Athari
Matoleo ya Ghost 3.24.0 hadi 6.19.0 yanaweza kuathiriwa sana na SQL kwenye Maudhui API [S1]. Mshambulizi ambaye hajaidhinishwa anaweza kutumia dosari hii kutekeleza amri kiholela za SQL dhidi ya hifadhidata ya msingi [S2]. Unyonyaji uliofanikiwa unaweza kusababisha kufichuliwa kwa data nyeti ya mtumiaji au urekebishaji usioidhinishwa wa maudhui ya tovuti [S3]. Athari hii imepewa alama ya CVSS ya 9.4, inayoonyesha uzito wake muhimu [S2].
Chanzo Chanzo
Tatizo hili linatokana na uthibitishaji usiofaa wa ingizo ndani ya Maudhui ya Ghost API [S1]. Hasa, programu inashindwa kusafisha kwa usahihi data iliyotolewa na mtumiaji kabla ya kuijumuisha kwenye hoja za SQL [S2]. Hii huruhusu mshambulizi kuchezea muundo wa hoja kwa kuingiza vipande hasidi vya SQL [S3].
Matoleo Yanayoathiriwa
Matoleo ya Ghost kuanzia 3.24.0 hadi na kujumuisha 6.19.0 yako katika hatari ya toleo hili [S1][S2].
Marekebisho
Wasimamizi wanapaswa kusasisha usakinishaji wao wa Ghost hadi toleo la 6.19.1 au toleo jipya zaidi ili kutatua athari hii ya [S1]. Toleo hili linajumuisha viraka vinavyobadilisha ipasavyo ingizo linalotumika katika Maudhui API hoji [S3].
Utambulisho wa Athari
Utambulisho wa athari hii unahusisha kuthibitisha toleo lililosakinishwa la kifurushi cha ghost dhidi ya masafa yaliyoathirika (3.24.0 hadi 6.19.0) [S1]. Mifumo inayoendesha matoleo haya inachukuliwa kuwa katika hatari kubwa ya kudunga SQL kupitia Content API [S2].