प्रभाव
भूत आवृत्त्या 3.24.0 ते 6.19.0 API [S1] सामग्रीमधील गंभीर SQL इंजेक्शन भेद्यतेसाठी संवेदनाक्षम आहेत. एक अनधिकृत आक्रमणकर्ता अंतर्निहित डेटाबेस [S2] विरुद्ध अनियंत्रित SQL आदेश कार्यान्वित करण्यासाठी या त्रुटीचा फायदा घेऊ शकतो. यशस्वी शोषणामुळे संवेदनशील वापरकर्ता डेटा उघडकीस येऊ शकतो किंवा साइट सामग्री [S3] मध्ये अनधिकृत बदल होऊ शकतो. या भेद्यतेला 9.4 चा CVSS स्कोअर नियुक्त केला गेला आहे, जो त्याची गंभीर तीव्रता [S2] दर्शवितो.
मूळ कारण
घोस्ट सामग्री API [S1] मध्ये अयोग्य इनपुट प्रमाणीकरणामुळे समस्या उद्भवली आहे. विशेषत:, एसक्यूएल क्वेरी [S2] मध्ये समाविष्ट करण्यापूर्वी वापरकर्त्याने पुरवठा केलेला डेटा योग्यरित्या निर्जंतुक करण्यात अनुप्रयोग अयशस्वी झाला. हे आक्रमणकर्त्याला दुर्भावनापूर्ण SQL तुकड्या [S3] इंजेक्ट करून क्वेरी स्ट्रक्चरमध्ये फेरफार करण्यास अनुमती देते.
प्रभावित आवृत्त्या
3.24.0 पासून सुरू होणाऱ्या आणि 6.19.0 पर्यंतच्या घोस्ट आवृत्त्या या समस्येसाठी असुरक्षित आहेत [S1][S2].
उपाय
[S1] या भेद्यतेचे निराकरण करण्यासाठी प्रशासकांनी त्यांचे Ghost इंस्टॉलेशन 6.19.1 किंवा नंतरच्या आवृत्तीमध्ये अपग्रेड केले पाहिजे. या आवृत्तीमध्ये API क्वेरी [S3] सामग्रीमध्ये वापरलेले इनपुट योग्यरित्या निष्प्रभावी करणारे पॅचेस समाविष्ट आहेत.
असुरक्षितता ओळख
या असुरक्षा ओळखण्यासाठी ghost पॅकेजची स्थापित आवृत्ती प्रभावित श्रेणी (3.24.0 ते 6.19.0) [S1] विरुद्ध सत्यापित करणे समाविष्ट आहे. API [S2] सामग्रीद्वारे SQL इंजेक्शनसाठी या आवृत्त्या चालवणाऱ्या प्रणालींना उच्च धोका मानला जातो.