Dampak
Versi Ghost 3.24.0 hingga 6.19.0 rentan terhadap kerentanan injeksi SQL kritis di Konten API [S1]. Penyerang yang tidak diautentikasi dapat mengeksploitasi kelemahan ini untuk menjalankan perintah SQL sewenang-wenang terhadap database yang mendasarinya [S2]. Eksploitasi yang berhasil dapat mengakibatkan terbukanya data pengguna yang sensitif atau modifikasi konten situs [S3] yang tidak sah. Kerentanan ini telah diberi skor CVSS sebesar 9,4, yang mencerminkan tingkat keparahan kritisnya [S2].
Akar Penyebab
Masalah ini berasal dari validasi masukan yang tidak tepat dalam Konten Hantu API [S1]. Secara khusus, aplikasi gagal membersihkan data yang disediakan pengguna dengan benar sebelum memasukkannya ke dalam kueri SQL [S2]. Hal ini memungkinkan penyerang memanipulasi struktur kueri dengan memasukkan fragmen SQL berbahaya [S3].
Versi yang Terkena Dampak
Versi hantu mulai dari 3.24.0 hingga dan termasuk 6.19.0 rentan terhadap masalah ini [S1][S2].
Remediasi
Administrator harus meningkatkan instalasi Ghost mereka ke versi 6.19.1 atau lebih baru untuk mengatasi kerentanan ini [S1]. Versi ini mencakup tambalan yang menetralkan dengan benar masukan yang digunakan dalam kueri Konten API [S3].
Identifikasi Kerentanan
Identifikasi kerentanan ini melibatkan verifikasi versi paket ghost yang terinstal terhadap rentang yang terpengaruh (3.24.0 hingga 6.19.0) [S1]. Sistem yang menjalankan versi ini dianggap berisiko tinggi untuk injeksi SQL melalui Konten API [S2].