اثر
Ghost ورجن 3.24.0 کان 6.19.0 تائين حساس آهن هڪ نازڪ SQL انجيڪشن جي ڪمزوري لاءِ مواد API [S1]. هڪ غير تصديق ٿيل حملو ڪندڙ هن خامي جو استحصال ڪري سگهي ٿو بنيادي ڊيٽابيس [S2] جي خلاف صوابديدي SQL حڪمن تي عمل ڪرڻ لاءِ. ڪامياب استحصال جي نتيجي ۾ حساس صارف ڊيٽا جي نمائش يا سائيٽ جي مواد جي غير مجاز ترميم جي نتيجي ۾ ٿي سگھي ٿي [S3]. هن خطري کي 9.4 جو CVSS سکور لڳايو ويو آهي، ان جي نازڪ شدت کي ظاهر ڪري ٿي [S2].
بنيادي سبب
مسئلو Ghost مواد API [S1] اندر غلط ان پٽ جي تصديق جي ڪري پيدا ٿئي ٿو. خاص طور تي، ايپليڪيشن صارف جي فراهم ڪيل ڊيٽا کي صحيح طور تي صاف ڪرڻ ۾ ناڪام ٿئي ٿي ان کي SQL سوالن ۾ شامل ڪرڻ کان اڳ [S2]. هي هڪ حملي ڪندڙ کي اجازت ڏئي ٿو ته سوال جي جوڙجڪ کي ترتيب ڏيڻ سان بدسلوڪي SQL ٽڪرا [S3].
متاثر ٿيل نسخو
3.24.0 کان شروع ٿيندڙ گھوسٽ ورزن ۽ 6.19.0 سميت هن مسئلي لاءِ خطرناڪ آهن [S1][S2].
اصلاح
منتظمين کي گھرجي ته پنھنجي Ghost تنصيب کي ورجن 6.19.1 يا بعد ۾ اپ گريڊ ڪري ھن خطري کي حل ڪرڻ لاءِ [S1]. ھن نسخي ۾ پيچ شامل آھن جيڪي مواد API سوالن ۾ استعمال ٿيل ان پٽ کي صحيح طور تي غير جانبدار ڪن ٿا [S3].
خطري جي سڃاڻپ
ھن خطري جي سڃاڻپ ۾ شامل آھي ghost پيڪيج جي نصب ٿيل ورزن جي تصديق ڪرڻ متاثر ٿيل رينج جي خلاف (3.24.0 کان 6.19.0) [S1]. انهن نسخن تي هلندڙ نظامن کي مواد API [S2] ذريعي SQL انجيڪشن لاءِ وڏي خطري ۾ سمجهيو وڃي ٿو.