13 notícia(s) relacionada(s).
Reunimos nesta página as publicações do Hack Alerta relacionadas a sql-injection.
Múltiplas vulnerabilidades no FreePBX, reportadas pela Horizon3.ai, incluem CVE‑2025‑61675 (CVSS 8.6) e um bypass do AUTHTYPE que, em combinação com falhas de upload e SQLi, pode permitir execução remota em instâncias mal configuradas. A recomendação é aplicar patches, isolar interfaces administrativas e revisar módulos de terceiros. Não há evidência pública de exploração em massa na divulgação consultada.
O projeto Django liberou correções para duas vulnerabilidades críticas: CVE-2025-13372 (SQL injection de alta severidade, relacionada a FilteredRelation e ao uso de dictionary expansion em QuerySet.annotate()/alias() em projetos com PostgreSQL) e CVE-2025-64460 (DoS por complexidade algorítmica no serializador XML). Foram publicadas as releases 5.2.9, 5.1.15 e 4.2.27; o branch principal e o RC do Django 6.0 também receberam commits de correção.
CVE-2025-59499, com CVSS 8.8, permite injeção via nomes de banco no SQL Server (2016/2017/2019/2022) e escalonamento de privilégios; a Microsoft liberou patches pelos canais GDR e CU e administradores devem aplicar atualizações imediatamente.