Uma vulnerabilidade crítica, identificada como React2Shell (CVE-2025-55182), foi recentemente explorada por grupos de hackers patrocinados pelo Estado norte-coreano, além de grupos chineses. Essa falha afeta várias versões do React Server Components (RSC), uma biblioteca amplamente utilizada na construção de aplicações web. A vulnerabilidade permite que atacantes executem código malicioso antes da autenticação, o que representa um risco significativo para a segurança de sistemas que utilizam essas versões. As versões afetadas incluem 19.0, 19.1.0, 19.1.1 e 19.2.0, e os especialistas recomendam que as atualizações sejam feitas imediatamente para as versões corrigidas 19.0.1, 19.1.2 e 19.2.1.

O grupo de ransomware Inc reivindicou a responsabilidade por um ataque cibernético ocorrido em novembro de 2025 contra a Rainbow Communications, uma provedora de telefonia e internet rural no nordeste do Kansas. No dia 16 de novembro, a Rainbow anunciou problemas de serviço devido a um evento de cibersegurança que afetou a telefonia e a internet de seus clientes, com a normalização dos serviços ocorrendo em 19 de novembro. O grupo alegou ter roubado 200 GB de dados, incluindo informações contábeis, de recursos humanos e dados de clientes, e publicou amostras desses documentos em seu site de vazamento de dados. Até o momento, a Rainbow não confirmou as alegações do grupo, e detalhes sobre a extensão da violação, o número de pessoas afetadas, se um resgate foi pago ou como a rede foi comprometida permanecem desconhecidos. O grupo Inc, que surgiu em julho de 2023, já foi responsável por 54 ataques confirmados em 2025, afetando setores como saúde, educação e governo. Os ataques de ransomware em empresas de utilidade nos EUA têm se tornado cada vez mais comuns, resultando em interrupções significativas nos serviços e riscos de fraude para os clientes.

Uma nova pesquisa revelou vulnerabilidades no .NET Framework que podem ser exploradas em aplicações empresariais, permitindo a execução remota de código. Codenomeada de ‘SOAPwn’ pela WatchTowr Labs, a falha afeta produtos como Barracuda Service Center RMM e Ivanti Endpoint Manager, além de potencialmente impactar outros fornecedores devido à ampla utilização do .NET. A vulnerabilidade permite que atacantes abusem de importações de WSDL e proxies de cliente HTTP para executar código arbitrário, explorando erros na manipulação de mensagens SOAP. Um cenário hipotético de ataque envolve o uso de um caminho UNC para direcionar solicitações SOAP a um compartilhamento SMB controlado pelo atacante, possibilitando a captura de desafios NTLM. Além disso, a pesquisa identificou um vetor de exploração mais poderoso em aplicações que geram proxies de cliente HTTP a partir de arquivos WSDL, permitindo a execução remota de código ao não validar URLs. Apesar da divulgação responsável, a Microsoft optou por não corrigir a falha, alegando que se trata de um problema de comportamento de aplicação. As versões corrigidas já estão disponíveis para algumas das aplicações afetadas, com pontuações CVSS de até 9.8, indicando um risco elevado.

A vulnerabilidade CVE-2025-55182, presente nos React Server Components (RSC), está sendo amplamente explorada por cibercriminosos para implantar mineradores de criptomoedas e diversas famílias de malware, segundo a Huntress. As ameaças incluem um backdoor Linux chamado PeerBlight, um túnel proxy reverso denominado CowTunnel e um implante pós-exploração chamado ZinFoq. Desde o início de dezembro de 2025, ataques têm sido direcionados a setores como construção e entretenimento, com o primeiro registro de exploração em um endpoint Windows em 4 de dezembro. Os atacantes utilizam ferramentas automatizadas para explorar a vulnerabilidade, que permite a execução remota de código não autenticado. Os payloads observados incluem scripts que baixam mineradores de criptomoedas e backdoors que se disfarçam como processos legítimos do sistema. A Huntress recomenda que organizações que utilizam pacotes vulneráveis atualizem imediatamente seus sistemas, dado o alto potencial de exploração e a gravidade da falha. A Shadowserver Foundation identificou mais de 165 mil endereços IP e 644 mil domínios com código vulnerável, destacando a urgência da situação.

Um ataque de clique zero, identificado por especialistas da Straiker STAR Labs, está ameaçando usuários do navegador Comet, da Perplexity AI, ao permitir que cibercriminosos excluam arquivos do Google Drive sem que a vítima precise clicar em links maliciosos. Esse ataque explora a integração entre o navegador e serviços do Google, como Gmail e Drive, que concede ao Comet acesso para gerenciar arquivos e e-mails. Os hackers podem enviar um e-mail aparentemente inofensivo que, ao ser processado pelo navegador, executa comandos que resultam na exclusão de arquivos, sem qualquer confirmação do usuário. Além disso, a vulnerabilidade permite que os atacantes controlem o OAuth do Gmail e do Drive, propagando instruções maliciosas por meio de pastas compartilhadas, afetando outros usuários. Os pesquisadores alertam que esse tipo de ataque evidencia como modelos de linguagem de grande escala podem ser manipulados para obedecer a comandos maliciosos, representando um risco significativo para a segurança dos dados dos usuários.

Uma vulnerabilidade no Google Family Link, ferramenta de controle parental do Google, está gerando preocupações entre especialistas em cibersegurança. Cibercriminosos têm conseguido bloquear contas de usuários do Gmail, tornando impossível a recuperação das mesmas. A falha ocorre quando hackers alteram a idade do usuário para 10 anos, criando um perfil infantil que fica sob seu controle. Isso impede que o proprietário original da conta realize qualquer ação de recuperação, uma vez que o sistema considera a conta como pertencente a uma criança. O Google foi notificado sobre a vulnerabilidade e está investigando o caso, mas ainda não apresentou uma solução. Relatos anteriores indicam que essa falha pode não ser nova, com usuários enfrentando problemas semelhantes há anos. A situação levanta questões sobre a eficácia do Family Link e a necessidade de uma revisão em suas funcionalidades de segurança, especialmente considerando que a idade mínima para ter uma conta no Gmail é geralmente de 13 anos. O impacto dessa vulnerabilidade pode ser significativo, especialmente para usuários que dependem do Gmail para comunicação e armazenamento de dados.

Um relatório recente da Gartner alerta que navegadores com agentes de inteligência artificial (IA) apresentam riscos significativos à segurança. A pesquisa, liderada por Dennis Xu, Evgeny Mirolyubov e John Watts, conclui que as configurações padrão desses navegadores priorizam a experiência do usuário em detrimento da segurança, expondo dados sensíveis dos usuários. Os navegadores de IA, que incluem funcionalidades como barras laterais para resumos e interações com conteúdo web, frequentemente enviam informações como histórico de navegação e abas abertas para servidores em nuvem, aumentando o risco de vazamentos de dados. O estudo recomenda que as organizações evitem o uso desses navegadores, a menos que medidas rigorosas de segurança sejam implementadas. Além disso, os especialistas alertam para o potencial de ações errôneas por parte da IA, como compras indevidas ou preenchimento incorreto de formulários. Para mitigar esses riscos, é sugerido o bloqueio do acesso das IAs a e-mails e a revisão das configurações de privacidade dos navegadores. A conclusão é que, sem uma análise de risco adequada, o uso de navegadores de IA é considerado perigoso.

Uma análise da Trend Micro revelou a evolução da campanha maliciosa Water Saci, que utiliza o malware SORVEPOTEL para se propagar através do WhatsApp Web, especialmente entre usuários brasileiros. Os hackers mudaram suas táticas, substituindo o código PowerShell por Python, o que aumentou a compatibilidade com navegadores e a eficiência na automação do ataque. A campanha se baseia em engenharia social, induzindo os usuários a interagir com conteúdos maliciosos, como arquivos ZIP e PDF, além de mensagens fraudulentas que simulam atualizações do Adobe Acrobat.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma vulnerabilidade no WinRAR, rastreada como CVE-2025-6218, em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), devido a evidências de exploração ativa. Essa falha, com uma pontuação CVSS de 7.8, é um bug de travessia de caminho que pode permitir a execução de código, exigindo que a vítima acesse uma página maliciosa ou abra um arquivo comprometido. A vulnerabilidade foi corrigida pela RARLAB na versão 7.12 do WinRAR, lançada em junho de 2025, e afeta apenas versões do Windows. A exploração dessa falha pode permitir que arquivos sejam colocados em locais sensíveis, como a pasta de inicialização do Windows, levando à execução não intencional de código na próxima entrada do sistema. Relatórios indicam que grupos de ameaças, como GOFFEE e Bitter, têm explorado essa vulnerabilidade em ataques direcionados, incluindo campanhas de phishing. A CISA alertou que agências federais devem aplicar as correções necessárias até 30 de dezembro de 2025 para proteger suas redes.

A segurança na nuvem enfrenta novos desafios, com atacantes explorando vulnerabilidades em configurações, identidades e códigos, em vez de realizar ataques diretos. Ferramentas de segurança convencionais frequentemente falham em detectar essas ameaças, que se disfarçam como atividades normais. O time Cortex Cloud da Palo Alto Networks realizará um webinar técnico para discutir três vetores de ataque que estão contornando a segurança tradicional: erros de configuração de identidade na AWS, ocultação de arquivos maliciosos em modelos de IA e permissões excessivas em Kubernetes. Durante a sessão, especialistas mostrarão como esses ataques são realizados e como as equipes podem melhorar a visibilidade e a detecção de ameaças. O evento promete fornecer insights práticos sobre como auditar logs de nuvem, corrigir permissões arriscadas e aplicar controles voltados para IA, ajudando as organizações a se protegerem antes que vulnerabilidades sejam exploradas. A participação é essencial para fechar as lacunas de segurança e evitar surpresas desagradáveis em relatórios de violação.

Três vulnerabilidades de segurança foram identificadas na especificação do protocolo PCIe Integrity and Data Encryption (IDE), afetando a versão 5.0 e posteriores. As falhas, descobertas por engenheiros da Intel, podem permitir que atacantes locais realizem ações como divulgação de informações, escalonamento de privilégios e negação de serviço. As vulnerabilidades são: CVE-2025-9612, que permite reordenação de tráfego PCIe; CVE-2025-9613, que pode levar à aceitação de dados incorretos; e CVE-2025-9614, que resulta no consumo de pacotes de dados obsoletos. Embora a exploração dessas falhas exija acesso físico ao sistema, o PCI-SIG alertou que isso pode comprometer a confidencialidade e a integridade dos dados. O CERT Coordination Center recomendou que os fabricantes adotem o padrão PCIe 6.0 e apliquem as orientações do Erratum #1. A Intel e a AMD já emitiram alertas sobre o impacto em seus produtos, incluindo processadores Xeon e EPYC. Usuários finais devem aplicar atualizações de firmware para proteger dados sensíveis.

Recentemente, Fortinet, Ivanti e SAP lançaram atualizações para corrigir vulnerabilidades críticas em seus produtos que poderiam permitir a execução de código e a bypass de autenticação. As falhas da Fortinet, identificadas como CVE-2025-59718 e CVE-2025-59719, afetam o FortiOS, FortiWeb, FortiProxy e FortiSwitchManager, com uma pontuação CVSS de 9.8. A vulnerabilidade permite que atacantes não autenticados contornem a autenticação do FortiCloud SSO por meio de mensagens SAML manipuladas. Para mitigar o risco, recomenda-se desativar essa funcionalidade até que a atualização seja aplicada.

Em dezembro de 2025, a Microsoft lançou atualizações para corrigir 56 vulnerabilidades em seus produtos, incluindo três classificadas como Críticas. Entre as falhas, destaca-se a CVE-2025-62221, uma vulnerabilidade de uso após a liberação de memória no Windows Cloud Files Mini Filter Driver, que está sendo explorada ativamente. Essa falha permite que atacantes autorizados elevem seus privilégios e obtenham permissões de sistema. Além disso, foram identificadas outras vulnerabilidades significativas, como a CVE-2025-54100 e a CVE-2025-64671, ambas relacionadas a injeções de comando em PowerShell e GitHub Copilot, respectivamente. A exploração dessas falhas pode levar a compromissos de segurança em larga escala, especialmente quando combinadas com técnicas de engenharia social. A CISA dos EUA já incluiu a CVE-2025-62221 em seu catálogo de Vulnerabilidades Conhecidas Exploitadas, exigindo que agências federais apliquem o patch até 30 de dezembro de 2025. O total de CVEs corrigidos pela Microsoft em 2025 ultrapassou 1.275, destacando a crescente preocupação com a segurança em suas plataformas.

A gangue de ransomware DragonForce reivindicou um ataque cibernético à cidade de La Vergne, no Tennessee, que resultou na interrupção dos sistemas de computador da administração local. Em um comunicado emitido em 17 de outubro de 2025, os oficiais da cidade informaram que estavam investigando um incidente de rede que comprometeu os servidores do governo, com a gangue afirmando ter roubado 382 GB de dados. DragonForce deu um prazo de uma semana para que a cidade pagasse um valor não revelado em resgate, ameaçando divulgar os dados roubados caso a exigência não fosse atendida. Embora a cidade tenha tomado medidas imediatas para isolar os sistemas afetados e envolvido profissionais de cibersegurança e autoridades policiais, ainda não há confirmação sobre a veracidade das alegações da gangue. Este ataque é parte de uma tendência crescente de ataques de ransomware a entidades governamentais nos Estados Unidos, com mais de 70 incidentes confirmados em 2025, comprometendo cerca de 450 mil registros. A situação destaca a vulnerabilidade das infraestruturas governamentais e a necessidade urgente de medidas de proteção e resposta a incidentes.

Um novo relatório da Recorded Future revela que o grupo de cibercriminosos conhecido como GrayBravo, anteriormente identificado como TAG-150, está utilizando um carregador de malware chamado CastleLoader em quatro clusters de atividade distintos. Este grupo é caracterizado por sua sofisticação técnica e rápida adaptação às reportagens públicas. O CastleLoader é um componente central de uma infraestrutura de malware como serviço (MaaS), permitindo que outros atores do crime cibernético o utilizem. Entre as ferramentas associadas ao GrayBravo estão o trojan de acesso remoto CastleRAT e o framework de malware CastleBot, que é responsável por injetar módulos maliciosos em sistemas vulneráveis. Os ataques são direcionados a setores específicos, como logística e transporte, utilizando técnicas de phishing e malvertising. A análise também destaca a utilização de contas fraudulentas em plataformas de correspondência de frete para aumentar a credibilidade das campanhas de phishing. A crescente adoção do CastleLoader por diversos grupos de ameaças indica uma proliferação rápida de ferramentas avançadas no ecossistema cibernético, o que representa um risco significativo para empresas em diversos setores.

Um novo malware chamado EtherRAT, vinculado a atores de ameaças da Coreia do Norte, está explorando uma vulnerabilidade crítica recentemente divulgada no React Server Components (RSC). Essa falha, identificada como CVE-2025-55182, possui uma pontuação CVSS de 10.0, indicando sua gravidade máxima. O EtherRAT utiliza contratos inteligentes do Ethereum para resolver comandos de controle e possui cinco mecanismos independentes de persistência no Linux, o que permite que ele mantenha acesso contínuo aos sistemas infectados. O ataque geralmente começa com uma abordagem de engenharia social, onde os desenvolvedores de blockchain e Web3 são alvos de entrevistas de emprego falsas. Após a exploração da vulnerabilidade, um script shell é baixado e executado, instalando o malware. O EtherRAT se destaca por sua capacidade de se atualizar e por usar um mecanismo de votação de consenso entre nove endpoints RPC do Ethereum para obter URLs de servidores de comando e controle, dificultando a detecção e a neutralização. Essa evolução na exploração da vulnerabilidade do React representa um desafio significativo para as defesas tradicionais, exigindo atenção especial dos profissionais de segurança cibernética.

Uma grave vulnerabilidade foi descoberta em dispositivos da série AG da Array Networks, que utilizam VPN. Essa falha permite que hackers injetem comandos maliciosos, instalando web shells e criando usuários não autorizados nos sistemas afetados. A vulnerabilidade foi corrigida em uma atualização em maio de 2025, mas a falta de um identificador dificultou o rastreamento da falha. Especialistas do Japão alertaram que a vulnerabilidade está sendo explorada desde agosto, com ataques direcionados a organizações locais. Os incidentes envolvem a execução de comandos que permitem o acesso remoto ao servidor comprometido, resultando em controle total do sistema. A falha afeta modelos AG 9.4.5.8 e versões anteriores, especialmente em ambientes corporativos que utilizam o recurso DesktopDirect, que facilita o acesso remoto. A JPCERT recomendou que os usuários desativem o DesktopDirect e implementem filtros de URL até que novas atualizações sejam disponibilizadas. A Array Networks ainda não se pronunciou sobre os incidentes ou se haverá uma nova correção.

Um vazamento de dados na plataforma MagicEdit, uma ferramenta de geração de imagens com inteligência artificial, revelou a existência de cerca de um milhão de deepfakes pornográficos, incluindo conteúdos envolvendo crianças. O pesquisador de cibersegurança Jeremiah Fowler descobriu que o banco de dados da plataforma continha imagens e vídeos manipulados, muitos dos quais apresentavam sobreposições de rostos de adultos em corpos de menores, levantando sérias preocupações sobre consentimento e exploração. Após a descoberta, a MagicEdit restringiu o acesso ao seu banco de dados e iniciou uma investigação sobre o incidente. O aplicativo, que era destinado a usuários maiores de 18 anos, foi descrito na App Store como contendo conteúdo sexual, mas o vazamento expôs um uso indevido alarmante da tecnologia. Fowler alertou sobre os riscos de chantagem e outros crimes associados a esses deepfakes, embora sua análise tenha sido feita para fins educacionais. O incidente destaca a necessidade urgente de regulamentação e proteção contra o uso indevido da inteligência artificial na criação de conteúdos prejudiciais.

O furto das joias da coroa francesa no Louvre expôs uma falha crítica na segurança digital da instituição, que utilizava a senha ‘LOUVRE’ para seu sistema de monitoramento. Este incidente, que chocou o mundo devido ao valor histórico das peças, destaca um problema recorrente na cibersegurança: a utilização de senhas fracas e a negligência com práticas básicas de segurança. O artigo ressalta que muitos profissionais ainda tratam a infraestrutura física e os sistemas de TI como mundos separados, resultando em vulnerabilidades como senhas óbvias, falta de autenticação multifator (MFA) e sistemas operacionais desatualizados. No Brasil, é comum encontrar organizações que mantêm senhas padrão e contas de manutenção com privilégios elevados, o que torna a segurança digital ainda mais precária. A segurança deve começar com visibilidade e controle rigoroso de credenciais, além de uma cultura de segurança que priorize a proteção de todos os sistemas, independentemente de sua classificação de criticidade. O caso do Louvre serve como um alerta para empresas brasileiras, que precisam adotar medidas proativas para evitar que falhas simples resultem em consequências desastrosas.

Um estudante universitário de Bangladesh está vendendo acesso a sites vulneráveis, incluindo páginas de governos e universidades, através do Telegram. O acesso a sites menores é comercializado por preços que variam de US$ 3 a US$ 4, enquanto sites de instituições renomadas podem custar até US$ 200. A pesquisa da empresa de segurança Cyderes revelou que o estudante vende mais de 5.200 sites, sendo a maioria localizada na Ásia, com destaque para a Indonésia e Índia. Os compradores, que incluem tanto indivíduos em busca de lucro financeiro quanto aqueles interessados em espionagem internacional, utilizam uma ferramenta de comando e controle chamada Beima, que é sofisticada e furtiva. O malware Beima é projetado para roubar dados e se esconder no sistema, sendo considerado indetectável por ferramentas de segurança modernas. O artigo destaca a vulnerabilidade de sites mal configurados, especialmente aqueles que utilizam WordPress e cPanel, e a necessidade urgente de medidas de segurança para proteger informações sensíveis.

A ASUS confirmou a exposição de dados devido a uma brecha em uma empresa terceirizada, relacionada ao vazamento de amostras do ransomware Everest. Os hackers, que afirmam ter invadido a ASUS, ArcSoft e Qualcomm, publicaram informações sobre os dados roubados em um site na rede Tor. Segundo a empresa, os dados expostos incluem códigos-fonte de câmeras de celulares, mas não afetaram produtos, sistemas internos ou dados de usuários. A ASUS está reforçando a segurança de sua cadeia de suprimentos conforme os padrões de cibersegurança atuais. O grupo Everest divulgou que a invasão resultou em uma base de dados de 1 TB, contendo informações como módulos de segmentação binários, logs de memória e dados de câmeras. Especialistas alertam que a exposição de códigos de câmeras pode permitir que atacantes explorem vulnerabilidades em dispositivos móveis. A situação destaca a importância da segurança em toda a cadeia de suprimentos e a necessidade de vigilância contínua contra ameaças cibernéticas.

O Google anunciou novas funcionalidades de segurança para o navegador Chrome, integrando capacidades de inteligência artificial (IA) para mitigar riscos de segurança. Entre as inovações, destaca-se o ‘User Alignment Critic’, que avalia de forma independente as ações do agente de IA, garantindo que estas estejam alinhadas com os objetivos do usuário e não sejam influenciadas por conteúdos maliciosos. Essa abordagem é complementada por um sistema de ‘Agent Origin Sets’, que limita o acesso do agente a dados de origens relevantes, prevenindo vazamentos de dados entre sites. Além disso, o navegador agora exige a aprovação do usuário antes de acessar sites sensíveis, como portais bancários. O Google também implementou um classificador de injeção de prompts, que atua em paralelo ao modelo de planejamento, bloqueando ações baseadas em conteúdos potencialmente maliciosos. Para incentivar a pesquisa em segurança, a empresa oferece recompensas de até $20.000 por demonstrações que consigam violar essas novas barreiras de segurança. A iniciativa surge em um contexto onde especialistas alertam sobre os riscos associados ao uso de navegadores com IA, especialmente em ambientes corporativos. A pesquisa da Gartner recomenda que as empresas evitem o uso de navegadores de IA até que os riscos sejam adequadamente gerenciados.

O modelo de segurança Zero Trust tem se mostrado eficaz na redução da superfície de ataque e na resposta a ameaças, mas muitas organizações ainda enfrentam dificuldades em sua implementação devido à falta de comunicação entre ferramentas de segurança. Segundo a Accenture, 88% das empresas relatam desafios significativos nesse processo. O Shared Signals Framework (SSF) surge como uma solução para padronizar a troca de eventos de segurança, mas sua adoção ainda é desigual, como exemplificado pelo Kolide Device Trust, que não suporta SSF atualmente.

O grupo de cibercriminosos conhecido como Storm-0249 está mudando sua abordagem, deixando de ser apenas um corretor de acesso inicial para adotar táticas mais sofisticadas, como spoofing de domínio, side-loading de DLL e execução de PowerShell sem arquivo, visando facilitar ataques de ransomware. Segundo um relatório da ReliaQuest, essas técnicas permitem que o grupo contorne defesas, infiltre redes e opere de forma indetectável, o que representa uma preocupação significativa para as equipes de segurança. O Storm-0249, que já foi identificado pela Microsoft como um corretor de acesso inicial, tem colaborado com outros grupos de ransomware, como o Storm-0501, vendendo acesso a redes corporativas. Recentemente, o grupo utilizou uma campanha de phishing com temas relacionados a impostos para infectar usuários nos EUA. Uma das táticas mais recentes envolve o uso de engenharia social para induzir as vítimas a executar comandos maliciosos, utilizando o utilitário legítimo “curl.exe” para baixar scripts PowerShell de domínios falsificados que imitam a Microsoft. Isso resulta na execução de pacotes MSI maliciosos com privilégios de sistema, permitindo que o grupo mantenha comunicação com servidores de comando e controle de forma furtiva. A mudança para ataques mais precisos, que exploram a confiança em processos assinados, aumenta o risco de ataques de ransomware direcionados, especialmente em um cenário onde grupos como LockBit e ALPHV utilizam identificadores de sistema únicos para criptografar dados de forma eficaz.

Pesquisadores de cibersegurança descobriram duas extensões maliciosas no Marketplace do Microsoft Visual Studio Code (VS Code) que visam infectar máquinas de desenvolvedores com malware do tipo stealer. As extensões, que se apresentavam como um tema escuro premium e um assistente de codificação baseado em inteligência artificial, na verdade, possuíam funcionalidades ocultas para baixar cargas adicionais, capturar telas e roubar dados. As informações coletadas eram enviadas a um servidor controlado por atacantes. As extensões identificadas foram ‘BigBlack.bitcoin-black’, que teve 16 instalações, e ‘BigBlack.codo-ai’, com 25 instalações, ambas removidas pela Microsoft em dezembro de 2025. O malware era capaz de roubar senhas de Wi-Fi, acessar o conteúdo da área de transferência e sequestrar sessões de navegador. Além disso, versões anteriores das extensões permitiam a execução de scripts PowerShell para baixar arquivos maliciosos. O ataque destaca a vulnerabilidade de ferramentas amplamente utilizadas por desenvolvedores e a necessidade de vigilância constante em relação a pacotes de software. O incidente é um alerta sobre a segurança na cadeia de suprimentos de software, especialmente em um cenário onde pacotes maliciosos também foram identificados em outras plataformas como Go e npm.

Organizações canadenses estão sendo alvo de uma campanha cibernética direcionada, orquestrada pelo grupo de ameaças STAC6565, conforme relatado pela empresa de cibersegurança Sophos. Entre fevereiro de 2024 e agosto de 2025, foram investigadas quase 40 intrusões ligadas a esse ator, que também é associado ao grupo de hackers Gold Blade. Inicialmente focado em espionagem cibernética, o grupo evoluiu para uma operação híbrida que combina roubo de dados com ataques de ransomware, utilizando um malware personalizado chamado QWCrypt.

A Subaru, montadora japonesa, está enfrentando críticas após relatos de que anúncios pop-up começaram a aparecer nos sistemas de infotainment de seus veículos na América do Norte. Proprietários relataram que os anúncios, como um para o serviço Sirius XM, surgiram enquanto dirigiam, causando distrações perigosas. Um usuário mencionou ter quase se acidentado devido a um desses anúncios enquanto dirigia a 88 km/h. Embora alguns usuários afirmem que é possível evitar os anúncios ao selecionar a opção ’não mostrar novamente’, outros relatam que os pop-ups ocorrem com frequência, causando desconforto e distração. A Subaru declarou que não tinha conhecimento de tais problemas e não havia recebido reclamações diretas de clientes. A tendência de anúncios em veículos não é exclusiva da Subaru; outras montadoras, como a Stellantis, também estão implementando essa prática, o que levanta preocupações sobre a segurança e a privacidade dos motoristas. A introdução de anúncios em sistemas de infotainment pode ser vista como uma nova fonte de receita para as montadoras, mas muitos motoristas consideram essa prática intrusiva e potencialmente perigosa.

O FBI emitiu um alerta sobre um novo golpe que utiliza fotos e vídeos de redes sociais, como o Instagram, para realizar sequestros virtuais e extorsões. Os cibercriminosos alteram imagens de vítimas para criar cenários convincentes e, em seguida, entram em contato com as famílias, alegando que sequestraram um membro da família. Para a liberação do suposto refém, exigem um pagamento de resgate. Os golpistas também podem usar informações reais de pessoas desaparecidas, aumentando a credibilidade do golpe. A técnica de engenharia social é utilizada para provocar medo e urgência, levando as vítimas a agir impulsivamente. O FBI recomenda que as pessoas verifiquem a veracidade das alegações antes de tomar qualquer ação e que evitem compartilhar informações pessoais nas redes sociais. Além disso, é importante que as famílias tentem contatar a suposta vítima antes de realizar qualquer pagamento. O uso de inteligência artificial para modificar imagens é uma preocupação crescente, tornando os golpes mais sofisticados e difíceis de detectar.

Uma pesquisa da empresa de segurança Aikido revelou que ferramentas de inteligência artificial (IA) utilizadas em desenvolvimento de software, como Claude Code, Google Gemini e Codex da OpenAI, podem ser vulneráveis a injeções de prompts maliciosos. Essa vulnerabilidade ocorre quando essas ferramentas são integradas em fluxos de trabalho automatizados, como GitHub Actions e GitLab. Agentes maliciosos podem enviar comandos disfarçados de mensagens de commit ou pedidos de pull, levando a IA a interpretá-los como instruções legítimas. Isso representa um risco significativo, pois muitos modelos de IA possuem altos privilégios em repositórios do GitHub, permitindo ações como edição de arquivos e publicação de conteúdo malicioso. Aikido já reportou a falha ao Google, que corrigiu a vulnerabilidade no Gemini CLI, mas a pesquisa indica que o problema é estrutural e afeta a maioria dos modelos de IA. A falha é considerada extremamente perigosa, pois pode resultar no vazamento de tokens privilegiados do GitHub. A situação exige atenção redobrada dos desenvolvedores e gestores de segurança da informação para evitar possíveis explorações.

O pesquisador de segurança Ari Marzouk identificou mais de 30 vulnerabilidades em Ambientes Integrados de Desenvolvimento (IDEs) que utilizam inteligência artificial para assistência. Essas falhas, coletivamente chamadas de IDEsaster, permitem que atacantes realizem injeções de prompt, utilizando ferramentas legítimas do sistema para roubar dados e executar códigos remotamente. Entre as IDEs afetadas estão Cursor, GitHub Copilot e Zed.dev, com 24 das vulnerabilidades já registradas como CVEs. Marzouk destaca que as IAs de IDE ignoram o software base em suas análises de segurança, considerando as ferramentas como seguras, o que as torna vulneráveis quando um agente de IA é integrado. Os vetores de ataque incluem a manipulação de contextos e a execução de ações sem interação do usuário. Para mitigar esses riscos, recomenda-se que os usuários utilizem IDEs apenas em projetos confiáveis e monitorem constantemente as conexões com servidores. Além disso, é importante revisar manualmente as fontes adicionadas e estar atento a instruções ocultas que possam ser utilizadas para exploração maliciosa.

Pesquisadores de segurança da Malanta.ai descobriram uma vasta infraestrutura de cibercrime na Indonésia, que operava há mais de 14 anos, com características que lembram operações patrocinadas por estados. A rede controlava mais de 320 mil domínios, incluindo 90 mil subdomínios hackeados, e estava envolvida na distribuição de milhares de aplicativos Android maliciosos. Esses aplicativos, disfarçados como plataformas de jogos, permitiam acesso total aos dispositivos comprometidos. A operação resultou no roubo de mais de 50 mil credenciais de jogos e levantou suspeitas sobre a possível ligação com atores estatais, dada a sofisticação e o financiamento da infraestrutura. Os pesquisadores alertam que a utilização de serviços como AWS e Firebase para comando e controle (C2) pode indicar um nível de organização além do que se espera de criminosos comuns.

Pesquisadores de cibersegurança identificaram uma nova campanha chamada JS#SMUGGLER, que utiliza sites comprometidos para distribuir um trojan de acesso remoto conhecido como NetSupport RAT. A análise da Securonix revela que a cadeia de ataque envolve um carregador JavaScript ofuscado injetado em um site, um aplicativo HTML (HTA) que executa estagiários PowerShell criptografados via ‘mshta.exe’, e um payload PowerShell que baixa e executa o malware principal. O NetSupport RAT permite controle total do host comprometido, incluindo acesso remoto, operações de arquivos e roubo de dados. A campanha, que ainda não está ligada a nenhum grupo de ameaças conhecido, visa usuários empresariais e utiliza técnicas sofisticadas de evasão, como iframes ocultos e execução em camadas de scripts. Os pesquisadores recomendam a implementação de medidas de segurança robustas, como monitoramento de scripts e restrições ao mshta.exe, para detectar e mitigar esses ataques.

O artigo explora a dualidade do hacking, apresentando as categorias de hackers: White Hat, Black Hat e Gray Hat. Os hackers Black Hat são aqueles que realizam atividades ilegais e maliciosas, como roubo de dados e ciberespionagem, enquanto os White Hats são hackers éticos que utilizam suas habilidades para proteger sistemas, sendo contratados por empresas para identificar e corrigir vulnerabilidades. Já os Gray Hats operam em uma zona ambígua, invadindo sistemas sem autorização, mas sem intenções destrutivas. A distinção entre hackers e crackers também é abordada, destacando que hackers são entusiastas que buscam entender sistemas, enquanto crackers são aqueles que invadem sistemas com intenções maliciosas. O artigo também menciona as formas de atuação dos hackers éticos, como testes de intrusão (pentests) e programas de recompensa por identificação de falhas (bug bounty). Essa discussão é relevante para a compreensão do papel dos hackers na segurança cibernética e na proteção de dados.

A WatchGuard Technologies divulgou um relatório com previsões para a cibersegurança em 2026, destacando a crescente importância da inteligência artificial e das regulamentações de segurança digital. Segundo os especialistas Marc Laliberte e Corey Nachreiner, os crypto-ransomwares devem diminuir, pois as empresas estão adotando melhores práticas de backup e recuperação, tornando-se menos propensas a pagar resgates. Em contrapartida, os ataques focados em roubo de dados e chantagem por exposição pública devem aumentar. Além disso, a segurança do ecossistema open source pode ser ameaçada por ataques a repositórios como NPM e PyPI, levando à necessidade de defesas automatizadas baseadas em IA. Com a implementação do Cyber Resilience Act na Europa, empresas terão apenas 24 horas para reportar vulnerabilidades, o que pode acelerar a adoção de práticas de segurança. A previsão é que em 2026 ocorra o primeiro ataque totalmente executado por IA, ressaltando a urgência de defesas igualmente automatizadas. Falhas de configuração e ataques a portas de VPN continuarão a ser vulnerabilidades significativas, especialmente para pequenas e médias empresas, que devem adotar medidas de segurança do tipo Zero Trust.

No terceiro trimestre de 2025, a Cloudflare reportou um aumento alarmante nos ataques DDoS, com picos de até 29,7 Tbps, impulsionados pela botnet Aisuru. Essa rede, composta por 1 a 4 milhões de dispositivos, é responsável por 8,3 milhões de ataques, um aumento de 15% em relação ao trimestre anterior e 40% em relação ao ano passado. Os ataques DDoS cresceram 54%, resultando em uma média de 14 incidentes diários. O setor de inteligência artificial foi particularmente afetado, com um aumento de 347% no tráfego DDoS. Os setores de telecomunicações, jogos online e financeiro também foram visados, com consequências severas, incluindo quedas de internet. A severidade dos ataques aumentou, com um crescimento de 189% em incidentes acima de 100 Mbps e 227% em ataques que superam 1 Tbps. A Indonésia se destacou como a principal origem global desses ataques, refletindo um cenário de cibersegurança cada vez mais complexo e desafiador.

Um novo spyware chamado Predator, desenvolvido pela empresa de vigilância Intellexa, está gerando preocupações entre especialistas em cibersegurança. Este software malicioso utiliza um mecanismo de ‘clique zero’, permitindo que dispositivos sejam infectados apenas pela visualização de anúncios maliciosos. O spyware, identificado como Aladdin, foi descoberto em uma investigação que revelou como empresas ao redor do mundo serviam como fachada para a disseminação do malware. Os anúncios maliciosos são exibidos em sites e aplicativos confiáveis, disfarçados entre propagandas legítimas. A técnica utilizada pelo Aladdin força a exibição de anúncios direcionados a alvos específicos, identificados por seus endereços IP, através de uma Plataforma de Demanda (DSP) que automatiza a compra de publicidade digital. Isso levanta um alerta significativo, pois o usuário não precisa interagir com o anúncio para ser afetado; a simples visualização é suficiente para comprometer o dispositivo. Até o momento, não há informações detalhadas sobre como o spyware compromete os sistemas, mas especula-se que isso possa ocorrer por meio de redirecionamentos para servidores de exploração da Intellexa.

Pesquisadores de cibersegurança revelaram detalhes sobre duas novas famílias de malware Android, FvncBot e SeedSnatcher, além de uma versão aprimorada do ClayRat. O FvncBot, disfarçado como um aplicativo de segurança do mBank, visa usuários de bancos na Polônia e é desenvolvido do zero, sem inspiração em trojans anteriores. Ele utiliza serviços de acessibilidade do Android para realizar fraudes financeiras, incluindo keylogging e injeções de web. O SeedSnatcher, distribuído via Telegram, tem como alvo frases-semente de carteiras de criptomoedas e intercepta mensagens SMS para roubar códigos de autenticação de dois fatores. Já o ClayRat, atualizado, abusa de permissões de SMS e acessibilidade, permitindo o controle total do dispositivo. As técnicas de evasão de detecção utilizadas por esses malwares incluem injeção de conteúdo em WebView e carregamento dinâmico de classes. A distribuição do FvncBot e do SeedSnatcher ainda não é clara, mas trojans bancários costumam usar phishing via SMS e lojas de aplicativos de terceiros como vetores de propagação. A crescente sofisticação desses malwares representa uma ameaça significativa para a segurança dos usuários de dispositivos Android, especialmente em um contexto onde a proteção de dados é crucial.

O período de festas, especialmente em torno do Black Friday e do Natal, intensifica os riscos de segurança cibernética, com ataques automatizados visando fraudes e tentativas de acesso a contas. Relatórios da indústria indicam que ataques como credential stuffing e roubo de credenciais aumentam significativamente, pois os atacantes utilizam listas de nomes de usuário e senhas vazadas para acessar portais de login de varejistas. O histórico de violações, como o caso da Target em 2013, destaca a importância de proteger não apenas as contas internas, mas também as credenciais de terceiros. Para mitigar esses riscos, recomenda-se a implementação de autenticação multifator (MFA) adaptativa, que equilibra a segurança com a experiência do usuário. Além disso, é crucial bloquear credenciais comprometidas e adotar práticas de gerenciamento de senhas que priorizem a segurança sem sobrecarregar os usuários. O artigo também enfatiza a importância de testar procedimentos de failover para garantir a continuidade operacional durante picos de vendas. Ferramentas como o Specops Password Policy podem ajudar a prevenir abusos de credenciais, oferecendo controles eficazes antes das semanas de pico de vendas.

Recentemente, o cenário de cibersegurança tem sido marcado por uma série de incidentes alarmantes. Um dos destaques é a exploração de uma falha crítica no React Server Components, conhecida como CVE-2025-55182, que permite a execução remota de código por atacantes não autenticados. Essa vulnerabilidade foi rapidamente explorada por grupos de hackers, especialmente da China, resultando em quase 29 mil endereços IP vulneráveis detectados. Além disso, mais de 30 falhas em ambientes de desenvolvimento integrados (IDEs) alimentados por inteligência artificial foram reveladas, permitindo a exfiltração de dados e execução remota de código. Outro ponto preocupante é o uso de aplicativos bancários falsos por grupos criminosos, como o GoldFactory, que têm atacado usuários na Indonésia, Tailândia e Vietnã, utilizando engenharia social para disseminar malware. No Brasil, campanhas de malware bancário estão sendo disseminadas via WhatsApp, com variantes como Casbaneiro e Astaroth, que exploram a confiança dos usuários em contatos conhecidos. Por fim, a Cloudflare conseguiu mitigar um ataque DDoS recorde de 29,7 Tbps, evidenciando a crescente sofisticação das ameaças. O cenário exige atenção redobrada das organizações para proteger suas infraestruturas e dados.

O grupo de hackers iraniano MuddyWater foi identificado utilizando uma nova backdoor chamada UDPGangster, que opera através do protocolo UDP para fins de comando e controle (C2). A atividade de ciberespionagem tem como alvo usuários na Turquia, Israel e Azerbaijão, conforme relatado pelo Fortinet FortiGuard Labs. O malware permite o controle remoto de sistemas comprometidos, possibilitando a execução de comandos, exfiltração de arquivos e implantação de cargas adicionais, tudo isso através de canais UDP que visam evitar defesas de rede tradicionais.

Uma falha de segurança crítica foi identificada no plugin Sneeit Framework para WordPress, afetando todas as versões até a 8.3, com uma pontuação CVSS de 9.8. Essa vulnerabilidade, classificada como CVE-2025-6389, permite a execução remota de código, possibilitando que atacantes não autenticados executem funções PHP arbitrárias no servidor. O Wordfence, empresa de segurança, relatou que a exploração da falha começou em 24 de novembro de 2025, com mais de 131.000 tentativas de ataque bloqueadas, sendo 15.381 apenas nas últimas 24 horas. Os atacantes têm utilizado requisições HTTP maliciosas para criar contas de administrador e carregar arquivos PHP maliciosos, que podem ser usados para injetar backdoors e redirecionar visitantes para sites maliciosos. O plugin Sneeit Framework possui mais de 1.700 instalações ativas, o que aumenta a urgência para que os administradores atualizem para a versão 8.4, que corrige a vulnerabilidade. Além disso, o artigo menciona outra exploração em andamento, relacionada ao ICTBroadcast, que também apresenta riscos significativos.

Em 1990, Kevin Poulsen, conhecido como Dark Dante, ganhou um Porsche 944 S2 em um concurso da rádio KIIS-FM, utilizando técnicas de phreaking para garantir sua vitória. Poulsen e seus cúmplices invadiram o sistema telefônico da Pacific Bell, bloqueando todas as chamadas para a rádio até que ele pudesse fazer a 102ª ligação, que o tornaria o vencedor. Essa manobra não foi apenas uma demonstração de habilidade em hacking, mas também um crime que o levou a ser procurado pelo FBI. Após ser capturado, Poulsen cumpriu cinco anos de prisão e se tornou o primeiro americano a ser proibido de usar a internet após a liberação. Em vez de seguir a carreira de hacker, ele se tornou jornalista, contribuindo para a cibersegurança e participando de eventos significativos, como a divulgação dos WikiLeaks. A história de Poulsen ilustra como a evolução da tecnologia e da segurança cibernética dificultou a repetição de tais golpes, uma vez que os sistemas modernos são muito mais seguros e monitorados em tempo real.

O phishing é uma técnica de cibercrime que visa enganar usuários para coletar dados sensíveis, como senhas e informações bancárias. Desde sua origem nos anos 1990, essa prática evoluiu, utilizando engenharia social e tecnologias avançadas, como inteligência artificial, para criar ataques mais sofisticados. Os cibercriminosos manipulam as vítimas por meio de mensagens que geram urgência ou curiosidade, como alertas de contas bloqueadas ou ofertas imperdíveis. Para se proteger, é essencial saber identificar e-mails falsos. Sinais básicos incluem verificar o remetente, usar o teste do mouseover para checar links e desconfiar de saudações genéricas. Além disso, técnicas mais avançadas, como spoofing de domínio e ataques homográficos, são frequentemente utilizadas para enganar os usuários. Para evitar ser enganado, recomenda-se não interagir com mensagens suspeitas, não clicar em links e utilizar ferramentas de análise para verificar a segurança de links. A desconfiança é a melhor defesa contra esses ataques.

O cenário de cibersegurança está em constante evolução, com ameaças cada vez mais sofisticadas e direcionadas. Um relatório recente da Bridewell destaca a crescente incidência de táticas de roubo de dados e extorsão, onde grupos de ransomware, como Warlock e Clop, têm priorizado a exfiltração de informações sensíveis em vez da simples criptografia de dados. O ataque à Colt Technology Services, que resultou no roubo de centenas de gigabytes de dados, exemplifica essa mudança de abordagem, onde os atacantes ameaçaram divulgar informações se o resgate não fosse pago. Além disso, a exploração de vulnerabilidades em dispositivos de rede e software de transferência de arquivos, como o MOVEit, tem sido uma estratégia comum entre os cibercriminosos. Os grupos de ransomware também estão se adaptando para evitar sistemas de Detecção e Resposta de Endpoint (EDR), utilizando ferramentas que se disfarçam como operações normais do sistema. À medida que as organizações enfrentam essas ameaças, é crucial que implementem medidas proativas de segurança, como o monitoramento contínuo e a atualização de sistemas, para se protegerem contra esses ataques em evolução.

Apesar do lançamento do Windows 11, a adoção do novo sistema operacional tem sido lenta, com o Windows 10 ainda dominando mais de 40% dos desktops ativos globalmente. Dados de novembro de 2025 indicam que o Windows 11 representa 53,7% dos desktops, enquanto o Windows 10 mantém 42,7%. Essa resistência à migração é observada principalmente em ambientes empresariais, onde muitas organizações optam por prorrogações de segurança pagas para sistemas críticos, em vez de atualizar para o Windows 11. A falta de incentivos claros para a mudança, além da necessidade de testes de compatibilidade e reestruturação de fluxos de trabalho, contribui para essa hesitação. Muitos usuários ainda utilizam máquinas com Windows 10 para tarefas leves, o que também distorce as estatísticas de adoção. A situação é agravada pela ausência de recursos que forcem uma mudança imediata no comportamento de compra das empresas. Em um cenário econômico incerto, as empresas estão relutantes em realizar grandes investimentos não planejados em substituições de hardware, o que torna a transição para o Windows 11 ainda mais desafiadora.

O avanço da inteligência artificial (IA) trouxe benefícios significativos, mas também expôs usuários a novos riscos, como a injeção de prompt em navegadores. Esse tipo de ataque ocorre quando hackers inserem códigos maliciosos em prompts, manipulando a IA para realizar atividades fraudulentas, como roubo de dados e credenciais. O artigo apresenta cinco dicas práticas para mitigar esses riscos. Primeiro, é essencial desconfiar das informações fornecidas pela IA, sempre verificando a veracidade com fontes confiáveis. Em segundo lugar, os usuários devem evitar compartilhar dados pessoais sensíveis, como informações bancárias, que podem ser acessadas por cibercriminosos. A atualização constante dos dispositivos é outra medida crucial, pois correções de segurança ajudam a fechar brechas exploráveis. Além disso, é importante monitorar as atividades da IA e verificar a precisão das informações geradas. Por fim, a autenticação multifator (MFA) é recomendada para adicionar uma camada extra de segurança, dificultando o acesso não autorizado mesmo em caso de vazamento de credenciais. Essas práticas são fundamentais para proteger os usuários em um cenário digital cada vez mais complexo.

Após a Black Friday, os consumidores devem estar atentos a uma nova onda de golpes que ocorrem após a finalização das compras. Golpistas utilizam técnicas de phishing e engenharia social para explorar a ansiedade dos consumidores em relação ao recebimento de produtos. Um dos métodos mais comuns envolve o envio de e-mails ou mensagens falsas informando sobre problemas com a entrega, como taxas pendentes ou reembolsos, levando as vítimas a fornecer dados pessoais ou a realizar pagamentos indevidos. Além disso, fraudes mais sofisticadas têm sido registradas, como a devolução de produtos com caixas vazias ou adulteradas, e o uso de dados roubados para solicitar reembolsos indevidos. O Mapa da Fraude 2025 da Serasa Experian indica que, no sábado após a Black Friday, foram bloqueadas 17,8 mil tentativas de fraude, totalizando R$ 27,6 milhões. Para se proteger, os consumidores devem evitar clicar em links suspeitos, verificar a autenticidade das comunicações e utilizar autenticação em duas etapas. A segurança dos sistemas de devolução e reembolso deve ser reforçada pelas empresas para mitigar esses riscos.

O novo drive de fita LTO-10 da SymplyPRO XTF SAS oferece uma solução de armazenamento de alta capacidade, permitindo que usuários de Mac Mini conectem um dispositivo que suporta até 30TB de armazenamento nativo. Com velocidades de transferência que se aproximam das de um SSD padrão, o drive é ideal para arquivamento de longo prazo. Os cartuchos LTO-10 podem alcançar até 75TB com compressão, e a unidade oferece velocidades de leitura e gravação de até 400MB/s, podendo chegar a 1000MB/s dependendo da compressão dos dados. Além disso, o drive inclui suporte para criptografia de 256 bits e permite o uso de cartuchos WORM, aumentando a segurança dos dados armazenados. A possibilidade de armazenar cartuchos offline cria uma ‘barreira de ar’, protegendo os backups contra ataques remotos. O preço do drive é de aproximadamente $11,395.25, e cada cartucho LTO-10 custa cerca de $300. Embora não substitua SSDs para acesso diário, a capacidade e a durabilidade do LTO-10 o tornam uma opção atraente para arquivistas e equipes de produção que necessitam de armazenamento a frio.

Mais de 30 vulnerabilidades de segurança foram reveladas em ambientes de desenvolvimento integrados (IDEs) que utilizam inteligência artificial (IA), permitindo a exfiltração de dados e execução remota de código. Denominadas ‘IDEsaster’ pelo pesquisador Ari Marzouk, essas falhas afetam IDEs populares como Cursor, GitHub Copilot e Kiro.dev, com 24 delas recebendo identificadores CVE. As vulnerabilidades exploram a ineficácia dos modelos de linguagem em distinguir entre comandos legítimos e maliciosos, permitindo que atacantes utilizem injeções de prompt para manipular o contexto e acionar funções legítimas das IDEs. Exemplos de ataques incluem a leitura de arquivos sensíveis e a execução de código malicioso através da edição de arquivos de configuração. Marzouk recomenda que desenvolvedores utilizem IDEs de IA apenas com projetos confiáveis e monitorem continuamente servidores de contexto. As descobertas ressaltam a necessidade de um novo paradigma de segurança, ‘Secure for AI’, para mitigar os riscos associados ao uso de ferramentas de IA em ambientes de desenvolvimento.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma vulnerabilidade crítica, identificada como CVE-2025-55182, no seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). Essa falha, que possui uma pontuação CVSS de 10.0, permite a execução remota de código por atacantes não autenticados, sem necessidade de configuração especial. O problema está relacionado à deserialização insegura no protocolo Flight da biblioteca React, que é utilizado para comunicação entre servidor e cliente. A vulnerabilidade foi explorada ativamente, com tentativas de ataque relatadas por empresas como Amazon e Palo Alto Networks, que identificaram grupos de hackers, incluindo aqueles associados à China. A CISA recomenda que as organizações atualizem suas versões do React para as versões 19.0.1, 19.1.2 e 19.2.1, que já corrigem a falha. Além disso, frameworks dependentes do React, como Next.js e React Router, também estão em risco. A situação é crítica, com mais de 2 milhões de serviços expostos na internet potencialmente vulneráveis, exigindo atenção imediata das equipes de segurança.