CVE-2026-0603

Nome do Software Vulnerável e Versões Afetadas Hibernate (versões afetadas não especificadas)

Descrição Existe uma falha no Hibernate que permite a um atacante remoto com baixos privilégios explorar uma injeção de SQL de segunda ordem. O problema ocorre quando caracteres não alfanuméricos, especialmente elaborados e não sanitizados, são fornecidos na coluna ID ao utilizar o InlineIdsOrClauseBuilder. A exploração bem-sucedida poderia levar à divulgação de informações sensíveis, incluindo a capacidade de ler arquivos do sistema, e permitir a manipulação ou exclusão de dados dentro do banco de dados da aplicação, resultando potencialmente em uma negação de serviço em nível de aplicação. Uma injeção de SQL de segunda ordem ocorre quando uma aplicação recebe dados de uma fonte confiável, mas não os sanitiza adequadamente antes de utilizá-los em uma consulta ao banco de dados. O InlineIdsOrClauseBuilder é um componente utilizado para construir consultas SQL.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.