Impattu
E versioni Ghost da 3.24.0 à 6.19.0 sò suscettibili à una vulnerabilità critica di iniezione SQL in u cuntenutu API [S1]. Un attaccu micca autenticatu pò sfruttà stu difettu per eseguisce cumandamenti SQL arbitrarii contr'à a basa di dati sottostanti [S2]. Sfruttamentu successu puderia riesce à l'esposizione di dati sensibili di l'utilizatori o mudificazione micca autorizata di u cuntenutu di u situ [S3]. Questa vulnerabilità hè stata attribuita à un puntu CVSS di 9.4, chì riflette a so gravità critica [S2].
Causa Root
U prublema deriva da una validazione di input impropriu in u cuntenutu Ghost API [S1]. In particulare, l'applicazione ùn riesce à sanitizà currettamente i dati furniti da l'utilizatori prima di incorpore in e dumande SQL [S2]. Questu permette à un attaccu di manipulà a struttura di quistione injecting fragments SQL maliziusi [S3].
Versioni affettate
E versioni Ghost chì partenu da 3.24.0 finu à 6.19.0 inclusi sò vulnerabili à questu prublema [S1][S2].
Remediazione
L'amministratori anu da aghjurnà a so installazione Ghost à a versione 6.19.1 o più tardi per risolve sta vulnerabilità [S1]. Questa versione include patches chì neutralizanu currettamente l'input utilizatu in u cuntenutu API queries [S3].
Identificazione di vulnerabilità
L'identificazione di sta vulnerabilità implica a verificazione di a versione installata di u pacchettu ghost contr'à a gamma affettata (3.24.0 à 6.19.0) [S1]. I sistemi chì eseguenu queste versioni sò cunsiderate à risicu altu per l'iniezione SQL via u cuntenutu API [S2].