Təsir
3.24.0-dan 6.19.0-a qədər olan Ghost versiyaları API [S1] Məzmununda kritik SQL inyeksiya zəifliyinə həssasdır. Doğrulanmamış təcavüzkar [S2] bazasına qarşı ixtiyari SQL əmrlərini yerinə yetirmək üçün bu qüsurdan istifadə edə bilər. Uğurlu istismar həssas istifadəçi məlumatlarının ifşası və ya [S3] sayt məzmununun icazəsiz dəyişdirilməsi ilə nəticələnə bilər. Bu zəifliyə onun [S2] kritik şiddətini əks etdirən 9.4 CVSS balı təyin edilib.
Kök Səbəb
Problem Ghost Content API [S1] daxilində düzgün olmayan giriş yoxlamasından qaynaqlanır. Xüsusilə, proqram istifadəçi tərəfindən təmin edilmiş məlumatları [S2] SQL sorğularına daxil etməzdən əvvəl düzgün şəkildə sanitarlaşdıra bilmir. Bu, təcavüzkara [S3] zərərli SQL fraqmentlərini yeritməklə sorğu strukturunu manipulyasiya etməyə imkan verir.
Təsirə məruz qalmış versiyalar
3.24.0-dan 6.19.0 daxil olmaqla, xəyal versiyaları [S1][S2] probleminə qarşı həssasdır.
Təmir
İnzibatçılar bu zəifliyi [S1] həll etmək üçün Ghost quraşdırmasını 6.19.1 və ya daha sonrakı versiyaya təkmilləşdirməlidirlər. Bu versiyaya API [S3] Məzmun sorğularında istifadə edilən daxiletməni düzgün neytrallaşdıran yamaqlar daxildir.
Zəifliyin İdentifikasiyası
Bu zəifliyin identifikasiyası ghost paketinin quraşdırılmış versiyasının təsirə məruz qalmış diapazonla (3.24.0 - 6.19.0) [S1] arasında yoxlanılmasını nəzərdə tutur. Bu versiyaları işlədən sistemlər API [S2] Məzmun vasitəsilə SQL inyeksiyası üçün yüksək risk altında hesab olunur.