Impact
Ghost-versies 3.24.0 tot en met 6.19.0 zijn gevoelig voor een kritieke kwetsbaarheid voor SQL-injectie in de inhoud API [S1]. Een niet-geverifieerde aanvaller kan deze fout misbruiken om willekeurige SQL-opdrachten uit te voeren op de onderliggende database [S2]. Succesvolle exploitatie kan resulteren in het openbaar maken van gevoelige gebruikersgegevens of het ongeoorloofd wijzigen van de inhoud van de site [S3]. Deze kwetsbaarheid heeft een CVSS-score van 9,4 gekregen, wat de kritieke ernst ervan weergeeft: [S2].
Oorzaak
Het probleem komt voort uit onjuiste invoervalidatie binnen de Ghost Content API [S1]. Met name slaagt de applicatie er niet in om door de gebruiker aangeleverde gegevens correct op te schonen voordat deze worden opgenomen in SQL-query's [S2]. Hierdoor kan een aanvaller de querystructuur manipuleren door kwaadaardige SQL-fragmenten [S3] te injecteren.
Betrokken versies
Ghost-versies vanaf 3.24.0 tot en met 6.19.0 zijn kwetsbaar voor dit probleem [S1][S2].
Sanering
Beheerders moeten hun Ghost-installatie upgraden naar versie 6.19.1 of hoger om dit beveiligingslek [S1] op te lossen. Deze versie bevat patches die de invoer die wordt gebruikt in Content API-query's [S3] correct neutraliseren.
Identificatie van kwetsbaarheden
Om dit beveiligingslek te identificeren, moet de geïnstalleerde versie van het ghost-pakket worden geverifieerd aan de hand van het getroffen bereik (3.24.0 tot 6.19.0) [S1]. Er wordt aangenomen dat systemen waarop deze versies draaien een hoog risico lopen op SQL-injectie via de inhoud API [S2].