영향
Ghost 버전 3.24.0~6.19.0은 콘텐츠 API [S1]의 심각한 SQL 주입 취약점에 취약합니다. 인증되지 않은 공격자는 이 결함을 악용하여 기본 데이터베이스 [S2]에 대해 임의의 SQL 명령을 실행할 수 있습니다. 악용에 성공하면 민감한 사용자 데이터가 노출되거나 사이트 콘텐츠 [S3]가 무단으로 수정될 수 있습니다. 이 취약점에는 심각한 심각도 [S2]를 반영하여 CVSS 점수 9.4가 할당되었습니다.
근본 원인
이 문제는 Ghost Content API [S1] 내의 부적절한 입력 유효성 검사로 인해 발생합니다. 특히 애플리케이션은 사용자 제공 데이터를 SQL 쿼리 [S2]에 통합하기 전에 이를 올바르게 삭제하지 못합니다. 이를 통해 공격자는 악성 SQL 조각 [S3]를 삽입하여 쿼리 구조를 조작할 수 있습니다.
영향을 받는 버전
3.24.0부터 6.19.0까지의 Ghost 버전은 이 문제 [S1][S2]에 취약합니다.
해결
이 취약점 [S1]를 해결하려면 관리자는 Ghost 설치를 6.19.1 이상 버전으로 업그레이드해야 합니다. 이 버전에는 콘텐츠 API 쿼리 [S3]에 사용된 입력을 적절하게 무력화하는 패치가 포함되어 있습니다.
취약점 식별
이 취약점을 식별하려면 영향을 받는 범위(3.24.0 ~ 6.19.0) [S1]에 대해 설치된 ghost 패키지 버전을 확인해야 합니다. 이러한 버전을 실행하는 시스템은 콘텐츠 API [S2]를 통한 SQL 주입 위험이 높은 것으로 간주됩니다.