Vulnerabilidade

A Click Studios, desenvolvedora do gerenciador de senhas Passwordstate, anunciou a liberação de atualizações de segurança para corrigir uma vulnerabilidade de bypass de autenticação em seu software. A falha, que ainda não possui um identificador CVE, foi abordada na versão 9.9 (Build 9972), lançada em 28 de agosto de 2025. A empresa australiana informou que a vulnerabilidade permitia um ‘potencial bypass de autenticação ao usar uma URL cuidadosamente elaborada contra a página de Acesso de Emergência do Passwordstate’. Além disso, a nova versão inclui proteções aprimoradas contra ataques de clickjacking, que podem afetar a extensão do navegador do Passwordstate, especialmente se os usuários visitarem sites comprometidos. Essas melhorias são uma resposta a descobertas do pesquisador de segurança Marek Tóth, que destacou uma técnica de clickjacking baseada no Document Object Model (DOM) que afeta várias extensões de gerenciadores de senhas. A Click Studios atende 29.000 clientes, incluindo agências governamentais e empresas da Fortune 500. Esta atualização é particularmente relevante, considerando que a empresa já enfrentou um ataque à sua cadeia de suprimentos há mais de quatro anos, que comprometeu seu mecanismo de atualização de software.

O artigo destaca a crescente preocupação com a segurança de aplicativos na nuvem, especialmente em um cenário onde falhas de segurança podem custar milhões às empresas. Em 2025, o custo médio de uma violação de dados é estimado em US$ 4,44 milhões, com uma parte significativa desses problemas originando-se de erros de segurança em aplicativos. A visibilidade de código à nuvem é apresentada como uma solução eficaz para identificar riscos desde a fase de desenvolvimento até a operação na nuvem. O artigo menciona que 32% das organizações enfrentam dificuldades na gestão de vulnerabilidades, enquanto 97% lidam com questões de segurança relacionadas à inteligência artificial generativa. Um webinar programado para 8 de setembro de 2025 promete oferecer insights práticos sobre como implementar essa abordagem, visando melhorar a colaboração entre equipes de desenvolvimento, operações e segurança. Os participantes aprenderão a mapear riscos, acelerar correções e se preparar para novas ameaças, tudo isso sem sobrecarregar suas operações.

Pesquisadores do grupo Trail of Bits revelaram uma nova vulnerabilidade que permite a hackers roubar dados de usuários ao injetar comandos maliciosos em imagens processadas por sistemas de inteligência artificial (IA), como o Gemini da Google. A técnica utiliza esteganografia, onde instruções invisíveis ao olho humano são incorporadas em imagens de alta resolução. Quando essas imagens são redimensionadas por algoritmos de IA, os comandos ocultos podem se tornar visíveis e ser interpretados como parte das solicitações do usuário.

Administradores do FreePBX estão em alerta após a descoberta de uma vulnerabilidade crítica de 0-Day no módulo Endpoint Manager. Identificada em 21 de agosto de 2025, a falha permite que atacantes realizem escalonamento de privilégios não autenticados, levando à execução remota de código (RCE). Isso significa que invasores podem obter privilégios administrativos sem credenciais válidas, especialmente se a interface de administração estiver exposta a redes hostis. A equipe de segurança da Sangoma emitiu um aviso de emergência em 26 de agosto, recomendando que os operadores isolem imediatamente os sistemas afetados e bloqueiem o acesso público às portas 80 e 443. Além disso, é sugerido que os administradores verifiquem a presença do módulo Endpoint e apliquem o patch oficial ou removam o módulo vulnerável. A análise forense deve incluir a verificação de logs do servidor web e a busca por padrões de comprometimento. Para a proteção a longo prazo, recomenda-se a desativação de módulos comerciais não utilizados e a implementação de autenticação multifator (MFA) para acesso administrativo. A combinação de isolamento imediato, análise forense e endurecimento proativo pode ajudar a mitigar o impacto dessa vulnerabilidade.

A Cisco emitiu um alerta de segurança crítico sobre uma vulnerabilidade no Integrated Management Controller (IMC), que afeta a funcionalidade do Teclado Virtual Video Monitor (vKVM). A falha, descoberta durante testes internos, resulta de uma verificação inadequada dos endpoints do vKVM. Se não for corrigida, um atacante não autenticado pode redirecionar usuários desavisados para sites maliciosos, possibilitando o roubo de credenciais e outras compromissos mais amplos. A Cisco recomenda atualizações imediatas, pois não existem soluções alternativas. A vulnerabilidade é preocupante devido à sua ampla abrangência em diversos produtos da Cisco, incluindo servidores UCS B-Series e C-Series, além de sistemas HyperFlex e centros de gerenciamento de firewall. A empresa já disponibilizou versões corrigidas, e os administradores devem agir rapidamente para aplicar os patches, uma vez que a simplicidade do ataque, que depende de engenharia social, aumenta o risco de exploração. Embora não haja evidências de exploração ativa até o momento, a natureza crítica da falha exige atenção urgente das organizações.

A Cisco divulgou um aviso de segurança sobre múltiplas vulnerabilidades de média gravidade em seu software UCS Manager, identificadas como CVE-2025-20294 e CVE-2025-20295. Essas falhas afetam dispositivos que operam o UCS Manager em várias plataformas de Fabric Interconnect. Ambas as vulnerabilidades resultam de validação insuficiente de entradas em argumentos de comando, permitindo que um atacante com acesso administrativo realize injeções de comandos e execute atividades maliciosas no sistema operacional subjacente. A CVE-2025-20294, com uma pontuação CVSS de 6.5, impacta tanto a interface de linha de comando quanto a interface de gerenciamento baseada na web, possibilitando que um invasor autenticado execute comandos arbitrários com privilégios de root. A CVE-2025-20295, com pontuação CVSS de 6.0, permite que um atacante local leia, crie ou sobrescreva arquivos críticos do sistema. A Cisco já disponibilizou atualizações de software para corrigir as falhas e recomenda que os usuários atualizem imediatamente, pois não há soluções alternativas disponíveis. Embora as vulnerabilidades sejam classificadas como de média gravidade, sua exploração pode comprometer a infraestrutura crítica de data centers, tornando-se um alvo de alto valor para atacantes.

A Cisco divulgou uma vulnerabilidade de alto risco em seu software NX-OS, que afeta uma ampla gama de dispositivos utilizados em data centers. A falha permite que atacantes com credenciais válidas injetem comandos no sistema operacional subjacente, explorando a validação inadequada de entradas no interface de linha de comando (CLI). Embora os privilégios de root não sejam concedidos, um atacante pode executar instruções com os privilégios de uma conta não-root, possibilitando o acesso a arquivos e potencialmente facilitando movimentos laterais dentro da rede. A vulnerabilidade impacta dispositivos como os switches da série Nexus e MDS 9000, além de interconectores UCS. A Cisco já disponibilizou patches para corrigir a falha, e os administradores são aconselhados a aplicar as atualizações o mais rápido possível. Não há registros de exploração ativa até o momento, mas a possibilidade de uso indevido em ambientes com ameaças internas é significativa. A empresa reforça a importância de manter a segurança e a estabilidade operacional através da aplicação das correções recomendadas.

Uma nova vulnerabilidade de execução remota de código (RCE) zero-day, identificada como CVE-2025-7775, está sendo ativamente explorada em dispositivos Citrix Netscaler ADC e Gateway em todo o mundo. Com mais de 28.200 instâncias ainda sem correção até 26 de agosto de 2025, essa falha representa uma ameaça urgente para redes corporativas, especialmente nos Estados Unidos e na Alemanha. A vulnerabilidade permite que atacantes não autenticados enviem requisições HTTP especialmente elaboradas para a interface de gerenciamento de um dispositivo vulnerável, resultando na execução de código arbitrário com privilégios de nsroot. Isso pode levar a um controle total do sistema, possibilitando a instalação de ransomware, backdoors persistentes e a exfiltração de dados sensíveis. A CISA incluiu CVE-2025-7775 em seu catálogo de Vulnerabilidades Conhecidas e Exploited (KEV), exigindo que as agências federais dos EUA apliquem o patch imediatamente. A Citrix já disponibilizou um boletim de segurança com atualizações de firmware para corrigir a falha, e os administradores são aconselhados a aplicar as correções, revisar logs de servidores e isolar os dispositivos vulneráveis da internet até que as atualizações sejam implementadas.

A Agência de Segurança Cibernética e Infraestrutura (CISA) dos EUA divulgou três novos avisos sobre Sistemas de Controle Industrial (ICS) que destacam vulnerabilidades críticas em produtos de automação e controle. Os avisos, publicados em 26 de agosto de 2025, abordam falhas em softwares de interface homem-máquina, controladores lógicos programáveis e dispositivos de monitoramento de bombas. Cada aviso classifica a severidade das vulnerabilidades utilizando o Sistema Comum de Pontuação de Vulnerabilidades (CVSS) e oferece estratégias de mitigação, como endurecimento de configurações e atualizações de software. As organizações que utilizam os produtos afetados são instadas a avaliar sua exposição, implementar soluções alternativas e aplicar patches fornecidos pelos fornecedores imediatamente. Além disso, recomenda-se que os administradores validem os controles de segmentação de rede, reforcem políticas de acesso e monitorem atividades anômalas que possam indicar tentativas de exploração. As vulnerabilidades identificadas têm severidades que variam de 7.8 a 9.1, sendo a mais crítica a relacionada ao software VT-Designer da INVT Electric. A CISA enfatiza a importância de uma gestão eficaz de patches e um monitoramento contínuo para proteger as operações industriais contra possíveis ataques.

Uma nova vulnerabilidade, identificada como CVE-2025-50975, afeta a versão 2.29 do IPFire, um firewall amplamente utilizado. Essa falha permite que usuários autenticados com altos privilégios realizem ataques de cross-site scripting (XSS) persistente através da interface web do firewall. A vulnerabilidade se origina na falta de validação de entrada e sanitização em vários parâmetros de regras do firewall, como PROT, SRC_PORT e TGT_PORT. Isso possibilita que um atacante injete código JavaScript malicioso que será executado sempre que outro administrador acessar a página de regras do firewall. As consequências incluem roubo de cookies de autenticação, alterações não autorizadas nas regras do firewall e potencial acesso a sistemas internos. A exploração é considerada de baixa complexidade, exigindo apenas acesso à interface gráfica do usuário. Para mitigar os riscos, os administradores devem atualizar para a versão corrigida do IPFire imediatamente e implementar medidas temporárias, como restringir o acesso à interface e monitorar logs em busca de atividades suspeitas.

A Nagios Enterprises anunciou a atualização do Nagios XI para a versão 2024R2.1, que inclui melhorias significativas de segurança e novas funcionalidades de gerenciamento SNMP. Um dos principais destaques é a correção de uma vulnerabilidade de cross-site scripting (XSS) na funcionalidade Graph Explorer, que poderia permitir a injeção de scripts maliciosos através de parâmetros de URL. O pesquisador de segurança Marius Lihet foi reconhecido por divulgar a falha de forma responsável. Além disso, a atualização introduz novos níveis de licença, permitindo um controle mais granular sobre permissões de usuários e acesso a recursos em grandes implantações empresariais. A versão também removeu o suporte ao Ubuntu 20.04, exigindo que os administradores planejem migrações para manter a segurança da plataforma. A nova página de ‘SNMP Walk Jobs’ melhora a escalabilidade e confiabilidade em auditorias de dispositivos, enquanto a integração com o Nagios Mod-Gearman ajuda a manter o desempenho sob cargas pesadas. Com foco em segurança e flexibilidade, esta atualização é essencial para empresas que monitoram ambientes de rede complexos.

A NVIDIA divulgou uma atualização crítica para o NVIDIA® NeMo Curator, visando corrigir uma vulnerabilidade de injeção de código de alta severidade, identificada como CVE-2025-23307. Essa falha afeta todas as plataformas suportadas pelo Curator e permite que um atacante, ao manipular um arquivo malicioso, consiga executar código remotamente, escalar privilégios, divulgar informações sensíveis ou adulterar dados. A vulnerabilidade é resultado de uma validação insuficiente das entradas fornecidas pelo usuário antes da avaliação dinâmica do código. Com uma pontuação base de 7.8 no CVSS v3.1, a falha apresenta um alto impacto em termos de confidencialidade, integridade e disponibilidade, com um vetor de ataque que requer baixa interação do usuário. A NVIDIA recomenda que todos os usuários atualizem para a versão 25.07 do Curator, que inclui controles de avaliação mais rigorosos e sanitização de entradas. As versões anteriores, em Windows, Linux e macOS, permanecem vulneráveis, e a urgência da atualização deve ser avaliada conforme as configurações e modelos de ameaça específicos de cada ambiente.

A Cloud Software Group emitiu um alerta de segurança urgente sobre três vulnerabilidades críticas que afetam os produtos NetScaler ADC e NetScaler Gateway. A mais grave, identificada como CVE-2025-7775, possui um escore CVSS de 9.2 e permite a execução remota de código ou negação de serviço devido a condições de overflow de memória. Explorações dessa vulnerabilidade já foram observadas em dispositivos não mitigados, tornando a aplicação de patches uma prioridade imediata. As outras duas vulnerabilidades, CVE-2025-7776 e CVE-2025-8424, também apresentam riscos significativos, com escores de 8.8 e 8.7, respectivamente. A primeira está relacionada a configurações do NetScaler Gateway que podem levar a negação de serviço, enquanto a segunda envolve uma falha de controle de acesso na interface de gerenciamento do NetScaler, permitindo acesso administrativo não autorizado. A empresa recomenda a atualização para versões corrigidas, destacando a importância de agir rapidamente para proteger a infraestrutura de rede e dados sensíveis das organizações.

Em 26 de agosto de 2025, o Google lançou uma atualização para o Chrome Desktop, corrigindo uma vulnerabilidade crítica identificada como CVE-2025-9478, que afeta a biblioteca gráfica ANGLE. Essa falha de uso após a liberação (use-after-free) pode permitir a execução remota de código malicioso através de comandos específicos enviados por uma página web comprometida. A atualização está sendo distribuída gradualmente para as versões do Chrome em Windows, Mac e Linux, e é recomendada a todos os usuários que mantenham seus navegadores atualizados. O Google agradeceu à equipe de pesquisa externa, Google Big Sleep, por relatar a vulnerabilidade de forma responsável. A empresa reforça a importância de atualizações frequentes para garantir a segurança dos usuários e prevenir a exploração de falhas antes que a maioria esteja protegida.

O ataque de engano de cache é uma técnica sofisticada que permite que atacantes manipulem regras de cache para expor conteúdos sensíveis. Ao explorar inconsistências entre uma rede de entrega de conteúdo (CDN) e o servidor web de origem, os invasores conseguem enganar o cache, armazenando endpoints privados sob regras de ativos estáticos e, posteriormente, recuperando essas informações.

As CDNs geralmente diferenciam entre ativos estáticos (como imagens e arquivos CSS) e páginas dinâmicas, aplicando cabeçalhos permissivos a arquivos estáticos e restrições a páginas dinâmicas. No entanto, quando um caminho de URL imita um recurso estático, a CDN pode armazená-lo, enquanto o servidor de origem o trata como uma página dinâmica. Técnicas de exploração incluem confusão de extensão, discrepâncias de delimitadores e confusão de travessia de caminho, permitindo que os atacantes acessem conteúdos que deveriam ser privados.

Um pesquisador de segurança, conhecido como ‘BobDaHacker’, descobriu vulnerabilidades significativas nos sistemas online da McDonald’s enquanto tentava resgatar uma recompensa de nuggets grátis pelo aplicativo da empresa. A falha permitiu acesso ao ‘Feel-Good Design Hub’, uma plataforma centralizada para ativos de marketing utilizada em mais de 120 países. Além disso, a McDonald’s não possui um canal claro para que pesquisadores relatem vulnerabilidades, o que dificultou a comunicação de Bob com a empresa. Ele teve que buscar contatos no LinkedIn e fazer várias ligações até conseguir uma resposta. Mesmo após a substituição do sistema de senhas por um login baseado em conta, uma nova falha foi identificada: ao alterar a URL de ’login’ para ‘register’, Bob conseguiu criar novas contas com acesso total. O sistema ainda enviava senhas em texto simples, uma prática considerada insegura. Embora a McDonald’s tenha corrigido a maioria das vulnerabilidades, a falta de um canal de reporte confiável pode resultar em falhas sérias sendo ignoradas no futuro. Este incidente levanta questões sobre a prioridade da segurança cibernética na empresa, especialmente considerando que informações de funcionários e clientes podem estar em risco.

Um grupo de acadêmicos da Universidade de Tecnologia e Design de Cingapura desenvolveu um novo ataque que permite rebaixar uma conexão 5G para uma geração inferior, sem a necessidade de uma estação base falsa. O ataque utiliza um kit de ferramentas de código aberto chamado Sni5Gect, que intercepta mensagens não criptografadas entre a estação base e o equipamento do usuário (como smartphones) e injeta mensagens no dispositivo alvo. Essa técnica pode causar falhas no modem do dispositivo, rebaixar a conexão para 4G e contornar autenticações. O ataque é realizado durante a fase inicial de conexão, onde as mensagens trocadas não são criptografadas, permitindo que o invasor capture e injete dados sem precisar das credenciais do usuário. Em testes com cinco smartphones, a equipe obteve uma taxa de sucesso de 70-90% na injeção de mensagens a uma distância de até 20 metros. A GSMA reconheceu a gravidade do ataque, atribuindo-lhe o identificador CVD-2024-0096. Os pesquisadores afirmam que o Sni5Gect é uma ferramenta fundamental para a pesquisa em segurança 5G, permitindo avanços na detecção e mitigação de intrusões em redes móveis.

A Citrix anunciou a correção de três vulnerabilidades de segurança em seus produtos NetScaler ADC e NetScaler Gateway, sendo uma delas, identificada como CVE-2025-7775, alvo de exploração ativa. Essa vulnerabilidade, com uma pontuação CVSS de 9.2, permite a execução remota de código e/ou negação de serviço, enquanto as outras duas, CVE-2025-7776 e CVE-2025-8424, apresentam pontuações de 8.8 e 8.7, respectivamente, e podem causar comportamentos errôneos e problemas de controle de acesso. Para que as falhas sejam exploradas, configurações específicas do NetScaler são necessárias, como a utilização como Gateway ou a presença de perfis PCoIP. As versões afetadas incluem o NetScaler ADC e Gateway 13.1 e 14.1, com correções disponíveis nas versões mais recentes. A Citrix reconheceu a contribuição de pesquisadores na identificação dessas vulnerabilidades. Este incidente é parte de uma série de falhas críticas que têm sido descobertas em um curto espaço de tempo, destacando a necessidade de atenção contínua à segurança em ambientes corporativos que utilizam essas tecnologias.

Pesquisadores da Rapid7 identificaram quatro vulnerabilidades críticas no Securden Unified PAM, uma solução de gerenciamento de acesso privilegiado amplamente utilizada. Três dessas falhas permitem o bypass completo de autenticação e execução remota de código, afetando as versões de 9.0.x a 11.3.1. A vulnerabilidade mais grave, CVE-2025-53118, permite que atacantes acessem múltiplos endpoints da API sem credenciais válidas, explorando a validação inadequada de cookies. Isso pode resultar em extração de credenciais e backups de banco de dados. Outras duas vulnerabilidades, CVE-2025-53119 e CVE-2025-53120, expõem o servidor a execução remota de código não autenticada, permitindo o upload de arquivos arbitrários e a sobrescrição de scripts em diretórios privilegiados. A quarta falha, CVE-2025-6737, revela fraquezas na isolação de inquilinos, aumentando o risco de exploração cruzada entre instâncias. A Securden lançou um patch na versão 11.4.4 para corrigir essas falhas, e as organizações são aconselhadas a atualizar imediatamente suas versões vulneráveis. Dada a função do Securden como um corretor de credenciais, essas vulnerabilidades representam um vetor de ataque de alto valor, permitindo que atacantes colham credenciais e imitem administradores.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu três vulnerabilidades críticas em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), relacionadas ao Citrix Session Recording e ao Git. As falhas CVE-2024-8068 e CVE-2024-8069, ambas com uma pontuação CVSS de 5.1, permitem a escalada de privilégios e execução remota de código, respectivamente, quando um atacante é um usuário autenticado na mesma rede do servidor de gravação de sessões. A terceira vulnerabilidade, CVE-2025-48384, com uma pontuação CVSS de 8.1, está relacionada ao Git e resulta em execução arbitrária de código devido ao tratamento inconsistente de caracteres de retorno de carro em arquivos de configuração. As falhas da Citrix foram corrigidas em novembro de 2024, enquanto a vulnerabilidade do Git foi abordada em julho de 2025. A CISA não forneceu detalhes adicionais sobre a atividade de exploração, mas exigiu que as agências federais implementassem as mitig ações necessárias até 15 de setembro de 2025.

O Vtenext, uma solução de CRM amplamente utilizada por pequenas e médias empresas italianas, apresenta múltiplas falhas críticas nas versões 25.02 e anteriores. Três vetores distintos de bypass de autenticação permitem que atacantes contornem a segurança e realizem execução remota de código (RCE) no servidor alvo. Embora a versão 25.02.1 tenha corrigido o vetor mais severo, as vulnerabilidades restantes ainda expõem muitas implementações ao risco. Os vetores de ataque incluem: 1) uma cadeia de XSS refletido que permite o sequestro de sessões; 2) injeção SQL que possibilita a extração de tokens de redefinição de senha; e 3) uma redefinição de senha silenciosa que não valida tokens, permitindo acesso administrativo não autenticado. Os atacantes podem, então, explorar a execução remota de código através de inclusão de arquivos locais ou upload de módulos maliciosos. A atualização imediata para a versão 25.02.1 é fortemente recomendada para mitigar esses riscos.

A Docker lançou correções para uma vulnerabilidade crítica no aplicativo Docker Desktop para Windows e macOS, identificada como CVE-2025-9074, com um CVSS de 9.3. Essa falha permite que um container malicioso acesse o Docker Engine e crie novos containers sem a necessidade de montar o socket do Docker, o que pode resultar em acesso não autorizado a arquivos do sistema host. O problema reside na falta de autenticação para conexões ao Docker Engine API, permitindo que um container privilegiado tenha acesso total ao sistema subjacente. Um ataque de prova de conceito demonstrou que um simples pedido HTTP poderia comprometer completamente o host. No Windows, um atacante pode montar o sistema de arquivos inteiro e acessar arquivos sensíveis, enquanto no macOS, a aplicação possui uma camada de isolamento que requer permissão do usuário para acessar diretórios. A versão Linux do Docker não é afetada, pois utiliza um pipe nomeado em vez de um socket TCP. A vulnerabilidade pode ser explorada por meio de containers maliciosos ou por meio de uma falha de solicitação do lado do servidor (SSRF).

A atualização de segurança de agosto de 2025 para o Windows 11 versão 24H2 e Windows 10 trouxe uma série de problemas, incluindo lentidão severa em dispositivos que utilizam ferramentas de streaming NDI, como OBS. Os usuários relataram travamentos e degradação de desempenho após a instalação da atualização KB5063878. A Microsoft recomenda uma solução temporária, que envolve a mudança do modo de recebimento NDI para TCP ou UDP. Além disso, a atualização causou falhas na instalação via WSUS para clientes empresariais, que já foram resolvidas. Outros problemas incluem a falta de prompt de consentimento parental em navegadores não-Edge e incompatibilidades com drivers específicos, como o sprotect.sys e o Dirac Audio, que impedem a atualização em alguns dispositivos. A Microsoft está trabalhando em soluções para esses problemas, mas os usuários são aconselhados a verificar a compatibilidade de seus sistemas antes de proceder com a atualização.

O cenário atual de cibersegurança é profundamente influenciado pela dinâmica política global, onde uma única violação pode impactar cadeias de suprimento e alterar o equilíbrio de poder. Recentemente, vulnerabilidades em gerenciadores de senhas foram descobertas, permitindo ataques de clickjacking que podem comprometer credenciais e dados financeiros. Além disso, hackers russos estão explorando uma falha antiga em dispositivos Cisco, coletando arquivos de configuração e alterando configurações para obter acesso não autorizado a redes críticas. A Apple também lançou correções para uma vulnerabilidade zero-day em seus sistemas operacionais, que estava sendo ativamente explorada. Outro ator, conhecido como Murky Panda, tem abusado de relações de confiança na nuvem para invadir redes empresariais. A INTERPOL anunciou a prisão de mais de 1.200 cibercriminosos na África, destacando a necessidade de cooperação internacional no combate ao cibercrime. Esses incidentes ressaltam a importância de uma abordagem estratégica em cibersegurança, onde as decisões de segurança transcendem a TI e se conectam a questões de negócios e confiança.

Recentemente, a Apple lançou um patch de segurança para uma vulnerabilidade crítica identificada como CVE-2025-43300, que afeta o processamento de imagens em dispositivos iOS e macOS. Essa falha permite a execução remota de código (RCE) sem interação do usuário, simplesmente ao visualizar uma imagem maliciosa. O problema se origina de uma discrepância entre os metadados declarados em arquivos TIFF/DNG e a contagem real de componentes nos fluxos JPEG Lossless, resultando em uma condição de escrita fora dos limites de memória. A Apple confirmou que a exploração dessa vulnerabilidade já foi observada em ataques direcionados, o que destaca sua gravidade. As versões afetadas incluem iOS 18.6.2, macOS Sequoia 15.6.1, entre outras. Especialistas recomendam que usuários e administradores apliquem as atualizações imediatamente, e ferramentas como ELEGANT BOUNCER foram desenvolvidas para detectar inconsistências em arquivos DNG, ajudando a prevenir a exploração. A complexidade dos padrões de imagem utilizados pela Apple é um lembrete de que a segurança pode ser comprometida por falhas em sistemas aparentemente robustos.

A Salesforce divulgou uma série de vulnerabilidades de alta severidade que afetam o Tableau Server e o Tableau Desktop, conforme o lançamento de manutenção de julho de 2025. A falha mais crítica, identificada como CVE-2025-26496, possui uma pontuação CVSS v3 de 9.6 e permite que atacantes realizem ataques de inclusão de código local, comprometendo completamente o sistema. Essa vulnerabilidade afeta versões anteriores a 2025.1.4, 2024.2.13 e 2023.3.20. Além disso, quatro das cinco vulnerabilidades divulgadas envolvem ataques de travessia de caminho, permitindo acesso a arquivos e diretórios fora dos limites pretendidos. As falhas CVE-2025-52450 e CVE-2025-52451, com pontuações de 8.5, afetam módulos da API tabdoc, enquanto CVE-2025-26497 e CVE-2025-26498 exploram componentes do servidor com pontuações de 7.7. A Salesforce recomenda a atualização imediata para as versões corrigidas disponíveis, demonstrando seu compromisso com a segurança em sua plataforma de inteligência de negócios.

O ecossistema do Microsoft Copilot enfrenta um grave problema de governança de segurança, onde as políticas de acesso configuradas estão sendo sistematicamente ignoradas. Isso permite a implantação não autorizada de agentes, mesmo diante de restrições administrativas explícitas. Desde maio de 2025, a Microsoft lançou 107 agentes Copilot, mas uma falha crítica foi identificada: a configuração da política de ‘Acesso a Dados’, que deveria impedir o acesso de usuários aos agentes, não está sendo aplicada corretamente. Essa vulnerabilidade compromete os controles de segurança das empresas e aumenta os riscos de exposição de dados em ambientes Microsoft 365. A falha se manifesta em múltiplos vetores, incluindo a incapacidade da Microsoft de implementar suas próprias políticas de controle de acesso e deficiências na gestão de inventário de agentes. Para mitigar esses riscos, os administradores devem realizar auditorias abrangentes, implementar bloqueios manuais e estabelecer monitoramento contínuo para detectar novas implantações não autorizadas. A situação exige uma resposta imediata da Microsoft para restaurar a confiança em seu ecossistema de IA.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma vulnerabilidade crítica da Apple em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). A falha, identificada como CVE-2025-43300, afeta iOS, iPadOS e macOS, permitindo que atacantes executem código arbitrário ou provoquem falhas no sistema. Essa vulnerabilidade é classificada como uma escrita fora dos limites (CWE-787) dentro do framework Image I/O, que é responsável pelo processamento de dados de imagem nos sistemas da Apple. A exploração pode ocorrer através de arquivos de imagem maliciosos enviados por e-mail ou acessados em sites comprometidos. A CISA recomenda que as organizações apliquem as correções fornecidas pela Apple e monitorem atividades suspeitas relacionadas ao processamento de arquivos de imagem. A inclusão dessa vulnerabilidade no catálogo KEV indica que é uma preocupação de segurança de alta prioridade, exigindo atenção imediata das equipes de segurança em todos os setores.

Uma vulnerabilidade crítica na arquitetura de Conexão de API do Microsoft Azure permitiu a completa exploração de recursos em múltiplos tenants na nuvem. A falha, descoberta por um pesquisador, foi corrigida pela Microsoft em uma semana após sua divulgação. O problema estava relacionado à infraestrutura compartilhada do Azure, que processa trocas de tokens de autenticação entre aplicações e serviços de backend. A vulnerabilidade permitia que atacantes acessassem serviços conectados, como Azure Key Vaults e bancos de dados, em diferentes tenants. O exploit utilizou um endpoint não documentado chamado DynamicInvoke, que permitia chamadas arbitrárias em Conexões de API, possibilitando acesso administrativo a serviços conectados globalmente. A falha foi classificada como uma séria ameaça, especialmente para organizações que armazenam credenciais sensíveis no Azure Key Vault. A descoberta ressalta os riscos de segurança em arquiteturas de nuvem compartilhadas, onde sistemas multi-tenant podem criar vetores de ataque inesperados.

O hacker ético Marek Tóth revelou vulnerabilidades críticas em gerenciadores de senha populares, como Dashlane, Nordpass e 1Password, durante a conferência DEF CON 33. As falhas, relacionadas ao clickjacking, permitem que elementos invisíveis sejam sobrepostos na tela, levando os usuários a fornecerem dados sensíveis, como números de cartões de crédito e credenciais de acesso. Tóth testou 11 gerenciadores de senha e encontrou que a maioria não implementou proteções adequadas contra essas técnicas de invasão. Apesar de algumas empresas terem atualizado suas extensões para corrigir as falhas, versões anteriores ainda podem estar vulneráveis. O hacker alertou as empresas sobre as vulnerabilidades meses antes de sua divulgação pública, mas algumas, como 1Password e LastPass, minimizaram a gravidade do problema. Tóth recomenda que os usuários desativem o preenchimento manual de senhas e mantenham suas extensões atualizadas para evitar ataques. Estima-se que até 40 milhões de pessoas possam ter sido afetadas por essas vulnerabilidades.

Cibercriminosos estão explorando uma vulnerabilidade crítica em bancos de dados GeoServer para sequestrar máquinas de vítimas e monetizar sua largura de banda. Desde março de 2025, essa operação sofisticada utiliza a vulnerabilidade CVE-2024-36401, que permite a execução remota de código, com um CVSS de 9.8, destacando sua gravidade. Os atacantes injetam comandos através de consultas JXPath, permitindo a execução de código arbitrário. A análise revelou mais de 7.000 instâncias de GeoServer expostas publicamente em 99 países, com a maioria localizada na China. O objetivo principal da campanha é implantar kits de desenvolvimento de software (SDKs) legítimos e aplicativos modificados que compartilham os recursos de rede das vítimas por meio de proxies residenciais, gerando renda passiva. A operação é realizada em três fases, com os atacantes mudando rapidamente de infraestrutura após serem detectados. Para mitigar esses riscos, as organizações devem corrigir imediatamente as instâncias do GeoServer e implementar monitoramento de rede para conexões suspeitas.

A Commvault lançou atualizações para corrigir quatro vulnerabilidades de segurança que poderiam ser exploradas para execução remota de código em instâncias vulneráveis. As falhas, identificadas nas versões anteriores à 11.36.60, incluem: CVE-2025-57788, que permite a atacantes não autenticados executar chamadas de API sem credenciais; CVE-2025-57789, que permite o uso de credenciais padrão para obter controle administrativo; CVE-2025-57790, uma vulnerabilidade de travessia de caminho que possibilita acesso não autorizado ao sistema de arquivos; e CVE-2025-57791, que permite a injeção de argumentos de linha de comando devido à validação insuficiente de entradas. Pesquisadores da watchTowr Labs descobriram e relataram essas falhas em abril de 2025. As vulnerabilidades foram resolvidas nas versões 11.32.102 e 11.36.60, e a solução SaaS da Commvault não foi afetada. O artigo destaca que as falhas podem ser combinadas em cadeias de exploração para execução de código, especialmente se a senha do administrador não tiver sido alterada desde a instalação. Essa divulgação ocorre após a identificação de uma falha crítica anterior na Commvault, que foi adicionada ao catálogo de vulnerabilidades exploradas ativamente pela CISA.

Uma hacker ética, conhecida como Bobdahacker, descobriu várias falhas críticas nos sistemas do McDonald’s, incluindo o aplicativo de delivery e sites de parceiros. A primeira vulnerabilidade identificada permitia que usuários fizessem pedidos de comida gratuitamente, pois as checagens de segurança eram realizadas apenas no lado do cliente, sem validações no servidor. Além disso, a empresa não possuía um arquivo security.txt, dificultando a comunicação sobre vulnerabilidades. Outras falhas incluíam a possibilidade de criar contas no site de marketing da empresa sem ser funcionário, senhas em texto claro e chaves de API expostas. Apesar de algumas correções terem sido feitas, a segurança do site ainda é considerada insuficiente. A hacker também encontrou problemas em um chatbot de IA usado para contratações, que tinha uma senha extremamente fraca. A falta de um canal claro para reportar vulnerabilidades e a resposta lenta da empresa levantam preocupações sobre a segurança dos dados e a possibilidade de ataques de phishing.

A Apple lançou um patch de segurança para corrigir uma falha de zero-day identificada como CVE-2025-43300, que afeta dispositivos com iOS e iPadOS. Essa vulnerabilidade, que permite a execução remota de código, foi explorada em ataques sofisticados direcionados a indivíduos específicos. O problema reside em um erro de escrita fora dos limites no framework ImageIO, que gerencia arquivos de imagem. A falha possibilita que imagens maliciosas enviadas por e-mail ou mensagens causem corrupção de memória, levando a possíveis crashes ou execução de malware. A Apple implementou melhorias nos checagens de limites nas versões iOS 18.6.2 e iPadOS 18.6.2, entre outras atualizações. É importante que os usuários atualizem seus dispositivos imediatamente, pois há evidências de que a vulnerabilidade está sendo explorada ativamente. A falha afeta uma ampla gama de dispositivos, incluindo iPhones a partir do modelo XS e diversos modelos de iPads. Este é o sexto zero-day corrigido pela Apple em 2025, destacando a necessidade de vigilância constante em relação à segurança dos dispositivos.

A Microsoft decidiu restringir o acesso de algumas empresas chinesas ao seu sistema de alerta antecipado sobre vulnerabilidades cibernéticas, conhecido como MAPP (Microsoft Active Protections Program). Essa decisão foi tomada após uma série de ataques que exploraram falhas na plataforma SharePoint da empresa, afetando até 400 organizações. Suspeitas de envolvimento do governo chinês nos ataques levaram a Microsoft a acreditar que houve um vazamento de informações dentro do programa MAPP, que é utilizado para alertar empresas de segurança sobre ameaças e permitir que elas se preparem para possíveis ataques. As vulnerabilidades já foram corrigidas, mas foram utilizadas anteriormente para implantar ransomware, permitindo que atacantes extraíssem chaves criptográficas de servidores da Microsoft. A empresa confirmou que não enviará mais códigos de prova de conceito para empresas chinesas, uma medida que visa evitar que informações sobre as defesas dos sistemas sejam usadas por atacantes. A Microsoft continua a revisar os participantes do MAPP e pode suspender ou remover aqueles que violarem os termos do contrato, que proíbe a participação em ataques ofensivos.

O FBI emitiu um alerta sobre hackers russos, associados ao Centro 16 do FSB, que estão explorando uma vulnerabilidade antiga da Cisco, identificada como CVE-2018-0171. Essa falha, que afeta o protocolo SNMP e o recurso Smart Install do software Cisco IOS, permite que adversários não autenticados realizem ações maliciosas, como a execução de código arbitrário ou a negação de serviço (DoS). A vulnerabilidade impacta uma variedade de dispositivos, incluindo switches da série Catalyst, muitos dos quais já atingiram o fim de vida e não receberam patches. O FBI relatou que esses hackers conseguiram coletar arquivos de configuração de milhares de dispositivos de rede em entidades dos EUA, especialmente no setor de infraestrutura crítica, e modificaram configurações para obter acesso não autorizado. A agência recomenda que as organizações atualizem seus sistemas e considerem a substituição de dispositivos obsoletos para mitigar os riscos associados a essa vulnerabilidade.

A Mozilla lançou a versão 142 do Firefox, que corrige nove vulnerabilidades de segurança, incluindo falhas de alta gravidade que podem permitir a execução remota de código. O aviso de segurança, divulgado em 19 de agosto de 2025, destaca problemas que vão desde corrupção de memória até bypass de políticas de mesma origem, que podem comprometer dados do usuário e a segurança do sistema.

A vulnerabilidade mais crítica, identificada como CVE-2025-9179, envolve uma falha de escape de sandbox no componente Audio/Video GMP (Gecko Media Plugin), permitindo que atacantes realizem corrupção de memória em um processo que lida com conteúdo de mídia criptografada. Outra falha significativa, CVE-2025-9180, permite o bypass da política de mesma origem no componente Graphics Canvas2D, o que pode facilitar ataques cross-site e acesso não autorizado a dados.

No dia 19 de agosto de 2025, a Cybersecurity and Infrastructure Security Agency (CISA) divulgou quatro novos avisos sobre Sistemas de Controle Industrial (ICS), abordando vulnerabilidades em componentes de infraestrutura crítica de grandes fornecedores, como Siemens, Tigo Energy e EG4 Electronics. Os avisos destacam os desafios de segurança contínuos em ambientes de tecnologia operacional que suportam serviços essenciais em diversos setores da indústria.

Dentre os avisos, dois focam em produtos da Siemens, que são amplamente utilizados em infraestrutura crítica. O primeiro, ICSA-25-231-01, trata de vulnerabilidades na família de produtos Desigo CC e nos sistemas SENTRON Powermanager, comuns em instalações comerciais e hospitais. O segundo, ICSA-25-231-02, aborda o módulo SAML da Mendix, que lida com protocolos de autenticação, permitindo acesso não autorizado a sistemas críticos.

Um grupo de hackers vinculado ao FSB da Rússia, conhecido como Static Tundra, está explorando uma vulnerabilidade de sete anos na Cisco, especificamente a CVE-2018-0171, para comprometer infraestruturas críticas em setores como telecomunicações, educação superior e manufatura. Essa falha, que permite que atacantes remotos não autenticados reiniciem dispositivos ou executem códigos arbitrários, foi corrigida pela Cisco em 2018, mas muitos dispositivos ainda permanecem desatualizados. O Static Tundra utiliza ferramentas automatizadas para escanear dispositivos vulneráveis em várias regiões do mundo, incluindo América do Norte, Ásia, África e Europa. Após obter acesso inicial, o grupo implementa técnicas sofisticadas para manter uma presença de longo prazo, como a modificação de configurações de dispositivos e a utilização de implantes de firmware. A campanha tem se intensificado desde o início do conflito entre Rússia e Ucrânia, com organizações ucranianas sendo alvos frequentes. Especialistas alertam que é crucial que as organizações apliquem imediatamente os patches de segurança ou desativem a funcionalidade Smart Install em dispositivos que não podem ser atualizados.

A Apple lançou atualizações de segurança para corrigir uma vulnerabilidade crítica, identificada como CVE-2025-43300, que afeta iOS, iPadOS e macOS. Essa falha, que permite a escrita fora dos limites no framework ImageIO, pode resultar em corrupção de memória ao processar imagens maliciosas. A empresa informou que a vulnerabilidade está sendo ativamente explorada em ataques sofisticados direcionados a indivíduos específicos. As versões afetadas incluem iOS 18.6.2, iPadOS 18.6.2, macOS Ventura 13.7.8, entre outras. A Apple já corrigiu um total de sete zero-days em 2025, evidenciando a gravidade da situação. Embora não se saiba quem está por trás dos ataques, a vulnerabilidade foi considerada uma ferramenta em ataques altamente direcionados. A empresa recomenda que todos os usuários atualizem seus dispositivos imediatamente para mitigar os riscos associados a essa falha.

O grupo de ciberespionagem russo conhecido como Static Tundra está explorando uma vulnerabilidade crítica, CVE-2018-0171, presente no Cisco IOS e Cisco IOS XE, para obter acesso persistente a redes de organizações em setores estratégicos como telecomunicações, educação superior e manufatura. Essa falha, que possui um CVSS de 9.8, permite que atacantes não autenticados provoquem condições de negação de serviço ou executem código arbitrário. Os alvos são escolhidos com base no interesse estratégico da Rússia, com foco recente em organizações da Ucrânia e seus aliados, especialmente após o início da guerra russo-ucraniana em 2022.

Pesquisas recentes revelaram que plugins populares de gerenciadores de senhas para navegadores estão vulneráveis a ataques de clickjacking, que podem ser usados para roubar credenciais de contas, códigos de autenticação de dois fatores (2FA) e detalhes de cartões de crédito. O pesquisador Marek Tóth apresentou essa técnica, chamada de clickjacking baseado em Document Object Model (DOM), durante a conferência DEF CON 33. O ataque ocorre quando um site malicioso manipula elementos da interface de usuário (UI) em uma página da web, tornando-os invisíveis e induzindo o usuário a clicar em áreas aparentemente inofensivas. Isso pode resultar no preenchimento automático de informações sensíveis, que são então enviadas para um servidor remoto. O estudo focou em 11 extensões de gerenciadores de senhas, incluindo 1Password e iCloud Passwords, todas suscetíveis a esse tipo de ataque. Apesar da divulgação responsável, seis fornecedores ainda não corrigiram as falhas. Enquanto isso, recomenda-se que os usuários desativem a função de preenchimento automático e utilizem o método de copiar e colar para proteger suas informações. Para usuários de navegadores baseados em Chromium, é aconselhável configurar o acesso do site para ‘ao clicar’ nas configurações da extensão, permitindo um controle manual sobre a funcionalidade de preenchimento automático.

Uma vulnerabilidade crítica no M365 Copilot da Microsoft permitiu que usuários acessassem arquivos sensíveis sem gerar entradas adequadas nos logs de auditoria, criando riscos significativos de conformidade e segurança para organizações em todo o mundo. Descoberta em 4 de julho por Zack Korman, a falha explorou uma falha fundamental no mecanismo de registro de auditoria do Copilot. Normalmente, quando o Copilot resume um arquivo, ele gera entradas de log correspondentes. No entanto, ao instruir o Copilot a omitir links de arquivos, a funcionalidade de registro de auditoria falhava. Essa técnica de contorno é fácil de executar e pode ser acionada inadvertidamente por interações rotineiras com o Copilot, tornando-se um problema generalizado. A Microsoft classificou a vulnerabilidade como “importante”, mas não divulgou publicamente a falha nem notificou os clientes afetados, levantando preocupações sobre a transparência nas comunicações de segurança. Organizações que usaram o M365 Copilot antes de 18 de agosto devem assumir que seus logs de auditoria podem estar incompletos e realizar revisões de segurança abrangentes. A falta de notificação impede que as organizações conduzam avaliações de risco adequadas, comprometendo a integridade dos logs de auditoria exigidos por muitos frameworks de conformidade.

O CERT/CC divulgou um alerta sobre duas falhas de segurança críticas no software de contabilidade municipal da Workhorse Software Services, que podem permitir que agentes não autorizados acessem e exfiltrarem bancos de dados contendo informações financeiras sensíveis e dados pessoais identificáveis. As vulnerabilidades, identificadas como CVE-2025-9037 e CVE-2025-9040, afetam todas as versões do software anteriores à 1.9.4.48019 e resultam de fraquezas de design nos mecanismos de autenticação e nos protocolos de proteção de dados.

O Google lançou uma atualização de segurança crítica para o navegador Chrome, corrigindo uma vulnerabilidade de alta severidade no motor JavaScript V8. Essa falha, identificada como CVE-2025-9132, foi descoberta pelo sistema de testes automatizados de segurança da empresa, o Big Sleep, em 4 de agosto de 2025. A vulnerabilidade permite que atacantes executem código arbitrário por meio de gravações de memória fora dos limites alocados, o que pode resultar em corrupção de memória e comprometimento total do sistema. A atualização, versão 139.0.7258.138/.139, foi disponibilizada em 19 de agosto de 2025 para plataformas Windows, Mac e Linux. O Google adotou uma abordagem de distribuição gradual para a atualização, permitindo monitorar possíveis problemas de compatibilidade. É crucial que usuários e administradores de sistemas implementem essa correção imediatamente, dado o risco significativo que essa vulnerabilidade representa para a segurança e integridade dos dados dos usuários. O Google também restringiu informações detalhadas sobre a vulnerabilidade até que a maioria dos usuários tenha recebido a atualização, seguindo práticas de divulgação responsável.

Pesquisadores de segurança revelaram uma vulnerabilidade crítica na CodeRabbit, uma plataforma popular de revisão de código impulsionada por IA, que permitiu a execução remota de código (RCE) em servidores de produção e acesso não autorizado a mais de um milhão de repositórios. A falha, descoberta pelo pesquisador Nils Amiet e apresentada na Black Hat USA 2024, foi divulgada de forma responsável e corrigida em janeiro de 2025.

A vulnerabilidade surgiu da integração da CodeRabbit com o Rubocop, uma ferramenta de análise estática para Ruby. O design da plataforma permitiu que usuários especificassem arquivos de configuração personalizados para ferramentas de análise estática através de arquivos .rubocop.yml. Os pesquisadores exploraram essa mecânica criando arquivos de configuração maliciosos que instruíam o Rubocop a carregar e executar código Ruby arbitrário durante o processo de análise. Isso resultou na execução de um payload malicioso nos servidores de produção, estabelecendo um shell remoto com privilégios totais.

Um grupo de atacantes está explorando uma vulnerabilidade crítica no Apache ActiveMQ, identificada como CVE-2023-46604, que permite a execução remota de código em sistemas Linux na nuvem. Essa falha, que possui uma pontuação CVSS de 10.0, foi corrigida em outubro de 2023, mas já está sendo amplamente utilizada para implantar diversos tipos de malware, incluindo o DripDropper. Este downloader, que requer uma senha para execução, se comunica com uma conta do Dropbox controlada pelos atacantes, permitindo que eles mantenham o controle sobre os sistemas comprometidos. Os pesquisadores da Red Canary observaram que, após obter acesso inicial, os atacantes estão aplicando patches na vulnerabilidade explorada para evitar que outros adversários a utilizem, uma tática incomum que demonstra a sofisticação do ataque. Além disso, o DripDropper modifica arquivos de configuração do SSH para garantir acesso persistente. Essa situação ressalta a importância de aplicar patches de segurança de forma oportuna e monitorar atividades anômalas em ambientes de nuvem.

Um estudo abrangente revelou vulnerabilidades alarmantes em aplicativos de VPN populares, indicando que provedores aparentemente distintos compartilham não apenas a mesma propriedade, mas também falhas de segurança que comprometem a privacidade dos usuários. A pesquisa identificou três famílias de provedores de VPN com mais de 700 milhões de downloads na Google Play Store, todas apresentando vulnerabilidades críticas que permitem a descriptografia do tráfego dos usuários. Entre as descobertas mais preocupantes estão senhas hard-coded do Shadowsocks, que estão embutidas diretamente no código dos aplicativos. Isso permite que atacantes acessem comunicações que deveriam ser protegidas. Além disso, a pesquisa revelou que provedores como TurboVPN e VPN Monster compartilham infraestrutura de servidor e credenciais criptográficas, evidenciando conexões ocultas entre eles. As falhas incluem a coleta não autorizada de dados de localização e a utilização de implementações de criptografia fracas. Essas descobertas ressaltam a importância da transparência na propriedade do ecossistema de VPN e como práticas comerciais enganosas podem estar ligadas a implementações de segurança comprometidas.

A Microsoft lançou uma nova funcionalidade de segurança baseada em inteligência artificial no Defender for Identity, que visa mitigar uma vulnerabilidade crítica relacionada ao armazenamento de credenciais em texto simples no Active Directory. A pesquisa da empresa revelou que mais de 40.000 credenciais estavam expostas em 2.500 locatários, evidenciando a gravidade do problema. Essa vulnerabilidade surge do uso inadequado de campos de texto livre, onde administradores frequentemente armazenam senhas e tokens de autenticação para facilitar a resolução de problemas e a integração de sistemas. Isso cria alvos valiosos para cibercriminosos, especialmente em contas de identidade não humanas, que não podem utilizar métodos tradicionais de autenticação multifatorial. A nova arquitetura de detecção da Microsoft combina varredura abrangente do diretório com uma análise contextual, reduzindo falsos positivos e garantindo alertas acionáveis para as equipes de segurança. A funcionalidade já está disponível em versão pública para todos os clientes do Defender for Identity, permitindo que as organizações identifiquem e corrijam configurações inadequadas antes que possam ser exploradas.

Um exploit armado visando a vulnerabilidade crítica da SAP, identificada como CVE-2025-31324, foi publicamente liberado, gerando preocupações imediatas para organizações que operam sistemas SAP não corrigidos. O exploit, divulgado em 15 de agosto de 2025, pelo VX Underground via X (anteriormente Twitter), foi supostamente distribuído pelo grupo de ameaças ‘Scattered LAPSUS$ Hunters – ShinyHunters’ através de um canal no Telegram.

A vulnerabilidade CVE-2025-31324, que afeta o SAP NetWeaver Visual Composer, possui uma pontuação máxima de severidade CVSS de 10.0, permitindo que atacantes não autenticados comprometam completamente o sistema. O exploit combina essa vulnerabilidade com a CVE-2025-42999, uma falha de desserialização descoberta pelos Onapsis Research Labs. O vetor de ataque utiliza um processo de exploração em duas etapas: primeiro, os atacantes aproveitam a vulnerabilidade de bypass de autenticação para contornar controles de segurança e, em seguida, exploram a falha de desserialização para executar cargas maliciosas com privilégios de administrador SAP.