36 pacotes npm maliciosos comprometem Strapi com RCE e malware persistente
Ataque à cadeia de suprimentos compromete 36 pacotes npm do Strapi com RCE e malware persistente, visando plataforma de criptomoedas.
Tag
Tag: postgresql
4 notícia(s) relacionada(s).
Reunimos nesta página as publicações do Hack Alerta relacionadas a postgresql.
pgAdmin RCE (CVE-2025-13780) permite execução de comandos shell via restore em texto
CVE-2025-13780 em pgAdmin 4 permitia RCE via restore de SQL em plain-text ao burlar filtro regex. pgAdmin 9.11 aplica \restrict ao psql; atualizar imediatamente e revisar uploads de dumps.
Django corrige SQL injection (CVE-2025-13372) e DoS (CVE-2025-64460)
O projeto Django liberou correções para duas vulnerabilidades críticas: CVE-2025-13372 (SQL injection de alta severidade, relacionada a FilteredRelation e ao uso de dictionary expansion em QuerySet.annotate()/alias() em projetos com PostgreSQL) e CVE-2025-64460 (DoS por complexidade algorítmica no serializador XML). Foram publicadas as releases 5.2.9, 5.1.15 e 4.2.27; o branch principal e o RC do Django 6.0 também receberam commits de correção.
RCE crítico no pgAdmin4 via restores PLAIN: atualize para 10.0 (CVE-2025-12762)
CVE-2025-12762 permite RCE em pgAdmin4 via restores PLAIN em server mode; NVD dá CVSS 9.3. Correção entregue no commit 1d39739 e liberada na versão 10.0. Recomenda-se atualizar, desabilitar restores PLAIN quando possível e auditar permissões de restore.