Әсер
3.24.0 және 6.19.0 Ghost нұсқалары API [S1] мазмұнындағы маңызды SQL инъекция осалдығына сезімтал. Аутентификацияланбаған шабуылдаушы [S2] негізгі дерекқорына қарсы еркін SQL пәрмендерін орындау үшін бұл кемшілікті пайдалана алады. Сәтті пайдалану құпия пайдаланушы деректерінің әшкереленуіне немесе [S3] сайт мазмұнын рұқсатсыз өзгертуге әкелуі мүмкін. Бұл осалдыққа [S2] сыни ауырлығын көрсететін 9,4 CVSS ұпайы берілді.
Негізгі себеп
Мәселе Ghost Content API [S1] ішіндегі дұрыс емес енгізуді тексеруден туындайды. Атап айтқанда, қолданба пайдаланушы берген деректерді [S2] SQL сұрауларына қоспас бұрын дұрыс зарарсыздандыра алмайды. Бұл зиянкестерге [S3] зиянды SQL фрагменттерін енгізу арқылы сұрау құрылымын басқаруға мүмкіндік береді.
Әсер еткен нұсқалар
3.24.0 бастап 6.19.0 дейін және оның ішінде Ghost нұсқалары [S1][S2] осы мәселеге осал.
Түзету
[S1] осалдығын жою үшін әкімшілер Ghost орнатуын 6.19.1 немесе одан кейінгі нұсқасына жаңартуы керек. Бұл нұсқа API [S3] мазмұн сұрауларында пайдаланылған енгізуді дұрыс бейтараптандыратын патчтарды қамтиды.
осалдықты анықтау
Бұл осалдықты анықтау ghost бумасының орнатылған нұсқасын зардап шеккен ауқымға (3.24.0 - 6.19.0) [S1] тексеруді қамтиды. Осы нұсқаларды іске қосатын жүйелер API [S2] Мазмұны арқылы SQL енгізу қаупі жоғары деп саналады.