Buaidh
Tha dreachan taibhse 3.24.0 tro 6.19.0 buailteach do chugallachd èiginneach ann an stealladh SQL anns an t-susbaint API [S1]. Faodaidh neach-ionnsaigh gun dearbhadh brath a ghabhail air an locht seo gus òrdughan SQL neo-riaghailteach a chuir an gnìomh an aghaidh an stòr-dàta bunaiteach [S2]. Dh’ fhaodadh cleachdadh soirbheachail leantainn gu bhith a’ nochdadh dàta cleachdaiche mothachail no atharrachadh gun chead air susbaint na làraich [S3]. Chaidh sgòr CVSS de 9.4 a thoirt don so-leòntachd seo, a’ nochdadh cho dona sa tha e [S2].
Bun-adhbhar
Tha a’ chùis a’ tighinn bho dhearbhadh cuir a-steach neo-iomchaidh taobh a-staigh Ghost Content API [S1]. Gu sònraichte, chan eil an tagradh a’ dèanamh dì-ghalarachadh ceart air dàta a chaidh a sholarachadh leis an neach-cleachdaidh mus tèid a thoirt a-steach do cheistean SQL [S2]. Leigidh seo le neach-ionnsaigh structar na ceiste a làimhseachadh le bhith a’ stealladh mìrean droch-rùnach SQL [S3].
Tionndaidhean air a bheil buaidh
Tha dreachan taibhse a’ tòiseachadh bho 3.24.0 suas gu agus a’ toirt a-steach 6.19.0 so-leònte don chùis seo [S1][S2].
Leigheas
Bu chòir do luchd-rianachd an stàladh Ghost aca ùrachadh gu dreach 6.19.1 no nas fhaide air adhart gus an so-leòntachd seo fhuasgladh [S1]. Tha an dreach seo a’ toirt a-steach pìosan a bhios a’ neodachadh cuir a-steach gu ceart ann an ceistean Susbaint API [S3].
Aithneachadh so-leòntachd
Tha comharrachadh an so-leòntachd seo a’ toirt a-steach dearbhadh an dreach stàlaichte den phasgan ghost an aghaidh an raoin air a bheil buaidh (3.24.0 gu 6.19.0) [S1]. Thathas den bheachd gu bheil siostaman a tha a’ ruith nan dreachan sin ann an cunnart mòr airson in-stealladh SQL tron Susbaint API [S2].