Sql Injection

Em 5 de novembro de 2025, a equipe de segurança do Django lançou patches críticos para corrigir duas vulnerabilidades significativas que afetam várias versões do popular framework web em Python. As falhas, identificadas como CVE-2025-64458 e CVE-2025-64459, podem permitir que atacantes realizem ataques de negação de serviço (DoS) e injeções de SQL através de entradas maliciosas. A vulnerabilidade mais grave, CVE-2025-64459, afeta a funcionalidade de consulta central do Django, permitindo que atacantes explorem métodos como QuerySet.filter(), QuerySet.exclude() e QuerySet.get() utilizando um argumento _connector malicioso. Isso ocorre devido à validação insuficiente de entradas, criando uma brecha para injeções de SQL. A segunda vulnerabilidade, CVE-2025-64458, afeta especificamente implantações em Windows, explorando problemas de desempenho no processo de normalização Unicode do Python, o que pode levar a um vetor de DoS ao enviar solicitações com muitos caracteres Unicode. A equipe de segurança recomenda que todos os usuários do Django atualizem imediatamente para as versões corrigidas: 5.2.8, 5.1.14 ou 4.2.26, disponíveis no site oficial do Django.

Em uma divulgação crítica datada de 29 de agosto de 2025, a IBM confirmou que certas versões do watsonx Orchestrate Cartridge para Cloud Pak for Data são vulneráveis a uma falha de Blind SQL Injection (CVE-2025-0165). Essa vulnerabilidade permite que atacantes autenticados manipulem registros de banco de dados. A falha está presente nas versões 4.8.4 a 4.8.5 e 5.0.0 a 5.2, onde a sanitização de entrada é inadequada, permitindo a injeção de comandos SQL maliciosos. A IBM classificou a vulnerabilidade com um CVSS 3.1 Base Score de 7.6, indicando um alto impacto em confidencialidade, com consequências limitadas para integridade e disponibilidade. A exploração dessa falha pode resultar na divulgação não autorizada de dados sensíveis, como credenciais e informações pessoais. Para mitigar os riscos, a IBM recomenda uma atualização imediata para a versão 5.2.0.1, que implementa a parametrização de entrada e a aplicação de instruções preparadas. Organizações que não puderem aplicar o patch devem implementar regras de firewall de aplicação web (WAF) para bloquear cargas úteis comuns de SQL injection e restringir o acesso à interface de gerenciamento do IBM Cloud Pak for Data.