Täsir
Arwah wersiýalary 3.24.0-dan 6.19.0-a çenli API [S1] Mazmunyndaky SQL sanjym gowşaklygyna sezewar bolýar. Tassyklanmadyk hüjümçi, [S2] esasy maglumatlar bazasyna garşy özbaşdak SQL buýruklaryny ýerine ýetirmek üçin bu kemçiligi ulanyp biler. Üstünlikli peýdalanmak, duýgur ulanyjy maglumatlarynyň täsirine ýa-da [S3] sahypasynyň mazmunynyň rugsatsyz üýtgemegine sebäp bolup biler. Bu gowşaklyga, [S2] agyrlygyny görkezýän CVSS bal 9.4 berildi.
Kök sebäp
Mesele, Ghost Mazmuny API [S1] içindäki nädogry giriş tassyklamasyndan gelip çykýar. Hususan-da, programma [S2] SQL talaplaryna goşulmazdan ozal ulanyjy tarapyndan üpjün edilen maglumatlary dogry arassalap bilmeýär. Bu, bir hüjümçä [S3] zyýanly SQL böleklerini sanjym edip, talap gurluşyny dolandyrmaga mümkinçilik berýär.
Täsirli wersiýalar
3.24.0 -den başlap, 6.19.0 çenli we arwah wersiýalary bu meselä goragsyz [S1][S2].
Düzediş
Dolandyryjylar, bu gowşaklygy [S1] çözmek üçin Ghost gurnamasyny 6.19.1 wersiýasyna ýa-da has soňrak täzelemeli. Bu wersiýa API [S3] talaplarynda ulanylýan girişi dogry zyýansyzlandyrýan ýamalary öz içine alýar.
Gowşaklygy kesgitlemek
Bu gowşaklygy kesgitlemek, ghost paketiniň gurnalan wersiýasyny (3.24.0 - 6.19.0) [S1] barlamagy öz içine alýar. Bu wersiýalary işleýän ulgamlar API [S2] Mazmuny arkaly SQL sanjymy üçin ýokary töwekgelçilik hasaplanýar.