Vulnerabilidade

Pesquisadores de segurança da Tenable descobriram sete vulnerabilidades críticas nos modelos ChatGPT da OpenAI, que expõem milhões de usuários a ataques sofisticados sem necessidade de interação direta. Essas falhas permitem que agentes maliciosos roubem dados sensíveis e comprometam sistemas, levantando sérias questões sobre a segurança dos modelos de linguagem. As vulnerabilidades afetam tanto o GPT-5 quanto o ChatGPT-4, explorando fraquezas na forma como esses modelos processam dados externos e gerenciam informações do usuário. Um dos pontos mais preocupantes é a capacidade de contornar mecanismos de segurança do ChatGPT utilizando links de rastreamento do Bing, permitindo que atacantes exfiltratem dados do usuário de forma discreta. Além disso, a técnica de Injeção de Memória possibilita que instruções maliciosas sejam persistentes em várias conversas, vazando informações privadas sem que o usuário perceba. A pesquisa também identificou uma vulnerabilidade de renderização de markdown, que oculta conteúdos maliciosos, tornando os ataques praticamente invisíveis. Esses vetores de ataque representam uma ameaça significativa, especialmente para organizações que utilizam o ChatGPT em trabalhos sensíveis, exigindo uma resposta rápida da OpenAI para mitigar os riscos.

No dia 5 de novembro de 2025, o Google lançou a versão 142 do Chrome, que corrige cinco vulnerabilidades críticas, sendo três delas de alta severidade. A atualização é especialmente importante devido à vulnerabilidade CVE-2025-12725, que envolve um erro de escrita fora dos limites na WebGPU, o componente de processamento gráfico do Chrome. Essa falha pode permitir que atacantes executem código malicioso diretamente nos sistemas dos usuários. Além disso, duas outras vulnerabilidades de alta severidade afetam o motor de processamento do Chrome: CVE-2025-12727, que atinge o motor JavaScript V8, e CVE-2025-12726, que impacta o componente Views, responsável pela interface do usuário do navegador. Ambas as falhas podem levar à corrupção de memória e execução não autorizada de código. O Google também corrigiu duas vulnerabilidades de severidade média relacionadas à barra de endereços do Chrome, a Omnibox. Os usuários são aconselhados a atualizar o navegador o mais rápido possível, e o Google recomenda a ativação de atualizações automáticas para garantir que os patches de segurança sejam aplicados prontamente.

Em 5 de novembro de 2025, a equipe de segurança do Django lançou patches críticos para corrigir duas vulnerabilidades significativas que afetam várias versões do popular framework web em Python. As falhas, identificadas como CVE-2025-64458 e CVE-2025-64459, podem permitir que atacantes realizem ataques de negação de serviço (DoS) e injeções de SQL através de entradas maliciosas. A vulnerabilidade mais grave, CVE-2025-64459, afeta a funcionalidade de consulta central do Django, permitindo que atacantes explorem métodos como QuerySet.filter(), QuerySet.exclude() e QuerySet.get() utilizando um argumento _connector malicioso. Isso ocorre devido à validação insuficiente de entradas, criando uma brecha para injeções de SQL. A segunda vulnerabilidade, CVE-2025-64458, afeta especificamente implantações em Windows, explorando problemas de desempenho no processo de normalização Unicode do Python, o que pode levar a um vetor de DoS ao enviar solicitações com muitos caracteres Unicode. A equipe de segurança recomenda que todos os usuários do Django atualizem imediatamente para as versões corrigidas: 5.2.8, 5.1.14 ou 4.2.26, disponíveis no site oficial do Django.

A AMD confirmou uma nova vulnerabilidade de segurança em suas CPUs baseadas na arquitetura Zen 5, classificada como de alta severidade. A falha, identificada como AMD-SB-7055, afeta o gerador de números aleatórios RDSEED, que é crucial para a geração de chaves de criptografia. O problema ocorre nas instruções de 16 e 32 bits, que podem retornar o valor ‘0’ sem sinalizar erro, enganando aplicações que dependem dessa funcionalidade para garantir a segurança dos dados. A AMD já está distribuindo atualizações de firmware (AGESA) para corrigir a vulnerabilidade, com prioridade para servidores EPYC 9005, devido ao processamento de dados sensíveis em data centers. Para usuários de desktop e notebooks, as atualizações devem ser disponibilizadas até o final de novembro de 2025. Enquanto isso, a empresa recomenda que desenvolvedores utilizem a versão de 64 bits do RDSEED ou tratem retornos de ‘0’ como falhas. Essa situação levanta preocupações sobre a confidencialidade e integridade dos dados, especialmente em ambientes que utilizam criptografia para proteger informações sensíveis.

A CISA (Agência de Cibersegurança e Infraestrutura de Segurança dos EUA) emitiu um alerta sobre uma vulnerabilidade no kernel do Linux, identificada como CVE-2024-1086, que foi introduzida em 2014 e corrigida em 2024. Apesar da correção, a brecha continua a ser explorada em ataques de ransomware, permitindo a escalada de privilégios em sistemas que não foram atualizados. A vulnerabilidade, classificada com um grau de severidade de 7,8/10, afeta distribuições populares do Linux, como Debian, Ubuntu, Fedora e Red Hat. A CISA já havia alertado as agências federais para que atualizassem seus sistemas até junho de 2024, mas a exploração ativa da falha por grupos de ransomware demonstra que muitos usuários ainda não implementaram as correções necessárias. Para mitigar os riscos, recomenda-se atualizar o sistema operacional ou aplicar medidas de segurança, como bloquear o componente nf_tables ou usar o Linux Kernel Runtime Guard (LKRG), embora essas ações possam desestabilizar o sistema. A situação destaca a importância de manter sistemas atualizados para evitar a exploração de vulnerabilidades conhecidas.

A ferramenta de cibersegurança da Google, Big Sleep, identificou cinco vulnerabilidades no Webkit do navegador Safari, da Apple. Essas falhas, se exploradas, poderiam causar colapsos no navegador ou corrupção de memória. As vulnerabilidades foram corrigidas pela Apple em atualizações recentes, que incluem melhorias na checagem de limites e no manejo de estado e memória. As falhas identificadas são: CVE-2025-43429, um buffer overflow; CVE-2025-43430, uma vulnerabilidade não especificada; CVE-2025-43431 e CVE-2025-43433, que causavam corrupção de memória; e CVE-2025-43434, uma vulnerabilidade use-after-free. A Apple lançou patches para iOS, iPadOS, macOS, tvOS, watchOS e visionOS, exceto para dispositivos mais antigos. Embora não haja relatos de exploração ativa dessas vulnerabilidades, é crucial que os usuários atualizem seus dispositivos para evitar possíveis ataques. A Big Sleep, desenvolvida pela Google, é uma ferramenta de IA que automatiza a descoberta de vulnerabilidades e já havia identificado falhas em outras plataformas, como o SQLite.

Uma vulnerabilidade crítica, identificada como CVE-2025-11749, foi descoberta no plugin AI Engine do WordPress, que está ativo em mais de 100 mil sites. Com uma pontuação CVSS de 9.8, a falha permite que atacantes não autenticados recuperem um token de acesso exposto da API REST MCP, concedendo-lhes privilégios administrativos completos nos sites afetados. O problema foi relatado por Emiliano Versini através do programa de recompensas da Wordfence em 4 de outubro de 2025 e corrigido pelo desenvolvedor Jordy Meow na versão 3.1.4, lançada em 19 de outubro de 2025. A vulnerabilidade reside na integração do plugin com o Modelo de Contexto de Protocolo (MCP), que permite que sistemas de IA interajam com o WordPress. As versões até 3.1.3 não incluíram o parâmetro “show_in_index => false” durante o registro da rota REST, expondo endpoints visíveis publicamente. Os proprietários de sites afetados devem atualizar para a versão 3.1.4 ou superior e rotacionar imediatamente o token de acesso MCP para evitar acessos não autorizados.

A Microsoft identificou um problema que pode afetar usuários de sistemas operacionais Windows após a atualização de segurança de outubro de 2025. Dispositivos com processadores Intel que suportam a tecnologia Connected Standby podem apresentar telas de recuperação do BitLocker inesperadamente durante reinicializações, exigindo que os usuários insiram manualmente a chave de recuperação para restaurar a funcionalidade normal. O problema afeta as versões do Windows 11 (24H2 e 25H2) e do Windows 10 (22H2). A situação ocorre após a instalação de atualizações lançadas em ou após 14 de outubro de 2025. A Microsoft está investigando a causa raiz e já ativou um recurso de reversão de problemas conhecido (KIR) para mitigar o impacto. Embora a interrupção seja temporária e a funcionalidade de criptografia permaneça intacta, a empresa recomenda que os usuários mantenham suas chaves de recuperação acessíveis e monitorem o painel de saúde do Windows para atualizações sobre a resolução do problema. Servidores Windows não são afetados, limitando o impacto principalmente a estações de trabalho de consumidores e empresas.

Uma vulnerabilidade crítica de escalonamento de privilégios foi identificada no Windows Cloud Files Mini Filter Driver, classificada como CVE-2025-55680. Essa falha explora uma vulnerabilidade do tipo time-of-check to time-of-use (TOCTOU), permitindo que atacantes locais contornem restrições de gravação de arquivos e obtenham acesso não autorizado a nível de sistema. A origem da vulnerabilidade remonta a uma divulgação do Project Zero em 2020, que visava prevenir ataques de links simbólicos. No entanto, a validação de strings de caminho ocorre no espaço do usuário antes do processamento em modo kernel, criando uma janela crítica para exploração. Um atacante pode modificar a memória entre a verificação de segurança e a operação real do arquivo, contornando todas as proteções. O processo de exploração envolve a função HsmFltProcessHSMControl da API do Cloud Files, que, ao chamar HsmFltProcessCreatePlaceholders, pode criar arquivos em diretórios protegidos com privilégios de modo kernel. A Microsoft já disponibilizou patches para corrigir essa vulnerabilidade, e as organizações devem priorizar sua aplicação, uma vez que o ataque requer apenas acesso local ao sistema e não necessita de interação do usuário.

Pesquisadores de cibersegurança revelaram um conjunto de sete vulnerabilidades que afetam os modelos GPT-4o e GPT-5 da OpenAI, incluindo técnicas de injeção de prompt que podem ser exploradas por atacantes para roubar informações pessoais dos usuários. As falhas permitem que um invasor manipule o comportamento esperado do modelo de linguagem, levando-o a executar ações maliciosas sem o conhecimento do usuário. Entre as vulnerabilidades estão a injeção de prompt indireta via sites confiáveis, a injeção de prompt sem clique e a injeção de memória, que podem comprometer a privacidade dos dados armazenados nas interações do ChatGPT. A OpenAI já tomou medidas para corrigir algumas dessas falhas, mas a pesquisa destaca a necessidade de mecanismos de segurança mais robustos. Além disso, o estudo alerta para a crescente complexidade das ameaças, como ataques de injeção de prompt que podem ser realizados com um número reduzido de documentos maliciosos, tornando esses ataques mais acessíveis para potenciais invasores. A situação exige atenção redobrada de empresas e profissionais de segurança da informação, especialmente em um cenário onde a proteção de dados pessoais é cada vez mais crítica.

Um recente teste de penetração revelou uma vulnerabilidade crítica de escalonamento de privilégios nas instalações do Jupyter Notebook, uma plataforma amplamente utilizada para ciência de dados. A falha não é decorrente de um erro de código, mas sim de uma combinação perigosa de configurações padrão e padrões de implantação que muitas equipes de segurança frequentemente ignoram. Quando o Jupyter é executado com privilégios de root e a autenticação está desativada, o recurso de API de terminal se torna um acesso direto ao sistema. Os pesquisadores descobriram que, ao acessar o endpoint da API REST /api/terminals, um invasor pode criar sessões de terminal sem autenticação. Utilizando ferramentas compatíveis com WebSocket, como websocat, os atacantes podem interagir com a interface do terminal e obter acesso root sem a necessidade de técnicas tradicionais de escalonamento de privilégios. Uma vez que o acesso root é alcançado, os invasores podem acessar arquivos de configuração do Jupyter, permitindo a criação de shells reversos persistentes e backdoors. Para mitigar essa vulnerabilidade, é crucial que o Jupyter não seja executado como root em ambientes de produção e que medidas de segurança, como autenticação obrigatória e desativação da API de terminal, sejam implementadas.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu duas vulnerabilidades críticas em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), devido a evidências de exploração ativa. As falhas são: CVE-2025-11371, com um escore CVSS de 7.5, que permite a divulgação não intencional de arquivos de sistema em Gladinet CentreStack e Triofox; e CVE-2025-48703, com um escore CVSS de 9.0, que possibilita a execução remota de código não autenticado em Control Web Panel (CWP) através de injeção de comandos. A Huntress, empresa de cibersegurança, já detectou tentativas de exploração da CVE-2025-11371, onde atacantes desconhecidos utilizaram comandos de reconhecimento. Embora não haja relatos públicos sobre a exploração da CVE-2025-48703, detalhes técnicos foram divulgados por um pesquisador de segurança após a correção da falha. As agências do governo federal dos EUA devem aplicar correções até 25 de novembro de 2025. Além disso, foram relatadas vulnerabilidades críticas em plugins e temas do WordPress, com recomendações para que usuários atualizem suas versões e adotem boas práticas de segurança.

Em 3 de novembro de 2025, o Google divulgou seu Boletim de Segurança Android, revelando uma vulnerabilidade crítica de execução remota de código (CVE-2025-48593) que afeta dispositivos Android em todo o mundo. Essa falha, que não requer interação do usuário para ser explorada, representa um risco severo, pois permite que atacantes executem código arbitrário em dispositivos vulneráveis. A vulnerabilidade impacta as versões Android 13, 14, 15 e 16, e a sua gravidade é acentuada pelo fato de que os usuários não podem mitigar o problema através de mudanças de comportamento ou práticas de segurança. O Google recomenda que todos os dispositivos com nível de patch de segurança de 2025-11-01 ou posterior sejam atualizados imediatamente para se proteger contra essa e outras ameaças. Além disso, uma outra vulnerabilidade de elevação de privilégios (CVE-2025-48581) foi identificada, afetando exclusivamente o Android 16. O Google também enfatiza a importância de atualizações regulares e o uso do Google Play Protect para aumentar a segurança dos dispositivos.

Pesquisadores de cibersegurança revelaram quatro falhas de segurança no Microsoft Teams que podem ter exposto usuários a ataques de impersonificação e engenharia social. As vulnerabilidades permitiram que atacantes manipulassem conversas, se passassem por colegas e explorassem notificações. Após a divulgação responsável em março de 2024, a Microsoft abordou algumas dessas questões em agosto de 2024, com patches subsequentes lançados em setembro de 2024 e outubro de 2025. As falhas possibilitam a alteração do conteúdo das mensagens sem deixar o rótulo de ‘Editado’ e a modificação de notificações para alterar o remetente aparente, permitindo que atacantes enganem vítimas a abrirem mensagens maliciosas. Além disso, os atacantes podiam alterar nomes de exibição em conversas privadas e durante chamadas, forjando identidades de remetentes. A Check Point destacou que essas vulnerabilidades minam a confiança essencial nas ferramentas de colaboração, transformando o Teams em um vetor de engano. A Microsoft classificou uma das falhas, CVE-2024-38197, como um problema de spoofing de severidade média, afetando o Teams para iOS, o que pode permitir que atacantes enganem usuários a revelarem informações sensíveis. Com a crescente adoção do Teams, a segurança dessas plataformas se torna crítica para a proteção de dados corporativos.

Uma vulnerabilidade crítica foi identificada e corrigida no pacote npm ‘@react-native-community/cli’, utilizado por desenvolvedores para construir aplicações móveis em React Native. A falha, classificada como CVE-2025-11953, possui um score CVSS de 9.8, indicando sua gravidade. Essa vulnerabilidade permite que atacantes remotos não autenticados executem comandos arbitrários no sistema operacional da máquina que roda o servidor de desenvolvimento do React Native, o que representa um risco significativo para os desenvolvedores. O problema surge porque o servidor de desenvolvimento Metro, por padrão, se conecta a interfaces externas e expõe um endpoint ‘/open-url’ vulnerável a injeções de comandos do sistema. Com isso, um atacante pode enviar uma solicitação POST maliciosa para o servidor e executar comandos indesejados. Embora a falha já tenha sido corrigida na versão 20.0.0 do pacote, desenvolvedores que utilizam frameworks que não dependem do Metro não são afetados. Essa situação destaca a importância de uma análise de segurança automatizada e abrangente em toda a cadeia de suprimentos de software para evitar que falhas facilmente exploráveis impactem as organizações.

No dia 3 de novembro de 2025, a Apple lançou atualizações de segurança significativas para iOS 26.1 e iPadOS 26.1, abordando várias vulnerabilidades críticas que representavam riscos sérios à segurança dos dispositivos e à privacidade dos usuários. As atualizações estão disponíveis para iPhones a partir do modelo 11 e diversos modelos de iPad, incluindo iPad Pro de terceira geração e posteriores.

Entre as falhas corrigidas, destacam-se vulnerabilidades no Apple Neural Engine, como CVE-2025-43447 e CVE-2025-43462, que permitiam que aplicativos maliciosos causassem falhas no sistema ou corrompessem a memória do kernel. A Apple implementou mecanismos aprimorados de gerenciamento de memória para mitigar esses riscos. Além disso, a vulnerabilidade CVE-2025-43455 no recurso Apple Account foi corrigida, evitando que aplicativos maliciosos capturassem capturas de tela de informações sensíveis.

Pesquisadores de segurança descobriram uma vulnerabilidade crítica no sistema de IA Claude, da Anthropic, que permite a atacantes explorar prompts indiretos para roubar dados sensíveis dos usuários através da API de Arquivos da plataforma. A falha foi documentada publicamente em 28 de outubro de 2025 e revela como os criminosos podem manipular o interpretador de código e as funcionalidades da API do Claude para extrair informações confidenciais diretamente dos ambientes de trabalho das vítimas.

A Microsoft reconheceu um erro crítico na distribuição de uma atualização do Windows Server Update Services (WSUS) que afetou sistemas do Windows Server 2025 inscritos no programa Hotpatch. Essa atualização foi distribuída acidentalmente para máquinas que deveriam receber apenas atualizações Hotpatch, resultando em uma interrupção significativa no processo de aplicação de patches sem reinicialização do sistema. Embora a Microsoft tenha corrigido rapidamente o erro, as organizações afetadas enfrentarão um intervalo de três meses na funcionalidade do Hotpatch e precisarão seguir procedimentos específicos para restaurar as operações normais. Os sistemas que instalaram a atualização incorreta não receberão atualizações Hotpatch programadas para novembro e dezembro de 2025, mas sim atualizações mensais padrão que exigem reinicializações. Para mitigar o problema, a Microsoft oferece um procedimento para que administradores que ainda não instalaram a atualização problemática possam reverter para a versão correta. A situação destaca a complexidade da gestão de múltiplos canais de atualização em ambientes corporativos grandes e a importância de um gerenciamento cuidadoso de patches.

O agente de cibersegurança da Google, Big Sleep, foi responsável por identificar cinco vulnerabilidades no WebKit, componente utilizado no navegador Safari da Apple. As falhas, se exploradas, poderiam causar travamentos ou corrupção de memória. As vulnerabilidades identificadas incluem: CVE-2025-43429, uma vulnerabilidade de buffer overflow; CVE-2025-43430, uma falha não especificada que pode levar a um travamento inesperado; CVE-2025-43431 e CVE-2025-43433, que podem resultar em corrupção de memória; e CVE-2025-43434, uma vulnerabilidade de uso após liberação que também pode causar travamentos. A Apple lançou patches para corrigir essas falhas em suas atualizações de software, incluindo iOS 26.1 e macOS Tahoe 26.1. Embora nenhuma das vulnerabilidades tenha sido explorada ativamente até o momento, é recomendável que os usuários mantenham seus dispositivos atualizados para garantir a proteção adequada.

Uma grave vulnerabilidade de segurança, identificada como Brash, foi descoberta no mecanismo de renderização Blink, utilizado por navegadores baseados no Chromium, como Google Chrome e Microsoft Edge. Essa falha permite que um cibercriminoso provoque travamentos em qualquer navegador Chromium em um intervalo de 15 a 60 segundos, explorando a falta de limitação de taxa na API document.title do JavaScript. Com isso, é possível gerar milhões de mutações no DOM por segundo, saturando o sistema e levando ao colapso do navegador. A gravidade da situação é acentuada pelo fato de que o Google Chrome possui cerca de três bilhões de usuários ativos globalmente. O pesquisador Jose Pino, que descobriu a falha, alertou que ela pode ser programada para ser ativada em um momento específico, aumentando ainda mais o risco. O Google e outras empresas de navegadores já foram notificados e estão trabalhando em soluções. Durante os testes, navegadores como Mozilla Firefox e Safari não foram afetados pela vulnerabilidade.

Uma vulnerabilidade crítica de execução remota de código (RCE) foi descoberta no UniFi OS da Ubiquiti, afetando a infraestrutura da API de backup em dispositivos UniFi. Identificada como CVE-2025-52665, a falha resulta de uma validação inadequada de entrada no endpoint de exportação de backup, permitindo que atacantes executem comandos arbitrários com privilégios elevados. A vulnerabilidade foi identificada durante uma avaliação de segurança rotineira e está relacionada a múltiplas APIs não autenticadas no ecossistema do UniFi OS. O endpoint vulnerável aceita um parâmetro de diretório sem a devida sanitização, possibilitando a injeção de comandos maliciosos. Além disso, a configuração incorreta expôs o endpoint a acessos não autenticados, permitindo que atacantes realizem operações sensíveis. Organizações que utilizam o UniFi OS devem priorizar a aplicação de patches e revisar os controles de acesso à rede para restringir a exposição dos endpoints da API. A gravidade da vulnerabilidade é evidenciada pelo CVSS Score de 9.8, classificada como crítica, e a recompensa de $25.000 oferecida pela descoberta.

A AMD revelou uma vulnerabilidade crítica em seus processadores Zen 5, identificada como CVE-2025-62626, que compromete a integridade da geração de números aleatórios. A falha afeta a instrução RDSEED, essencial para a geração de números aleatórios criptográficos, e pode resultar na devolução de valores zero enquanto sinaliza erroneamente sucesso. Isso pode levar a operações criptográficas comprometidas, pois aplicações podem utilizar valores previsíveis, tornando-as vulneráveis a ataques de predição. A vulnerabilidade impacta as implementações de 16 e 32 bits da instrução, enquanto a versão de 64 bits permanece segura. A AMD recomenda que as organizações adotem medidas imediatas, como a utilização da versão de 64 bits ou a ocultação da capacidade RDSEED até que patches de microcódigo sejam disponibilizados. Atualizações estão programadas para os processadores EPYC 9005 e Ryzen 9000 até novembro de 2025. A descoberta inicial da vulnerabilidade no mailing list do kernel Linux ressalta a importância da divulgação coordenada de falhas na comunidade de segurança.

Recentemente, sensores de segurança na internet detectaram um aumento significativo em varreduras de rede direcionadas às portas TCP 8530 e 8531, indicando esforços de reconhecimento ativo por parte de hackers que buscam explorar a vulnerabilidade CVE-2025-59287, que afeta os Serviços de Atualização do Servidor Windows (WSUS). Essa vulnerabilidade permite que atacantes se conectem a servidores WSUS vulneráveis e executem scripts arbitrários, obtendo controle sobre o sistema comprometido. A atividade de escaneamento é proveniente de diversas fontes globais, incluindo IPs que não estão associados a iniciativas de pesquisa legítimas, sugerindo que os atacantes estão ativamente caçando servidores WSUS expostos na internet. A combinação de detalhes de exploração amplamente disponíveis e a exposição direta à internet torna as organizações que utilizam WSUS um alvo fácil. Especialistas recomendam que as empresas apliquem patches de segurança imediatamente e implementem restrições de rede para proteger sua infraestrutura de atualização. Além disso, é crucial que as organizações investiguem sinais de comprometimento em seus sistemas, considerando-os potencialmente violados até que se prove o contrário.

A OpenAI apresentou o Aardvark, um agente de segurança baseado em inteligência artificial que utiliza a tecnologia GPT-5 para detectar e corrigir vulnerabilidades em softwares de forma autônoma. Este novo recurso, atualmente em beta privada, visa oferecer proteção contínua às equipes de desenvolvimento contra ameaças emergentes. O Aardvark opera em quatro etapas principais: análise, varredura de commits, validação e correção. Ele cria um modelo de ameaça abrangente e analisa mudanças no código para identificar potenciais vulnerabilidades, testando-as em um ambiente isolado antes de gerar correções. Em testes, o Aardvark alcançou uma taxa de detecção de 92% para vulnerabilidades conhecidas, demonstrando eficácia em cenários reais. A OpenAI também aplicou o Aardvark em projetos de código aberto, onde descobriu várias vulnerabilidades, algumas das quais receberam identificadores CVE. A empresa planeja oferecer varredura gratuita para repositórios de código aberto não comerciais, contribuindo para a segurança da cadeia de suprimentos de software. Apesar de suas capacidades, o Aardvark apresenta riscos, como a possibilidade de falsos positivos e a dependência da análise de linguagem natural, o que pode exigir a combinação com ferramentas tradicionais de segurança.

O Australian Signals Directorate (ASD) emitiu um alerta sobre ataques cibernéticos direcionados a dispositivos Cisco IOS XE não corrigidos, utilizando um implante desconhecido chamado BADCANDY. A vulnerabilidade explorada, CVE-2023-20198, possui uma pontuação CVSS de 10.0, permitindo que atacantes remotos e não autenticados criem contas com privilégios elevados, comprometendo o controle dos sistemas afetados. Desde 2023, essa falha tem sido ativamente explorada, especialmente por grupos de ameaças vinculados à China, como o Salt Typhoon, que visam prestadoras de telecomunicações. O ASD identificou que cerca de 400 dispositivos na Austrália foram comprometidos desde julho de 2025, com 150 infecções ocorrendo apenas em outubro. O BADCANDY é descrito como um shell web baseado em Lua, que não possui um mecanismo de persistência, mas pode ser reintroduzido se os dispositivos permanecerem expostos e não corrigidos. O ASD recomenda que operadores de sistemas apliquem patches, limitem a exposição pública das interfaces web e sigam diretrizes de segurança da Cisco para evitar novas tentativas de exploração. Medidas adicionais incluem a revisão de configurações de contas e interfaces de túnel desconhecidas.

Autoridades de cibersegurança alertam sobre campanhas de exploração direcionadas a dispositivos Cisco IOS XE, utilizando uma vulnerabilidade crítica identificada como CVE-2023-20198. Essa falha permite que atacantes remotos e não autenticados criem contas altamente privilegiadas, comprometendo o controle total dos dispositivos. Desde outubro de 2023, um shell web sofisticado chamado BADCANDY tem sido implantado, afetando mais de 150 dispositivos na Austrália, mesmo após esforços de remediação. O BADCANDY é caracterizado como um implante de baixa complexidade técnica, o que facilita sua adoção por diversos grupos de ameaças, incluindo atores patrocinados por estados. A vulnerabilidade é particularmente preocupante, pois permite que os atacantes apliquem patches não persistentes, dificultando a detecção por administradores de rede. Para mitigar essa ameaça, é essencial que as organizações apliquem os patches oficiais da Cisco e sigam as diretrizes de segurança recomendadas, especialmente desabilitando a interface HTTP, a menos que seja absolutamente necessário. A situação atual exige vigilância contínua e ações rápidas para proteger a infraestrutura crítica das redes.

Uma campanha sofisticada atribuída ao grupo de ameaças patrocinado pelo Estado chinês, conhecido como BRONZE BUTLER, está explorando uma vulnerabilidade crítica zero-day no Motex LANSCOPE Endpoint Manager para comprometer organizações japonesas e roubar informações sensíveis. A falha, identificada como CVE-2025-61932, possui um escore CVSS 3.0 de 9.8, permitindo que atacantes remotos executem código arbitrário com privilégios de sistema. A vulnerabilidade afeta versões 9.4.7.1 e anteriores do LANSCOPE Endpoint Manager, visando especificamente os componentes do programa cliente e do agente de detecção. As tentativas de exploração começaram em abril de 2025, com a Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) adicionando a CVE-2025-61932 ao seu catálogo de vulnerabilidades conhecidas exploradas em 22 de outubro de 2025. Os pesquisadores identificaram que o grupo BRONZE BUTLER utilizou um malware sofisticado chamado Gokcpdoor como infraestrutura de comando e controle, além de técnicas de exfiltração de dados que incluíam ferramentas legítimas e serviços de armazenamento em nuvem. Organizações que utilizam o LANSCOPE devem revisar imediatamente a justificativa para a exposição pública e aplicar atualizações de segurança disponíveis.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu a vulnerabilidade CVE-2025-24893 em seu catálogo de Vulnerabilidades Conhecidas Exploited, destacando um grave problema de injeção de código na plataforma XWiki. Essa falha permite que qualquer usuário convidado execute código remoto arbitrário sem autenticação, representando um risco significativo para organizações que utilizam essa plataforma de wiki de código aberto. A vulnerabilidade está relacionada ao componente SolrSearch do XWiki, que não trata adequadamente as funções de avaliação de código, permitindo que atacantes não autenticados injetem código malicioso. A CISA estabeleceu o dia 20 de novembro de 2025 como prazo crítico para que as organizações implementem correções de segurança fornecidas pela equipe de desenvolvimento do XWiki. Para organizações que não conseguem aplicar as correções imediatamente, a CISA recomenda a suspensão do uso da plataforma até que a remediação completa seja possível. Embora não haja evidências de exploração ativa, a gravidade da vulnerabilidade sugere que os atacantes podem rapidamente desenvolver códigos de exploração contra sistemas não corrigidos. As equipes de segurança devem realizar um inventário de todas as implementações do XWiki e estabelecer procedimentos de teste de patches antes da implementação em larga escala.

Pesquisadores de segurança da Sophos identificaram a exploração ativa de uma vulnerabilidade crítica nos Serviços de Atualização do Windows Server (WSUS), que permite a atores maliciosos coletar dados sensíveis de organizações sem necessidade de autenticação. A falha, classificada como CVE-2025-59287, foi amplamente explorada após a divulgação de detalhes técnicos e a liberação de patches pela Microsoft em 14 de outubro de 2025. A situação se agravou com a publicação de um código de prova de conceito no GitHub, resultando em uma onda de ataques coordenados contra servidores WSUS expostos à internet. Os ataques, que começaram em 24 de outubro de 2025, afetaram principalmente organizações nos setores de tecnologia, saúde, manufatura e educação, com pelo menos seis incidentes confirmados. Os atacantes utilizam um bug de desserialização para executar comandos PowerShell maliciosos, extraindo informações críticas como endereços IP externos e configurações de rede, que são então exfiltradas para URLs controladas pelos atacantes. Especialistas em segurança estão alertando as organizações para que apliquem imediatamente os patches disponíveis e restrinjam o acesso aos servidores WSUS expostos.

Um grupo de ciberespionagem conhecido como Tick, também chamado de Bronze Butler, tem explorado uma vulnerabilidade crítica no Motex Lanscope Endpoint Manager, identificada como CVE-2025-61932, com uma pontuação CVSS de 9.3. Essa falha permite que atacantes remotos executem comandos arbitrários com privilégios de sistema em versões locais do software. O JPCERT/CC confirmou que a vulnerabilidade está sendo ativamente utilizada para instalar um backdoor em sistemas comprometidos. A campanha sofisticada, observada pela Sophos, utiliza um backdoor chamado Gokcpdoor, que estabelece uma conexão proxy com um servidor remoto e permite a execução de comandos maliciosos. Além disso, o ataque envolve o uso do framework Havoc para pós-exploração e ferramentas como goddi e Remote Desktop para movimentação lateral e exfiltração de dados. O Tick já havia sido observado explorando falhas zero-day em campanhas anteriores, como em 2017, quando comprometeu o SKYSEA Client View. A Sophos recomenda que as organizações atualizem seus servidores Lanscope vulneráveis e revisem a necessidade de expô-los publicamente na internet.

A Agência de Segurança Cibernética e de Infraestrutura (CISA), em parceria com a Agência de Segurança Nacional e aliados internacionais, lançou um guia abrangente de melhores práticas de segurança para fortalecer a infraestrutura dos servidores Microsoft Exchange. Este documento é essencial para organizações que buscam proteger seus ambientes Exchange locais contra ameaças sofisticadas. Os servidores Exchange são alvos valiosos para atacantes que buscam acesso não autorizado e a exfiltração de dados sensíveis. O guia enfatiza a importância da autenticação multifatorial (MFA) e do controle de acesso robusto como pilares fundamentais da segurança. Além disso, recomenda a implementação de protocolos de criptografia para proteger as comunicações de e-mail, tanto em trânsito quanto em repouso. Outro ponto crítico abordado é a manutenção de servidores Exchange legados durante migrações para a nuvem, que frequentemente ficam sem monitoramento adequado, tornando-se vulneráveis. A CISA sugere que as organizações desenvolvam planos de descomissionamento para essas infraestruturas obsoletas, eliminando pontos de entrada para atacantes e simplificando a segurança. O guia também lista várias vulnerabilidades críticas (CVE) que afetam versões do Exchange, destacando a necessidade urgente de ações corretivas.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta sobre a exploração ativa de uma vulnerabilidade crítica de escalonamento de privilégios, identificada como CVE-2025-41244, que afeta o VMware Tools e o VMware Aria Operations. Essa falha permite que atacantes com acesso de usuário padrão a uma máquina virtual elevem seus privilégios a nível root, comprometendo a segurança de sistemas virtualizados. A vulnerabilidade é particularmente preocupante devido à sua baixa complexidade de ataque e aos requisitos mínimos para exploração, tornando-a acessível em ambientes multi-inquilinos e de hospedagem compartilhada. A CISA estabeleceu um prazo obrigatório até 20 de novembro de 2025 para que as organizações apliquem patches ou implementem medidas de segurança alternativas. A Broadcom, responsável pelo VMware, já disponibilizou orientações de segurança e patches para mitigar a falha. Enquanto isso, as organizações devem considerar restrições de acesso local e desativação de funcionalidades não essenciais como medidas temporárias. A urgência é reforçada pela natureza pública da vulnerabilidade e pela janela de exploração ativa, exigindo uma resposta rápida das equipes de segurança.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma vulnerabilidade de alta severidade no catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), afetando o Broadcom VMware Tools e o VMware Aria Operations. Identificada como CVE-2025-41244, essa falha possui uma pontuação CVSS de 7.8 e permite que atacantes locais com privilégios não administrativos escalem suas permissões para nível root em sistemas vulneráveis. A CISA destacou que a exploração dessa vulnerabilidade pode ocorrer em máquinas virtuais (VMs) com VMware Tools instalados e geridos pelo Aria Operations, especialmente com o SDMP habilitado. A falha foi descoberta pela NVISO Labs e já estava sendo explorada como um zero-day desde outubro de 2024 por um ator de ameaça vinculado à China, identificado como UNC5174. Além disso, a CISA também listou uma vulnerabilidade crítica de injeção eval no XWiki, que permite a execução remota de código por usuários convidados. As agências do Federal Civilian Executive Branch (FCEB) devem implementar as mitig ações necessárias até 20 de novembro de 2025 para proteger suas redes contra essas ameaças.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) e a Agência de Segurança Nacional (NSA), em colaboração com parceiros internacionais, emitiram orientações para proteger instâncias locais do Microsoft Exchange Server contra possíveis explorações. As recomendações incluem restringir o acesso administrativo, implementar autenticação multifatorial e adotar princípios do modelo de segurança de confiança zero. As agências alertam que a atividade maliciosa direcionada ao Exchange Server continua a aumentar, especialmente em instâncias desprotegidas ou mal configuradas. Organizações são aconselhadas a descontinuar servidores Exchange obsoletos e migrar para o Microsoft 365. Além disso, a CISA atualizou o alerta sobre a vulnerabilidade CVE-2025-59287, que pode permitir a execução remota de código, recomendando que as organizações apliquem atualizações de segurança e monitorem atividades suspeitas em suas redes. A exploração dessa vulnerabilidade já foi identificada em diversas indústrias, incluindo tecnologia e saúde, destacando a urgência de ações corretivas para mitigar riscos.

Um novo recurso da ThreatLocker, chamado Defense Against Configurations (DAC), foi lançado para macOS, visando identificar e corrigir configurações inseguras que podem ser exploradas por atacantes. O DAC realiza varreduras frequentes nos dispositivos, detectando falhas como a falta de criptografia em discos, configurações inadequadas de firewall e permissões excessivas de compartilhamento. Essas vulnerabilidades são comuns em ambientes de trabalho que utilizam Macs, especialmente em setores criativos como design e produção de mídia. O DAC fornece um painel de controle unificado, permitindo que administradores visualizem e remedeiem problemas de segurança de forma eficiente, alinhando-se a frameworks de segurança reconhecidos como CIS e NIST. A funcionalidade é especialmente relevante para organizações que utilizam Macs, pois oferece uma camada adicional de visibilidade e controle sobre a segurança dos endpoints, ajudando a prevenir incidentes antes que ocorram.

Pesquisadores das universidades Georgia Tech e Purdue University descobriram uma falha grave em CPUs modernas da AMD e Intel, que permite o acesso a informações sensíveis armazenadas no Ambiente de Execução Confiável (TEE). O ataque, denominado TEE.Fail, explora vulnerabilidades nas tecnologias Intel SGX/TDX e AMD SEV-SNP, especialmente em sistemas que utilizam memórias DDR5. Embora o método de ataque exija acesso físico à máquina e uma modificação invasiva, ele pode ser realizado com um custo inferior a 1.000 euros, tornando-o acessível até mesmo para entusiastas de hardware. Durante os testes, os pesquisadores conseguiram extrair chaves de assinatura do OpenSSL em máquinas virtuais protegidas pela tecnologia SEV-SNP da AMD, mesmo com a segurança adicional ativada. Apesar da gravidade da vulnerabilidade, o ataque não representa uma ameaça imediata para o usuário comum, pois requer privilégios de administrador e acesso físico. A AMD, única entre as fabricantes a responder, afirmou que não planeja correções, uma vez que a solução exigiria alterações de hardware. Essa situação levanta preocupações sobre a segurança de dados sensíveis em ambientes corporativos que utilizam essas tecnologias.

Uma vulnerabilidade severa foi descoberta no motor de renderização Blink do Chromium, permitindo que navegadores baseados em Chromium, como Google Chrome e Microsoft Edge, sejam explorados para falhar em questão de segundos. O pesquisador de segurança Jose Pino, que revelou a falha, a nomeou de Brash. Essa vulnerabilidade se origina da falta de limitação de taxa nas atualizações da API ‘document.title’, permitindo que milhões de mutações do modelo de objeto do documento (DOM) sejam enviadas por segundo, levando o navegador a travar e degradar o desempenho do sistema. O ataque ocorre em três etapas: geração de hash, injeção em rajadas de atualizações e saturação da thread da interface do usuário, resultando em um navegador não responsivo. Além disso, Brash pode ser programada para ser ativada em momentos específicos, funcionando como uma bomba lógica. A falha afeta todos os navegadores baseados em Chromium, enquanto o Mozilla Firefox e o Apple Safari estão imunes. A equipe do Hacker News entrou em contato com o Google para obter mais informações sobre a correção.

Recentemente, foram divulgadas 14 vulnerabilidades críticas no Jenkins, um servidor de automação amplamente utilizado, que expõem as infraestruturas de CI/CD de empresas a riscos significativos. Entre as falhas, destaca-se o bypass de autenticação SAML, identificado como CVE-2025-64131, com uma pontuação CVSS de 8.4. Essa vulnerabilidade permite que atacantes interceptem e reproduzam requisições de autenticação SAML, obtendo acesso total a contas de usuários sem a necessidade de credenciais válidas. Além disso, o plugin MCP Server apresenta falhas de autorização que permitem a escalada de privilégios, enquanto o plugin Azure CLI possibilita a execução de comandos de sistema arbitrários. Outras vulnerabilidades incluem injeções de comandos, armazenamento em texto simples de tokens de autenticação e problemas de verificação de permissões. As organizações que utilizam versões afetadas devem priorizar a aplicação de patches para mitigar esses riscos e proteger suas operações. A atualização para versões corrigidas é essencial para evitar acessos não autorizados e ataques de escalada de privilégios.

Pesquisadores de segurança identificaram uma falha crítica na arquitetura do motor de renderização Blink, que afeta navegadores baseados em Chromium, como Chrome, Edge, Brave e Opera, colocando mais de 3 bilhões de usuários em risco de ataques de negação de serviço (DoS). Denominada Brash, a vulnerabilidade permite que atacantes incapacitem completamente esses navegadores em apenas 15 a 60 segundos, utilizando técnicas simples de injeção de código. O ataque explora a ausência de limitação de taxa na API document.title, inundando o navegador com milhões de solicitações de atualização de título por segundo, o que sobrecarrega o thread principal do navegador e provoca um colapso do sistema. Testes mostraram que todos os navegadores baseados em Chromium são vulneráveis, enquanto Firefox e Safari permanecem imunes devido a arquiteturas de renderização diferentes. As consequências vão além da simples inconveniência, afetando o desempenho do sistema e podendo interromper operações críticas em setores como saúde e finanças. A vulnerabilidade ainda não foi corrigida, e patches estão em desenvolvimento, o que exige atenção imediata dos usuários e administradores de sistemas.

Uma vulnerabilidade crítica foi identificada no plugin Anti-Malware Security e Brute-Force Firewall do WordPress, afetando mais de 100 mil sites globalmente. A falha, registrada como CVE-2025-11705, permite que atacantes autenticados com acesso básico leiam arquivos arbitrários nos servidores afetados, expondo dados sensíveis como configurações e credenciais de banco de dados. O problema decorre da ausência de uma verificação de autorização na função GOTMLS_ajax_scan(), que exibe resultados de varredura de malware. Apesar de mecanismos de proteção, a implementação falhou em validar corretamente as capacidades dos usuários, permitindo que contas de baixo privilégio contornassem essas salvaguardas. A vulnerabilidade foi descoberta pelo pesquisador Dmitrii Ignatyev e divulgada através do programa de recompensas da Wordfence, resultando em um patch liberado em 15 de outubro de 2025. Administradores de sites devem atualizar imediatamente para a versão 4.23.83 ou posterior para mitigar os riscos. Este incidente destaca a importância de manter versões de plugins atualizadas e monitorar avisos de segurança.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta sobre a exploração ativa de uma vulnerabilidade crítica no Windows Server Update Service (WSUS), identificada como CVE-2025-59287. Essa falha permite que atacantes não autenticados executem código remotamente com privilégios de sistema, comprometendo a infraestrutura de milhões de servidores. A CISA atualizou suas diretrizes em 29 de outubro de 2025, recomendando que as organizações identifiquem servidores vulneráveis e apliquem imediatamente a atualização de segurança emergencial da Microsoft, lançada em 23 de outubro de 2025. Para aqueles que não conseguem aplicar os patches rapidamente, a CISA sugere desabilitar temporariamente o WSUS ou bloquear o tráfego para as portas padrão do WSUS. Além disso, as equipes de segurança devem monitorar tentativas de exploração e movimentos laterais dentro da rede, prestando atenção a processos suspeitos que possam indicar uma violação. A vulnerabilidade foi adicionada ao catálogo de Vulnerabilidades Conhecidas da CISA, confirmando a exploração ativa desde pelo menos 24 de outubro de 2025. A situação exige atenção imediata das organizações para evitar compromissos severos em suas operações.

O Google lançou oficialmente a versão 142 do Chrome, que traz atualizações de segurança essenciais para as plataformas Windows, Mac e Linux. Esta nova versão corrige 20 vulnerabilidades de alta severidade, muitas das quais poderiam permitir a execução remota de código, comprometendo dados e a integridade do sistema dos usuários. Entre os problemas abordados, destacam-se falhas no motor JavaScript V8, como confusão de tipos e condições de corrida, que podem resultar em execução de código arbitrário. Além disso, foram feitas correções em questões de manipulação de mídia e vulnerabilidades no framework de extensões, que poderiam ser exploradas para elevar privilégios. O programa de recompensas por vulnerabilidades do Google incentivou a contribuição de pesquisadores externos, com recompensas variando de $2.000 a $50.000. Os profissionais de segurança recomendam a ativação de atualizações automáticas para garantir proteção imediata contra tentativas de exploração. A versão 142 do Chrome reforça a postura de segurança do navegador em um cenário de ameaças cibernéticas em constante crescimento.

A Microsoft corrigiu uma vulnerabilidade crítica no driver Windows Cloud Files Minifilter, identificada como CVE-2025-55680, que permite a atacantes locais escalar privilégios e criar arquivos arbitrários no sistema. Descoberta por pesquisadores da Exodus Intelligence em março de 2024, a falha foi incluída nas atualizações de segurança de outubro de 2025, recebendo uma pontuação CVSS de 7.8 devido à sua capacidade de conceder acesso em nível SYSTEM por meio de técnicas de side-loading de DLLs.

Um novo projeto de pesquisa em segurança, denominado TEE.fail, revelou vulnerabilidades críticas em Ambientes de Execução Confiável (TEEs) modernos da Intel, AMD e Nvidia. Os pesquisadores demonstraram que atacantes podem extrair chaves criptográficas por meio da interposição do barramento de memória DDR5, utilizando equipamentos comuns. Apesar das proteções de segurança em nível de hardware, esses ataques físicos podem comprometer ambientes de computação confidenciais ao interceptar o tráfego de memória DDR5. O ataque explora uma fraqueza fundamental na implementação da criptografia de memória pelas empresas, que utilizam modos de criptografia determinísticos, permitindo que padrões no tráfego de memória criptografada revelem informações sobre os dados subjacentes. Os pesquisadores conseguiram extrair chaves de atestação ECDSA do Intel Provisioning Certification Enclave (PCE) em uma única operação de assinatura, forjando cotações de atestação TDX que passaram pela verificação oficial da Intel. Além disso, a vulnerabilidade se estende à segurança de computação confidencial da Nvidia, permitindo a execução não autorizada de cargas de trabalho de IA. O ataque não requer exploração em nível de software, tornando as mitig ações tradicionais ineficazes. Este estudo, realizado por equipes da Georgia Tech e da Purdue University, destaca a importância das proteções de acesso físico, mesmo com os avanços tecnológicos em computação confidencial.

Pesquisadores em cibersegurança identificaram uma nova vulnerabilidade em navegadores web que utilizam inteligência artificial, como o OpenAI ChatGPT Atlas. O problema, denominado ‘cloaking direcionado a IA’, permite que atacantes manipulem o conteúdo exibido para crawlers de IA, expondo-os a ataques de envenenamento de contexto. A técnica, semelhante ao cloaking de motores de busca, utiliza uma verificação simples do agente do usuário para entregar conteúdo diferente para humanos e sistemas de IA. Isso pode distorcer a percepção de autoridade e verdade, afetando milhões de usuários. A empresa SPLX, que divulgou a vulnerabilidade, alerta que essa manipulação pode ser uma arma poderosa de desinformação, comprometendo a confiança nas ferramentas de IA. Além disso, um estudo da hCaptcha Threat Analysis Group revelou que muitos navegadores tentaram executar ações maliciosas sem necessidade de jailbreak, indicando uma falta de salvaguardas adequadas. Isso levanta preocupações sobre a segurança de sistemas que dependem de IA, especialmente em um cenário onde a otimização para IA se torna cada vez mais comum.

A Microsoft lançou uma atualização de segurança para corrigir uma vulnerabilidade crítica no ASP.NET Core, identificada como CVE-2025-55315, que expõe organizações a ataques de ‘HTTP request smuggling’. Com uma pontuação CVSS 3.1 de 9.9, a gravidade da falha exige uma correção imediata em ambientes corporativos. A vulnerabilidade surge da forma como o servidor web Kestrel, parte do ASP.NET Core, processa requisições HTTP. Em determinadas condições, o servidor não valida corretamente os limites das requisições, permitindo que atacantes criem requisições maliciosas que ocultam outras requisições dentro delas. Isso pode contornar controles de segurança críticos, como autenticação e validação de entrada.

Uma vulnerabilidade de execução remota de código (RCE) não autenticada no XWiki, identificada como CVE-2025-24893, está sendo ativamente explorada por atacantes para implantar malware de mineração de criptomoedas. Essa falha, que permite a injeção de templates, possibilita a execução de código arbitrário em sistemas vulneráveis sem necessidade de autenticação, representando uma ameaça significativa para organizações que utilizam versões não corrigidas do XWiki.

A análise da VulnCheck revelou uma cadeia de ataque sofisticada em duas etapas, onde os atacantes inicialmente enviam uma solicitação GET maliciosa para um endpoint específico, que baixa um arquivo malicioso para o diretório /tmp do sistema alvo. O primeiro estágio do downloader, denominado x640, puxa scripts adicionais que estabelecem operações de mineração de criptomoedas. O segundo estágio prepara o ambiente do sistema e inicia um minerador de Monero, demonstrando práticas avançadas de segurança operacional para evitar detecções.

Recentemente, a CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) e a VulnCheck alertaram sobre a exploração ativa de vulnerabilidades críticas em produtos da Dassault Systèmes, especificamente no DELMIA Apriso, e no XWiki. As falhas incluem a CVE-2025-6204, uma vulnerabilidade de injeção de código com pontuação CVSS de 8.0, e a CVE-2025-6205, uma falha de autorização ausente com pontuação de 9.1, ambas afetando versões do DELMIA Apriso de 2020 a 2025. A CVE-2025-24893, com pontuação CVSS de 9.8, permite a execução remota de código por usuários convidados no XWiki. Essas vulnerabilidades foram abordadas pela Dassault Systèmes em agosto de 2025, mas a exploração continua ativa, com tentativas de ataque relatadas desde março de 2025. Os ataques têm como alvo a instalação de mineradores de criptomoedas, utilizando um processo em duas etapas. A CISA exige que várias agências federais remedeiem as falhas até 18 de novembro de 2025. Dada a gravidade e a exploração ativa dessas vulnerabilidades, é crucial que os usuários apliquem as atualizações necessárias imediatamente.

Pesquisadores de cibersegurança da LayerX identificaram uma vulnerabilidade crítica no navegador Atlas da OpenAI, que permite a injeção de instruções maliciosas no sistema de memória do ChatGPT por meio de ataques de Cross-Site Request Forgery (CSRF). Essa falha, divulgada de forma responsável à OpenAI em 27 de outubro de 2025, representa um risco significativo para usuários que dependem da IA para codificação e gerenciamento de sistemas. O ataque se aproveita de uma fraqueza na forma como o Atlas lida com sessões autenticadas, permitindo que atacantes utilizem credenciais de autenticação de vítimas para injetar instruções ocultas na memória do ChatGPT. Uma vez comprometida, essa memória contaminada pode executar código remoto e potencialmente conceder controle sobre contas de usuários e sistemas conectados. Além disso, o navegador Atlas demonstrou deficiências alarmantes em detectar e bloquear ataques de phishing, aumentando ainda mais a vulnerabilidade dos usuários. A pesquisa revelou que apenas 6 de 103 páginas maliciosas foram bloqueadas, resultando em uma taxa de falha de 94,2%. Essa situação é particularmente preocupante, pois a memória contaminada persiste em todos os dispositivos onde o usuário acessa sua conta, dificultando a detecção e remediação do ataque.

A Apache Software Foundation divulgou duas vulnerabilidades críticas que afetam várias versões do Apache Tomcat, sendo uma delas uma falha de travessia de diretório que pode permitir a execução remota de código (RCE) em servidores vulneráveis. A vulnerabilidade mais grave, identificada como CVE-2025-55752, resulta de uma regressão introduzida ao corrigir um bug anterior. Essa falha permite que atacantes manipulem URIs de requisições através de URLs reescritas, contornando restrições de segurança que protegem diretórios sensíveis como /WEB-INF/ e /META-INF/. O risco se intensifica quando as requisições PUT estão habilitadas, permitindo o upload de arquivos maliciosos. A segunda vulnerabilidade, CVE-2025-55754, envolve a falha do Tomcat em escapar corretamente sequências de escape ANSI em mensagens de log, o que pode ser explorado para manipular a exibição do console em sistemas Windows. Ambas as vulnerabilidades afetam as versões 9, 10 e 11 do Apache Tomcat, e a Apache já lançou versões corrigidas. Administradores são aconselhados a atualizar imediatamente para evitar possíveis ataques.