Eragina
Ghost 3.24.0-tik 6.19.0-ra bitarteko bertsioek SQL injekzio ahultasun larria jasan dezakete edukian API [S1]. Autentifikatu gabeko erasotzaile batek akats hau balia dezake SQL komando arbitrarioak exekutatzeko azpiko [S2] datu-basearen aurka. Ustiapen arrakastatsuak erabiltzailearen datu sentikorrak erakustea edo guneko edukia baimenik gabe aldatzea eragin dezake [S3]. Ahultasun honi 9,4ko CVSS puntuazioa esleitu zaio, bere larritasun kritikoa [S2] islatuz.
Arrazoia
Arazoa Ghost Edukiaren barneko sarrera desegokiaren baliozkotzetik datorkio. Zehazki, aplikazioak huts egiten ditu erabiltzaileak emandako datuak behar bezala desinfektatzen [S2] SQL kontsultetan sartu aurretik. Horri esker, erasotzaileak kontsulta-egitura manipulatzeko aukera ematen du SQL zati gaiztoak [S3] injektatuz.
Eragindako bertsioak
3.24.0-tik hasita eta 6.19.0-ra arteko Ghost bertsioak zaurgarriak dira arazo honen aurrean [S1][S2].
Konponketa
Administratzaileek Ghost instalazioa 6.19.1 bertsiora edo berriagoa izan beharko lukete [S1] ahultasun hau konpontzeko. Bertsio honek API [S3] edukietan erabilitako sarrerak behar bezala neutralizatzen dituzten adabakiak ditu.
Ahultasunen identifikazioa
Ahultasun honen identifikazioak ghost paketearen instalatutako bertsioa kaltetutako barrutiarekin (3.24.0tik 6.19.0) [S1] egiaztatzea dakar. Bertsio hauek exekutatzen dituzten sistemek SQL injekziorako arrisku handia dute API [S2] edukiaren bidez.