Api Security

A Fortinet divulgou patches fora do ciclo regular para uma vulnerabilidade crítica no FortiClient EMS, identificada como CVE-2026-35616, com uma pontuação CVSS de 9.1. Essa falha permite que atacantes não autenticados contornem controles de acesso da API, possibilitando a execução de comandos maliciosos. A vulnerabilidade afeta as versões 7.4.5 a 7.4.6 do FortiClient EMS e já foi observada em exploração ativa. A empresa recomenda que os usuários apliquem um hotfix imediatamente, uma vez que a exploração dessa falha pode resultar em escalonamento de privilégios. A descoberta foi feita por pesquisadores da Defused Cyber e Nguyen Duc Anh, que notaram tentativas de exploração em honeypots desde 31 de março de 2026. Este incidente ocorre pouco tempo após outra vulnerabilidade crítica no mesmo produto, o que levanta preocupações sobre a segurança contínua do FortiClient EMS. A Fortinet alerta que a exploração de vulnerabilidades tende a aumentar durante feriados, quando as equipes de segurança estão menos atentas. Portanto, é crucial que as organizações afetadas tratem essa situação como uma emergência e atualizem seus sistemas o mais rápido possível.

Uma nova pesquisa da Truffle Security revelou que chaves de API do Google Cloud, geralmente usadas para fins de faturamento, podem ser exploradas para autenticar em endpoints sensíveis do Gemini e acessar dados privados. A investigação identificou quase 3.000 chaves de API do Google (com o prefixo ‘AIza’) embutidas em códigos de cliente, permitindo que atacantes acessem arquivos carregados, dados em cache e gerem cobranças indevidas. O problema surge quando usuários ativam a API do Gemini em um projeto do Google Cloud, o que concede acesso não intencional a essas chaves. Isso permite que qualquer atacante que colete essas chaves em sites as utilize para fins maliciosos, incluindo o roubo de quotas e acesso a arquivos sensíveis. Além disso, a criação de novas chaves de API no Google Cloud é, por padrão, ‘sem restrições’, aumentando o risco. Embora o Google tenha reconhecido o problema e implementado medidas para bloquear chaves vazadas, a situação destaca a necessidade de vigilância contínua e revisão de permissões em APIs. Organizações são aconselhadas a verificar suas chaves de API e rotacioná-las se estiverem acessíveis publicamente.

Uma vulnerabilidade de alta severidade foi identificada na solução de Gestão de Identidade e Acesso (IAM) One Identity OneLogin, que pode expor segredos de cliente de aplicações OpenID Connect (OIDC) se explorada com sucesso. A falha, registrada como CVE-2025-59363, recebeu uma pontuação CVSS de 7.7 em 10.0 e é classificada como uma transferência incorreta de recursos entre esferas (CWE-669). Isso permite que um programa ultrapasse limites de segurança e acesse dados ou funções confidenciais sem autorização. De acordo com a Clutch Security, a vulnerabilidade permite que atacantes com credenciais API válidas enumerem e recuperem segredos de cliente para todas as aplicações OIDC dentro de um inquilino OneLogin. O problema decorre da configuração inadequada do endpoint de listagem de aplicações, que retorna dados além do esperado, incluindo os valores de client_secret. A exploração bem-sucedida dessa falha pode permitir que um invasor se passe por aplicações e acesse serviços integrados. A falta de restrições de IP e o controle de acesso baseado em funções (RBAC) ampliam o risco, permitindo que atacantes explorem a vulnerabilidade de qualquer lugar do mundo. A falha foi corrigida na versão 2025.3.0 do OneLogin, lançada em agosto de 2025, que tornou os valores de client_secret invisíveis. Não há evidências de que a vulnerabilidade tenha sido explorada ativamente.