Vulnerabilidade

Uma falha crítica de segurança nos resolvers BIND 9 foi divulgada, permitindo que atacantes envenenem caches DNS e redirecionem o tráfego da internet para destinos maliciosos. A vulnerabilidade, identificada como CVE-2025-40778, afeta mais de 706 mil instâncias expostas em todo o mundo, conforme a empresa de escaneamento de internet Censys. Com uma pontuação CVSS de 8.6, a falha resulta do tratamento excessivamente permissivo de registros de recursos não solicitados nas respostas DNS. Isso permite que atacantes injetem dados falsificados sem precisar de acesso direto à rede. O Internet Systems Consortium (ISC), responsável pelo software BIND, recomendou que os administradores apliquem patches imediatamente, uma vez que a vulnerabilidade pode impactar significativamente empresas, provedores de internet e agências governamentais que dependem de resolvers recursivos. Embora não haja relatos de exploração ativa, a liberação pública de um exploit de prova de conceito no GitHub aumenta a urgência, fornecendo um modelo para ataques direcionados. O ISC sugere que organizações que não podem atualizar imediatamente restrinjam a recursão a clientes confiáveis e monitorem o conteúdo do cache em busca de anomalias.

O navegador OpenAI Atlas, recém-lançado, foi identificado como vulnerável a um ataque de injeção de prompt, onde um prompt malicioso pode ser disfarçado como um URL aparentemente inofensivo. Segundo um relatório da NeuralTrust, o omnibox do navegador, que combina a barra de endereço e de busca, interpreta entradas como URLs ou comandos em linguagem natural. Isso permite que um atacante crie um link que, ao ser inserido, faz com que o navegador execute instruções prejudiciais. Por exemplo, um URL malformado pode redirecionar o usuário para um site controlado pelo atacante, potencialmente levando a páginas de phishing ou até comandos que excluem arquivos de aplicativos conectados, como o Google Drive. A falta de distinção rigorosa entre entradas de usuário confiáveis e conteúdo não confiável no Atlas é uma falha crítica. A situação é agravada por técnicas como o ‘AI Sidebar Spoofing’, onde extensões maliciosas podem enganar usuários a fornecer dados ou instalar malware. Embora a OpenAI tenha implementado medidas de segurança, a injeção de prompt continua a ser um problema de segurança não resolvido, exigindo atenção contínua da indústria de cibersegurança.

No dia 24 de outubro de 2025, a Microsoft divulgou atualizações de segurança fora do ciclo regular para corrigir uma vulnerabilidade crítica no Windows Server Update Service (WSUS), identificada como CVE-2025-59287, com uma pontuação CVSS de 9.8. Essa falha permite a execução remota de código e já está sendo explorada ativamente na natureza, com um exploit de prova de conceito (PoC) disponível publicamente. A vulnerabilidade resulta da desserialização insegura de dados não confiáveis, permitindo que um atacante não autenticado execute código remotamente. A Microsoft recomenda que os administradores de sistemas instalem a atualização imediatamente e realizem uma reinicialização do sistema. Como medidas temporárias, é aconselhável desativar o papel do servidor WSUS e bloquear o tráfego nas portas 8530 e 8531. A situação é crítica, pois o Centro Nacional de Segurança Cibernética da Holanda relatou que a exploração da vulnerabilidade foi observada no mesmo dia do anúncio. A CISA dos EUA também incluiu essa falha em seu catálogo de vulnerabilidades exploradas, exigindo que agências federais a remediem até 14 de novembro de 2025.

A Microsoft lançou um patch de segurança crítico para corrigir uma vulnerabilidade grave de execução remota de código (RCE) no Windows Server Update Services (WSUS), identificada como CVE-2025-59287. Essa falha representa uma ameaça imediata para organizações que gerenciam atualizações do Windows em sua infraestrutura, com uma pontuação máxima de 9.8 no CVSS, o que a classifica como crítica. A vulnerabilidade se origina na forma como o WSUS lida com a desserialização de dados não confiáveis, permitindo que atacantes executem código arbitrário sem necessidade de autenticação ou interação do usuário. Um invasor com acesso à rede de um servidor WSUS pode executar comandos com os mesmos privilégios da conta de serviço do WSUS, comprometendo completamente a infraestrutura de atualização e potencialmente afetando milhares de sistemas conectados. Dada a facilidade de exploração e o alto impacto, a Microsoft recomenda que as organizações apliquem o patch imediatamente e revisem a topologia de implantação do WSUS para limitar o alcance de possíveis ataques. A situação exige atenção urgente de administradores de sistemas e equipes de segurança de TI em todo o mundo.

Uma vulnerabilidade crítica na forma como o Microsoft Teams armazena dados de autenticação expôs organizações a um novo tipo de ataque. Pesquisadores de segurança descobriram que atacantes podem roubar tokens de acesso das instalações do Teams, permitindo-lhes ler conversas privadas, e-mails e documentos confidenciais sem precisar das senhas dos usuários. O ataque é particularmente preocupante, pois uma vez que um invasor ganha acesso inicial ao computador de um funcionário, ele pode extrair tokens de autenticação já armazenados no disco. Esses tokens funcionam como passes permanentes para os serviços da Microsoft, permitindo que os atacantes se façam passar por usuários legítimos e acessem todo o espaço de trabalho digital. O método de ataque se aproveita da forma como o Teams criptografa seus dados de autenticação, onde a chave de criptografia é armazenada em texto simples. Uma vez que os atacantes obtêm um token de acesso roubado, eles podem interagir diretamente com a API do Microsoft Graph, acessando conversas do Teams, lendo e enviando e-mails e navegando em documentos compartilhados. Para mitigar esses riscos, as empresas devem implementar soluções de detecção e resposta em endpoints e educar os funcionários sobre segurança de dispositivos.

Pesquisadores de cibersegurança, Ben R. e Georgi G., da Interrupt Labs, revelaram uma vulnerabilidade crítica no Samsung Galaxy S25 durante o evento Pwn2Own Ireland 2025. A falha, uma vulnerabilidade 0-Day, permite que atacantes ativem remotamente a câmera do dispositivo e rastreiem a localização do usuário sem seu consentimento. O problema foi identificado como uma falha de validação de entrada no software do Galaxy S25, que possibilitou a execução de código arbitrário. Essa vulnerabilidade destaca as lacunas de segurança que ainda existem em smartphones Android de ponta, mesmo após rigorosos testes de qualidade. Os pesquisadores foram recompensados com US$ 50.000 e 5 pontos no Master of Pwn por sua descoberta. A Samsung foi notificada sobre a vulnerabilidade e, embora ainda não tenha emitido um comunicado oficial, é esperado que um patch de segurança seja lançado em breve. Enquanto isso, os usuários devem habilitar atualizações automáticas e evitar aplicativos não confiáveis, uma vez que essa falha pode ser explorada para comprometer dados pessoais e privacidade.

A Microsoft implementou uma atualização de segurança no Windows File Explorer a partir de 14 de outubro de 2025, que desativa automaticamente o painel de pré-visualização para arquivos baixados. Essa medida visa mitigar uma vulnerabilidade que poderia expor hashes NTLM, credenciais sensíveis usadas na autenticação em redes. O vetor de ataque envolve a pré-visualização de arquivos maliciosos que incorporam elementos HTML, permitindo que solicitações de rede não autorizadas sejam disparadas em segundo plano. Com a nova atualização, arquivos de fontes não confiáveis são marcados com o atributo ‘Mark of the Web’, impedindo a pré-visualização e exibindo um aviso ao usuário. Embora a maioria dos usuários não sinta um impacto significativo, a proteção é ativada automaticamente, priorizando a segurança sem comprometer a usabilidade. Para arquivos confiáveis, os usuários podem facilmente reverter a proteção. Essa mudança é especialmente benéfica para ambientes corporativos, onde a segurança é crucial, reduzindo a superfície de ataque e promovendo hábitos de segurança mais seguros. A atualização é um passo importante na luta contra o roubo de credenciais, mantendo os sistemas Windows mais resilientes frente a ameaças cibernéticas.

Recentemente, duas novas vulnerabilidades foram descobertas nos roteadores TP-Link, especificamente nos modelos Omada e Festa VPN. As falhas, identificadas como CVE-2025-7850 e CVE-2025-7851, foram reveladas por pesquisadores da Forescout’s Vedere Labs e estão ligadas a problemas de segurança no firmware da empresa. A CVE-2025-7851 permite o acesso root devido a um código de depuração residual que não foi completamente removido após uma atualização anterior. Já a CVE-2025-7850 permite a injeção de comandos do sistema operacional através da interface VPN WireGuard, possibilitando a execução remota de código como usuário root. A exploração de uma vulnerabilidade facilita a ativação da outra, criando um caminho para o controle total do dispositivo. Os pesquisadores alertam que, em algumas configurações, a CVE-2025-7850 pode ser explorada remotamente sem autenticação, transformando a configuração da VPN em um ponto de entrada para atacantes. Além disso, a equipe de pesquisa identificou 15 falhas adicionais em outros dispositivos TP-Link, que devem ser corrigidas até o início de 2026. A recomendação é que os usuários atualizem o firmware assim que as correções forem disponibilizadas e monitorem os logs de rede em busca de sinais de exploração.

A Atlassian revelou uma vulnerabilidade crítica de travessia de caminho no Jira Software Data Center e Server, identificada como CVE-2025-22167. Essa falha permite que atacantes autenticados modifiquem arquivos acessíveis ao processo da Máquina Virtual Java (JVM) do Jira, apresentando um risco significativo para organizações que utilizam essa plataforma para gerenciamento de projetos e rastreamento de problemas. Com uma pontuação CVSS de 8.7, a vulnerabilidade pode comprometer a integridade do sistema, permitindo que arquivos críticos, como arquivos de configuração e dados de aplicação, sejam alterados. A falha é especialmente preocupante em ambientes multi-inquilinos, onde várias organizações compartilham a mesma instância do Jira. A Atlassian já lançou patches para corrigir a vulnerabilidade, e as organizações afetadas devem priorizar a atualização imediata para as versões mais recentes. As versões vulneráveis incluem a 9.12.0 e outras variantes, com recomendações específicas de atualização para cada ramo de versão. A transparência da Atlassian em divulgar essa falha oferece às organizações tempo suficiente para aplicar as correções antes que a exploração ocorra.

Uma vulnerabilidade crítica, identificada como CVE-2025-54236 e chamada de SessionReaper, está sendo explorada ativamente por hackers em plataformas de comércio eletrônico como Adobe Commerce e Magento. Essa falha permite a execução remota de código e a tomada de controle de contas de clientes em milhares de lojas online. Detectada pela primeira vez em 22 de outubro de 2025, a vulnerabilidade combina uma sessão maliciosa com um bug de desserialização na API REST do Magento, permitindo que atacantes façam upload de backdoors PHP disfarçados. Apesar de um patch de emergência ter sido lançado pela Adobe em 9 de setembro, a adoção do mesmo foi lenta, com menos de 40% das lojas afetadas aplicando a correção até a data da descoberta. A situação é agravada pelo fato de que a Adobe inicialmente minimizou a gravidade da vulnerabilidade em seu aviso oficial. Com 62% das lojas ainda sem correção, a ameaça continua a evoluir, exigindo ações imediatas por parte dos administradores de sistemas para evitar compromissos.

Pesquisadores de segurança da Brave descobriram uma vulnerabilidade crítica no navegador Comet da Perplexity, que permite a injeção de comandos maliciosos por meio de texto oculto em capturas de tela. Essa falha explora a esteganografia para esconder instruções perigosas em conteúdos da web. Ao tirar uma captura de tela de uma página comprometida, o navegador utiliza tecnologia de reconhecimento óptico de caracteres (OCR) para extrair todo o texto, incluindo os comandos maliciosos ocultos. O problema crítico é que essas instruções são enviadas diretamente para o sistema de IA sem qualquer filtragem, permitindo que atacantes manipulem o navegador para realizar ações não autorizadas. As consequências para os usuários são graves, especialmente para aqueles que mantêm sessões ativas em contas sensíveis, pois um ataque bem-sucedido pode resultar em acesso não autorizado a contas bancárias, roubo de e-mails e comprometimento de sistemas corporativos. Os pesquisadores da Brave relataram a vulnerabilidade à Perplexity em 1º de outubro de 2025, dando tempo para a empresa corrigir o problema antes da divulgação pública. Até que medidas de segurança adequadas sejam implementadas, os especialistas recomendam que os usuários evitem manter contas sensíveis logadas ao usar recursos de navegação do Comet.

Pesquisadores de segurança da GitGuardian identificaram uma vulnerabilidade crítica de travessia de caminho na plataforma Smithery.ai, que hospeda servidores do Modelo de Protocolo de Contexto (MCP). Essa falha expôs mais de 3.000 servidores de IA e comprometeu milhares de chaves de API. A vulnerabilidade foi causada por um erro de configuração no processo de construção do servidor da Smithery, permitindo que atacantes especificassem locais arbitrários do sistema de arquivos como contexto de construção do Docker. Ao explorar essa falha, os pesquisadores conseguiram acessar arquivos sensíveis, incluindo credenciais de autenticação do Docker, que estavam severamente sobreprivilegiadas. Isso possibilitou a execução de código arbitrário em servidores comprometidos e a captura de tráfego de rede, expondo chaves de API e tokens de autenticação de milhares de clientes. A vulnerabilidade representa um cenário clássico de ataque à cadeia de suprimentos, onde a exploração de uma única plataforma confiável pode resultar em violações que afetam diversas organizações. A Smithery respondeu rapidamente à divulgação da vulnerabilidade, implementando correções em menos de 48 horas, sem evidências de exploração antes do patch.

Pesquisas de segurança da Trail of Bits revelam que agentes de inteligência artificial modernos estão vulneráveis a ataques de injeção de argumentos, permitindo a execução remota de código (RCE). Essa vulnerabilidade explora uma falha arquitetônica fundamental na forma como esses agentes lidam com a execução de comandos do sistema. Ao utilizar utilitários de linha de comando como find, grep e git, os sistemas se tornam mais rápidos, mas também expõem uma superfície de ataque perigosa quando a entrada do usuário influencia os parâmetros dos comandos.

Uma vulnerabilidade crítica, conhecida como TARmageddon (CVE-2025-62518), foi descoberta na biblioteca async-tar do Rust e em seus forks, como o tokio-tar. Com uma classificação de severidade de 8.1 (alta), essa falha permite que atacantes executem código remotamente ao sobrescrever arquivos de configuração e sequestrar backends de construção através de arquivos TAR aninhados cuidadosamente elaborados. A equipe de segurança Edera identificou que a vulnerabilidade afeta projetos importantes nos ecossistemas Python e de desenvolvimento web, incluindo o gerenciador de pacotes uv da Astral e o testcontainers. O tokio-tar, que já acumulou mais de 5 milhões de downloads, representa um grande risco para seus usuários, especialmente porque parece estar descontinuado e não recebe mais manutenção. A falha se origina de um erro de desincronização na forma como o parser lida com arquivos TAR aninhados, permitindo que um atacante crie um arquivo TAR que contenha arquivos legítimos na camada externa e cargas maliciosas ocultas na interna. A Edera lançou patches que priorizam cabeçalhos PAX sobre cabeçalhos ustar e recomendou que os desenvolvedores atualizem para versões corrigidas. Para organizações que não podem aplicar patches imediatamente, alternativas incluem a migração para a crate tar padrão ou a implementação de mitigação em tempo de execução.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma falha de segurança crítica no Motex Lanscope Endpoint Manager em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). A vulnerabilidade, identificada como CVE-2025-61932, possui uma pontuação CVSS v4 de 9.3 e afeta versões locais do Lanscope, especificamente o programa Cliente e o Agente de Detecção. Essa falha permite que atacantes executem código arbitrário em sistemas vulneráveis ao enviar pacotes especialmente elaborados. A CISA recomenda que as agências do Federal Civilian Executive Branch (FCEB) remedeiem essa vulnerabilidade até 12 de novembro de 2025, a fim de proteger suas redes. Embora ainda não se saiba como a vulnerabilidade está sendo explorada em ataques reais, o portal japonês Japan Vulnerability Notes (JVN) informou que um cliente da Motex recebeu um pacote malicioso suspeito de visar essa falha. As versões afetadas são as 9.4.7.1 e anteriores, enquanto as versões corrigidas incluem a 9.4.6.3.

A empresa de segurança cibernética Sansec alertou que criminosos cibernéticos começaram a explorar uma vulnerabilidade crítica recentemente divulgada nas plataformas Adobe Commerce e Magento Open Source. A falha, identificada como CVE-2025-54236, possui uma pontuação CVSS de 9.1 e permite a tomada de controle de contas de clientes através da API REST do Commerce. Desde a divulgação pública da vulnerabilidade, mais de 250 tentativas de ataque foram registradas em apenas 24 horas, com 62% das lojas Magento ainda vulneráveis. Os ataques têm origem em diversos endereços IP, onde os invasores utilizam a falha para implantar webshells PHP ou extrair informações de configuração do PHP. A Sansec recomenda que os administradores de sites apliquem os patches disponíveis o mais rápido possível para evitar a exploração mais ampla da vulnerabilidade. Essa é a segunda falha de desserialização crítica que afeta as plataformas Adobe Commerce e Magento em dois anos, o que destaca a necessidade urgente de atenção e ação por parte dos administradores de sistemas.

Cibercriminosos têm explorado uma vulnerabilidade no ToolShell do Microsoft SharePoint, identificada como CVE-2025-53770, para invadir instituições governamentais em diversos continentes. Apesar de um patch ter sido lançado em julho de 2025 para corrigir a falha, ataques foram registrados em agências de telecomunicações no Oriente Médio, departamentos governamentais na África, agências estatais na América do Sul e uma universidade nos Estados Unidos. A vulnerabilidade permitia burlar a autenticação e executar códigos remotamente, sendo utilizada em conjunto com outras falhas, como CVE-2025-49704 e CVE-2025-49706, por grupos hackers chineses. Esses grupos, como Linen Typhoon e Violet Typhoon, têm utilizado malwares zero-day para realizar suas invasões. Além disso, técnicas de evasão de DLL foram empregadas para entregar malwares em servidores SQL e Apache HTTP. Os ataques visam roubar credenciais e garantir acesso persistente aos sistemas das vítimas, sugerindo um interesse em espionagem. A situação destaca a necessidade de vigilância contínua e atualização de sistemas para mitigar riscos de segurança.

Uma investigação realizada pelo Varonis Threat Labs revelou uma vulnerabilidade crítica que permitiu a hackers criar aplicativos maliciosos no Azure utilizando nomes reservados da Microsoft. Ao contornar as salvaguardas, os atacantes conseguiram registrar nomes enganosos, como ‘Azure Portal’, induzindo os usuários a conceder permissões perigosas. Essa falha possibilitou que cibercriminosos obtivessem acesso inicial, mantivessem persistência e escalassem privilégios em ambientes Microsoft 365, expondo organizações a riscos de perda de dados e danos à reputação.

O GitLab divulgou atualizações críticas para suas edições Community (CE) e Enterprise (EE) visando corrigir várias vulnerabilidades que podem ser exploradas para provocar ataques de negação de serviço (DoS). As versões 18.5.1, 18.4.3 e 18.3.5 incluem correções essenciais que devem ser aplicadas imediatamente em todas as instalações autogeridas. As falhas identificadas incluem controle de acesso inadequado na API do runner, DoS na coleta de eventos, validação de JSON e pontos de upload. Essas vulnerabilidades permitem que usuários não autenticados sobrecarreguem APIs e rotinas de validação, resultando em uso excessivo de recursos. Além disso, um erro de autorização na construção de pipelines pode permitir a execução não autorizada de jobs. O GitLab já implementou as correções em sua plataforma hospedada, e os clientes dedicados não precisam tomar nenhuma ação. A atualização é crucial para manter a disponibilidade e a segurança dos dados dos projetos. A empresa recomenda que todas as instalações afetadas atualizem para as versões mais recentes o mais rápido possível, já que a falta de ação pode resultar em interrupções significativas nos serviços.

A Oracle revelou duas vulnerabilidades críticas em seu produto Marketing do E-Business Suite, identificadas como CVE-2025-53072 e CVE-2025-62481. Ambas as falhas afetam o componente de Administração de Marketing e possuem uma pontuação CVSS de 9.8, indicando um alto nível de severidade. Essas vulnerabilidades permitem que atacantes remotos não autenticados obtenham controle total sobre o módulo de Marketing da Oracle, comprometendo a confidencialidade, integridade e disponibilidade dos dados. A exploração dessas falhas não requer privilégios especiais ou interação do usuário, tornando-as particularmente perigosas. As versões afetadas vão de 12.2.3 a 12.2.14, e a Oracle recomenda a aplicação imediata de patches de segurança disponíveis. Além disso, especialistas sugerem a segmentação de rede e a implementação de firewalls de aplicação web para mitigar riscos. O aumento de ataques à cadeia de suprimentos, como os recentes incidentes com Cisco e Microsoft, destaca a urgência em proteger sistemas que gerenciam dados sensíveis de clientes, especialmente em setores como varejo e finanças, onde a conformidade com regulamentos como LGPD é crucial.

Recentemente, grupos de ameaças ligados à China exploraram a vulnerabilidade ToolShell no Microsoft SharePoint para invadir uma empresa de telecomunicações no Oriente Médio, após a falha ter sido divulgada e corrigida em julho de 2025. Além da telecomunicação, alvos incluíram departamentos governamentais em um país africano, agências governamentais na América do Sul, uma universidade nos EUA e uma empresa de finanças na Europa. A vulnerabilidade CVE-2025-53770 permitiu a execução remota de código e foi utilizada por diversos grupos, como Linen Typhoon e Violet Typhoon, além do Salt Typhoon, que implementaram ferramentas como Zingdoor e ShadowPad. Os ataques também envolveram a exploração de servidores SQL e Apache, utilizando técnicas de side-loading de DLLs. A análise da Symantec indica que os atacantes estavam interessados em roubar credenciais e estabelecer acesso persistente às redes das vítimas, sugerindo um objetivo de espionagem. A situação destaca a necessidade de vigilância contínua e atualização de sistemas para mitigar riscos semelhantes.

O primeiro dia do Pwn2Own Ireland 2025 foi marcado por um sucesso notável, com pesquisadores de segurança demonstrando 34 vulnerabilidades zero-day em dispositivos de consumo, totalizando ganhos de $522.500. A competição, que visa identificar falhas de segurança em produtos reais, teve uma taxa de sucesso de 100%, sem tentativas falhas. As equipes focaram em dispositivos como impressoras, dispositivos de casa inteligente e sistemas de armazenamento conectados à rede. A equipe DDOS se destacou ao explorar oito vulnerabilidades em um roteador e um dispositivo de armazenamento QNAP, arrecadando $100.000. Outras equipes também conseguiram explorar dispositivos populares, como o Philips Hue Bridge e impressoras da Canon e HP. As metodologias de ataque incluíram estouros de buffer, injeções de comando e bypass de autenticação. Com mais dois dias de competição pela frente, espera-se que o total de prêmios aumente significativamente. As vulnerabilidades descobertas serão divulgadas de forma responsável aos fabricantes para correção, melhorando a segurança de milhões de usuários de dispositivos de consumo em todo o mundo.

O Google lançou uma atualização de segurança urgente para o navegador Chrome, visando uma vulnerabilidade de alta severidade no motor JavaScript V8, que poderia permitir que atacantes executassem código remotamente em sistemas afetados. A falha, identificada como CVE-2025-12036, foi corrigida nas versões 141.0.7390.122/.123 para Windows e Mac, e na versão 141.0.7390.122 para Linux. Descoberta pelo projeto Big Sleep do Google em 15 de outubro de 2025, a vulnerabilidade foi classificada como uma ‘implementação inadequada’ no motor V8, que é responsável pela execução de código JavaScript em navegadores. A rápida resposta do Google resultou na liberação do patch apenas seis dias após a descoberta, e os usuários são fortemente aconselhados a verificar suas versões do Chrome e garantir que a atualização mais recente esteja instalada. O Google utiliza ferramentas sofisticadas para detectar vulnerabilidades, e a informação detalhada sobre a falha permanece restrita até que a maioria dos usuários tenha atualizado seus navegadores, evitando que atores maliciosos explorem a vulnerabilidade antes que os usuários possam se proteger.

A TP-Link divulgou atualizações de segurança para corrigir quatro vulnerabilidades críticas em seus dispositivos de gateway Omada, incluindo duas falhas que podem permitir a execução de código arbitrário. As vulnerabilidades identificadas são: CVE-2025-6541 e CVE-2025-6542, ambas com uma pontuação CVSS de 9.3, que permitem a injeção de comandos do sistema operacional por atacantes autenticados e não autenticados, respectivamente. Outras duas falhas, CVE-2025-7850 e CVE-2025-7851, com pontuações de 8.6 e 8.7, respectivamente, também permitem a execução de comandos arbitrários, sendo a primeira acessível a administradores e a segunda relacionada à gestão inadequada de privilégios. A TP-Link recomenda que os usuários atualizem rapidamente o firmware de seus dispositivos para mitigar os riscos. A empresa não reportou exploração ativa dessas falhas, mas enfatizou a importância de verificar as configurações após a atualização. Os modelos afetados incluem diversas versões de dispositivos como ER8411, ER7412-M2 e ER605, entre outros. A atualização é crucial para garantir a segurança e a integridade dos sistemas operacionais subjacentes dos dispositivos.

Pesquisadores em cibersegurança identificaram uma vulnerabilidade de alta severidade na biblioteca async-tar, utilizada em diversos projetos populares, como testcontainers e wasmCloud. A falha, classificada como CVE-2025-62518 e com um escore CVSS de 8.1, pode permitir a execução remota de código (RCE) através de ataques de sobrescrita de arquivos. O problema é agravado pelo fato de que a biblioteca tokio-tar, que depende do async-tar, não recebe atualizações desde julho de 2023, tornando-a essencialmente abandonada. Para mitigar os riscos, os usuários são aconselhados a migrar para a versão 0.5.6 da biblioteca astral-tokio-tar, que corrige a vulnerabilidade. A falha decorre de uma inconsistência no tratamento de cabeçalhos PAX e ustar, permitindo que atacantes ’escondam’ arquivos maliciosos dentro de arquivos TAR legítimos. Essa vulnerabilidade é um lembrete de que, apesar das garantias de segurança do Rust, falhas lógicas ainda podem ocorrer e devem ser monitoradas de perto pelos desenvolvedores.

Uma vulnerabilidade crítica de execução remota de código foi identificada na edição on-premise do LANSCOPE Endpoint Manager, permitindo que atacantes não autenticados executem comandos arbitrários com altos privilégios nos sistemas afetados. A falha, rastreada como CVE-2025-61932, afeta tanto o Programa Cliente (MR) quanto o Agente de Detecção (DA) nas versões 9.4.7.1 e anteriores. Pesquisadores de segurança descobriram que pacotes de rede especialmente elaborados podem acionar um erro severo no cliente MR e no agente DA, contornando todos os requisitos de interação do usuário, como cliques ou abertura de e-mails. Tentativas de exploração no mundo real já foram observadas, tornando a aplicação de patches urgente. A edição on-premise é a única afetada, enquanto a edição em nuvem permanece segura. Um patch já está disponível no portal de suporte oficial da LANSCOPE, e é crucial que todas as máquinas que executam a edição on-premise sejam atualizadas imediatamente para mitigar o risco de exploração.

O Apache Syncope revelou uma vulnerabilidade crítica, identificada como CVE-2025-57738, que permite que administradores autenticados executem código arbitrário em sistemas afetados. Essa falha afeta todas as versões do Apache Syncope 3.x anteriores à 3.0.14 e 4.x anteriores à 4.0.2, expondo as organizações a riscos significativos de comprometimento do sistema por meio da injeção de código Groovy malicioso.

A vulnerabilidade reside na implementação personalizada do Syncope, que permite que administradores estendam a funcionalidade central ao enviar código Java ou Groovy. Enquanto as extensões Java requerem arquivos JAR pré-compilados, os scripts Groovy podem ser enviados como código-fonte simples e compilados em tempo de execução, sem restrições de segurança. Isso significa que qualquer administrador com permissão para criar ou atualizar implementações Groovy pode injetar scripts que o servidor executa com privilégios totais.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta sobre uma grave vulnerabilidade no Microsoft Windows Server Message Block (SMB), identificada como CVE-2025-33073. Essa falha de controle de acesso inadequado permite que atacantes escalem privilégios em sistemas comprometidos, possibilitando o controle total sobre eles. A vulnerabilidade está sendo ativamente explorada em ataques reais, o que representa uma ameaça significativa para redes federais e infraestrutura crítica. A CISA incluiu essa vulnerabilidade em seu catálogo de Vulnerabilidades Conhecidas e Exploited, exigindo que agências federais a corrijam até 10 de novembro de 2025. Organizações que utilizam sistemas Windows são aconselhadas a revisar as orientações de atualização de segurança da Microsoft e aplicar patches imediatamente. Embora não haja confirmação de que essa vulnerabilidade esteja ligada a ataques de ransomware, falhas de escalonamento de privilégios são frequentemente utilizadas por grupos de ransomware. A rápida ação das organizações é crucial para proteger seus sistemas contra esses ataques, destacando a importância de práticas eficazes de gerenciamento de vulnerabilidades.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou cinco falhas de segurança ao seu Catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), incluindo uma vulnerabilidade crítica no Oracle E-Business Suite (EBS). A falha CVE-2025-61884, com uma pontuação CVSS de 7.5, é uma vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF) que permite acesso não autorizado a dados críticos sem necessidade de autenticação. Além disso, a CISA destacou a CVE-2025-61882, uma falha crítica com pontuação CVSS de 9.8, que permite a execução de código arbitrário por atacantes não autenticados. Ambas as vulnerabilidades estão sendo ativamente exploradas em ataques reais, afetando diversas organizações. Outras vulnerabilidades listadas incluem falhas em Microsoft Windows e Kentico Xperience CMS, que também apresentam riscos significativos. As agências federais dos EUA devem corrigir essas vulnerabilidades até 10 de novembro de 2025 para proteger suas redes contra ameaças ativas.

Em 14 de outubro de 2025, a Microsoft lançou um patch abrangente que corrige 183 falhas de segurança em seus produtos relacionados ao Windows, incluindo três vulnerabilidades zero-day que estavam sendo ativamente exploradas. Este lançamento ocorre após o término do suporte ao Windows 10, exceto para usuários do programa de Atualizações de Segurança Estendidas (ESU). Das 183 correções, 165 foram classificadas como ‘importantes’, 17 como ‘críticas’ e apenas uma como ‘moderada’. As vulnerabilidades abordadas incluem elevação de privilégios, execução remota de código e vazamento de informações. As falhas zero-day mais preocupantes são CVE-2025-24990 e CVE-2025-59230, ambas permitindo que hackers executem códigos com privilégios elevados. A primeira será resolvida com a remoção do driver afetado, enquanto a segunda é a primeira vulnerabilidade no gerenciamento de conexão de acesso remoto a ser explorada dessa forma. Além disso, a CVE-2025-47827, que contorna o Secure Boot, apresenta um risco baixo, pois requer acesso físico ao dispositivo. A correção dessas vulnerabilidades é crucial para proteger usuários e empresas que ainda utilizam o Windows 10.

Uma vulnerabilidade crítica nos dispositivos de segurança de rede Firebox da WatchGuard pode permitir que um atacante remoto e não autenticado execute código arbitrário, comprometendo redes corporativas. A falha, identificada como CVE-2025-9242, está relacionada ao gerenciamento de conexões VPN IKEv2 e recebeu uma pontuação de severidade crítica de 9.3 em 10. Essa vulnerabilidade é um problema de escrita fora dos limites dentro do processo iked do sistema operacional Fireware, que gerencia trocas de chaves IKEv2 para VPNs. Os atacantes podem explorar essa falha enviando um pacote especialmente elaborado a um dispositivo afetado, provocando um estouro de buffer baseado em pilha. A WatchGuard recomenda que os clientes atualizem seus sistemas imediatamente, com versões corrigidas já disponíveis. A vulnerabilidade afeta uma ampla gama de modelos Firebox, incluindo dispositivos de pequeno escritório e unidades empresariais maiores, com um potencial de ataque significativo, dado que a empresa protege mais de 250.000 negócios e 10 milhões de endpoints. Administradores são aconselhados a priorizar a aplicação de patches para evitar possíveis explorações, especialmente por grupos de ransomware.

Pesquisadores de cibersegurança revelaram uma vulnerabilidade crítica no WatchGuard Fireware, identificada como CVE-2025-9242, com uma pontuação CVSS de 9.3. Essa falha, que afeta versões do Fireware OS de 11.10.2 até 12.11.3 e 2025.1, permite que atacantes não autenticados executem código arbitrário. A vulnerabilidade está relacionada ao processo ‘ike2_ProcessPayload_CERT’, que não verifica corretamente o comprimento do buffer de identificação do cliente, possibilitando um estouro de buffer durante a fase de autenticação do IKE_SA_AUTH, essencial para a criação de um túnel VPN. Embora a validação do certificado ocorra, ela acontece após a execução do código vulnerável, permitindo que o ataque seja realizado antes da autenticação. A WatchGuard já lançou patches para corrigir a falha em várias versões do Fireware. A análise da WatchTowr Labs destaca que essa vulnerabilidade é atraente para grupos de ransomware, pois permite a execução de código em um serviço exposto à internet. A falta de um shell interativo não impede que um invasor obtenha controle sobre o sistema, podendo escalar privilégios e acessar um shell Linux completo. Dada a gravidade da falha, é crucial que as organizações que utilizam o Fireware atualizem seus sistemas imediatamente.

O Windows 10 recebeu sua última atualização de segurança, que corrige 172 falhas, incluindo seis vulnerabilidades zero-day. Essas falhas representam riscos significativos, pois são brechas que podem ser exploradas por atacantes antes que a Microsoft tenha a chance de lançar um patch. Entre as vulnerabilidades corrigidas, destacam-se problemas no Gerenciador de Conexão de Acesso Remoto do Windows, uma falha de bypass no Secure Boot e uma vulnerabilidade no TPM 2.0, que é essencial para a atualização para o Windows 11. A situação é alarmante, pois, sem atualizações de segurança, o sistema operacional pode se tornar um alvo fácil para cibercriminosos ao longo do tempo. A Microsoft oferece um programa de Atualizações de Segurança Estendidas (ESU) que permite aos usuários obter suporte adicional, o que é crucial para aqueles que ainda utilizam o Windows 10 após o fim do suporte oficial em outubro de 2025. Ignorar essas atualizações pode resultar em um aumento exponencial de vulnerabilidades, tornando o sistema cada vez mais inseguro.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou uma vulnerabilidade crítica do Microsoft Windows ao seu catálogo de Vulnerabilidades Conhecidas e Exploited (KEV), alertando que atacantes estão explorando ativamente essa falha em ataques reais. A vulnerabilidade, identificada como CVE-2025-59230, afeta o componente Gerenciador de Conexão de Acesso Remoto do Windows e permite que atacantes aumentem seus privilégios em sistemas comprometidos. Isso significa que um invasor com acesso limitado pode obter permissões mais altas, possibilitando a execução de código malicioso, acesso a dados sensíveis e movimentação lateral em redes interconectadas. A CISA ordenou que agências federais apliquem patches de segurança até 4 de novembro, e recomenda que todas as organizações priorizem a correção dessa falha. Dada a exploração ativa e a urgência do alerta, as equipes de segurança devem tratar essa vulnerabilidade como uma prioridade alta para evitar possíveis violações e comprometimentos de sistemas.

Uma vulnerabilidade severa na implementação do servidor WINS do Samba para controladores de domínio do Active Directory foi divulgada, permitindo que atacantes não autenticados executem código arbitrário em sistemas vulneráveis. Identificada como CVE-2025-10230, a falha possui uma pontuação CVSS 3.1 de 10.0, destacando seu alto risco e facilidade de exploração. Todas as versões do Samba desde a 4.0 com suporte a WINS habilitado e o parâmetro wins hook configurado estão afetadas, o que pode expor uma infinidade de serviços de diretório corporativo a compromissos.

Pesquisadores de cibersegurança revelaram uma nova campanha, chamada Operação Zero Disco, que explora uma vulnerabilidade crítica no Cisco IOS e IOS XE para implantar rootkits em sistemas Linux mais antigos. A falha, identificada como CVE-2025-20352, possui uma pontuação CVSS de 7.7 e permite que atacantes remotos autenticados executem código arbitrário ao enviar pacotes SNMP manipulados. Embora a Cisco tenha lançado um patch para a vulnerabilidade, ataques reais já estavam em andamento, utilizando essa falha como um zero-day. Os dispositivos mais afetados incluem as séries Cisco 9400, 9300 e 3750G. Os rootkits implantados possibilitam acesso não autorizado persistente, configurando senhas universais e instalando hooks na memória do daemon IOS. Os atacantes também tentaram explorar uma vulnerabilidade no Telnet, permitindo acesso à memória em endereços arbitrários. A operação se destacou por atingir sistemas Linux antigos sem soluções de detecção de endpoint, permitindo que os rootkits operassem sem serem detectados. A utilização de endereços IP e e-mails falsificados também foi observada durante as intrusões.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou uma falha de segurança crítica no Adobe Experience Manager (AEM) ao seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), após evidências de exploração ativa. A vulnerabilidade, identificada como CVE-2025-54253, possui uma pontuação CVSS de 10.0, indicando severidade máxima, e pode permitir a execução de código arbitrário. A falha afeta as versões 6.5.23.0 e anteriores do AEM Forms em JEE e foi corrigida na versão 6.5.0-0108, lançada em agosto de 2025. O problema decorre de um servlet exposto, que avalia expressões OGNL fornecidas pelo usuário como código Java, sem exigir autenticação ou validação de entrada. Embora não haja informações públicas sobre como a falha está sendo explorada em ataques reais, a Adobe reconheceu a existência de um proof-of-concept disponível publicamente. Em resposta à exploração ativa, as agências do Federal Civilian Executive Branch (FCEB) foram orientadas a aplicar as correções necessárias até 5 de novembro de 2025.

O artigo de Arthur Capella discute a crescente complexidade da cibersegurança em um ambiente de trabalho distribuído e digitalizado, onde a migração para a nuvem e a adoção de inteligência artificial (IA) aumentam tanto o valor quanto o risco. A superfície de ataque se expandiu mais rapidamente do que a capacidade das empresas de medir e responder a essas ameaças. A gestão de exposição é apresentada como uma disciplina estratégica, essencial para priorizar riscos com base no impacto nos negócios, em vez de se concentrar apenas em uma lista de vulnerabilidades. O autor destaca a escassez de profissionais qualificados em cibersegurança e a limitação orçamentária como desafios constantes. Além disso, enfatiza que apenas 3% das vulnerabilidades frequentemente resultam em riscos significativos, tornando a priorização crucial. O artigo conclui que, em vez de tentar eliminar todos os riscos, as empresas devem focar em fechar as portas que realmente importam, equilibrando inovação e segurança.

Pesquisadores de cibersegurança da Trend Micro descobriram uma campanha de ataque sofisticada chamada “Operação Zero Disco”, que explora uma vulnerabilidade crítica no protocolo SNMP da Cisco para implantar rootkits Linux em dispositivos de infraestrutura de rede. A vulnerabilidade, identificada como CVE-2025-20352, permite a execução remota de código (RCE) em modelos de switches Cisco mais antigos, como as séries 9400, 9300 e 3750G. Os atacantes conseguem estabelecer acesso persistente e evitar sistemas de detecção, utilizando senhas universais que comprometem a segurança dos dispositivos. Além disso, a campanha demonstra técnicas avançadas de infiltração na rede, como manipulação de VLANs e spoofing de ARP, permitindo que os invasores contornem múltiplas camadas de segurança. A Cisco confirmou que a falha afeta diversos modelos de switches, sendo os 3750G os mais vulneráveis devido à falta de proteções modernas. A Trend Micro recomenda o uso de suas soluções de segurança para detectar e mitigar esses ataques, mas alerta que não há ferramentas automatizadas confiáveis para verificar se um switch Cisco foi comprometido, exigindo investigação manual.

Uma nova vulnerabilidade no Internet Information Services (IIS) da Microsoft, identificada como CVE-2025-59282, possibilita que atacantes executem código arbitrário em sistemas afetados. A falha decorre de uma condição de corrida e de um cenário de uso após liberação em componentes de memória compartilhada. Classificada como importante, a vulnerabilidade possui um escore CVSS 3.1 de 7.0, indicando que, embora a exploração seja considerada local, um invasor precisa persuadir um usuário legítimo a abrir um arquivo malicioso. A complexidade do ataque é alta, exigindo um tempo preciso para explorar a falha de sincronização. A Microsoft lançou um patch em 14 de outubro de 2025, recomendando que todas as versões suportadas do Windows Server com IIS sejam atualizadas imediatamente. Organizações devem revisar suas instalações do IIS e desativar recursos de objetos COM inbox, a menos que sejam explicitamente necessários. Medidas como a lista de permissões de aplicativos podem ajudar a prevenir a execução de arquivos não confiáveis.

A Microsoft anunciou a remoção do driver legado do modem Agere (ltmdm64.sys) do Windows devido à descoberta de duas vulnerabilidades de elevação de privilégios, identificadas como CVE-2025-24052 e CVE-2025-24990. Ambas as falhas afetam todas as versões suportadas do Windows e permitem que atacantes obtenham privilégios de administrador sem interação do usuário. A primeira vulnerabilidade, CVE-2025-24052, é um estouro de buffer baseado em pilha, classificada como ‘Importante’ com um escore CVSS de 7.8, que pode ser explorada localmente por usuários com baixos privilégios. A segunda, CVE-2025-24990, resulta de uma fraqueza de desreferência de ponteiro não confiável e já foi explorada ativamente. Em vez de lançar patches, a Microsoft optou por remover completamente o driver, o que pode impactar dispositivos que ainda dependem de modems analógicos. As organizações devem auditar seus sistemas para identificar dependências de hardware legado e considerar migrações para alternativas suportadas. A recomendação é eliminar qualquer dependência desse hardware para evitar interrupções nos serviços.

No dia 15 de outubro de 2025, a Microsoft lançou correções para 183 falhas de segurança em seus produtos, incluindo três vulnerabilidades que estão sendo ativamente exploradas. Este lançamento ocorre em um momento crítico, pois a empresa encerrou oficialmente o suporte ao Windows 10, exceto para PCs que participam do programa de Atualizações de Segurança Estendidas (ESU). Das 183 vulnerabilidades, 165 foram classificadas como importantes, 17 como críticas e uma como moderada. As falhas mais preocupantes incluem duas vulnerabilidades de elevação de privilégios (CVE-2025-24990 e CVE-2025-59230), que permitem a execução de código com privilégios elevados. Além disso, uma vulnerabilidade de bypass de Secure Boot (CVE-2025-47827) foi identificada no IGEL OS, que pode permitir a instalação de rootkits. Todas essas falhas foram adicionadas ao catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV) da CISA, exigindo que agências federais apliquem os patches até 4 de novembro de 2025. O impacto dessas vulnerabilidades pode ser significativo, especialmente em ambientes corporativos que utilizam amplamente as tecnologias da Microsoft.

A Oracle lançou um patch para a vulnerabilidade crítica CVE-2025-61884, que afeta sua E-Business Suite. Esta falha permite que atacantes não autenticados acessem recursos sensíveis remotamente, sem a necessidade de credenciais. A vulnerabilidade foi supostamente explorada pelo grupo ShinyHunters, que tem um histórico de roubo de dados corporativos de várias organizações. O patch é uma resposta a um aumento nos ataques, incluindo campanhas de extorsão por ransomware. A Oracle já havia lançado um patch anterior para outra vulnerabilidade na mesma suíte, CVE-2025-61882, que permitia a um atacante não autenticado comprometer o componente de Processamento Concorrente da E-Business Suite. A empresa recomenda que os clientes mantenham suas versões atualizadas e apliquem os patches de segurança imediatamente. O aumento das ameaças direcionadas a usuários da E-Business Suite destaca a necessidade de vigilância contínua e atualização de sistemas para evitar compromissos de segurança.

Em 15 de outubro de 2025, a Microsoft lançou sua atualização mensal de segurança, conhecida como Patch Tuesday, corrigindo um total de 172 vulnerabilidades em seu ecossistema de produtos. Dentre essas, destacam-se quatro falhas zero-day, sendo que duas delas estão ativamente sendo exploradas por atacantes. A vulnerabilidade CVE-2025-59230, por exemplo, permite que atacantes locais elevem seus privilégios no Windows Remote Access Connection Manager. Além disso, foram corrigidas falhas críticas de execução remota de código (RCE) em aplicativos como Microsoft Office e Excel, que podem conceder controle total do sistema ao abrir arquivos maliciosos. A atualização também abrange 80 vulnerabilidades de elevação de privilégio, que permitem que atacantes já dentro do sistema aumentem suas permissões, e uma variedade de outras falhas, incluindo problemas de divulgação de informações e bypass de recursos de segurança. A amplitude das correções enfatiza a necessidade urgente de que as organizações apliquem essas atualizações para se protegerem contra ameaças cibernéticas emergentes.

O Google lançou uma atualização crítica para o Chrome, versão 141.0.7390[.]107/.108, que corrige uma falha de segurança de alta gravidade, identificada como CVE-2025-11756. Essa vulnerabilidade, descoberta por um pesquisador externo, permite a execução de código arbitrário devido a um erro ‘Use-After-Free’ no componente Safe Browsing do navegador. Ao manipular a vida útil de objetos durante verificações de URLs maliciosas, um atacante pode corromper a memória, potencialmente comprometendo o processo de renderização privilegiado do Chrome.

A SAP lançou correções de segurança para 13 novas vulnerabilidades, incluindo uma falha de alta severidade no SAP NetWeaver AS Java, que pode permitir a execução arbitrária de comandos. Essa vulnerabilidade, identificada como CVE-2025-42944, possui um score CVSS de 10.0 e é classificada como uma falha de deserialização insegura. Um atacante não autenticado pode explorar essa falha através do módulo RMI-P4, enviando um payload malicioso para uma porta aberta, o que compromete a confidencialidade, integridade e disponibilidade do sistema. Além disso, a SAP corrigiu uma falha de travessia de diretório (CVE-2025-42937, CVSS 9.8) no SAP Print Service e uma vulnerabilidade de upload de arquivos não restrito (CVE-2025-42910, CVSS 9.0) no SAP Supplier Relationship Management. Embora não haja evidências de exploração ativa dessas falhas, é crucial que os usuários apliquem as correções o mais rápido possível. A empresa Pathlock destacou que a deserialização continua sendo um risco significativo, e a SAP implementou uma configuração de JVM endurecida para mitigar esses riscos.

Pesquisadores de cibersegurança revelaram uma falha crítica no software de discagem automática ICTBroadcast, que está sendo ativamente explorada. A vulnerabilidade, identificada como CVE-2025-2611, possui uma pontuação CVSS de 9.3 e está relacionada à validação inadequada de entradas, permitindo a execução remota de código não autenticado. Essa falha afeta as versões 7.4 e anteriores do ICTBroadcast, um aplicativo amplamente utilizado em call centers. Os atacantes estão utilizando a injeção de comandos via cookie BROADCAST para executar comandos no servidor vulnerável. A exploração foi detectada em 11 de outubro, com ataques ocorrendo em duas fases: primeiro, uma verificação de exploração baseada em tempo, seguida por tentativas de estabelecer shells reversos. Os atacantes injetaram um comando codificado em Base64 que traduz para ‘sleep 3’ no cookie, confirmando a execução do comando. A situação é preocupante, pois cerca de 200 instâncias online estão expostas. Não há informações disponíveis sobre o status de correção da falha, e a ICT Innovations ainda não se pronunciou sobre o assunto.

Pesquisadores de cibersegurança revelaram duas falhas críticas que afetam os produtos de unidade terminal remota (RTU) da Red Lion Sixnet. As vulnerabilidades, identificadas como CVE-2023-40151 e CVE-2023-42770, possuem uma pontuação máxima de 10.0 no sistema CVSS, indicando seu alto nível de gravidade. Ambas as falhas permitem que um atacante não autenticado execute comandos com privilégios de root, o que pode levar a uma execução remota de código. A primeira vulnerabilidade, CVE-2023-42770, é um bypass de autenticação que ocorre porque o software RTU escuta na mesma porta (1594) para UDP e TCP, aceitando mensagens TCP sem autenticação. A segunda, CVE-2023-40151, permite a execução de comandos de shell Linux devido ao suporte embutido do driver Universal da Sixnet. Os dispositivos afetados são amplamente utilizados em setores críticos, como energia e tratamento de água, e a exploração dessas falhas pode causar interrupções significativas nos processos industriais. A Red Lion recomenda que os usuários apliquem patches e habilitem a autenticação de usuários para mitigar os riscos. A CISA também emitiu um alerta sobre essas vulnerabilidades, destacando a necessidade urgente de ação por parte dos administradores de sistemas.

Pesquisadores da Trend Micro identificaram duas vulnerabilidades graves no 7-Zip, um popular aplicativo de compactação de arquivos. As falhas, conhecidas como CVE-2025-11001 e CVE-2025-11002, permitem que cibercriminosos obtenham controle remoto do computador da vítima ao explorar um problema no sistema de análise de links simbólicos em arquivos ZIP. Embora o desenvolvedor Igor Pavlov tenha lançado um patch em julho para corrigir as falhas, o 7-Zip não possui um sistema de atualização automática, o que significa que os usuários precisam atualizar manualmente o software. Isso deixou muitos usuários expostos a ataques por meses, sem saber da necessidade de atualização. A versão corrigida é a 25.00, lançada em 5 de julho, seguida pela versão 25.01 em agosto. Os especialistas recomendam que os usuários baixem a nova versão imediatamente e evitem abrir arquivos ZIP de fontes não confiáveis, especialmente em ambientes corporativos, onde a atualização manual pode escapar de sistemas de gerenciamento de patches.

Uma vulnerabilidade crítica de corrupção de memória foi identificada no SAP NetWeaver AS ABAP e na Plataforma ABAP, classificada como CVE-2025-42902. Essa falha permite que atacantes não autenticados provoquem a queda de processos do servidor ao enviar tickets de logon SAP ou tickets de afirmação SAP malformados. Avaliada como média, com um escore CVSS 3.1 de 5.3, a vulnerabilidade resulta de uma desreferenciação de ponteiro NULL durante a análise dos tickets, levando à corrupção de memória e à terminação do processo. A SAP divulgou um aviso e patches em 14 de outubro de 2025, recomendando que os administradores apliquem as atualizações imediatamente. A falha afeta todas as versões suportadas do SAP NetWeaver, abrangendo desde a versão 7.22 até a 9.16. Embora a confidencialidade e a integridade não sejam comprometidas, a disponibilidade do sistema pode ser severamente afetada por meio de envios repetidos de tickets malformados, resultando em condições de negação de serviço. A SAP também sugere desabilitar a aceitação de tickets de logon externos como uma solução temporária, embora isso possa interromper logins federados legítimos.