Las vulnerabilidades de inyección SQL continúan afectando las cadenas de suministro, lo que provocó una alerta conjunta de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y la Oficina Federal de Investigaciones (FBI) sobre el desarrollo de productos de software más seguros.
CISA y el FBI dijeron esta semana que la nueva guía Secure by Design es una respuesta directa a la reciente y amplia explotación de un defecto SQLi en el Aplicación de transferencia de archivos MoveIT.
Las vulnerabilidades de inyección SQL permiten a los actores de amenazas inyectar sus propios datos en comandos SQL, lo que les permite realizar consultas arbitrarias para acceder a información confidencial dentro de la base de datos.
“A pesar del conocimiento y la documentación generalizados de las vulnerabilidades de SQLi durante las últimas dos décadas, junto con la disponibilidad de mitigaciones efectivas, los fabricantes de software continúan desarrollando productos con este defecto, lo que pone en riesgo a muchos clientes”, señala el informe. Alerta conjunta Secure by Design dicho. “Vulnerabilidades como SQLi han sido consideradas por otros como una vulnerabilidad ‘imperdonable’ desde al menos 2007. A pesar de este hallazgo, las vulnerabilidades SQL (como CWE-89) siguen siendo una clase de vulnerabilidad predominante”.
Fuente Original CISO2CISO.COM & CYBER SECURITY GROUP
