Vulnerabilidade

CISA ordena correção de falha crítica no plugin JCE do Joomla

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu uma ordem para que agências federais corrijam uma falha de alta severidade no plugin Widget Factory Joomla Content Editor (JCE), que está sendo ativamente explorada. A vulnerabilidade, identificada como CVE-2026-48907, permite que atacantes executem código malicioso sem privilégios, utilizando ataques de baixa complexidade em implementações do Joomla que utilizam o editor WYSIWYG JCE. A CISA alertou que a falha permite o upload e a execução de código PHP por meio da criação de novos perfis de editor para usuários não autenticados. O time de segurança do JCE lançou uma atualização em junho, recomendando que os usuários apliquem o patch imediatamente, pois a exploração da vulnerabilidade é automatizada e o código de exploração está disponível publicamente. Além de atualizar, os usuários devem realizar uma série de ações para limpar sites comprometidos, incluindo a exclusão de perfis maliciosos e a execução de uma varredura completa em busca de malware. A CISA incluiu a vulnerabilidade em sua lista de falhas ativamente exploradas e ordenou que as agências federais garantam a segurança de seus sistemas até sexta-feira, conforme a Diretriz Operacional Vinculativa (BOD) 26-04.

Gestão da Superfície de Ataque Riscos e Exposições em Organizações

Um estudo recente da equipe da Intruder revelou que 60% das organizações possuem pelo menos um painel HTTP exposto, como consoles administrativos e páginas de login, que não deveriam ser acessíveis publicamente. Além disso, 49% das empresas têm serviços ou portas arriscadas expostas, e 42% têm bancos de dados acessíveis diretamente pela internet. As exposições mais comuns incluem bancos de dados MySQL e Postgres, além de documentação de APIs. A análise destaca que, com o tempo de exploração de vulnerabilidades reduzido a um dia, a prioridade não deve ser apenas a correção, mas também a razão pela qual esses serviços estão expostos. A pesquisa sugere que a redução da superfície de ataque deve receber mais atenção do que a gestão de vulnerabilidades, uma vez que muitos serviços listados nunca deveriam estar acessíveis pela internet. O relatório completo está disponível no Índice de Gestão da Superfície de Ataque de 2026.

Microsoft trabalha em patch para vulnerabilidade zero-day do Defender

A Microsoft confirmou que está desenvolvendo um patch para uma vulnerabilidade zero-day no Microsoft Defender, conhecida como ‘RoguePlanet’, que foi divulgada recentemente. O pesquisador de segurança que revelou a falha, identificado como Nightmare Eclipse, afirmou que a vulnerabilidade afeta dispositivos com Windows 10 e Windows 11 totalmente atualizados, permitindo que atacantes executem comandos com privilégios de SYSTEM por meio de uma condição de corrida. O exploit, que pode ser encontrado em um repositório Git auto-hospedado, funciona independentemente da proteção em tempo real estar ativada ou não. A Microsoft designou a falha com o ID CVE-2026-50656 e está investigando a situação. A empresa já havia enfrentado um conflito com Nightmare Eclipse sobre suas práticas de divulgação de vulnerabilidades e recompensas por bugs. Recentemente, a Microsoft também corrigiu outras falhas críticas em seu sistema. A situação destaca a importância de monitorar e atualizar constantemente as soluções de segurança para proteger os usuários contra ameaças emergentes.

Vulnerabilidade crítica no Joomla Content Editor afeta segurança

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma vulnerabilidade de alta severidade no Joomla Content Editor (JCE) em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). A falha, identificada como CVE-2026-48907, possui uma pontuação CVSS de 10.0 e permite a execução arbitrária de código devido a um controle de acesso inadequado. Essa vulnerabilidade afeta as versões do JCE de 1.0.0 a 2.9.99.4 e foi corrigida na versão 2.9.99.5, lançada em 3 de junho de 2026. A CISA alertou que a falha pode permitir que usuários não autenticados criem perfis de editor e façam upload de código PHP malicioso.

Falha no Google Cloud permite sequestro de modelos de ML

Uma vulnerabilidade no SDK do Google Cloud Vertex AI para Python permitiu que um atacante, sem acesso ao projeto da vítima, sequestrasse modelos de aprendizado de máquina e executasse código na infraestrutura de serviços do Google. A técnica, chamada de “Pickle in the Middle” pela Palo Alto Networks Unit 42, foi descoberta e relatada através do programa de recompensas por vulnerabilidades do Google. O problema estava na forma como o SDK gerava nomes de buckets temporários para uploads de modelos. Se o usuário não especificasse um bucket, o SDK criava um nome previsível a partir do ID do projeto e da região, permitindo que um atacante criasse o bucket esperado em seu próprio projeto. Assim, o modelo da vítima era enviado para o bucket do atacante, que poderia substituí-lo por um modelo malicioso. Esse modelo, ao ser carregado pelo Vertex AI, executava código malicioso, permitindo o roubo de tokens OAuth e acesso a outros artefatos do projeto. A falha foi corrigida nas versões 1.148.0 e posteriores do SDK, e recomenda-se que os usuários atualizem e especifiquem um bucket de armazenamento controlado ao fazer uploads de modelos.

CISA dá três dias para agências dos EUA corrigirem vulnerabilidade crítica

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta urgente para que agências governamentais protejam seus servidores contra uma vulnerabilidade crítica (CVE-2026-48172) no plugin de cPanel da LiteSpeed. Essa falha, que permite a escalada de privilégios a root em servidores de hospedagem compartilhada, foi identificada como sendo ativamente explorada desde junho. A vulnerabilidade afeta todas as versões do plugin anteriores à 2.4.8 e é resultado de uma fraqueza no ‘seguimento de symlink do UNIX’. A CISA ordenou que as agências federais realizem a correção em um prazo de três dias, conforme a Diretriz Operacional Vinculativa (BOD) 26-04, que prioriza o patching baseado no risco de exploração. Os usuários são aconselhados a verificar se seus servidores estão vulneráveis utilizando um comando específico e, caso haja qualquer saída, investigar os logs do sistema para identificar possíveis danos. A CISA também destacou que essa vulnerabilidade é um vetor de ataque frequente para agentes cibernéticos maliciosos, representando riscos significativos para a segurança federal.

Ameaças em Fortinet FortiSandbox Vulnerabilidades em Exploração

Recentemente, a empresa de inteligência em ameaças Defused Cyber alertou sobre a exploração ativa de múltiplas vulnerabilidades no Fortinet FortiSandbox. Nos últimos dias, três falhas críticas foram identificadas: CVE-2026-39813, CVE-2026-39808 e CVE-2026-25089, todas com uma pontuação CVSS de 9.1, indicando seu alto risco. A CVE-2026-39813 é uma vulnerabilidade de travessia de caminho na API JRPC do FortiSandbox, permitindo que atacantes não autenticados contornem a autenticação através de requisições HTTP manipuladas. A CVE-2026-39808, por sua vez, é uma injeção de comando do sistema operacional, que também pode ser explorada por atacantes não autenticados para executar comandos não autorizados. A CVE-2026-25089, corrigida recentemente, afeta o FortiSandbox e suas interfaces na nuvem, permitindo a execução de comandos não autorizados. Apesar de a Defused Cyber ter notado que o exploit para a CVE-2026-25089 parece ter sido desenvolvido com um modelo de inteligência artificial, ele apresenta falhas e ainda não foi divulgado publicamente. As vulnerabilidades em dispositivos Fortinet têm atraído a atenção de atacantes nos últimos anos, com a empresa já tendo lançado patches para outras falhas críticas em abril de 2026.

O setor financeiro sobreviveu à ameaça quântica se preparando cedo

Nos últimos anos, o setor financeiro global enfrentou a ameaça da criptografia quântica, que poderia tornar vulneráveis as informações digitais, desde e-mails até dados bancários. Especialistas em cibersegurança se mobilizaram para desenvolver novas formas de criptografia, garantindo que, mesmo sem a tecnologia quântica plenamente desenvolvida, as defesas estivessem preparadas. Recentemente, o modelo Claude Mythos da Anthropic trouxe à tona novas preocupações, identificando milhares de falhas de software em sistemas operacionais e navegadores. Essa situação exige atenção especial de empresas que operam no ecossistema financeiro, pois a velocidade com que essas vulnerabilidades podem ser exploradas aumentou significativamente devido ao uso de inteligência artificial. A diretora do FMI, Kristalina Georgieva, alertou que o mundo ainda não possui ferramentas adequadas para proteger o sistema monetário internacional contra esses riscos cibernéticos em expansão. O artigo destaca a importância de uma preparação proativa, como demonstrado pelo Projeto Leap, que testou algoritmos de criptografia pós-quântica antes da ameaça se concretizar. Essa abordagem colaborativa entre bancos centrais e provedores de infraestrutura é um modelo a ser seguido para enfrentar novas ameaças emergentes.

Vulnerabilidade no Plugin LiteSpeed cPanel exige atenção urgente

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma falha de segurança no plugin LiteSpeed cPanel em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). A vulnerabilidade, identificada como CVE-2026-54420, possui uma pontuação CVSS de 8.5 e permite que usuários com acesso FTP ou web shell escalem privilégios para root em servidores de hospedagem compartilhada que utilizam CloudLinux ou CageFS. A falha ocorre devido ao manuseio inadequado de symlinks por parte do plugin LiteSpeed cPanel antes da versão 2.4.8. Embora ainda não se saiba como a vulnerabilidade está sendo explorada ativamente, a LiteSpeed recomenda que os usuários executem um comando específico para verificar se seus servidores foram afetados. Caso o comando retorne resultados, a empresa sugere a atualização para a versão 5.3.2.1 do LiteSpeed WHM Plugin para corrigir a falha. A descoberta da vulnerabilidade foi creditada à Namecheap, que alertou sobre o problema em 31 de maio de 2026.

Cisco corrige falha de segurança em SD-WAN Manager com exploração ativa

A Cisco divulgou atualizações de segurança para uma vulnerabilidade de média gravidade no Catalyst SD-WAN Manager, identificada como CVE-2026-20262, que está sendo ativamente explorada. Com uma pontuação CVSS de 6.5, a falha permite que um atacante remoto autenticado crie ou sobrescreva arquivos no sistema afetado devido à validação inadequada de entradas durante o processo de upload de arquivos. Para explorar essa vulnerabilidade, o invasor precisa ter credenciais válidas com acesso de gravação. A falha afeta diversas versões do Cisco Catalyst SD-WAN Manager, tanto em ambientes on-premises quanto na nuvem. A Cisco lançou patches para corrigir a vulnerabilidade em várias versões, e a CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) incluiu a falha em seu catálogo de Vulnerabilidades Conhecidas e Explotadas, exigindo que agências federais apliquem as correções até 29 de junho de 2026. A empresa também forneceu indicadores de comprometimento para ajudar os clientes a auditar possíveis atividades maliciosas relacionadas a essa falha.

Vulnerabilidade crítica no software SimpleHelp permite criação de contas privilegiadas

Uma vulnerabilidade no software de gerenciamento remoto SimpleHelp, identificada como CVE-2026-48558, permite que atacantes não autenticados criem contas de técnicos privilegiados em servidores que utilizam o protocolo de autenticação OpenID Connect (OIDC). Essa falha, classificada como de severidade crítica, afeta as versões 5.5.15 e anteriores do SimpleHelp, além de versões pré-lançamento 6.0. A exploração da vulnerabilidade ocorre devido à validação inadequada das afirmações de identidade recebidas de um provedor de identidade OIDC. Quando a autenticação OIDC está habilitada, um atacante pode criar e acessar uma nova conta de Técnico sem passar pelo processo de autenticação multifatorial (MFA). Isso permite que o Técnico execute atividades de gerenciamento privilegiadas, como acessar endpoints gerenciados e executar scripts. A SimpleHelp lançou correções para a vulnerabilidade em 9 de junho, disponibilizando as versões 5.5.16 e 6.0RC2. A vulnerabilidade não afeta todos os servidores SimpleHelp, mas sim aqueles que dependem do protocolo OIDC, sendo que aproximadamente 14.000 servidores estão expostos na internet, com cerca de 7,2% configurados para usar a autenticação OIDC. Organizações são aconselhadas a atualizar para as versões mais recentes ou, se não for possível, restringir as fontes de login dos técnicos por meio de listas de permissões baseadas em IP.

Cisco corrige vulnerabilidade crítica no Catalyst SD-WAN Manager

A Cisco lançou atualizações de segurança para corrigir uma vulnerabilidade crítica no Catalyst SD-WAN Manager, identificada como CVE-2026-20262, que permitia a escalada de privilégios para root. Este software de gerenciamento de rede, anteriormente conhecido como SD-WAN vManage, possibilita que administradores gerenciem até 6.000 dispositivos SD-WAN a partir de um único painel. A falha, que afeta todos os tipos de implantação, foi causada por uma validação insuficiente de entradas fornecidas pelo usuário durante o upload de arquivos. Isso permitia que atacantes remotos de baixo privilégio executassem comandos arbitrários como root ao enviar requisições HTTP manipuladas para um endpoint de API vulnerável. A Cisco alertou que a exploração dessa vulnerabilidade poderia resultar na criação ou sobrescrita de arquivos no sistema afetado, potencialmente permitindo a elevação de privilégios. A empresa recomendou fortemente que os clientes aplicassem os patches disponíveis. Além disso, a Cisco identificou que a exploração dessa falha estava em andamento, e os administradores devem verificar logs específicos para detectar tentativas de upload de arquivos maliciosos. Este incidente se junta a uma série de vulnerabilidades críticas que afetaram o Catalyst SD-WAN Manager nos últimos meses.

Vulnerabilidade no Microsoft 365 permite exfiltração de dados com um clique

Pesquisadores da Varonis Threat Labs descobriram uma vulnerabilidade crítica no Microsoft 365 Copilot que permite a exfiltração de dados com um único clique. Batizada de SearchLeak, a falha resulta da combinação de três bugs, sendo um deles uma injeção de comandos que pode expor informações sensíveis, como e-mails e detalhes de calendário. O ataque é facilitado por um link aparentemente confiável que, ao ser clicado, permite que o Copilot busque dados do usuário sem que ele precise inserir qualquer informação ou senha. O processo envolve a injeção de um código em um parâmetro da URL, que é interpretado pelo Copilot, e a utilização de um endpoint do Bing para contornar as políticas de segurança de conteúdo. A Microsoft já mitigou a falha em seu backend, mas a vulnerabilidade destaca a necessidade de monitoramento e governança de dados mais rigorosos. A CVE-2026-42824 foi atribuída a essa vulnerabilidade, que, embora não tenha sido explorada ativamente, representa um risco significativo para a segurança das informações corporativas.

Vulnerabilidades críticas no LiteLLM podem comprometer servidores

Pesquisadores da Obsidian Security identificaram uma cadeia de três vulnerabilidades críticas no LiteLLM, um gateway de IA de código aberto amplamente utilizado. A primeira falha, CVE-2026-47101, permite que contas de baixo privilégio contornem restrições de autorização, possibilitando que usuários não administradores gerem chaves de API com acesso irrestrito. A segunda vulnerabilidade, CVE-2026-47102, permite a escalonamento de privilégios, onde um usuário pode se promover a administrador completo. Por fim, a CVE-2026-40217 permite a execução de código remoto através de um escape de sandbox, possibilitando que atacantes executem comandos no servidor. A exploração bem-sucedida dessas falhas pode expor chaves de acesso, credenciais e dados sensíveis que transitam pelo gateway. A Obsidian avaliou a gravidade da cadeia de vulnerabilidades com um CVSS de 9.9, classificando-a como crítica. O mantenedor do LiteLLM, BerriAI, lançou uma atualização (v1.83.14-stable) em 2 de maio para corrigir as falhas. É essencial que as organizações atualizem suas implementações e realizem auditorias de segurança para mitigar riscos associados a essas vulnerabilidades.

Vulnerabilidade crítica no Microsoft 365 Copilot pode expor dados sensíveis

Uma nova vulnerabilidade crítica, denominada SearchLeak, foi identificada no Microsoft 365 Copilot Enterprise, permitindo que atacantes roubem dados sensíveis de contas de e-mail, OneDrive ou SharePoint através de URLs manipuladas. A informação exfiltrada pode incluir conteúdos de e-mails, eventos de calendário, detalhes de reuniões e documentos acessíveis via Copilot. A vulnerabilidade foi corrigida pela Microsoft e recebeu o identificador CVE-2026-42824, com classificação de severidade máxima.

A cadeia de ataque desenvolvida pela empresa de segurança Varonis consiste em três etapas: a primeira envolve uma injeção de parâmetro que permite ao atacante criar um link que instrui o Copilot a buscar dados do usuário. Na segunda etapa, uma condição de corrida na renderização de HTML permite que o código malicioso execute antes da sanitização. Por fim, um problema de SSRF no Bing permite que a solicitação para buscar uma imagem seja feita, contornando as políticas de segurança.

Vulnerabilidades e Ameaças em Cibersegurança Recapitulando a Semana

Nesta semana, o cenário de cibersegurança foi marcado por diversas vulnerabilidades críticas e incidentes de exploração ativa. O Google lançou atualizações de segurança para corrigir 74 falhas, incluindo uma vulnerabilidade de alta severidade no Chrome (CVE-2026-11645), que está sendo ativamente explorada. A falha permite acesso não autorizado à memória, com um CVSS de 8.8. Além disso, o grupo ShinyHunters explorou uma falha crítica no Oracle PeopleSoft (CVE-2026-35273), que permite que atacantes não autenticados assumam o controle do sistema, afetando principalmente instituições de ensino superior. Outra preocupação é a campanha ‘Atomic Arch’, que comprometeu mais de 1.500 pacotes do Arch Linux, introduzindo um malware que pode roubar credenciais. O FBI também desmantelou um serviço de phishing como serviço (PhaaS) que causou perdas de aproximadamente $1,9 bilhões. Por fim, uma vulnerabilidade crítica no VPN da Check Point (CVE-2026-50751) foi identificada, permitindo que atacantes contornem a autenticação. Essas ameaças destacam a necessidade urgente de atualizações e monitoramento contínuo em ambientes corporativos.

Vulnerabilidade do PAN-OS permite acesso não autorizado a VPNs

A Palo Alto Networks alertou sobre a exploração ativa de uma vulnerabilidade no PAN-OS, identificada como CVE-2026-0257, que possui uma pontuação CVSS de 7.8. Essa falha de autenticação permite que atacantes contornem controles de segurança e estabeleçam conexões VPN não autorizadas através dos portais GlobalProtect. A exploração foi observada em ataques limitados, com atividades iniciais registradas em 17 de maio de 2026. Até o momento, não se identificou comportamento pós-acesso ou movimentação lateral, e apenas uma pequena fração dos dispositivos sondados conseguiu estabelecer sessões VPN. A Palo Alto Networks disponibilizou indicadores de comprometimento (IoCs) e recomenda que os clientes verifiquem os logs do GlobalProtect em busca de eventos de conexão bem-sucedidos que correspondam a configurações específicas de cliente. A CISA dos EUA incluiu essa vulnerabilidade em seu catálogo de Vulnerabilidades Conhecidas Exploitadas, exigindo que agências federais mitigassem a falha até 1º de junho de 2026.

Atualização de segurança crítica para Splunk Enterprise

A Splunk lançou atualizações de segurança para corrigir uma falha crítica no Splunk Enterprise, identificada como CVE-2026-20253, que permite a execução remota de código e operações de arquivos não autenticadas. Avaliada em 9.8 na escala CVSS, a vulnerabilidade afeta versões anteriores a 10.2.4 e 10.0.7, permitindo que usuários não autenticados realizem operações de arquivos através de um endpoint do serviço PostgreSQL. A falha ocorre devido à falta de controles de autenticação, possibilitando que qualquer usuário acessível pela rede invoque operações de arquivos sem credenciais. A exploração pode levar à execução de código malicioso ao sobrescrever scripts Python utilizados pelo Splunk. Embora não haja evidências de exploração ativa, a divulgação dos detalhes técnicos pode incentivar tentativas oportunistas. A Splunk recomenda que os usuários atualizem rapidamente para as versões corrigidas para garantir a segurança de seus sistemas.

Vulnerabilidade de bypass de autenticação no phpBB permite acesso não autorizado

Uma vulnerabilidade de bypass de autenticação, descoberta no software de fórum phpBB, permite que um atacante faça login como qualquer usuário, incluindo administradores. Essa falha, que não possui um identificador, é fácil de explorar com uma única requisição HTTP e afeta as versões 4.0.0-a2 e 3.3.16 ou anteriores. A empresa de segurança Aikido identificou o problema em 2 de junho e notificou os desenvolvedores, que corrigiram a falha em 6 de junho com o lançamento da versão 3.3.17. A vulnerabilidade, que existe há 10 anos, impacta todas as versões das ramificações 3.x e 4.x até as mencionadas. O acesso administrativo possibilita que atacantes visualizem mensagens privadas, modifiquem ou excluam conteúdos e contas de usuários, além de se passarem por membros da equipe. Embora a execução remota de código não seja possível devido a uma verificação de senha separada, a falha representa um risco significativo, especialmente em configurações padrão. Aikido recomenda que os administradores atualizem imediatamente para evitar compromissos. Vale ressaltar que a atualização pode causar problemas em fóruns que utilizam autenticação OAuth, mas a correção deve ser simples na maioria dos casos.

CISA ordena correção de falha crítica no Ivanti Sentry em 3 dias

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu uma ordem para que agências governamentais corrijam uma vulnerabilidade crítica no Ivanti Sentry, identificada como CVE-2026-10520, em um prazo de três dias. Essa falha, que permite a injeção de comandos no sistema operacional, já está sendo explorada ativamente por atacantes, conforme relatado pela Shadowserver, que identificou que muitos gateways Sentry expostos na internet foram comprometidos. Apesar de a Ivanti ter lançado patches para a vulnerabilidade, a empresa não atualizou seu aviso sobre a exploração ativa da falha. A CISA incluiu a CVE-2026-10520 em seu catálogo de vulnerabilidades conhecidas e alertou que esse tipo de vulnerabilidade é um vetor comum de ataque, representando riscos significativos para a segurança federal. A nova diretiva operacional, BOD 26-04, exige que agências federais priorizem a correção de falhas em ativos expostos publicamente. Nos últimos anos, a CISA já havia sinalizado 35 vulnerabilidades em produtos da Ivanti, com 12 delas sendo alvo de grupos de ransomware.

Microsoft corrige falha em atualizações do Windows via WUSA

A Microsoft anunciou a correção de um problema conhecido que impedia a instalação de atualizações do Windows, lançadas desde maio de 2025, quando realizadas através do Windows Update Standalone Installer (WUSA) a partir de compartilhamentos de rede. O WUSA é uma ferramenta de linha de comando do Windows que auxilia administradores na instalação e desinstalação de arquivos de atualização (.msu). Essa falha afetou dispositivos com Windows 11 24H2/25H2 e Windows Server 2025 em redes corporativas, mas não ocorreu em instalações locais ou com um único arquivo .msu. O erro, identificado como ERROR_BAD_PATHNAME, foi reconhecido pela Microsoft em agosto de 2025 e mitigado automaticamente em dispositivos não gerenciados a partir de setembro do mesmo ano. A correção definitiva foi incluída nas atualizações cumulativas de junho de 2026. A Microsoft também alertou sobre problemas na instalação de atualizações mensais em dispositivos que foram atualizados para o Windows 11 24H2 ou 25H2, destacando a importância de testar cada camada de segurança antes que os atacantes o façam.

Vulnerabilidades críticas no LangGraph podem permitir execução remota de código

Pesquisadores de cibersegurança revelaram três falhas de segurança, agora corrigidas, que afetam o LangGraph, um framework de código aberto desenvolvido pela LangChain para criar aplicações de inteligência artificial (IA). A vulnerabilidade mais crítica, identificada como CVE-2025-67644, é uma injeção SQL que permite a atacantes obter controle total de um servidor através da execução remota de código. Outras falhas incluem uma vulnerabilidade de desserialização insegura (CVE-2026-28277) e uma injeção de consulta RediSearch (CVE-2026-27022). Essas vulnerabilidades podem ser exploradas em implementações auto-hospedadas que utilizam os checkpointers SQLite ou Redis com entradas de filtro controladas pelo usuário. O pesquisador de segurança Yarden Porat, que descobriu as falhas, destacou que a combinação das vulnerabilidades CVE-2025-67644 e CVE-2026-28277 pode levar à execução remota de código. O LangGraph afirmou que a exploração bem-sucedida dessas falhas pode expor segredos em tempo de execução e permitir acesso a outros sistemas. Os usuários são aconselhados a aplicar as correções mais recentes e implementar práticas de segurança rigorosas, como autenticação e segmentação de rede.

Oracle alerta sobre vulnerabilidade crítica no PeopleSoft

A Oracle emitiu um alerta sobre uma vulnerabilidade crítica de zero-day na suíte PeopleSoft, identificada como CVE-2026-35273, que permite a execução remota de código sem autenticação. Com uma pontuação CVSS de 9.8, a falha afeta as versões 8.61 e 8.62 do PeopleTools. A vulnerabilidade está sendo explorada ativamente por um grupo de extorsão conhecido como ShinyHunters, que já comprometeu 300 instâncias de mais de 100 organizações, principalmente no setor educacional. A Mandiant confirmou que a exploração da vulnerabilidade está em andamento e notificou mais de 100 organizações globais sobre possíveis riscos. A Oracle já lançou mitigação de emergência e um patch está previsto para breve. As recomendações incluem restringir o acesso a endpoints sensíveis e revisar logs em busca de atividades suspeitas. A situação é crítica, pois a falha pode resultar em vazamento de dados sensíveis e comprometer a conformidade com a LGPD.

Grupo ShinyHunters explora falha crítica no Oracle PeopleSoft

O grupo de extorsão ShinyHunters explorou uma falha não corrigida no Oracle PeopleSoft, resultando em invasões a sistemas empresariais, roubo de dados e exigência de pagamento para manter as informações em sigilo. A vulnerabilidade, identificada como CVE-2026-35273, é uma falha de execução remota de código com uma pontuação de 9.8 em 10, que não requer login ou interação do usuário, apenas acesso à rede via HTTP. A campanha, que ocorreu entre 27 de maio e 9 de junho de 2026, afetou principalmente universidades, com 68% das organizações comprometidas pertencendo ao setor de educação superior. O ataque foi possível devido à exposição do componente de gerenciamento de ambiente do PeopleSoft, que permite que os atacantes acessem e controlem servidores vulneráveis. A Oracle publicou um aviso sobre a falha apenas em 10 de junho, deixando a vulnerabilidade como um zero-day durante o período de exploração. A Mandiant, que rastreia o grupo como UNC6240, notificou mais de 100 organizações sobre a vulnerabilidade, com a Universidade de Nottingham sendo uma das primeiras vítimas confirmadas, resultando no vazamento de dados de aproximadamente 455.000 endereços de e-mail. As recomendações incluem desativar o serviço de gerenciamento de ambiente e restringir o acesso externo aos componentes vulneráveis.

Pesquisador revela bypass do BitLocker no Windows com GreatXML

O pesquisador de segurança conhecido como Chaotic Eclipse divulgou uma nova vulnerabilidade que permite contornar a proteção do BitLocker no Windows, chamada GreatXML. A descoberta foi feita acidentalmente em apenas quatro horas e revela que usuários que utilizaram a função de varredura offline do Windows Defender estão automaticamente vulneráveis a esse tipo de ataque. O exploit funciona ao copiar arquivos XML específicos para a partição de recuperação e reiniciar o sistema no Ambiente de Recuperação do Windows (WinRE). Se os passos forem seguidos corretamente, o atacante pode obter acesso irrestrito ao volume protegido pelo BitLocker. Essa vulnerabilidade é a segunda do tipo divulgada por Chaotic Eclipse, que já havia lançado anteriormente o YellowKey, e surge em um momento em que a Microsoft lançou patches para outras falhas críticas em seu software de segurança. A situação destaca a importância de manter sistemas atualizados e a necessidade de vigilância constante contra novas ameaças.

Vulnerabilidades do OpenClaw expõem dados e permitem ataques

Pesquisas recentes revelaram que o OpenClaw, um agente de IA autônomo amplamente utilizado, possui falhas que permitem a execução de códigos maliciosos e a exfiltração de dados sensíveis através de entradas aparentemente inofensivas. A Imperva demonstrou como comandos ocultos podem ser inseridos em contatos compartilhados e vCards, que o agente executa sem que o usuário perceba. A Varonis, por sua vez, explorou a vulnerabilidade de phishing, onde um e-mail comum pode induzir o agente a enviar informações confidenciais, como chaves de acesso da AWS. Embora a Imperva tenha corrigido uma das falhas na versão 2026.4.23 do OpenClaw, a vulnerabilidade de phishing não pode ser resolvida apenas com um patch, exigindo uma reavaliação das permissões do agente. Ambas as pesquisas destacam a confiança excessiva do OpenClaw em suas entradas, o que torna o sistema vulnerável a ataques. As recomendações incluem a implementação de controles rigorosos sobre as ações do agente e a verificação de remetentes antes de enviar dados. O impacto potencial dessas falhas é significativo, especialmente em ambientes que lidam com informações sensíveis, levantando preocupações sobre conformidade com a LGPD.

Microsoft resolve problema de recuperação do BitLocker no Windows Server 2025

A Microsoft anunciou a resolução de um problema que fazia com que alguns dispositivos com Windows Server 2025 entrassem no modo de recuperação do BitLocker após a instalação da atualização de segurança de abril de 2026. O BitLocker é uma ferramenta de segurança que criptografa unidades de armazenamento para proteger dados contra roubo. A situação ocorreu em dispositivos com configurações específicas de Política de Grupo que não eram recomendadas. A empresa esclareceu que, após a instalação da atualização, o código de recuperação do BitLocker precisaria ser inserido apenas uma vez, desde que a configuração da política de grupo não fosse alterada. A atualização KB5094125 para Windows Server 2025 e KB5093998 para Windows 11 23H2 corrigiram o problema, evitando que dispositivos com configurações incompatíveis instalassem o Gerenciador de Inicialização do Windows assinado em 2023, que era a causa dos prompts de recuperação do BitLocker. A Microsoft também forneceu orientações para administradores de TI que ainda não podiam implementar as atualizações, sugerindo a remoção da configuração de Política de Grupo antes da instalação das atualizações. Embora o problema tenha afetado principalmente sistemas corporativos, a Microsoft afirmou que é improvável que dispositivos pessoais sejam impactados.

CISA prioriza atualizações de segurança para agências federais dos EUA

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) anunciou a nova Diretriz Operacional Vinculativa 26-04, que prioriza atualizações de segurança para agências do Poder Executivo Civil Federal (FCEB). O objetivo é reduzir a ameaça de ciberataques ao setor público, exigindo que as agências remedeiem vulnerabilidades de alto risco em prazos acelerados, que podem ser de até três dias. A CISA afirma que a nova diretriz substitui as anteriores BOD 19-02 e BOD 22-01, introduzidas em 2019 e 2021, respectivamente. A priorização das correções é baseada em quatro considerações principais: exposição pública do ativo, presença da vulnerabilidade no catálogo de Vulnerabilidades Conhecidas Exploradas (KEV), possibilidade de exploração automatizada e controle total ou parcial do sistema pelos atacantes. As agências devem atualizar suas políticas de gerenciamento de vulnerabilidades e relatar o status de KEV em um prazo de 60 dias. A nova diretriz também se aplica a sistemas em nuvem e ambientes de terceiros, influenciando a indústria de cibersegurança como um todo.

Ataques visam falha crítica no Ivanti Sentry com execução de código

Recentemente, um grupo de atacantes começou a explorar uma vulnerabilidade crítica no Ivanti Sentry, anteriormente conhecido como MobileIron Sentry, que permite a execução de código com privilégios de root em gateways móveis seguros expostos à Internet. A falha, identificada como CVE-2026-10520, resulta de uma fraqueza de injeção de comandos do sistema operacional e foi corrigida pela Ivanti com o lançamento das versões R10.5.2, R10.6.2 e R10.7.1. Apesar de a Ivanti afirmar não ter evidências de exploração ativa no momento do aviso, a organização de segurança Shadowserver relatou que muitos gateways Sentry já estavam comprometidos. A Shadowserver observou tentativas de exploração em 19 instâncias vulneráveis, com pelo menos duas já backdooradas. A empresa alertou que, se os sistemas não forem atualizados, é provável que estejam comprometidos. A Ivanti ainda não atualizou seu aviso de segurança, que continua afirmando que não há conhecimento de clientes afetados. A exploração de falhas na Ivanti é comum, pois elas oferecem uma porta de entrada para redes corporativas, permitindo o roubo de dados sensíveis. Nos últimos anos, a CISA identificou 34 vulnerabilidades em produtos da Ivanti como ativamente exploradas, com implicações significativas para a segurança das redes corporativas.

GitHub anuncia mudanças de segurança no npm para combater ataques

O GitHub revelou que a versão 12 do npm, prevista para o próximo mês, implementará mudanças significativas focadas na segurança, visando bloquear ataques à cadeia de suprimentos que exploram comportamentos do comando ’npm install’. Este comando é amplamente utilizado por desenvolvedores para baixar e instalar dependências de projetos, além de executar scripts relacionados à instalação. Os atacantes visam essa ação devido ao potencial de execução automática de código durante a instalação de pacotes.

Vulnerabilidade crítica no Langflow permite exploração de servidores

A vulnerabilidade CVE-2026-5027, classificada como de alta severidade, está sendo ativamente explorada por atacantes na plataforma de desenvolvimento de IA Langflow. Essa falha de path traversal na funcionalidade de upload de arquivos permite que invasores escrevam arquivos em locais arbitrários do sistema de arquivos, utilizando sequências de travessia de caminho (’../’). O problema foi identificado pela Tenable no início de 2026 e divulgado publicamente em 27 de março, após a equipe do Langflow não ter respondido a um relatório inicial. A exploração é facilitada pelo fato de que o Langflow permite login automático não autenticado por padrão, tornando a vulnerabilidade acessível sem a necessidade de credenciais. Pesquisas indicam que cerca de 7.000 instâncias do Langflow estão expostas publicamente, embora esses dados possam incluir resultados de varreduras históricas. A recomendação é que os usuários atualizem para a versão mais recente, 1.10.0, que corrige a falha. A situação é preocupante, especialmente considerando que outras vulnerabilidades no Langflow também foram alvo de exploração recentemente.

Microsoft corrige vulnerabilidade crítica no Exchange Server

A Microsoft lançou um patch para uma vulnerabilidade crítica no Exchange Server, identificada como CVE-2026-42897, que está sendo ativamente explorada por atacantes. Essa falha de spoofing, que afeta as versões Exchange Server 2016, 2019 e Subscription Edition, permite que invasores executem código JavaScript arbitrário em ataques de cross-site scripting (XSS) direcionados a usuários do Outlook Web Access. O problema pode ser explorado remotamente, sem a necessidade de privilégios, através do envio de um e-mail especialmente elaborado. Caso o usuário abra o e-mail e certas condições de interação sejam atendidas, o código malicioso pode ser executado no contexto do navegador. A Microsoft recomenda que os administradores apliquem as atualizações de segurança de junho de 2026 o mais rápido possível e mantenham as mitig ações em vigor para proteção adicional. A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) também incluiu essa vulnerabilidade em sua lista de falhas exploradas e ordenou que agências governamentais realizassem os patches em suas instalações até 29 de maio. Nos últimos cinco anos, 20 vulnerabilidades do Exchange Server foram adicionadas à lista da CISA, com 14 delas sendo exploradas por grupos de ransomware.

CISA adiciona novas vulnerabilidades críticas ao catálogo KEV

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu três novas vulnerabilidades em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV) após relatos de exploração ativa. As vulnerabilidades são: CVE-2026-20245, com um escore CVSS de 7.8, que afeta o Cisco Catalyst SD-WAN Manager, permitindo que um atacante local autenticado execute comandos arbitrários; CVE-2026-11645, com um escore CVSS de 8.8, que impacta o Google Chrome V8, possibilitando que um atacante remoto execute código arbitrário através de uma página HTML maliciosa; e CVE-2026-7473, com um escore CVSS de 6.9, que afeta o sistema operacional extensível da Arista (EOS), permitindo a exploração de tráfego de túnel não configurado. A Arista reconheceu que a vulnerabilidade CVE-2026-7473 está sendo explorada ativamente, mas não planeja lançar um patch, citando riscos de quebra de configurações existentes. Em vez disso, a empresa sugere a aplicação de listas de controle de acesso (ACLs) para mitigar o problema. As agências do governo federal dos EUA foram instruídas a implementar correções ou mitigação até 23 de junho de 2026.

Vulnerabilidade crítica no Langflow permite execução remota de código

Uma falha de segurança de alta gravidade, classificada como CVE-2026-5027, foi identificada na plataforma de código aberto Langflow, que permite a construção de aplicações de inteligência artificial. Com uma pontuação CVSS de 8.8, essa vulnerabilidade de ‘path traversal’ possibilita que atacantes escrevam arquivos em locais arbitrários do sistema de arquivos. O endpoint vulnerável, ‘POST /api/v2/files’, não sanitiza o parâmetro ‘filename’, permitindo que sequências de travessia de caminho (’../’) sejam utilizadas para explorar a falha. A empresa Tenable, que descobriu a vulnerabilidade, tentou contatar os mantenedores do projeto em três ocasiões antes de divulgar a questão em março de 2026. A vice-presidente de pesquisa de segurança da VulnCheck, Caitlin Condon, destacou que a vulnerabilidade permite a execução remota de código, e como o Langflow permite login automático não autenticado por padrão, um único pedido não autenticado é suficiente para obter um token de sessão válido. Até o momento, os esforços de exploração têm se concentrado em escrever arquivos de teste nos sistemas das vítimas. Dados do Censys indicam que cerca de 7.000 instâncias do Langflow estão expostas publicamente na internet, principalmente na América do Norte. Essa atividade de exploração segue uma série de vulnerabilidades anteriores no Langflow, indicando uma tendência crescente de ataques direcionados a ferramentas utilizadas para desenvolver aplicações de IA.

Fortinet, Ivanti e SAP lançam atualizações de segurança críticas

Fortinet, Ivanti e SAP divulgaram atualizações de segurança para corrigir vulnerabilidades críticas que podem permitir execução de código arbitrário e divulgação de informações. A Fortinet abordou uma falha de injeção de comando em seu FortiSandbox, classificada como CVE-2026-25089, com um CVSS de 9.1. Essa vulnerabilidade permite que atacantes não autenticados executem comandos não autorizados através de requisições HTTP manipuladas. Os produtos afetados incluem versões específicas do FortiSandbox e FortiSandbox Cloud.

Microsoft corrige vulnerabilidades críticas em sistemas Windows

Na última terça-feira, a Microsoft lançou correções para três vulnerabilidades zero-day que permitiam a atacantes obter privilégios de SYSTEM em sistemas Windows totalmente atualizados. As falhas, conhecidas como ‘GreenPlasma’ (CVE-2026-45586) e ‘MiniPlasma’ (CVE-2020-17103), foram identificadas no Collaborative Translation Framework (CTFMON) e no Cloud Files Mini Filter Driver. Ambas permitem que atacantes locais adquiram um shell com permissões elevadas. A terceira vulnerabilidade, chamada ‘YellowKey’ (CVE-2026-45585), atua como uma porta dos fundos no Windows Recovery Environment (WinRE), permitindo que atacantes com acesso físico contornem a proteção do BitLocker em sistemas Windows 11 e Windows Server 2022/2025 não corrigidos. A Microsoft também divulgou medidas de mitigação para a vulnerabilidade YellowKey, enquanto criticou a divulgação pública do conceito de prova, que violou as melhores práticas de coordenação de vulnerabilidades. Este incidente destaca a importância de uma resposta rápida a vulnerabilidades críticas, especialmente em um cenário onde as falhas são exploradas ativamente por atacantes. As correções foram disponibilizadas como parte das atualizações de Patch Tuesday de junho de 2026.

Microsoft alerta sobre problemas com atualizações do Windows 11

A Microsoft emitiu um alerta informando que alguns dispositivos com Windows 11, versões 24H2 e 25H2, podem enfrentar dificuldades ao instalar as atualizações mensais mais recentes, especificamente as cumulativas de junho de 2026. Os usuários afetados podem encontrar erros 0x80073712 ou 0x800f0993 durante o processo de atualização. A empresa destacou que uma pequena porcentagem de dispositivos que foram atualizados de versões anteriores do Windows 10 e 11 pode não conseguir instalar essas atualizações. Para resolver o problema, a Microsoft recomenda que os usuários reiniciem seus dispositivos, o que pode permitir que a correção se aplique mais rapidamente. Caso o problema persista, é sugerido que os usuários removam um pacote específico através do Prompt de Comando ou realizem uma atualização in-place do Windows 11. A Microsoft já havia corrigido problemas semelhantes em meses anteriores, mas este novo incidente destaca a necessidade de monitoramento contínuo e ações proativas por parte dos administradores de TI.

Anthropic lança modelo de IA com foco em cibersegurança

No dia 9 de junho de 2026, a Anthropic lançou o Claude Fable 5, seu modelo mais avançado, disponível ao público. Este lançamento é notável por apresentar duas versões do mesmo modelo: Fable 5, que possui classificadores de segurança, e Claude Mythos 5, que é destinado a um grupo restrito de defensores cibernéticos e operadores de infraestrutura crítica. O Fable 5 redireciona solicitações de cibersegurança para um modelo menos potente, enquanto o Mythos 5 mantém capacidades cibernéticas robustas. A Anthropic afirma que o Mythos 5 é o modelo de cibersegurança mais forte do mundo, capaz de identificar e explorar vulnerabilidades em sistemas operacionais e navegadores. Durante testes, o Mythos Preview encontrou mais de dez mil vulnerabilidades críticas em softwares importantes. A empresa também implementou uma nova política de retenção de dados de 30 dias para melhorar a detecção de ataques. A principal preocupação é que, embora a descoberta de vulnerabilidades tenha se tornado rápida e barata, o processo de verificação e correção ainda depende do tempo humano, criando uma janela de oportunidade para atacantes. Assim, a necessidade de priorizar atualizações automáticas e monitoramento contínuo é mais urgente do que nunca.

Microsoft corrige 206 vulnerabilidades de segurança em seu software

Em 10 de junho de 2026, a Microsoft lançou atualizações para corrigir um total recorde de 206 vulnerabilidades de segurança em seu portfólio de software. Dentre essas falhas, 39 foram classificadas como Críticas e 167 como Importantes. As vulnerabilidades incluem problemas de escalonamento de privilégios, execução remota de código e divulgação de informações. A falha mais crítica, CVE-2026-45657, com uma pontuação CVSS de 9.8, permite que atacantes executem código remotamente ao enviar tráfego de rede malicioso para sistemas vulneráveis. Outras falhas significativas incluem CVE-2026-47291 e CVE-2026-44815, ambas com pontuação 9.8, que podem resultar em execução de código não autorizado. Além disso, a Microsoft abordou vulnerabilidades relacionadas ao BitLocker e problemas de negação de serviço. O aumento no número de correções é atribuído ao uso de inteligência artificial na descoberta de vulnerabilidades, uma tendência que deve continuar. Especialistas alertam que a rápida liberação de patches pode levantar preocupações sobre a qualidade das correções. As atualizações são essenciais para proteger sistemas, especialmente aqueles que lidam com tráfego DHCP, que é crítico para a infraestrutura de rede.

Novo exploit zero-day do Microsoft Defender afeta Windows 10 e 11

Um pesquisador de segurança, conhecido como Nightmare Eclipse, divulgou um novo exploit zero-day chamado ‘RoguePlanet’, que afeta dispositivos Windows 10 e Windows 11 totalmente atualizados. O exploit permite que atacantes abram um prompt de comando com privilégios de SYSTEM por meio de uma vulnerabilidade de condição de corrida no Microsoft Defender. O pesquisador publicou um proof-of-concept em um repositório auto-hospedado após ter suas postagens removidas de plataformas como GitHub e GitLab. O exploit foi testado em versões oficiais e Canary do Windows 11, bem como em sistemas Windows 10 com as atualizações de segurança de junho de 2026 instaladas. A empresa de cibersegurança ThreatLocker confirmou a viabilidade do exploit em seus testes, destacando que organizações que utilizam listas de permissões de aplicativos podem prevenir a execução do exploit. O pesquisador também mencionou que a vulnerabilidade foi inicialmente desenvolvida para execução remota de código, mas que mudanças silenciosas na proteção do Defender limitaram essa capacidade. A disputa entre Nightmare Eclipse e a Microsoft sobre práticas de divulgação de vulnerabilidades continua, com o pesquisador tendo liberado outros exploits zero-day nos últimos meses.

Ivanti lança patches para vulnerabilidades críticas no Sentry

A Ivanti, empresa de software de segurança, divulgou patches para corrigir duas vulnerabilidades críticas em sua solução Sentry, anteriormente conhecida como MobileIron Sentry. A falha mais grave, identificada como CVE-2026-10520, permite que atacantes remotos executem código com privilégios de root por meio de uma vulnerabilidade de injeção de comando do sistema operacional. A segunda vulnerabilidade, CVE-2026-10523, é uma falha crítica de bypass de autenticação que possibilita a criação de contas administrativas fraudulentas por atacantes não autenticados. Ambas as falhas foram corrigidas nas versões R10.5.2, R10.6.2 e R10.7.1 do Sentry. A Ivanti afirmou não ter evidências de que essas vulnerabilidades estejam sendo exploradas ativamente, mas recomendou que os administradores atualizem seus sistemas para evitar possíveis ataques. Nos últimos anos, as vulnerabilidades da Ivanti têm sido alvo de ataques, pois oferecem uma via fácil para criminosos cibernéticos acessarem redes corporativas e roubarem dados sensíveis. A empresa possui mais de 40.000 clientes em todo o mundo e é apoiada por uma extensa rede de parceiros.

Vulnerabilidades críticas no protobuf.js podem causar execução remota de código

Pesquisadores de cibersegurança identificaram seis vulnerabilidades no protobuf.js, uma implementação em JavaScript e TypeScript do Protocol Buffers, que podem levar a execução remota de código (RCE) e ataques de negação de serviço (DoS). As falhas, conhecidas como Proto6, afetam aplicações Node.js que utilizam protobuf.js, bibliotecas de cliente do Google Cloud e frameworks de mensagens como Baileys. As vulnerabilidades incluem a CVE-2026-44289, que permite DoS através de recursão não limitada, e a CVE-2026-44291, que possibilita a execução de código após poluição de protótipos. A exploração dessas falhas pode ocorrer em ambientes onde um esquema protobuf malicioso é introduzido, comprometendo fluxos de trabalho de CI/CD e serviços Node.js. As versões vulneráveis do protobuf.js incluem até a 7.5.5 e entre 8.0.0 e 8.0.1. Patches já estão disponíveis, e os usuários são aconselhados a atualizá-los para evitar possíveis ameaças. A Cyera alerta que a exploração bem-sucedida pode impactar significativamente cargas de trabalho sensíveis em empresas, especialmente em ecossistemas de dados e IA que trocam informações frequentemente.

Pesquisador revela exploit zero-day no Microsoft Defender

Um pesquisador de segurança, conhecido como Chaotic Eclipse, divulgou um exploit de prova de conceito (PoC) para uma vulnerabilidade zero-day no Microsoft Defender, chamada RoguePlanet. O exploit é uma condição de corrida, resultando em acesso com privilégios de sistema, permitindo que atacantes executem código arbitrário. Testado em máquinas com Windows 10 e 11, o exploit mostrou uma taxa de sucesso de 100% em alguns dispositivos, mas não funciona em instâncias do Windows Server. O pesquisador expressou frustração com a forma como a Microsoft lidou com a divulgação de vulnerabilidades, alegando falta de comunicação e revogação de acesso ao Microsoft Security Response Center (MSRC). A Microsoft, por sua vez, condenou as divulgações públicas, afirmando que colocam os clientes em risco. Este exploit é parte de uma série de falhas descobertas por Chaotic Eclipse, que incluem BlueHammer e UnDefend. A situação gerou um conflito público entre o pesquisador e a Microsoft, levando à remoção de suas contas no GitHub e GitLab. A vulnerabilidade representa um risco significativo, especialmente considerando que já foi explorada ativamente.

ServiceNow alerta sobre falha de segurança em instâncias de clientes

A ServiceNow divulgou um alerta sobre um incidente de segurança em que atores desconhecidos exploraram uma vulnerabilidade para obter acesso não autorizado a instâncias vulneráveis. Em 5 de junho de 2026, a empresa aplicou uma atualização de segurança em suas instâncias hospedadas, visando um problema que poderia permitir que um usuário não autenticado, em certas circunstâncias, tivesse acesso maior do que o pretendido. A atualização altera a configuração de um endpoint para restringir esse acesso apenas a usuários autenticados. Até o momento, a falha de segurança não possui um identificador CVE. A ServiceNow detectou atividades anômalas relacionadas a essa questão e observou consultas bem-sucedidas em tabelas de instâncias de um subconjunto de clientes, que já foram notificados. A vulnerabilidade afeta clientes na plataforma Australia ou aqueles que realizaram certas alterações de configuração em versões anteriores. Um usuário no Reddit alegou que a equipe de segurança da ServiceNow havia reportado a vulnerabilidade internamente desde 7 de abril de 2026, mas a empresa a classificou como não urgente até então. A situação continua em desenvolvimento, e mais detalhes podem surgir.

Atualizações de Segurança da Microsoft em Junho de 2026

Em 14 de junho de 2026, a Microsoft lançou atualizações de segurança para 200 vulnerabilidades, incluindo três falhas zero-day publicamente divulgadas. Dentre as 33 vulnerabilidades classificadas como ‘Críticas’, 28 são de execução remota de código, 4 de elevação de privilégio e 1 de divulgação de informações. As falhas mais notáveis incluem a CVE-2026-45586, que permite a elevação de privilégios no Windows CTFMON, e a CVE-2026-49160, uma vulnerabilidade de negação de serviço no HTTP.sys, que pode ser explorada para causar interrupções em servidores. A CVE-2026-50507, relacionada ao BitLocker, permite que atacantes locais contornem a proteção de unidades criptografadas. Embora essas vulnerabilidades tenham sido divulgadas, não há evidências de que tenham sido exploradas ativamente. A Microsoft também lançou um novo parâmetro de registro para mitigar a vulnerabilidade de negação de serviço, limitando o número de cabeçalhos em solicitações HTTP/2. As atualizações são cruciais para proteger sistemas que utilizam tecnologias amplamente adotadas, como Windows e Azure.

Atualização de segurança KB5094127 do Windows 10 é liberada

A Microsoft lançou a atualização de segurança estendida KB5094127 para o Windows 10, que corrige vulnerabilidades identificadas no Patch Tuesday de junho de 2026 e introduz novas funcionalidades para monitorar a implementação de certificados Secure Boot que estão prestes a expirar. Esta atualização é aplicável para usuários do Windows 10 Enterprise LTSC e aqueles que participam do programa ESU, podendo ser instalada através das configurações de ‘Windows Update’. Após a instalação, o Windows 10 será atualizado para a versão 19045.7417. Embora a Microsoft não esteja mais lançando novos recursos para o Windows 10, a atualização inclui correções de segurança e melhorias, como aprimoramentos na busca do File Explorer e a introdução de um novo recurso de relatórios dinâmicos para estados do Secure Boot. Contudo, a empresa alertou sobre um problema conhecido que pode acionar prompts de recuperação do BitLocker em alguns sistemas, especialmente aqueles configurados com uma política de grupo específica. A Microsoft recomenda a remoção dessa configuração como uma solução temporária enquanto trabalha em uma correção permanente.

SAP corrige 15 vulnerabilidades críticas em junho de 2026

A SAP lançou correções para 15 vulnerabilidades em seu pacote de patches de segurança de junho de 2026, incluindo quatro falhas de gravidade crítica que afetam o SAP NetWeaver e o SAP Commerce Cloud. O NetWeaver é uma plataforma central de aplicações e middleware da SAP, enquanto o Commerce Cloud é uma plataforma de e-commerce para empresas. Entre as vulnerabilidades críticas estão: CVE-2026-44748, que permite a bypass de autenticação em ambientes SAML; CVE-2026-27671, uma falha de corrupção de memória que pode ser explorada sem autenticação; CVE-2026-22732, uma vulnerabilidade relacionada ao Spring Security; e CVE-2026-40128, que permite a travessia de diretórios. A SAP também abordou duas vulnerabilidades de alta gravidade e diversas questões de injeção SQL, XSS e bypass de autorização. As organizações que utilizam os produtos afetados devem priorizar a aplicação dos patches, especialmente as falhas CVE-2026-44748 e CVE-2026-27671, que podem ter um impacto significativo nos ambientes empresariais.

ServiceNow alerta sobre incidente de segurança em API vulnerável

A ServiceNow emitiu um alerta sobre um incidente de segurança após a exploração de uma falha de acesso não autenticado em um endpoint de API vulnerável, permitindo que atacantes consultassem dados de instâncias de clientes. A empresa notificou discretamente os clientes afetados por meio de um boletim de suporte e casos de suporte direto, após detectar ‘atividade anômala’ relacionada ao problema. O boletim, acessível apenas através do portal de suporte ao cliente da ServiceNow, informa que uma atualização de segurança foi aplicada em 5 de junho de 2026, restringindo o acesso ao endpoint da API apenas a usuários autenticados. Embora a ServiceNow não tenha revelado quais dados foram acessados, as instâncias geralmente armazenam informações sensíveis, como registros de funcionários e documentação interna. A falha parece estar relacionada a um endpoint REST configurado incorretamente, permitindo solicitações não autenticadas. A empresa aconselha os administradores a revisar os logs para identificar solicitações suspeitas e a proteger informações sensíveis. O incidente afeta principalmente clientes na versão da plataforma Australia ou aqueles que realizaram alterações de configuração em versões anteriores.

Veeam lança patches de segurança para falha crítica em software de backup

A Veeam, empresa especializada em soluções de backup e recuperação, anunciou a liberação de patches de segurança para corrigir uma vulnerabilidade crítica em seu software Backup & Replication, identificada como CVE-2026-44963. Essa falha, que possui uma pontuação CVSS de 9.4, permite a execução remota de código (RCE) por um usuário autenticado no domínio. A vulnerabilidade afeta a versão 12.3.2.4465 e todas as versões anteriores da linha 12, mas não impacta as versões 13.x, que passaram por mudanças arquitetônicas. A correção foi implementada na versão 12.3.2.4854. Em março de 2026, a Veeam já havia resolvido outras vulnerabilidades críticas que poderiam ser exploradas para RCE, destacando a importância de manter o software atualizado, especialmente em um cenário onde grupos de ransomware têm se aproveitado de falhas conhecidas. Os usuários são fortemente aconselhados a atualizar para a versão mais recente para garantir a segurança de seus dados.

Veeam lança atualizações de segurança para falha crítica em backup

A Veeam lançou atualizações de segurança para corrigir uma vulnerabilidade crítica em seu software Backup & Replication, que pode permitir a execução remota de código (RCE) em servidores de backup que estão conectados a um domínio. A falha, identificada como CVE-2026-44963, afeta a versão 12.3.2.4465 e todas as versões anteriores da versão 12, sendo corrigida na versão 12.3.2.4854. Embora qualquer usuário de domínio com privilégios baixos possa explorar essa vulnerabilidade, ela impacta apenas as instalações do Veeam que estão unidas a um domínio, o que contraria as melhores práticas recomendadas pela empresa. Apesar de não haver relatos de exploração ativa até o momento, a Veeam alertou que atacantes costumam desenvolver exploits assim que os patches são divulgados, o que torna essencial que todos os clientes atualizem seus sistemas imediatamente. A empresa também destacou que seus servidores de backup são frequentemente alvos de ataques de ransomware, que visam roubar dados sensíveis e dificultar a recuperação ao deletar backups. Com mais de 550 mil clientes, incluindo 82% das empresas da Fortune 500, a Veeam é uma tecnologia amplamente utilizada, o que aumenta a relevância da correção dessa vulnerabilidade.