Vulnerabilidade

A Libraesva, fornecedora de soluções de segurança de e-mail, emitiu um aviso de segurança alertando sobre uma vulnerabilidade de execução remota de comandos (CVE-2025-59689) que foi explorada por atores de ameaças patrocinados por estados. A falha, classificada como de severidade média (6.1/10), permite a execução de comandos arbitrários em sistemas afetados através de e-mails maliciosos com anexos comprimidos especialmente elaborados. A vulnerabilidade afeta todas as versões do Libraesva Email Security Gateway (ESG) a partir da versão 4.5, e a empresa já disponibilizou patches para as versões 5.0 a 5.5. As versões anteriores a 5.0 não são mais suportadas e precisam ser atualizadas manualmente. Até o momento, um ataque foi documentado, e os responsáveis são considerados uma entidade estatal hostil. A Libraesva enfatiza a importância de uma rápida implementação de patches para mitigar riscos, especialmente em um cenário onde a segurança de e-mails é crucial para organizações em setores como educação, finanças e governo.

Um novo artigo destaca a vulnerabilidade dos iframes de pagamento, que estão sendo explorados por atacantes através de técnicas de sobreposição maliciosa para roubar dados de cartões de crédito. A campanha de skimming do Stripe, ocorrida em agosto de 2024, exemplifica essa ameaça, onde 49 comerciantes foram comprometidos. Os atacantes injetam JavaScript malicioso em plataformas vulneráveis, como o WordPress, para substituir iframes legítimos por réplicas perfeitas que capturam informações do usuário sem que ele perceba.

Pesquisadores de cibersegurança da Trend Micro revelaram duas vulnerabilidades críticas no software Wondershare RepairIt, que podem comprometer dados privados dos usuários e permitir ataques à cadeia de suprimentos. As falhas, identificadas como CVE-2025-10643 e CVE-2025-10644, têm pontuações CVSS de 9.1 e 9.4, respectivamente, e permitem que atacantes contornem a autenticação do sistema. Isso pode resultar na execução de código arbitrário nos dispositivos dos clientes. Além disso, a aplicação coleta e armazena dados de forma inadequada, sem criptografia, expondo imagens e vídeos dos usuários. A Trend Micro alertou que o armazenamento em nuvem exposto contém não apenas dados dos usuários, mas também modelos de IA e códigos-fonte da empresa, o que pode facilitar a manipulação de modelos de IA e a realização de ataques à cadeia de suprimentos. A empresa divulgou as vulnerabilidades em abril de 2025, mas não recebeu resposta da Wondershare. Os especialistas recomendam que os usuários limitem a interação com o produto até que uma solução seja implementada.

O Google lançou uma atualização para o Chrome, versão 140.0.7339.207/.208, que corrige três vulnerabilidades de alta severidade no motor JavaScript V8. A mais crítica, identificada como CVE-2025-10890, é uma falha de vazamento de informações que permite a um atacante inferir dados sensíveis da memória, como chaves criptográficas e credenciais de usuários, através de diferenças sutis de tempo. Embora a exploração exija uma página ou script malicioso, uma vez ativada, a vulnerabilidade pode exfiltrar dados rapidamente sem causar falhas no processo de renderização.

A SonicWall anunciou uma atualização de segurança urgente para seus dispositivos Secure Mobile Access (SMA) da série 100, visando eliminar um rootkit persistente conhecido como ‘OVERSTEP’. A atualização, identificada como versão 10.2.2.2-92sv, introduz verificações de integridade de arquivos aprimoradas, capazes de detectar e remover componentes maliciosos implantados por essa ameaça. Organizações que utilizam os modelos SMA 210, 410 e 500v são fortemente aconselhadas a aplicar o patch imediatamente para mitigar riscos de exploração. O rootkit OVERSTEP foi identificado pela Google Threat Intelligence Group (GTIG) como uma ameaça sofisticada, capaz de estabelecer acesso encoberto e persistente a redes corporativas, permitindo que atacantes se movam lateralmente, exfiltrando dados e implantando cargas adicionais. A SonicWall enfatiza que a única forma de eliminar a ameaça é atualizar para a versão corrigida, pois não há soluções alternativas viáveis. O não cumprimento dessa recomendação pode expor as redes a acessos não autorizados e vigilância persistente. O patch não afeta as appliances da série SMA1000 e as funcionalidades SSL-VPN em produtos de firewall da SonicWall.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta urgente sobre uma vulnerabilidade zero-day no Google Chrome, identificada como CVE-2025-10585. Essa falha, localizada no motor V8 do JavaScript e WebAssembly, representa um risco significativo para usuários em todo o mundo, pois permite que atacantes manipulem estruturas de memória e executem código arbitrário ao visitar páginas da web maliciosas. A CISA incluiu essa vulnerabilidade em seu catálogo de Vulnerabilidades Conhecidas e Explotadas, exigindo que agências federais apliquem correções ou suspendam o uso das versões afetadas até 14 de outubro de 2025. Embora a Google tenha lançado patches para resolver o problema, a CISA recomenda que usuários e administradores verifiquem manualmente a instalação das atualizações. A natureza crítica da falha, que pode ser explorada sem interação adicional do usuário, torna essencial que organizações, tanto públicas quanto privadas, adotem medidas de mitigação, como a aplicação de atualizações e o monitoramento de tráfego de rede para sinais de comprometimento.

A Libraesva, empresa italiana de segurança de e-mails, lançou uma atualização crítica para seu Email Security Gateway (ESG) após identificar uma vulnerabilidade, classificada como CVE-2025-59689, que pode ser explorada por agentes de ameaças patrocinados por estados. A falha, que possui uma pontuação CVSS de 6.1, é um erro de injeção de comando que pode ser ativado por e-mails maliciosos contendo anexos comprimidos especialmente elaborados. Essa vulnerabilidade permite a execução de comandos arbitrários por usuários não privilegiados devido à sanitização inadequada durante a remoção de códigos ativos de arquivos em certos formatos de arquivo comprimido. A Libraesva confirmou um incidente de abuso relacionado a essa falha, atribuído a um ator de estado hostil estrangeiro, e destacou a importância de uma rápida implementação de patches, tendo corrigido a falha em menos de 17 horas após a detecção do problema. As versões afetadas vão da 4.5 até a 5.5.x antes da 5.5.7, e os usuários são aconselhados a atualizar suas instâncias imediatamente para mitigar riscos potenciais.

A empresa de segurança em nuvem Wiz revelou a exploração ativa de uma vulnerabilidade no utilitário Linux Pandoc, que pode comprometer o Amazon Web Services (AWS) Instance Metadata Service (IMDS). A falha, identificada como CVE-2025-51591, possui uma pontuação CVSS de 6.5 e se refere a um caso de Server-Side Request Forgery (SSRF). Essa vulnerabilidade permite que atacantes injetem elementos HTML iframe, possibilitando o acesso a credenciais temporárias do IAM associadas a instâncias EC2. O IMDS é crucial para fornecer informações sobre instâncias em execução e credenciais temporárias, que podem ser usadas para interagir com outros serviços da AWS. A Wiz observou tentativas de exploração desde agosto de 2025, embora os ataques tenham sido mitigados pela implementação do IMDSv2, que requer um token para acessar o IMDS. Para mitigar os riscos associados à CVE-2025-51591, recomenda-se o uso de opções específicas no Pandoc para evitar a inclusão de iframes. A Mandiant também alertou que instâncias EC2 que utilizam IMDSv1 e software de terceiros vulnerável estão em risco. A adoção do IMDSv2 e a aplicação do princípio do menor privilégio são essenciais para proteger as infraestruturas na nuvem.

Pesquisadores de cibersegurança revelaram duas vulnerabilidades no firmware do Baseboard Management Controller (BMC) da Supermicro, que podem permitir que atacantes contornem etapas de verificação essenciais e atualizem o sistema com imagens maliciosas. As falhas, identificadas como CVE-2025-7937 e CVE-2025-6198, têm severidade média, com pontuações CVSS de 6.6 e 6.4, respectivamente. Ambas resultam de uma verificação inadequada da assinatura criptográfica, permitindo que imagens de firmware manipuladas sejam aceitas pelo sistema. A vulnerabilidade CVE-2025-7937 contorna a lógica de verificação do Root of Trust (RoT) 1.0, enquanto a CVE-2025-6198 faz o mesmo em relação à tabela de assinatura. A empresa Binarly, responsável pela descoberta, alertou que a exploração dessas falhas pode dar controle total e persistente sobre o sistema BMC e o sistema operacional principal do servidor. A análise também destacou que a correção anterior para uma vulnerabilidade relacionada foi insuficiente, permitindo que atacantes inserissem tabelas de firmware personalizadas durante o processo de validação. A situação é preocupante, pois a reutilização de chaves de assinatura pode ter um impacto significativo em toda a indústria, especialmente se houver vazamento dessas chaves.

A SolarWinds lançou correções para uma vulnerabilidade crítica em seu software Web Help Desk, identificada como CVE-2025-26399, com uma pontuação CVSS de 9.8. Essa falha permite que atacantes executem comandos arbitrários em sistemas vulneráveis, sem necessidade de autenticação. A vulnerabilidade foi descoberta por um pesquisador anônimo da Trend Micro Zero Day Initiative e é uma continuação de problemas anteriores, incluindo CVE-2024-28988 e CVE-2024-28986, que também apresentavam falhas de deserialização de dados não confiáveis. Embora não haja evidências de exploração ativa dessa nova vulnerabilidade, a SolarWinds recomenda que os usuários atualizem para a versão 12.8.7 HF1 para garantir a proteção adequada. A situação é alarmante, considerando o histórico da SolarWinds com ataques, como o incidente de cadeia de suprimentos de 2020, que teve impactos significativos em várias agências governamentais ocidentais. A vulnerabilidade atual destaca a necessidade de vigilância constante e atualização de sistemas, especialmente em um cenário onde a exploração de falhas pode ocorrer rapidamente.

Um novo problema de segurança foi identificado na plataforma de autoria de cursos Lectora, da ELB Learning, que permite a injeção de JavaScript malicioso através de parâmetros de URL manipulados. Essa vulnerabilidade afeta as versões 21.0 a 21.3 do Lectora Desktop e versões 7.1.6 e anteriores do Lectora Online, expondo usuários a riscos como sequestro de sessão e redirecionamento para sites maliciosos. O CERT Coordination Center (CERT/CC) emitiu uma nota de vulnerabilidade (VU#780141) para alertar sobre a situação e as etapas necessárias para remediação. Embora a falha tenha sido corrigida na versão 21.4 do Lectora Desktop, muitos cursos permanecem vulneráveis, pois a republicação não foi explicitamente exigida nas notas de lançamento. Para mitigar a vulnerabilidade, a ELB Learning recomenda que os usuários do Lectora Desktop atualizem para a versão 21.4 ou posterior e republicem seus cursos. Administradores do Lectora Online devem garantir que o conteúdo publicado antes da atualização automática de 20 de julho de 2025 seja republicado. A ativação das opções de Acessibilidade Web também é aconselhada para reduzir a exposição a essa vulnerabilidade.

Em 2025, as ferramentas de gestão de vulnerabilidades tornaram-se essenciais para organizações que buscam fortalecer suas defesas cibernéticas e garantir conformidade regulatória. Este artigo apresenta uma análise detalhada das dez principais soluções disponíveis, destacando suas capacidades de descoberta automatizada de ativos, priorização de riscos e integração com pilhas de TI. Ferramentas como Tenable Nessus e Qualys VMDR se destacam por suas amplas coberturas e inovação contínua, oferecendo recursos como auditorias de conformidade e relatórios acionáveis. A escolha da ferramenta certa impacta diretamente a postura de segurança e a alocação de recursos, especialmente em ambientes de trabalho híbridos e na nuvem. O artigo também discute a importância da priorização baseada em risco, que permite que as equipes de segurança se concentrem nas vulnerabilidades mais críticas. Com a crescente complexidade das infraestruturas de TI, a adoção dessas ferramentas é vital para a resiliência operacional das empresas.

O cenário de cibersegurança está em constante evolução, com atacantes adaptando suas táticas rapidamente, muitas vezes em questão de horas. Um exemplo recente é a vulnerabilidade zero-day CVE-2025-10585 no navegador Chrome, que já está sendo explorada ativamente. Essa falha, relacionada ao motor V8 do JavaScript, é a sexta vulnerabilidade desse tipo descoberta em 2025. Além disso, um novo ferramenta de pen testing chamada Villager, que já alcançou 11.000 downloads, levanta preocupações sobre seu uso indevido por cibercriminosos. Pesquisadores também descobriram uma nova técnica de ataque chamada Phoenix, que explora falhas em módulos de memória DDR5. As prisões de membros do grupo Scattered Spider, envolvidos em ataques de ransomware, destacam a crescente atividade de grupos de hackers. Por fim, a colaboração entre grupos de hackers russos, como Turla e Gamaredon, para atacar a Ucrânia, evidencia a complexidade das ameaças atuais. Este artigo destaca a importância de se manter atualizado sobre as vulnerabilidades e as táticas dos atacantes para proteger as infraestruturas digitais.

Hackers estão utilizando uma nova técnica chamada LNK Stomping para contornar a funcionalidade de segurança Mark of the Web (MoTW) do Windows. Essa técnica explora arquivos de atalho (LNKs), que, embora tenham sido criados para facilitar a vida do usuário, agora são usados para implantar cargas maliciosas disfarçadas de processos legítimos. Apesar das melhorias na política de bloqueio de macros da Microsoft em 2022, os atacantes continuam a explorar LNKs, frequentemente enviados como anexos de e-mail ou dentro de arquivos compactados. A estrutura dos arquivos LNK contém metadados que, quando manipulados, podem remover a etiqueta MoTW, permitindo que o código malicioso seja executado sem alertar o usuário. A pesquisa da Elastic Security Labs revelou que a normalização de caminhos no Windows pode ser manipulada para eliminar esses metadados de segurança. As organizações devem atualizar suas regras de detecção de endpoint para monitorar eventos de canonização de arquivos LNK e educar os usuários sobre os riscos de executar atalhos não solicitados. A evolução dos ataques exige uma pesquisa contínua sobre as fraquezas dos formatos de arquivo e ajustes proativos nas regras de segurança.

Uma vulnerabilidade crítica, identificada como CVE-2025-55241, foi revelada pelo pesquisador de segurança Dirk-Jan Mollema, permitindo que um único token de acesso obtido de qualquer tenant de teste concedesse controle administrativo total sobre todos os tenants do Microsoft Entra ID (anteriormente Azure AD) globalmente. Essa falha na validação de tokens ‘Actor’ da Microsoft expõe um risco significativo associado à autoridade centralizada em plataformas de nuvem modernas. Um atacante com acesso a uma conta de laboratório poderia se passar por qualquer usuário ou serviço, acessar dados sensíveis, criar novas contas de administrador global e permanecer indetectável, já que todas as ações pareciam legítimas. Embora a Microsoft tenha corrigido a vulnerabilidade, a falha arquitetônica subjacente persiste, destacando a necessidade urgente de arquiteturas de segurança sem autoridade central. A situação ressalta que, apesar dos investimentos significativos em cibersegurança, as brechas podem resultar em danos financeiros imensos, exigindo uma mudança estrutural na forma como a segurança é abordada nas plataformas de nuvem.

Uma falha crítica de validação de token no Microsoft Entra ID (anteriormente Azure Active Directory) pode ter permitido que atacantes se passassem por qualquer usuário, incluindo Administradores Globais, em qualquer inquilino. A vulnerabilidade, rastreada como CVE-2025-55241, recebeu a pontuação máxima de 10.0 no CVSS e foi classificada pela Microsoft como uma falha de escalonamento de privilégios. Embora não haja indícios de que a falha tenha sido explorada ativamente, ela foi corrigida em 17 de julho de 2025, sem necessidade de ação por parte dos clientes. O problema surgiu da combinação de tokens de ator emitidos pelo Serviço de Controle de Acesso e uma falha na API Graph do Azure AD, que não validava adequadamente o inquilino de origem, permitindo acesso não autorizado entre inquilinos. Isso poderia permitir que um atacante se passasse por um Administrador Global, criando novas contas ou exfiltrando dados sensíveis. A Microsoft já descontinuou a API Graph do Azure AD, recomendando a migração para o Microsoft Graph. A empresa Mitiga alertou que a exploração dessa vulnerabilidade poderia contornar autenticações multifator e deixar poucas evidências do ataque.

Em 2025, a Google lançou sua sexta atualização de segurança para o Chrome, corrigindo uma vulnerabilidade zero-day identificada como CVE-2025-10585. Essa falha, considerada severa, é resultado de uma confusão na tipagem do motor JavaScript V8 do navegador. Embora a empresa não tenha confirmado que a falha esteja sendo ativamente explorada, a existência de uma vulnerabilidade pública sugere que hackers podem estar tentando aproveitá-la. As atualizações anteriores, lançadas entre março e julho, abordaram diversas falhas, incluindo problemas de segurança na proteção sandbox e vulnerabilidades que permitiam o roubo de contas. Uma das falhas corrigidas em março foi utilizada em ataques de espionagem contra jornalistas e organizações na Rússia. A nova versão do Chrome, que inclui a correção, já está disponível para Windows, Mac e Linux, e a Google mantém detalhes sobre os bugs em sigilo até que a maioria dos usuários tenha aplicado a atualização. A situação destaca a importância de manter o navegador atualizado para garantir a segurança dos usuários.

Uma falha crítica foi identificada no motor de templates Jinjava, mantido pela HubSpot, que permite a execução remota de código (RCE) em milhares de sites. A vulnerabilidade explora a integração do ObjectMapper do Jinjava, possibilitando a desserialização de entradas controladas por atacantes em classes Java arbitrárias, apesar das salvaguardas existentes. Pesquisadores alertam que, sem correções imediatas, milhões de páginas que dependem do Jinjava para conteúdo dinâmico estão em risco de comprometimento total do sistema.

A Fortra divulgou uma vulnerabilidade crítica no software GoAnywhere Managed File Transfer (MFT), identificada como CVE-2025-10035, que possui uma pontuação CVSS de 10.0, indicando sua gravidade máxima. Essa falha de deserialização no License Servlet permite que um ator malicioso, com uma assinatura de resposta de licença forjada, deserialize um objeto controlado por ele, potencialmente levando à injeção de comandos. A exploração bem-sucedida dessa vulnerabilidade depende do sistema estar acessível publicamente pela internet. A Fortra recomenda que os usuários atualizem para a versão corrigida 7.8.4 ou a Sustained Release 7.6.3 para se proteger contra ameaças potenciais. Caso a atualização imediata não seja viável, é aconselhável restringir o acesso ao GoAnywhere Admin Console. Embora a Fortra não tenha relatado exploração ativa da falha, vulnerabilidades anteriores no mesmo produto foram utilizadas por grupos de ransomware, como o LockBit, para roubar dados sensíveis. A exposição de milhares de instâncias do GoAnywhere MFT à internet torna a situação crítica, e as organizações devem aplicar os patches oficiais imediatamente e restringir o acesso externo ao console administrativo.

Pesquisadores descobriram uma vulnerabilidade crítica de zero-click no agente Deep Research do ChatGPT, que permite a atacantes exfiltrar dados sensíveis do Gmail sem qualquer interação do usuário. Essa falha, que opera inteiramente nos servidores da OpenAI, contorna as defesas de segurança tradicionais ao utilizar técnicas de exfiltração do lado do serviço. O mecanismo de roubo de dados ocorre quando um e-mail aparentemente inocente, contendo instruções HTML ocultas, é enviado para a caixa de entrada da vítima. Quando o agente processa os e-mails, ele executa esses comandos invisíveis, coletando dados pessoais e transmitindo-os para servidores controlados pelos atacantes. Essa vulnerabilidade representa uma evolução perigosa de ataques, passando de métodos do lado do cliente para ataques do lado do serviço, criando uma lacuna de segurança para organizações que utilizam agentes de IA. As empresas que integram o Deep Research com serviços de e-mail devem reavaliar as permissões do agente e implementar monitoramento adicional das solicitações de saída. Até que um patch seja lançado, restringir o acesso do agente a caixas de entrada sensíveis pode ajudar a mitigar os riscos.

A Samsung lançou um patch para corrigir uma vulnerabilidade zero-day, identificada como CVE-2025-21043, que afeta celulares Android da marca rodando Android 13 ou superior. A falha foi reportada pelas equipes da Meta e do WhatsApp em 13 de agosto de 2025 e permite que hackers executem código malicioso remotamente em dispositivos vulneráveis. A vulnerabilidade está relacionada a uma biblioteca de análise de imagens desenvolvida pela Quramsoft, que é utilizada em diversos aplicativos, incluindo o WhatsApp. Embora a Samsung não tenha especificado se os ataques afetaram apenas usuários do WhatsApp, a possibilidade de outros aplicativos de mensagem serem vulneráveis também foi levantada. A empresa recomendou que os usuários atualizem seus dispositivos e realizem uma reinicialização para as configurações de fábrica. Além disso, pesquisadores notaram que hackers começaram a explorar uma vulnerabilidade semelhante em servidores MagicINFO 9 da Samsung, utilizados em ambientes como aeroportos e hospitais. A correção da falha é crucial para proteger os usuários contra potenciais ataques que podem comprometer a segurança de seus dados e dispositivos.

O Google lançou uma atualização de segurança emergencial para o Chrome após a descoberta de uma vulnerabilidade crítica de zero-day, que está sendo ativamente explorada por atacantes. A versão 140.0.7339.185/.186 para Windows e Mac, e 140.0.7339.185 para Linux, foi disponibilizada em 17 de setembro de 2025, corrigindo quatro falhas de segurança de alta gravidade, incluindo a CVE-2025-10585. Essa vulnerabilidade, classificada como um erro de confusão de tipo no motor JavaScript V8 do Chrome, permite que atacantes corrompam a memória e executem código remotamente. O Google confirmou que um exploit para essa vulnerabilidade já está em uso, o que representa um risco significativo para os usuários. Além da CVE-2025-10585, a atualização também corrige outras falhas críticas, como CVE-2025-10500, CVE-2025-10501 e CVE-2025-10502, que envolvem vulnerabilidades de uso após liberação de memória e estouro de buffer. Os usuários do Chrome devem atualizar imediatamente seus navegadores para mitigar esses riscos, e as organizações devem implementar monitoramento de rede para detectar tentativas de exploração.

No dia 18 de setembro de 2025, o Google lançou atualizações de segurança para o navegador Chrome, abordando quatro vulnerabilidades, incluindo uma que está sendo explorada ativamente. A vulnerabilidade zero-day identificada como CVE-2025-10585 é um problema de confusão de tipos no motor V8 do JavaScript e WebAssembly. Esse tipo de vulnerabilidade pode permitir que atacantes executem código arbitrário e causem falhas no software. A equipe de Análise de Ameaças do Google (TAG) descobriu e relatou a falha em 16 de setembro. Embora o Google tenha confirmado a exploração da vulnerabilidade, não forneceu detalhes sobre os atacantes ou a escala dos ataques para evitar que outros exploradores a utilizem antes que os usuários possam aplicar a correção. Esta é a sexta vulnerabilidade zero-day no Chrome desde o início do ano. Para se proteger, os usuários devem atualizar para as versões 140.0.7339.185/.186 para Windows e macOS, e 140.0.7339.185 para Linux. Navegadores baseados em Chromium, como Microsoft Edge e Brave, também devem ser atualizados assim que as correções estiverem disponíveis.

Uma nova pesquisa da Entro Labs revelou uma vulnerabilidade crítica na funcionalidade de auto-sincronização do OneDrive da Microsoft, que está expondo segredos empresariais em larga escala. O estudo indica que um em cada cinco segredos expostos em ambientes corporativos provém do SharePoint, não por meio de ataques sofisticados, mas devido a uma configuração padrão do OneDrive que move automaticamente arquivos locais contendo credenciais sensíveis para repositórios na nuvem. A falha de segurança está relacionada ao recurso Known Folder Move (KFM), que sincroniza pastas críticas do usuário, como Desktop e Documentos, para o OneDrive. Isso resulta em uma exposição inadvertida de arquivos que deveriam ser mantidos localmente, tornando-os acessíveis a administradores e contas potencialmente comprometidas. A pesquisa também destaca que a maioria dos arquivos expostos são planilhas, representando mais de 50% dos segredos, seguidas por arquivos de texto e scripts. A situação é agravada pela ativação padrão do OneDrive em sistemas Windows 10/11, que pode levar usuários a fazer backup de arquivos sensíveis sem perceber. Para mitigar esses riscos, as equipes de segurança devem aumentar a conscientização sobre o comportamento de auto-sincronização e considerar desativar o KFM onde não for necessário.

Uma vulnerabilidade de alta severidade foi descoberta na biblioteca cliente C# do Kubernetes, comprometendo a integridade das comunicações com o servidor API e abrindo espaço para ataques do tipo man-in-the-middle (MiTM). Identificada como CVE-2025-9708, a falha resulta de uma validação inadequada de certificados no modo de Autoridade Certificadora (CA) personalizada. O cliente aceita qualquer certificado assinado pela CA fornecida, sem verificar a cadeia de confiança completa. Isso permite que atacantes apresentem certificados falsificados e interceptem ou manipulem o tráfego sensível do plano de controle. A vulnerabilidade afeta todas as versões do cliente C# do Kubernetes até a versão 17.0.13, especialmente em ambientes que utilizam certificados CA personalizados. Embora a falha tenha um escore CVSS de 6.8, indicando uma severidade média, ela representa um risco significativo em ambientes de desenvolvimento e produção. O projeto Kubernetes já lançou uma correção na versão 17.0.14, e recomenda-se que os usuários atualizem imediatamente. Enquanto isso, uma solução temporária é mover os certificados CA personalizados para o armazenamento de confiança do sistema, embora isso amplie a confiança para todos os processos no host. As equipes devem auditar arquivos kubeconfig e monitorar logs para detectar possíveis explorações.

Pesquisadores de cibersegurança revelaram múltiplas vulnerabilidades críticas no Chaos Mesh, uma plataforma de Engenharia de Caos de código aberto, que podem permitir a tomada de controle de clusters em ambientes Kubernetes. As falhas, coletivamente chamadas de ‘Chaotic Deputy’, incluem a exposição de um servidor de depuração GraphQL sem autenticação, permitindo que atacantes executem comandos arbitrários e causem negação de serviço em todo o cluster. Além disso, três mutações no Chaos Controller Manager são vulneráveis a injeção de comandos do sistema operacional, com pontuações CVSS de até 9.8, indicando um alto nível de severidade. Um atacante com acesso à rede do cluster pode explorar essas vulnerabilidades para executar código remotamente e potencialmente roubar dados sensíveis ou interromper serviços críticos. Após a divulgação responsável em maio de 2025, a equipe do Chaos Mesh lançou uma atualização em agosto para corrigir as falhas. Os usuários são fortemente aconselhados a atualizar suas instalações imediatamente ou restringir o tráfego de rede para o daemon e servidor API do Chaos Mesh.

Uma vulnerabilidade crítica foi identificada nos sistemas LG WebOS TV, permitindo que atacantes não autorizados contornem a autenticação e assumam o controle administrativo completo do dispositivo. A falha, revelada durante a competição TyphoonPWN 2025, afeta modelos como o LG WebOS 43UT8050 e possivelmente outras versões do WebOS. O problema reside no daemon do serviço de navegador, que escuta automaticamente na porta TCP 18888 quando um dispositivo USB é conectado. Isso expõe um endpoint de API HTTP que, devido à falta de validação adequada do parâmetro de caminho, permite ataques de travessia de diretório. Um invasor pode acessar arquivos arbitrários no sistema de arquivos sem autenticação, transformando a interface de compartilhamento de arquivos da TV em uma porta dos fundos. A coleta de chaves de autenticação armazenadas pode permitir que atacantes se façam passar por dispositivos legítimos, ativando o modo de desenvolvedor e instalando aplicativos maliciosos. A LG já reconheceu a falha e lançou uma atualização de firmware para corrigir a vulnerabilidade. Os usuários são aconselhados a verificar e instalar a atualização imediatamente, além de evitar conectar dispositivos USB não confiáveis até que a atualização seja aplicada.

A Apple anunciou a correção de uma vulnerabilidade crítica (CVE-2025-43300) em seu componente ImageIO, que permite a corrupção de memória ao processar arquivos de imagem maliciosos. Com uma pontuação CVSS de 8.8, essa falha foi identificada como parte de ataques sofisticados direcionados a menos de 200 indivíduos. Além disso, a WhatsApp confirmou que uma vulnerabilidade em seus aplicativos para iOS e macOS (CVE-2025-55177, CVSS 5.4) foi encadeada com a falha da Apple, potencializando os riscos de espionagem. As atualizações de segurança foram disponibilizadas para várias versões do iOS e macOS, incluindo versões mais antigas, visando proteger dispositivos como iPhone 8, iPhone 6s e iPad Air 2. Embora não haja evidências de que as falhas tenham sido amplamente exploradas, a Apple recomenda que os usuários mantenham seus sistemas atualizados para garantir a proteção. Além da correção das vulnerabilidades mencionadas, a atualização também aborda outras falhas de segurança em componentes como Safari e WebKit, que poderiam permitir acesso não autorizado a dados sensíveis e causar falhas inesperadas no sistema.

A Microsoft anunciou a resolução de um problema crítico de compatibilidade de áudio que afetou usuários do Windows 11 versão 24H2, deixando muitos sem som em dispositivos Bluetooth, como fones de ouvido e alto-falantes. A falha, identificada como uma incompatibilidade com o componente cridspapo.dll da tecnologia de aprimoramento de som Dirac Audio, causou a inoperância total dos dispositivos de áudio após a atualização do sistema. Os usuários relataram que seus dispositivos Bluetooth não eram reconhecidos pelo Windows, tornando as tentativas de solução de problemas ineficazes. Para mitigar o problema, a Microsoft implementou uma medida de proteção que bloqueou a atualização para sistemas vulneráveis e trabalhou em conjunto com os desenvolvedores da Dirac Audio para criar um driver substituto que restabelece a funcionalidade de áudio. A correção foi disponibilizada em 12 de setembro de 2025, e os usuários podem verificar sua elegibilidade para a atualização através das configurações do Windows. Essa solução representa um alívio significativo para os usuários afetados, que foram forçados a usar conexões com fio ou reverter para versões anteriores do Windows para restaurar a funcionalidade de áudio.

Uma vulnerabilidade recentemente divulgada no módulo KSMBD do Kernel Linux permite a execução remota de código (RCE) não autenticada em sistemas que utilizam a versão 6.1.45 do Linux com KSMBD ativado. O KSMBD, que serve como um servidor SMB3 em espaço de kernel para compartilhamento de arquivos em rede, foi considerado mais eficiente em comparação com alternativas em espaço de usuário. No entanto, pesquisadores de segurança demonstraram um exploit estável que não requer interação do usuário, explorando duas vulnerabilidades conhecidas (CVE-2023-52440 e CVE-2023-4130) que foram corrigidas pela Zero Day Initiative no final de 2023 e início de 2024. O ataque começa com um estouro de heap não autenticado durante a autenticação NTLM, permitindo que um invasor manipule a memória do kernel. A exploração é facilitada por uma série de técnicas que burlam a aleatorização do espaço de endereçamento do kernel (KASLR), culminando na execução de um shell reverso em modo usuário, mantendo a estabilidade do kernel. Apesar de o KSMBD ser frequentemente desativado em ambientes de produção, sistemas que operam com o kernel 6.1.x não corrigido e expostos a redes não confiáveis permanecem vulneráveis. Administradores são aconselhados a atualizar para a versão 6.1.46 ou posterior, onde as vulnerabilidades foram corrigidas.

Uma equipe de acadêmicos da ETH Zürich e do Google descobriu uma nova variante do ataque RowHammer, chamada Phoenix (CVE-2025-6202, CVSS 7.1), que atinge chips de memória DDR5 da SK Hynix. O ataque é capaz de contornar mecanismos de proteção avançados, demonstrando que a correção de erros em chip (ECC) não é suficiente para impedir a exploração. O RowHammer é uma vulnerabilidade de hardware que provoca alterações indesejadas em bits adjacentes em chips DRAM devido ao acesso repetido a uma linha de memória. Essa nova variante permite a escalada de privilégios em sistemas desktop padrão equipados com memória DDR5, podendo comprometer chaves RSA-2048 e permitir acesso root em menos de 109 segundos. Os pesquisadores recomendam aumentar a taxa de atualização da memória para três vezes, o que impede a ativação do ataque. As descobertas ressaltam que, como os dispositivos DRAM não podem ser atualizados, a vulnerabilidade permanecerá por muitos anos, exigindo atenção contínua dos profissionais de segurança da informação.

Uma nova vulnerabilidade no IBM QRadar Security Information and Event Management (SIEM), identificada como CVE-2025-0164, permite que usuários locais privilegiados manipulem arquivos de configuração críticos, comprometendo a segurança das implementações afetadas. O problema decorre de uma atribuição inadequada de permissões e possui uma pontuação base CVSS 3.1 de 2.3. A falha permite que atacantes com privilégios elevados, como contas administrativas comprometidas ou insiders com acesso ao QRadar, possam sobrescrever ou alterar arquivos que controlam regras de detecção, políticas ou configurações de auditoria. Embora a vulnerabilidade não permita execução remota de código ou escalonamento de privilégios, ela enfraquece o modelo de defesa em profundidade, concedendo controle indevido sobre ativos sensíveis do sistema. A IBM lançou o Interim Fix 02 para a versão 7.5.0 UP13 do QRadar e recomenda que os clientes apliquem a atualização imediatamente. Além disso, é aconselhável que as organizações realizem auditorias nas contas de usuários locais e implementem autenticação multifatorial para consoles administrativos, a fim de minimizar o risco de comprometimento de credenciais.

O Burger King acionou a Lei de Direitos Autorais do Milênio Digital (DMCA) para remover um post de um pesquisador de segurança que revelou vulnerabilidades críticas em seu novo sistema de ‘Assistente’ no drive-thru. O hacker ético BobDaHacker publicou um relatório detalhando como atacantes poderiam contornar a autenticação, escutar pedidos de clientes e acessar registros sensíveis de funcionários. Apesar de a Restaurant Brands International (RBI) ter corrigido as falhas rapidamente, o conteúdo foi retirado do ar sob a alegação de uso indevido da marca e promoção de atividades ilegais. O post, que ficou disponível por menos de 48 horas, destacou falhas como a possibilidade de qualquer usuário se registrar e obter acesso a dados de todos os estabelecimentos que utilizam o sistema. Embora a RBI tenha enfatizado que não há armazenamento de dados de clientes a longo prazo, o incidente ressalta a necessidade urgente de proteger dados sensíveis, especialmente em plataformas em fase beta. A ação de remoção, em vez de silenciar o problema, acabou atraindo mais atenção para as falhas de segurança do sistema de IA do Burger King, evidenciando a importância de equilibrar inovação e segurança em tecnologias emergentes.

A Microsoft alertou que o suporte para o Windows 11 versão 22H2 terminará em 14 de outubro de 2025, o que significa que dispositivos que ainda utilizarem essa versão não receberão mais atualizações de segurança. Isso representa um risco significativo, pois sistemas não atualizados ficarão vulneráveis a ameaças cibernéticas, como exploits de dia zero e ransomware. A empresa recomenda que organizações, especialmente as do setor empresarial e educacional, atualizem para a versão 24H2 do Windows 11 para garantir a continuidade da proteção e acesso a novos recursos. A falta de atualizações pode resultar em violações de dados, interrupções operacionais e problemas de conformidade, especialmente em ambientes regulados. Além disso, a Microsoft oferece um programa de Atualizações de Segurança Estendidas (ESU) para aqueles que não conseguirem migrar a tempo, embora isso envolva custos adicionais. A preparação para a migração deve incluir a validação da compatibilidade de aplicativos e o treinamento da equipe de TI para uma implementação eficiente.

O artigo apresenta uma análise dos dez melhores serviços de teste de penetração em aplicativos móveis para 2025, destacando a importância dessa prática na segurança cibernética. Os testes de penetração são cruciais, pois as aplicações móveis são um vetor primário para vazamentos de dados, enfrentando ameaças únicas como armazenamento inseguro de dados e engenharia reversa. As empresas selecionadas foram avaliadas com base em sua experiência, confiabilidade e a riqueza de recursos oferecidos, como testes manuais e automatizados, integração com DevSecOps e análise de APIs. Entre as empresas destacadas estão Bluefire Redteam, NowSecure e Cobalt, que se destacam por suas metodologias robustas e plataformas de teste contínuo. O artigo enfatiza que um teste de penetração eficaz não apenas identifica vulnerabilidades, mas também fornece orientações práticas para mitigação, ajudando as organizações a protegerem os dados dos usuários e a atenderem requisitos de conformidade.

Em setembro de 2025, a Microsoft lançou uma atualização de segurança que corrige quatro falhas de elevação de privilégios no serviço Windows Defender Firewall, todas classificadas como importantes. As vulnerabilidades identificadas como CVE-2025-53808, CVE-2025-54104, CVE-2025-54109 e CVE-2025-54915 podem permitir que um atacante autenticado com privilégios elevados consiga acesso ao nível de Serviço Local, comprometendo a integridade do sistema. Três das falhas estão relacionadas a um erro de confusão de tipo, que ocorre quando um recurso é tratado como um tipo de dado diferente do que realmente é, levando à corrupção de memória. A exploração dessas falhas requer que o usuário esteja autenticado e pertença a um grupo restrito do Windows, o que limita a probabilidade de exploração, embora a gravidade das falhas ainda represente um risco significativo. A Microsoft recomenda que administradores e usuários apliquem as atualizações de setembro de 2025 imediatamente para mitigar esses riscos.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma vulnerabilidade crítica no software DELMIA Apriso da Dassault Systèmes em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). A falha, identificada como CVE-2025-5086, possui uma pontuação CVSS de 9.0, indicando um alto nível de risco. O problema afeta versões do software desde 2020 até 2025 e pode permitir a execução remota de código, resultando em sérios riscos de segurança. A CISA alertou que tentativas de exploração estão ativas, com ataques originando-se de um endereço IP localizado no México. Os ataques envolvem o envio de uma solicitação HTTP a um endpoint específico, utilizando um payload codificado em Base64 que se decodifica para um executável malicioso. O malware identificado como ‘Trojan.MSIL.Zapchast.gen’ é projetado para espionar atividades do usuário, coletando informações sensíveis. Diante da exploração ativa, as agências do governo dos EUA foram orientadas a aplicar atualizações até 2 de outubro de 2025 para proteger suas redes.

A Samsung lançou suas atualizações mensais de segurança para o Android, incluindo um patch para uma vulnerabilidade crítica identificada como CVE-2025-21043, que possui uma pontuação CVSS de 8.8. Essa falha, relacionada a uma escrita fora dos limites no arquivo libimagecodec.quram.so, permite que atacantes remotos executem código arbitrário em dispositivos afetados. A vulnerabilidade impacta as versões 13, 14, 15 e 16 do Android e foi divulgada à Samsung em 13 de agosto de 2025. Embora a empresa não tenha fornecido detalhes sobre como a vulnerabilidade está sendo explorada, reconheceu que um exploit já está em circulação. Essa situação surge após a Google ter resolvido duas falhas de segurança em Android que também estavam sendo exploradas em ataques direcionados. A correção é essencial para proteger os usuários de dispositivos Samsung contra possíveis ataques que possam comprometer a segurança de seus dados.

Um novo exploit, denominado VMScape, foi revelado, demonstrando que os processadores AMD Zen e Intel Coffee Lake ainda são vulneráveis a ataques de execução especulativa de guest para host, apesar das mitig ações de hardware implementadas. Ao contrário de técnicas anteriores que exigiam modificações no código do hipervisor, o VMScape opera em implementações KVM baseadas em QEMU não modificadas, permitindo que um VM (máquina virtual) controlado por um atacante vaze memória do host a uma taxa de 32 bytes por janela de especulação.

Uma vulnerabilidade crítica foi descoberta nos sistemas Daikin Security Gateway, permitindo que atacantes contornem todos os controles de autenticação e acessem sistemas de controle industrial sem autorização. Identificada como CVE-2025-10127, essa falha representa um risco significativo para organizações que dependem da infraestrutura de segurança da Daikin, especialmente no setor de energia. A vulnerabilidade se origina de um mecanismo fraco de recuperação de senha, que não verifica adequadamente a identidade do usuário, permitindo que um invasor redefina credenciais administrativas ou acesse o sistema diretamente. Pesquisadores da CISA alertaram que a exploração bem-sucedida pode comprometer a confidencialidade, integridade e disponibilidade dos sistemas afetados. A Daikin não planeja emitir um patch formal, deixando a responsabilidade de proteção nas mãos das organizações. Recomendações incluem isolar dispositivos de controle de sistemas da internet e implementar medidas de segurança adicionais, como autenticação em múltiplas camadas e monitoramento contínuo de logs de acesso.

A Oracle lançou a versão 7.2.2 do VirtualBox, uma atualização crítica que visa resolver falhas na interface gráfica do usuário (GUI) que afetavam máquinas virtuais (VMs) em plataformas Windows, Linux e macOS. Publicada em 10 de setembro de 2025, essa atualização traz melhorias significativas na confiabilidade dos fluxos de trabalho de virtualização, proporcionando uma experiência de usuário mais estável. Entre as correções, destaca-se a solução para travamentos frequentes na interface do VirtualBox Manager, especialmente ao gerenciar VMs com múltiplos snapshots. Além disso, foram abordados problemas de congelamento no Linux durante a inicialização e ao adicionar novas VMs. A atualização também melhora o suporte a hosts ARM, reduzindo o uso excessivo de CPU em VMs ociosas e garantindo um desempenho mais confiável. Outras melhorias incluem suporte para novos adaptadores de rede e correções na manipulação de DNS, aumentando a estabilidade da rede. A Oracle recomenda que todos os usuários do VirtualBox atualizem imediatamente para evitar interrupções nas operações diárias das VMs.

Uma vulnerabilidade de segurança foi identificada no editor de código Cursor, que utiliza inteligência artificial. O problema ocorre porque a configuração de segurança chamada ‘Workspace Trust’ está desativada por padrão, permitindo que atacantes executem código arbitrário nos computadores dos usuários ao abrir repositórios maliciosos. A análise da Oasis Security destaca que, com essa configuração desativada, um arquivo malicioso ‘.vscode/tasks.json’ pode transformar a simples ação de abrir uma pasta em uma execução silenciosa de código malicioso. Isso pode resultar em vazamento de credenciais sensíveis ou comprometer todo o sistema do usuário. Para mitigar esse risco, os usuários devem ativar o ‘Workspace Trust’, abrir repositórios não confiáveis em editores de código alternativos e realizar auditorias antes de usar o Cursor. Além disso, a pesquisa aponta que a segurança em ferramentas de desenvolvimento baseadas em IA enfrenta desafios adicionais, como injeções de prompt e vulnerabilidades clássicas, que ampliam a superfície de ataque. A situação é preocupante, pois a segurança deve ser uma prioridade em um ambiente de desenvolvimento cada vez mais dependente de IA.

Uma vulnerabilidade crítica foi identificada no User-ID Credential Agent da Palo Alto Networks, afetando versões anteriores à 11.0.3 no Windows. Essa falha permite que senhas de contas de serviço sejam expostas em texto claro, especialmente quando configuradas com permissões elevadas, como as de Server Operator ou Domain Join. Um usuário de domínio não privilegiado pode explorar mecanismos de leitura de arquivos ou despejo de memória para obter essas senhas. O impacto varia conforme o nível de privilégio da conta de serviço: contas minimamente privilegiadas podem resultar em interrupções nas operações do User-ID, enquanto contas com privilégios elevados podem permitir controle total do servidor, incluindo manipulação de domínio e comprometimento da rede. A Palo Alto Networks já lançou um patch para corrigir a vulnerabilidade, e recomenda que administradores atualizem suas versões para 11.0.3 ou superiores. Enquanto isso, é aconselhável que as organizações verifiquem as permissões de logon local concedidas a usuários de domínio nos Controladores de Domínio e adotem práticas recomendadas para a criação de contas de serviço dedicadas e minimamente privilegiadas.

Um novo ataque cibernético descoberto permite que usuários autenticados do ArgoCD, uma ferramenta popular de entrega contínua para Kubernetes, roubem credenciais do GitHub. O ataque explora a resolução de DNS do Kubernetes, enganando o servidor de repositório do ArgoCD a se conectar a um serviço controlado pelo atacante em vez do verdadeiro GitHub. Ao implantar um serviço malicioso, o atacante cria um registro DNS que redireciona o domínio github.com para um IP interno do cluster. Quando o ArgoCD busca manifestos via HTTPS, o atacante utiliza um certificado personalizado para inspecionar o cabeçalho de autorização e exfiltrar credenciais, incluindo tokens de autenticação e JWTs do GitHub. Para que o ataque seja bem-sucedido, a conta do ArgoCD comprometida deve ter permissões adequadas. O artigo também sugere medidas de mitigação, como aplicar princípios de menor privilégio e monitorar o tráfego interno. Essa vulnerabilidade é uma preocupação crescente, especialmente em um cenário onde a exfiltração de informações é um tema recorrente na cibersegurança.

Uma vulnerabilidade crítica no plugin etcd do CoreDNS foi revelada, permitindo que atacantes com acesso de escrita a daemons etcd fixem entradas de cache DNS indefinidamente, interrompendo atualizações de serviço. A falha, identificada como GHSA-93mf-426m-g6x9, resulta de um uso inadequado de identificadores de lease do etcd como valores de tempo de vida (TTL), levando a durações de cache extremas que podem durar anos. Usuários do CoreDNS versão 1.2.0 e superiores devem atualizar para a versão 1.12.4 imediatamente para mitigar esse problema de alta severidade. O erro ocorre na função TTL() do arquivo plugin/etcd/etcd.go, onde um ID de lease de 64 bits é tratado como um inteiro sem sinal de 32 bits, resultando em valores de TTL extremamente altos. Isso faz com que resolvers e clientes armazenem respostas DNS por períodos muito além do esperado, ignorando mudanças legítimas de serviço. Para explorar a vulnerabilidade, um atacante precisa apenas de privilégios de escrita no etcd, que podem ser obtidos por meio de contas de serviço comprometidas ou configurações inadequadas. A atualização do CoreDNS corrige o cálculo do TTL e introduz limites configuráveis para evitar durações de cache excessivas. É recomendado que operadores de instâncias vulneráveis apliquem o patch imediatamente e revisem os controles de acesso do etcd.

Uma nova vulnerabilidade de alta severidade (CVE-2025-59052) foi descoberta na funcionalidade de renderização do lado do servidor (SSR) do Angular, colocando em risco dados de usuários. Essa falha permite que atacantes acessem informações de outras sessões durante operações de alta concorrência. O problema se origina de uma condição de corrida global no injetor da plataforma SSR do Angular, que armazena dados específicos de cada requisição durante a renderização. Quando múltiplas requisições são processadas simultaneamente, o estado do injetor global pode ser compartilhado ou sobrescrito, resultando em vazamento de dados entre requisições. Isso significa que dados sensíveis, como tokens de autenticação e configurações de usuários, podem ser inadvertidamente retornados a usuários não autorizados. A exploração da falha não requer privilégios especiais ou interação do usuário, tornando-a um risco significativo para aplicações web de alto tráfego. O Angular já lançou correções automáticas para as versões 18, 19 e 20, e recomenda que as equipes desativem o SSR ou removam lógica assíncrona de funções de bootstrap personalizadas até que as atualizações sejam implementadas.

Uma vulnerabilidade crítica de execução remota de código (RCE) foi identificada no Cursor AI Code Editor, permitindo que atacantes executem comandos arbitrários na máquina de um desenvolvedor assim que uma pasta de projeto é aberta. Descoberta pela equipe de pesquisa da Oasis Security, a falha explora uma configuração padrão do Cursor que desativa o recurso ‘Workspace Trust’, semelhante ao do Visual Studio Code, mas que não solicita consentimento do usuário. Com isso, um invasor pode criar um repositório malicioso contendo um arquivo .vscode/tasks.json configurado para executar comandos automaticamente ao abrir a pasta comprometida. Isso pode resultar na instalação de backdoors, exfiltração de arquivos ou modificação de configurações do sistema, colocando em risco credenciais de alto privilégio armazenadas nas estações de trabalho dos desenvolvedores. A vulnerabilidade pode ser um ponto de partida para ataques em cadeia, comprometendo pipelines de CI/CD e infraestrutura em nuvem. A Cursor reconheceu o problema e planeja publicar orientações de segurança atualizadas, enquanto recomenda-se que equipes de desenvolvimento ativem manualmente o ‘Workspace Trust’ e evitem abrir repositórios não confiáveis em ambientes isolados.

Uma falha de segurança crítica foi identificada no ponto de acesso Bluetooth Amp’ed RF BT-AP 111, que expõe sua interface administrativa baseada em HTTP sem controles de autenticação. O dispositivo, que suporta até sete conexões Bluetooth simultâneas e oferece Universal Plug and Play (UPnP) em sua porta Ethernet, permite que qualquer dispositivo na mesma rede solicite o endpoint HTTP e visualize ou modifique configurações críticas. Essa vulnerabilidade, rastreada como CVE-2025-9994, permite que atacantes não autenticados alterem modos de emparelhamento Bluetooth, ajustem parâmetros de rede e até mesmo façam upload de firmware malicioso, comprometendo completamente o dispositivo. A ausência de autenticação contraria as diretrizes do NIST, que exigem controles de segurança para dispositivos Bluetooth. A situação é especialmente preocupante para organizações que utilizam o BT-AP 111 em ambientes mistos ou não confiáveis, pois isso pode permitir que atacantes estabeleçam pontos de acesso persistentes em redes corporativas. Até o momento, não há orientações de remediação ou atualizações de firmware disponíveis, e a recomendação é isolar os dispositivos em redes seguras e monitorar acessos HTTP.

Uma nova vulnerabilidade, identificada como CVE-2025-24132, foi revelada, permitindo que atacantes explorem os protocolos sem fio do Apple CarPlay para obter privilégios de root em sistemas multimídia de veículos. Apresentada na conferência DefCon, a falha é um estouro de buffer na SDK do AirPlay, destacando os riscos críticos que veículos conectados enfrentam e a necessidade urgente de uma implementação coordenada de patches na indústria automotiva. O ataque se aproveita do emparelhamento Bluetooth padrão ‘Just Works’, permitindo que um invasor se passe por um iPhone e solicite credenciais de Wi-Fi sem interação do usuário. Uma vez conectado, o atacante pode obter informações de configuração da rede e explorar a vulnerabilidade do AirPlay. Apesar de a Apple ter lançado versões corrigidas do SDK, a adoção dessas correções por montadoras é lenta, o que deixa milhões de veículos vulneráveis. A colaboração proativa entre fabricantes de equipamentos originais (OEMs) e fornecedores de software é essencial para mitigar esses riscos e garantir que todos os veículos com CarPlay recebam proteção em tempo hábil.

O GitLab lançou atualizações de patch (18.3.2, 18.2.6 e 18.1.6) para suas edições Community e Enterprise, abordando vulnerabilidades críticas que podem resultar em negação de serviço (DoS) e ataques de Server-Side Request Forgery (SSRF). As instalações autogeridas devem atualizar imediatamente, pois a versão do GitLab.com já está corrigida. A vulnerabilidade mais grave (CVE-2025-6454) permite que usuários autenticados injetem sequências maliciosas em cabeçalhos personalizados de Webhook, potencialmente desencadeando requisições internas indesejadas. Com um CVSS de 8.5, essa falha representa um risco significativo à confidencialidade e integridade dos dados. Além disso, duas falhas de DoS de alta severidade (CVE-2025-2256 e CVE-2025-1250) podem permitir que atacantes esgotem recursos do sistema. O GitLab recomenda que os administradores atualizem suas instalações sem demora, garantindo a segurança contra esses riscos. As versões afetadas vão da 7.8 até antes das versões de patch mencionadas, e a atualização é essencial para evitar a exploração dessas vulnerabilidades.