Vulnerabilidade

Uma vulnerabilidade crítica de execução remota de código foi identificada na edição on-premise do LANSCOPE Endpoint Manager, permitindo que atacantes não autenticados executem comandos arbitrários com altos privilégios nos sistemas afetados. A falha, rastreada como CVE-2025-61932, afeta tanto o Programa Cliente (MR) quanto o Agente de Detecção (DA) nas versões 9.4.7.1 e anteriores. Pesquisadores de segurança descobriram que pacotes de rede especialmente elaborados podem acionar um erro severo no cliente MR e no agente DA, contornando todos os requisitos de interação do usuário, como cliques ou abertura de e-mails. Tentativas de exploração no mundo real já foram observadas, tornando a aplicação de patches urgente. A edição on-premise é a única afetada, enquanto a edição em nuvem permanece segura. Um patch já está disponível no portal de suporte oficial da LANSCOPE, e é crucial que todas as máquinas que executam a edição on-premise sejam atualizadas imediatamente para mitigar o risco de exploração.

O Apache Syncope revelou uma vulnerabilidade crítica, identificada como CVE-2025-57738, que permite que administradores autenticados executem código arbitrário em sistemas afetados. Essa falha afeta todas as versões do Apache Syncope 3.x anteriores à 3.0.14 e 4.x anteriores à 4.0.2, expondo as organizações a riscos significativos de comprometimento do sistema por meio da injeção de código Groovy malicioso.

A vulnerabilidade reside na implementação personalizada do Syncope, que permite que administradores estendam a funcionalidade central ao enviar código Java ou Groovy. Enquanto as extensões Java requerem arquivos JAR pré-compilados, os scripts Groovy podem ser enviados como código-fonte simples e compilados em tempo de execução, sem restrições de segurança. Isso significa que qualquer administrador com permissão para criar ou atualizar implementações Groovy pode injetar scripts que o servidor executa com privilégios totais.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta sobre uma grave vulnerabilidade no Microsoft Windows Server Message Block (SMB), identificada como CVE-2025-33073. Essa falha de controle de acesso inadequado permite que atacantes escalem privilégios em sistemas comprometidos, possibilitando o controle total sobre eles. A vulnerabilidade está sendo ativamente explorada em ataques reais, o que representa uma ameaça significativa para redes federais e infraestrutura crítica. A CISA incluiu essa vulnerabilidade em seu catálogo de Vulnerabilidades Conhecidas e Exploited, exigindo que agências federais a corrijam até 10 de novembro de 2025. Organizações que utilizam sistemas Windows são aconselhadas a revisar as orientações de atualização de segurança da Microsoft e aplicar patches imediatamente. Embora não haja confirmação de que essa vulnerabilidade esteja ligada a ataques de ransomware, falhas de escalonamento de privilégios são frequentemente utilizadas por grupos de ransomware. A rápida ação das organizações é crucial para proteger seus sistemas contra esses ataques, destacando a importância de práticas eficazes de gerenciamento de vulnerabilidades.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou cinco falhas de segurança ao seu Catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), incluindo uma vulnerabilidade crítica no Oracle E-Business Suite (EBS). A falha CVE-2025-61884, com uma pontuação CVSS de 7.5, é uma vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF) que permite acesso não autorizado a dados críticos sem necessidade de autenticação. Além disso, a CISA destacou a CVE-2025-61882, uma falha crítica com pontuação CVSS de 9.8, que permite a execução de código arbitrário por atacantes não autenticados. Ambas as vulnerabilidades estão sendo ativamente exploradas em ataques reais, afetando diversas organizações. Outras vulnerabilidades listadas incluem falhas em Microsoft Windows e Kentico Xperience CMS, que também apresentam riscos significativos. As agências federais dos EUA devem corrigir essas vulnerabilidades até 10 de novembro de 2025 para proteger suas redes contra ameaças ativas.

Em 14 de outubro de 2025, a Microsoft lançou um patch abrangente que corrige 183 falhas de segurança em seus produtos relacionados ao Windows, incluindo três vulnerabilidades zero-day que estavam sendo ativamente exploradas. Este lançamento ocorre após o término do suporte ao Windows 10, exceto para usuários do programa de Atualizações de Segurança Estendidas (ESU). Das 183 correções, 165 foram classificadas como ‘importantes’, 17 como ‘críticas’ e apenas uma como ‘moderada’. As vulnerabilidades abordadas incluem elevação de privilégios, execução remota de código e vazamento de informações. As falhas zero-day mais preocupantes são CVE-2025-24990 e CVE-2025-59230, ambas permitindo que hackers executem códigos com privilégios elevados. A primeira será resolvida com a remoção do driver afetado, enquanto a segunda é a primeira vulnerabilidade no gerenciamento de conexão de acesso remoto a ser explorada dessa forma. Além disso, a CVE-2025-47827, que contorna o Secure Boot, apresenta um risco baixo, pois requer acesso físico ao dispositivo. A correção dessas vulnerabilidades é crucial para proteger usuários e empresas que ainda utilizam o Windows 10.

Uma vulnerabilidade crítica nos dispositivos de segurança de rede Firebox da WatchGuard pode permitir que um atacante remoto e não autenticado execute código arbitrário, comprometendo redes corporativas. A falha, identificada como CVE-2025-9242, está relacionada ao gerenciamento de conexões VPN IKEv2 e recebeu uma pontuação de severidade crítica de 9.3 em 10. Essa vulnerabilidade é um problema de escrita fora dos limites dentro do processo iked do sistema operacional Fireware, que gerencia trocas de chaves IKEv2 para VPNs. Os atacantes podem explorar essa falha enviando um pacote especialmente elaborado a um dispositivo afetado, provocando um estouro de buffer baseado em pilha. A WatchGuard recomenda que os clientes atualizem seus sistemas imediatamente, com versões corrigidas já disponíveis. A vulnerabilidade afeta uma ampla gama de modelos Firebox, incluindo dispositivos de pequeno escritório e unidades empresariais maiores, com um potencial de ataque significativo, dado que a empresa protege mais de 250.000 negócios e 10 milhões de endpoints. Administradores são aconselhados a priorizar a aplicação de patches para evitar possíveis explorações, especialmente por grupos de ransomware.

Pesquisadores de cibersegurança revelaram uma vulnerabilidade crítica no WatchGuard Fireware, identificada como CVE-2025-9242, com uma pontuação CVSS de 9.3. Essa falha, que afeta versões do Fireware OS de 11.10.2 até 12.11.3 e 2025.1, permite que atacantes não autenticados executem código arbitrário. A vulnerabilidade está relacionada ao processo ‘ike2_ProcessPayload_CERT’, que não verifica corretamente o comprimento do buffer de identificação do cliente, possibilitando um estouro de buffer durante a fase de autenticação do IKE_SA_AUTH, essencial para a criação de um túnel VPN. Embora a validação do certificado ocorra, ela acontece após a execução do código vulnerável, permitindo que o ataque seja realizado antes da autenticação. A WatchGuard já lançou patches para corrigir a falha em várias versões do Fireware. A análise da WatchTowr Labs destaca que essa vulnerabilidade é atraente para grupos de ransomware, pois permite a execução de código em um serviço exposto à internet. A falta de um shell interativo não impede que um invasor obtenha controle sobre o sistema, podendo escalar privilégios e acessar um shell Linux completo. Dada a gravidade da falha, é crucial que as organizações que utilizam o Fireware atualizem seus sistemas imediatamente.

O Windows 10 recebeu sua última atualização de segurança, que corrige 172 falhas, incluindo seis vulnerabilidades zero-day. Essas falhas representam riscos significativos, pois são brechas que podem ser exploradas por atacantes antes que a Microsoft tenha a chance de lançar um patch. Entre as vulnerabilidades corrigidas, destacam-se problemas no Gerenciador de Conexão de Acesso Remoto do Windows, uma falha de bypass no Secure Boot e uma vulnerabilidade no TPM 2.0, que é essencial para a atualização para o Windows 11. A situação é alarmante, pois, sem atualizações de segurança, o sistema operacional pode se tornar um alvo fácil para cibercriminosos ao longo do tempo. A Microsoft oferece um programa de Atualizações de Segurança Estendidas (ESU) que permite aos usuários obter suporte adicional, o que é crucial para aqueles que ainda utilizam o Windows 10 após o fim do suporte oficial em outubro de 2025. Ignorar essas atualizações pode resultar em um aumento exponencial de vulnerabilidades, tornando o sistema cada vez mais inseguro.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou uma vulnerabilidade crítica do Microsoft Windows ao seu catálogo de Vulnerabilidades Conhecidas e Exploited (KEV), alertando que atacantes estão explorando ativamente essa falha em ataques reais. A vulnerabilidade, identificada como CVE-2025-59230, afeta o componente Gerenciador de Conexão de Acesso Remoto do Windows e permite que atacantes aumentem seus privilégios em sistemas comprometidos. Isso significa que um invasor com acesso limitado pode obter permissões mais altas, possibilitando a execução de código malicioso, acesso a dados sensíveis e movimentação lateral em redes interconectadas. A CISA ordenou que agências federais apliquem patches de segurança até 4 de novembro, e recomenda que todas as organizações priorizem a correção dessa falha. Dada a exploração ativa e a urgência do alerta, as equipes de segurança devem tratar essa vulnerabilidade como uma prioridade alta para evitar possíveis violações e comprometimentos de sistemas.

Uma vulnerabilidade severa na implementação do servidor WINS do Samba para controladores de domínio do Active Directory foi divulgada, permitindo que atacantes não autenticados executem código arbitrário em sistemas vulneráveis. Identificada como CVE-2025-10230, a falha possui uma pontuação CVSS 3.1 de 10.0, destacando seu alto risco e facilidade de exploração. Todas as versões do Samba desde a 4.0 com suporte a WINS habilitado e o parâmetro wins hook configurado estão afetadas, o que pode expor uma infinidade de serviços de diretório corporativo a compromissos.

Pesquisadores de cibersegurança revelaram uma nova campanha, chamada Operação Zero Disco, que explora uma vulnerabilidade crítica no Cisco IOS e IOS XE para implantar rootkits em sistemas Linux mais antigos. A falha, identificada como CVE-2025-20352, possui uma pontuação CVSS de 7.7 e permite que atacantes remotos autenticados executem código arbitrário ao enviar pacotes SNMP manipulados. Embora a Cisco tenha lançado um patch para a vulnerabilidade, ataques reais já estavam em andamento, utilizando essa falha como um zero-day. Os dispositivos mais afetados incluem as séries Cisco 9400, 9300 e 3750G. Os rootkits implantados possibilitam acesso não autorizado persistente, configurando senhas universais e instalando hooks na memória do daemon IOS. Os atacantes também tentaram explorar uma vulnerabilidade no Telnet, permitindo acesso à memória em endereços arbitrários. A operação se destacou por atingir sistemas Linux antigos sem soluções de detecção de endpoint, permitindo que os rootkits operassem sem serem detectados. A utilização de endereços IP e e-mails falsificados também foi observada durante as intrusões.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou uma falha de segurança crítica no Adobe Experience Manager (AEM) ao seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), após evidências de exploração ativa. A vulnerabilidade, identificada como CVE-2025-54253, possui uma pontuação CVSS de 10.0, indicando severidade máxima, e pode permitir a execução de código arbitrário. A falha afeta as versões 6.5.23.0 e anteriores do AEM Forms em JEE e foi corrigida na versão 6.5.0-0108, lançada em agosto de 2025. O problema decorre de um servlet exposto, que avalia expressões OGNL fornecidas pelo usuário como código Java, sem exigir autenticação ou validação de entrada. Embora não haja informações públicas sobre como a falha está sendo explorada em ataques reais, a Adobe reconheceu a existência de um proof-of-concept disponível publicamente. Em resposta à exploração ativa, as agências do Federal Civilian Executive Branch (FCEB) foram orientadas a aplicar as correções necessárias até 5 de novembro de 2025.

O artigo de Arthur Capella discute a crescente complexidade da cibersegurança em um ambiente de trabalho distribuído e digitalizado, onde a migração para a nuvem e a adoção de inteligência artificial (IA) aumentam tanto o valor quanto o risco. A superfície de ataque se expandiu mais rapidamente do que a capacidade das empresas de medir e responder a essas ameaças. A gestão de exposição é apresentada como uma disciplina estratégica, essencial para priorizar riscos com base no impacto nos negócios, em vez de se concentrar apenas em uma lista de vulnerabilidades. O autor destaca a escassez de profissionais qualificados em cibersegurança e a limitação orçamentária como desafios constantes. Além disso, enfatiza que apenas 3% das vulnerabilidades frequentemente resultam em riscos significativos, tornando a priorização crucial. O artigo conclui que, em vez de tentar eliminar todos os riscos, as empresas devem focar em fechar as portas que realmente importam, equilibrando inovação e segurança.

Pesquisadores de cibersegurança da Trend Micro descobriram uma campanha de ataque sofisticada chamada “Operação Zero Disco”, que explora uma vulnerabilidade crítica no protocolo SNMP da Cisco para implantar rootkits Linux em dispositivos de infraestrutura de rede. A vulnerabilidade, identificada como CVE-2025-20352, permite a execução remota de código (RCE) em modelos de switches Cisco mais antigos, como as séries 9400, 9300 e 3750G. Os atacantes conseguem estabelecer acesso persistente e evitar sistemas de detecção, utilizando senhas universais que comprometem a segurança dos dispositivos. Além disso, a campanha demonstra técnicas avançadas de infiltração na rede, como manipulação de VLANs e spoofing de ARP, permitindo que os invasores contornem múltiplas camadas de segurança. A Cisco confirmou que a falha afeta diversos modelos de switches, sendo os 3750G os mais vulneráveis devido à falta de proteções modernas. A Trend Micro recomenda o uso de suas soluções de segurança para detectar e mitigar esses ataques, mas alerta que não há ferramentas automatizadas confiáveis para verificar se um switch Cisco foi comprometido, exigindo investigação manual.

Uma nova vulnerabilidade no Internet Information Services (IIS) da Microsoft, identificada como CVE-2025-59282, possibilita que atacantes executem código arbitrário em sistemas afetados. A falha decorre de uma condição de corrida e de um cenário de uso após liberação em componentes de memória compartilhada. Classificada como importante, a vulnerabilidade possui um escore CVSS 3.1 de 7.0, indicando que, embora a exploração seja considerada local, um invasor precisa persuadir um usuário legítimo a abrir um arquivo malicioso. A complexidade do ataque é alta, exigindo um tempo preciso para explorar a falha de sincronização. A Microsoft lançou um patch em 14 de outubro de 2025, recomendando que todas as versões suportadas do Windows Server com IIS sejam atualizadas imediatamente. Organizações devem revisar suas instalações do IIS e desativar recursos de objetos COM inbox, a menos que sejam explicitamente necessários. Medidas como a lista de permissões de aplicativos podem ajudar a prevenir a execução de arquivos não confiáveis.

A Microsoft anunciou a remoção do driver legado do modem Agere (ltmdm64.sys) do Windows devido à descoberta de duas vulnerabilidades de elevação de privilégios, identificadas como CVE-2025-24052 e CVE-2025-24990. Ambas as falhas afetam todas as versões suportadas do Windows e permitem que atacantes obtenham privilégios de administrador sem interação do usuário. A primeira vulnerabilidade, CVE-2025-24052, é um estouro de buffer baseado em pilha, classificada como ‘Importante’ com um escore CVSS de 7.8, que pode ser explorada localmente por usuários com baixos privilégios. A segunda, CVE-2025-24990, resulta de uma fraqueza de desreferência de ponteiro não confiável e já foi explorada ativamente. Em vez de lançar patches, a Microsoft optou por remover completamente o driver, o que pode impactar dispositivos que ainda dependem de modems analógicos. As organizações devem auditar seus sistemas para identificar dependências de hardware legado e considerar migrações para alternativas suportadas. A recomendação é eliminar qualquer dependência desse hardware para evitar interrupções nos serviços.

No dia 15 de outubro de 2025, a Microsoft lançou correções para 183 falhas de segurança em seus produtos, incluindo três vulnerabilidades que estão sendo ativamente exploradas. Este lançamento ocorre em um momento crítico, pois a empresa encerrou oficialmente o suporte ao Windows 10, exceto para PCs que participam do programa de Atualizações de Segurança Estendidas (ESU). Das 183 vulnerabilidades, 165 foram classificadas como importantes, 17 como críticas e uma como moderada. As falhas mais preocupantes incluem duas vulnerabilidades de elevação de privilégios (CVE-2025-24990 e CVE-2025-59230), que permitem a execução de código com privilégios elevados. Além disso, uma vulnerabilidade de bypass de Secure Boot (CVE-2025-47827) foi identificada no IGEL OS, que pode permitir a instalação de rootkits. Todas essas falhas foram adicionadas ao catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV) da CISA, exigindo que agências federais apliquem os patches até 4 de novembro de 2025. O impacto dessas vulnerabilidades pode ser significativo, especialmente em ambientes corporativos que utilizam amplamente as tecnologias da Microsoft.

A Oracle lançou um patch para a vulnerabilidade crítica CVE-2025-61884, que afeta sua E-Business Suite. Esta falha permite que atacantes não autenticados acessem recursos sensíveis remotamente, sem a necessidade de credenciais. A vulnerabilidade foi supostamente explorada pelo grupo ShinyHunters, que tem um histórico de roubo de dados corporativos de várias organizações. O patch é uma resposta a um aumento nos ataques, incluindo campanhas de extorsão por ransomware. A Oracle já havia lançado um patch anterior para outra vulnerabilidade na mesma suíte, CVE-2025-61882, que permitia a um atacante não autenticado comprometer o componente de Processamento Concorrente da E-Business Suite. A empresa recomenda que os clientes mantenham suas versões atualizadas e apliquem os patches de segurança imediatamente. O aumento das ameaças direcionadas a usuários da E-Business Suite destaca a necessidade de vigilância contínua e atualização de sistemas para evitar compromissos de segurança.

Em 15 de outubro de 2025, a Microsoft lançou sua atualização mensal de segurança, conhecida como Patch Tuesday, corrigindo um total de 172 vulnerabilidades em seu ecossistema de produtos. Dentre essas, destacam-se quatro falhas zero-day, sendo que duas delas estão ativamente sendo exploradas por atacantes. A vulnerabilidade CVE-2025-59230, por exemplo, permite que atacantes locais elevem seus privilégios no Windows Remote Access Connection Manager. Além disso, foram corrigidas falhas críticas de execução remota de código (RCE) em aplicativos como Microsoft Office e Excel, que podem conceder controle total do sistema ao abrir arquivos maliciosos. A atualização também abrange 80 vulnerabilidades de elevação de privilégio, que permitem que atacantes já dentro do sistema aumentem suas permissões, e uma variedade de outras falhas, incluindo problemas de divulgação de informações e bypass de recursos de segurança. A amplitude das correções enfatiza a necessidade urgente de que as organizações apliquem essas atualizações para se protegerem contra ameaças cibernéticas emergentes.

O Google lançou uma atualização crítica para o Chrome, versão 141.0.7390[.]107/.108, que corrige uma falha de segurança de alta gravidade, identificada como CVE-2025-11756. Essa vulnerabilidade, descoberta por um pesquisador externo, permite a execução de código arbitrário devido a um erro ‘Use-After-Free’ no componente Safe Browsing do navegador. Ao manipular a vida útil de objetos durante verificações de URLs maliciosas, um atacante pode corromper a memória, potencialmente comprometendo o processo de renderização privilegiado do Chrome.

A SAP lançou correções de segurança para 13 novas vulnerabilidades, incluindo uma falha de alta severidade no SAP NetWeaver AS Java, que pode permitir a execução arbitrária de comandos. Essa vulnerabilidade, identificada como CVE-2025-42944, possui um score CVSS de 10.0 e é classificada como uma falha de deserialização insegura. Um atacante não autenticado pode explorar essa falha através do módulo RMI-P4, enviando um payload malicioso para uma porta aberta, o que compromete a confidencialidade, integridade e disponibilidade do sistema. Além disso, a SAP corrigiu uma falha de travessia de diretório (CVE-2025-42937, CVSS 9.8) no SAP Print Service e uma vulnerabilidade de upload de arquivos não restrito (CVE-2025-42910, CVSS 9.0) no SAP Supplier Relationship Management. Embora não haja evidências de exploração ativa dessas falhas, é crucial que os usuários apliquem as correções o mais rápido possível. A empresa Pathlock destacou que a deserialização continua sendo um risco significativo, e a SAP implementou uma configuração de JVM endurecida para mitigar esses riscos.

Pesquisadores de cibersegurança revelaram uma falha crítica no software de discagem automática ICTBroadcast, que está sendo ativamente explorada. A vulnerabilidade, identificada como CVE-2025-2611, possui uma pontuação CVSS de 9.3 e está relacionada à validação inadequada de entradas, permitindo a execução remota de código não autenticado. Essa falha afeta as versões 7.4 e anteriores do ICTBroadcast, um aplicativo amplamente utilizado em call centers. Os atacantes estão utilizando a injeção de comandos via cookie BROADCAST para executar comandos no servidor vulnerável. A exploração foi detectada em 11 de outubro, com ataques ocorrendo em duas fases: primeiro, uma verificação de exploração baseada em tempo, seguida por tentativas de estabelecer shells reversos. Os atacantes injetaram um comando codificado em Base64 que traduz para ‘sleep 3’ no cookie, confirmando a execução do comando. A situação é preocupante, pois cerca de 200 instâncias online estão expostas. Não há informações disponíveis sobre o status de correção da falha, e a ICT Innovations ainda não se pronunciou sobre o assunto.

Pesquisadores de cibersegurança revelaram duas falhas críticas que afetam os produtos de unidade terminal remota (RTU) da Red Lion Sixnet. As vulnerabilidades, identificadas como CVE-2023-40151 e CVE-2023-42770, possuem uma pontuação máxima de 10.0 no sistema CVSS, indicando seu alto nível de gravidade. Ambas as falhas permitem que um atacante não autenticado execute comandos com privilégios de root, o que pode levar a uma execução remota de código. A primeira vulnerabilidade, CVE-2023-42770, é um bypass de autenticação que ocorre porque o software RTU escuta na mesma porta (1594) para UDP e TCP, aceitando mensagens TCP sem autenticação. A segunda, CVE-2023-40151, permite a execução de comandos de shell Linux devido ao suporte embutido do driver Universal da Sixnet. Os dispositivos afetados são amplamente utilizados em setores críticos, como energia e tratamento de água, e a exploração dessas falhas pode causar interrupções significativas nos processos industriais. A Red Lion recomenda que os usuários apliquem patches e habilitem a autenticação de usuários para mitigar os riscos. A CISA também emitiu um alerta sobre essas vulnerabilidades, destacando a necessidade urgente de ação por parte dos administradores de sistemas.

Pesquisadores da Trend Micro identificaram duas vulnerabilidades graves no 7-Zip, um popular aplicativo de compactação de arquivos. As falhas, conhecidas como CVE-2025-11001 e CVE-2025-11002, permitem que cibercriminosos obtenham controle remoto do computador da vítima ao explorar um problema no sistema de análise de links simbólicos em arquivos ZIP. Embora o desenvolvedor Igor Pavlov tenha lançado um patch em julho para corrigir as falhas, o 7-Zip não possui um sistema de atualização automática, o que significa que os usuários precisam atualizar manualmente o software. Isso deixou muitos usuários expostos a ataques por meses, sem saber da necessidade de atualização. A versão corrigida é a 25.00, lançada em 5 de julho, seguida pela versão 25.01 em agosto. Os especialistas recomendam que os usuários baixem a nova versão imediatamente e evitem abrir arquivos ZIP de fontes não confiáveis, especialmente em ambientes corporativos, onde a atualização manual pode escapar de sistemas de gerenciamento de patches.

Uma vulnerabilidade crítica de corrupção de memória foi identificada no SAP NetWeaver AS ABAP e na Plataforma ABAP, classificada como CVE-2025-42902. Essa falha permite que atacantes não autenticados provoquem a queda de processos do servidor ao enviar tickets de logon SAP ou tickets de afirmação SAP malformados. Avaliada como média, com um escore CVSS 3.1 de 5.3, a vulnerabilidade resulta de uma desreferenciação de ponteiro NULL durante a análise dos tickets, levando à corrupção de memória e à terminação do processo. A SAP divulgou um aviso e patches em 14 de outubro de 2025, recomendando que os administradores apliquem as atualizações imediatamente. A falha afeta todas as versões suportadas do SAP NetWeaver, abrangendo desde a versão 7.22 até a 9.16. Embora a confidencialidade e a integridade não sejam comprometidas, a disponibilidade do sistema pode ser severamente afetada por meio de envios repetidos de tickets malformados, resultando em condições de negação de serviço. A SAP também sugere desabilitar a aceitação de tickets de logon externos como uma solução temporária, embora isso possa interromper logins federados legítimos.

Pesquisadores da Universidade da Califórnia e outras instituições descobriram uma vulnerabilidade em dispositivos Android da Google e Samsung, que pode ser explorada por meio de um ataque chamado ‘Pixnapping’. Este ataque permite que aplicativos maliciosos capturem códigos de autenticação de dois fatores (2FA), cronogramas do Google Maps e outros dados sensíveis sem o conhecimento do usuário. O método utiliza APIs do Android e um canal lateral de hardware, permitindo que um aplicativo malicioso intercepte dados de outros aplicativos, mesmo sem permissões especiais. O ataque foi testado em cinco dispositivos com Android entre as versões 13 e 16, mas a metodologia pode ser aplicada a todos os dispositivos Android. O Google já está ciente da vulnerabilidade, identificada como CVE-2025-48561, e lançou patches em setembro de 2025. No entanto, um método alternativo para reativar o ataque foi descoberto, e a empresa está trabalhando em uma solução definitiva. A vulnerabilidade também permite que atacantes verifiquem se aplicativos específicos estão instalados no dispositivo, contornando restrições implementadas nas versões mais recentes do Android.

A fabricante de chips AMD divulgou correções para uma vulnerabilidade de segurança conhecida como RMPocalypse, que pode ser explorada para comprometer as garantias de computação confidencial oferecidas pela Virtualização Segura Encriptada com Paginação Aninhada Segura (SEV-SNP). Pesquisadores da ETH Zürich identificaram que a falha permite a execução de uma única gravação de memória na tabela de Reverse Map Paging (RMP), uma estrutura que armazena metadados de segurança para todas as páginas de DRAM no sistema. A vulnerabilidade, classificada como CVE-2025-0033, resulta de uma condição de corrida durante a inicialização do Processador Seguro da AMD (PSP), que pode permitir que um hipervisor malicioso manipule o conteúdo inicial da RMP, comprometendo a integridade da memória dos convidados SEV-SNP. A exploração bem-sucedida dessa falha pode permitir que atacantes acessem informações sensíveis e manipulem o ambiente de máquinas virtuais. A AMD confirmou que os processadores EPYC 7003, 8004, 9004 e 9005 estão entre os afetados, e atualizações de BIOS estão sendo preparadas para mitigar a vulnerabilidade. A Microsoft e a Supermicro também estão trabalhando em soluções para seus sistemas afetados.

No dia 14 de outubro de 2025, o Windows 10 entra na fase de ‘Fim de Vida’ (End of Life), o que significa que a Microsoft não fornecerá mais suporte oficial para este sistema operacional. Isso implica a interrupção de atualizações, correções de bugs e, principalmente, patches de segurança, deixando milhões de usuários vulneráveis a ameaças cibernéticas. Apesar de já ter mais de uma década, o Windows 10 ainda é utilizado por uma grande base de usuários, e a Microsoft está incentivando a migração para o Windows 11. Além disso, empresas concorrentes, como a Apple, estão aproveitando essa transição para atrair usuários do Windows 10. Para ajudar os usuários a entenderem os riscos associados à permanência no Windows 10, a Microsoft disponibiliza ferramentas que permitem verificar a compatibilidade do hardware para a atualização. O artigo também oferece um blog ao vivo com opiniões de especialistas e dicas para facilitar a transição. A falta de suporte pode resultar em um aumento significativo de vulnerabilidades, tornando essencial que os usuários considerem a atualização para garantir a segurança de seus sistemas.

Pesquisadores de segurança revelaram uma vulnerabilidade crítica no framework Guardrails da OpenAI, que pode ser explorada através de métodos simples de injeção de prompt. Essa técnica permite que atacantes manipulem os modelos de linguagem que deveriam garantir a segurança do comportamento da IA, possibilitando a inserção de conteúdo malicioso sem ser detectado. O Guardrails, introduzido em 6 de outubro, utiliza modelos de linguagem como ‘juízes’ para avaliar a segurança de entradas e saídas, mas a pesquisa mostrou que essa abordagem cria um ciclo de segurança ‘cega’. Os atacantes podem enganar esses juízes, manipulando os limiares de confiança e permitindo a execução de instruções perigosas. Os métodos de bypass demonstrados incluem a inserção de instruções maliciosas em templates que imitam avaliações aprovadas e a ocultação de código malicioso em comentários HTML. Essa vulnerabilidade, classificada como ‘composta’, sugere que os juízes baseados em LLM são tão suscetíveis à manipulação quanto os modelos que protegem. Para mitigar esses riscos, as organizações devem implementar defesas em camadas e sistemas de validação independentes, além de monitoramento contínuo.

A Clevo, fabricante de hardware, acidentalmente divulgou chaves privadas utilizadas em sua implementação do Intel Boot Guard, resultando em uma vulnerabilidade crítica. Essa falha, identificada como VU#538470, permite que atacantes assinem e implantem firmware malicioso que é aceito pelo sistema durante as fases iniciais de inicialização. O Intel Boot Guard é projetado para verificar o bloco de inicialização inicial antes da inicialização do UEFI, garantindo que apenas firmware autenticado seja executado. No entanto, a inclusão acidental das chaves de assinatura no pacote de atualização UEFI compromete essa cadeia de confiança. Com acesso ao armazenamento de firmware, um invasor pode manipular e assinar uma imagem de firmware, permitindo que ela passe pela verificação do Boot Guard sem alertas de segurança. Isso compromete todo o processo de inicialização segura, tornando ineficazes outras defesas subsequentes, como verificações de integridade do sistema operacional. A Clevo já removeu o pacote comprometido, mas não forneceu orientações específicas de remediação. Administradores de sistemas devem identificar dispositivos afetados, ativar mecanismos de proteção contra gravação de firmware e garantir que as atualizações sejam obtidas de canais verificados.

A Elastic lançou uma atualização de segurança urgente para o Elastic Cloud Enterprise (ECE) devido a uma vulnerabilidade crítica de injeção no motor de templates Jinjava, identificada como CVE-2025-37729, com uma pontuação CVSSv3.1 de 9.1. Essa falha afeta as versões 2.5.0 a 3.8.1 e 4.0.0 a 4.0.1 do ECE, permitindo que administradores autenticados executem comandos arbitrários e exfiltratem dados sensíveis. A vulnerabilidade ocorre quando um administrador submete um plano de implantação com variáveis Jinjava manipuladas, que são avaliadas e executadas pela plataforma. Se o recurso de Logging+Metrics estiver ativado, a saída dos comandos injetados é registrada, criando um canal de feedback para os atacantes. A Elastic recomenda que os clientes atualizem para as versões 3.8.2 ou 4.0.2 imediatamente, pois não existem alternativas de mitigação. Além disso, sugere que os administradores monitorem os logs de requisições em busca de nomes de payloads suspeitos e revisem os pipelines de Logging+Metrics para identificar atividades incomuns. A falha representa um risco significativo, pois permite controle total sobre o processo de interpretação de templates, comprometendo a confidencialidade, integridade e disponibilidade dos dados.

A Ivanti divulgou a correção de treze vulnerabilidades críticas em sua linha de produtos Endpoint Manager (EPM), que incluem falhas de desserialização insegura, travessia de caminho e uma série de vulnerabilidades de injeção SQL. Embora não haja relatos de exploração ativa, duas falhas foram classificadas como de alta severidade, sendo a mais crítica a CVE-2025-11622, que permite a escalada de privilégios por um usuário local autenticado. A segunda, CVE-2025-9713, é uma vulnerabilidade de travessia de caminho que pode ser explorada por um atacante não autenticado para execução remota de código, desde que um arquivo de configuração malicioso seja importado. As demais falhas são relacionadas à injeção SQL, permitindo que usuários autenticados recuperem registros arbitrários do banco de dados. A Ivanti recomenda que os clientes migrem do EPM 2022, que chegou ao fim da vida útil, para o EPM 2024 e implementem medidas provisórias até que os patches completos sejam disponibilizados. As atualizações estão programadas para serem lançadas em novembro de 2025 e no primeiro trimestre de 2026.

Recentemente, a equipe de segurança do Microsoft Edge revelou que cibercriminosos estão explorando vulnerabilidades não corrigidas no modo legado do Internet Explorer (IE) dentro do navegador Edge para comprometer ambientes Windows. Essa exploração, identificada em agosto de 2025, ocorre devido à combinação de compatibilidade com tecnologias legadas e fluxos de trabalho modernos de navegação. Muitas empresas ainda dependem de sistemas desatualizados, como controles ActiveX e Flash, que o Edge mantém para garantir a funcionalidade durante a modernização. Os atacantes utilizam táticas de engenharia social, como phishing, para direcionar as vítimas a sites falsos que parecem oficiais. Ao ativar o modo IE, eles conseguem executar código malicioso através de uma vulnerabilidade zero-day no motor JavaScript Chakra. A Microsoft respondeu removendo pontos de acesso fáceis para reativar o modo IE, exigindo que os usuários ativem manualmente essa funcionalidade. A empresa recomenda a transição para tecnologias modernas para melhorar a segurança e o desempenho, uma vez que o Internet Explorer 11 atingiu o fim da vida útil em junho de 2022.

Pesquisadores da Trend Micro descobriram uma vulnerabilidade grave na Axis Communications, que resultou na exposição de credenciais de contas do Azure Storage. Essa falha estava presente em múltiplos DLLs assinados utilizados em um plugin oficial da Axis para o Autodesk® Revit®. As credenciais, que estavam hardcoded, permitiam acesso total aos conteúdos armazenados, incluindo instaladores e arquivos de modelo utilizados por clientes para integrar dispositivos Axis ao Revit. A descoberta levantou preocupações sobre riscos na cadeia de suprimentos, uma vez que atacantes poderiam modificar ou carregar instaladores maliciosos. Embora a Axis tenha lançado versões subsequentes do plugin para mitigar a vulnerabilidade, as correções iniciais foram insuficientes, permitindo que as credenciais expostas ainda fossem acessíveis. A situação foi finalmente resolvida na versão 25.3.718, quando as credenciais legadas foram invalidadas. Além disso, foram identificadas falhas de execução remota de código no parser de arquivos RFA do Revit, que poderiam ser exploradas caso arquivos maliciosos fossem carregados. A Axis confirmou que todas as vulnerabilidades foram corrigidas e que não houve acesso não autorizado.

A Microsoft anunciou uma atualização significativa no modo Internet Explorer (IE) de seu navegador Edge, em resposta a relatos de que atores de ameaças estavam explorando essa funcionalidade para acessar dispositivos de usuários de forma não autorizada. Segundo a equipe de Pesquisa de Vulnerabilidades de Navegadores da Microsoft, os atacantes utilizavam técnicas de engenharia social e exploits não corrigidos no motor JavaScript do Internet Explorer, chamado Chakra, para comprometer dispositivos.

Pesquisadores de segurança identificaram vulnerabilidades críticas na infraestrutura de comunicação em nuvem do Microsoft Defender for Endpoint, que permitem a invasores contornar mecanismos de autenticação e manipular operações de resposta a incidentes. A análise das componentes do agente de detecção e resposta a endpoint (EDR), como MsSense.exe e SenseIR.exe, revelou falhas na validação de tokens de autenticação. Isso possibilita que atacantes interceptem comandos de segurança e até mesmo enviem dados falsificados para armazenamento em nuvem, comprometendo a integridade das investigações. Os atacantes podem explorar a falta de controle de autenticação para obter tokens válidos e executar ações maliciosas, como relatar estados de isolamento falsos ou carregar arquivos maliciosos disfarçados. Embora a Microsoft tenha classificado essas falhas como de baixa severidade, a falta de correções claras e a possibilidade de acesso não autorizado a dados de configuração de resposta a incidentes levantam preocupações significativas. Especialistas recomendam que equipes de segurança implementem medidas defensivas imediatas, como monitoramento de padrões de comando e validação de estados de isolamento, até que a Microsoft resolva as vulnerabilidades.

No último sábado, a Oracle emitiu um alerta de segurança sobre uma nova vulnerabilidade em seu E-Business Suite, identificada como CVE-2025-61884, que pode permitir acesso não autorizado a dados sensíveis. Com uma pontuação CVSS de 7.5, a falha afeta versões do software que vão de 12.2.3 a 12.2.14. Segundo a descrição na base de dados de vulnerabilidades do NIST, a vulnerabilidade é facilmente explorável por um atacante não autenticado que tenha acesso à rede via HTTP, comprometendo o Oracle Configurator. Embora a Oracle não tenha relatado que a falha esteja sendo explorada ativamente, a empresa enfatizou a importância de aplicar a atualização de segurança o mais rápido possível. O Chief Security Officer da Oracle, Rob Duhart, destacou que a vulnerabilidade pode ser utilizada para acessar recursos sensíveis. O alerta surge após a divulgação de que várias organizações podem ter sido afetadas por uma exploração de zero-day em outra vulnerabilidade do E-Business Suite, CVE-2025-61882, que permitiu a instalação de malwares como GOLDVEIN.JAVA e SAGEGIFT. A situação é preocupante, especialmente considerando a possibilidade de que os ataques estejam ligados a um grupo de hackers associado ao ransomware Cl0p.

A Google decidiu não corrigir uma vulnerabilidade de segurança em sua ferramenta de inteligência artificial, Gemini, que permite a execução de códigos maliciosos ocultos em textos invisíveis. Essa técnica, conhecida como ASCII smuggling, utiliza caracteres especiais do Unicode para inserir comandos maliciosos na LLM (Large Language Model) sem que o usuário perceba. Embora a falha não seja nova, os riscos aumentaram com a maior autonomia e acesso a dados sensíveis que assistentes como o Gemini possuem. O pesquisador de segurança Viktor Markopoulos, da FireTail, testou várias ferramentas de IA e encontrou vulnerabilidades semelhantes em algumas delas, mas não em outras como Claude, ChatGPT e Microsoft Copilot, que possuem validação de dados de entrada. A Google, ao ser informada sobre a vulnerabilidade, minimizou o problema, alegando que ele só poderia ser explorado por meio de engenharia social. No entanto, a possibilidade de que convites de calendário e e-mails no Google Workspace possam incluir códigos maliciosos representa um risco significativo, pois esses códigos podem instruir as LLMs a acessar dados sensíveis do dispositivo da vítima e enviá-los aos atacantes.

Uma nova vulnerabilidade crítica, identificada como CVE-2025-11371, foi descoberta no software Gladinet CentreStack e Triofox, permitindo a execução remota de código (RCE) por atacantes. Apesar de a versão mais recente do software, posterior à 16.4.10315.56368, ser considerada segura contra a vulnerabilidade CVE-2025-30406, a exploração de uma falha de Inclusão de Arquivo Local (LFI) está em andamento. Os atacantes conseguiram extrair uma chave de máquina do arquivo Web.config da aplicação, o que possibilitou a execução de código malicioso com privilégios de sistema. A Huntress, responsável pela detecção, alertou que a exploração ocorre rapidamente, com a transição de acesso não autorizado para a execução de código em questão de minutos. Embora a Gladinet tenha sido informada sobre a vulnerabilidade, ainda não há um patch oficial para a CVE-2025-11371. A Huntress recomenda que as organizações desativem o manipulador temporário no arquivo Web.config como uma medida imediata de mitigação, a fim de evitar a exploração. A situação é crítica, pois três casos de comprometimento real já foram documentados, e a falta de um patch oficial aumenta o risco para as empresas que utilizam essas soluções.

A Fortra divulgou os resultados de sua investigação sobre a vulnerabilidade CVE-2025-10035, uma falha crítica no GoAnywhere Managed File Transfer (MFT), que está sendo explorada ativamente desde pelo menos 11 de setembro de 2025. A investigação foi iniciada após um cliente relatar uma ‘potencial vulnerabilidade’, levando a Fortra a identificar atividades suspeitas relacionadas à falha. A empresa notificou clientes que tinham o console administrativo do GoAnywhere acessível na internet e também alertou as autoridades policiais. Um hotfix foi disponibilizado no dia seguinte, e versões completas com o patch foram lançadas em 15 de setembro. A Fortra destacou que o risco é limitado a clientes com o console administrativo exposto, mas admitiu que há relatos de atividades não autorizadas associadas à vulnerabilidade. A CVE-2025-10035 refere-se a uma vulnerabilidade de desserialização no License Servlet, que pode resultar em injeção de comandos sem autenticação. A Microsoft informou que um grupo de ameaças, identificado como Storm-1175, está explorando essa falha para implantar ransomware Medusa. A Fortra recomenda que os usuários restrinjam o acesso ao console administrativo pela internet e mantenham o software atualizado.

A campanha de botnet RondoDox, identificada pela Trend Micro, tem se expandido para explorar mais de 50 vulnerabilidades em dispositivos de rede expostos à internet, como roteadores, sistemas de CFTV e servidores web. Desde sua primeira detecção em junho de 2025, a RondoDox tem utilizado uma abordagem de ‘shotgun exploit’, atacando múltiplas falhas simultaneamente. As vulnerabilidades exploradas incluem a CVE-2023-1389, que permite injeção de comandos em roteadores TP-Link, e outras como CVE-2024-3721 e CVE-2024-12856, que afetam DVRs e roteadores de diferentes fabricantes. A análise técnica revelou que 50% das falhas exploradas são de injeção de comandos, enquanto as demais incluem problemas de travessia de caminho e corrupção de memória. A campanha representa um risco elevado para organizações que operam dispositivos de rede expostos, permitindo a exfiltração de dados e comprometimento persistente da rede. A rápida evolução das técnicas de exploração exige que as empresas realizem atualizações imediatas e adotem medidas proativas de segurança.

A empresa de cibersegurança Huntress identificou a exploração ativa de uma vulnerabilidade zero-day nos produtos Gladinet CentreStack e TrioFox. A falha, classificada como CVE-2025-11371, possui um CVSS de 6.1 e permite a inclusão local de arquivos não autenticados, resultando na divulgação não intencional de arquivos do sistema. Todas as versões do software anteriores e incluindo a 16.7.10368.56560 estão afetadas. A Huntress detectou a atividade pela primeira vez em 27 de setembro de 2025, com três clientes impactados até o momento. Essa vulnerabilidade se conecta a uma falha anterior, CVE-2025-30406, que permitia a execução remota de código. A recomendação imediata para os usuários é desabilitar o manipulador “temp” no arquivo Web.config, embora isso possa afetar algumas funcionalidades da plataforma. A Huntress está retendo detalhes adicionais da falha devido à exploração ativa e à falta de um patch disponível.

O uso de VPNs gratuitas, que antes eram vistas como ferramentas de proteção online, agora levanta sérias preocupações sobre a privacidade dos usuários. Um estudo da Zimperium zLabs revelou que muitas dessas aplicações solicitam permissões excessivas e utilizam códigos desatualizados, expondo os usuários a riscos de vigilância. Algumas VPNs pedem acesso a informações sensíveis, como logs do sistema e localização em tempo real, o que pode transformá-las em ferramentas de espionagem. Além disso, muitas dessas aplicações ainda utilizam bibliotecas OpenSSL vulneráveis, como a que foi afetada pelo bug Heartbleed de 2014, e não validam corretamente os certificados, aumentando o risco de ataques man-in-the-middle. A pesquisa não revelou quais aplicativos estão envolvidos, deixando os usuários em uma posição vulnerável ao escolherem serviços gratuitos. Para garantir a segurança, é aconselhável optar por provedores que realizam auditorias independentes e que têm políticas de privacidade transparentes, evitando permissões invasivas.

Um novo exploit de prova de conceito, denominado Fenrir, foi divulgado, visando uma falha crítica de lógica no processo de inicialização segura dos dispositivos Nothing Phone (2a) e CMF Phone 1. A vulnerabilidade permite que um atacante contorne a autenticação da partição bl2_ext, quebrando a cadeia de confiança e possibilitando a execução de código arbitrário no nível de privilégio mais alto (EL3) em sistemas ARM. Essa falha ocorre devido a um erro na cadeia de inicialização segura da MediaTek, que faz com que o Preloader ignore a verificação da partição bl2_ext quando o bootloader está desbloqueado. Isso significa que qualquer imagem de inicialização pode ser carregada sem validação, permitindo que um invasor desative as proteções de inicialização segura e obtenha controle total do dispositivo. A pontuação CVSS 3.1 para essa vulnerabilidade é de 9.8, indicando um risco crítico. Os usuários afetados devem evitar desbloquear seus bootloaders até que correções oficiais sejam disponibilizadas, e os fabricantes devem atualizar a lógica de verificação de inicialização segura para reforçar as verificações da bl2_ext, mesmo em estado desbloqueado.

Recentemente, a CrowdStrike identificou duas vulnerabilidades críticas em seu software Falcon, designadas como CVE-2025-42701 e CVE-2025-42706. Ambas as falhas afetam exclusivamente as versões do Falcon para Windows e permitem que atacantes, que já tenham conseguido executar código no sistema, excluam arquivos arbitrários. A CVE-2025-42701 é uma vulnerabilidade de condição de corrida (TOCTOU) com um escore CVSS de 5.6, enquanto a CVE-2025-42706 envolve um erro lógico relacionado à validação de origem, com um escore CVSS de 6.5. A CrowdStrike lançou patches para várias versões do Falcon, incluindo a versão 7.29 e hotfixes para versões anteriores, garantindo que os usuários possam se proteger contra essas falhas. A empresa não encontrou evidências de exploração ativa dessas vulnerabilidades, mas recomenda que os clientes atualizem seus sistemas para evitar possíveis ataques que possam comprometer a estabilidade do software e do sistema operacional. A atualização é essencial para manter uma postura de segurança robusta e prevenir a exclusão de arquivos críticos.

Uma vulnerabilidade crítica, identificada como CVE-2025-5947, está sendo explorada ativamente por agentes maliciosos, afetando o tema WordPress Service Finder. Essa falha de segurança permite que atacantes não autenticados acessem qualquer conta de usuário, incluindo administradores, comprometendo o controle de sites vulneráveis. A vulnerabilidade se origina de uma falha de validação do valor do cookie do usuário durante uma função de troca de conta, permitindo que um invasor se logue como qualquer usuário. O problema afeta todas as versões do tema até a 6.0 e foi corrigido em 17 de julho de 2025, com a liberação da versão 6.1. Desde 1º de agosto de 2025, foram detectadas mais de 13.800 tentativas de exploração, embora a taxa de sucesso ainda não seja clara. Administradores de sites são aconselhados a auditar suas plataformas em busca de atividades suspeitas e garantir que todos os plugins e temas estejam atualizados.

Uma pesquisa da Zimperium zLabs analisou 800 aplicativos de VPN gratuitos para Android e iOS, revelando falhas críticas de segurança. Muitos desses aplicativos apresentam comportamentos maliciosos, como vazamento de dados pessoais e falta de privacidade. Três aplicativos ainda utilizam uma versão desatualizada da biblioteca OpenSSL, tornando os usuários vulneráveis ao bug Heartbleed, que permite acesso remoto a informações sensíveis. Além disso, 1% dos aplicativos analisados são suscetíveis a ataques man-in-the-middle, possibilitando a interceptação de dados. A pesquisa também destacou problemas de permissões excessivas, como um aplicativo de iOS que solicita acesso à localização o tempo todo, o que é desnecessário para uma VPN. A falta de transparência é um problema recorrente, com 25% dos aplicativos na App Store não apresentando um manifesto de privacidade válido. Essa situação é preocupante, especialmente para empresas que adotam políticas de BYOD (Bring Your Own Device), pois os dispositivos pessoais podem comprometer a segurança dos sistemas internos.

O Google apresentou o CodeMender, um agente autônomo impulsionado por inteligência artificial, que tem como objetivo detectar, corrigir e proteger proativamente o código de software. Utilizando modelos de aprendizado profundo e análise rigorosa de programas, o CodeMender não apenas responde a novas vulnerabilidades, mas também reescreve códigos existentes para eliminar falhas de segurança. Nos últimos seis meses, a equipe de pesquisa integrou 72 correções de segurança em projetos de código aberto, abrangendo bases de código com mais de 4,5 milhões de linhas. O modelo Gemini Deep Think, que fundamenta o CodeMender, analisa a semântica do código e o fluxo de controle para identificar as causas raízes das vulnerabilidades. O agente gera correções que tratam problemas como gerenciamento inadequado de memória e estouros de buffer, garantindo que apenas correções de alta qualidade sejam submetidas a revisores humanos. Além disso, o CodeMender aplica anotações de segurança proativas, como -fbounds-safety, que previnem estouros de buffer em bibliotecas inteiras. Embora os resultados iniciais sejam promissores, o Google está adotando uma abordagem cautelosa, revisando todas as correções geradas antes de sua implementação em projetos críticos de código aberto.

Pesquisadores de cibersegurança revelaram uma vulnerabilidade crítica, identificada como CVE-2025-53967, no servidor Model Context Protocol (MCP) do Figma, que pode permitir a execução remota de código. Com uma pontuação CVSS de 7.5, a falha é um erro de injeção de comando causado pelo uso não sanitizado de entradas de usuários, possibilitando que atacantes enviem comandos arbitrários ao sistema. O problema reside na construção de comandos de linha de comando que utilizam diretamente entradas não validadas, o que pode levar à injeção de metacaracteres de shell. A exploração pode ocorrer quando um cliente MCP envia requisições ao servidor, permitindo que um ator malicioso execute comandos indesejados. A vulnerabilidade foi descoberta pela Imperva em julho de 2025 e corrigida na versão 0.6.3 do MCP, lançada em 29 de setembro de 2025. É recomendado evitar o uso de child_process.exec com entradas não confiáveis e optar por child_process.execFile para mitigar riscos. Este incidente destaca a necessidade de que as ferramentas de desenvolvimento impulsionadas por IA sejam acompanhadas de considerações de segurança adequadas.

A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) emitiu um alerta urgente sobre uma vulnerabilidade zero-day de cross-site scripting (XSS) no Zimbra Collaboration Suite (ZCS), que está sendo ativamente explorada por agentes maliciosos. Essa falha permite que atacantes sequestram sessões de usuários, roubem dados sensíveis e manipulem filtros de e-mail sem a necessidade de privilégios elevados. A vulnerabilidade se origina da sanitização insuficiente de conteúdo HTML em arquivos de convite de calendário (ICS) visualizados na interface Classic Web Client. Um atacante pode criar uma entrada ICS maliciosa que embute código JavaScript, que é executado quando um usuário desavisado abre o e-mail com o anexo comprometido. A CISA adicionou essa falha ao seu Catálogo de Vulnerabilidades Conhecidas em 7 de outubro de 2025, atribuindo um prazo de ação até 28 de outubro de 2025. Com um CVSS de 7.5, a vulnerabilidade é considerada de alta severidade. Os administradores do ZCS são aconselhados a aplicar patches disponíveis ou seguir estratégias de mitigação imediatas para evitar acessos não autorizados e possíveis vazamentos de dados. A recomendação inclui a revisão de políticas de anexos de e-mail e a educação dos usuários sobre os riscos associados a convites de calendário inesperados.