Sql Injection

Uma campanha em larga escala está explorando uma vulnerabilidade crítica de injeção SQL (CVE-2026-26980) no Ghost CMS, permitindo que atacantes injetem código JavaScript malicioso em mais de 700 domínios, incluindo portais universitários e empresas de tecnologia. A vulnerabilidade afeta as versões do Ghost CMS entre 3.24.0 e 6.19.0, permitindo que invasores não autenticados leiam dados arbitrários do banco de dados do site, incluindo chaves da API de administração. O código malicioso injetado é um carregador leve que busca scripts adicionais da infraestrutura do atacante, levando a um ataque ClickFix que engana os visitantes a executarem comandos prejudiciais em seus sistemas. Embora um patch tenha sido disponibilizado em 19 de fevereiro de 2023, muitos sites ainda não o aplicaram, expondo-se a riscos significativos. Os administradores de sites são aconselhados a atualizar para a versão 6.19.1 ou superior e a revisar minuciosamente seus sistemas em busca de scripts injetados.

Duas vulnerabilidades críticas foram identificadas no plugin Avada Builder para WordPress, que possui cerca de um milhão de instalações ativas. A primeira, identificada como CVE-2026-4782, permite que usuários autenticados com nível de acesso de assinante leiam arquivos arbitrários no servidor, incluindo o wp-config.php, que contém credenciais sensíveis do banco de dados. A segunda vulnerabilidade, CVE-2026-4798, é uma injeção SQL que pode ser explorada por atacantes não autenticados, desde que o plugin WooCommerce tenha sido ativado e depois desativado. Essa falha permite a extração de informações sensíveis do banco de dados, como hashes de senhas. Ambas as vulnerabilidades foram descobertas pelo pesquisador de segurança Rafie Muhammad e reportadas ao programa de recompensas da Wordfence. A atualização para a versão 3.15.3 do Avada Builder é altamente recomendada para mitigar esses riscos. O impacto potencial é significativo, pois a exploração dessas falhas pode levar a um comprometimento total do site, afetando a segurança e a privacidade dos dados dos usuários.

Uma nova vulnerabilidade crítica foi descoberta no pacote Python LiteLLM da BerriAI, com o identificador CVE-2026-42208, que apresenta uma pontuação CVSS de 9.3. Trata-se de uma falha de injeção SQL que permite a atacantes não autenticados modificar o banco de dados subjacente do LiteLLM. A vulnerabilidade foi identificada em uma consulta de banco de dados que misturava valores de chave de API fornecidos pelo chamador na consulta em vez de passá-los como parâmetros separados. Isso possibilita que um atacante envie um cabeçalho de autorização malicioso para qualquer rota da API LLM e acesse dados sensíveis, como credenciais e chaves de provedores de modelos de linguagem. Apesar de a falha ter sido corrigida na versão 1.83.7-stable, lançada em 19 de abril de 2026, a exploração começou apenas uma semana depois, com tentativas registradas em 26 de abril. O ataque visou tabelas específicas que armazenam informações críticas, sugerindo que o invasor tinha conhecimento prévio sobre a estrutura do banco de dados. Os especialistas recomendam que os usuários atualizem suas instâncias ou desativem logs de erro para mitigar a exploração.

Uma vulnerabilidade crítica, identificada como CVE-2026-21643, foi descoberta na plataforma FortiClient EMS da Fortinet e está sendo ativamente explorada por atacantes. Essa falha de injeção SQL permite que agentes mal-intencionados não autenticados executem comandos arbitrários em sistemas não corrigidos, utilizando ataques de baixa complexidade direcionados à interface web do FortiClient EMS. A vulnerabilidade afeta a versão 7.4.4 do FortiClient EMS e pode ser corrigida com a atualização para a versão 7.4.5 ou posterior. Apesar de a CISA não ter listado a vulnerabilidade como explorada, dados recentes indicam que a exploração começou há apenas quatro dias. A empresa Fortinet ainda não atualizou seu aviso de segurança sobre a situação. Atualmente, cerca de 1.000 instâncias do FortiClient EMS estão expostas publicamente, com mais de 1.400 IPs localizados nos Estados Unidos e na Europa. A exploração de vulnerabilidades da Fortinet é comum em ataques de ransomware e campanhas de espionagem cibernética, o que torna a situação ainda mais crítica para as empresas que utilizam essa tecnologia.

Recentemente, foram divulgadas múltiplas vulnerabilidades de segurança na plataforma de troca de ramais privada de código aberto FreePBX, incluindo uma falha crítica que pode permitir a bypass de autenticação em configurações específicas. As vulnerabilidades, descobertas pela Horizon3.ai e reportadas em setembro de 2025, incluem: CVE-2025-61675 e CVE-2025-61678, ambas com pontuação CVSS de 8.6, que permitem injeções SQL autenticadas e upload de arquivos arbitrários, respectivamente. A CVE-2025-66039, com pontuação CVSS de 9.3, permite que atacantes contornem a autenticação ao configurar o ‘Authorization Type’ como ‘webserver’, possibilitando o acesso ao Painel de Controle do Administrador. Embora a configuração padrão do FreePBX não seja vulnerável, a ativação inadvertida dessa opção pode expor sistemas a ataques. As falhas foram corrigidas nas versões 16.0.92 e 17.0.6, lançadas em outubro de 2025, e 16.0.44 e 17.0.23, em dezembro de 2025. A recomendação é que os usuários evitem o uso do tipo de autenticação ‘webserver’ e realizem uma análise completa do sistema caso essa configuração tenha sido ativada.

Em 5 de novembro de 2025, a equipe de segurança do Django lançou patches críticos para corrigir duas vulnerabilidades significativas que afetam várias versões do popular framework web em Python. As falhas, identificadas como CVE-2025-64458 e CVE-2025-64459, podem permitir que atacantes realizem ataques de negação de serviço (DoS) e injeções de SQL através de entradas maliciosas. A vulnerabilidade mais grave, CVE-2025-64459, afeta a funcionalidade de consulta central do Django, permitindo que atacantes explorem métodos como QuerySet.filter(), QuerySet.exclude() e QuerySet.get() utilizando um argumento _connector malicioso. Isso ocorre devido à validação insuficiente de entradas, criando uma brecha para injeções de SQL. A segunda vulnerabilidade, CVE-2025-64458, afeta especificamente implantações em Windows, explorando problemas de desempenho no processo de normalização Unicode do Python, o que pode levar a um vetor de DoS ao enviar solicitações com muitos caracteres Unicode. A equipe de segurança recomenda que todos os usuários do Django atualizem imediatamente para as versões corrigidas: 5.2.8, 5.1.14 ou 4.2.26, disponíveis no site oficial do Django.

Em uma divulgação crítica datada de 29 de agosto de 2025, a IBM confirmou que certas versões do watsonx Orchestrate Cartridge para Cloud Pak for Data são vulneráveis a uma falha de Blind SQL Injection (CVE-2025-0165). Essa vulnerabilidade permite que atacantes autenticados manipulem registros de banco de dados. A falha está presente nas versões 4.8.4 a 4.8.5 e 5.0.0 a 5.2, onde a sanitização de entrada é inadequada, permitindo a injeção de comandos SQL maliciosos. A IBM classificou a vulnerabilidade com um CVSS 3.1 Base Score de 7.6, indicando um alto impacto em confidencialidade, com consequências limitadas para integridade e disponibilidade. A exploração dessa falha pode resultar na divulgação não autorizada de dados sensíveis, como credenciais e informações pessoais. Para mitigar os riscos, a IBM recomenda uma atualização imediata para a versão 5.2.0.1, que implementa a parametrização de entrada e a aplicação de instruções preparadas. Organizações que não puderem aplicar o patch devem implementar regras de firewall de aplicação web (WAF) para bloquear cargas úteis comuns de SQL injection e restringir o acesso à interface de gerenciamento do IBM Cloud Pak for Data.