Api

A Adobe emitiu um alerta sobre uma vulnerabilidade crítica, identificada como CVE-2025-54236, que afeta suas plataformas Adobe Commerce e Magento Open Source. Com uma pontuação CVSS de 9.1, a falha é classificada como um problema de validação inadequada de entrada, permitindo que atacantes possam assumir o controle de contas de clientes através da API REST do Commerce. A vulnerabilidade impacta diversas versões do Adobe Commerce e Magento, incluindo versões anteriores a 2.4.9-alpha2 e 2.4.8-p2, entre outras. Embora a Adobe não tenha conhecimento de explorações ativas, a empresa lançou um hotfix e implementou regras de firewall de aplicação web (WAF) para proteger os ambientes contra tentativas de exploração. A empresa de segurança Sansec comparou essa vulnerabilidade a outras falhas significativas na história do Magento, como o Shoplift e o CosmicSting. Além disso, a Adobe também corrigiu uma vulnerabilidade crítica no ColdFusion, que poderia permitir gravações arbitrárias no sistema de arquivos. É essencial que os comerciantes que utilizam essas plataformas tomem medidas imediatas para mitigar os riscos associados a essa vulnerabilidade.

A Salesloft confirmou um vazamento de dados relacionado ao seu aplicativo Drift, que teve início com a violação de sua conta no GitHub. A investigação conduzida pela Mandiant, subsidiária do Google, revelou que o ator de ameaças identificado como UNC6395 teve acesso à conta do GitHub da Salesloft entre março e junho de 2025. Durante esse período, o invasor conseguiu baixar conteúdos de múltiplos repositórios, adicionar um usuário convidado e estabelecer fluxos de trabalho. Além disso, foram realizadas atividades de reconhecimento nas aplicações Salesloft e Drift. Embora não haja evidências de atividades além do reconhecimento, os atacantes conseguiram acessar o ambiente da Amazon Web Services (AWS) do Drift e obter tokens OAuth, que foram utilizados para acessar dados de integrações tecnológicas de clientes do Drift. Em resposta ao incidente, a Salesloft isolou a infraestrutura do Drift e tomou medidas de segurança, como a rotação de credenciais e a melhoria do controle de segmentação entre as aplicações. A Salesforce, que havia suspenso temporariamente a integração com a Salesloft, reestabeleceu a conexão, exceto para o aplicativo Drift, que permanecerá desativado até nova ordem.

Pesquisadores descobriram vulnerabilidades críticas nos robôs de serviço da Pudu Robotics, como BellaBot e KettyBot, que permitem que atacantes assumam o controle desses dispositivos em restaurantes, hospitais e hotéis. A falha está na autenticação das APIs de gerenciamento dos robôs, que não verificam se o portador do token de autenticação realmente possui autorização para controlar um robô específico. Isso possibilita que invasores criem ou cancelem tarefas, alterem configurações e até redirecionem robôs para locais não autorizados. Embora algumas ações possam parecer brincadeiras, como redirecionar um robô para entregar comida errada, as implicações em ambientes críticos, como hospitais, podem ser graves, colocando em risco a segurança dos pacientes. Após ser notificada sobre as falhas, a Pudu Robotics demorou a responder, o que levanta preocupações sobre a cultura de indiferença em relação à segurança cibernética na empresa. Especialistas alertam que é essencial implementar protocolos de segurança robustos para proteger a integridade dos serviços prestados por esses robôs.

Em 2025, as APIs se tornaram fundamentais para o funcionamento de aplicações modernas, abrangendo desde serviços bancários móveis até arquiteturas de microserviços. No entanto, essa popularidade também as torna alvos preferenciais para ataques cibernéticos, com violações relacionadas a APIs se destacando como uma das principais causas de exfiltração de dados. O artigo destaca a importância de um teste de segurança de API robusto, que vai além das soluções tradicionais, como firewalls de aplicativos web (WAFs) e scanners DAST, que muitas vezes falham em detectar ataques específicos de API, como a autorização de nível de objeto quebrada (BOLA) e abusos de lógica de negócios. As melhores empresas de teste de segurança de API em 2025 são aquelas que oferecem uma abordagem abrangente, cobrindo todo o ciclo de vida da segurança, desde o design até a execução. O artigo analisa empresas como Salt Security, Traceable AI e Wallarm, que se destacam por suas capacidades de descoberta automática de APIs, proteção em tempo real e uso de inteligência artificial para detectar ameaças sofisticadas. A segurança de APIs não é mais um luxo, mas uma necessidade crítica para prevenir violações e manter uma postura de segurança forte.

Uma vulnerabilidade crítica na arquitetura de Conexão de API do Microsoft Azure permitiu a completa exploração de recursos em múltiplos tenants na nuvem. A falha, descoberta por um pesquisador, foi corrigida pela Microsoft em uma semana após sua divulgação. O problema estava relacionado à infraestrutura compartilhada do Azure, que processa trocas de tokens de autenticação entre aplicações e serviços de backend. A vulnerabilidade permitia que atacantes acessassem serviços conectados, como Azure Key Vaults e bancos de dados, em diferentes tenants. O exploit utilizou um endpoint não documentado chamado DynamicInvoke, que permitia chamadas arbitrárias em Conexões de API, possibilitando acesso administrativo a serviços conectados globalmente. A falha foi classificada como uma séria ameaça, especialmente para organizações que armazenam credenciais sensíveis no Azure Key Vault. A descoberta ressalta os riscos de segurança em arquiteturas de nuvem compartilhadas, onde sistemas multi-tenant podem criar vetores de ataque inesperados.