Kesan
Ghost versi 3.24.0 hingga 6.19.0 terdedah kepada kerentanan suntikan SQL yang kritikal dalam Kandungan API [S1]. Penyerang yang tidak disahkan boleh mengeksploitasi kelemahan ini untuk melaksanakan arahan SQL sewenang-wenangnya terhadap pangkalan data asas [S2]. Eksploitasi yang berjaya boleh mengakibatkan pendedahan data pengguna yang sensitif atau pengubahsuaian tanpa kebenaran kandungan tapak [S3]. Kerentanan ini telah diberikan skor CVSS 9.4, mencerminkan keterukan kritikalnya [S2].
Punca Punca
Isu ini berpunca daripada pengesahan input yang tidak betul dalam Kandungan Hantu API [S1]. Khususnya, aplikasi gagal membersihkan data yang dibekalkan pengguna dengan betul sebelum memasukkannya ke dalam pertanyaan SQL [S2]. Ini membolehkan penyerang memanipulasi struktur pertanyaan dengan menyuntik serpihan SQL berniat jahat [S3].
Versi Terjejas
Versi hantu bermula dari 3.24.0 sehingga dan termasuk 6.19.0 terdedah kepada isu ini [S1][S2].
Pemulihan
Pentadbir harus meningkatkan pemasangan Ghost mereka kepada versi 6.19.1 atau lebih baru untuk menyelesaikan kerentanan ini [S1]. Versi ini termasuk tampung yang meneutralkan input dengan betul yang digunakan dalam pertanyaan Kandungan API [S3].
Pengenalan Kerentanan
Pengenalpastian kelemahan ini melibatkan pengesahan versi pakej ghost yang dipasang terhadap julat yang terjejas (3.24.0 hingga 6.19.0) [S1]. Sistem yang menjalankan versi ini dianggap berisiko tinggi untuk suntikan SQL melalui Kandungan API [S2].