ផលប៉ះពាល់
ZXCVFIXVIBESEG ៤ កំណែ Ghost 3.24.0 ដល់ 6.19.0 គឺងាយរងគ្រោះចំពោះភាពងាយរងគ្រោះនៃការចាក់ SQL ដ៏សំខាន់នៅក្នុងមាតិកា API [S1] ។ អ្នកវាយប្រហារដែលគ្មានការផ្ទៀងផ្ទាត់អាចទាញយកកំហុសនេះ ដើម្បីប្រតិបត្តិពាក្យបញ្ជា SQL បំពានប្រឆាំងនឹងមូលដ្ឋានទិន្នន័យ [S2] ។ ការកេងប្រវ័ញ្ចដោយជោគជ័យអាចបណ្តាលឱ្យមានការលាតត្រដាងនៃទិន្នន័យអ្នកប្រើប្រាស់ដ៏រសើប ឬការកែប្រែដោយគ្មានការអនុញ្ញាតនៃមាតិកាគេហទំព័រ [S3] ។ ភាពងាយរងគ្រោះនេះត្រូវបានផ្តល់ពិន្ទុ CVSS 9.4 ដែលឆ្លុះបញ្ចាំងពីភាពធ្ងន់ធ្ងររបស់វា [S2] ។
ZXCVFIXVIBESEG ៥
មូលហេតុ
ZXCVFIXVIBESEG ៦ បញ្ហានេះកើតចេញពីការបញ្ជាក់ការបញ្ចូលមិនត្រឹមត្រូវនៅក្នុងខ្លឹមសារខ្មោច API [S1] ។ ជាពិសេស កម្មវិធីបរាជ័យក្នុងការធ្វើអនាម័យទិន្នន័យដែលផ្គត់ផ្គង់ដោយអ្នកប្រើប្រាស់ឱ្យបានត្រឹមត្រូវ មុននឹងបញ្ចូលវាទៅក្នុងសំណួរ SQL [S2]។ នេះអនុញ្ញាតឱ្យអ្នកវាយប្រហាររៀបចំរចនាសម្ព័ន្ធសំណួរដោយបញ្ចូលបំណែក SQL ព្យាបាទ [S3] ។
ZXCVFIXVIBESEG ៧
កំណែដែលរងផលប៉ះពាល់
ZXCVFIXVIBESEG ៨ កំណែខ្មោចដែលចាប់ផ្តើមពី 3.24.0 រហូតដល់ និងរួមទាំង 6.19.0 ងាយរងគ្រោះចំពោះបញ្ហានេះ [S1][S2]។
សំណង
ZXCVFIXVIBESEG ១០ អ្នកគ្រប់គ្រងគួរតែដំឡើងកំណែ Ghost របស់ពួកគេទៅកំណែ 6.19.1 ឬក្រោយដើម្បីដោះស្រាយភាពងាយរងគ្រោះនេះ [S1] ។ កំណែនេះរួមបញ្ចូលបំណះដែលធ្វើអោយការបញ្ចូលអព្យាក្រឹតយ៉ាងត្រឹមត្រូវដែលប្រើក្នុងសំណួរមាតិកា API [S3] ។
ZXCVFIXVIBESEG ១១
ការកំណត់អត្តសញ្ញាណភាពងាយរងគ្រោះ
ZXCVFIXVIBESEG ១២ ការកំណត់អត្តសញ្ញាណភាពងាយរងគ្រោះនេះពាក់ព័ន្ធនឹងការផ្ទៀងផ្ទាត់កំណែដែលបានដំឡើងនៃកញ្ចប់ ghost ប្រឆាំងនឹងជួរដែលរងផលប៉ះពាល់ (3.24.0 ដល់ 6.19.0) [S1] ។ ប្រព័ន្ធដែលកំពុងដំណើរការកំណែទាំងនេះត្រូវបានចាត់ទុកថាមានហានិភ័យខ្ពស់សម្រាប់ការចាក់ SQL តាមរយៈមាតិកា API [S2] ។