Vulnerabilidade

A Agência de Cibersegurança e Segurança de Infraestrutura dos EUA (CISA) emitiu um alerta urgente para que agências federais do país protejam seus servidores contra uma vulnerabilidade crítica no plugin LiteSpeed cPanel, identificada como CVE-2026-48172. Essa falha de escalonamento de privilégios permite que atacantes remotos, sem privilégios, executem scripts arbitrários com privilégios de root, devido a uma má gestão das funcionalidades de habilitar/desabilitar Redis. A LiteSpeed lançou atualizações de segurança para corrigir a falha e recomendou que os usuários atualizem o plugin para a versão mais recente. A CISA também incluiu essa vulnerabilidade em seu catálogo de falhas ativamente exploradas, exigindo que as agências federais apliquem patches até a meia-noite de 29 de maio. Embora a diretiva se aplique apenas a agências federais, a CISA instou o setor privado a priorizar a correção dessa vulnerabilidade, que representa um vetor de ataque frequente para cibercriminosos. Os usuários devem verificar se seus servidores estão vulneráveis usando um comando específico e tomar medidas para bloquear IPs suspeitos.

Pesquisadores de cibersegurança identificaram uma falha crítica na plataforma Gitea, um sistema de controle de versão de código aberto e auto-hospedado. A vulnerabilidade, classificada como CVE-2026-27771, permite que atacantes remotos não autenticados acessem imagens de contêiner privadas sem a necessidade de credenciais. Essa falha afeta todas as versões do Gitea anteriores à 1.26.2, que já possui um patch disponível. Estima-se que mais de 30.000 implantações em mais de 30 países estejam vulneráveis, com a maioria das exposições localizadas na China, EUA, Alemanha, França e Reino Unido. Organizações de setores variados, como saúde, manufatura aeroespacial e provedores de serviços de internet, estão entre as afetadas. A empresa de segurança Noscope destacou que a designação privada de repositórios de contêiner não ofereceu a proteção esperada, permitindo que qualquer pessoa na internet acessasse essas imagens como se fossem públicas. Para mitigar o problema, os usuários do Gitea são aconselhados a atualizar para a versão 1.26.2 ou, como solução temporária, configurar a opção de exigência de login na visualização dos serviços. No entanto, essa abordagem pode não ser viável para contêineres que devem ser expostos publicamente.

Um grupo de hackers explorou uma vulnerabilidade crítica de zero-day no servidor do sistema de gestão de aprendizagem KnowledgeDeliver, permitindo a implantação de um web shell conhecido como Godzilla. A falha, identificada como CVE-2026-5426, é um problema de deserialização que pode ser explorado sem autenticação, devido ao uso de uma chave de máquina compartilhada e hardcoded na configuração do portal web. Os atacantes conseguiram obter essa chave e realizar ataques de deserialização em ViewState, permitindo a execução remota de código no nível do sistema operacional. A Mandiant, que respondeu ao ataque no final de 2025, destacou que a vulnerabilidade foi inicialmente utilizada para injetar um script malicioso na plataforma web. O código malicioso induziu os usuários a baixar um instalador falso, resultando na infecção com um beacon do Cobalt Strike, criando uma porta dos fundos. Além disso, o Godzilla, um web shell baseado em .NET, foi utilizado para escalar o controle sobre o sistema de arquivos do servidor web. Este incidente ressalta a crescente preocupação com a segurança em plataformas web, especialmente aquelas que utilizam chaves de máquina inadequadamente protegidas.

A Microsoft confirmou um novo problema conhecido que afeta sistemas Windows Server 2016, resultando em falhas nas buscas de controladores de domínio após a instalação da atualização de segurança KB5087537, lançada em maio de 2026. Embora o Windows Server 2016 tenha atingido o fim do suporte mainstream em janeiro de 2022, a Microsoft estendeu o suporte por mais cinco anos para facilitar a migração dos clientes para versões mais recentes. O problema ocorre especificamente em dispositivos cujo nome do host possui exatamente 15 caracteres, levando a chamadas DCLocator a falharem e retornarem o erro ERROR_INVALID_PARAMETER. Isso impede que aplicações e ferramentas administrativas localizem um controlador de domínio, impactando operações administrativas que dependem dessa funcionalidade, como a gestão de namespaces DFS. A Microsoft está investigando a situação, mas ainda não forneceu um cronograma para a resolução. Além disso, a empresa também relatou falhas em atualizações do Windows e problemas de implantação de atualizações de segurança no Windows 11, destacando uma série de desafios recentes enfrentados pelos administradores de sistemas.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) alertou que agências governamentais têm até a noite de quarta-feira para corrigir uma vulnerabilidade de injeção SQL no sistema de gerenciamento de conteúdo Drupal, identificada como CVE-2026-9082. Essa falha, descoberta pelo pesquisador Michael Maturi, permite que atacantes realizem injeções SQL arbitrárias em sites que utilizam PostgreSQL, sem necessidade de autenticação. A exploração bem-sucedida pode resultar em divulgação de informações, escalonamento de privilégios e execução remota de código. A equipe de segurança do Drupal classificou a vulnerabilidade como “altamente crítica” e já foram detectadas tentativas de exploração em mais de 15.000 sites em 65 países, com foco em setores como jogos e serviços financeiros. A CISA incluiu a falha em seu Catálogo de Vulnerabilidades Conhecidas (KEV) e recomendou que todas as organizações, incluindo as do setor privado, apliquem os patches o mais rápido possível. A CISA enfatizou a importância de mitigar essa vulnerabilidade, que representa um vetor de ataque frequente para cibercriminosos.

O Indian Computer Emergency Response Team (CERT-In) divulgou novas diretrizes que exigem que organizações corrijam vulnerabilidades críticas em sistemas expostos à internet em até 12 horas após serem identificadas. Essa medida visa proteger contra ameaças emergentes, especialmente com o uso crescente de ferramentas de inteligência artificial (IA) por atacantes para automatizar a descoberta e exploração de vulnerabilidades. O CERT-In destaca que a exploração assistida por IA pode reduzir significativamente o tempo necessário para que adversários identifiquem e explorem falhas de segurança, aumentando a velocidade e a escala dos ataques cibernéticos. As diretrizes incluem a adoção de uma abordagem de Zero Trust, implementação de estratégias de defesa em profundidade e a necessidade de monitoramento contínuo das vulnerabilidades. Além disso, recomenda-se que as organizações mantenham a continuidade operacional durante incidentes cibernéticos e protejam dados sensíveis ao longo de seu ciclo de vida. O CERT-In também enfatiza a importância de práticas contínuas de gerenciamento de vulnerabilidades e correções, especialmente para sistemas críticos e serviços acessíveis publicamente.

A Microsoft lançou atualizações para corrigir uma vulnerabilidade de execução remota de código que afeta o SharePoint, identificada como CVE-2026-45659, com uma pontuação CVSS de 8.8, indicando severidade alta. Essa falha permite que um atacante autenticado execute código remotamente no servidor SharePoint, sem necessidade de privilégios elevados. A vulnerabilidade pode ser explorada por qualquer usuário com permissões mínimas de membro do site, tornando-a uma preocupação significativa para as organizações que utilizam essa plataforma. A Microsoft reconheceu o pesquisador MEOW por descobrir e relatar a falha, e atualizações estão disponíveis para as versões SharePoint Server Subscription Edition, SharePoint Server 2019 e SharePoint Enterprise Server 2016. Embora a empresa tenha indicado que a exploração dessa vulnerabilidade é menos provável, é crucial que os usuários apliquem as correções necessárias para garantir a proteção adequada, especialmente considerando que falhas anteriores no SharePoint foram frequentemente exploradas por atacantes. A atualização é uma resposta a um cenário de segurança em constante evolução, onde a proteção de dados e sistemas é essencial.

Um novo relatório da Verizon revela que a exploração de vulnerabilidades de software superou o uso de senhas roubadas como principal método de invasão de redes corporativas. Em 2025, 31% das violações de dados foram atribuídas a falhas de software, enquanto as credenciais roubadas caíram para 13%. A inteligência artificial (IA) está acelerando a descoberta e a exploração dessas vulnerabilidades, reduzindo o tempo que as empresas têm para aplicar correções de meses para horas. Apesar do aumento do risco, apenas 26% das vulnerabilidades críticas foram totalmente remediadas, com um tempo médio de aplicação de patches de 43 dias. Além disso, ataques de ransomware foram identificados em 48% das violações, embora o pagamento de resgates tenha diminuído. O uso de dispositivos móveis como vetor de ataque também cresceu, com golpes por SMS e chamadas de voz superando os tradicionais e-mails de phishing. A crescente adoção de ferramentas de IA no ambiente de trabalho, muitas vezes acessadas por contas não autorizadas, representa um novo risco, contribuindo para vazamentos de dados. O relatório destaca a necessidade urgente de as organizações melhorarem suas práticas de segurança e se adaptarem à velocidade das ameaças modernas.

Uma falha de segurança de alta gravidade, agora corrigida, afetou o sistema de gestão de aprendizagem Digital Knowledge KnowledgeDeliver, amplamente utilizado no Japão. A vulnerabilidade, identificada como CVE-2026-5426, possui uma pontuação CVSS de 7.5 e permite a execução remota de código não autenticado através de um ataque de desserialização do ViewState, devido ao uso de chaves de máquina ASP.NET codificadas. A exploração dessa falha possibilitou que um ator malicioso injetasse código malicioso na plataforma, visando infectar usuários que acessavam o site. O ataque resultou na implantação do shell web Godzilla e na execução de comandos que comprometeram o sistema de arquivos do servidor, além de manipulações que induziram os usuários a instalar um plugin de segurança falso, culminando na infecção por Cobalt Strike Beacon. A situação ressalta os riscos associados ao uso de segredos compartilhados em templates de implantação, onde uma única chave vazada pode comprometer múltiplas instâncias do sistema. A implementação de segredos únicos e monitoramento robusto de endpoints é recomendada para prevenir tais ataques.

Uma grave vulnerabilidade de injeção de comandos foi identificada no sistema operacional PolyScope 5, da Universal Robots, que afeta milhares de robôs industriais. A falha, classificada como CVE-2026-8153, possui uma pontuação CVSS de 9.8, indicando um risco crítico. Um atacante não autenticado que consiga acessar a porta de rede do Dashboard Server pode injetar comandos diretamente no sistema operacional do robô, comprometendo a confidencialidade, integridade e disponibilidade do sistema. A Universal Robots lançou um patch na versão 5.25.1, mas a instalação é necessária para mitigar a vulnerabilidade. A empresa alerta que a segurança da rede é crucial, pois a exploração remota requer que o Dashboard Server esteja habilitado e acessível na rede. Embora não haja relatos de exploração pública até o momento, a falta de segmentação adequada da rede pode permitir que esta vulnerabilidade seja explorada facilmente em ambientes industriais. A presença de robôs colaborativos, que trabalham ao lado de humanos, torna essa ameaça ainda mais preocupante, pois um robô comprometido pode causar danos físicos aos trabalhadores nas proximidades.

A Anthropic está se preparando para o lançamento público do modelo ‘Mythos’, anunciado em abril como um modelo restrito que apresenta riscos significativos à segurança de softwares privados e públicos. O Mythos promete avanços notáveis em tarefas de segurança cibernética, superando seu modelo anterior, Opus 4.7, em raciocínio de código e autonomia. A empresa alertou que o modelo pode desenvolver automaticamente ciberataques em um nível profissional, o que representa uma ameaça à infraestrutura digital global. Para mitigar esses riscos, a Anthropic decidiu adiar o lançamento até que um sistema de proteção robusto estivesse em vigor. O modelo Mythos já foi referenciado em versões públicas de Claude Code e Claude Security, indicando que a empresa está próxima de disponibilizá-lo. Além disso, a Anthropic está colaborando com outras empresas no projeto ‘Glasswing’, que visa proteger softwares críticos contra explorações impulsionadas por IA, utilizando o Mythos Preview. Nos primeiros 30 dias, o modelo identificou 10.000 vulnerabilidades de alta ou crítica severidade, o que justifica a cautela em seu lançamento.

Na última semana, o cenário de cibersegurança apresentou incidentes significativos, incluindo a violação do GitHub, que resultou na exfiltração de cerca de 3.800 repositórios devido a uma versão comprometida da extensão Nx Console do Visual Studio Code. O grupo TeamPCP foi identificado como responsável pelo ataque, que se insere em uma série de compromissos relacionados à cadeia de suprimentos de software. Além disso, uma vulnerabilidade crítica no núcleo do Linux, que permaneceu oculta por nove anos, foi divulgada, permitindo a execução de comandos como root em várias distribuições. A Microsoft também alertou sobre falhas ativas no Defender, que estão sendo exploradas, e lançou mitigações para uma vulnerabilidade de bypass do BitLocker. A situação é preocupante, com um aumento nas tentativas de exploração de falhas, como uma vulnerabilidade SQL no Drupal Core, que já está sendo atacada ativamente. A crescente sofisticação das campanhas de phishing e a exploração de botnets para atacar sistemas expostos à internet também foram destacadas, evidenciando a necessidade urgente de atualização e monitoramento contínuo das infraestruturas de segurança.

Recentemente, um grave problema de segurança foi identificado no Ghost CMS, uma plataforma popular de gerenciamento de conteúdo. A vulnerabilidade, classificada como CVE-2026-26980, apresenta uma pontuação de 9.4 no CVSS e permite que atacantes não autenticados realizem injeções SQL, acessando dados arbitrários do banco de dados. Essa falha foi corrigida na versão 6.19.1, lançada em fevereiro de 2026, após ser descoberta pela Anthropic.

Os atacantes estão utilizando essa vulnerabilidade para obter a chave da API de administração do site, o que lhes permite injetar código JavaScript malicioso em artigos, facilitando ataques de ClickFix. Desde sua detecção em 7 de maio de 2026, mais de 700 sites foram comprometidos, incluindo instituições de ensino, empresas de tecnologia e fintechs. O código injetado atua como um carregador de dois estágios, que busca um payload malicioso de um domínio externo, permitindo que os atacantes adaptem suas ações conforme necessário.

Uma campanha em larga escala está explorando uma vulnerabilidade crítica de injeção SQL (CVE-2026-26980) no Ghost CMS, permitindo que atacantes injetem código JavaScript malicioso em mais de 700 domínios, incluindo portais universitários e empresas de tecnologia. A vulnerabilidade afeta as versões do Ghost CMS entre 3.24.0 e 6.19.0, permitindo que invasores não autenticados leiam dados arbitrários do banco de dados do site, incluindo chaves da API de administração. O código malicioso injetado é um carregador leve que busca scripts adicionais da infraestrutura do atacante, levando a um ataque ClickFix que engana os visitantes a executarem comandos prejudiciais em seus sistemas. Embora um patch tenha sido disponibilizado em 19 de fevereiro de 2023, muitos sites ainda não o aplicaram, expondo-se a riscos significativos. Os administradores de sites são aconselhados a atualizar para a versão 6.19.1 ou superior e a revisar minuciosamente seus sistemas em busca de scripts injetados.

No último mês, a Anthropic anunciou que seu projeto de cibersegurança, denominado Glasswing, identificou mais de 10.000 vulnerabilidades de alta ou crítica severidade em softwares essenciais globalmente. Dentre essas, 6.202 foram classificadas como falhas impactantes em mais de 1.000 projetos de código aberto, com 1.726 sendo confirmadas como verdadeiros positivos. Um exemplo crítico é a vulnerabilidade no WolfSSL (CVE-2026-5194), que permite a falsificação de certificados. A iniciativa, que oferece acesso antecipado ao modelo Claude Mythos Preview para cerca de 50 parceiros, visa fortalecer a infraestrutura de software global. A Anthropic destaca a necessidade urgente de que desenvolvedores reduzam seus ciclos de correção e implementem medidas de segurança, como autenticação multifatorial. Além disso, a empresa lançou um Programa de Verificação Cibernética, permitindo que profissionais de segurança utilizem seus modelos para pesquisa de vulnerabilidades e testes de penetração. Com a crescente descoberta de vulnerabilidades assistida por IA, a pressão sobre os fornecedores de software para corrigir falhas está aumentando.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma falha crítica de segurança no Drupal Core em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), após evidências de exploração ativa. A vulnerabilidade, identificada como CVE-2026-9082, possui uma pontuação CVSS de 6.5 e é uma falha de injeção SQL que afeta todas as versões suportadas do Drupal Core. Essa falha pode permitir a escalada de privilégios e execução remota de código através de requisições especialmente elaboradas. Menos de dois dias após a liberação de correções, a Drupal confirmou que tentativas de exploração estão sendo detectadas, com mais de 15.000 tentativas de ataque em quase 6.000 sites em 65 países, principalmente em sites de serviços financeiros e de jogos. As agências do governo federal dos EUA foram aconselhadas a aplicar as correções até 27 de maio de 2026 para garantir proteção adequada. A natureza da vulnerabilidade sugere que, embora a atividade atual seja predominantemente de reconhecimento, a exploração bem-sucedida pode rapidamente evoluir para extração de dados ou escalada de privilégios.

Uma vulnerabilidade de segurança de alta severidade, identificada como CVE-2026-48172, está afetando o plugin LiteSpeed User-End cPanel e já está sendo explorada ativamente. Com uma pontuação CVSS de 10.0, a falha se relaciona a uma atribuição incorreta de privilégios, permitindo que um atacante execute scripts arbitrários com permissões elevadas. Qualquer usuário do cPanel, incluindo contas comprometidas, pode explorar a função lsws.redisAble para executar scripts como root. A vulnerabilidade afeta todas as versões do plugin entre 2.3 e 2.4.4, enquanto o plugin WHM do LiteSpeed não é impactado. A LiteSpeed já lançou a versão 2.4.5 para corrigir a falha e recomenda que os usuários atualizem para a versão 5.3.1.0 do plugin WHM, que inclui a versão 2.4.7 do plugin cPanel. Caso a atualização não seja viável, é sugerido desinstalar o plugin do usuário final. A situação é preocupante, especialmente após a recente descoberta de outra vulnerabilidade crítica no cPanel, que também estava sendo explorada por atores maliciosos.

Uma vulnerabilidade crítica no sistema operacional Linux, identificada como CVE-2026-46333, foi revelada pela Qualys. Essa falha, que existe desde 2016, permite que usuários comuns ou atacantes maliciosos obtenham acesso administrativo em sistemas vulneráveis. A vulnerabilidade afeta distribuições populares como Debian, Ubuntu e Fedora, e ocorre durante um breve intervalo em que um processo privilegiado está encerrando, permitindo que usuários não privilegiados acessem arquivos e conexões abertas. A Qualys demonstrou a exploração da falha em instalações padrão dessas distribuições. A pontuação de severidade da vulnerabilidade é de 5.5/10, considerada média. Os administradores devem aplicar atualizações de segurança imediatamente, e aqueles que não puderem fazê-lo devem aumentar a proteção do sistema. A falha foi reportada à equipe de segurança do kernel do Linux, que lançou um patch rapidamente. É aconselhável que sistemas com usuários locais não confiáveis tratem chaves SSH e credenciais como comprometidas e as rotacionem o mais rápido possível.

A Microsoft anunciou a correção de duas vulnerabilidades críticas no seu software de antivírus Defender, que estão sendo ativamente exploradas por cibercriminosos. As falhas, identificadas como CVE-2026-41091 e CVE-2026-45498, têm pontuações de severidade de 7.8 e 7.5, respectivamente, em uma escala de 10. A primeira permite a escalada de privilégios, enquanto a segunda pode causar negação de serviço. As atualizações foram enviadas automaticamente, mas os usuários são aconselhados a verificar manualmente se estão utilizando as versões mais recentes do Malware Protection Engine e da Antimalware Platform. A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) incluiu essas vulnerabilidades em seu catálogo de vulnerabilidades conhecidas, dando um prazo até 3 de junho para que agências federais realizem as correções necessárias. A Microsoft recomenda que todos os usuários do Defender verifiquem suas versões para garantir que estão protegidos contra essas ameaças.

O Drupal, um popular sistema de gerenciamento de conteúdo, emitiu um alerta sobre uma vulnerabilidade de injeção SQL considerada ‘altamente crítica’, identificada como CVE-2026-9082. Essa falha, descoberta pelo pesquisador Michael Maturi da Google/Mandiant, afeta a API de abstração de banco de dados do Drupal e permite que atacantes executem comandos SQL maliciosos em sites que utilizam PostgreSQL. A exploração dessa vulnerabilidade não requer autenticação, o que aumenta significativamente os riscos, podendo levar à execução remota de código, escalonamento de privilégios e divulgação de informações sensíveis. Desde a publicação do alerta, tentativas de exploração já foram detectadas, levando o Drupal a atualizar a pontuação de risco para 23 em 25, embora o NIST a classifique como de severidade média, com uma pontuação CVSS de 6.5. O Drupal recomenda que todos os administradores atualizem imediatamente para as versões mais recentes de suas ramificações, uma vez que a falha impacta diversas versões do sistema. Além disso, mesmo aqueles que não utilizam PostgreSQL devem realizar a atualização, pois as correções incluem melhorias em dependências críticas como Symfony e Twig. O uso contínuo das versões 8 e 9 do Drupal, que estão no fim de sua vida útil, é considerado arriscado devido a outras vulnerabilidades conhecidas.

A Trend Micro, empresa japonesa de cibersegurança, identificou uma vulnerabilidade zero-day no seu software Apex One, que é uma plataforma de segurança de endpoint para empresas. A falha, classificada como CVE-2026-34926, é uma vulnerabilidade de travessia de diretórios no servidor Apex One (versão local), permitindo que atacantes locais com privilégios administrativos injetem código malicioso. A empresa alertou que, apesar das condições restritivas para exploração, já houve tentativas de ataque na prática. A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu essa vulnerabilidade em sua lista de falhas ativamente exploradas e ordenou que agências federais aplicassem patches até 4 de junho. Além disso, a Trend Micro lançou atualizações de segurança para corrigir outras sete vulnerabilidades de escalonamento de privilégios locais no agente de proteção de endpoint Apex One. Nos últimos anos, a Apex One tem sido alvo frequente de ataques, com várias falhas zero-day sendo exploradas. A CISA atualmente monitora 12 vulnerabilidades da Trend Micro que foram ou ainda estão sendo utilizadas em ataques.

O artigo analisa a interação de drivers em modo kernel do Windows com o modo usuário, mesmo na ausência do hardware para o qual foram desenvolvidos. Essa pesquisa é motivada pela necessidade de avaliar a explorabilidade de vulnerabilidades em drivers, que frequentemente são limitadas por condições de hardware. O foco está na arquitetura Plug and Play do Windows e na superfície de ataque que os drivers representam, especialmente em ataques do tipo BYOVD (Bring Your Own Vulnerable Driver). Esses ataques podem permitir a escalada de privilégios locais e a interrupção de componentes de segurança do sistema, como EDRs. O artigo destaca que a criação de objetos de dispositivo é um vetor de ataque viável, mas que muitos drivers não permitem a exploração sem o hardware correspondente. A análise inclui padrões comuns de criação e manutenção de objetos de dispositivo, além de discutir a lógica de inicialização de drivers compatíveis com PnP. O estudo é relevante para profissionais de cibersegurança, pois fornece insights sobre como vulnerabilidades em drivers podem ser exploradas, mesmo em condições adversas. A pesquisa foi realizada em uma versão específica do Windows 11, e os resultados podem impactar a segurança de sistemas que utilizam esses drivers.

Um estudo da Checkmarx revelou que 75% das organizações reconhecem que frequentemente enviam código vulnerável, uma prática que se tornou comum no setor. A pesquisa destaca que, enquanto em 2018 o tempo médio para explorar uma vulnerabilidade era de 840 dias, atualmente esse prazo caiu para menos de dois dias, e pode chegar a apenas um minuto em um futuro próximo. Essa situação é alarmante, especialmente para setores críticos como a saúde, que já enfrenta um aumento nos ataques de ransomware e pressão regulatória. Além disso, a utilização de aplicativos ‘vibe-coded’, que são desenvolvidos inteiramente por meio de interações com IA, tem exacerbado a exposição a falhas de segurança, resultando em mais de 5.000 aplicativos que expõem dados corporativos e pessoais na web. O cenário atual exige uma revisão urgente das práticas de segurança cibernética das empresas, uma vez que a velocidade de exploração de vulnerabilidades está aumentando rapidamente.

A Ubiquiti divulgou atualizações de segurança para corrigir três vulnerabilidades de gravidade máxima no UniFi OS, que podem ser exploradas por atacantes remotos sem privilégios. O UniFi OS é um sistema operacional unificado que gerencia a infraestrutura de TI, incluindo redes e segurança. A primeira falha (CVE-2026-34908) permite alterações não autorizadas em sistemas, enquanto a segunda (CVE-2026-34909) possibilita o acesso a arquivos do sistema subjacente por meio de uma vulnerabilidade de Path Traversal. A terceira falha (CVE-2026-34910) permite ataques de injeção de comandos após o acesso à rede, explorando uma vulnerabilidade de validação inadequada de entrada. Além disso, a Ubiquiti corrigiu uma segunda falha crítica de injeção de comandos (CVE-2026-33000) e uma de divulgação de informações (CVE-2026-34911). Embora a empresa não tenha confirmado se as vulnerabilidades foram exploradas antes da divulgação, elas podem ser utilizadas em ataques de baixa complexidade. Atualmente, a empresa de inteligência de ameaças Censys rastreia cerca de 100.000 endpoints do UniFi OS expostos na Internet, a maioria localizada nos Estados Unidos. A Ubiquiti já enfrentou ataques de grupos de hackers apoiados por estados e cibercriminosos, o que destaca a importância de mitigar essas vulnerabilidades rapidamente.

A Cisco lançou atualizações para uma vulnerabilidade de alta severidade no Secure Workload, identificada como CVE-2026-20223, com uma pontuação CVSS de 10.0. Essa falha permite que um atacante remoto e não autenticado acesse dados sensíveis devido à validação e autenticação insuficientes ao acessar endpoints da API REST. Segundo a Cisco, um atacante pode explorar essa vulnerabilidade enviando uma solicitação de API manipulada para um endpoint afetado, o que pode resultar na leitura de informações confidenciais e na realização de alterações de configuração com privilégios de administrador do site. A vulnerabilidade afeta o Cisco Secure Workload Cluster Software em implementações SaaS e locais, independentemente da configuração do dispositivo, e não há soluções alternativas disponíveis. As versões afetadas incluem o Cisco Secure Workload Release 3.9 e anteriores, com correções disponíveis nas versões 3.10.8.3 e 4.0.3.17. A Cisco identificou a falha durante testes internos de segurança e não há evidências de exploração ativa até o momento.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu duas vulnerabilidades críticas em seu catálogo de Vulnerabilidades Conhecidas Exploradas (KEV), afetando o Langflow e o Trend Micro Apex One. A primeira, CVE-2025-34291, com um escore CVSS de 9.4, é uma falha de validação de origem no Langflow que permite a execução de código arbitrário, comprometendo totalmente o sistema. A segunda, CVE-2026-34926, com um escore CVSS de 6.7, é uma vulnerabilidade de travessia de diretório nas versões on-premise do Apex One, que pode ser explorada por um atacante local com credenciais administrativas para injetar código malicioso. Relatórios indicam que a falha no Langflow foi explorada por um grupo de hackers iraniano, MuddyWater, para obter acesso inicial a redes-alvo. A CISA exige que as agências federais apliquem correções até 4 de junho de 2026, dada a gravidade da exploração ativa dessas vulnerabilidades.

Um erro grave no Chromium, que permite que o JavaScript continue a ser executado em segundo plano mesmo após o fechamento do navegador, foi acidentalmente revelado pelo Google. A falha, identificada pela pesquisadora de segurança Lyra Rebane, foi reconhecida em dezembro de 2022 e afeta todos os navegadores baseados em Chromium, como Google Chrome, Microsoft Edge e Brave. Um atacante pode explorar essa vulnerabilidade criando uma página maliciosa que utiliza um Service Worker, permitindo a execução contínua de código JavaScript nos dispositivos dos usuários. Isso pode resultar em ataques de negação de serviço distribuído (DDoS) e redirecionamento de tráfego malicioso. Apesar de a falha ter sido marcada como corrigida em fevereiro de 2023, a pesquisadora constatou que o problema persiste em versões recentes do Chrome e Edge. A exposição das informações sobre a vulnerabilidade pode facilitar a exploração, embora não permita acesso direto a dados pessoais dos usuários. Dada a gravidade da situação, espera-se que o Google trate o problema como urgente e lance correções rapidamente.

A Cisco divulgou atualizações de segurança para corrigir uma vulnerabilidade crítica no Cisco Secure Workload, anteriormente conhecido como Cisco Tetration. Essa falha, identificada como CVE-2026-20223, permite que atacantes não autenticados obtenham privilégios de Site Admin através de APIs REST internas do Secure Workload. A vulnerabilidade decorre de uma validação e autenticação insuficientes ao acessar os endpoints da API, possibilitando que um atacante envie uma solicitação API manipulada para um endpoint afetado. A exploração bem-sucedida dessa falha pode permitir que o invasor leia informações sensíveis e faça alterações de configuração em diferentes inquilinos com os privilégios de um usuário Site Admin. A Cisco não encontrou evidências de que essa vulnerabilidade tenha sido explorada antes da divulgação do aviso. Para mitigar o problema, a empresa lançou atualizações de software para clientes on-premises e já corrigiu a falha na versão SaaS do Cisco Secure Workload. A situação é alarmante, especialmente considerando que a Cisco já havia alertado sobre outra vulnerabilidade crítica em sua plataforma Catalyst SD-WAN, que estava sendo explorada ativamente. Com um histórico de 91 vulnerabilidades da Cisco sendo exploradas nos últimos cinco anos, a necessidade de atenção redobrada por parte das equipes de segurança é evidente.

Na quarta-feira, a Microsoft iniciou a distribuição de patches de segurança para duas vulnerabilidades do Microsoft Defender que estão sendo exploradas em ataques zero-day. A primeira, identificada como CVE-2026-41091, é uma falha de escalonamento de privilégios que afeta o Microsoft Malware Protection Engine 1.1.26030.3008 e versões anteriores. Essa vulnerabilidade permite que atacantes obtenham privilégios de SYSTEM devido a uma resolução inadequada de links antes do acesso a arquivos. A segunda vulnerabilidade, CVE-2026-45498, impacta sistemas com a Microsoft Defender Antimalware Platform 4.18.26030.3011 e versões anteriores, permitindo que atores maliciosos provoquem estados de negação de serviço (DoS) em dispositivos Windows não corrigidos. A Microsoft lançou as versões 1.1.26040.8 e 4.18.26040.7 para corrigir essas falhas e recomenda que os usuários verifiquem se as atualizações estão configuradas para instalação automática. A CISA, agência de cibersegurança dos EUA, também emitiu um alerta para que agências governamentais protejam seus sistemas Windows contra essas vulnerabilidades, que estão ativamente sendo exploradas. A CISA incluiu essas falhas em seu catálogo de vulnerabilidades conhecidas exploradas e ordenou que as agências federais tomem medidas de segurança em até duas semanas.

Pesquisadores de cibersegurança revelaram uma vulnerabilidade crítica no kernel do Linux, identificada como CVE-2026-46333, que permaneceu oculta por nove anos. Com uma pontuação CVSS de 5.5, a falha se refere a uma gestão inadequada de privilégios, permitindo que usuários locais não privilegiados acessem arquivos sensíveis e executem comandos como root em distribuições populares como Debian, Fedora e Ubuntu. A vulnerabilidade, conhecida como ssh-keysign-pwn, foi descoberta pela Qualys e está relacionada à função __ptrace_may_access() do kernel, introduzida em novembro de 2016. A exploração bem-sucedida pode permitir a divulgação de arquivos críticos, como /etc/shadow e chaves privadas em /etc/ssh/*_key. A Qualys recomenda que as distribuições Linux apliquem atualizações de kernel imediatamente. Caso não seja possível, sugere-se aumentar o parâmetro “kernel.yama.ptrace_scope” para 2 como uma medida temporária. A situação é agravada pela recente divulgação de um exploit de prova de conceito (PoC) para essa vulnerabilidade, o que aumenta a urgência de ações corretivas. Além disso, um exploit chamado PinTheft, que permite a escalada de privilégios locais em sistemas Arch Linux, foi também mencionado, destacando a necessidade de vigilância contínua em relação a falhas de segurança no Linux.

A Microsoft revelou que duas vulnerabilidades no Microsoft Defender estão sendo ativamente exploradas. A primeira, classificada como CVE-2026-41091, possui uma pontuação de 7.8 no sistema CVSS e permite que atacantes autorizados elevem seus privilégios a nível de sistema. A segunda, CVE-2026-45498, é uma falha de negação de serviço com uma pontuação de 4.0. Ambas as vulnerabilidades foram corrigidas nas versões mais recentes da plataforma de antimalware da Microsoft. A empresa destacou que sistemas que desativaram o Defender não estão vulneráveis e que as atualizações são automáticas. A CISA dos EUA incluiu essas falhas em seu catálogo de vulnerabilidades conhecidas, exigindo que agências federais apliquem as correções até 3 de junho de 2026. Além disso, a Microsoft já havia relatado outras vulnerabilidades exploradas recentemente, aumentando a preocupação com a segurança de suas soluções. A situação exige atenção, especialmente para organizações que dependem do Defender para proteção contra ameaças cibernéticas.

O Drupal divulgou atualizações de segurança para uma vulnerabilidade considerada “altamente crítica” no Drupal Core, identificada como CVE-2026-9082. Essa falha pode ser explorada por atacantes para realizar execução remota de código, escalonamento de privilégios ou divulgação de informações. A vulnerabilidade está relacionada a uma API de abstração de banco de dados utilizada para validar consultas e proteger contra ataques de injeção SQL, afetando especificamente sites que utilizam bancos de dados PostgreSQL. A exploração pode ser realizada por usuários anônimos, o que aumenta o risco. As versões afetadas incluem Drupal 11.3.10, 11.2.12, 11.1.10, 10.6.9, 10.5.10 e 10.4.10, enquanto o Drupal 7 não é impactado. O Drupal também lançou patches manuais para versões 9 e 8, que já atingiram o fim de vida útil. A gravidade da falha justifica a atualização imediata para evitar possíveis ataques, uma vez que versões não suportadas ainda podem conter outras vulnerabilidades conhecidas.

A PlayStation Network (PSN) enfrenta uma grave vulnerabilidade que tem impactado usuários, incluindo figuras públicas como Colin Moriarty, que relatou ter sido hackeado. Os ataques ocorrem sem que as vítimas precisem clicar em links suspeitos, bastando que os hackers tenham acesso à ID da conta e a alguns dados de transação. A Sony, por sua vez, tem sido criticada por sua falta de ação e comunicação, limitando-se a remover informações de cartões de crédito e prometer uma análise que pode levar até três semanas. A falha permite que qualquer pessoa solicite a troca de e-mail vinculado à conta e desabilite a autenticação de dois fatores, colocando em risco a segurança de milhares de usuários. Além disso, a PSN já enfrenta problemas recorrentes de quedas e instabilidades, dificultando o acesso à PlayStation Store e ao multiplayer online. A situação levanta preocupações sobre a segurança da plataforma e a proteção dos dados dos usuários, especialmente em um cenário onde o jogo online se torna cada vez mais complexo e caro.

Recentemente, a empresa de cibersegurança ReliaQuest identificou um ataque direcionado a dispositivos SonicWall Gen6 SSL-VPN, onde atores de ameaças conseguiram contornar a autenticação multifator (MFA) e acessar redes internas. O ataque, que levou entre 30 a 60 minutos para ser executado, envolveu a força bruta de credenciais VPN e a exploração da vulnerabilidade CVE-2024-12802. Essa falha permite que um invasor com credenciais válidas autentique-se diretamente, ignorando a MFA. Embora muitos dispositivos estivessem com o firmware atualizado, a falta de reconfiguração manual do servidor LDAP deixou as redes vulneráveis. Em um dos incidentes analisados, o invasor conseguiu acessar um servidor de arquivos em menos de meia hora e tentou implantar ferramentas como o Cobalt Strike, mas foi bloqueado por soluções de detecção de endpoint. A SonicWall já emitiu um aviso de segurança, alertando que a simples atualização do firmware não é suficiente para mitigar a vulnerabilidade, sendo necessária uma reconfiguração adicional. Dada a gravidade da situação e a possibilidade de exploração em diversos setores, é crucial que as empresas que utilizam esses dispositivos tomem medidas imediatas para garantir a segurança de suas redes.

O Drupal, um sistema de gerenciamento de conteúdo amplamente utilizado por grandes organizações, incluindo setores governamentais, educacionais e de saúde, anunciou uma atualização de segurança crucial programada para hoje. A equipe de segurança do Drupal alertou que, após a divulgação da vulnerabilidade, é provável que atacantes desenvolvam exploits em questão de horas. Administradores de sites que utilizam as versões 8 ou 9 do Drupal são fortemente aconselhados a atualizar para pelo menos a versão 10.6. A vulnerabilidade afeta o núcleo do Drupal a partir da versão 8, embora nem todas as configurações sejam impactadas. Atualizações de segurança estarão disponíveis para várias versões, incluindo as 11.3.x, 10.6.x e outras, com correções também sendo fornecidas para versões não suportadas devido à gravidade do problema. É importante ressaltar que as versões 8 e 9 não receberão patches, mas arquivos de correção serão disponibilizados para versões específicas. Os administradores devem monitorar o portal de segurança oficial do Drupal para mais informações e aplicar as atualizações assim que estiverem disponíveis, mantendo cautela em relação a informações fraudulentas que possam circular online.

Uma nova vulnerabilidade de escalonamento de privilégios no Linux, chamada PinTheft, foi recentemente corrigida, mas agora possui um exploit de prova de conceito (PoC) disponível publicamente. Essa falha, que afeta o kernel Linux, especificamente o módulo RDS (Reliable Datagram Sockets), permite que atacantes locais obtenham privilégios de root em sistemas Arch Linux. O exploit se aproveita de um erro no caminho de envio zerocopy do RDS, onde páginas de usuário são ‘pinned’ uma a uma. Se ocorrer uma falha de página, as páginas já ‘pinned’ são descartadas, permitindo que referências sejam roubadas. Para que a exploração seja bem-sucedida, o módulo RDS deve estar carregado, o que é padrão apenas no Arch Linux entre as distribuições mais comuns. Os usuários são aconselhados a instalar as atualizações do kernel imediatamente, mas uma mitigação temporária também foi sugerida. Essa vulnerabilidade se junta a uma série de outras falhas de escalonamento de privilégios que foram reveladas recentemente, algumas das quais estão sendo ativamente exploradas por agentes de ameaças. A situação é crítica, especialmente para usuários de distribuições Linux afetadas, que devem agir rapidamente para proteger seus sistemas.

A Microsoft divulgou uma mitigação para uma vulnerabilidade crítica no BitLocker, conhecida como YellowKey, que permite a um atacante contornar a proteção de criptografia em dispositivos Windows. A falha, identificada como CVE-2026-45585, possui uma pontuação CVSS de 6.8 e afeta diversas versões do Windows 11 e Windows Server 2025. O problema foi revelado por um pesquisador de segurança e permite que arquivos especialmente manipulados sejam usados para obter acesso não autorizado ao volume protegido pelo BitLocker. Para mitigar o risco, a Microsoft recomenda que os usuários montem a imagem do Windows Recovery Environment (WinRE) em seus dispositivos e realizem modificações específicas no registro do sistema. Além disso, a empresa sugere que os administradores mudem a configuração do BitLocker de ‘TPM-only’ para ‘TPM+PIN’, o que exige um PIN para a descriptografia do disco na inicialização, aumentando a segurança contra ataques do tipo YellowKey. A vulnerabilidade destaca a importância de manter as configurações de segurança atualizadas e de implementar medidas adicionais de autenticação em dispositivos críticos.

A Microsoft anunciou medidas de mitigação para a vulnerabilidade YellowKey, uma falha zero-day no BitLocker do Windows que permite acesso não autorizado a unidades protegidas. A vulnerabilidade foi revelada por um pesquisador anônimo, conhecido como ‘Nightmare Eclipse’, que também publicou um exploit de prova de conceito (PoC). O ataque envolve a colocação de arquivos ‘FsTx’ em um dispositivo USB ou partição EFI, seguido de um reinício no Windows Recovery Environment (WinRE) e a ativação de um shell com acesso irrestrito ao volume protegido pelo BitLocker. A Microsoft classificou a falha como CVE-2026-45585 e recomendou a remoção do executável autofstx.exe do registro do sistema, além de sugerir a configuração do BitLocker para exigir um PIN na inicialização. Essas medidas visam proteger os dispositivos até que uma atualização de segurança seja disponibilizada. A situação é preocupante, pois outras vulnerabilidades, como BlueHammer e RedSun, também foram divulgadas recentemente e estão sendo exploradas em ataques ativos. A empresa enfatiza a importância de seguir as orientações para mitigar os riscos associados a essa falha.

Uma vulnerabilidade de gravidade máxima foi identificada na versão mais recente do FastAPI do projeto ChromaDB, permitindo que atacantes não autenticados executem código arbitrário em servidores expostos. A falha, registrada como CVE-2026-45829, foi reportada em 17 de fevereiro e recebeu a pontuação máxima de severidade pela HiddenLayer, a empresa que a descobriu. O ChromaDB, um banco de dados vetorial de código aberto, é amplamente utilizado em aplicações de inteligência artificial, facilitando a recuperação de documentos relevantes durante a inferência de modelos de linguagem. A vulnerabilidade afeta a lógica do servidor API em Python, colocando em risco o pacote PyPI, que conta com quase 14 milhões de downloads mensais. A falha permite que um endpoint de API marcado como autenticado permita que atacantes embutam configurações de modelo antes da verificação de autenticação, possibilitando a execução de modelos maliciosos. Embora uma nova versão tenha sido lançada, não está claro se a vulnerabilidade foi corrigida. A HiddenLayer tentou contatar os desenvolvedores sem sucesso, e cerca de 73% das instâncias expostas na internet estão rodando uma versão vulnerável. Recomenda-se que os usuários evitem expor o servidor Python publicamente ou optem pela interface em Rust até que a situação seja esclarecida.

O Relatório de Vulnerabilidades da Microsoft de 2026 revela que, embora o número total de vulnerabilidades tenha diminuído de 1.360 para 1.273 em 2025, as vulnerabilidades críticas dobraram, passando de 78 para 157. A concentração de falhas em Elevação de Privilégios, que representa 40% de todas as CVEs, e um aumento de 73% em falhas de Divulgação de Informações indicam que os atacantes estão priorizando métodos discretos de exploração. Em ambientes de nuvem, como Microsoft Azure e Dynamics 365, as vulnerabilidades críticas aumentaram drasticamente, o que pode comprometer operações empresariais inteiras. O relatório destaca que a gestão de patches sozinha não é suficiente; as organizações devem focar na redução de privilégios e na visibilidade de identidade. A crescente utilização de agentes de IA também exige uma postura de segurança robusta. O artigo conclui que, se as organizações não reavaliarem suas suposições sobre privilégios e identidade, o impacto de futuras violações pode ser severo, mesmo que os números de vulnerabilidades pareçam estáveis.

O Drupal, um sistema de gerenciamento de conteúdo amplamente utilizado, alertou sobre uma atualização de segurança crítica programada para o dia 20 de maio de 2026, entre 17h e 21h UTC. A equipe de segurança do Drupal recomenda que os administradores reservem tempo para aplicar as atualizações, pois vulnerabilidades podem ser exploradas rapidamente após o anúncio. Embora a natureza exata da vulnerabilidade ainda não tenha sido divulgada, a gravidade é sugerida pela liberação de patches para versões de núcleo que já estão fora de suporte. Para sites que utilizam versões suportadas, como Drupal 11.1 ou 10.4, é aconselhável atualizar para as versões 11.1.9 e 10.4.9, respectivamente, antes da janela de atualização. Para aqueles que ainda utilizam versões obsoletas, como Drupal 8 e 9, a aplicação manual de patches será necessária, embora não haja garantia de que esses patches funcionem corretamente. O Drupal 7 não é afetado por essa vulnerabilidade. A atualização é crucial para mitigar riscos de segurança, especialmente em um cenário onde a conformidade com a LGPD é uma preocupação crescente.

Um novo código de exploração de prova de conceito (PoC) foi liberado para uma vulnerabilidade recentemente corrigida no kernel Linux, conhecida como DirtyDecrypt (ou DirtyCBC). Descoberta pela equipe de segurança Zellic e V12 em 9 de maio de 2026, a falha permite a escalada de privilégios locais (LPE) devido à ausência de uma proteção de copy-on-write (COW) na função rxgk_decrypt_skb. Essa vulnerabilidade, identificada como CVE-2026-31635, possui uma pontuação CVSS de 7.5 e afeta distribuições como Fedora, Arch Linux e openSUSE Tumbleweed. A falha permite que dados sejam escritos na memória de processos privilegiados, potencialmente comprometendo arquivos sensíveis como /etc/shadow e /etc/sudoers. Além disso, a vulnerabilidade é considerada uma variante de outras falhas que também permitem acesso root em sistemas vulneráveis. Em resposta a uma série de vulnerabilidades críticas, desenvolvedores do kernel Linux estão considerando a implementação de um “killswitch” para desativar funções vulneráveis até que correções adequadas sejam disponibilizadas. O Rocky Linux introduziu um repositório de segurança opcional para fornecer correções urgentes rapidamente, destacando a necessidade de uma resposta ágil a vulnerabilidades críticas.

Pesquisadores da InfoGuard Labs identificaram vulnerabilidades críticas no SEPPMail Secure E-Mail Gateway, uma solução de segurança de e-mail empresarial. Essas falhas podem ser exploradas para execução remota de código e leitura de e-mails arbitrários. Entre as vulnerabilidades destacadas, a CVE-2026-2743, com pontuação CVSS de 10.0, permite a execução de código remoto através de uma vulnerabilidade de travessia de caminho na interface web do SEPPMail. Outras falhas, como a CVE-2026-44128, possibilitam a execução de código remoto não autenticado, utilizando injeção de eval em parâmetros de usuário. Os pesquisadores alertam que um atacante poderia, por exemplo, sobrescrever a configuração do syslog do sistema, obtendo controle total do appliance SEPPMail e acessando todo o tráfego de e-mail. Embora algumas vulnerabilidades já tenham sido corrigidas em versões recentes, a gravidade das falhas restantes exige atenção imediata dos administradores de sistemas. A situação é preocupante, especialmente considerando que a SEPPMail já havia lançado atualizações para corrigir outra falha crítica recentemente.

O cenário de cibersegurança apresenta uma série de incidentes preocupantes, incluindo a exploração ativa de uma vulnerabilidade no Microsoft Exchange Server, identificada como CVE-2026-42897, com um CVSS de 8.1. Essa falha, que permite spoofing devido a um erro de cross-site scripting, está sendo explorada, embora detalhes sobre os atacantes e a extensão dos ataques ainda sejam desconhecidos. Além disso, um grupo de ameaças sofisticadas, UAT-8616, está atacando o Cisco Catalyst SD-WAN Controller, utilizando uma falha crítica de bypass de autenticação (CVE-2026-20182) para obter acesso não autorizado e escalar privilégios. Outro ataque significativo foi atribuído ao TeamPCP, que comprometeu pacotes npm, visando a cadeia de suprimentos de software para implantar malware e roubar credenciais. Esses incidentes destacam a importância de uma vigilância constante e de ações rápidas para mitigar riscos. Por fim, a Apple e o Google estão implementando mensagens RCS com criptografia de ponta a ponta, enquanto a Instructure chegou a um acordo com os atacantes do grupo ShinyHunters após um ataque que comprometeu dados de instituições educacionais.

A Microsoft confirmou que a atualização de segurança do Windows 11 de maio de 2026 (KB5089549) está apresentando falhas de instalação em alguns sistemas, resultando em erros 0x800f0922. Esse problema é causado pela falta de espaço livre na Partição do Sistema EFI (ESP), especialmente em dispositivos com 10 MB ou menos disponíveis. A instalação pode avançar nas fases iniciais, mas falha durante a reinicialização, gerando a mensagem ‘Algo não saiu como planejado. Desfazendo alterações.’ Os usuários afetados podem encontrar entradas de log que indicam a insuficiência de espaço na ESP. A Microsoft está trabalhando na resolução do problema e recomenda que os clientes afetados utilizem o recurso Known Issue Rollback para reverter a atualização problemática. Em ambientes corporativos, os administradores de TI podem mitigar a situação instalando e configurando uma Política de Grupo específica. Além disso, a atualização KB5089549 foi lançada juntamente com outras correções e melhorias, incluindo um conserto para um problema que fazia alguns sistemas do Windows 11 inicializarem na recuperação do BitLocker após a instalação das atualizações de segurança de abril de 2026.

O pesquisador de segurança Chaotic Eclipse divulgou uma prova de conceito (PoC) para uma vulnerabilidade zero-day no Windows, chamada MiniPlasma, que permite a elevação de privilégios para SYSTEM em sistemas Windows totalmente atualizados. A falha, que afeta o driver ‘cldflt.sys’ (Windows Cloud Files Mini Filter Driver), foi inicialmente reportada ao Microsoft por James Forshaw, do Google Project Zero, em setembro de 2020. Embora a Microsoft tenha supostamente corrigido a vulnerabilidade em dezembro de 2020, Chaotic Eclipse descobriu que o problema persiste sem correção. A PoC original funcionou sem alterações, e o pesquisador conseguiu criar uma versão armada que abre um shell SYSTEM. A vulnerabilidade parece afetar todas as versões do Windows, com testes indicando que funciona de forma confiável em sistemas Windows 11 com as atualizações mais recentes. A Microsoft já havia abordado outra falha de elevação de privilégios no mesmo componente em dezembro de 2025, mas a MiniPlasma continua sem solução. A situação é preocupante, pois a exploração dessa vulnerabilidade pode permitir que atacantes obtenham controle total sobre sistemas vulneráveis.

Recentemente, várias empresas de tecnologia, incluindo Ivanti, Fortinet, SAP e VMware, divulgaram correções para vulnerabilidades críticas que podem ser exploradas por atacantes para contornar autenticações e executar códigos maliciosos. A falha mais grave foi identificada na Ivanti Xtraction (CVE-2026-8043), com uma pontuação CVSS de 9.6, permitindo que um atacante remoto autenticado acesse arquivos sensíveis e escreva HTML arbitrário em diretórios da web. Fortinet também relatou duas vulnerabilidades críticas (CVE-2026-44277 e CVE-2026-26083) que podem permitir a execução de código não autorizado. Além disso, a SAP corrigiu falhas críticas em seu software S/4HANA e na configuração do SAP Commerce Cloud, ambas com pontuação CVSS de 9.6, que podem resultar em injeções SQL e execução de código no servidor. A VMware lançou um patch para uma vulnerabilidade que pode permitir a escalada de privilégios locais. O n8n, uma plataforma de automação, também corrigiu cinco vulnerabilidades críticas que permitem a execução remota de código. As atualizações são essenciais para proteger sistemas e dados sensíveis contra possíveis ataques.

O concurso de hacking Pwn2Own Berlin 2026, realizado entre 14 e 16 de maio na OffensiveCon, resultou em prêmios totais de $1,298,250, após a exploração de 47 falhas zero-day. Os pesquisadores de segurança focaram em tecnologias empresariais e inteligência artificial, atacando produtos totalmente atualizados, incluindo navegadores, aplicações empresariais e ambientes de virtualização. No primeiro dia, foram exploradas 24 falhas, gerando $523,000 em recompensas. No segundo, 15 falhas renderam $385,750, e no terceiro, 8 falhas resultaram em $389,500. A equipe DEVCORE se destacou, acumulando 50.5 pontos e $505,000 em prêmios, após comprometer produtos da Microsoft como SharePoint e Exchange. A maior recompensa, de $200,000, foi concedida a Cheng-Da Tsai por uma cadeia de bugs que permitiu execução remota de código no Microsoft Exchange. Após o evento, os fornecedores têm 90 dias para lançar patches de segurança antes que as falhas sejam divulgadas publicamente pela TrendMicro’s Zero Day Initiative.

Uma vulnerabilidade recentemente corrigida no módulo rxgk do kernel Linux, conhecida como DirtyDecrypt ou DirtyCBC, permite que atacantes obtenham acesso root em alguns sistemas Linux. Essa falha de segurança foi identificada e relatada pela equipe de segurança V12, que descobriu que se tratava de uma duplicata de uma vulnerabilidade já corrigida, a CVE-2026-31635, em 25 de abril. Para explorar essa vulnerabilidade, é necessário executar um kernel Linux com a opção de configuração CONFIG_RXGK, que habilita o suporte de segurança RxGK para o cliente do Andrew File System (AFS). Isso limita a superfície de ataque a distribuições Linux que seguem de perto as versões mais recentes do kernel, como Fedora, Arch Linux e openSUSE Tumbleweed. A equipe V12 testou a prova de conceito apenas no Fedora. Os usuários de Linux em distribuições potencialmente afetadas são aconselhados a instalar as atualizações mais recentes do kernel o mais rápido possível. Para aqueles que não podem aplicar o patch imediatamente, uma mitigação temporária é sugerida, embora isso possa afetar VPNs IPsec e sistemas de arquivos distribuídos AFS. A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) alertou sobre a exploração ativa de outras vulnerabilidades semelhantes, como a Copy Fail, que também requer atenção imediata.

Um pesquisador de cibersegurança divulgou um exploit de prova de conceito para uma vulnerabilidade zero-day no Windows, chamada MiniPlasma, que permite a atacantes obter privilégios de SYSTEM em sistemas Windows totalmente atualizados. O exploit foi publicado por Chaotic Eclipse, que alega que a Microsoft não corrigiu adequadamente uma vulnerabilidade reportada em 2020, identificada como CVE-2020-17103, que afeta o driver ‘cldflt.sys’. O pesquisador afirma que a falha ainda está presente e pode ser explorada, permitindo a criação de chaves de registro sem as devidas verificações de acesso. Testes realizados confirmaram que o exploit funciona em versões atualizadas do Windows 11, mas não na versão Insider Preview. Chaotic Eclipse também criticou o processo de recompensa por bugs da Microsoft, alegando que sua experiência com a empresa foi negativa. O MiniPlasma é o mais recente de uma série de divulgações de zero-days que incluem outras vulnerabilidades, como BlueHammer e RedSun, que já foram exploradas em ataques. A Microsoft foi contatada para comentar sobre a nova vulnerabilidade, mas ainda não respondeu.