Impatt
Verżjonijiet Ghost 3.24.0 sa 6.19.0 huma suxxettibbli għal vulnerabbiltà kritika ta 'injezzjoni SQL fil-Kontenut API [S1]. Attakkant mhux awtentikat jista' jisfrutta dan id-difett biex jesegwixxi kmandi SQL arbitrarji kontra d-database sottostanti [S2]. L-isfruttament b'suċċess jista' jirriżulta fl-espożizzjoni ta' data sensittiva tal-utent jew modifika mhux awtorizzata tal-kontenut tas-sit [S3]. Din il-vulnerabbiltà ġiet assenjata punteġġ CVSS ta' 9.4, li jirrifletti s-severità kritika tagħha [S2].
Kawża Għerq
Il-kwistjoni ġejja minn validazzjoni ta' input mhux xierqa fi ħdan il-Kontenut Ghost API [S1]. Speċifikament, l-applikazzjoni tonqos milli tissanitizza b'mod korrett id-data fornita mill-utent qabel ma tinkorporaha f'mistoqsijiet SQL [S2]. Dan jippermetti lil attakkant jimmanipula l-istruttura tal-mistoqsija billi jinjetta frammenti SQL malizzjużi [S3].
Verżjonijiet Affettwati
Verżjonijiet Ghost li jibdew minn 3.24.0 sa u inkluż 6.19.0 huma vulnerabbli għal din il-kwistjoni [S1][S2].
Rimedju
L-amministraturi għandhom jaġġornaw l-installazzjoni Ghost tagħhom għall-verżjoni 6.19.1 jew aktar tard biex isolvu din il-vulnerabbiltà [S1]. Din il-verżjoni tinkludi garżi li jinnewtralizzaw sew l-input użat fil-mistoqsijiet tal-Kontenut API [S3].
Identifikazzjoni tal-Vulnerabbiltà
L-identifikazzjoni ta' din il-vulnerabbiltà tinvolvi l-verifika tal-verżjoni installata tal-pakkett ghost kontra l-firxa affettwata (3.24.0 sa 6.19.0) [S1]. Sistemi li jħaddmu dawn il-verżjonijiet huma kkunsidrati f'riskju għoli għall-injezzjoni SQL permezz tal-Kontenut API [S2].