Gentoo Soko中披露了多个SQL注入漏洞，这些漏洞可能导致在易受的系统上执行远程代码（RCE）。

SonarSource研究员Thomas Chauchefoin说：“尽管使用了对象关系映射（ORM）库和准备好的语句，这些SQL注入还是发生了。”他补充说，由于“数据库配置错误”，它们可能会导致索罟群岛出现RCE。

这两个问题是在Soko的搜索功能中发现的，已被集中跟踪为CVE-2023-28424（CVSS评分：9.1）。这些问题在2023年3月17日负责任披露后24小时内得到解决。

Soko是一个Go软件模块，它支持packages.gentoo.org，为用户提供了一种简单的方法来搜索Gentoo Linux发行版中可用的不同Portage包。

但该服务中发现的缺陷意味着，恶意行为者有可能注入经过特殊设计的代码，导致敏感信息的暴露。

SonarSource说：“SQL注入是可利用的，并且能够泄露PostgreSQL服务器的版本并在系统上执行任意命令。”

几个月前，SonarSource在一个名为Odoo的开源业务套件中发现了一个跨站点脚本(Xss)漏洞，该漏洞可以被利用来模拟易受攻击的Odoo实例上的任何受害者，并提取有价值的数据。

今年早些时候，开源软件(如Pretalx和OpenEMR)也暴露了安全漏洞，这可能为远程攻击者执行任意代码铺平道路。