Vpliv
Ghost različice od 3.24.0 do 6.19.0 so dovzetne za kritično ranljivost vbrizgavanja SQL v vsebini API [S1]. Nepreverjeni napadalec lahko izkoristi to napako za izvajanje poljubnih ukazov SQL proti osnovni bazi podatkov [S2]. Uspešno izkoriščanje lahko povzroči razkritje občutljivih uporabniških podatkov ali nepooblaščeno spreminjanje vsebine spletnega mesta [S3]. Tej ranljivosti je bila dodeljena ocena CVSS 9,4, kar odraža njeno kritično resnost [S2].
Temeljni vzrok
Težava izvira iz nepravilnega preverjanja vnosa znotraj Ghost Content API [S1]. Natančneje, aplikacija ne uspe pravilno očistiti uporabniško posredovanih podatkov, preden jih vključi v poizvedbe SQL [S2]. To napadalcu omogoča, da manipulira s strukturo poizvedbe z vbrizgavanjem zlonamernih fragmentov SQL [S3].
Prizadete različice
Ghost različice od 3.24.0 do vključno 6.19.0 so ranljive za to težavo [S1][S2].
Sanacija
Skrbniki bi morali nadgraditi svojo namestitev Ghost na različico 6.19.1 ali novejšo, da odpravijo to ranljivost [S1]. Ta različica vključuje popravke, ki pravilno nevtralizirajo vnos, uporabljen v poizvedbah vsebine API [S3].
Identifikacija ranljivosti
Identifikacija te ranljivosti vključuje preverjanje nameščene različice paketa ghost glede na prizadeti obseg (3.24.0 do 6.19.0) [S1]. Sistemi, ki izvajajo te različice, veljajo za visoko tveganje za vbrizgavanje SQL prek vsebine API [S2].