Impakt
Geescht Versiounen 3.24.0 duerch 6.19.0 sinn ufälleg fir eng kritesch SQL Injektioun Schwachstelle am Inhalt API [S1]. En onauthentifizéierten Ugräifer kann dëse Feeler ausnotzen fir arbiträr SQL Kommandoen géint d'Basisdatenbank [S2] auszeféieren. Erfollegräich Ausbeutung kéint zu der Belaaschtung vu sensiblen Benotzerdaten oder onerlaabten Ännerung vum Siteinhalt [S3] féieren. Dës Schwachstelle gouf e CVSS Score vun 9.4 zougewisen, wat seng kritesch Gravitéit [S2] reflektéiert.
Root Ursaach
D'Thema staamt aus enger falscher Inputvalidatioun am Ghost Inhalt API [S1]. Besonnesch, d'Applikatioun feelt d'Benotzer geliwwert Donnéeën korrekt ze desinfizéieren ier se an SQL Ufroen integréiert [S2]. Dëst erlaabt en Ugräifer d'Ufrostruktur ze manipuléieren andeems se béiswëlleg SQL Fragmenter [S3] injizéieren.
Betraff Versiounen
Geescht Versiounen ab 3.24.0 bis an mat 6.19.0 sinn vulnérabel fir dëst Thema [S1][S2].
Sanéierung
Administrateuren sollen hir Ghost Installatioun op Versioun 6.19.1 oder spéider upgraden fir dës Schwachstelle [S1] ze léisen. Dës Versioun enthält Patches déi den Input richteg neutraliséieren, déi am Inhalt API Ufroen [S3] benotzt ginn.
Vulnerabilitéit Identifikatioun
D'Identifikatioun vun dëser Schwachstelle beinhalt d'Verifizéierung vun der installéierter Versioun vum ghost Package géint de betraffene Beräich (3.24.0 bis 6.19.0) [S1]. Systemer déi dës Versioune lafen, ginn als héije Risiko fir SQL Injektioun iwwer den Inhalt API [S2] ugesinn.