Vulnerabilidade

Campanha global explora sistemas de gerenciamento de conteúdo vulneráveis

O Centro Australiano de Cibersegurança (ACSC) emitiu um alerta sobre uma campanha de exploração global que visa sistemas de gerenciamento de conteúdo (CMS) e plugins vulneráveis. Muitas empresas australianas já foram afetadas, com a implantação de webshells em seus sites. Esses webshells permitem acesso persistente aos sites comprometidos, possibilitando que atores maliciosos interrompam serviços, roubem credenciais e instalem malware adicional. A ACSC destaca que a campanha está explorando falhas em várias plataformas CMS, incluindo WordPress, Joomla e Craft CMS, com uma lista de produtos específicos afetados. Além disso, a agência sugere que a atividade pode ser apoiada por inteligência artificial, acelerando os ataques. Para mitigar os riscos, os administradores de sites devem aplicar atualizações de segurança, remover componentes não utilizados e monitorar a criação não autorizada de arquivos. O alerta é um chamado à ação para que as empresas se protejam contra essas ameaças.

Zimbra alerta sobre vulnerabilidade crítica em cliente web

A Zimbra está alertando seus clientes sobre uma vulnerabilidade crítica que afeta o Classic Web Client, a qual pode permitir a execução de código arbitrário. Essa falha é classificada como um caso de cross-site scripting (XSS) armazenado, onde e-mails especialmente elaborados podem executar scripts maliciosos na sessão do usuário ao serem abertos. A empresa recomenda que os usuários atualizem para a versão 10.1.19 do Zimbra Collaboration Suite para garantir a proteção adequada. Embora a Zimbra não tenha relatado exploração ativa dessa vulnerabilidade, falhas XSS em suas plataformas têm sido alvo de ataques nos últimos anos, com tentativas de exploração documentadas desde dezembro de 2021. A vulnerabilidade atual ainda não possui um identificador CVE, mas a gravidade do problema é acentuada pelo potencial de acesso a informações de caixa de entrada, dados de sessão e configurações de conta. A atualização é essencial para mitigar riscos, especialmente considerando que outras falhas XSS já foram exploradas em ataques direcionados, como os que afetaram o setor militar brasileiro no passado.

IA acelera ataques e obriga empresas a priorizar vulnerabilidades

Em 2026, as vulnerabilidades representam cerca de 40% das exposições críticas em ambientes corporativos, um aumento significativo em relação ao ano anterior. Um estudo da Check Point Software revela que, apesar do crescimento na proporção de vulnerabilidades, apenas 7,8% dos alertas foram classificados como críticos ou de alta prioridade. Isso indica que, embora o número de exposições tenha aumentado, a maioria não exige ação imediata. A pressão sobre as equipes de segurança é intensificada por ferramentas de ataque assistidas por inteligência artificial (IA), que conseguem explorar falhas conhecidas em uma escala e velocidade superiores à capacidade de análise manual das equipes. O conceito de ‘intervalo de exposição’ é crucial, pois refere-se ao tempo entre a identificação de uma vulnerabilidade e sua correção, período em que os atacantes podem agir. As organizações que se destacam são aquelas que conseguem rapidamente identificar e corrigir os riscos realmente exploráveis, priorizando as ações de segurança. O relatório analisou dados de 715 organizações em cinco regiões, incluindo a América Latina, entre janeiro de 2025 e maio de 2026.

Seis vulnerabilidades críticas no U-Boot podem permitir ataques de firmware

Seis vulnerabilidades foram descobertas no U-Boot, um dos bootloaders de código aberto mais utilizados globalmente, que podem permitir a execução de código malicioso durante o processo de inicialização de dispositivos. O U-Boot é amplamente encontrado em dispositivos Linux embarcados, como controladores de gerenciamento de placa-mãe (BMCs), equipamentos de rede e dispositivos IoT. As falhas, identificadas pela empresa de segurança Binarly, variam de negação de serviço (DoS) a execução arbitrária de código, comprometendo a segurança antes mesmo do sistema operacional ser carregado. Dentre as vulnerabilidades, duas podem permitir a execução de código arbitrário, enquanto as outras quatro podem causar falhas nos dispositivos. A exploração dessas falhas pode ocorrer sem acesso físico, especialmente em sistemas que suportam atualizações de firmware remotas. Embora a Binarly tenha reportado as vulnerabilidades e enviado patches, a implementação das correções depende dos fabricantes de hardware, o que pode deixar dispositivos mais antigos sem proteção. A natureza crítica dessas falhas exige atenção imediata das equipes de segurança, pois podem resultar em malware persistente e comprometimento de sistemas antes da inicialização do sistema operacional.

Novas falhas de segurança no U-Boot podem comprometer dispositivos

Pesquisadores da Binarly identificaram seis novas vulnerabilidades no U-Boot, um bootloader amplamente utilizado em dispositivos como roteadores, câmeras inteligentes e servidores de data centers. Quatro das falhas podem causar a queda do dispositivo, enquanto duas permitem que um atacante execute código malicioso antes da verificação da autenticidade do software. Essas vulnerabilidades estão presentes no U-Boot desde a versão v2013.07 e afetam mais de 50 versões estáveis. As falhas são categorizadas como BRLY-2026-037 a BRLY-2026-042, sendo que as duas mais críticas podem levar à execução de código malicioso. A exploração dessas falhas requer que uma imagem maliciosa chegue ao caminho de inicialização, o que geralmente exige acesso físico ou um ponto de acesso privilegiado. Embora a Binarly tenha publicado provas de conceito, não há relatos de exploração em ataques reais. A correção das falhas foi integrada ao U-Boot em junho, mas ainda não há uma versão estável disponível com os patches. Para os fabricantes de dispositivos que utilizam U-Boot, é crucial implementar as correções imediatamente, uma vez que a próxima versão está prevista apenas para outubro.

Progress Software alerta sobre ameaça à segurança do ShareFile

A Progress Software emitiu um alerta para os clientes do ShareFile, recomendando que desliguem os servidores Windows que operam os Controladores de Zona de Armazenamento (Storage Zone Controllers), devido a uma “ameaça externa credível”. A empresa desativou temporariamente o acesso às contas afetadas como medida de precaução enquanto investiga a situação com especialistas em segurança. Embora não haja indícios de acesso não autorizado a contas ou dados do ShareFile, a falta de informações sobre a natureza da ameaça levanta preocupações. O controlador, que permite que empresas mantenham arquivos em seu próprio armazenamento enquanto utilizam a nuvem do ShareFile, está exposto à internet, tornando-se um alvo potencial. A decisão de desligá-lo completamente, em vez de aplicar um patch, sugere que a vulnerabilidade pode ser grave. A situação é semelhante a um incidente anterior em 2023, quando um erro não autenticado foi explorado. Os clientes devem seguir as instruções de desligamento e verificar se suas versões do software estão atualizadas, mas não devem reiniciar os sistemas até que a Progress forneça mais informações.

A segurança foi feita para pessoas, mas a IA expõe lacunas

O artigo de Grady Summers, CEO da Netwrix, aborda a crescente preocupação com a segurança de identidades não humanas em ambientes corporativos, onde identidades de máquinas já superam as humanas em muitos casos. Essas identidades, que incluem agentes de IA, contas de serviço e aplicações OAuth, não seguem o ciclo de vida típico dos usuários humanos, como mudanças de função ou desligamentos. Isso gera um desafio significativo para as equipes de segurança, que frequentemente não têm visibilidade sobre quem possui essas identidades, quais permissões têm e o que podem acessar. Um exemplo alarmante é o caso do ator de ameaças UNC6395, que explorou um token OAuth confiável para acessar ambientes Salesforce, demonstrando como identidades confiáveis podem ser a porta de entrada para ataques mais amplos. O artigo destaca que, mesmo organizações com boas práticas de governança de identidade, que monitoram identidades não humanas, ainda enfrentam taxas de violação alarmantes. A falta de respostas para perguntas cruciais sobre a propriedade e o gerenciamento dessas identidades pode aumentar a superfície de ataque. Portanto, é essencial que as equipes de segurança desenvolvam uma compreensão clara e contínua das identidades em seus ambientes, especialmente à medida que a adoção de IA se expande.

Vulnerabilidade crítica no Docker do Gitea permite ataque de impersonação

Hackers estão explorando uma vulnerabilidade crítica na imagem oficial do Docker do Gitea, um serviço de Git auto-hospedado, que permite que atacantes se façam passar por qualquer usuário, incluindo administradores. A falha, conhecida como CVE-2026-20896, é uma vulnerabilidade de bypass de autenticação que afeta implantações com a configuração padrão, onde cabeçalhos de autenticação de proxy reverso, como o X-WEBAUTH-USER, estão habilitados. Michael Clark, pesquisador de segurança da Sysdig, confirmou que a exploração da falha começou menos de duas semanas antes de sua divulgação pública. Atualmente, existem cerca de 6.200 instâncias do Gitea expostas na web, mas não está claro quantas delas são vulneráveis. A configuração padrão do Gitea confia no cabeçalho X-WEBAUTH-USER de qualquer endereço IP, permitindo que um cliente da internet não autenticado se passe por qualquer usuário conhecido. O Gitea lançou versões 1.26.3 e 1.26.4 para corrigir a vulnerabilidade e recomendou que os usuários atualizassem imediatamente. A Agência de Cibersegurança de Cingapura também emitiu um alerta sobre a exploração ativa dessa vulnerabilidade.

Vulnerabilidades críticas no assistente de IA OpenClaw expostas

Recentemente, foram reveladas três vulnerabilidades críticas no assistente de inteligência artificial OpenClaw, que, se exploradas, podem permitir o roubo de credenciais, escalonamento de privilégios e execução de código arbitrário no sistema host. As falhas, identificadas como GHSA-hjr6-g723-hmfm e GHSA-9969-8g9h-rxwm, ambas com uma pontuação CVSS de 8.8, envolvem injeção de comandos do sistema operacional e uma lista incompleta de entradas não permitidas. A terceira vulnerabilidade, GHSA-575v-8hfq-m3mc, com uma pontuação CVSS de 8.4, refere-se a uma falha de travessia de caminho que pode permitir que montagens de sandbox contornem verificações de autorização. Todas as falhas foram corrigidas na versão 2026.6.6 do OpenClaw. O pesquisador de segurança Chinmohan Nayak, que descobriu as vulnerabilidades, alertou que elas podem ser utilizadas para executar código no host a partir de mensagens externas, como as enviadas pelo WhatsApp. A OpenClaw recomenda que os usuários atualizem para a versão mais recente e adotem medidas de segurança adicionais, como habilitar o modo sandbox e restringir o uso de comandos potencialmente perigosos.

Vulnerabilidade em carteiras Tangem permite reset de senha com laser

Pesquisadores da equipe de segurança Donjon, da Ledger, descobriram uma vulnerabilidade crítica nas carteiras de criptomoedas Tangem. Um ataque físico, utilizando um pulso de laser precisamente cronometrado, pode redefinir a senha de uma carteira Tangem para qualquer valor escolhido pelo atacante. Este ataque exige acesso físico ao cartão e um laboratório especializado, estimado em cerca de 250 mil dólares, além de danificar o cartão de forma visível. A vulnerabilidade reside na função de redefinição de senha, que permite que um novo código seja aceito sem a necessidade da senha antiga, caso o cartão esteja em modo de recuperação. Como as carteiras Tangem não podem receber atualizações de software, a falha é permanente e afeta todos os cartões já vendidos. Embora o ataque não represente uma emergência para a maioria dos usuários, aqueles que perderam ou tiveram seus cartões roubados devem agir rapidamente para proteger seus ativos. A Tangem respondeu afirmando que a vulnerabilidade é uma técnica de laboratório e não exclusiva de seus produtos, além de ressaltar que até o momento, ninguém perdeu fundos devido a esse tipo de ataque.

Zimbra alerta sobre vulnerabilidade crítica em cliente web clássico

A equipe de segurança da Zimbra alertou seus clientes sobre uma vulnerabilidade crítica que afeta o Classic Web Client, utilizado para acessar a suíte de colaboração Zimbra. Essa falha de segurança, que ainda não possui um ID CVE, permite que atacantes explorem o cliente através de e-mails maliciosos, executando código malicioso ao abrir as mensagens. A exploração bem-sucedida pode resultar no roubo de dados de sessão, configurações de conta e informações da caixa de entrada. A Zimbra lançou a versão 10.1.19 para corrigir essa vulnerabilidade e recomenda que todos os usuários do Classic Web Client atualizem imediatamente. Embora a vulnerabilidade ainda não tenha sido confirmada como explorada ativamente, foi reportada pelo Google Threat Analysis Group, que frequentemente identifica exploits zero-day usados por grupos de hackers apoiados por estados. Nos últimos anos, hackers patrocinados pelo estado russo têm explorado vulnerabilidades do Zimbra para comprometer servidores vulneráveis, incluindo ataques a organizações alinhadas à OTAN. A situação é crítica, pois a falha pode ser utilizada em ataques direcionados a indivíduos de alto risco, como políticos e jornalistas. Portanto, a atualização é essencial para garantir a segurança dos ambientes que utilizam essa tecnologia.

Estudo revela falhas graves em aplicativos de VPN gratuitos

Um estudo recente analisou 281 dos aplicativos de VPN gratuitos mais populares disponíveis na Google Play Store e revelou que muitos deles falham em proteger a privacidade e a segurança dos usuários, que são as principais razões para a instalação de uma VPN. Os pesquisadores, da Universidade de Michigan, da Universidade do Novo México e do IIT Delhi, utilizaram um sistema de teste chamado MVPNalyzer, que identificou que 29 aplicativos permitiram vazamentos de tráfego, incluindo consultas DNS que expõem quais sites os usuários visitam. Além disso, 61 aplicativos enviaram dados em texto claro, acessíveis a qualquer um que monitorasse a rede. O estudo destacou cinco aplicativos que baixam arquivos de configuração sem criptografia, permitindo que atacantes redirecionem conexões para servidores controlados por eles. A pesquisa também revelou que 76 aplicativos rastreiam os usuários, enviando informações como o ID de publicidade do dispositivo. A maioria dos aplicativos analisados não seguiu as melhores práticas de segurança, com 89% utilizando um único método de autenticação e muitos empregando criptografia fraca ou desatualizada. Os resultados levantam preocupações sobre a confiabilidade dos aplicativos de VPN gratuitos, que frequentemente prometem privacidade, mas falham em implementá-la adequadamente.

Grupo de cibercrime expõe 1,4 milhão de sites vulneráveis na internet

Um grupo de cibercrime deixou um servidor exposto na internet por três semanas, revelando suas operações internas, incluindo ferramentas de hacking, logs de atividades e listas de alvos que abrangem mais de 1,4 milhão de sites. A operação, chamada WP-SHELLSTORM, é classificada como uma corretora de acesso a webshells, onde os hackers invadem sites, instalam backdoors e revendem esse acesso. A maioria das invasões ocorreu em sites WordPress com plugins desatualizados, especialmente uma falha no plugin Breeze, que permitiu a instalação de webshells em mais de 17 mil sites. Embora o número total de alvos seja alarmante, a quantidade de sites realmente comprometidos é significativamente menor, com estimativas variando entre 5.700 e 25.195 sites. O grupo utilizou scanners automatizados para explorar vulnerabilidades conhecidas e deixou rastros que podem ser rastreados até sua origem. Especialistas alertam que as falhas identificadas estão sob exploração ativa, exigindo que administradores de sites verifiquem e atualizem seus sistemas imediatamente.

Vulnerabilidade no XQUIC permite queda de servidores com tráfego legal

Uma vulnerabilidade crítica foi descoberta na biblioteca XQUIC, utilizada pela Alibaba para QUIC e HTTP/3, que permite que qualquer cliente remoto derrube o servidor com um pequeno fluxo de tráfego QPACK legítimo. Nomeada XRING, a falha foi divulgada pelo pesquisador Sébastien Féry da FoxIO em 8 de julho de 2026 e não possui correção disponível até o momento. A vulnerabilidade afeta todas as versões do XQUIC até a v1.9.4 e não requer login ou pacotes malformados, bastando cerca de 260 bytes de tráfego normal para causar a queda do servidor. O problema reside na forma como o HTTP/3 comprime cabeçalhos, utilizando uma tabela dinâmica que, quando redimensionada, pode resultar em uma contagem incorreta de bytes, levando a uma cópia de memória que ultrapassa os limites. Isso pode causar falhas no processo do servidor, embora não tenha sido testado se essa corrupção pode ser explorada para execução de código. A FoxIO tentou contatar a Alibaba várias vezes sem resposta antes de tornar a falha pública. A situação é preocupante, especialmente considerando que a XQUIC é open-source, expondo outros servidores que a utilizam, como o Tengine, a riscos semelhantes.

China alerta sobre coleta de dados pelo Claude Code da Anthropic

A China emitiu um alerta de segurança contra o Claude Code, uma ferramenta de programação com inteligência artificial desenvolvida pela Anthropic. O Banco Nacional de Dados de Vulnerabilidades da China (CNVDB) identificou que algumas versões do software, especificamente as versões 2.1.91 até 2.1.196, possuem mecanismos que podem coletar dados dos usuários, como identidade, localização geográfica e informações do sistema operacional, enviando-os para os servidores da empresa sem autorização. A Anthropic, por sua vez, nega a existência de qualquer ‘backdoor’ malicioso, mas admite que implementou recursos para prevenir abusos e o uso não autorizado da plataforma. As preocupações levantadas pela China foram reforçadas por engenheiros da Alibaba, que analisaram o funcionamento do Claude Code e encontraram verificações que poderiam comprometer a privacidade dos usuários. Em resposta, a Anthropic afirmou que essas funcionalidades visam proteger sua propriedade intelectual e não monitorar usuários. O CNVDB recomenda que os usuários removam as versões afetadas e atualizem o software para evitar riscos de vazamento de informações confidenciais e exposição de propriedade intelectual.

Roteadores Tenda têm porta dos fundos de segurança não corrigida

Um alerta de segurança foi emitido pelo CERT Coordination Center (CERT/CC) sobre uma vulnerabilidade crítica em diversos modelos de roteadores da marca Tenda, que permite que atacantes acessem o sistema com privilégios de administrador sem conhecer as credenciais. A falha, identificada como CVE-2026-11405, possui uma pontuação de severidade de 9.8/10, o que a classifica como crítica. O problema é causado por uma credencial de acesso hardcoded, ou seja, embutida no firmware do dispositivo, que permite que invasores contornem as verificações normais de login. Mesmo que o nome de usuário e a senha configurados estejam incorretos, a presença dessa senha oculta garante acesso total ao sistema. O CERT/CC tentou contatar a Tenda, mas não obteve resposta. Enquanto isso, recomenda-se que os usuários desativem a gestão remota e limitem a exposição local como medidas paliativas, embora isso não resolva completamente a vulnerabilidade. A falha afeta várias famílias de roteadores, incluindo FH1201, W15E, AC10, AC5 e AC6, e pode ter um número ainda maior de modelos impactados.

Microsoft aumenta atualizações de segurança no Windows com IA

A Microsoft anunciou que os usuários do Windows devem esperar um aumento nas atualizações de segurança, impulsionado pelo uso crescente de inteligência artificial (IA) para descobrir vulnerabilidades em seu código. Em um post de blog, a empresa destacou que os avanços em IA aceleraram significativamente a descoberta de falhas, permitindo que engenheiros identifiquem mais problemas de segurança antes que possam ser explorados em ataques de dia zero. Para isso, a Microsoft está utilizando um sistema de descoberta de vulnerabilidades chamado MDASH, que realiza varreduras em binários críticos do Windows e valida as descobertas com múltiplos modelos de IA. Além disso, a IA também auxilia os engenheiros a entender falhas mais rapidamente e sugerir correções. A empresa enfatizou que, apesar do uso de IA, engenheiros humanos ainda revisarão todas as propostas de código antes da implementação. Com essa abordagem, os clientes devem observar um volume maior de atualizações de segurança a cada Patch Tuesday. A Microsoft também atualizou suas práticas de Ciclo de Vida de Desenvolvimento Seguro (SDL) para considerar técnicas de ataque habilitadas por IA, visando identificar problemas de segurança antes do lançamento de novas funcionalidades.

Microsoft corrige vulnerabilidade RoguePlanet no Defender

A Microsoft lançou atualizações de segurança para uma vulnerabilidade crítica em seu software Defender, conhecida como RoguePlanet, que foi divulgada publicamente há quase um mês. A falha, identificada como CVE-2026-50656, possui uma pontuação CVSS de 7.8 e permite a escalada de privilégios no Microsoft Malware Protection Engine, o que pode permitir que atacantes executem código arbitrário com privilégios de sistema. A vulnerabilidade foi descoberta pelo pesquisador de segurança Chaotic Eclipse, que a descreveu como uma condição de corrida que pode ser explorada independentemente da proteção em tempo real estar ativada. A Microsoft lançou a correção na versão 1.1.26060.3008 do seu motor de proteção, além de atualizações de defesa em profundidade para fortalecer recursos de segurança. A empresa afirmou que não é necessário que os clientes tomem medidas adicionais, pois as atualizações são aplicadas automaticamente. RoguePlanet é a quarta vulnerabilidade do Defender descoberta por Chaotic Eclipse, que já havia identificado outras falhas que também foram corrigidas. A vulnerabilidade afeta sistemas Windows atualizados com os patches de junho de 2026.

A Nova Era dos Clearinghouses de Vulnerabilidades em Cibersegurança

Recentemente, diversas empresas anunciaram a criação de clearinghouses para vulnerabilidades, incluindo a Athena, que se destaca por já estar em operação antes do anúncio. No entanto, o artigo enfatiza que a criação de um clearinghouse é a parte menos importante do processo de segurança. O verdadeiro desafio reside na capacidade de transformar dados de vulnerabilidades em correções efetivas e aplicáveis. O autor argumenta que, embora esses clearinghouses reúnam dados sobre vulnerabilidades pré-divulgação, a verdadeira questão é como essas informações são utilizadas para proteger aplicações em tempo real. A crescente quantidade de vulnerabilidades privadas em código aberto é um subproduto de métodos de teste que expõem falhas em dependências de terceiros. Além disso, a velocidade de exploração de vulnerabilidades tem diminuído drasticamente, com ataques ocorrendo antes mesmo da divulgação de patches. O artigo conclui que, para proteger eficazmente as aplicações, é necessário um esforço coordenado e em larga escala, onde a colaboração entre diferentes equipes de segurança se torna essencial.

Microsoft lança patch para vulnerabilidade zero-day do Defender

A Microsoft lançou um patch para corrigir uma vulnerabilidade zero-day no Microsoft Defender, conhecida como ‘RoguePlanet’, que foi divulgada após o Patch Tuesday de junho de 2026. A falha, identificada como CVE-2026-50656, permite que atacantes obtenham privilégios de SYSTEM em dispositivos Windows 10 e 11 totalmente atualizados, explorando uma condição de corrida no Defender. O pesquisador de segurança que revelou a vulnerabilidade, sob o pseudônimo ‘Nightmare Eclipse’, também compartilhou um exploit de prova de conceito em um repositório Git auto-hospedado, alegando que a Microsoft removeu suas postagens anteriores em plataformas como GitHub e GitLab. A empresa confirmou que estava trabalhando em um patch em 16 de junho, mas não reconheceu publicamente o pesquisador. O patch foi disponibilizado através de uma atualização do Microsoft Malware Protection Engine. Nos últimos meses, Nightmare Eclipse divulgou outras vulnerabilidades zero-day relacionadas ao Windows, levando a Microsoft a considerar ações legais contra ele. A situação destaca a importância de monitorar e corrigir vulnerabilidades em sistemas amplamente utilizados, especialmente em um cenário de crescente exploração de falhas de segurança.

Falha em assistentes de codificação AI pode comprometer segurança

Pesquisadores da Wiz descobriram uma vulnerabilidade em seis assistentes de codificação AI populares, que permite que um projeto de código malicioso assuma o controle silenciosamente do computador de um desenvolvedor. A falha, chamada GhostApproval, ocorre quando o assistente solicita permissão para editar um arquivo aparentemente inofensivo, mas na verdade escreve em um arquivo sensível. Os assistentes afetados incluem Amazon Q Developer, Claude Code da Anthropic, Augment, Cursor, Google Antigravity e Windsurf. A vulnerabilidade explora um recurso antigo do Unix chamado link simbólico (symlink), que não é verificado pelos assistentes. Um repositório malicioso pode redirecionar a escrita de um arquivo para o arquivo de login SSH do usuário, permitindo que um invasor acesse o sistema sem senha. Embora não haja evidências de que essa técnica tenha sido usada em ataques reais, a Wiz recomenda que os desenvolvedores adotem práticas de segurança, como executar os assistentes com acesso limitado a arquivos e verificar os arquivos de configuração após trabalhar em repositórios desconhecidos. Três dos seis fornecedores já corrigiram a falha, enquanto dois ainda estão trabalhando em soluções, e a Anthropic contesta a classificação como um bug.

Vulnerabilidade em agentes de IA pode permitir execução de código malicioso

Um novo estudo do AI Now Institute revelou uma vulnerabilidade crítica em agentes de codificação de IA, como Claude Code da Anthropic e Codex da OpenAI, que pode permitir que código malicioso seja executado em máquinas dos usuários. Denominado ‘Friendly Fire’, o ataque ocorre quando esses agentes operam em modo autônomo, onde eles aprovam seus próprios comandos. Os pesquisadores demonstraram que, ao solicitar uma verificação de segurança em código de terceiros, o agente pode inadvertidamente executar um código malicioso disfarçado como um arquivo inofensivo. O ataque se aproveita da confiança que os agentes têm em arquivos README.md, que são comuns em repositórios de código. Embora não haja um patch disponível, a solução proposta envolve mudanças nos fluxos de trabalho para evitar que código não confiável seja analisado por esses agentes. A pesquisa destaca a necessidade urgente de cautela ao utilizar ferramentas de IA para auditoria de segurança, especialmente em ambientes onde a segurança de dados sensíveis é crítica.

Falha em commits assinados do Git pode comprometer segurança

Uma nova pesquisa revela que o hash de um commit assinado no Git não é tão único quanto se pensava. Um atacante pode criar um segundo commit com os mesmos arquivos, autor e data, além de uma assinatura válida, fazendo com que o GitHub ainda o classifique como ‘Verificado’. Isso representa um risco significativo, pois sistemas que bloqueiam commits ruins por hash podem ser contornados, permitindo que um conteúdo malicioso seja reintroduzido sob um novo hash. O estudo, conduzido por Jacob Ginesin da Carnegie Mellon University, destaca a ‘maleabilidade de hash’, onde a assinatura de um commit pode ser alterada sem modificar o código. O GitHub não normaliza as assinaturas antes de verificá-las, o que permite essa vulnerabilidade. Embora não haja um CVE ou uma recomendação imediata para desenvolvedores, a pesquisa sugere que as forges devem implementar a normalização das assinaturas para garantir a segurança. Essa questão é relevante para a segurança do software e a integridade do código, especialmente em ambientes que dependem de commits verificados para garantir a autenticidade do código.

Ubiquiti lança atualizações para falhas críticas em UniFi

A Ubiquiti lançou atualizações para corrigir várias falhas de segurança críticas em suas aplicações UniFi Connect, UniFi Talk, UniFi Access, UniFi Protect e UniFi OS. As vulnerabilidades, que variam de um CVSS de 9.0 a 10.0, incluem problemas de controle de acesso inadequado, injeção de comandos e injeção SQL. Por exemplo, a CVE-2026-50746 permite que um atacante execute injeções de comandos na aplicação UniFi Connect, enquanto a CVE-2026-50747 envolve injeções SQL na UniFi Talk, ambas podendo resultar em escalonamento de privilégios. Embora não haja evidências de exploração ativa dessas falhas, a CISA já havia alertado sobre vulnerabilidades semelhantes que foram utilizadas em ataques reais. Além disso, um botnet chamado MooBot, que utilizava roteadores Ubiquiti Edge OS comprometidos, foi desmantelado em uma operação de aplicação da lei. As atualizações estão disponíveis e é crucial que os usuários implementem os patches para mitigar os riscos associados a essas vulnerabilidades.

CISA ordena correção de falha crítica no Adobe ColdFusion

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu uma ordem para que agências governamentais corrijam uma vulnerabilidade de alta severidade na plataforma de desenvolvimento de aplicativos web Adobe ColdFusion, identificada como CVE-2026-48282. Essa falha afeta as versões 2025.9, 2023.20 e anteriores, permitindo que atacantes remotos executem código em sistemas não corrigidos, sem necessidade de privilégios. A Adobe lançou atualizações de segurança há uma semana, alertando os administradores sobre o alto risco de exploração. O fundador da KEVIntel, Ryan Dewhurst, informou que os ataques começaram a ocorrer apenas duas horas após a divulgação da falha. A CISA incluiu a CVE-2026-48282 em sua lista de vulnerabilidades ativamente exploradas e exigiu que as agências federais aplicassem os patches até sexta-feira, 10 de junho. Além disso, a Adobe corrigiu outras seis falhas críticas na mesma plataforma, embora não tenha confirmado a exploração ativa dessas vulnerabilidades. A situação é preocupante, pois a CISA já adicionou 80 vulnerabilidades de produtos da Adobe à sua lista desde novembro de 2021, com várias delas sendo utilizadas em ataques de ransomware.

Ubiquiti lança atualizações de segurança para vulnerabilidades críticas

A Ubiquiti lançou atualizações de segurança para corrigir sete vulnerabilidades críticas no UniFi OS, incluindo uma falha de gravidade máxima, identificada como CVE-2026-50746, que pode ser explorada em ataques de injeção de comando. Essa vulnerabilidade afeta a aplicação UniFi Connect (versões 3.4.16 e anteriores), utilizada para gerenciar operações em edifícios comerciais, como sistemas de iluminação LED inteligentes e carregadores de veículos elétricos. A empresa alertou que um ator malicioso com acesso à rede pode explorar uma vulnerabilidade de Controle de Acesso Inadequado para executar injeções de comando no dispositivo host. Os usuários devem atualizar a aplicação UniFi Connect para a versão 3.4.20 ou posterior. Além disso, a Ubiquiti corrigiu outras seis vulnerabilidades críticas em aplicações como UniFi Talk, UniFi Access e UniFi Protect, bem como em seu servidor UniFi OS e uma variedade de roteadores e sistemas de vigilância. A empresa não confirmou se essas vulnerabilidades foram exploradas antes da correção, mas destacou que seis delas podem ser exploradas em ataques de baixa complexidade sem interação do usuário. A empresa de inteligência de ameaças Censys rastreia mais de 100.000 instâncias do UniFi OS expostas online, com a maioria localizada nos Estados Unidos.

CISA alerta sobre vulnerabilidade crítica no Langflow para IA

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta para que agências federais corrigissem uma vulnerabilidade ativa no Langflow, uma ferramenta popular para desenvolvimento de agentes de IA. A falha, identificada como CVE-2026-55255, é uma referência direta insegura (IDOR) que permite a atacantes autenticados acessarem fluxos de outros usuários ao enviar uma solicitação maliciosa ao endpoint /api/v1/responses com o UUID da vítima. A exploração bem-sucedida pode resultar no acesso a dados sensíveis e no consumo de recursos da vítima. A CISA destacou que essa vulnerabilidade é um vetor de ataque frequente e representa riscos significativos para a segurança federal. Além disso, outras falhas no Langflow foram identificadas, incluindo problemas de autenticação e injeção de código. A CISA ordenou que as agências federais garantissem a segurança de seus dispositivos até a última sexta-feira, conforme exigido pela Diretiva Operacional Vinculante 26-04. A exploração dessa vulnerabilidade foi observada pela primeira vez em junho, com motivações financeiras por parte dos atacantes, que buscam computação e credenciais de IA. A situação exige atenção imediata das equipes de segurança cibernética para evitar possíveis compromissos.

CISA adiciona vulnerabilidades críticas ao catálogo de ameaças

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu quatro novas vulnerabilidades em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), todas com evidências de exploração ativa. As falhas incluem CVE-2026-48282 e CVE-2026-56290, ambas com pontuação CVSS de 10.0, que permitem a execução remota de código em sistemas vulneráveis, como Adobe ColdFusion e Joomlack Page Builder. A CVE-2026-55255, com pontuação de 6.1, permite que atacantes autenticados contornem autorizações e executem fluxos de outros usuários. A CVE-2026-48908, também com pontuação 10.0, permite o upload irrestrito de arquivos perigosos, resultando na execução de código PHP. A exploração da CVE-2026-48282 foi observada rapidamente após a divulgação pública, com tentativas de ataque originadas da Índia. As organizações são aconselhadas a aplicar correções até 10 de julho de 2026 para proteger suas redes. O cenário destaca a urgência de ações corretivas, especialmente para plataformas amplamente utilizadas como Joomla e WordPress.

Falha GhostLock no Linux permite controle total por usuários logados

Pesquisadores da Nebula Security revelaram uma vulnerabilidade crítica no kernel do Linux, identificada como GhostLock (CVE-2026-43499), que permite a qualquer usuário logado obter controle total de um sistema não atualizado. Essa falha, que existe há 15 anos, foi incluída por padrão em praticamente todas as distribuições Linux desde 2011 e não requer permissões especiais ou configurações incomuns para ser explorada. A vulnerabilidade foi descoberta por meio da ferramenta de busca de bugs VEGA, e a equipe da Nebula conseguiu criar um exploit funcional que é 97% confiável em testes. Embora não haja relatos de exploração ativa, o código do exploit foi publicado, tornando a correção uma prioridade. A falha é classificada como de alto risco, com uma pontuação de 7.8 em 10, já que um atacante precisa estar logado na máquina. As distribuições estão atualmente implementando patches, mas é essencial que os administradores verifiquem se estão usando a versão corrigida do kernel, pois versões anteriores podem ainda estar vulneráveis. Além disso, a Nebula também destacou que a GhostLock é parte de uma cadeia de exploração que pode ser combinada com outras falhas para comprometer sistemas remotamente.

Falha crítica no Google Dialogflow CX expõe dados de usuários

Uma falha crítica no Google Dialogflow CX, identificada pela empresa de segurança Varonis e nomeada de Rogue Agent, permitia que um atacante com permissões de edição em um agente habilitado para Code Block comprometesse outros agentes no mesmo projeto do Google Cloud. A vulnerabilidade possibilitava a leitura de conversas em tempo real, o roubo de dados compartilhados pelos usuários e o envio de mensagens escritas pelo atacante, como solicitações para reentrada de senhas. A falha afetou apenas organizações que utilizavam Playbooks e Code Blocks personalizados, que permitem a adição de código Python. Para explorar a vulnerabilidade, o atacante precisava da permissão dialogflow.playbooks.update, limitando o risco a insiders maliciosos ou contas de desenvolvedores comprometidas. O ambiente compartilhado onde o código é executado não apresentava isolamento adequado entre os agentes, permitindo que um único Code Block malicioso substituísse um arquivo crítico, comprometendo todos os agentes no projeto. Embora a Google tenha corrigido a falha e não haja indícios de exploração real, a situação destaca a necessidade de controles rigorosos de acesso e monitoramento em ambientes de desenvolvimento de IA.

Pipeline verde não é governado vulnerabilidades em CICD

Em junho de 2026, a Novee Security revelou uma nova classe de vulnerabilidades em pipelines de CI/CD, chamada Cordyceps, que afeta repositórios de alto impacto em ecossistemas como npm, PyPI, crates.io e Go. A pesquisa analisou cerca de 30.000 repositórios e identificou 654 vulnerabilidades, das quais mais de 300 eram totalmente exploráveis. O problema reside na forma como os workflows do GitHub Actions são configurados, permitindo que um atacante, com apenas uma conta gratuita do GitHub, execute código malicioso em contextos privilegiados. A vulnerabilidade se origina da interação entre workflows, onde um código aparentemente seguro pode ser manipulado para executar comandos não autorizados. Exemplos de exploração incluem o repositório Azure Sentinel da Microsoft, onde um simples comentário em um pull request permitiu o roubo de uma chave de aplicativo do GitHub, e o repositório do Google Cloud, onde um pull request poderia conceder acesso de proprietário a um projeto. A análise destaca a necessidade urgente de governança e revisão de segurança em pipelines, especialmente com o aumento da automação e do uso de ferramentas de IA, que podem replicar padrões inseguros em larga escala.

Backdoor de autenticação oculta em roteadores Tenda expõe riscos

Uma vulnerabilidade crítica foi identificada em várias versões de firmware de roteadores Tenda, permitindo que atacantes obtenham acesso administrativo ao painel de gerenciamento web do dispositivo. O problema, rastreado como CVE-2026-11405, é causado por um mecanismo de autenticação não documentado na função ’login()’ do servidor web ‘/bin/httpd’. Quando um usuário tenta fazer login, o firmware do roteador realiza uma autenticação padrão baseada em MD5. Se essa falha, o sistema recupera uma senha alternativa da configuração ‘sys.rzadmin.password’ e a compara diretamente com a senha em texto claro fornecida pelo usuário remoto. Se as senhas coincidirem, o dispositivo concede acesso administrativo, independentemente do nome de usuário inserido. Isso significa que qualquer nome de usuário é aceito, desde que a senha da backdoor seja fornecida. O CERT/CC alerta que essa falha não está documentada em nenhum lugar, deixando os usuários inconscientes do risco. A exploração bem-sucedida pode permitir que um atacante reconfigure o dispositivo, altere configurações de rede e desative recursos de segurança, comprometendo ainda mais a rede local. Atualmente, não há correção disponível e recomenda-se que os usuários desativem o painel de gerenciamento remoto e mudem o endereço IP LAN padrão para mitigar riscos. A vulnerabilidade foi descoberta por um pesquisador anônimo e, embora não haja relatos de exploração ativa, a possibilidade de ataques por botnets é alta.

Vulnerabilidade crítica no Writer permite comprometimento entre inquilinos

Pesquisadores de cibersegurança revelaram uma vulnerabilidade crítica de isolamento de sessão na plataforma de inteligência artificial generativa Writer, que já foi corrigida. Batizada de WriteOut pela equipe de Sand Security Research, a falha permite que um atacante, com apenas um link, consiga acessar e tomar controle de contas de usuários de diferentes organizações. Isso significa que um invasor pode acessar chats privados, documentos e dados sensíveis, dependendo do papel do usuário atacado. O ataque ocorre quando um usuário logado clica em um link de pré-visualização compartilhado por um agente malicioso, que então captura o cookie de sessão do usuário. A vulnerabilidade quebra as proteções de isolamento entre inquilinos, permitindo que o atacante atue como um usuário legítimo em diferentes contas. Após a divulgação responsável, a Writer implementou correções para evitar que cookies de sessão sejam enviados para pré-visualizações de sandbox. A falha destaca a importância de uma análise rigorosa de segurança em plataformas de IA, especialmente em ambientes corporativos.

BeyondTrust alerta sobre falhas críticas em software de acesso remoto

A BeyondTrust emitiu um alerta para que seus clientes apliquem patches em duas falhas de segurança críticas em seus softwares Remote Support (RS) e Privileged Remote Access (PRA). A primeira vulnerabilidade, identificada como CVE-2026-40138, afeta versões 25.3.2 ou anteriores do RS e do PRA, permitindo que atacantes contornem controles de acesso e acessem dispositivos alvo, incluindo contas com privilégios elevados. A segunda falha, CVE-2026-40139, permite que atacantes remotos não autenticados acessem instâncias vulneráveis devido a um processamento inadequado de solicitações de autenticação. Embora a BeyondTrust tenha destacado que a exploração dessas falhas requer uma configuração específica de autenticação, não foram fornecidos detalhes adicionais. Além disso, a empresa lançou atualizações de segurança para outras duas vulnerabilidades de alta severidade (CVE-2026-40140 e CVE-2026-40141), que podem causar negação de serviço ou acesso a recursos restritos. A BeyondTrust já aplicou patches para clientes em nuvem e recomenda que clientes auto-hospedados atualizem suas versões. O grupo de vigilância de segurança Shadowserver identificou quase 2.000 instâncias do RS e PRA expostas online, mas não há informações sobre quantas já foram corrigidas. Historicamente, falhas anteriores da BeyondTrust foram exploradas em ataques, incluindo um incidente que comprometeu agências do governo dos EUA, destacando a importância de uma resposta rápida a essas vulnerabilidades.

Vulnerabilidade de 16 anos no Linux permite fuga de máquinas virtuais

Uma vulnerabilidade no kernel do Linux, identificada como Januscape, permite que atacantes escapem de máquinas virtuais e executem códigos arbitrários no host. Descoberta pelo pesquisador de segurança Hyunwoo Kim, essa falha de escape de convidado para host (CVE-2026-53359) é resultado de uma fraqueza de uso após a liberação na emulação MMU sombra do KVM/x86. Presente no kernel do Linux por cerca de 16 anos, a vulnerabilidade foi corrigida em junho de 2026 e foi utilizada como um exploit zero-day no programa de recompensas de vulnerabilidades do Google, kvmCTF. A exploração bem-sucedida permite que atacantes com acesso root em uma máquina virtual convidada executem códigos como root no host, comprometendo todos os convidados em execução ou até mesmo derrubando o kernel do host. Kim destacou que Januscape é o primeiro exploit desse tipo que pode ser acionado em arquiteturas de processadores Intel e AMD, representando um risco significativo para ambientes de nuvem pública multi-inquilinos. Administradores de hosts KVM/x86 devem garantir que o patch correspondente tenha sido aplicado para proteger seus sistemas contra essa vulnerabilidade.

Vulnerabilidade em firmware da Tenda permite acesso não autorizado

O CERT Coordination Center (CERT/CC) alertou sobre uma vulnerabilidade crítica em várias versões de firmware da fabricante chinesa Tenda, que permite a exploração de uma backdoor de autenticação não documentada. Essa falha, identificada como CVE-2026-11405, possibilita que atacantes contornem o processo de verificação de senha e obtenham controle administrativo total sobre os dispositivos, sem a necessidade de credenciais válidas. A vulnerabilidade afeta diversos modelos de firmware, incluindo US_FH1201V1.0BR_V1.2.0.14(408)_EN_TD e US_AC10V1.0re_V15.03.06.46_multi_TDE01. O problema reside na função “login()” do binário do servidor web, onde uma comparação direta de senhas pode ser realizada, permitindo acesso administrativo ao fornecer um nome de usuário qualquer junto com a senha da backdoor. Até o momento, a Tenda não lançou um patch para corrigir essa falha. Os usuários são aconselhados a desativar a gestão remota e alterar o endereço IP padrão da LAN para mitigar riscos de exploração.

Grupo ligado à China explora falhas em software de e-mail universitário

Um novo grupo de ameaças, identificado como UNK_MassTraction, está explorando vulnerabilidades críticas no software de webmail Roundcube, utilizado por departamentos de física e engenharia em universidades dos EUA e Canadá. A atividade maliciosa, detectada pela primeira vez em maio de 2026, visa principalmente administradores e professores de áreas relacionadas à segurança nacional e estudos avançados em física. Os atacantes utilizam falhas de segurança, como a CVE-2024-42009, para roubar credenciais e implantar ferramentas de acesso remoto, como VShell e SquareShell. Os e-mails maliciosos são enviados a partir de remetentes comprometidos ou domínios vulneráveis, aproveitando políticas DMARC fracas. O ataque é facilitado por um exploit de cross-site scripting (XSS), que permite a execução de código JavaScript no navegador da vítima. Após a exploração, um payload chamado IceCube coleta informações sensíveis, como dados de autenticação de dois fatores (2FA) e cookies, e tenta obter acesso persistente ao servidor de e-mail. A campanha destaca a necessidade de uma defesa robusta para servidores de e-mail, que são frequentemente alvos de ataques cibernéticos, especialmente por grupos patrocinados por estados, como os da China.

Atualizações críticas da BeyondTrust para falhas de segurança em produtos

A BeyondTrust divulgou atualizações para corrigir duas falhas de segurança críticas em seus produtos de Suporte Remoto (RS) e Acesso Remoto Privilegiado (PRA). As vulnerabilidades, identificadas como CVE-2026-40138 e CVE-2026-40139, possuem uma pontuação CVSS de 9.2, permitindo que atacantes não autenticados contornem controles de acesso e obtenham acesso não autorizado a dispositivos vulneráveis, incluindo contas com privilégios elevados. Ambas as falhas estão relacionadas a problemas na validação de dados de autenticação. Além disso, outras vulnerabilidades, como CVE-2026-40140 e CVE-2026-40141, apresentam riscos adicionais, como negação de serviço e acesso não intencional a recursos. A BeyondTrust não relatou exploração ativa dessas falhas, mas enfatizou a importância de aplicar as correções rapidamente, especialmente considerando que falhas anteriores em seus produtos foram exploradas para implantar shells web e backdoors. As versões afetadas são RS 25.3.2 ou inferiores e PRA 25.3.2 ou inferiores, com correções disponíveis nas versões 25.3.3 e superiores.

Vulnerabilidade Januscape no KVM do Linux pode comprometer hosts

Uma nova vulnerabilidade, identificada como ‘Januscape’ e registrada como CVE-2026-53359, foi descoberta no hipervisor KVM do Linux. Essa falha, que se trata de um bug do tipo use-after-free, pode ser explorada a partir de uma máquina virtual convidada para corromper o estado da página sombra do kernel do host. O problema reside no código da MMU sombra que o KVM compartilha entre processadores Intel e AMD e, segundo o pesquisador Hyunwoo Kim, pode levar a uma execução de código completo no host. A vulnerabilidade ficou sem ser detectada por cerca de 16 anos e requer que o atacante tenha acesso root na VM, uma condição comum em instâncias de nuvem alugadas. A falha foi utilizada como uma submissão de zero-day no programa de recompensas kvmCTF do Google, que oferece até $250.000 por escapes completos de convidado para host. A correção foi implementada em junho de 2026, mas os administradores de sistemas devem agir rapidamente para aplicar o patch, especialmente em ambientes x86 que hospedam convidados não confiáveis com virtualização aninhada habilitada.

Ameaça crítica em imagens Docker do Gitea vulnerabilidade CVE-2026-20896

Pesquisadores de segurança alertaram sobre uma vulnerabilidade crítica (CVE-2026-20896) em imagens Docker do Gitea, uma plataforma de DevOps. Com uma pontuação CVSS de 9.8, a falha permite que um cliente da internet não autenticado obtenha acesso elevado ao confiar no cabeçalho ‘X-WEBAUTH-USER’ de qualquer endereço IP. A configuração padrão do arquivo ‘app.ini’ da imagem Docker define ‘REVERSE_PROXY_TRUSTED_PROXIES’ como ‘*’, permitindo que qualquer IP que consiga acessar a porta do Gitea se autentique como qualquer usuário, incluindo administradores. Essa vulnerabilidade afeta versões do Gitea até a 1.26.2, mas foi corrigida na versão 1.26.3, onde o wildcard foi removido e a autenticação por proxy reverso se tornou opcional. A Sysdig detectou tentativas de exploração 13 dias após a divulgação pública da falha, destacando a urgência de aplicar os patches disponíveis para proteger as instâncias do Gitea, que somam cerca de 6.200 expostas na internet.

Vulnerabilidade crítica do Adobe ColdFusion está sendo explorada

O Centro Canadense de Cibersegurança (CCCS) alertou sobre a exploração ativa de uma vulnerabilidade crítica no Adobe ColdFusion, identificada como CVE-2026-48282. Essa falha afeta as versões 2025.9, 2023.20 e anteriores do ColdFusion, permitindo que atacantes não privilegiados executem código remotamente em sistemas não corrigidos. A Adobe lançou atualizações de segurança para mitigar essa vulnerabilidade, classificando-a como de alto risco e recomendando que administradores apliquem os patches em até 72 horas. O CCCS confirmou que os atacantes já começaram a explorar essa falha, incentivando a revisão das atualizações necessárias. Embora a Shadowserver tenha identificado quase 800 instâncias do ColdFusion expostas online, não há dados sobre quantas delas estão vulneráveis ou já foram protegidas. Além disso, a Adobe também corrigiu outras falhas críticas em suas plataformas, mas não confirmou a exploração ativa dessas. A situação exige atenção imediata das equipes de segurança, especialmente considerando o histórico de vulnerabilidades em produtos da Adobe que têm sido alvo de ataques cibernéticos.

Vulnerabilidade no Opera GX permite roubo de dados sem cliques

Pesquisadores descobriram uma falha crítica no Opera GX, a versão do navegador focada em jogos, que permitia que um site malicioso instalasse silenciosamente um complemento do navegador e extraísse dados específicos das páginas visitadas pela vítima. Em um teste de conceito, foi possível reconstruir o endereço completo do Gmail de um usuário logado a partir de uma única visita, sem necessidade de cliques. A Opera já corrigiu a vulnerabilidade na versão 130.0.5847.89 do navegador, afirmando que não encontrou evidências de que a falha foi explorada na prática. A vulnerabilidade foi classificada como P1 pela equipe de recompensas de bugs da Opera, que pagou o valor máximo de $5.000 pela descoberta. O problema reside na forma como os GX Mods são instalados automaticamente, sem qualquer solicitação de aprovação, permitindo que um site malicioso instale um mod silenciosamente. Embora a injeção de CSS em si não possa roubar dados, a técnica de ‘XS-Leak’ permite que informações sejam extraídas de forma gradual. A falha é preocupante, pois uma vez que o CSS de um mod é aplicado a todas as páginas visitadas, a possibilidade de roubo de dados se torna significativa. A Opera reconheceu a complexidade do ataque, mas os pesquisadores demonstraram que a exploração poderia ocorrer rapidamente, antes que a vítima pudesse reagir.

Falha no Kernel Linux permite controle total de máquinas por usuários comuns

Uma nova vulnerabilidade no kernel Linux, identificada como Bad Epoll (CVE-2026-46242), foi revelada, permitindo que usuários comuns adquiram controle total de máquinas como root. Essa falha afeta não apenas desktops e servidores Linux, mas também dispositivos Android. O problema reside em um bug de ‘use-after-free’, onde duas partes do kernel tentam limpar o mesmo objeto interno simultaneamente, resultando em corrupção da memória do kernel. O pesquisador Jaeyoung Chung desenvolveu um ataque que amplia a janela de tempo para explorar essa vulnerabilidade, alcançando sucesso em 99% dos testes realizados. O ataque pode ser disparado a partir do sandbox do Chrome, o que o torna ainda mais perigoso, pois contorna muitas outras falhas de kernel. Embora a falha tenha sido reportada como um zero-day ao programa kernelCTF do Google, não há indícios de que tenha sido utilizada em ataques reais até o momento. A correção já está disponível, e é recomendável que os usuários apliquem o patch o mais rápido possível, especialmente em sistemas que utilizam o kernel 6.4 ou superior. Essa vulnerabilidade se junta a uma série de falhas conhecidas que afetam o Linux, destacando a necessidade de vigilância contínua em relação à segurança do kernel.

Vulnerabilidades críticas no FatFs afetam dispositivos IoT amplamente utilizados

A empresa de segurança runZero revelou sete vulnerabilidades na biblioteca de sistema de arquivos FatFs, que é amplamente utilizada em dispositivos como câmeras de segurança, drones e carteiras de criptomoedas. As falhas permitem que um atacante, ao inserir um dispositivo USB ou cartão SD malicioso, possa corromper a memória do dispositivo e executar código não autorizado. A vulnerabilidade mais crítica, CVE-2026-6682, apresenta um estouro de inteiro que pode levar à execução de código malicioso. Outras falhas incluem estouros de buffer e problemas de manipulação de dados que podem causar corrupção de memória ou falhas no dispositivo. Embora a runZero tenha classificado essas vulnerabilidades como de médio a alto risco, não houve relatos de exploração ativa até o momento. O FatFs é mantido por um único desenvolvedor, e a falta de resposta a tentativas de contato para correções levanta preocupações sobre a segurança de muitos produtos que dependem dessa biblioteca. Para organizações que utilizam firmware que interage com mídias FAT ou exFAT, é essencial auditar o código e implementar correções. Além disso, recomenda-se limitar o acesso físico a dispositivos e monitorar atualizações de firmware.

CISA alerta sobre vulnerabilidade crítica no Microsoft SharePoint

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta sobre a exploração de uma vulnerabilidade crítica no Microsoft SharePoint, identificada como CVE-2026-45659. Essa falha de execução remota de código, resultante da desserialização de dados não confiáveis, permite que atacantes com privilégios baixos executem códigos arbitrários em servidores SharePoint não corrigidos, sem necessidade de interação do usuário. A CISA destacou que qualquer atacante autenticado, com permissões mínimas de Membro do Site, pode explorar essa vulnerabilidade, que é acessível pela rede e de baixa complexidade. A Microsoft lançou atualizações de segurança para as versões do SharePoint afetadas em 21 de maio de 2026, após a falha ter sido acidentalmente omitida nas atualizações de segurança anteriores. A CISA também incluiu a vulnerabilidade em seu catálogo de vulnerabilidades conhecidas exploradas, exigindo que as agências federais dos EUA protejam seus servidores até o próximo sábado. A situação é preocupante, pois mais de 10.000 servidores SharePoint estão expostos online, e a falta de informações sobre quantos já foram corrigidos aumenta o risco de ataques em larga escala.

Cisco confirma exploração de vulnerabilidade no Unified CM

A Cisco confirmou que atacantes estão explorando uma vulnerabilidade no Unified Communications Manager (Unified CM), identificada como CVE-2026-20230, que foi corrigida em junho de 2026. O Unified CM, que gerencia sistemas de telefonia IP da Cisco, permite que atacantes não privilegiados realizem ataques de Server-Side Request Forgery (SSRF) de forma remota, enviando requisições HTTP manipuladas. Apesar de a Cisco ter informado em 3 de junho que não havia evidências de exploração ativa, a situação mudou em 22 de junho, quando a empresa de inteligência Defused revelou que os atacantes começaram a explorar a falha. A Cisco aconselha os clientes a atualizarem para versões corrigidas do software e, enquanto isso, recomenda desativar o serviço WebDialer vulnerável. Atualmente, mais de 200 instâncias do Unified CM estão expostas online, principalmente na Ásia e América do Norte. A situação é crítica, pois a exploração ativa pode levar a compromissos sérios de segurança, especialmente considerando que a CISA identificou 93 vulnerabilidades da Cisco como ativamente exploradas desde novembro de 2021.

Falha crítica no Microsoft SharePoint Server é explorada ativamente

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma vulnerabilidade de alta severidade no Microsoft SharePoint Server em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). A falha, identificada como CVE-2026-45659, possui uma pontuação CVSS de 8.8 e permite a execução remota de código devido à desserialização de dados não confiáveis. A Microsoft já disponibilizou correções em maio de 2026 para as versões afetadas do SharePoint. A CISA alerta que qualquer atacante autenticado pode explorar essa vulnerabilidade, sem a necessidade de privilégios elevados, o que a torna particularmente preocupante. Além disso, a Microsoft revelou que investigações de ransomware identificaram dois grupos de atacantes operando simultaneamente em uma mesma rede, complicando a resposta a incidentes. Um dos grupos, conhecido como Storm-2603, tem explorado vulnerabilidades em servidores SharePoint desde 2025, utilizando técnicas para mascarar suas atividades. Diante da exploração ativa, agências federais dos EUA foram orientadas a aplicar as correções até 4 de julho de 2026.

Vulnerabilidade no recurso de e-mail da Apple expõe dados de usuários

O recurso ‘Ocultar Meu E-mail’ da Apple, disponível para assinantes do iCloud+, apresenta uma vulnerabilidade que pode expor endereços de e-mail que deveriam ser protegidos. Identificado pela plataforma EasyOptOuts em junho de 2025, o problema persiste sem solução, mesmo após a Apple ter sido notificada. O recurso, que permite a criação de endereços de e-mail aleatórios para evitar a exposição do e-mail original, falhou em sua função principal, permitindo que, em testes realizados, o endereço original fosse acessado rapidamente. A Apple afirmou que está investigando a situação, mas até o momento não divulgou uma correção. Além disso, há planos para alterar o domínio dos endereços gerados de ‘@icloud.com’ para ‘@private.icloud.com’, o que pode impactar a eficácia do recurso. Essa situação levanta preocupações sobre a segurança dos dados dos usuários e a conformidade com a LGPD, especialmente considerando a popularidade dos serviços da Apple no Brasil.

Falha crítica no Argo CD permite execução de código não autenticado

Um grave problema de segurança foi identificado no Argo CD, uma ferramenta amplamente utilizada para implantações em Kubernetes. A falha, localizada no componente repo-server, permite que um atacante não autenticado execute código, desde que consiga acessar a porta interna do componente. A empresa Synacktiv, que descobriu a vulnerabilidade, alertou os mantenedores do Argo CD em janeiro de 2025, mas, após dezoito meses, a falha continua sem correção e não possui um CVE atribuído.

Mais de 900 instâncias do Oracle E-Business Suite expostas online

Mais de 900 instâncias do Oracle E-Business Suite (EBS) foram encontradas expostas na internet, em meio a ataques que exploram uma vulnerabilidade crítica identificada como CVE-2026-46817. Essa falha, localizada no componente de Transmissão de Arquivos do produto Oracle Payments, permite que atacantes sem privilégios e com acesso à rede HTTP assumam o controle de sistemas vulneráveis por meio de ataques de baixa complexidade. A Oracle já lançou atualizações de segurança para corrigir essa vulnerabilidade em seu patch de segurança crítico de maio de 2026 e pediu aos clientes que atualizem seus sistemas imediatamente. Embora a empresa ainda não tenha confirmado a exploração ativa dessa falha, a empresa de inteligência de ameaças Defused alertou que os atacantes estão, de fato, explorando essa vulnerabilidade, com os primeiros relatos de tentativas ocorrendo no último fim de semana. Além disso, a Shadowserver, um observatório de segurança na internet, identificou cerca de 950 instâncias do Oracle EBS expostas online, mas não há informações sobre quantas delas foram protegidas contra os ataques relacionados ao CVE-2026-46817. A situação é preocupante, especialmente considerando que a CISA já havia alertado sobre outras vulnerabilidades críticas da Oracle que estão sendo ativamente exploradas.