CERTCC emite alerta sobre falhas críticas em software contábil municipal

BR Defense Center (By River de Morais e Silva)
vulnerabilidade

O CERT/CC divulgou um alerta sobre duas falhas de segurança críticas no software de contabilidade municipal da Workhorse Software Services, que podem permitir que agentes não autorizados acessem e exfiltrarem bancos de dados contendo informações financeiras sensíveis e dados pessoais identificáveis. As vulnerabilidades, identificadas como CVE-2025-9037 e CVE-2025-9040, afetam todas as versões do software anteriores à 1.9.4.48019 e resultam de fraquezas de design nos mecanismos de autenticação e nos protocolos de proteção de dados.

A primeira falha (CVE-2025-9037) refere-se ao armazenamento inseguro de strings de conexão do banco de dados em arquivos de configuração em texto claro, o que expõe credenciais a qualquer entidade com acesso de leitura ao compartilhamento de rede. A segunda falha (CVE-2025-9040) permite operações de backup de banco de dados não autenticadas, acessíveis até mesmo na tela de login, possibilitando que usuários não autorizados executem procedimentos de backup e exportem arquivos ZIP desprotegidos.

O CERT/CC recomenda a atualização imediata para a versão 1.9.4.48019 e sugere medidas adicionais de segurança, como restrições de permissão NTFS e segmentação de rede, para mitigar os riscos associados a essas vulnerabilidades.

Fonte: https://cyberpress.org/cert-cc-issues-warning-over-critical-flaws-in-workhorse-municipal-accounting-software/

🚨
BR DEFENSE CENTER: SECURITY BRIEFING
20/08/2025 • Risco: CRITICO
VULNERABILIDADE

CERT/CC emite alerta sobre falhas críticas em software contábil municipal

RESUMO EXECUTIVO
As falhas críticas no software de contabilidade municipal da Workhorse podem levar a vazamentos de dados sensíveis, impactando a transparência fiscal e a conformidade regulatória. A atualização imediata e a implementação de medidas de segurança são essenciais para mitigar esses riscos.

💼 IMPACTO DE NEGÓCIO

Financeiro
Possíveis custos associados a vazamentos de dados e multas por não conformidade.
Operacional
Exposição de números de Seguro Social e registros financeiros municipais.
Setores vulneráveis
['Setor público', 'Administração municipal']

📊 INDICADORES CHAVE

Duas falhas críticas identificadas. Indicador
A versão afetada inclui todas as versões anteriores a 1.9.4.48019. Contexto BR
Exposição potencial de dados financeiros e pessoais. Urgência

⚡ AÇÕES IMEDIATAS

1 Verificar a versão do software Workhorse em uso.
2 Atualizar para a versão 1.9.4.48019 imediatamente.
3 Monitorar acessos não autorizados e tentativas de backup de banco de dados.

🇧🇷 RELEVÂNCIA BRASIL

CISOs devem se preocupar com a segurança de dados sensíveis e a conformidade regulatória, especialmente em um contexto onde a LGPD é rigorosamente aplicada.

⚖️ COMPLIANCE

Implicações diretas na conformidade com a LGPD.
Status
patch_disponivel
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).