प्रभाव
भूत संस्करण 3.24.0 से 6.19.0 सामग्री API [S1] में एक महत्वपूर्ण SQL इंजेक्शन भेद्यता के लिए अतिसंवेदनशील हैं। एक अप्रमाणित हमलावर अंतर्निहित डेटाबेस [S2] के विरुद्ध मनमाने SQL कमांड निष्पादित करने के लिए इस दोष का फायदा उठा सकता है। सफल दोहन के परिणामस्वरूप संवेदनशील उपयोगकर्ता डेटा उजागर हो सकता है या साइट सामग्री [S3] में अनधिकृत संशोधन हो सकता है। इस भेद्यता को 9.4 का सीवीएसएस स्कोर दिया गया है, जो इसकी गंभीर गंभीरता [S2] को दर्शाता है।
मूल कारण
समस्या भूत सामग्री API [S1] के भीतर अनुचित इनपुट सत्यापन से उत्पन्न होती है। विशेष रूप से, एप्लिकेशन SQL क्वेरीज़ [S2] में शामिल करने से पहले उपयोगकर्ता द्वारा प्रदत्त डेटा को सही ढंग से साफ करने में विफल रहता है। यह एक हमलावर को दुर्भावनापूर्ण SQL टुकड़े [S3] इंजेक्ट करके क्वेरी संरचना में हेरफेर करने की अनुमति देता है।
प्रभावित संस्करण
3.24.0 से शुरू होकर 6.19.0 तक के भूत संस्करण इस समस्या के प्रति संवेदनशील हैं [S1][S2]।
निवारण
इस भेद्यता को हल करने के लिए प्रशासकों को अपने घोस्ट इंस्टॉलेशन को संस्करण 6.19.1 या बाद के संस्करण में अपग्रेड करना चाहिए [S1]। इस संस्करण में ऐसे पैच शामिल हैं जो सामग्री API क्वेरीज़ [S3] में उपयोग किए गए इनपुट को ठीक से बेअसर करते हैं।
भेद्यता की पहचान
इस भेद्यता की पहचान में प्रभावित सीमा (3.24.0 से 6.19.0) [S1] के विरुद्ध ghost पैकेज के स्थापित संस्करण को सत्यापित करना शामिल है। इन संस्करणों को चलाने वाले सिस्टम को सामग्री API [S2] के माध्यम से SQL इंजेक्शन के लिए उच्च जोखिम में माना जाता है।