અસર
ઘોસ્ટ વર્ઝન 3.24.0 થી 6.19.0 સામગ્રી API [S1] માં જટિલ SQL ઇન્જેક્શન નબળાઈ માટે સંવેદનશીલ છે. બિનઅધિકૃત હુમલાખોર અંતર્ગત ડેટાબેઝ [S2] સામે મનસ્વી SQL આદેશો ચલાવવા માટે આ ખામીનો ઉપયોગ કરી શકે છે. સફળ શોષણના પરિણામે સંવેદનશીલ વપરાશકર્તા ડેટા અથવા સાઇટ સામગ્રી [S3] માં અનધિકૃત ફેરફાર થઈ શકે છે. આ નબળાઈને 9.4 નો CVSS સ્કોર સોંપવામાં આવ્યો છે, જે તેની નિર્ણાયક ગંભીરતા [S2] દર્શાવે છે.
મૂળ કારણ
આ સમસ્યા ઘોસ્ટ સામગ્રી API [S1] ની અંદર અયોગ્ય ઇનપુટ માન્યતાને કારણે ઉદ્ભવે છે. ખાસ કરીને, એપ્લિકેશન તેને SQL ક્વેરીઝ [S2] માં સમાવિષ્ટ કરતા પહેલા વપરાશકર્તા દ્વારા પૂરા પાડવામાં આવેલ ડેટાને યોગ્ય રીતે સેનિટાઇઝ કરવામાં નિષ્ફળ જાય છે. આ હુમલાખોરને દૂષિત SQL ટુકડાઓ [S3] ઇન્જેક્ટ કરીને ક્વેરી સ્ટ્રક્ચરમાં ચાલાકી કરવાની મંજૂરી આપે છે.
અસરગ્રસ્ત સંસ્કરણો
3.24.0 થી શરૂ થતા અને 6.19.0 સહિતના ઘોસ્ટ વર્ઝન આ મુદ્દા માટે સંવેદનશીલ છે [S1][S2].
ઉપાય
આ નબળાઈ [S1] ને ઉકેલવા માટે એડમિનિસ્ટ્રેટર્સે તેમના ઘોસ્ટ ઇન્સ્ટોલેશનને 6.19.1 અથવા પછીના સંસ્કરણ પર અપગ્રેડ કરવું જોઈએ. આ સંસ્કરણમાં પેચોનો સમાવેશ થાય છે જે API ક્વેરીઝ [S3] સામગ્રીમાં ઉપયોગમાં લેવાતા ઇનપુટને યોગ્ય રીતે નિષ્ક્રિય કરે છે.
નબળાઈ ઓળખ
આ નબળાઈની ઓળખમાં અસરગ્રસ્ત શ્રેણી (3.24.0 થી 6.19.0) [S1] સામે ghost પેકેજના ઇન્સ્ટોલ કરેલ સંસ્કરણની ચકાસણી કરવાનો સમાવેશ થાય છે. આ સંસ્કરણો ચલાવતી સિસ્ટમોને API [S2] સામગ્રી દ્વારા SQL ઇન્જેક્શન માટે ઉચ્ચ જોખમ ગણવામાં આવે છે.