Sql Injection

Recentemente, foram divulgadas múltiplas vulnerabilidades de segurança na plataforma de troca de ramais privada de código aberto FreePBX, incluindo uma falha crítica que pode permitir a bypass de autenticação em configurações específicas. As vulnerabilidades, descobertas pela Horizon3.ai e reportadas em setembro de 2025, incluem: CVE-2025-61675 e CVE-2025-61678, ambas com pontuação CVSS de 8.6, que permitem injeções SQL autenticadas e upload de arquivos arbitrários, respectivamente. A CVE-2025-66039, com pontuação CVSS de 9.3, permite que atacantes contornem a autenticação ao configurar o ‘Authorization Type’ como ‘webserver’, possibilitando o acesso ao Painel de Controle do Administrador. Embora a configuração padrão do FreePBX não seja vulnerável, a ativação inadvertida dessa opção pode expor sistemas a ataques. As falhas foram corrigidas nas versões 16.0.92 e 17.0.6, lançadas em outubro de 2025, e 16.0.44 e 17.0.23, em dezembro de 2025. A recomendação é que os usuários evitem o uso do tipo de autenticação ‘webserver’ e realizem uma análise completa do sistema caso essa configuração tenha sido ativada.

Em 5 de novembro de 2025, a equipe de segurança do Django lançou patches críticos para corrigir duas vulnerabilidades significativas que afetam várias versões do popular framework web em Python. As falhas, identificadas como CVE-2025-64458 e CVE-2025-64459, podem permitir que atacantes realizem ataques de negação de serviço (DoS) e injeções de SQL através de entradas maliciosas. A vulnerabilidade mais grave, CVE-2025-64459, afeta a funcionalidade de consulta central do Django, permitindo que atacantes explorem métodos como QuerySet.filter(), QuerySet.exclude() e QuerySet.get() utilizando um argumento _connector malicioso. Isso ocorre devido à validação insuficiente de entradas, criando uma brecha para injeções de SQL. A segunda vulnerabilidade, CVE-2025-64458, afeta especificamente implantações em Windows, explorando problemas de desempenho no processo de normalização Unicode do Python, o que pode levar a um vetor de DoS ao enviar solicitações com muitos caracteres Unicode. A equipe de segurança recomenda que todos os usuários do Django atualizem imediatamente para as versões corrigidas: 5.2.8, 5.1.14 ou 4.2.26, disponíveis no site oficial do Django.

Em uma divulgação crítica datada de 29 de agosto de 2025, a IBM confirmou que certas versões do watsonx Orchestrate Cartridge para Cloud Pak for Data são vulneráveis a uma falha de Blind SQL Injection (CVE-2025-0165). Essa vulnerabilidade permite que atacantes autenticados manipulem registros de banco de dados. A falha está presente nas versões 4.8.4 a 4.8.5 e 5.0.0 a 5.2, onde a sanitização de entrada é inadequada, permitindo a injeção de comandos SQL maliciosos. A IBM classificou a vulnerabilidade com um CVSS 3.1 Base Score de 7.6, indicando um alto impacto em confidencialidade, com consequências limitadas para integridade e disponibilidade. A exploração dessa falha pode resultar na divulgação não autorizada de dados sensíveis, como credenciais e informações pessoais. Para mitigar os riscos, a IBM recomenda uma atualização imediata para a versão 5.2.0.1, que implementa a parametrização de entrada e a aplicação de instruções preparadas. Organizações que não puderem aplicar o patch devem implementar regras de firewall de aplicação web (WAF) para bloquear cargas úteis comuns de SQL injection e restringir o acesso à interface de gerenciamento do IBM Cloud Pak for Data.