13 notícia(s) relacionada(s).
Reunimos nesta página as publicações do Hack Alerta relacionadas a sql-injection.
Falha crítica de injeção SQL no LiteLLM permite extração de credenciais de nuvem sem autenticação. Exploração ativa detectada 36 horas após divulgação. Atualização 1.83.7 corrige o problema.
Fortinet corrige falha crítica no FortiClient EMS (CVE-2026-21643) que permite SQLi não autenticado, RCE e acesso total ao banco de dados. Versão 7.4.4 afetada. Atualização para 7.4.5 recomendada.
Google Looker Studio apresenta 9 falhas de cross-tenant nomeadas LeakyLooker, permitindo SQL injection e exfiltração de dados em nuvem.
Falhas críticas no framework Novarain/Tassos para Joomla permitem leitura/exclusão de arquivos e injeção SQL sem autenticação, levando a RCE e tomada total do site. Extensões populares como Convert Forms e EngageBox estão afetadas. Patch já disponível.
Fortinet divulgou CVE-2026-21643, uma SQL Injection em FortiClientEMS (CVSSv3 9.1) que pode permitir execução remota sem autenticação. A Fortinet recomenda atualizar 7.4.4 para 7.4.5; FortiEMS Cloud e branches 8.0/7.2 não são afetadas. Ainda não há provas públicas de exploração ativa.
O projeto Django lançou patches para seis vulnerabilidades, incluindo três SQL injection (CVE-2026-1207/1287/1312) que afetam PostGIS e FilteredRelation, além de vetores de DoS. Atualize para as versões 6.0.2, 5.2.11 ou 4.2.28 imediatamente.
A CISA republicou o aviso da Johnson Controls sobre CVE-2025-26385, uma falha de SQL injection com CVSS 10.0 que afeta seis produtos de controle industrial (ADS, ADX, LCS8500, NAE8500, SCT, CCT). A exploração pode permitir alteração, exclusão ou exfiltração de dados. Não há registro público de exploração até 27/01/2026; a agência recomenda isolamento de redes, segmentação, uso de VPNs seguras e reporte de atividades suspeitas.
Pesquisadores da Huntress documentaram exploração ativa da CVE‑2025‑51683 em Mjobtime v15.7.2: requisições POST ao IIS habilitam xp_cmdshell no MSSQL, permitindo execução de comandos de sistema e oferecendo foothold para movimento lateral.
No Security Patch Day de 13/01/2026 a SAP publicou 17 notas, com quatro HotNews críticos (CVSS até 9.9) afetando S/4HANA, Landscape Transformation e Wily Introscope; a empresa recomenda patch imediato e priorização de S/4HANA e HANA.
Pesquisadores identificaram duas falhas críticas no Exim 4.99 quando compilado com suporte a SQLite para hints: uma correção incompleta de injeção SQL (relacionada a CVE-2025-26794) e um heap buffer overflow no código do filtro de Bloom. Exploração requer configurações específicas (SQLite habilitado e ACLs que usem dados de remetente); mantenedores foram notificados e recomendações provisórias foram publicadas.