प्रभाव
Ghost संस्करणहरू 3.24.0 देखि 6.19.0 सम्म सामग्री API [S1] मा एक महत्वपूर्ण SQL इंजेक्शन जोखिमको लागि संवेदनशील छन्। एक अप्रमाणित आक्रमणकारीले अन्तर्निहित डाटाबेस [S2] विरुद्ध स्वेच्छाचारी SQL आदेशहरू कार्यान्वयन गर्न यो त्रुटिको शोषण गर्न सक्छ। सफल शोषणले संवेदनशील प्रयोगकर्ता डेटाको जोखिम वा साइट सामग्री [S3] को अनधिकृत परिमार्जनको परिणाम हुन सक्छ। यस जोखिमलाई 9.4 को CVSS स्कोर तोकिएको छ, यसको महत्वपूर्ण गम्भीरता [S2] प्रतिबिम्बित गर्दछ।
मूल कारण
यो मुद्दा भूत सामग्री API [S1] भित्र अनुचित इनपुट प्रमाणीकरणबाट उत्पन्न भएको हो। विशेष रूपमा, अनुप्रयोगले प्रयोगकर्ता-आपूर्ति गरिएको डाटालाई SQL क्वेरीहरू [S2] मा समावेश गर्नु अघि सही रूपमा सेनिटाइज गर्न असफल भयो। यसले आक्रमणकारीलाई मालिसियस SQL टुक्राहरू [S3] इन्जेक्ट गरेर क्वेरी संरचनालाई हेरफेर गर्न अनुमति दिन्छ।
प्रभावित संस्करणहरू
3.24.0 बाट सुरु हुने र 6.19.0 सहितका भूत संस्करणहरू [S1][S2] यस समस्याको लागि जोखिममा छन्।
उपचार
प्रशासकहरूले यो जोखिम [S1] लाई समाधान गर्न आफ्नो Ghost स्थापनालाई 6.19.1 वा पछिको संस्करणमा अपग्रेड गर्नुपर्छ। यो संस्करणले सामग्री API क्वेरी [S3] मा प्रयोग गरिएको इनपुटलाई ठीकसँग बेअसर गर्ने प्याचहरू समावेश गर्दछ।
जोखिम पहिचान
Identification of this vulnerability involves verifying the installed version of the ghost package against the affected range (3.24.0 to 6.19.0) [S1]. यी संस्करणहरू चलाउने प्रणालीहरूलाई सामग्री API [S2] मार्फत SQL इंजेक्शनको लागि उच्च जोखिममा मानिन्छ।