ആഘാതം
3.24.0 മുതൽ 6.19.0 വരെയുള്ള ഗോസ്റ്റ് പതിപ്പുകൾ, API [S1] എന്ന ഉള്ളടക്കത്തിലെ ഗുരുതരമായ SQL കുത്തിവയ്പ്പ് അപകടസാധ്യതയ്ക്ക് വിധേയമാണ്. [S2] എന്ന ഡാറ്റാബേസിനെതിരെ അനിയന്ത്രിതമായ SQL കമാൻഡുകൾ എക്സിക്യൂട്ട് ചെയ്യുന്നതിന് ഒരു അംഗീകൃതമല്ലാത്ത ആക്രമണകാരിക്ക് ഈ പിഴവ് പ്രയോജനപ്പെടുത്താനാകും. വിജയകരമായ ചൂഷണം സെൻസിറ്റീവ് ഉപയോക്തൃ ഡാറ്റ വെളിപ്പെടുത്തുന്നതിനോ അല്ലെങ്കിൽ സൈറ്റ് ഉള്ളടക്കം [S3]-യുടെ അനധികൃത പരിഷ്ക്കരണത്തിന് കാരണമാകും. ഈ ദുർബലതയ്ക്ക് അതിൻ്റെ ഗുരുതരമായ തീവ്രത [S2] പ്രതിഫലിപ്പിക്കുന്ന 9.4-ൻ്റെ CVSS സ്കോർ നൽകിയിട്ടുണ്ട്.
മൂലകാരണം
Ghost Content API [S1] എന്നതിനുള്ളിലെ തെറ്റായ ഇൻപുട്ട് മൂല്യനിർണ്ണയത്തിൽ നിന്നാണ് പ്രശ്നം ഉടലെടുത്തത്. പ്രത്യേകമായി, SQL അന്വേഷണങ്ങളിൽ [S2] സംയോജിപ്പിക്കുന്നതിന് മുമ്പ് ഉപയോക്തൃ-വിതരണ ഡാറ്റ ശരിയായി സാനിറ്റൈസ് ചെയ്യുന്നതിൽ ആപ്ലിക്കേഷൻ പരാജയപ്പെടുന്നു. ക്ഷുദ്രകരമായ SQL ശകലങ്ങൾ [S3] കുത്തിവച്ച് അന്വേഷണ ഘടന കൈകാര്യം ചെയ്യാൻ ഇത് ഒരു ആക്രമണകാരിയെ അനുവദിക്കുന്നു.
ബാധിച്ച പതിപ്പുകൾ
3.24.0 മുതൽ 6.19.0 വരെയുള്ള ഗോസ്റ്റ് പതിപ്പുകൾ ഈ പ്രശ്നത്തിന് വിധേയമാണ് [S1][S2].
പ്രതിവിധി
ഈ അപകടസാധ്യത പരിഹരിക്കുന്നതിന് അഡ്മിനിസ്ട്രേറ്റർമാർ അവരുടെ ഗോസ്റ്റ് ഇൻസ്റ്റാളേഷൻ 6.19.1 പതിപ്പിലേക്കോ അതിന് ശേഷമുള്ള പതിപ്പിലേക്കോ അപ്ഗ്രേഡ് ചെയ്യണം. ഉള്ളടക്കം API അന്വേഷണങ്ങൾ [S3]-ൽ ഉപയോഗിച്ച ഇൻപുട്ട് ശരിയായി നിർവീര്യമാക്കുന്ന പാച്ചുകൾ ഈ പതിപ്പിൽ ഉൾപ്പെടുന്നു.
അപകടസാധ്യത തിരിച്ചറിയൽ
ഈ കേടുപാടുകൾ തിരിച്ചറിയുന്നതിൽ ghost പാക്കേജിൻ്റെ ഇൻസ്റ്റാൾ ചെയ്ത പതിപ്പ്, ബാധിത ശ്രേണിയിൽ (3.24.0 മുതൽ 6.19.0 വരെ) [S1] പരിശോധിക്കുന്നത് ഉൾപ്പെടുന്നു. ഈ പതിപ്പുകൾ പ്രവർത്തിക്കുന്ന സിസ്റ്റങ്ങൾ, ഉള്ളടക്കം API [S2] വഴി SQL കുത്തിവയ്പ്പിനുള്ള ഉയർന്ന അപകടസാധ്യതയുള്ളതായി കണക്കാക്കുന്നു.