اغیزې
د غوسټ نسخې 3.24.0 څخه تر 6.19.0 پورې د API [S1] په منځپانګې کې د SQL انجیکشن جدي زیانونو لپاره حساس دي. یو غیر مستند برید کونکی کولی شي د دې نیمګړتیا څخه ګټه پورته کړي ترڅو د زیرمو ډیټابیس [S2] په وړاندې د خپل سري SQL حکمونه اجرا کړي. بریالۍ ګټه اخیستنه کیدای شي د حساس کارونکي ډیټا افشا کیدو یا د سایټ مینځپانګې [S3] غیر مجاز بدلون لامل شي. دې زیانمننې ته د CVSS نمرې 9.4 ټاکل شوې، چې د دې جدي شدت [S2] منعکس کوي.
اصلي لامل
مسله د غوسټ مینځپانګې API [S1] دننه د ناسم ان پټ تایید له امله رامینځته کیږي. په ځانګړې توګه، غوښتنلیک د SQL پوښتنو [S2] کې شاملولو دمخه د کارونکي لخوا چمتو شوي ډاټا په سمه توګه پاکولو کې پاتې راځي. دا برید کونکي ته اجازه ورکوي چې د ناسم SQL ټوټې [S3] انجیکشن کولو سره د پوښتنې جوړښت اداره کړي.
اغیزمن شوي نسخې
د غوسټ نسخې له 3.24.0 څخه پیل او 6.19.0 په شمول د دې مسلې لپاره زیان منونکي دي [S1][S2].
درملنه
مدیران باید خپل د Ghost انسټالشن نسخه 6.19.1 یا وروسته پورته کړي ترڅو دا زیانمنونکي [S1] حل کړي. په دې نسخه کې پیچونه شامل دي چې په سمه توګه د API پوښتنو [S3] منځپانګې کې کارول شوي ان پټ بې طرفه کوي.
د زیانمننې پیژندنه
د دې زیانمننې په پیژندنه کې د ghost بستې نصب شوي نسخه تایید کول شامل دي د اغیزمن شوي رینج (3.24.0 څخه تر 6.19.0) [S1]. هغه سیسټمونه چې دا نسخې پرمخ وړي د API [S2] منځپانګې له لارې د SQL انجیکشن لپاره په لوړ خطر کې ګڼل کیږي.