Ndikimi
Versionet Ghost 3.24.0 deri në 6.19.0 janë të ndjeshme ndaj një cenueshmërie kritike të injektimit SQL në përmbajtjen API [S1]. Një sulmues i paautentikuar mund ta shfrytëzojë këtë të metë për të ekzekutuar komanda arbitrare SQL kundër bazës së të dhënave [S2]. Shfrytëzimi i suksesshëm mund të rezultojë në ekspozimin e të dhënave të ndjeshme të përdoruesit ose modifikim të paautorizuar të përmbajtjes së sajtit [S3]. Kësaj cenueshmërie i është caktuar një rezultat CVSS prej 9.4, duke reflektuar ashpërsinë e tij kritike [S2].
Shkaku rrënjësor
Problemi rrjedh nga vërtetimi i gabuar i hyrjes brenda Përmbajtjes Ghost API [S1]. Në mënyrë të veçantë, aplikacioni nuk arrin të pastrojë saktë të dhënat e ofruara nga përdoruesi përpara se t'i inkorporojë ato në pyetjet SQL [S2]. Kjo i lejon një sulmuesi të manipulojë strukturën e pyetjes duke injektuar fragmente SQL me qëllim të keq [S3].
Versione të prekura
Versionet Ghost duke filluar nga 3.24.0 deri dhe duke përfshirë 6.19.0 janë të cenueshme ndaj këtij problemi [S1][S2].
Përmirësimi
Administratorët duhet të përmirësojnë instalimin e tyre Ghost në versionin 6.19.1 ose më të ri për të zgjidhur këtë dobësi [S1]. Ky version përfshin arna që neutralizojnë siç duhet hyrjen e përdorur në pyetjet e përmbajtjes API [S3].
Identifikimi i cenueshmërisë
Identifikimi i kësaj dobësie përfshin verifikimin e versionit të instaluar të paketës ghost kundrejt gamës së prekur (3.24.0 deri në 6.19.0) [S1]. Sistemet që ekzekutojnë këto versione konsiderohen me rrezik të lartë për injektimin SQL nëpërmjet Përmbajtjes API [S2].