SQL Injection

🗓️ Contexte Publié le 24 mai 2026 sur BleepingComputer, cet article s’appuie sur les recherches de XLab, équipe de threat intelligence de la société chinoise Qianxin, ainsi que sur des travaux antérieurs de SentinelOne (publiés le 27 février 2026). 🎯 Vulnérabilité exploitée CVE-2026-26980 est une injection SQL critique affectant Ghost CMS versions 3.24.0 à 6.19.0. Elle permet à des attaquants non authentifiés de lire des données arbitraires depuis la base de données, notamment les clés API admin. Un correctif a été publié le 19 février 2026 dans la version Ghost CMS 6.19.1, mais de nombreux sites n’ont pas appliqué la mise à jour. ...

🗓️ Contexte Source : CrowdSec VulnTracking, publié le 25 mai 2026. CrowdSec suit activement les tentatives d’exploitation de CVE-2026-9082, une vulnérabilité de type SQL injection affectant le cœur de Drupal via les paramètres de filtre de l’API JSON:API sur les endpoints /jsonapi/. 📅 Chronologie des événements 20 mai 2026 : Drupal publie l’advisory de sécurité SA-CORE-2026-004 21 mai 2026 : CrowdSec observe les premières tentatives de sondage (probing) 22 mai 2026 : CrowdSec publie une règle de détection ; CISA ajoute CVE-2026-9082 au catalogue KEV (Known Exploited Vulnerabilities) 23 mai 2026 : Première exploitation confirmée sur le réseau CrowdSec 25 mai 2026 : 68 IPs attaquantes distinctes observées 🔍 Détails techniques CVE-2026-9082 est causée par une neutralisation incorrecte d’entrées contrôlées par l’attaquant dans les clés de paramètres de filtre JSON:API. Des métacaractères SQL peuvent être injectés directement dans la clé du filtre (et non uniquement dans la valeur), via des requêtes HTTP vers des endpoints /jsonapi/ exposés publiquement. ...

🔍 Contexte Publié le 28 avril 2026 sur le blog d’AISLE (aisle.com), cet article détaille les résultats d’une analyse de sécurité autonome menée sur OpenEMR, l’un des systèmes de dossiers médicaux électroniques open-source les plus utilisés au monde. OpenEMR est déployé par plus de 100 000 prestataires médicaux au service de plus de 200 millions de patients dans 34 langues, et est certifié ONC sous le programme fédéral américain de certification Health IT. ...

🔍 Contexte Bishop Fox a publié le 6 mai 2026 une analyse technique détaillée de CVE-2026-42208, une vulnérabilité d’injection SQL pré-authentification affectant BerriAI LiteLLM Proxy dans les versions 1.81.16 à 1.83.6. La découverte originale est créditée au Tencent YunDing Security Lab (advisory GHSA-r75f-5x8p-qvmc, publié le 25 avril 2026). Le correctif v1.83.7 a été publié le 18 avril 2026. 🎯 Produit et surface d’attaque LiteLLM est un proxy Python open-source exposant une API compatible OpenAI devant plus de 100 fournisseurs de modèles LLM. Il gère les clés virtuelles, le budget, le routage et le rate limiting, avec un backend PostgreSQL via le client Prisma. ...

🔍 Contexte Rapport publié le 27 avril 2026 par CrowdSec sur la plateforme VulnTracking, basé sur la télémétrie du réseau CrowdSec. L’article documente le passage de CVE-2026-21643 du stade d’advisory à celui d’exploitation active en environnement réel. 🎯 Vulnérabilité ciblée CVE-2026-21643 est une injection SQL non authentifiée affectant Fortinet FortiClient EMS version 7.4.4, la plateforme de gestion centralisée des endpoints Fortinet. Le score CVSS est de 9.1 (critique). Le vecteur d’attaque repose sur : ...

🔍 Contexte Publié le 23 mars 2026 par CrowdSec, cet article rapporte la confirmation par la plateforme de l’exploitation active de CVE-2026-1207, une vulnérabilité d’injection SQL affectant le framework web Python Django, spécifiquement dans les configurations utilisant GeoDjango avec le backend PostGIS. La vulnérabilité a été publiée le 3 février 2026 et n’est pas encore référencée dans le catalogue KEV de la CISA. 🐛 Détails techniques de la vulnérabilité Composant affecté : Module GIS de Django — RasterField lookups avec le backend PostGIS Mécanisme : Mauvaise gestion du paramètre band index, permettant l’injection de commandes SQL malveillantes Endpoints ciblés : /?band= et /api/raster/search/?band= Impact potentiel : Contournement d’authentification, accès à des données sensibles, modification du contenu de la base de données Découverte originale : Créditée à Tarek Nakkouch 📅 Chronologie 3 février 2026 : Publication de CVE-2026-1207 18 février 2026 : CrowdSec publie une règle de détection 26 février 2026 : Premières attaques observées par CrowdSec 23 mars 2026 : Confirmation publique de l’exploitation active 📊 Analyse du paysage de menace Les attaques observées présentent un volume stable semaine après semaine, sans pics volumétriques massifs. Le pattern indique une reconnaissance ciblée visant à identifier les configurations Django/PostGIS vulnérables, plutôt qu’un spray indiscriminé. Ce type de comportement est souvent un précurseur de campagnes plus dommageables et ciblées. ...

🔍 Contexte Publié le 19 mars 2026 par SecureLayer7 (Sandeep Kamble, outil Bugdazz / modèle Rabit0), cet article présente la découverte et l’analyse technique de CVE-2026-22730, une vulnérabilité d’injection SQL de sévérité haute (CVSS 8.8) affectant le composant MariaDB vector store de Spring AI. La découverte a été faite lors d’un audit de pré-production pour une entreprise de services financiers déployant un assistant IA interne basé sur une architecture RAG. ...