אימפאקט
גייַסט ווערסיעס 3.24.0 ביז 6.19.0 זענען סאַסעפּטאַבאַל צו אַ קריטיש סקל ינדזשעקשאַן וואַלנעראַביליטי אין די אינהאַלט API [S1]. אַ אַנאָטהענטיקאַטעד אַטאַקער קענען גווורע דעם פלאָ צו ויספירן אַרביטראַריש סקל קאַמאַנדז קעגן די אַנדערלייינג דאַטאַבייס [S2]. געראָטן עקספּלויטיישאַן קען רעזולטאַט אין די ויסשטעלן פון שפּירעוודיק באַניצער דאַטן אָדער אַנאָטערייזד מאָדיפיקאַטיאָן פון פּלאַץ אינהאַלט [S3]. די וואַלנעראַביליטי איז אַסיינד אַ CVSS כעזשבן פון 9.4, וואָס ריפלעקס די קריטיש שטרענגקייַט [S2].
וואָרצל גרונט
די אַרויסגעבן סטעמס פון ימפּראַפּער אַרייַנשרייַב וואַלאַדיישאַן אין די Ghost Content API [S1]. ספּאַסיפיקלי, די אַפּלאַקיישאַן פיילז צו ריכטיק סאַניטיזירן באַניצער-סאַפּלייד דאַטן איידער ינקאָרפּערייטינג עס אין סקל קוויריז [S2]. דאָס אַלאַוז אַן אַטאַקער צו מאַניפּולירן די אָנפֿרעג סטרוקטור דורך ינדזשעקטינג בייזע סקל פראַגמאַנץ [S3].
אַפעקטאַד ווערסיעס
גייַסט ווערסיעס סטאַרטינג פון 3.24.0 צו און אַרייַנגערעכנט 6.19.0 זענען שפּירעוודיק צו דעם אַרויסגעבן [S1][S2].
# # רעמעדיציע אַדמיניסטראַטאָרס זאָל אַפּגרייד זייער גהאָסט ייַנמאָנטירונג צו ווערסיע 6.19.1 אָדער שפּעטער צו האַלטן דעם וואַלנעראַביליטי [S1]. די ווערסיע כולל פּאַטשאַז וואָס רעכט נוטראַלייז אַרייַנשרייַב געניצט אין אינהאַלט API פֿראגן [S3].
וואַלנעראַביליטי לעגיטימאַציע
לעגיטימאַציע פון דעם וואַלנעראַביליטי ינוואַלווז וועראַפייינג די אינסטאַלירן ווערסיע פון די ghost פּעקל קעגן די אַפעקטאַד קייט (3.24.0 צו 6.19.0) [S1]. סיסטעמען וואָס לויפן די ווערסיעס זענען קאַנסידערד אין אַ הויך ריזיקירן פֿאַר סקל ינדזשעקשאַן דורך די אינהאַלט API [S2].