Injection SQL : la vulnérabilité qui refuse de mourir

DEV - 07/01
À une époque où nous construisons des ordinateurs quantiques et faisons progresser l’IA à une vitesse vertigineuse, l’un des...

À une époque où nous construisons des ordinateurs quantiques et faisons progresser l’IA à une vitesse vertigineuse, l’une des plus anciennes vulnérabilités du manuel de cybersécurité continue de tourmenter nos systèmes : l’injection SQL. Brisons un mythe dangereux : il ne s'agit pas simplement d'une relique du passé ou d'un problème réservé aux développeurs amateurs. Des incidents récents prouvent que l’injection SQL reste une menace critique, même pour les géants du secteur et les fournisseurs de cloud.

Même les géants ne sont pas immunisés

Le mois dernier, AWS a découvert des vulnérabilités d'injection SQL dans ses connecteurs RedShift – un rappel qui donne à réfléchir que même les géants du cloud ne sont pas à l'abri. Les vulnérabilités (CVE-2024-12744, CVE-2024-12745 et CVE-2024-12746) affectaient leur pilote JDBC, leur connecteur Python et leur pilote ODBC. Il ne s'agissait pas de problèmes mineurs : ils étaient suffisamment graves pour justifier des correctifs immédiats et des notifications aux clients.

Mais AWS n'est pas seul. Apache Traffic Control, une solution majeure de réseau de diffusion de contenu, a révélé une vulnérabilité critique d'injection SQL (CVE-2024-45387) avec un score CVSS presque parfait de 9,9. Cette vulnérabilité permettait aux utilisateurs privilégiés d'exécuter des commandes SQL arbitraires sur la ...
[Courte citation de 8% de l'article original]

Loading...