2.3:a:ghost:ghost:6.0.5
-
cpe:2.3:a:ghost:ghost:6.0.6
-
cpe:2.3:a:ghost:ghost:6.0.7
-
cpe:2.3:a:ghost:ghost:6.0.8
-
cpe:2.3:a:ghost:ghost:6.0.9
-
cpe:2.3:a:ghost:ghost:6.1.0
-
cpe:2.3:a:ghost:ghost:6.10.0
-
cpe:2.3:a:ghost:ghost:6.10.1
-
cpe:2.3:a:ghost:ghost:6.10.2
-
cpe:2.3:a:ghost:ghost:6.10.3
-
cpe:2.3:a:ghost:ghost:6.2.0
-
cpe:2.3:a:ghost:ghost:6.3.0
-
cpe:2.3:a:ghost:ghost:6.3.1
-
cpe:2.3:a:ghost:ghost:6.4.0
-
cpe:2.3:a:ghost:ghost:6.5.0
-
cpe:2.3:a:ghost:ghost:6.5.1
-
cpe:2.3:a:ghost:ghost:6.5.2
-
cpe:2.3:a:ghost:ghost:6.5.3
-
cpe:2.3:a:ghost:ghost:6.6.0
-
cpe:2.3:a:ghost:ghost:6.6.1
-
cpe:2.3:a:ghost:ghost:6.7.0
-
cpe:2.3:a:ghost:ghost:6.8.0
-
cpe:2.3:a:ghost:ghost:6.8.1
-
cpe:2.3:a:ghost:ghost:6.9.0
-
cpe:2.3:a:ghost:ghost:6.9.1
-
cpe:2.3:a:ghost:ghost:6.9.2
-
cpe:2.3:a:ghost:ghost:6.9.3