Таасири
3.24.0 жана 6.19.0 Ghost версиялары API [S1] Мазмунундагы маанилүү SQL инъекциясынын аялуулугуна дуушар болушат. Аныктыгы текшерилбеген чабуулчу бул кемчиликти [S2] базалык базасына каршы ыктыярдуу SQL буйруктарын аткаруу үчүн пайдалана алат. Ийгиликтүү эксплуатация колдонуучунун купуя маалыматтарынын ачыкка чыгышына же сайттын мазмунунун уруксатсыз өзгөртүлүшүнө алып келиши мүмкүн [S3]. Бул кемчиликке CVSS 9.4 упай ыйгарылган, бул анын [S2] критикалык катаалдыгын чагылдырат.
Негизги себеп
Маселе Ghost Content API [S1] ичиндеги туура эмес киргизүү текшерүүсүнөн келип чыккан. Тактап айтканда, колдонмо колдонуучу тарабынан берилген маалыматтарды [S2] SQL сурамдарына киргизүүдөн мурун туура тазалай албайт. Бул чабуулчуга [S3] зыяндуу SQL фрагменттерин киргизүү аркылуу суроо түзүмүн башкарууга мүмкүндүк берет.
Таасирленген версиялар
3.24.0 баштап 6.19.0 чейин жана анын ичинде Ghost версиялары [S1][S2] бул маселеге аялуу.
Оңдоо
Бул [S1] кемчилигин чечүү үчүн администраторлор Ghost орнотуусун 6.19.1 же андан кийинки версиясына жаңыртыш керек. Бул версия [S3] Мазмун сурамдарында колдонулган киргизүүнү туура нейтралдаштырган тактарды камтыйт.
Аялуулугун аныктоо
Бул кемчиликти аныктоо ghost топтомунун орнотулган версиясын жабыр тарткан диапазонго (3.24.0 – 6.19.0) [S1] текшерүүнү камтыйт. Бул версияларды иштеткен тутумдар API [S2] Мазмун аркылуу SQL инъекциясынын жогорку коркунучу бар деп эсептелет.