اثر
گھوسٹ ورژن 3.24.0 سے 6.19.0 تک مواد API [S1] میں SQL انجیکشن کے ایک اہم خطرے کے لیے حساس ہیں۔ ایک غیر تصدیق شدہ حملہ آور بنیادی ڈیٹا بیس [S2] کے خلاف صوابدیدی SQL کمانڈز کو انجام دینے کے لیے اس خامی کا فائدہ اٹھا سکتا ہے۔ کامیاب استحصال کے نتیجے میں صارف کے حساس ڈیٹا کی نمائش یا سائٹ کے مواد [S3] میں غیر مجاز ترمیم ہو سکتی ہے۔ اس خطرے کو 9.4 کا CVSS سکور تفویض کیا گیا ہے، جو اس کی نازک شدت [S2] کو ظاہر کرتا ہے۔
بنیادی وجہ
یہ مسئلہ گھوسٹ مواد API [S1] کے اندر غلط ان پٹ توثیق سے پیدا ہوا ہے۔ خاص طور پر، ایپلیکیشن صارف کے فراہم کردہ ڈیٹا کو SQL استفسارات [S2] میں شامل کرنے سے پہلے اسے درست طریقے سے صاف کرنے میں ناکام رہتی ہے۔ یہ ایک حملہ آور کو نقصان دہ SQL ٹکڑے [S3] انجیکشن لگا کر استفسار کے ڈھانچے میں ہیرا پھیری کرنے کی اجازت دیتا ہے۔
متاثرہ ورژن
3.24.0 سے شروع ہونے والے گھوسٹ ورژنز بشمول 6.19.0 اس مسئلے کے لیے خطرے سے دوچار ہیں۔
تدارک
منتظمین کو چاہیے کہ وہ اپنی گھوسٹ انسٹالیشن کو ورژن 6.19.1 یا بعد میں اپ گریڈ کریں تاکہ اس خطرے کو حل کیا جا سکے [S1]۔ اس ورژن میں ایسے پیچ شامل ہیں جو API سوالات [S3] میں استعمال ہونے والے ان پٹ کو مناسب طریقے سے بے اثر کرتے ہیں۔
خطرے کی شناخت
اس خطرے کی شناخت میں ghost پیکیج کے انسٹال شدہ ورژن کی متاثرہ رینج (3.24.0 سے 6.19.0) [S1] کی تصدیق کرنا شامل ہے۔ ان ورژنز کو چلانے والے سسٹمز کو مواد API [S2] کے ذریعے SQL انجیکشن کے لیے زیادہ خطرہ سمجھا جاتا ہے۔