Таъсир
Версияҳои Ghost 3.24.0 то 6.19.0 ба осебпазирии муҳими тазриқи SQL дар Content API [S1] осебпазиранд. Ҳамлагари номаълум метавонад аз ин камбуди истифода бурда, фармонҳои худсаронаи SQL-ро бар зидди базаи [S2] иҷро кунад. Истифодаи бомуваффақият метавонад боиси фош шудани маълумоти ҳассоси корбар ё тағири беиҷозати мундариҷаи сайт [S3] гардад. Ба ин осебпазирӣ баҳои CVSS 9.4 дода шудааст, ки шиддати интиқодии [S2]-ро инъикос мекунад.
Сабаби аслӣ
Мушкилот аз тасдиқи нодурусти вуруд дар дохили Content Ghost API [S1] сарчашма мегирад. Махсусан, барнома пеш аз ворид кардани он ба дархостҳои SQL [S2] маълумоти аз ҷониби корбар пешниҳодшударо дуруст тоза карда наметавонад. Ин ба ҳамлагар имкон медиҳад, ки сохтори дархостро тавассути ворид кардани порчаҳои зараровари SQL [S3] идора кунад.
Версияҳои зарардида
Версияҳои арвоҳ аз 3.24.0 то ва аз он ҷумла 6.19.0 ба ин масъала осебпазир мебошанд [S1][S2].
Ислоҳ
Маъмурон бояд насби Ghost-и худро ба версияи 6.19.1 ё дертар навсозӣ кунанд, то ин осебпазириро ҳал кунанд [S1]. Ин версия часбҳоро дар бар мегирад, ки вуруди дар дархостҳои Content API [S3] истифодашударо дуруст безарар мегардонанд.
Муайян кардани осебпазирӣ
Муайян кардани ин осебпазирӣ тафтиши версияи насбшудаи бастаи ghost-ро нисбат ба диапазони зарардида (3.24.0 то 6.19.0) [S1] дар бар мегирад. Системаҳое, ки ин версияҳоро иҷро мекунанд, зери хатари баланди тазриқи SQL тавассути Content API [S2] баррасӣ мешаванд.