ຜົນກະທົບ
ເວີຊັ່ນ Ghost 3.24.0 ຫາ 6.19.0 ມີຄວາມອ່ອນໄຫວຕໍ່ກັບຊ່ອງໂຫວ່ການສີດ SQL ທີ່ສຳຄັນໃນເນື້ອຫາ API [S1]. ຜູ້ໂຈມຕີທີ່ບໍ່ໄດ້ຜ່ານການພິສູດຢືນຢັນສາມາດນຳໃຊ້ຂໍ້ບົກພ່ອງນີ້ເພື່ອປະຕິບັດຄຳສັ່ງ SQL ແບບຜິດກົດໝາຍຕໍ່ກັບຖານຂໍ້ມູນ [S2]. ການຂູດຮີດສົບຜົນສໍາເລັດສາມາດສົ່ງຜົນໃຫ້ມີການເປີດເຜີຍຂໍ້ມູນຜູ້ໃຊ້ທີ່ລະອຽດອ່ອນຫຼືການດັດແກ້ທີ່ບໍ່ໄດ້ຮັບອະນຸຍາດຂອງເນື້ອຫາເວັບໄຊທ໌ [S3]. ຊ່ອງໂຫວ່ນີ້ໄດ້ຖືກມອບຫມາຍໃຫ້ຄະແນນ CVSS ຂອງ 9.4, ສະທ້ອນໃຫ້ເຫັນເຖິງຄວາມຮຸນແຮງທີ່ສໍາຄັນຂອງມັນ [S2].
ສາເຫດ
ບັນຫາແມ່ນມາຈາກການກວດສອບການປ້ອນຂໍ້ມູນທີ່ບໍ່ຖືກຕ້ອງພາຍໃນ Ghost Content API [S1]. ໂດຍສະເພາະ, ແອັບພລິເຄຊັນລົ້ມເຫລວໃນການອະນາໄມຂໍ້ມູນທີ່ສະໜອງໃຫ້ໂດຍຜູ້ໃຊ້ຢ່າງຖືກຕ້ອງ ກ່ອນທີ່ຈະລວມມັນເຂົ້າໃນ SQL queries [S2]. ນີ້ອະນຸຍາດໃຫ້ຜູ້ໂຈມຕີສາມາດຈັດການໂຄງສ້າງການສອບຖາມໂດຍການໃສ່ຊິ້ນ SQL ທີ່ເປັນອັນຕະລາຍ [S3].
ສະບັບທີ່ໄດ້ຮັບຜົນກະທົບ
ລຸ້ນ Ghost ເລີ່ມຕົ້ນຈາກ 3.24.0 ຈົນຮອດ ແລະລວມທັງ 6.19.0 ມີຄວາມສ່ຽງຕໍ່ກັບບັນຫານີ້ [S1][S2].
ການແກ້ໄຂ
ຜູ້ເບິ່ງແຍງລະບົບຄວນອັບເກຣດການຕິດຕັ້ງ Ghost ຂອງເຂົາເຈົ້າເປັນເວີຊັນ 6.19.1 ຫຼືຫຼັງຈາກນັ້ນເພື່ອແກ້ໄຂຊ່ອງໂຫວ່ [S1]. ສະບັບນີ້ປະກອບມີແຜ່ນແພທີ່ເຮັດໃຫ້ການປ້ອນຂໍ້ມູນເປັນກາງຢ່າງຖືກຕ້ອງທີ່ໃຊ້ໃນການສອບຖາມເນື້ອຫາ API [S3].
ການກໍານົດຈຸດອ່ອນ
ການລະບຸຊ່ອງໂຫວ່ນີ້ກ່ຽວຂ້ອງກັບການກວດສອບເວີຊັນທີ່ຕິດຕັ້ງຂອງແພັກເກັດ ghost ຕໍ່ກັບຂອບເຂດທີ່ໄດ້ຮັບຜົນກະທົບ (3.24.0 ຫາ 6.19.0) [S1]. ລະບົບທີ່ດໍາເນີນການສະບັບເຫຼົ່ານີ້ຖືກພິຈາລະນາມີຄວາມສ່ຽງສູງສໍາລັບການສີດ SQL ຜ່ານເນື້ອຫາ API [S2].