প্রভাব
ঘোস্ট সংস্করণ 3.24.0 থেকে 6.19.0 পর্যন্ত API [S1] বিষয়বস্তুতে একটি জটিল SQL ইনজেকশন দুর্বলতার জন্য সংবেদনশীল। একটি অননুমোদিত আক্রমণকারী অন্তর্নিহিত ডাটাবেস [S2] এর বিরুদ্ধে নির্বিচারে SQL কমান্ড কার্যকর করতে এই ত্রুটিটি কাজে লাগাতে পারে। সফল শোষণের ফলে ব্যবহারকারীর সংবেদনশীল ডেটা প্রকাশ হতে পারে বা সাইটের বিষয়বস্তু [S3] অননুমোদিত পরিবর্তন হতে পারে। এই দুর্বলতাকে 9.4 এর একটি CVSS স্কোর বরাদ্দ করা হয়েছে, যা এর সমালোচনামূলক তীব্রতা [S2] প্রতিফলিত করে।
মূল কারণ
সমস্যাটি ঘোস্ট কন্টেন্ট API [S1]-এর মধ্যে অনুপযুক্ত ইনপুট বৈধতা থেকে উদ্ভূত হয়েছে৷ বিশেষত, অ্যাপ্লিকেশনটি এসকিউএল ক্যোয়ারী [S2]-এ অন্তর্ভুক্ত করার আগে ব্যবহারকারীর সরবরাহকৃত ডেটা সঠিকভাবে স্যানিটাইজ করতে ব্যর্থ হয়। এটি একটি আক্রমণকারীকে দূষিত SQL টুকরা [S3] ইনজেকশনের মাধ্যমে ক্যোয়ারী স্ট্রাকচার ম্যানিপুলেট করার অনুমতি দেয়৷
প্রভাবিত সংস্করণ
3.24.0 থেকে শুরু করে 6.19.0 সহ ঘোস্ট সংস্করণগুলি [S1][S2] এই সমস্যার জন্য দুর্বল
প্রতিকার
এই দুর্বলতা [S1] সমাধানের জন্য প্রশাসকদের তাদের ঘোস্ট ইনস্টলেশনকে 6.19.1 বা পরবর্তী সংস্করণে আপগ্রেড করা উচিত। এই সংস্করণে এমন প্যাচ রয়েছে যা API প্রশ্ন [S3] সামগ্রীতে ব্যবহৃত ইনপুটকে সঠিকভাবে নিরপেক্ষ করে।
দুর্বলতা সনাক্তকরণ
এই দুর্বলতা শনাক্তকরণে প্রভাবিত পরিসরের (3.24.0 থেকে 6.19.0) [S1]-এর বিরুদ্ধে ghost প্যাকেজের ইনস্টল করা সংস্করণ যাচাই করা জড়িত। এই সংস্করণগুলি চলমান সিস্টেমগুলি API [S2] সামগ্রীর মাধ্যমে SQL ইনজেকশনের জন্য উচ্চ ঝুঁকিতে বিবেচিত হয়৷