التأثير
إصدارات Ghost من 3.24.0 إلى 6.19.0 عرضة لثغرة أمنية حرجة في حقن SQL في المحتوى API [S1]. يمكن لمهاجم غير مصادق عليه استغلال هذا الخلل لتنفيذ أوامر SQL عشوائية ضد قاعدة البيانات الأساسية [S2]. قد يؤدي الاستغلال الناجح إلى كشف بيانات المستخدم الحساسة أو التعديل غير المصرح به لمحتوى الموقع [S3]. تم منح هذه الثغرة الأمنية درجة CVSS تبلغ 9.4، مما يعكس خطورتها الحرجة [S2].
السبب الجذري
تنبع المشكلة من التحقق من صحة الإدخال غير الصحيح داخل Ghost Content API [S1]. على وجه التحديد، يفشل التطبيق في تنظيف البيانات التي يقدمها المستخدم بشكل صحيح قبل دمجها في استعلامات SQL [S2]. يسمح هذا للمهاجم بالتلاعب ببنية الاستعلام عن طريق حقن أجزاء SQL ضارة [S3].
الإصدارات المتأثرة
إصدارات Ghost التي تبدأ من 3.24.0 وحتى 6.19.0 متضمنة تكون عرضة لهذه المشكلة [S1][S2].
العلاج
يجب على المسؤولين ترقية تثبيت Ghost الخاص بهم إلى الإصدار 6.19.1 أو الأحدث لحل هذه الثغرة الأمنية [S1]. يتضمن هذا الإصدار تصحيحات تعمل بشكل صحيح على تحييد الإدخال المستخدم في استعلامات المحتوى API [S3].
تحديد نقاط الضعف
يتضمن تحديد هذه الثغرة الأمنية التحقق من الإصدار المثبت من حزمة ghost مقابل النطاق المتأثر (3.24.0 إلى 6.19.0) [S1]. تعتبر الأنظمة التي تقوم بتشغيل هذه الإصدارات معرضة لخطر كبير لإدخال SQL عبر المحتوى API [S2].