CVE-2026-41462

Nome do Software Vulnerável e Versões Afetadas ProjeQtor versões 7.0 a 12.4.3

Descrição Existe uma injeção de SQL não autenticada na funcionalidade de login. A variável login é concatenada diretamente em uma consulta SQL sem parametrização ou sanitização. Atacantes podem injetar expressões SQL arbitrárias através do campo de nome de usuário no endpoint de autenticação para criar contas privilegiadas, ler dados sensíveis e executar comandos do sistema operacional se o usuário do banco de dados tiver permissões elevadas. A injeção de SQL é uma técnica onde instruções SQL maliciosas são inseridas em campos de entrada para execução, permitindo potencialmente o acesso não autorizado ao banco de dados.

Recomendações Atualize para a versão 12.4.4 ou posterior. Como medida paliativa temporária, restrinja o acesso ao endpoint de autenticação para minimizar o risco de exploração.