Injection SQL

Selon BleepingComputer, une vulnérabilité d’injection SQL affecte Ally, un plugin WordPress d’Elementor dédié à l’accessibilité et l’ergonomie web, comptant plus de 400 000 installations. Cette faille pourrait être exploitée sans authentification pour dérober des données sensibles. ⚠️ P## Vulnérabilité SQL injection dans le plugin WordPress Ally (Elementor) Résumé Une vulnérabilité SQL injection critique affecte le plugin Ally, un module WordPress développé par Elementor pour améliorer l’accessibilité des sites web. CVE : CVE-2026-2413 Gravité : élevée Installations : plus de 400 000 sites WordPress Sites encore vulnérables : plus de 250 000 La faille permet à un attaquant non authentifié d’exécuter des requêtes SQL malveillantes et d’extraire des données sensibles de la base de données. ...

Selon Endor Labs, une vulnérabilité critique d’injection SQL, CVE-2025-64459 (CVSS v3.1: 9.1), affecte le framework web Python Django. Sont concernés Django 6.0 (beta), 5.2, 5.1 et 4.2 (et potentiellement des versions plus anciennes). Des correctifs sont disponibles dans Django 5.2.8, 5.1.14 et 4.2.26. 🚨 Le problème survient lorsque des applications passent des entrées utilisateur directement à des méthodes QuerySet (filter(), exclude(), get()) via l’expansion de dictionnaire. Des attaquants peuvent injecter les paramètres internes de Django — _connector (AND/OR/XOR) et _negated (inversion booléenne) — pour manipuler la logique SQL, entraînant accès non autorisé, contournement d’authentification et élévation de privilèges, parfois sans authentification préalable. ...

Selon Truesec, Zero Day Initiative (ZDI) a publié la divulgation de 13 vulnérabilités affectant Ivanti Endpoint Manager, sans CVE assignés et sans correctifs disponibles à ce stade. • Vue d’ensemble: ZDI signale 13 vulnérabilités dont 12 vulnérabilités d’exécution de code à distance (RCE) nécessitant une authentification — majoritairement des injections SQL — et 1 vulnérabilité d’élévation locale de privilèges (ZDI-25-947). L’absence de patch oblige les organisations à recourir à des contrôles compensatoires (restrictions d’accès, liste blanche IP, principe du moindre privilège, surveillance accrue des requêtes SQL et de l’activité des comptes de service). ⚠️ ...