Covered by FixVibecritical

கோஸ்ட் உள்ளடக்கத்தில் SQL ஊசி API (CVE-2026-26980) ZXCVFIXVIBESGEND ZXCVFIXVIBESEG1 Ghost பதிப்புகள் 3.24.0 முதல் 6.19.0 வரையிலான API (CVE-2026-26980) உள்ளடக்கத்தில் உள்ள முக்கியமான SQL உட்செலுத்தலுக்கு ஆளாகலாம், இது அங்கீகரிக்கப்படாத தரவு அணுகலை அனுமதிக்கிறது. ZXCVFIXVIBESGEND ZXCVFIXVIBESEG2 கோஸ்ட் பதிப்புகள் 3.24.0 முதல் 6.19.0 வரை உள்ளடக்கம் CVE-2026-26980 இல் முக்கியமான SQL ஊசி பாதிப்பு உள்ளது. இது அங்கீகரிக்கப்படாத தாக்குபவர்களை தன்னிச்சையான SQL கட்டளைகளை செயல்படுத்த அனுமதிக்கிறது, இது தரவு வெளியேற்றம் அல்லது அங்கீகரிக்கப்படாத மாற்றங்களுக்கு வழிவகுக்கும். ZXCVFIXVIBESGEND ZXCVFIXVIBESEG3 ## பாதிப்பு ZXCVFIXVIBESGEND ZXCVFIXVIBESEG4 கோஸ்ட் பதிப்புகள் 3.24.0 முதல் 6.19.0 வரை, ZXCVFIXVIBETOKEN4ZXCV CVE-2026-26980 உள்ளடக்கத்தில் உள்ள முக்கியமான SQL ஊசி பாதிப்புக்கு ஆளாகலாம். API தரவுத்தளத்திற்கு எதிராக தன்னிச்சையான SQL கட்டளைகளை செயல்படுத்த அங்கீகரிக்கப்படாத தாக்குபவர் இந்த குறைபாட்டைப் பயன்படுத்திக் கொள்ளலாம். வெற்றிகரமான சுரண்டல், உணர்திறன் வாய்ந்த பயனர் தரவை வெளிப்படுத்தலாம் அல்லது ZXCVFIXVIBETOKEN2ZXCV தள உள்ளடக்கத்தில் அங்கீகரிக்கப்படாத மாற்றத்தை ஏற்படுத்தலாம். இந்த பாதிப்பிற்கு CVSS மதிப்பெண் 9.4 ஒதுக்கப்பட்டுள்ளது, இது அதன் முக்கியமான தீவிரத்தை ZXCVFIXVIBETOKEN3ZXCV பிரதிபலிக்கிறது. ZXCVFIXVIBESGEND ZXCVFIXVIBESEG5 ## மூல காரணம் ZXCVFIXVIBESGEND ZXCVFIXVIBESEG6 Ghost Content ZXCVFIXVIBETOKEN3ZXCV CVE-2026-26980 இல் உள்ள முறையற்ற உள்ளீடு சரிபார்ப்பினால் இந்தச் சிக்கல் ஏற்படுகிறது. குறிப்பாக, SQL வினவல்கள் API இல் இணைப்பதற்கு முன், பயனர் வழங்கிய தரவைச் சரியாகச் சுத்தப்படுத்துவதில் பயன்பாடு தவறிவிட்டது. இது தீங்கிழைக்கும் SQL துண்டுகளான ZXCVFIXVIBETOKEN2ZXCV ஐ உட்செலுத்துவதன் மூலம் வினவல் கட்டமைப்பைக் கையாள தாக்குபவர் அனுமதிக்கிறது. ZXCVFIXVIBESGEND ZXCVFIXVIBESEG7 ## பாதிக்கப்பட்ட பதிப்புகள் ZXCVFIXVIBESGEND ZXCVFIXVIBESEG8 3.24.0 முதல் 6.19.0 வரையிலான கோஸ்ட் பதிப்புகள் இந்தச் சிக்கலால் பாதிக்கப்படும் CVE-2026-26980API. ZXCVFIXVIBESGEND ZXCVFIXVIBESEG9 ## பரிகாரம் ZXCVFIXVIBESGEND ZXCVFIXVIBESEG10 CVE-2026-26980 பாதிப்பைத் தீர்க்க நிர்வாகிகள் தங்கள் கோஸ்ட் நிறுவலை 6.19.1 பதிப்புக்கு மேம்படுத்த வேண்டும். ZXCVFIXVIBETOKEN2ZXCV வினவல்கள் API இல் பயன்படுத்தப்படும் உள்ளீட்டை சரியாக நடுநிலையாக்கும் இணைப்புகள் இந்தப் பதிப்பில் உள்ளன. ZXCVFIXVIBESGEND ZXCVFIXVIBESEG11 ## பாதிப்பு அடையாளம் ZXCVFIXVIBESGEND ZXCVFIXVIBESEG12 பாதிக்கப்பட்ட வரம்பிற்கு (3.24.0 முதல் 6.19.0 வரை) APIக்கு எதிராக CVE-2026-26980 தொகுப்பின் நிறுவப்பட்ட பதிப்பைச் சரிபார்ப்பது இந்த பாதிப்பைக் கண்டறிவதாகும். ZXCVFIXVIBETOKEN3ZXCV ZXCVFIXVIBETOKEN2ZXCV உள்ளடக்கத்தின் மூலம் இந்த பதிப்புகளை இயக்கும் அமைப்புகள் SQL உட்செலுத்தலுக்கு அதிக ஆபத்தில் இருப்பதாகக் கருதப்படுகிறது.

Ghost versions 3.24.0 through 6.19.0 contain a critical SQL injection vulnerability in the Content API. This allows unauthenticated attackers to execute arbitrary SQL commands, potentially leading to data exfiltration or unauthorized modifications.

CVE-2026-26980GHSA-w52v-v783-gw97CWE-89

Impact

Ghost versions 3.24.0 through 6.19.0 are susceptible to a critical SQL injection vulnerability in the Content API [S1]. An unauthenticated attacker can exploit this flaw to execute arbitrary SQL commands against the underlying database [S2]. Successful exploitation could result in the exposure of sensitive user data or unauthorized modification of site content [S3]. This vulnerability has been assigned a CVSS score of 9.4, reflecting its critical severity [S2].

Root Cause

The issue stems from improper input validation within the Ghost Content API [S1]. Specifically, the application fails to correctly sanitize user-supplied data before incorporating it into SQL queries [S2]. This allows an attacker to manipulate the query structure by injecting malicious SQL fragments [S3].

Affected Versions

Ghost versions starting from 3.24.0 up to and including 6.19.0 are vulnerable to this issue [S1][S2].

Remediation

Administrators should upgrade their Ghost installation to version 6.19.1 or later to resolve this vulnerability [S1]. This version includes patches that properly neutralize input used in Content API queries [S3].

Vulnerability Identification

Identification of this vulnerability involves verifying the installed version of the ghost package against the affected range (3.24.0 to 6.19.0) [S1]. Systems running these versions are considered at high risk for SQL injection via the Content API [S2].