CVE-2025-26086

Nome do Software Vulnerável e Versões Afetadas: RSI Queue Management System versão 3.0

Descrição: Existe uma vulnerabilidade de injeção SQL blind não autenticada no parâmetro TaskID do manipulador de requisições GET. Isso permite que atacantes injetem remotamente payloads SQL com atraso de tempo, induzindo atrasos na resposta do servidor e permitindo inferência baseada em tempo e extração iterativa de conteúdos sensíveis do banco de dados sem autenticação.

Recomendações: Para o RSI Queue Management System versão 3.0, considere desativar o parâmetro TaskID no manipulador de requisições GET até que um patch esteja disponível. Restrinja o acesso ao manipulador de requisições GET para minimizar o risco de exploração. Evite utilizar o parâmetro TaskID até que o problema seja resolvido.