බලපෑම
Ghost අනුවාද 3.24.0 සිට 6.19.0 දක්වා API [S1] අන්තර්ගතයේ බරපතල SQL එන්නත් අවදානමකට ගොදුරු වේ. සත්යාපනය නොකළ ප්රහාරකයෙකුට යටින් පවතින [S2] දත්ත ගබඩාවට එරෙහිව අත්තනෝමතික SQL විධාන ක්රියාත්මක කිරීමට මෙම දෝෂය ප්රයෝජනයට ගත හැක. සාර්ථක සූරාකෑමක ප්රතිඵලයක් ලෙස සංවේදී පරිශීලක දත්ත නිරාවරණය වීම හෝ [S3] අඩවි අන්තර්ගතයේ අනවසර වෙනස් කිරීම් සිදු විය හැක. මෙම අවදානමට එහි බරපතල බරපතලකම [S2] පිළිබිඹු කරමින් CVSS ලකුණු 9.4ක් පවරා ඇත.
මූල හේතුව
Ghost Content API [S1] තුළ ඇති අනිසි ආදාන වලංගුකරණයෙන් මෙම ගැටලුව පැන නගී. විශේෂයෙන්, SQL විමසුම් [S2] වෙත ඇතුළත් කිරීමට පෙර පරිශීලක-සැපයූ දත්ත නිවැරදිව සනීපාරක්ෂාව කිරීමට යෙදුම අසමත් වේ. මෙය ප්රහාරකයෙකුට අනිෂ්ට SQL කොටස් [S3] එන්නත් කිරීමෙන් විමසුම් ව්යුහය හැසිරවීමට ඉඩ සලසයි.
බලපෑමට ලක් වූ අනුවාද
3.24.0 සිට 6.19.0 දක්වා ආරම්භ වන Ghost අනුවාදයන් මෙම ගැටලුවට ගොදුරු විය හැකිය [S1][S2].
පිළියම්
[S1] අවදානම විසඳීම සඳහා පරිපාලකයින් ඔවුන්ගේ Ghost ස්ථාපනය 6.19.1 අනුවාදයට හෝ ඊට පසුව යාවත්කාලීන කළ යුතුය. මෙම අනුවාදයේ අන්තර්ගත API විමසුම් [S3] හි භාවිතා වන ආදානය නිසි ලෙස උදාසීන කරන පැච් ඇතුළත් වේ.
අවදානම් හඳුනාගැනීම
මෙම අවදානම හඳුනා ගැනීම සඳහා ghost පැකේජයේ ස්ථාපිත අනුවාදය බලපෑමට ලක් වූ පරාසයට එරෙහිව (3.24.0 සිට 6.19.0 දක්වා) [S1] සත්යාපනය කිරීම ඇතුළත් වේ. මෙම අනුවාද ක්රියාත්මක වන පද්ධති API [S2] අන්තර්ගතය හරහා SQL එන්නත් කිරීම සඳහා ඉහළ අවදානමක් ලෙස සැලකේ.