SQL injection crítico em produtos Johnson Controls (CVE-2025-26385)
A CISA republicou o aviso da Johnson Controls sobre CVE-2025-26385, uma falha de SQL injection com CVSS 10.0 que afeta seis produtos de controle industrial (ADS, ADX, LCS8500, NAE8500, SCT, CCT). A exploração pode permitir alteração, exclusão ou exfiltração de dados. Não há registro público de exploração até 27/01/2026; a agência recomenda isolamento de redes, segmentação, uso de VPNs seguras e reporte de atividades suspeitas.