Vulnerabilidade

A TP-Link anunciou a correção de várias vulnerabilidades em sua série de roteadores Archer NX, incluindo uma falha de gravidade crítica, identificada como CVE-2025-15517. Essa vulnerabilidade permite que atacantes contornem a autenticação e façam upload de novos firmwares, afetando os modelos Archer NX200, NX210, NX500 e NX600. A falha se origina de uma verificação de autenticação ausente em certos endpoints CGI do servidor HTTP, permitindo acesso não autenticado a ações que deveriam ser restritas a usuários autenticados. Além disso, a TP-Link removeu uma chave criptográfica hardcoded (CVE-2025-15605) que permitia a atacantes autenticados descriptografar e modificar arquivos de configuração. Outras duas vulnerabilidades de injeção de comando (CVE-2025-15518 e CVE-2025-15519) também foram corrigidas, permitindo que administradores executassem comandos arbitrários. A empresa recomenda fortemente que os usuários atualizem para a versão mais recente do firmware para evitar possíveis ataques. A CISA já havia classificado outras falhas da TP-Link como exploradas em ataques, destacando a necessidade de atenção contínua à segurança desses dispositivos.

A Citrix lançou patches para duas vulnerabilidades críticas que afetam seus dispositivos NetScaler ADC e soluções de acesso remoto seguro NetScaler Gateway. A primeira falha, identificada como CVE-2026-3055, resulta de uma validação insuficiente de entrada, permitindo que atacantes remotos não privilegiados possam acessar informações sensíveis, como tokens de sessão, em dispositivos configurados como provedores de identidade SAML. A empresa recomenda que os clientes afetados atualizem suas versões imediatamente. A segunda vulnerabilidade, CVE-2026-4368, afeta dispositivos configurados como Gateways e pode permitir que atores maliciosos com privilégios baixos explorem uma condição de corrida, resultando em confusão de sessões de usuários. Ambas as falhas impactam as versões 13.1 e 14.1 do NetScaler ADC e Gateway. A Shadowserver, um grupo de vigilância de segurança na internet, está monitorando mais de 30.000 instâncias do NetScaler ADC expostas online, mas não há informações sobre quantas estão vulneráveis. Especialistas em cibersegurança alertam que a exploração dessas falhas é iminente, especialmente devido à similaridade com vulnerabilidades anteriores amplamente exploradas, como CitrixBleed.

A PTC Inc. emitiu um alerta sobre uma vulnerabilidade crítica identificada como CVE-2026-4681, que afeta suas soluções de gerenciamento de ciclo de vida de produtos, Windchill e FlexPLM. Essa falha pode permitir a execução remota de código através da desserialização de dados confiáveis. A gravidade do problema levou as autoridades alemãs, incluindo a polícia federal (BKA), a tomar medidas emergenciais, enviando agentes para notificar empresas afetadas sobre o risco cibernético. Embora não haja patches oficiais disponíveis no momento, a PTC está desenvolvendo correções para todas as versões suportadas. Enquanto isso, recomenda-se que os administradores de sistema apliquem regras de mitigação para negar acesso ao caminho servlet afetado. A empresa também publicou indicadores de comprometimento (IoCs) e alertou que há evidências de uma ameaça iminente de um grupo externo para explorar essa vulnerabilidade. A resposta rápida das autoridades sugere que a exploração dessa falha pode ter implicações significativas, especialmente em setores críticos como engenharia e manufatura.

Um novo estudo da equipe Donjon da Ledger revelou uma vulnerabilidade crítica em smartphones Android que utilizam processadores MediaTek. Essa falha permite que hackers acessem dados sensíveis, como PINs e frases-semente de carteiras de criptomoedas, mesmo quando os dispositivos estão desligados. O ataque é realizado através de uma conexão USB, onde os invasores podem extrair chaves criptográficas antes que o sistema operacional seja carregado. Essa vulnerabilidade afeta cerca de um quarto dos smartphones Android no mundo, destacando a fragilidade da segurança em dispositivos móveis. O CTO da Ledger, Charles Guillemet, enfatizou que smartphones não foram projetados para serem cofres e que a atualização de segurança é crucial para mitigar esses riscos. A vulnerabilidade foi divulgada sob o processo padrão de 90 dias, e a MediaTek já começou a implementar patches para os fabricantes de dispositivos. Usuários são aconselhados a instalar atualizações de segurança imediatamente para proteger seus dados.

A Citrix divulgou atualizações de segurança para corrigir duas vulnerabilidades em seu NetScaler ADC e NetScaler Gateway, incluindo uma falha crítica que pode ser explorada para vazar dados sensíveis. A primeira vulnerabilidade, CVE-2026-3055, possui um CVSS de 9.3 e refere-se a uma validação insuficiente de entrada que pode permitir que atacantes remotos não autenticados leiam informações sensíveis da memória do dispositivo. Para que essa exploração seja bem-sucedida, o dispositivo deve estar configurado como um Provedor de Identidade SAML (SAML IDP). A segunda vulnerabilidade, CVE-2026-4368, com um CVSS de 7.7, resulta de uma condição de corrida que pode levar à confusão de sessões de usuário, exigindo que o dispositivo esteja configurado como um gateway ou servidor AAA. As versões afetadas incluem NetScaler ADC e Gateway 14.1 antes de 14.1-66.59 e 13.1 antes de 13.1-62.23. Embora não haja evidências de exploração ativa, a história de falhas de segurança em dispositivos NetScaler torna urgente que os usuários apliquem as atualizações. Especialistas alertam que a exploração dessas vulnerabilidades é altamente provável, dada a importância crítica dos NetScalers em ambientes corporativos.

O AWS Bedrock, plataforma da Amazon para desenvolvimento de aplicações com inteligência artificial, apresenta vulnerabilidades significativas que podem ser exploradas por atacantes. O artigo da XM Cyber detalha oito vetores de ataque que se aproveitam da conectividade do Bedrock com sistemas empresariais, como Salesforce e SharePoint. Esses vetores incluem ataques a logs de invocação de modelos, compromissos de bases de conhecimento, e manipulação de agentes autônomos. Por exemplo, um atacante pode redirecionar logs para um bucket controlado, permitindo a coleta silenciosa de dados sensíveis. Além disso, a degradação de guardrails, que são as defesas primárias do Bedrock, pode facilitar a manipulação do modelo, tornando-o vulnerável a conteúdos tóxicos e injeções de prompts maliciosos. A pesquisa destaca que a segurança do Bedrock depende da gestão rigorosa de permissões e da compreensão das integrações com dados empresariais. O artigo conclui que a proteção do Bedrock requer um mapeamento cuidadoso dos caminhos de ataque e controles rigorosos em toda a infraestrutura.

O cenário da cibersegurança continua alarmante, com sistemas considerados seguros sendo comprometidos de maneiras simples. Recentemente, o scanner de vulnerabilidades Trivy foi alvo de um ataque que injetou malware em suas versões oficiais, resultando na propagação de um worm autônomo chamado CanisterWorm. Além disso, uma operação do Departamento de Justiça dos EUA desmantelou botnets de IoT responsáveis por alguns dos maiores ataques DDoS, que afetaram dispositivos como câmeras IP e roteadores com credenciais fracas. Em outra frente, uma falha crítica no software Cisco FMC foi explorada por um ransomware, permitindo que atacantes executassem código malicioso remotamente. A velocidade com que as vulnerabilidades são exploradas está aumentando, como evidenciado por uma falha no Langflow que foi atacada apenas 20 horas após sua divulgação. O novo fluxo avançado de instalação de aplicativos no Android também foi introduzido para combater fraudes e malware, adicionando etapas de verificação. O artigo destaca a necessidade urgente de que as organizações revisem suas práticas de segurança e atualizem suas defesas para mitigar esses riscos.

A Microsoft lançou uma atualização de emergência para resolver um problema significativo que impede o login em contas Microsoft em diversos aplicativos, incluindo Teams e OneDrive. O erro surgiu após a instalação da atualização cumulativa KB5079473, liberada durante o Patch Tuesday deste mês, que gerou uma mensagem de erro informando que os dispositivos afetados não estão conectados à Internet, mesmo quando estão. Além do Teams e OneDrive, aplicativos como Microsoft Edge, Microsoft 365 Copilot e ferramentas do Office, como Excel e Word, também foram impactados. A Microsoft confirmou que o problema afeta apenas operações de login com contas Microsoft, não impactando empresas que utilizam o Entra ID para autenticação. Enquanto uma solução definitiva está sendo desenvolvida, a empresa sugeriu que os usuários reiniciassem seus PCs como uma medida temporária. Para corrigir o problema, a Microsoft começou a distribuir a atualização opcional KB5085516, que inclui correções para a falha e melhorias de segurança. Essa atualização é aplicável a dispositivos Windows 11 nas versões 25H2 e 24H2 e pode ser instalada via Windows Update ou Catálogo de Atualizações da Microsoft.

A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) emitiu uma ordem para que agências governamentais dos EUA corrigissem três vulnerabilidades do iOS, que estão sendo exploradas em ataques de roubo de criptomoedas e ciberespionagem, utilizando o kit de exploração DarkSword. Pesquisadores do Google e da iVerify identificaram uma cadeia de seis vulnerabilidades, incluindo CVE-2025-31277, CVE-2025-43529, CVE-2026-20700, CVE-2025-14174, CVE-2025-43510 e CVE-2025-43520, que permitem a execução remota de código em iPhones não corrigidos. Embora a Apple já tenha lançado patches para essas falhas, dispositivos rodando iOS entre as versões 18.4 e 18.7 ainda estão vulneráveis. O DarkSword está associado a grupos de ameaças, como UNC6748 e UNC6353, que realizam ataques direcionados a usuários de iPhone em sites comprometidos. A CISA alertou que essas vulnerabilidades representam riscos significativos e recomendou que todas as organizações, incluindo as do setor privado, priorizem a segurança de seus dispositivos. O alerta destaca a necessidade de ações imediatas para mitigar os riscos associados a essas falhas.

Uma grave vulnerabilidade de segurança, identificada como CVE-2025-32975, está sendo explorada por atores maliciosos em sistemas Quest KACE Systems Management Appliance (SMA) não atualizados. Com uma pontuação CVSS de 10.0, essa falha permite que atacantes contornem a autenticação e se façam passar por usuários legítimos, possibilitando a tomada de controle total de contas administrativas. A atividade maliciosa foi detectada pela Arctic Wolf, que observou tentativas de exploração a partir da semana de 9 de março de 2026, em ambientes de clientes expostos à internet. Os atacantes utilizam a vulnerabilidade para executar comandos remotos e implantar cargas úteis codificadas em Base64 a partir de um servidor externo. Além disso, foram identificadas modificações no Registro do Windows e a criação de contas administrativas adicionais. Para mitigar essa ameaça, é crucial que os administradores apliquem as atualizações mais recentes e evitem expor instâncias do SMA à internet. A falha foi corrigida em versões específicas do software lançadas em maio de 2025.

A Oracle divulgou atualizações de segurança para corrigir uma falha crítica que afeta o Oracle Identity Manager e o Oracle Web Services Manager, permitindo a execução remota de código. A vulnerabilidade, identificada como CVE-2026-21992, possui uma pontuação CVSS de 9.8, indicando um risco elevado. Segundo a Oracle, a falha é explorável remotamente e sem necessidade de autenticação, o que a torna particularmente perigosa. As versões afetadas incluem o Oracle Identity Manager nas versões 12.2.1.4.0 e 14.1.2.1.0, e o Oracle Web Services Manager nas mesmas versões. A descrição da falha na base de dados de vulnerabilidades do NIST destaca que um atacante não autenticado com acesso à rede via HTTP pode comprometer os sistemas afetados. Embora a Oracle não tenha relatado exploração ativa da vulnerabilidade, recomenda a aplicação imediata das atualizações para garantir a proteção. Este alerta é especialmente relevante, considerando que, em novembro de 2025, uma falha semelhante no Oracle Identity Manager foi adicionada ao catálogo de Vulnerabilidades Conhecidas e Exploradas da CISA, indicando um histórico de exploração ativa. Portanto, a atualização é crucial para a segurança das organizações que utilizam essas tecnologias.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu cinco vulnerabilidades críticas em seu catálogo de Vulnerabilidades Conhecidas Exploited (KEV), afetando produtos da Apple, Craft CMS e Laravel Livewire. As falhas, que variam em pontuação CVSS de 7.8 a 10.0, exigem que agências federais realizem correções até 3 de abril de 2026. Entre as vulnerabilidades, destaca-se a CVE-2025-32432, uma falha de injeção de código no Craft CMS, que está sendo explorada ativamente desde fevereiro de 2025, permitindo a execução remota de código por atacantes. Além disso, três vulnerabilidades no WebKit e no kernel da Apple podem resultar em corrupção de memória e comprometimento do sistema. Relatórios indicam que um kit de exploração chamado DarkSword está utilizando essas falhas para implantar malwares como GHOSTBLADE e GHOSTKNIFE. A CISA enfatiza a urgência na aplicação de patches, especialmente em um cenário onde grupos de hackers, como o MuddyWater, estão intensificando suas atividades de espionagem cibernética, visando setores críticos e diplomáticos. A situação é alarmante, pois a combinação de técnicas de engenharia social e ferramentas avançadas de malware representa uma ameaça significativa para a segurança cibernética.

A Oracle lançou uma atualização de segurança fora do cronograma para corrigir uma vulnerabilidade crítica de execução remota de código não autenticada, identificada como CVE-2026-21992, que afeta o Oracle Identity Manager e o Oracle Web Services Manager. Essa falha, com uma pontuação de severidade CVSS v3.1 de 9.8, permite que atacantes explorem o sistema remotamente, sem necessidade de autenticação ou interação do usuário, aumentando o risco em servidores expostos. A Oracle recomenda fortemente que os clientes apliquem os patches imediatamente, especialmente aqueles que utilizam as versões 12.2.1.4.0 e 14.1.2.1.0 do Oracle Identity Manager e do Oracle Web Services Manager. A empresa não confirmou se a vulnerabilidade já foi explorada, mas enfatizou a importância de manter as versões ativas e aplicar todas as atualizações de segurança sem demora. A falha é considerada de baixa complexidade e pode ser explorada via HTTP, o que a torna ainda mais preocupante para as organizações que utilizam essas tecnologias. A Oracle também alertou os clientes para revisar o alerta de segurança para obter detalhes completos sobre os patches disponíveis.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu uma ordem para que agências federais corrijam uma vulnerabilidade de alta severidade, identificada como CVE-2026-20131, no Cisco Secure Firewall Management Center (FMC) até o dia 22 de março. A Cisco divulgou um boletim de segurança no dia 4 de março, alertando os administradores de sistemas sobre a necessidade de aplicar as atualizações de segurança imediatamente, uma vez que não existem soluções alternativas disponíveis. A falha permite que um atacante remoto não autenticado execute código Java arbitrário como root em dispositivos afetados, devido à deserialização insegura de um fluxo de bytes Java fornecido pelo usuário. A situação se agrava com a confirmação de que a vulnerabilidade está sendo ativamente explorada por grupos de ransomware, como o Interlock, que a utilizam desde o final de janeiro. A CISA incluiu essa vulnerabilidade em seu catálogo de Vulnerabilidades Conhecidas Exploradas (KEV), destacando seu uso em campanhas de ransomware. Embora a ordem da CISA se aplique a agências federais, recomendações semelhantes são válidas para empresas privadas e governos estaduais e locais, dada a gravidade da situação.

A Sansec alertou sobre uma falha de segurança crítica na API REST do Magento, que pode permitir que atacantes não autenticados façam upload de executáveis arbitrários, resultando em execução de código e possível tomada de conta. Denominada PolyShell, a vulnerabilidade se aproveita do fato de que o Magento aceita uploads de arquivos como parte das opções personalizadas de itens no carrinho. A falha afeta todas as versões do Magento Open Source e Adobe Commerce até a versão 2.4.9-alpha2. Embora a Adobe tenha corrigido o problema na versão pré-lançamento 2.4.9, as versões em produção permanecem vulneráveis. Para mitigar riscos, recomenda-se restringir o acesso ao diretório de uploads e verificar as regras do servidor web. Além disso, a Sansec observou uma campanha em andamento que comprometeu e desfigurou milhares de sites de e-commerce Magento, afetando grandes marcas globais. A situação destaca a necessidade urgente de ações corretivas por parte de administradores de sistemas e CISOs para proteger suas infraestruturas contra possíveis explorações dessa vulnerabilidade.

Uma vulnerabilidade crítica no Langflow, identificada como CVE-2026-33017, foi explorada ativamente apenas 20 horas após sua divulgação pública. Com uma pontuação CVSS de 9.3, a falha resulta de uma combinação de falta de autenticação e injeção de código, permitindo a execução remota de código sem autenticação. O endpoint vulnerável, /api/v1/build_public_tmp/{flow_id}/flow, permite a construção de fluxos públicos sem exigir autenticação, o que possibilita que atacantes enviem dados controlados por eles, incluindo código Python arbitrário. A exploração bem-sucedida pode permitir que um invasor execute código com privilégios totais do servidor, acessando variáveis de ambiente e arquivos sensíveis.

A Microsoft confirmou que a atualização cumulativa KB5079473, lançada em março, está causando problemas de login em várias aplicações que utilizam contas Microsoft, como Teams, OneDrive, Edge, Excel e Word. Após a instalação dessa atualização, os usuários estão recebendo mensagens de erro que indicam que seus dispositivos não estão conectados à Internet, mesmo quando estão. A empresa esclareceu que o problema afeta apenas operações de login com contas Microsoft, não impactando empresas que utilizam Entra ID para autenticação. Para contornar a situação, a Microsoft sugere que os usuários reiniciem seus dispositivos enquanto permanecem conectados à Internet, o que pode resolver temporariamente o problema. Além disso, a Microsoft lançou atualizações de emergência para corrigir falhas de segurança e problemas de visibilidade de dispositivos Bluetooth em versões específicas do Windows 11. A situação destaca a importância de monitorar atualizações e suas consequências, especialmente em ambientes corporativos que dependem de ferramentas Microsoft.

A Apple está alertando os usuários sobre a necessidade de atualizar seus dispositivos iOS para evitar ataques cibernéticos que utilizam kits de exploração como Coruna e DarkSword. Esses kits aproveitam vulnerabilidades em versões desatualizadas do sistema operacional para roubar dados sensíveis. A empresa recomenda que os usuários que ainda estão em versões antigas do iOS atualizem para iOS 15.8.7 ou iOS 16.7.15, dependendo da compatibilidade do dispositivo. Para aqueles que não podem atualizar, a Apple sugere ativar o Modo de Bloqueio para reduzir a superfície de ataque. A empresa enfatiza que manter o software atualizado é crucial para a segurança dos produtos Apple, já que dispositivos com software atualizado não estão em risco desses ataques. Recentemente, foram relatados dois exploits do iOS que estão sendo utilizados por diversos atores de ameaças para roubar dados, o que indica uma escalada na exploração de vulnerabilidades do iOS, antes focadas em ataques direcionados por estados-nação. A facilidade de uso desses exploits e sua disponibilidade no mercado secundário aumentam o risco de ataques em larga escala, tornando a segurança móvel uma preocupação crítica para empresas.

Uma nova vulnerabilidade, chamada ‘PolyShell’, foi descoberta e afeta todas as versões estáveis 2 do Magento Open Source e do Adobe Commerce. Essa falha permite a execução de código não autenticado e a tomada de controle de contas. Embora não haja evidências de exploração ativa até o momento, a empresa de segurança eCommerce Sansec alerta que métodos de exploração já estão circulando, prevendo que ataques automatizados possam começar em breve. A Adobe lançou uma correção, mas ela está disponível apenas na segunda versão alfa da versão 2.4.9, deixando as versões de produção vulneráveis. A vulnerabilidade está relacionada à API REST do Magento, que aceita uploads de arquivos como parte das opções personalizadas para itens do carrinho. Quando um produto tem uma opção do tipo ‘arquivo’, o Magento processa um objeto file_info embutido que contém dados de arquivo codificados em base64, tipo MIME e nome do arquivo, escrevendo-o no servidor. A Sansec observou que muitos sites expõem arquivos no diretório de upload, aumentando o risco de execução remota de código ou tomada de conta via XSS armazenado. Até que a Adobe disponibilize um patch para as versões de produção, recomenda-se que os administradores de lojas restrinjam o acesso ao diretório pub/media/custom_options/, verifiquem as regras do servidor web e realizem varreduras em busca de shells e malware.

A Ubiquiti lançou patches para duas vulnerabilidades na aplicação UniFi Network, incluindo uma falha de gravidade máxima que pode permitir que atacantes assumam contas de usuários. A aplicação UniFi Network, também conhecida como UniFi Controller, é um software de gerenciamento que configura e otimiza hardware de rede da Ubiquiti, como pontos de acesso e switches. A vulnerabilidade, identificada como CVE-2026-22557, afeta versões 10.1.85 e anteriores da aplicação, permitindo que atacantes não privilegiados explorem uma vulnerabilidade de ‘Path Traversal’ para acessar arquivos no sistema e potencialmente sequestrar contas de usuários sem interação do usuário. Além disso, uma segunda falha permite que atacantes autenticados escalem privilégios através de uma vulnerabilidade de injeção NoSQL. Nos últimos anos, produtos da Ubiquiti foram alvo de grupos de hackers, incluindo ataques que resultaram na formação de botnets. O FBI, por exemplo, desmantelou uma botnet de roteadores Ubiquiti que era utilizada por agências de inteligência russas para realizar ataques cibernéticos. As versões corrigidas da aplicação estão disponíveis a partir da versão 10.1.89.

Hackers do grupo APT28, vinculado ao serviço de inteligência militar da Rússia (GRU), estão explorando uma vulnerabilidade crítica no Zimbra Collaboration Suite (ZCS) para atacar entidades governamentais da Ucrânia. A falha de segurança, identificada como CVE-2025-66376, foi corrigida em novembro e permite que atacantes não autenticados realizem execução remota de código (RCE) através de um ataque de cross-site scripting (XSS) armazenado. A Cybersecurity and Infrastructure Security Agency (CISA) dos EUA incluiu essa vulnerabilidade em seu catálogo de falhas ativamente exploradas e ordenou que agências federais protegessem seus servidores em um prazo de duas semanas. Os ataques, que utilizam e-mails de phishing, têm como alvo instituições críticas, como a Agência Estatal de Hidrologia da Ucrânia. Os hackers enviam mensagens que contêm um payload JavaScript ofuscado, que, ao ser aberto, coleta credenciais e dados sensíveis do usuário. A vulnerabilidade do Zimbra tem sido frequentemente alvo de grupos patrocinados pelo Estado russo, com um histórico de exploração em larga escala. A situação destaca a necessidade urgente de medidas de segurança para proteger sistemas vulneráveis, especialmente em um contexto de crescente atividade cibernética hostil.

A ConnectWise alertou os clientes do ScreenConnect sobre uma vulnerabilidade crítica de verificação de assinatura criptográfica, identificada como CVE-2026-3564, que pode resultar em acesso não autorizado e escalonamento de privilégios. Essa falha afeta versões do ScreenConnect anteriores à 26.1, uma plataforma de acesso remoto amplamente utilizada por provedores de serviços gerenciados (MSPs) e equipes de suporte. Um atacante pode explorar essa vulnerabilidade para extrair e utilizar chaves de máquina ASP.NET para autenticação de sessões não autorizadas. A ConnectWise implementou melhorias na proteção das chaves de máquina na versão 26.1, incluindo armazenamento criptografado e melhor gerenciamento. Os usuários da versão em nuvem foram atualizados automaticamente, enquanto os administradores de sistemas locais devem atualizar imediatamente. A empresa também observou tentativas de exploração da vulnerabilidade, embora não haja evidências de exploração ativa até o momento. A recomendação é que os administradores reforcem o acesso a arquivos de configuração e monitorem atividades de autenticação incomuns.

A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) emitiu uma ordem para que agências governamentais dos EUA protejam seus servidores contra uma vulnerabilidade ativamente explorada no Zimbra Collaboration Suite (ZCS), identificada como CVE-2025-66376. Essa falha de segurança, classificada como de alta severidade, resulta de uma vulnerabilidade de cross-site scripting (XSS) armazenada na interface Classic UI, permitindo que atacantes remotos não autenticados executem JavaScript arbitrário através de e-mails HTML maliciosos. A CISA deu um prazo de duas semanas para que as agências federais implementem correções, conforme a Diretiva Operacional Vinculante (BOD) 22-01. Embora a BOD se aplique apenas a agências federais, a CISA recomendou que todas as organizações, incluindo as do setor privado, realizem a correção dessa falha. O Zimbra já foi alvo de ataques anteriores, com hackers explorando vulnerabilidades para comprometer milhares de servidores de e-mail globalmente. A situação destaca a necessidade urgente de ações de mitigação para evitar possíveis sequestros de sessões e roubo de dados sensíveis.

A Cybersecurity and Infrastructure Security Agency (CISA) alertou sobre a exploração de uma vulnerabilidade crítica no Microsoft SharePoint, identificada como CVE-2026-20963. Essa falha de segurança afeta versões do SharePoint Enterprise Server 2016, SharePoint Server 2019 e SharePoint Server Subscription Edition. A exploração bem-sucedida permite que atacantes não autenticados executem código remotamente em servidores que não foram atualizados, utilizando uma fraqueza na desserialização de dados não confiáveis. A CISA incluiu essa vulnerabilidade em seu catálogo de falhas ativamente exploradas e ordenou que agências federais dos EUA, como o Departamento de Segurança Interna e o Departamento de Justiça, protegessem seus servidores até 21 de março. Embora a Microsoft tenha atualizado seu aviso sobre a CVE-2026-20963, ainda não confirmou sua exploração em ataques reais. A CISA também recomendou que todos os defensores de rede aplicassem as correções necessárias, uma vez que esse tipo de vulnerabilidade é um vetor de ataque comum para agentes maliciosos, representando riscos significativos para a segurança federal. Além disso, a CISA ordenou que agências federais corrigissem uma vulnerabilidade de cross-site scripting (XSS) no Zimbra Collaboration Suite, que também está sendo explorada.

Pesquisadores de cibersegurança revelaram uma falha crítica no daemon Telnet do GNU InetUtils, identificada como CVE-2026-32746, com uma pontuação CVSS de 9.8. Essa vulnerabilidade permite que um atacante remoto não autenticado execute código arbitrário com privilégios elevados, explorando um erro de escrita fora dos limites no manipulador de subopções SLC durante o handshake do protocolo Telnet. A falha afeta todas as versões do serviço Telnet até a versão 2.7 e pode ser acionada simplesmente ao conectar-se à porta 23, sem necessidade de credenciais ou interação do usuário. A empresa israelense Dream, que descobriu a vulnerabilidade, recomenda desativar o serviço se não for necessário, rodar o telnetd sem privilégios de root e bloquear o acesso à porta 23. A correção deve ser disponibilizada até 1º de abril de 2026. Essa vulnerabilidade é particularmente preocupante, pois pode levar a uma completa compromissão do sistema, permitindo ações como instalação de backdoors e exfiltração de dados. A divulgação ocorre pouco tempo após outra falha crítica no mesmo serviço, indicando um padrão preocupante de vulnerabilidades no Telnet.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta para que agências governamentais apliquem patches em duas vulnerabilidades críticas que estão sendo ativamente exploradas. A primeira, CVE-2025-66376, é uma vulnerabilidade de cross-site scripting (XSS) no Zimbra Collaboration Suite, que permite que atacantes abusem de diretrizes CSS em mensagens de e-mail HTML. A segunda, CVE-2026-20963, é uma vulnerabilidade de desserialização de dados não confiáveis no Microsoft Office SharePoint, permitindo que um invasor execute código remotamente. Ambas as falhas foram corrigidas em versões recentes dos softwares. O alerta da CISA é especialmente relevante após a descoberta de uma campanha de ataque, denominada Operação GhostMail, que utiliza a vulnerabilidade do Zimbra para roubar credenciais e dados sensíveis de usuários. Os atacantes, supostamente patrocinados pelo Estado russo, têm se concentrado em organizações ucranianas, mas a exploração dessas vulnerabilidades pode afetar usuários em todo o mundo, incluindo o Brasil. A CISA recomenda que as agências federais apliquem os patches até datas específicas para mitigar os riscos associados.

A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) emitiu um alerta para que agências governamentais dos EUA protejam suas instâncias do Wing FTP Server contra uma vulnerabilidade ativa, identificada como CVE-2025-47813. Essa falha permite que atacantes com privilégios baixos descubram o caminho completo da instalação local do aplicativo em servidores não corrigidos. O Wing FTP Server é um software de servidor FTP multiplataforma, utilizado por mais de 10.000 clientes, incluindo grandes empresas como a Força Aérea dos EUA e a Sony. A vulnerabilidade foi corrigida na versão 7.4.4, lançada em maio de 2025, juntamente com outras falhas críticas que podem levar à execução remota de código e ao vazamento de informações. A CISA enfatizou que essa vulnerabilidade é um vetor de ataque comum e representa riscos significativos para a segurança federal. Embora o alerta se aplique principalmente a agências federais, a CISA incentivou também o setor privado a aplicar as correções necessárias o mais rápido possível, dada a gravidade da situação.

As auditorias de senhas são uma prática comum em programas de segurança, ajudando organizações a demonstrar conformidade e reduzir riscos. No entanto, muitas auditorias se concentram apenas em regras de complexidade e expiração, ignorando riscos significativos como contas com privilégios excessivos, contas órfãs e credenciais já expostas em vazamentos. Um estudo revela que 83% das senhas comprometidas atendiam a requisitos regulatórios, destacando a necessidade de incluir triagem de senhas vazadas nas auditorias. Além disso, contas órfãs, que pertencem a ex-funcionários ou contratados, são frequentemente alvos fáceis para atacantes, pois podem não ter controles adequados. As contas de serviço, que muitas vezes possuem permissões excessivas e senhas que nunca expiram, também são negligenciadas nas auditorias tradicionais. Para mitigar esses riscos, as auditorias devem incluir triagem de senhas vazadas, priorizar contas de alto valor e implementar monitoramento contínuo. Ferramentas como Specops Password Policy e Specops Password Auditor podem ajudar as organizações a melhorar a segurança de suas senhas e a proteger suas infraestruturas críticas.

A empresa de inteligência artificial Anthropic anunciou a descoberta de 22 novas vulnerabilidades de segurança no navegador Firefox, em parceria com a Mozilla. Dentre essas falhas, 14 foram classificadas como de alta severidade, sete como moderadas e uma como baixa. As vulnerabilidades foram identificadas em um período de duas semanas em janeiro de 2026 e foram corrigidas na versão 148 do Firefox, lançada no mês anterior. O modelo de linguagem Claude Opus 4.6 da Anthropic foi responsável por detectar a maioria dessas falhas, incluindo um bug crítico de uso após liberação (use-after-free) no JavaScript, identificado em apenas 20 minutos de exploração. Embora o modelo tenha conseguido desenvolver um exploit para apenas duas das vulnerabilidades testadas, isso levanta preocupações sobre a capacidade de exploração automática de falhas de segurança. A Mozilla também confirmou que a abordagem assistida por IA resultou na identificação de 90 outros bugs, a maioria já corrigidos, demonstrando a eficácia da combinação de engenharia rigorosa com ferramentas de análise de nova geração. A empresa enfatizou que, embora os patches gerados pela IA não possam ser garantidos como prontos para implementação imediata, os verificadores de tarefa aumentam a confiança na eficácia das correções propostas.

A OpenAI anunciou o lançamento do Codex Security, um agente de segurança baseado em inteligência artificial, que visa identificar, validar e sugerir correções para vulnerabilidades em sistemas. Disponível em pré-visualização para clientes do ChatGPT Pro, Enterprise, Business e Edu, o Codex Security promete melhorar a detecção de falhas complexas que outras ferramentas podem não captar, oferecendo resultados mais confiáveis e relevantes. Nos últimos 30 dias, a ferramenta analisou mais de 1,2 milhão de commits em repositórios externos, identificando 792 descobertas críticas e 10.561 de alta severidade, incluindo vulnerabilidades em projetos de código aberto como OpenSSH e GnuTLS. O Codex Security utiliza um modelo de raciocínio avançado para minimizar falsos positivos e validar as descobertas em um ambiente controlado, permitindo que as equipes de segurança tenham evidências mais concretas para remediação. Esta nova funcionalidade surge em um momento em que a segurança de software é cada vez mais crucial, especialmente com o aumento das ameaças cibernéticas.

Pesquisadores da Zenity Labs identificaram falhas de segurança em navegadores que utilizam inteligência artificial, permitindo que hackers acessem informações sensíveis de forma discreta. Um exemplo é o navegador Comet, da Perplexity, que apresentava uma vulnerabilidade que permitia a injeção de comandos maliciosos através de convites enviados por aplicativos de calendário, como o Google Calendar. Ao aceitar um convite, o navegador executava ações sem o conhecimento do usuário, como acessar e exfiltrar dados do sistema. Além disso, outra falha permitia que atacantes acessassem o gerenciador de senhas do navegador, possibilitando a alteração de senhas e configurações sem que a vítima percebesse. Essas vulnerabilidades foram corrigidas em fevereiro de 2026, mas ressaltam a preocupação com a segurança em navegadores que incorporam IA, uma vez que a distinção entre comandos legítimos e maliciosos se torna cada vez mais difícil. A OpenAI já alertou que tais vulnerabilidades podem ser desafiadoras de mitigar completamente, dada a natureza permissiva dos assistentes pessoais. A situação destaca a necessidade de vigilância contínua e medidas de segurança robustas para proteger dados sensíveis.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu uma ordem para que agências federais corrijam três vulnerabilidades de segurança no iOS, que estão sendo exploradas em ataques de ciberespionagem e roubo de criptomoedas, utilizando o kit de exploração Coruna. Pesquisadores do Google Threat Intelligence Group (GTIG) identificaram que o Coruna utiliza uma cadeia de exploits que ataca 23 vulnerabilidades do iOS, muitas das quais foram utilizadas em ataques zero-day. As falhas não afetam versões recentes do iOS e são bloqueadas se o usuário estiver em modo de navegação privada ou com o modo de bloqueio ativado. O Coruna permite que atacantes contornem a autenticação de código, escapem de sandbox e executem código remotamente no WebKit, elevando permissões a privilégios de Kernel. O kit foi observado em uso por diversos grupos de ameaças, incluindo um grupo suspeito de estar vinculado ao estado russo e um ator de ameaças da China. A CISA incluiu as vulnerabilidades em seu catálogo de Vulnerabilidades Conhecidas e ordenou que as agências federais protejam seus dispositivos até 26 de março. Embora a ordem se aplique apenas a agências federais, a CISA recomenda que todas as organizações, incluindo empresas do setor privado, priorizem a correção dessas falhas.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu duas vulnerabilidades críticas no catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), afetando produtos da Hikvision e da Rockwell Automation. A primeira, CVE-2017-7921, com uma pontuação CVSS de 9.8, refere-se a uma falha de autenticação inadequada em diversos produtos da Hikvision, permitindo que um usuário malicioso eleve privilégios e acesse informações sensíveis. A segunda, CVE-2021-22681, também com pontuação 9.8, diz respeito a credenciais insuficientemente protegidas em produtos da Rockwell, permitindo que um usuário não autorizado contorne mecanismos de verificação e altere configurações. A CISA recomenda que agências federais atualizem seus softwares até 26 de março de 2026, enfatizando que essas vulnerabilidades são vetores frequentes de ataque e representam riscos significativos. Embora a CVE-2017-7921 tenha sido associada a tentativas de exploração, não há relatos públicos sobre ataques relacionados à CVE-2021-22681. A CISA alerta que todas as organizações devem priorizar a remediação dessas vulnerabilidades como parte de suas práticas de gerenciamento de vulnerabilidades.

Uma vulnerabilidade crítica no plugin User Registration & Membership, desenvolvido pela WPEverest e instalado em mais de 60.000 sites WordPress, está sendo explorada por hackers. A falha, identificada como CVE-2026-1492, possui uma gravidade de 9.8, permitindo que atacantes criem contas de administrador sem autenticação, o que lhes confere acesso total ao site. Isso possibilita o roubo de dados, como informações de usuários registrados, e a inserção de códigos maliciosos para disseminar malware. A empresa de segurança WordPress Defiant bloqueou mais de 200 tentativas de exploração dessa vulnerabilidade em apenas 24 horas. A falha afeta todas as versões do plugin até a 5.1.2, e a correção foi disponibilizada na versão 5.1.3. Administradores de sites são aconselhados a atualizar para a versão mais recente, 5.1.4, ou desativar temporariamente o plugin se a atualização não for viável. A exploração de vulnerabilidades em plugins do WordPress é uma prática comum entre hackers, visando atividades maliciosas como distribuição de malware e phishing.

A Google confirmou a exploração da vulnerabilidade de segurança CVE-2026-21385, que afeta dispositivos Android devido a uma falha em um componente da Qualcomm. Essa vulnerabilidade, classificada como de alta severidade, permite que hackers acessem dados sensíveis da memória dos aparelhos. A Qualcomm foi notificada sobre o problema em dezembro de 2025 e, embora tenha alertado os consumidores em fevereiro de 2026, a Google não forneceu detalhes técnicos sobre como a falha foi explorada. A vulnerabilidade se refere a uma leitura excessiva (over-read) no componente gráfico, que pode levar à corrupção de memória e, consequentemente, comprometer a segurança dos usuários. Apesar de a Google ter mencionado que a exploração foi limitada e direcionada, a falta de informações detalhadas gera preocupações sobre a segurança dos dispositivos Android. A última atualização do Android, lançada em março de 2026, abordou 120 vulnerabilidades, mas não incluiu um patch específico para a falha da Qualcomm, deixando os usuários em uma situação de incerteza até que novas atualizações sejam disponibilizadas.

Um estudo da VulnCheck revelou que, embora milhares de falhas de segurança sejam registradas anualmente, apenas 1% delas é explorado por hackers, resultando em danos significativos. Em 2025, foram identificadas 48 mil vulnerabilidades, mas apenas algumas foram alvo de ciberataques, com destaque para o React2Shell, que permitiu a violação de sistemas de segurança em plataformas online. Além disso, vulnerabilidades no Microsoft SharePoint e no SAP NetWeaver também foram frequentemente exploradas. A pesquisa indicou que 56,4% das falhas estão relacionadas a ataques de ransomware, um dado alarmante para a segurança digital. O uso crescente de inteligência artificial (IA) para gerar códigos maliciosos tem contribuído para um aumento de 16,5% nos exploits em comparação ao ano anterior, tornando os ataques mais rápidos e eficazes. A situação exige atenção redobrada das empresas, especialmente em um cenário onde a maioria das falhas ainda é considerada de dia zero, aumentando o risco antes que correções sejam implementadas.

A Cisco identificou duas falhas de segurança no Catalyst SD-WAN Manager, software de gerenciamento de rede, que estão sendo ativamente exploradas. As vulnerabilidades, identificadas como CVE-2026-20128 e CVE-2026-20122, exigem que os administradores atualizem seus dispositivos vulneráveis. A CVE-2026-20122 é uma falha de alta severidade que permite a sobrescrita arbitrária de arquivos, acessível apenas a atacantes remotos com credenciais de leitura e acesso à API. Já a CVE-2026-20128 é uma falha de severidade média que requer credenciais válidas no sistema alvo. Além disso, a Cisco também destacou uma vulnerabilidade crítica (CVE-2026-20127) que permite a bypass de autenticação, permitindo que atacantes sofisticados comprometam controladores e adicionem dispositivos maliciosos às redes desde 2023. A CISA emitiu uma diretiva de emergência, exigindo que agências federais realizem inventários e apliquem atualizações. Recentemente, a Cisco lançou atualizações de segurança para corrigir falhas em seu software Secure Firewall Management Center, que também podem ser exploradas remotamente. É crucial que as organizações que utilizam esses sistemas realizem as atualizações necessárias para evitar compromissos de segurança.

O Google Threat Intelligence Group (GTIG) identificou 90 vulnerabilidades zero-day ativamente exploradas em 2025, um aumento de 15% em relação a 2024, mas abaixo do recorde de 100 em 2023. Quase metade dessas falhas afetou software e dispositivos empresariais. As vulnerabilidades zero-day são falhas de segurança em produtos de software que são exploradas por atacantes antes que o fornecedor tome conhecimento e desenvolva um patch. Em 2025, 47 zero-days visaram plataformas de usuários finais e 43, produtos empresariais. Os tipos de falhas exploradas incluem execução remota de código, escalonamento de privilégios e corrupção de memória, com problemas de segurança de memória representando 35% das vulnerabilidades exploradas. O relatório destaca que a Microsoft foi o fornecedor mais visado, com 25 zero-days explorados. Além disso, pela primeira vez, fornecedores de spyware comerciais superaram grupos de espionagem patrocinados pelo estado em termos de uso de falhas não documentadas. O uso de ferramentas de IA para automatizar a descoberta de vulnerabilidades pode manter a exploração de zero-days alta em 2026. O GTIG recomenda a redução da superfície de ataque e a monitorização contínua para detectar e conter essas explorações.

A Cisco divulgou que duas vulnerabilidades críticas no Catalyst SD-WAN Manager estão sendo ativamente exploradas. As falhas, identificadas como CVE-2026-20122 e CVE-2026-20128, têm pontuações CVSS de 7.1 e 5.5, respectivamente. A primeira permite que um atacante remoto autenticado sobrescreva arquivos arbitrários no sistema, enquanto a segunda possibilita que um atacante local obtenha privilégios de usuário do Data Collection Agent (DCA). Para mitigar os riscos, a Cisco lançou patches para diversas versões do software, recomendando que os usuários atualizem imediatamente para versões corrigidas e adotem medidas de segurança adicionais, como restringir o acesso a redes não seguras e monitorar o tráfego de logs. A empresa também alertou sobre uma falha crítica anterior (CVE-2026-20127) que foi explorada por um ator de ameaças sofisticado, destacando a necessidade urgente de atenção à segurança em ambientes corporativos. As vulnerabilidades afetam um produto amplamente utilizado, o que aumenta a relevância para empresas que dependem da tecnologia da Cisco.

A Cisco divulgou atualizações de segurança para corrigir duas vulnerabilidades de gravidade máxima em seu software Secure Firewall Management Center (FMC). Essas falhas, identificadas como CVE-2026-20079 e CVE-2026-20131, podem ser exploradas remotamente por atacantes não autenticados. A primeira vulnerabilidade permite o bypass de autenticação, possibilitando que atacantes obtenham acesso root ao sistema operacional subjacente. A segunda, uma vulnerabilidade de execução remota de código (RCE), permite a execução de código Java arbitrário como root em dispositivos não corrigidos. Ambas as falhas afetam o Cisco Secure FMC, mas a CVE-2026-20131 também impacta o Cisco Security Cloud Control (SCC). Até o momento, não há evidências de que essas vulnerabilidades tenham sido exploradas em ataques. A Cisco também corrigiu outras falhas de segurança, incluindo 15 de alta gravidade em diversos produtos. A empresa já havia alertado sobre outra vulnerabilidade crítica em agosto, que permitia a injeção de comandos shell por atacantes não autenticados. Dada a gravidade das falhas, é crucial que as organizações atualizem seus sistemas o mais rápido possível.

A Microsoft lançou a atualização KB5075039 para o Windows 10, visando corrigir um problema que impedia alguns usuários de acessar o Ambiente de Recuperação do Windows (WinRE). O WinRE é uma ferramenta essencial para diagnosticar falhas no sistema, reparar o sistema operacional e remover malware. Em outubro de 2025, a Microsoft havia confirmado que a atualização KB5066835 para o Windows 11 causou problemas com a entrada de mouse e teclado USB no WinRE, dificultando o uso da ferramenta. Embora uma correção tenha sido rapidamente disponibilizada, a empresa só revelou em fevereiro que a atualização KB5068164 para o Windows 10 também causou falhas no WinRE. A nova atualização KB5075039 corrige esse problema, permitindo que o WinRE inicie corretamente após a instalação da atualização anterior. Para aplicar a atualização, a partição do WinRE deve ter pelo menos 256MB; caso contrário, o tamanho da partição precisará ser aumentado, sendo recomendável realizar um backup dos dados antes de qualquer alteração nas partições.

Uma vulnerabilidade de severidade máxima foi identificada na plataforma FreeScout, que permite a execução remota de código (RCE) sem interação do usuário ou autenticação. A falha, identificada como CVE-2026-28289, contorna uma correção anterior (CVE-2026-27636) que afetava usuários autenticados com permissões de upload. Pesquisadores da OX Security descobriram que um atacante pode explorar essa vulnerabilidade enviando um e-mail malicioso para qualquer endereço configurado no FreeScout. O problema reside na manipulação de nomes de arquivos, onde um espaço em branco invisível (Unicode U+200B) pode ser adicionado antes do nome do arquivo, permitindo que ele seja salvo como um arquivo oculto e contorne as verificações de segurança. A exploração pode resultar em comprometimento total do servidor, violação de dados e interrupção de serviços. A versão 1.8.207 do FreeScout, lançada recentemente, corrige essa falha, mas recomenda-se desabilitar a configuração ‘AllowOverrideAll’ no Apache para maior segurança. Embora não haja exploração ativa observada até o momento, a natureza da vulnerabilidade indica um alto risco de atividade maliciosa iminente.

Pesquisadores da Unit 42, da Palo Alto Networks, identificaram uma vulnerabilidade crítica no Google Chrome, registrada como CVE-2026-0628, que permitia a hackers escalarem privilégios e acessarem arquivos do sistema através de extensões maliciosas. A falha, já corrigida pela Google em janeiro de 2026, estava relacionada ao cumprimento inadequado das políticas da tag WebView no navegador, afetando versões anteriores à 143.0.7499.192. Um agente malicioso poderia injetar scripts em páginas privilegiadas, comprometendo o painel do Gemini Live, uma ferramenta de inteligência artificial do Google. Essa brecha, apelidada de Glic Jack, possibilitava que extensões com permissões básicas acessassem a câmera, microfone e arquivos locais do usuário. A integração do Gemini no Chrome, realizada em setembro de 2025, ampliou a superfície de ataque, tornando o navegador vulnerável a novos tipos de exploração. A descoberta da falha foi feita em 23 de novembro de 2025, e a vulnerabilidade representa um risco significativo para a segurança dos usuários do Chrome, especialmente no contexto de um aumento nas ameaças cibernéticas.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma nova vulnerabilidade crítica, CVE-2026-22719, no seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). Essa falha, com uma pontuação CVSS de 8.1, permite que atacantes não autenticados executem comandos arbitrários, potencialmente levando à execução remota de código durante a migração assistida de produtos no VMware Aria Operations. A vulnerabilidade foi identificada como uma injeção de comando e afeta produtos como VMware Cloud Foundation e VMware vSphere Foundation 9.x.x.x, além do VMware Aria Operations 8.x. A correção foi disponibilizada nas versões 9.0.2.0 e 8.18.6, respectivamente. Para clientes que não podem aplicar o patch imediatamente, a Broadcom oferece um script de contorno. Embora a Broadcom tenha reconhecido relatos de exploração ativa da vulnerabilidade, ainda não há detalhes sobre a natureza dos ataques ou os responsáveis. As agências do Federal Civilian Executive Branch (FCEB) têm até 24 de março de 2026 para aplicar as correções. A situação exige atenção imediata, especialmente considerando o potencial impacto em ambientes corporativos que utilizam essas tecnologias.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma vulnerabilidade do VMware Aria Operations, identificada como CVE-2026-22719, em seu catálogo de Vulnerabilidades Conhecidas e Exploradas, indicando que a falha está sendo utilizada em ataques. A Broadcom, responsável pela VMware, confirmou que está ciente de relatos sobre a exploração da vulnerabilidade, mas não conseguiu confirmar a veracidade das informações. A falha, que permite a injeção de comandos por atacantes não autenticados, pode resultar na execução remota de código durante a migração assistida do produto. A vulnerabilidade foi divulgada e corrigida em 24 de fevereiro de 2026, com uma pontuação CVSS de 8.1, sendo considerada importante. A CISA exige que as agências civis federais tratem o problema até 24 de março de 2026. A Broadcom também disponibilizou um script temporário para mitigar a falha, que deve ser executado como root em cada nó do Aria Operations. Especialistas recomendam que as organizações apliquem os patches de segurança ou implementem as soluções alternativas o mais rápido possível, especialmente se a exploração estiver em andamento.

Pesquisadores de segurança da Oasis descobriram uma vulnerabilidade de alta gravidade na plataforma OpenClaw, um agente de IA de código aberto amplamente utilizado, que permite a atacantes obter controle total sobre dispositivos afetados. A falha, chamada ‘ClawJacked’, permite que sites maliciosos realizem ataques de força bruta na autenticação do gateway local, bastando que a vítima acesse um site comprometido. O OpenClaw, que possui mais de 100 mil estrelas no GitHub, conecta-se a aplicativos de mensagens e calendários, facilitando a interação do usuário com suas funcionalidades. A vulnerabilidade reside no próprio sistema, sem necessidade de plugins ou extensões, tornando-a facilmente explorável. Após a divulgação responsável, um patch foi disponibilizado em 24 horas, e os usuários são aconselhados a atualizar para a versão 2026.2.25 ou superior. A falha destaca a importância de práticas robustas de segurança, especialmente em plataformas populares que lidam com dados sensíveis.

O Google lançou atualizações de segurança para corrigir 129 vulnerabilidades no Android, incluindo uma falha zero-day criticamente explorada em um componente de display da Qualcomm, identificada como CVE-2026-21385. Essa vulnerabilidade, que pode estar sob exploração limitada e direcionada, é um estouro de inteiro que pode levar à corrupção de memória, afetando 235 chipsets da Qualcomm. Além disso, o Google corrigiu 10 vulnerabilidades críticas que poderiam permitir a execução remota de código, elevação de privilégios ou negação de serviço. As atualizações foram divididas em dois pacotes: 2026-03-01 e 2026-03-05, com o segundo incluindo todos os patches do primeiro e correções para subcomponentes de terceiros. Enquanto dispositivos Google Pixel recebem atualizações imediatamente, outros fabricantes podem demorar mais para implementá-las. A Qualcomm foi notificada sobre a vulnerabilidade em dezembro e alertou seus clientes em fevereiro. O artigo destaca a importância de que as empresas que utilizam dispositivos Android estejam cientes dessas vulnerabilidades e realizem as atualizações necessárias para mitigar riscos.

O Google revelou uma vulnerabilidade de alta severidade, identificada como CVE-2026-21385, que afeta um componente de código aberto da Qualcomm utilizado em dispositivos Android. Essa falha, classificada com um CVSS de 7.8, refere-se a um buffer over-read no componente gráfico, resultando em corrupção de memória ao adicionar dados fornecidos pelo usuário sem verificar o espaço disponível no buffer. A Qualcomm recebeu o relatório sobre essa vulnerabilidade em 18 de dezembro de 2025 e notificou seus clientes em 2 de fevereiro de 2026. Embora não haja detalhes sobre como a vulnerabilidade está sendo explorada, o Google indicou que há sinais de exploração direcionada e limitada. Além disso, a atualização de março de 2026 do Android inclui patches para 129 vulnerabilidades, incluindo uma falha crítica que pode permitir execução remota de código sem privilégios adicionais. A atualização oferece dois níveis de patch para que os parceiros do Android possam abordar rapidamente as vulnerabilidades comuns em diferentes dispositivos. Essa situação destaca a importância de manter os dispositivos atualizados para mitigar riscos de segurança.

Pesquisadores em cibersegurança revelaram uma vulnerabilidade crítica no Google Chrome, identificada como CVE-2026-0628, que poderia permitir que atacantes escalassem privilégios e acessassem arquivos locais do sistema. A falha, classificada com um CVSS de 8.8, foi atribuída a uma aplicação insuficiente de políticas no tag WebView. O problema foi corrigido pela Google em janeiro de 2026 nas versões 143.0.7499.192/.193 para Windows/Mac e 143.0.7499.192 para Linux.

A vulnerabilidade permitia que extensões maliciosas, mesmo com permissões básicas, injetassem scripts ou HTML em páginas privilegiadas, como o novo painel Gemini do Chrome, que foi introduzido em setembro de 2025. Isso poderia resultar em acesso não autorizado à câmera, microfone e arquivos locais do usuário. A pesquisa destaca um vetor de ataque emergente relacionado à integração de inteligência artificial (IA) nos navegadores, que, embora ofereça funcionalidades úteis, também pode ser explorado para ações privilegiadas indesejadas.

Uma falha de segurança recentemente divulgada e corrigida pela Microsoft, identificada como CVE-2026-21513, apresenta uma gravidade alta (CVSS 8.8) e afeta o MSHTML Framework. Segundo a Akamai, essa vulnerabilidade pode ter sido explorada pelo grupo de ameaças patrocinado pelo Estado russo, conhecido como APT28. A falha permite que atacantes não autorizados contornem mecanismos de segurança ao manipular arquivos HTML ou de atalho (LNK) enviados por e-mail ou links maliciosos. Ao abrir esses arquivos, o sistema operacional pode executar código malicioso, comprometendo a segurança do usuário. A Microsoft, em sua nota, confirmou que a vulnerabilidade foi utilizada em ataques reais antes de ser corrigida no Patch Tuesday de fevereiro de 2026. A Akamai também identificou um artefato malicioso associado à APT28, que foi detectado em uma análise do VirusTotal. A falha reside na lógica do arquivo ‘ieframe.dll’, que não valida adequadamente URLs, permitindo que entradas controladas por atacantes alcancem caminhos de código que invocam a execução de comandos fora do contexto de segurança do navegador. Essa situação destaca a necessidade de vigilância contínua e atualização de sistemas para mitigar riscos associados a vulnerabilidades conhecidas.