प्रभाव
भूतसंस्करणं 3.24.0 तः 6.19.0 पर्यन्तं सामग्री API [S1] इत्यस्मिन् एकस्य महत्त्वपूर्णस्य SQL इन्जेक्शनस्य दुर्बलतायाः प्रति संवेदनशीलाः सन्ति । अप्रमाणितः आक्रमणकारी अस्य दोषस्य शोषणं कृत्वा अन्तर्निहितदत्तांशकोशस्य [S2] विरुद्धं मनमाना SQL आदेशान् निष्पादयितुं शक्नोति । सफलशोषणस्य परिणामः संवेदनशीलप्रयोक्तृदत्तांशस्य उजागरः अथवा साइटसामग्री [S3] इत्यस्य अनधिकृतसंशोधनं भवितुम् अर्हति । अस्याः दुर्बलतायाः CVSS-अङ्कः ९.४ इति नियुक्तः अस्ति, यत् तस्य गम्भीरं तीव्रताम् [S2] प्रतिबिम्बयति ।
मूलकारणम्
मुद्दा भूतसामग्री API [S1] इत्यस्य अन्तः अनुचितनिवेशसत्यापनात् उद्भूतः अस्ति । विशेषतया, अनुप्रयोगः SQL प्रश्नेषु [S2] मध्ये समावेशयितुं पूर्वं उपयोक्तृ-आपूर्तिं कृतं आँकडान् सम्यक् सेनेटाइज् कर्तुं विफलः भवति । एतेन आक्रमणकारी दुर्भावनापूर्णं SQL-खण्डं [S3] इन्जेक्शनं कृत्वा प्रश्नसंरचनायाः हेरफेरं कर्तुं शक्नोति ।
प्रभावित संस्करण
3.24.0 तः आरभ्य 6.19.0 पर्यन्तं सहितं भूतसंस्करणं अस्य समस्यायाः [S1][S2].
सुधार
प्रशासकाः एतस्य दुर्बलतायाः समाधानार्थं स्वस्य Ghost संस्थापनं 6.19.1 अथवा ततः परं संस्करणं प्रति उन्नयनं कुर्वन्तु [S1]. अस्मिन् संस्करणे पैचः समाविष्टाः सन्ति ये सामग्री API [S3] प्रश्नेषु उपयुज्यमानं निवेशं सम्यक् निष्प्रभावयन्ति ।
भेद्यता पहिचान
अस्याः दुर्बलतायाः पहिचाने ghost संकुलस्य संस्थापितसंस्करणस्य सत्यापनम् प्रभावितपरिधिस्य (3.24.0 तः 6.19.0 पर्यन्तं) [S1] इत्यस्य विरुद्धं भवति एतानि संस्करणं चालयन्तः प्रणाल्याः सामग्री API [S2] इत्यस्य माध्यमेन SQL इन्जेक्शन् कृते उच्चजोखिमं मन्यन्ते ।