Dos

Vulnerabilidade PixelSmash no FFmpeg pode causar RCE e DoS

Uma nova vulnerabilidade no FFmpeg, chamada ‘PixelSmash’, foi identificada e pode ser explorada para execução remota de código (RCE) em servidores Jellyfin, além de provocar condições de negação de serviço (DoS) em aplicações como Kodi, Emby, Nextcloud, PhotoPrism e OBS Studio. A falha, rastreada como CVE-2026-8461, é um erro de escrita fora dos limites da memória (heap out-of-bounds) no decodificador MagicYUV, recebendo uma pontuação de severidade alta, 8.8. A exploração é possível através de arquivos de vídeo maliciosos nos formatos AVI, MKV ou MOV. A vulnerabilidade se origina de inconsistências no processamento de ‘slices’ de vídeo, que podem ser ativadas ao abrir arquivos ou gerar miniaturas. A pesquisa da JFrog demonstrou que a exploração pode ocorrer em Jellyfin e Nextcloud, especialmente quando a proteção ASLR (Address Space Layout Randomization) está desativada. Embora a Plex tenha mitigado o risco com uma versão personalizada do FFmpeg, outras aplicações populares ainda estão vulneráveis. O FFmpeg lançou uma correção na versão 8.1.2, e Jellyfin também atualizou sua versão do FFmpeg. A vulnerabilidade apresenta um grande vetor de ataque, pois o decodificador MagicYUV é utilizado em muitos projetos que confiam no FFmpeg para lidar com entradas não confiáveis.

Novo ataque DoS HTTP2 Bomb pode derrubar servidores rapidamente

Um novo ataque de negação de serviço (DoS) conhecido como HTTP/2 Bomb pode ser lançado a partir de uma única máquina, conseguindo derrubar servidores web em questão de segundos. Essa técnica explora configurações padrão do HTTP/2 em servidores amplamente utilizados, como NGINX, Apache, Microsoft IIS, Envoy e Cloudflare Pingora. O ataque combina duas metodologias conhecidas: a amplificação de compressão HPACK e a retenção de recursos ao estilo Slowloris, utilizando o controle de fluxo do HTTP/2. Ao enviar um único byte, um atacante pode forçar o servidor a alocar milhares de bytes de memória, resultando em um consumo extremo de RAM. Por exemplo, um computador doméstico com conexão de 100 Mbps pode tornar um servidor vulnerável inacessível em poucos segundos. Os testes mostraram que o Envoy e o Apache httpd são os mais afetados, consumindo 32 GB de RAM em cerca de 10 e 18 segundos, respectivamente. Embora algumas plataformas já tenham recebido patches, outras, como IIS e Envoy, ainda não têm correções disponíveis. A recomendação é desativar o HTTP/2 onde possível e implementar proxies ou firewalls que limitem o número de cabeçalhos.

Exploração de vulnerabilidade HTTP2 Bomb afeta servidores web populares

Pesquisadores de cibersegurança identificaram uma nova vulnerabilidade chamada HTTP/2 Bomb, que afeta servidores web amplamente utilizados, como NGINX, Apache HTTPD, Microsoft IIS, Envoy e Cloudflare Pingora. Essa falha permite um ataque de negação de serviço (DoS) remoto, explorando a configuração padrão do HTTP/2. A vulnerabilidade foi descoberta pela Calif, que explicou que o ataque combina duas técnicas conhecidas: uma bomba de compressão e uma técnica de manutenção de conexão semelhante ao Slowloris. O ataque visa o HPACK, o esquema de compressão de cabeçalhos do HTTP/2, onde um único byte pode resultar em uma alocação de cabeçalho completa no servidor, repetida milhares de vezes. Isso pode levar a um consumo excessivo de memória do servidor, tornando-o inacessível rapidamente. Para mitigar a vulnerabilidade, recomenda-se que os usuários do NGINX atualizem para a versão 1.29.8 ou desativem o HTTP/2, enquanto os usuários do Apache HTTPD devem atualizar para a versão 2.0.41 ou desativar o HTTP/2. No entanto, não há patches disponíveis para Microsoft IIS, Envoy e Cloudflare Pingora até o momento.

Cisco corrige vulnerabilidade crítica em controladores de rede

A Cisco lançou atualizações de segurança para corrigir uma vulnerabilidade de negação de serviço (DoS) nos sistemas Crosswork Network Controller (CNC) e Network Services Orchestrator (NSO). Essa falha, identificada como CVE-2026-20188, é considerada de alta severidade e resulta de uma limitação inadequada na taxa de conexões de rede recebidas. A vulnerabilidade pode ser explorada remotamente por agentes de ameaça não autenticados, levando à interrupção dos sistemas CNC e NSO não corrigidos. A exploração bem-sucedida pode esgotar os recursos de conexão disponíveis, tornando os sistemas inoperantes e exigindo um reinício manual para recuperação. A Cisco recomenda fortemente que os clientes atualizem para as versões corrigidas mencionadas em seu aviso. Embora a CVE-2026-20188 ainda não tenha sido explorada ativamente, a empresa já enfrentou outras vulnerabilidades de DoS que foram utilizadas em ataques. A situação destaca a importância de manter os sistemas atualizados para evitar possíveis interrupções nos serviços e garantir a continuidade das operações.

React corrige falhas críticas em Componentes de Servidor

A equipe do React anunciou a correção de duas novas vulnerabilidades nos React Server Components (RSC), que, se exploradas, podem resultar em negação de serviço (DoS) ou exposição de código-fonte. As falhas foram descobertas pela comunidade de segurança enquanto tentavam explorar patches para uma vulnerabilidade crítica anterior (CVE-2025-55182, pontuação CVSS: 10.0). As três vulnerabilidades identificadas são: CVE-2025-55184 e CVE-2025-67779, ambas com pontuação CVSS de 7.5, que podem causar DoS devido à desserialização insegura de cargas úteis em requisições HTTP, e CVE-2025-55183, com pontuação CVSS de 5.3, que pode vazar informações ao retornar o código-fonte de funções de servidor vulneráveis. As versões afetadas incluem 19.0.0 a 19.2.1 para as duas primeiras vulnerabilidades e 19.0.2 a 19.2.2 para a última. A equipe do React recomenda que os usuários atualizem para as versões 19.0.3, 19.1.4 e 19.2.3 imediatamente, especialmente devido à exploração ativa da CVE-2025-55182. A resposta da comunidade de segurança é vista como um sinal positivo de um ciclo de resposta saudável.

Novas falhas MadeYouReset no HTTP2 permitem ataques DoS

Uma vulnerabilidade crítica, identificada como CVE-2025-8671 e chamada de “MadeYouReset”, foi descoberta em implementações do protocolo HTTP/2, permitindo que atacantes realizem ataques de negação de serviço (DoS) em larga escala. Essa falha surge de uma discrepância entre as especificações do protocolo e a forma como servidores web reais lidam com o cancelamento de streams. Quando um cliente solicita um reset de stream através de frames malformados, o protocolo considera o stream fechado, mas os servidores continuam processando a solicitação. Isso permite que atacantes abram e resetem streams rapidamente, forçando os servidores a lidar com um número excessivo de requisições simultâneas, enquanto o sistema de contagem do protocolo permanece artificialmente baixo.

Múltiplas vulnerabilidades do Django expõem aplicações web a ataques

Em 5 de novembro de 2025, a equipe de segurança do Django lançou patches críticos para corrigir duas vulnerabilidades significativas que afetam várias versões do popular framework web em Python. As falhas, identificadas como CVE-2025-64458 e CVE-2025-64459, podem permitir que atacantes realizem ataques de negação de serviço (DoS) e injeções de SQL através de entradas maliciosas. A vulnerabilidade mais grave, CVE-2025-64459, afeta a funcionalidade de consulta central do Django, permitindo que atacantes explorem métodos como QuerySet.filter(), QuerySet.exclude() e QuerySet.get() utilizando um argumento _connector malicioso. Isso ocorre devido à validação insuficiente de entradas, criando uma brecha para injeções de SQL. A segunda vulnerabilidade, CVE-2025-64458, afeta especificamente implantações em Windows, explorando problemas de desempenho no processo de normalização Unicode do Python, o que pode levar a um vetor de DoS ao enviar solicitações com muitos caracteres Unicode. A equipe de segurança recomenda que todos os usuários do Django atualizem imediatamente para as versões corrigidas: 5.2.8, 5.1.14 ou 4.2.26, disponíveis no site oficial do Django.

Vulnerabilidades no HashiCorp Vault Permitem Ataques de DoS

A HashiCorp revelou uma vulnerabilidade crítica no Vault e no Vault Enterprise, que permite a atacantes contornar a autenticação e realizar ataques de negação de serviço (DoS). Identificada como CVE-2025-12044, essa falha resulta de um erro na ordem de operações durante a correção de uma vulnerabilidade anterior, permitindo que a limitação de taxa ocorra após o processamento de payloads JSON. Isso significa que um atacante pode enviar repetidamente payloads JSON maliciosos, consumindo recursos do sistema sem necessidade de autenticação. O impacto pode ser severo, levando à degradação do desempenho ou até mesmo à queda total do serviço, tornando segredos inacessíveis para aplicações legítimas. A vulnerabilidade afeta versões do Vault Community Edition de 1.20.3 a 1.20.4 e do Vault Enterprise em várias versões, exigindo atualizações urgentes para versões corrigidas. A HashiCorp recomenda que as organizações avaliem sua exposição e realizem as atualizações necessárias para evitar incidentes de DoS. A descoberta foi feita por Toni Tauro da Adfinis AG, que coordenou a divulgação responsável da falha.

Múltiplas vulnerabilidades no GitLab permitem ataques de negação de serviço

O GitLab divulgou atualizações críticas para suas edições Community (CE) e Enterprise (EE) visando corrigir várias vulnerabilidades que podem ser exploradas para provocar ataques de negação de serviço (DoS). As versões 18.5.1, 18.4.3 e 18.3.5 incluem correções essenciais que devem ser aplicadas imediatamente em todas as instalações autogeridas. As falhas identificadas incluem controle de acesso inadequado na API do runner, DoS na coleta de eventos, validação de JSON e pontos de upload. Essas vulnerabilidades permitem que usuários não autenticados sobrecarreguem APIs e rotinas de validação, resultando em uso excessivo de recursos. Além disso, um erro de autorização na construção de pipelines pode permitir a execução não autorizada de jobs. O GitLab já implementou as correções em sua plataforma hospedada, e os clientes dedicados não precisam tomar nenhuma ação. A atualização é crucial para manter a disponibilidade e a segurança dos dados dos projetos. A empresa recomenda que todas as instalações afetadas atualizem para as versões mais recentes o mais rápido possível, já que a falta de ação pode resultar em interrupções significativas nos serviços.

GitLab corrige vulnerabilidades que permitem DoS e SSRF

O GitLab lançou atualizações de patch (18.3.2, 18.2.6 e 18.1.6) para suas edições Community e Enterprise, abordando vulnerabilidades críticas que podem resultar em negação de serviço (DoS) e ataques de Server-Side Request Forgery (SSRF). As instalações autogeridas devem atualizar imediatamente, pois a versão do GitLab.com já está corrigida. A vulnerabilidade mais grave (CVE-2025-6454) permite que usuários autenticados injetem sequências maliciosas em cabeçalhos personalizados de Webhook, potencialmente desencadeando requisições internas indesejadas. Com um CVSS de 8.5, essa falha representa um risco significativo à confidencialidade e integridade dos dados. Além disso, duas falhas de DoS de alta severidade (CVE-2025-2256 e CVE-2025-1250) podem permitir que atacantes esgotem recursos do sistema. O GitLab recomenda que os administradores atualizem suas instalações sem demora, garantindo a segurança contra esses riscos. As versões afetadas vão da 7.8 até antes das versões de patch mencionadas, e a atualização é essencial para evitar a exploração dessas vulnerabilidades.

Vulnerabilidade MadeYouReset ameaça servidores HTTP2 com DoS

Pesquisadores identificaram uma nova técnica de ataque chamada MadeYouReset, que afeta várias implementações do protocolo HTTP/2, permitindo a realização de ataques de negação de serviço (DoS) em larga escala. Essa vulnerabilidade contorna o limite de 100 requisições HTTP/2 simultâneas por conexão TCP, que foi estabelecido para mitigar ataques DoS. Com o MadeYouReset, um atacante pode enviar milhares de requisições, causando a exaustão de recursos do servidor e, em alguns casos, levando a falhas de memória. A vulnerabilidade foi identificada com o CVE-2025-8671 e impacta produtos como Apache Tomcat, F5 BIG-IP e Netty. O ataque explora a forma como os servidores lidam com o quadro RST_STREAM, permitindo que um atacante induza o servidor a resetar streams válidos, sem precisar enviar um quadro RST_STREAM. Essa técnica representa uma evolução nas vulnerabilidades do HTTP/2, que já enfrentou outros ataques como Rapid Reset e CONTINUATION Flood. O CERT/CC alertou que a complexidade dos abusos de protocolos modernos torna a proteção contra ataques como o MadeYouReset mais crítica do que nunca.