ਪ੍ਰਭਾਵ
ਭੂਤ ਸੰਸਕਰਣ 3.24.0 ਤੋਂ 6.19.0 ਤੱਕ ਸਮੱਗਰੀ API [S1] ਵਿੱਚ ਇੱਕ ਗੰਭੀਰ SQL ਇੰਜੈਕਸ਼ਨ ਕਮਜ਼ੋਰੀ ਲਈ ਸੰਵੇਦਨਸ਼ੀਲ ਹਨ। ਇੱਕ ਅਣ-ਪ੍ਰਮਾਣਿਤ ਹਮਲਾਵਰ ਅੰਡਰਲਾਈੰਗ ਡੇਟਾਬੇਸ [S2] ਦੇ ਵਿਰੁੱਧ ਮਨਮਾਨੇ SQL ਕਮਾਂਡਾਂ ਨੂੰ ਲਾਗੂ ਕਰਨ ਲਈ ਇਸ ਕਮੀ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰ ਸਕਦਾ ਹੈ। ਸਫਲ ਸ਼ੋਸ਼ਣ ਦੇ ਨਤੀਜੇ ਵਜੋਂ ਸੰਵੇਦਨਸ਼ੀਲ ਉਪਭੋਗਤਾ ਡੇਟਾ ਦੇ ਐਕਸਪੋਜਰ ਜਾਂ ਸਾਈਟ ਸਮੱਗਰੀ [S3] ਦੀ ਅਣਅਧਿਕਾਰਤ ਸੋਧ ਹੋ ਸਕਦੀ ਹੈ। ਇਸ ਕਮਜ਼ੋਰੀ ਨੂੰ 9.4 ਦਾ CVSS ਸਕੋਰ ਦਿੱਤਾ ਗਿਆ ਹੈ, ਜੋ ਇਸਦੀ ਗੰਭੀਰ ਗੰਭੀਰਤਾ [S2] ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ।
ਮੂਲ ਕਾਰਨ
ਇਹ ਮੁੱਦਾ ਭੂਤ ਸਮੱਗਰੀ API [S1] ਦੇ ਅੰਦਰ ਗਲਤ ਇਨਪੁਟ ਪ੍ਰਮਾਣਿਕਤਾ ਤੋਂ ਪੈਦਾ ਹੁੰਦਾ ਹੈ। ਖਾਸ ਤੌਰ 'ਤੇ, ਐਪਲੀਕੇਸ਼ਨ ਇਸ ਨੂੰ SQL ਪੁੱਛਗਿੱਛਾਂ [S2] ਵਿੱਚ ਸ਼ਾਮਲ ਕਰਨ ਤੋਂ ਪਹਿਲਾਂ ਉਪਭੋਗਤਾ ਦੁਆਰਾ ਸਪਲਾਈ ਕੀਤੇ ਡੇਟਾ ਨੂੰ ਸਹੀ ਢੰਗ ਨਾਲ ਸੈਨੀਟਾਈਜ਼ ਕਰਨ ਵਿੱਚ ਅਸਫਲ ਰਹਿੰਦੀ ਹੈ। ਇਹ ਇੱਕ ਹਮਲਾਵਰ ਨੂੰ ਖਤਰਨਾਕ SQL ਟੁਕੜੇ [S3] ਇੰਜੈਕਟ ਕਰਕੇ ਪੁੱਛਗਿੱਛ ਢਾਂਚੇ ਵਿੱਚ ਹੇਰਾਫੇਰੀ ਕਰਨ ਦੀ ਇਜਾਜ਼ਤ ਦਿੰਦਾ ਹੈ।
ਪ੍ਰਭਾਵਿਤ ਸੰਸਕਰਣ
3.24.0 ਤੋਂ ਸ਼ੁਰੂ ਹੋਣ ਵਾਲੇ ਭੂਤ ਸੰਸਕਰਣ ਅਤੇ 6.19.0 ਸਮੇਤ ਇਸ ਸਮੱਸਿਆ ਲਈ ਕਮਜ਼ੋਰ ਹਨ [S1][S2]।
ਉਪਚਾਰ
ਇਸ ਕਮਜ਼ੋਰੀ ਨੂੰ ਹੱਲ ਕਰਨ ਲਈ ਪ੍ਰਸ਼ਾਸਕਾਂ ਨੂੰ ਆਪਣੀ ਗੋਸਟ ਇੰਸਟਾਲੇਸ਼ਨ ਨੂੰ 6.19.1 ਜਾਂ ਇਸ ਤੋਂ ਬਾਅਦ ਵਾਲੇ ਸੰਸਕਰਣ ਵਿੱਚ ਅੱਪਗ੍ਰੇਡ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ [S1] ਇਸ ਸੰਸਕਰਣ ਵਿੱਚ ਪੈਚ ਸ਼ਾਮਲ ਹਨ ਜੋ API ਪੁੱਛਗਿੱਛਾਂ [S3] ਵਿੱਚ ਵਰਤੇ ਗਏ ਇਨਪੁਟ ਨੂੰ ਸਹੀ ਢੰਗ ਨਾਲ ਬੇਅਸਰ ਕਰਦੇ ਹਨ।
ਕਮਜ਼ੋਰੀ ਪਛਾਣ
ਇਸ ਕਮਜ਼ੋਰੀ ਦੀ ਪਛਾਣ ਵਿੱਚ ਪ੍ਰਭਾਵਿਤ ਰੇਂਜ (3.24.0 ਤੋਂ 6.19.0) [S1] ਦੇ ਵਿਰੁੱਧ ghost ਪੈਕੇਜ ਦੇ ਸਥਾਪਿਤ ਸੰਸਕਰਣ ਦੀ ਪੁਸ਼ਟੀ ਕਰਨਾ ਸ਼ਾਮਲ ਹੈ। ਇਹਨਾਂ ਸੰਸਕਰਣਾਂ ਨੂੰ ਚਲਾਉਣ ਵਾਲੇ ਸਿਸਟਮਾਂ ਨੂੰ ਸਮੱਗਰੀ API [S2] ਦੁਆਰਾ SQL ਇੰਜੈਕਸ਼ਨ ਲਈ ਉੱਚ ਜੋਖਮ ਵਿੱਚ ਮੰਨਿਆ ਜਾਂਦਾ ਹੈ।