Por Rodolfo Tavares
Dentre as atividades de pesquisa conduzidas pela equipe de Consultoria Técnica da Tempest Security Intelligence, foi detectada uma vulnerabilidade suscetível à exploração no software de código aberto Piwigo,que é amplamente utilizado para gerenciamento de imagens.
A vulnerabilidade crítica reconhecida e publicamente reportada pelo MITRE sob o número CVE-2023-26876, trata-se de uma falha de injeção de SQL, que permite a um atacante injetar códigos SQL maliciosos diretamente no banco de dados do aplicativo, possibilitando o acesso e recuperação de dados sensíveis do servidor.
A injeção de SQL é um tipo comum de ataque em que um invasor manipula registros do aplicativo para executar comandos maliciosos no banco de dados. Essa vulnerabilidade pode permitir que um invasor acesse, modifique ou exclua dados críticos do aplicativo.
O Piwigo reconheceu a gravidade do problema e divulgou um patch de segurança para solucioná-lo. É recomendado que todos os usuários do Piwigo atualizem seus sistemas imediatamente para evitar possíveis ataques.
Através do link fornecido abaixo, é possível acessar as informações de registro da exploração da vulnerabilidade identificada no Piwigo, sob o CVE-2023-26876.
https://nvd.nist.gov/vuln/detail/CVE-2023-26876