データベースを操作するSQLというプログラムを、制作者が予想している範囲を超えて使われてしまう脆弱性。Webのフォームから入力するだけでできてしまったりと簡単に実行可能だし、狙いわれやすくて、被害も絶大。
最悪、データベースの情報を閲覧、追記、改ざん、削除、と好き勝手できてしまう。
SQLインジェクションに関しては、有効な防御策が見つかりませんね。概念はあるけど実装は難しかったり、エスケープがうまくいっていなかったりすると実行されてしまいますから。
まぁ、チェックツールはあるけどいろいろな方法があるから全部を試すというのが難しいとか、実際にデータベースを操作できているのかどうか確認するのが難しかったりで良く見つかるのに、見つかるとかなり危険な脆弱性。
今回の原因が何か公表してくれると、今後同じ事がないように注意できるからして欲しいです。