Execução Remota De Código

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) alertou que hackers estão explorando ativamente a vulnerabilidade CVE-2026-1731 no produto BeyondTrust Remote Support. Essa falha de segurança afeta as versões 25.3.1 ou anteriores do Remote Support e 24.3.4 ou anteriores do Privileged Remote Access, permitindo a execução remota de código. A CISA incluiu essa vulnerabilidade no catálogo de Vulnerabilidades Conhecidas Exploitadas (KEV) em 13 de fevereiro, dando um prazo de três dias para que agências federais aplicassem o patch ou interrompessem o uso do produto. A BeyondTrust divulgou a CVE-2026-1731 em 6 de fevereiro, classificando-a como uma vulnerabilidade de execução remota de código pré-autenticação, causada por uma fraqueza de injeção de comando do sistema operacional. Explorações de prova de conceito (PoC) surgiram rapidamente, e a exploração no mundo real começou quase imediatamente. A BeyondTrust confirmou que a exploração foi detectada em 31 de janeiro, tornando a CVE-2026-1731 uma vulnerabilidade zero-day por pelo menos uma semana. Para clientes da aplicação em nuvem, o patch foi aplicado automaticamente em 2 de fevereiro. Já os clientes de instâncias auto-hospedadas precisam verificar a aplicação do patch ou instalá-lo manualmente. As versões recomendadas são 25.3.2 para Remote Support e 25.1.1 ou mais recente para Privileged Remote Access.

Uma vulnerabilidade crítica de execução remota de código pré-autenticação foi identificada nos aparelhos BeyondTrust Remote Support e Privileged Remote Access, afetando versões 25.3.1 e anteriores do Remote Support e 24.3.4 e anteriores do Privileged Remote Access. A falha, rastreada como CVE-2026-1731 e com uma pontuação CVSS de 9.9, permite que atacantes não autenticados enviem solicitações de cliente especialmente elaboradas, possibilitando a execução de comandos do sistema operacional no contexto do usuário do site. A BeyondTrust divulgou a vulnerabilidade em 6 de fevereiro de 2026, alertando que a exploração bem-sucedida pode levar a compromissos de sistema, acesso não autorizado, exfiltração de dados e interrupção de serviços. Embora a BeyondTrust tenha aplicado patches automaticamente em suas instâncias SaaS, clientes on-premise devem instalar as correções manualmente. A exploração da vulnerabilidade já está em andamento, com cerca de 11.000 instâncias expostas online, das quais aproximadamente 8.500 são implementações on-premise. Especialistas recomendam que as organizações que utilizam essas soluções apliquem as correções disponíveis imediatamente.

Recentemente, uma falha de segurança crítica no Ivanti Endpoint Manager Mobile (EPMM), identificada como CVE-2026-1281, tem sido alvo de exploração ativa. A empresa de inteligência em segurança GreyNoise registrou 417 tentativas de exploração entre 1 e 9 de fevereiro de 2026, com 83% dessas tentativas originando-se de um único endereço IP, 193.24.123[.]42, associado a uma infraestrutura de hospedagem resistente a ações legais, conhecida como PROSPERO. Essa vulnerabilidade permite a execução remota de código não autenticado, colocando em risco a segurança de organizações que utilizam o EPMM. Além disso, a análise revelou que o mesmo IP está explorando outras vulnerabilidades em softwares não relacionados, o que sugere o uso de ferramentas automatizadas para esses ataques. Agências europeias, incluindo a Autoridade de Proteção de Dados da Holanda, confirmaram que foram alvos de ataques utilizando essas falhas. A Ivanti já reconheceu que um número limitado de clientes foi impactado. Especialistas recomendam que os usuários do EPMM apliquem patches de segurança, auditem suas infraestruturas e monitorem atividades suspeitas para mitigar riscos.

A Microsoft corrigiu uma vulnerabilidade de execução remota de código (RCE) no Notepad do Windows 11, que permitia a atacantes executar programas locais ou remotos ao induzir usuários a clicarem em links Markdown maliciosos, sem exibir avisos de segurança. A falha, identificada como CVE-2026-20841, foi descoberta por pesquisadores e poderia ser explorada ao abrir arquivos Markdown (.md) que contivessem links manipulados. Ao clicar em um link malicioso, o Notepad poderia executar arquivos sem qualquer aviso, colocando em risco a segurança do usuário. A atualização, disponibilizada em fevereiro de 2026, agora exibe alertas ao clicar em links que não utilizam os protocolos http:// ou https://, mas ainda é possível que usuários sejam enganados a confirmar a execução. A Microsoft não esclareceu o motivo de não ter bloqueado esses links não padrão inicialmente. A correção será distribuída automaticamente via Microsoft Store, minimizando o impacto da vulnerabilidade.

A Fortinet divulgou atualizações de segurança para corrigir uma falha crítica no FortiClientEMS, identificada como CVE-2026-21643, que pode permitir a execução de código arbitrário em sistemas vulneráveis. Com uma pontuação CVSS de 9.1, a vulnerabilidade é classificada como uma injeção SQL, permitindo que atacantes não autenticados executem comandos não autorizados através de requisições HTTP manipuladas. As versões afetadas incluem FortiClientEMS 7.4.4, que deve ser atualizada para a versão 7.4.5 ou superior. As versões 7.2 e 8.0 não são afetadas. Embora a Fortinet não tenha relatado exploração ativa da falha, é crucial que os usuários apliquem as correções rapidamente. Essa atualização ocorre em um contexto onde a empresa também lidou com outra vulnerabilidade crítica em seus produtos FortiOS, FortiManager, FortiAnalyzer, FortiProxy e FortiWeb, que já está sendo explorada ativamente por atacantes. A rápida aplicação das atualizações é essencial para mitigar riscos de segurança.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou uma falha crítica no SolarWinds Web Help Desk (WHD) ao seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), classificando-a como ativamente explorada em ataques. A vulnerabilidade, identificada como CVE-2025-40551, possui uma pontuação CVSS de 9.8 e refere-se a uma deserialização de dados não confiáveis, que pode permitir a execução remota de código sem necessidade de autenticação. A SolarWinds lançou correções para essa e outras falhas na versão 2026.1 do WHD. Além disso, outras vulnerabilidades críticas em sistemas como Sangoma FreePBX e GitLab também foram adicionadas ao catálogo da CISA. Embora não haja informações públicas sobre como a CVE-2025-40551 está sendo explorada, o alerta destaca a rapidez com que os atores de ameaças estão se movendo para explorar falhas recém-divulgadas. Agências federais dos EUA devem corrigir essa vulnerabilidade até 6 de fevereiro de 2026, e as demais até 24 de fevereiro de 2026, conforme a Diretriz Operacional Vinculante 22-01.

Uma vulnerabilidade de alta severidade foi identificada no OpenClaw, um assistente pessoal de inteligência artificial de código aberto, que pode permitir a execução remota de código (RCE) através de um link malicioso. A falha, registrada como CVE-2026-25253 e com uma pontuação CVSS de 8.8, foi corrigida na versão 2026.1.29, lançada em 30 de janeiro de 2026. O problema reside na falta de validação do parâmetro ‘gatewayUrl’ na interface de controle, que permite que um link malicioso envie um token de autenticação para um servidor controlado por um atacante. Isso possibilita que o invasor conecte-se ao gateway local da vítima, altere configurações e execute comandos com privilégios elevados. O ataque pode ser realizado com um único clique, tornando-o extremamente perigoso. A vulnerabilidade afeta qualquer implantação do OpenClaw onde o usuário tenha se autenticado na interface de controle, permitindo acesso ao API do gateway e a execução de código arbitrário. O impacto é significativo, pois mesmo configurações que limitam o acesso a localhost podem ser contornadas, devido à maneira como o navegador da vítima inicia a conexão. A rápida popularidade do OpenClaw, com mais de 149 mil estrelas no GitHub, aumenta a urgência para que as organizações que utilizam essa ferramenta implementem a atualização imediatamente.

A SmarterTools anunciou a correção de duas vulnerabilidades críticas em seu software de e-mail SmarterMail, incluindo uma falha de execução remota de código, identificada como CVE-2026-24423, que possui uma pontuação CVSS de 9.3. Essa vulnerabilidade permite que um atacante direcione o SmarterMail para um servidor HTTP malicioso, executando comandos do sistema operacional sem autenticação. A falha foi descoberta por pesquisadores de várias organizações e corrigida na versão Build 9511, lançada em 15 de janeiro de 2026. Além disso, a mesma versão também aborda outra vulnerabilidade crítica (CVE-2026-23760) que já estava sendo explorada ativamente. Outra falha de severidade média (CVE-2026-25067) foi corrigida na versão Build 9518, lançada em 22 de janeiro de 2026, que poderia facilitar ataques de retransmissão NTLM e autenticação não autorizada. Dada a gravidade das vulnerabilidades e a exploração ativa, é crucial que os usuários atualizem para a versão mais recente o mais rápido possível.

Pesquisadores de cibersegurança revelaram duas falhas significativas na plataforma n8n, que é amplamente utilizada para automação de workflows. A primeira vulnerabilidade, identificada como CVE-2026-1470, possui uma pontuação CVSS de 9.9 e permite que um usuário autenticado contorne o mecanismo de sandbox da expressão, possibilitando a execução remota de código JavaScript malicioso. A segunda falha, CVE-2026-0863, com pontuação CVSS de 8.5, permite a execução de código Python arbitrário no sistema operacional subjacente, também por um usuário autenticado. A exploração bem-sucedida dessas vulnerabilidades pode permitir que um atacante assuma o controle total de uma instância do n8n, mesmo em modo de execução interna, o que representa um risco significativo para a segurança das organizações. Os desenvolvedores recomendam que os usuários atualizem para versões específicas para mitigar esses riscos. Essas falhas destacam a dificuldade de manter a segurança em linguagens dinâmicas como JavaScript e Python, onde características sutis podem ser exploradas para contornar medidas de segurança.

Uma falha de segurança crítica foi identificada no Grist-Core, uma versão de planilha-relacional de código aberto, que pode resultar em execução remota de código (RCE). A vulnerabilidade, rastreada como CVE-2026-24002 e codinome Cellbreak, foi descoberta pelo pesquisador de segurança Vladimir Tokarev. Ele explica que uma fórmula maliciosa pode transformar uma planilha em um ponto de acesso para execução de comandos do sistema operacional ou JavaScript, quebrando a barreira entre a lógica da célula e a execução no host. Essa falha é classificada como uma fuga do sandbox Pyodide, que também afetou recentemente outra plataforma, n8n. A vulnerabilidade foi corrigida na versão 1.7.9, lançada em 9 de janeiro de 2026. Os administradores devem verificar se estão usando o método de sandboxing ‘pyodide’ e, se sim, atualizar imediatamente. A falha permite que um usuário mal-intencionado execute processos arbitrários no servidor, acessando credenciais de banco de dados e chaves de API. A Grist recomenda que os usuários atualizem para a versão mais recente e, como solução temporária, configurem a variável de ambiente GRIST_SANDBOX_FLAVOR para ‘gvisor’. Essa situação destaca a necessidade de um design de sandbox mais robusto e baseado em capacidades para evitar brechas de segurança.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma falha crítica no VMware vCenter Server, identificada como CVE-2024-37079, em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). Com uma pontuação CVSS de 9.8, essa vulnerabilidade permite a execução remota de código por meio de um estouro de heap no protocolo DCE/RPC, possibilitando que um invasor com acesso à rede do vCenter envie pacotes de rede especialmente elaborados. A Broadcom, responsável pela correção da falha em junho de 2024, confirmou que a exploração da vulnerabilidade está ocorrendo ativamente. Pesquisadores da empresa de cibersegurança chinesa QiAnXin LegendSec descobriram essa e outras falhas relacionadas, que podem ser encadeadas para obter acesso não autorizado ao sistema ESXi. Embora ainda não se saiba a extensão dos ataques ou os grupos responsáveis, a Broadcom atualizou seu aviso para alertar sobre o abuso da vulnerabilidade. As agências do governo federal dos EUA devem atualizar para a versão mais recente até 13 de fevereiro de 2026 para garantir proteção adequada.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma nova vulnerabilidade crítica no seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). A falha, identificada como CVE-2025-8110, permite a execução remota de código (RCE) não autenticada por meio da API PutContents, comprometendo servidores Gogs. Com um índice de severidade de 8.7/10, a CISA ordenou que as agências federais apliquem um patch até 2 de fevereiro de 2026, ou cessem o uso do software vulnerável. O Gogs é um serviço de Git auto-hospedado, frequentemente utilizado em ambientes de desenvolvimento interno e redes isoladas. Pesquisadores da Wiz Research relataram que mais de 700 servidores Gogs já foram comprometidos, com ataques em andamento desde novembro de 2025. A correção disponível no GitHub implementa validação de caminho ciente de symlink em todos os pontos de entrada de escrita de arquivos, mitigando a vulnerabilidade. A situação destaca a necessidade urgente de atualização por parte das organizações que utilizam essa plataforma, uma vez que mais de 1.400 servidores Gogs estão expostos online.

A plataforma de automação de fluxo de trabalho de código aberto n8n alertou sobre uma vulnerabilidade de segurança de alta severidade, identificada como CVE-2026-21877, que pode permitir a execução remota de código (RCE) por usuários autenticados. Avaliada com a pontuação máxima de 10.0 no sistema CVSS, a falha pode resultar na total comprometimento da instância afetada. Tanto as implementações auto-hospedadas quanto as instâncias na nuvem da n8n estão vulneráveis. A vulnerabilidade foi corrigida na versão 1.121.3, lançada em novembro de 2025, e os usuários são aconselhados a atualizar imediatamente. Caso a atualização não seja viável, recomenda-se desabilitar o nó Git e restringir o acesso a usuários não confiáveis. Essa divulgação ocorre em um contexto onde a n8n já havia abordado outras falhas críticas, como CVE-2025-68613 e CVE-2025-68668, que também poderiam levar à execução de código sob certas condições. A descoberta foi feita pelo pesquisador de segurança Théo Lelasseux.

Uma nova vulnerabilidade crítica, identificada como CVE-2026-0625, foi descoberta em roteadores DSL da D-Link, com um alto índice de severidade de 9.3 no CVSS. Essa falha, que se refere a uma injeção de comandos no endpoint ‘dnscfg.cgi’, permite que atacantes remotos não autenticados injetem e executem comandos de shell arbitrários, resultando em execução remota de código. Os modelos afetados incluem DSL-2740R, DSL-2640B, DSL-2780B e DSL-526B, todos com status de fim de vida desde 2020. A D-Link está investigando a situação após um alerta da VulnCheck em dezembro de 2025, mas a identificação precisa dos modelos afetados é complexa devido a variações de firmware. A exploração ativa dessa vulnerabilidade foi registrada em novembro de 2025, e a empresa recomenda que os proprietários de dispositivos afetados considerem a substituição por modelos que recebam atualizações regulares de firmware e segurança. A falha expõe um mecanismo de configuração DNS que já foi utilizado em campanhas de sequestro de DNS em larga escala, permitindo que atacantes alterem silenciosamente as entradas de DNS, comprometendo a segurança de toda a rede conectada ao roteador.

A Agência de Cibersegurança de Cingapura (CSA) emitiu um alerta sobre uma vulnerabilidade de alta severidade no software de e-mail SmarterTools SmarterMail, identificada como CVE-2025-52691, que possui uma pontuação CVSS de 10.0. Essa falha permite o upload arbitrário de arquivos, possibilitando a execução de código remoto sem necessidade de autenticação. A exploração bem-sucedida dessa vulnerabilidade pode permitir que atacantes não autenticados façam upload de arquivos maliciosos no servidor de e-mail, potencialmente levando à execução de código. O SmarterMail é uma alternativa a soluções de colaboração empresarial, como o Microsoft Exchange, e é utilizado por provedores de hospedagem. A vulnerabilidade afeta as versões Build 9406 e anteriores, tendo sido corrigida na Build 9413, lançada em 9 de outubro de 2025. A CSA recomenda que os usuários atualizem para a versão mais recente (Build 9483, lançada em 18 de dezembro de 2025) para garantir proteção adequada. Embora não haja relatos de exploração ativa da falha, a gravidade da vulnerabilidade justifica a atualização imediata dos sistemas afetados.

A Hewlett Packard Enterprise (HPE) anunciou a correção de uma vulnerabilidade crítica no seu software OneView, que pode permitir a execução remota de código por usuários não autenticados. Identificada como CVE-2025-37164, essa falha recebeu a pontuação máxima de 10.0 no CVSS, indicando seu alto potencial de risco. O problema afeta todas as versões anteriores à 11.00 do OneView, que é uma ferramenta de gerenciamento de infraestrutura de TI. A HPE disponibilizou um hotfix para as versões 5.20 a 10.20, mas é importante ressaltar que esse hotfix deve ser reaplicado após atualizações específicas. Embora a empresa não tenha relatado a exploração da vulnerabilidade em ambientes reais, recomenda-se que os usuários apliquem as correções o mais rápido possível para garantir a segurança de seus sistemas. Além disso, em junho, a HPE já havia lançado atualizações para corrigir outras oito vulnerabilidades em sua solução StoreOnce, que também poderiam resultar em execução remota de código. A situação destaca a importância da gestão de patches e da vigilância contínua em ambientes corporativos.

A SonicWall anunciou a correção de uma vulnerabilidade crítica em seus dispositivos Secure Mobile Access (SMA) da série 100, identificada como CVE-2025-40602, com uma pontuação CVSS de 6.6. Essa falha permite a escalada de privilégios locais devido a uma autorização insuficiente no console de gerenciamento do aparelho. As versões afetadas incluem 12.4.3-03093 e anteriores, além de 12.5.0-02002 e anteriores, com correções disponíveis nas versões 12.4.3-03245 e 12.5.0-02283, respectivamente. A SonicWall alertou que essa vulnerabilidade está sendo explorada ativamente, especialmente em combinação com outra falha crítica, CVE-2025-23006, que permite a execução remota de código não autenticado com privilégios de root. Essa última falha foi corrigida em janeiro de 2025. A descoberta das vulnerabilidades foi creditada a pesquisadores do Google Threat Intelligence Group. Dada a gravidade da situação, é crucial que os usuários dos dispositivos SMA 100 apliquem as correções imediatamente para evitar possíveis comprometimentos.

A Huntress alertou sobre uma nova vulnerabilidade ativa nos produtos CentreStack e Triofox da Gladinet, que resulta do uso de chaves criptográficas hard-coded. Até o momento, nove organizações, incluindo aquelas nos setores de saúde e tecnologia, foram afetadas. A falha permite que atacantes acessem o arquivo web.config, possibilitando a deserialização de ViewState e a execução remota de código. A função ‘GenerateSecKey()’, presente no arquivo ‘GladCtrl64.dll’, gera chaves criptográficas que nunca mudam, tornando-as vulneráveis a ataques. Os invasores podem explorar essa falha enviando requisições URL específicas para o endpoint ‘/storage/filesvr.dn’, criando tickets de acesso que nunca expiram. A Huntress recomenda que as organizações afetadas atualizem para a versão mais recente do software e verifiquem logs em busca de atividades suspeitas. Caso sejam detectados indicadores de comprometimento, é essencial rotacionar a chave da máquina seguindo um procedimento específico. A situação é crítica, e as empresas devem agir rapidamente para mitigar os riscos associados a essa vulnerabilidade.

Uma nova pesquisa revelou vulnerabilidades no .NET Framework que podem ser exploradas em aplicações empresariais, permitindo a execução remota de código. Codenomeada de ‘SOAPwn’ pela WatchTowr Labs, a falha afeta produtos como Barracuda Service Center RMM e Ivanti Endpoint Manager, além de potencialmente impactar outros fornecedores devido à ampla utilização do .NET. A vulnerabilidade permite que atacantes abusem de importações de WSDL e proxies de cliente HTTP para executar código arbitrário, explorando erros na manipulação de mensagens SOAP. Um cenário hipotético de ataque envolve o uso de um caminho UNC para direcionar solicitações SOAP a um compartilhamento SMB controlado pelo atacante, possibilitando a captura de desafios NTLM. Além disso, a pesquisa identificou um vetor de exploração mais poderoso em aplicações que geram proxies de cliente HTTP a partir de arquivos WSDL, permitindo a execução remota de código ao não validar URLs. Apesar da divulgação responsável, a Microsoft optou por não corrigir a falha, alegando que se trata de um problema de comportamento de aplicação. As versões corrigidas já estão disponíveis para algumas das aplicações afetadas, com pontuações CVSS de até 9.8, indicando um risco elevado.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma vulnerabilidade crítica, identificada como CVE-2025-55182, no seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). Essa falha, que possui uma pontuação CVSS de 10.0, permite a execução remota de código por atacantes não autenticados, sem necessidade de configuração especial. O problema está relacionado à deserialização insegura no protocolo Flight da biblioteca React, que é utilizado para comunicação entre servidor e cliente. A vulnerabilidade foi explorada ativamente, com tentativas de ataque relatadas por empresas como Amazon e Palo Alto Networks, que identificaram grupos de hackers, incluindo aqueles associados à China. A CISA recomenda que as organizações atualizem suas versões do React para as versões 19.0.1, 19.1.2 e 19.2.1, que já corrigem a falha. Além disso, frameworks dependentes do React, como Next.js e React Router, também estão em risco. A situação é crítica, com mais de 2 milhões de serviços expostos na internet potencialmente vulneráveis, exigindo atenção imediata das equipes de segurança.

Uma vulnerabilidade crítica, identificada como CVE-2025-55182, foi descoberta nas versões 19.0 a 19.2.0 do React, uma das bibliotecas JavaScript mais utilizadas na web. Essa falha permite a execução remota de código (RCE) em componentes do servidor React, afetando também frameworks populares como Next.js, React Router e Vite. O problema foi classificado com a pontuação máxima de 10/10 em severidade, e a equipe do React já lançou patches nas versões 19.0.1, 19.1.2 e 19.2.1. Especialistas alertam que a exploração dessa vulnerabilidade é iminente, com uma taxa de sucesso próxima de 100%, o que torna a atualização imediata uma prioridade para desenvolvedores e empresas que utilizam essas tecnologias. A vulnerabilidade afeta uma vasta gama de aplicações, incluindo grandes plataformas como Facebook, Instagram e Netflix, aumentando significativamente a superfície de ataque. A recomendação é que todos os usuários atualizem suas versões o mais rápido possível para evitar possíveis ataques.

Dois grupos de hackers com vínculos à China, Earth Lamia e Jackpot Panda, foram identificados explorando uma vulnerabilidade crítica no React Server Components (RSC), conhecida como CVE-2025-55182, que permite a execução remota de código não autenticado. A falha, que recebeu a pontuação máxima de 10.0 no CVSS, foi divulgada publicamente e rapidamente aproveitada por esses grupos. A Amazon Web Services (AWS) relatou que as tentativas de exploração foram detectadas em sua infraestrutura de honeypot, associadas a endereços IP conhecidos por estarem ligados a atores de ameaças estatais chineses. Os ataques têm como alvo setores variados, incluindo serviços financeiros, logística e universidades, principalmente na América Latina, Oriente Médio e Sudeste Asiático. Além disso, o Jackpot Panda, ativo desde 2020, tem se concentrado em entidades relacionadas a jogos online na Ásia. A AWS também observou que os atacantes estavam explorando outras vulnerabilidades conhecidas, sugerindo uma abordagem sistemática para encontrar sistemas não corrigidos. Essa situação destaca a necessidade urgente de que empresas e organizações atualizem suas versões do React para mitigar riscos de exploração.

Uma falha de segurança de alta severidade foi identificada nos React Server Components (RSC), com o identificador CVE-2025-55182, que permite a execução remota de código não autenticado. A vulnerabilidade, que possui uma pontuação CVSS de 10.0, resulta de um erro na forma como o React decodifica os dados enviados para os endpoints de funções do servidor. Mesmo que uma aplicação não utilize endpoints de funções do servidor, ela ainda pode ser vulnerável se suportar componentes do servidor do React. A empresa de segurança em nuvem Wiz relatou que 39% dos ambientes em nuvem podem ter instâncias vulneráveis a essa falha. As versões afetadas incluem 19.0, 19.1.0, 19.1.1 e 19.2.0 de pacotes npm como react-server-dom-webpack e react-server-dom-parcel. As correções foram lançadas nas versões 19.0.1, 19.1.2 e 19.2.1. Além disso, a vulnerabilidade também impacta o Next.js com App Router, identificado como CVE-2025-66478, afetando versões >=14.3.0-canary.77 e superiores. Dada a gravidade da situação, é altamente recomendável que os usuários apliquem as correções imediatamente para garantir a proteção adequada.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma vulnerabilidade crítica no Oracle Identity Manager em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). A falha, identificada como CVE-2025-61757, possui uma pontuação CVSS de 9.8 e permite a execução remota de código sem autenticação, afetando as versões 12.2.1.4.0 e 14.1.2.1.0 do software. Pesquisadores da Searchlight Cyber descobriram que a vulnerabilidade resulta de um bypass de um filtro de segurança, permitindo que atacantes não autenticados acessem endpoints de API e manipulem fluxos de autenticação. O ataque pode ser realizado ao adicionar parâmetros específicos a uma URI, levando à execução de código Groovy em um endpoint que deveria apenas verificar a sintaxe do código. A CISA alertou que houve tentativas de exploração ativa entre agosto e setembro de 2025, com múltiplos IPs tentando acessar a vulnerabilidade. Diante disso, agências federais dos EUA devem aplicar patches até 12 de dezembro de 2025 para proteger suas redes.

Uma falha de segurança recentemente divulgada no 7-Zip, identificada como CVE-2025-11001, está sendo ativamente explorada por atacantes. Com uma pontuação CVSS de 7.0, essa vulnerabilidade permite que invasores executem código arbitrário ao manipular links simbólicos em arquivos ZIP. A Trend Micro alertou que dados manipulados em um arquivo ZIP podem fazer com que o processo acesse diretórios não intencionais, possibilitando a execução de código em contas de serviço. A falha foi descoberta por Ryota Shiga, da GMO Flatt Security Inc., e corrigida na versão 25.00 do 7-Zip, lançada em julho de 2025. Além disso, outra vulnerabilidade, CVE-2025-11002, também foi resolvida na mesma versão, que apresenta um problema semelhante. A NHS England Digital confirmou a exploração ativa da CVE-2025-11001, embora detalhes sobre os atacantes e os métodos utilizados ainda não estejam disponíveis. Dada a existência de provas de conceito (PoC) para essa vulnerabilidade, é crucial que os usuários do 7-Zip atualizem para a versão mais recente o mais rápido possível para garantir a proteção adequada.

A Cisco divulgou vulnerabilidades críticas de execução remota de código que afetam o Cisco Unified Contact Center Express (CCX), expondo organizações a riscos severos de segurança. O aviso detalha duas vulnerabilidades independentes no processo de Java Remote Method Invocation (RMI), que podem permitir que atacantes não autenticados obtenham controle total do sistema, incluindo privilégios de nível root. As falhas representam uma ameaça significativa para operações de contact center em todo o mundo, pois podem ser exploradas sem autenticação ou interação do usuário. A primeira vulnerabilidade permite o upload de arquivos arbitrários e a execução de comandos com permissões de root. A segunda permite que atacantes contornem mecanismos de autenticação na aplicação CCX Editor, criando a ilusão de acesso legítimo. Ambas as vulnerabilidades possuem pontuações CVSS de 9.8 e 9.4, respectivamente, indicando níveis críticos de severidade. A Cisco recomenda que as organizações que utilizam versões vulneráveis do CCX atualizem imediatamente para as versões corrigidas, uma vez que não existem alternativas de mitigação. A rápida remediação é essencial para proteger a infraestrutura crítica dos contact centers.

Pesquisadores de cibersegurança identificaram vulnerabilidades críticas de execução remota de código em motores de inferência de inteligência artificial (IA) de grandes empresas como Meta, Nvidia e Microsoft, além de projetos open-source como vLLM e SGLang. O problema central está relacionado ao uso inseguro do ZeroMQ (ZMQ) e à desserialização do Python, resultando em um padrão denominado ShadowMQ. A vulnerabilidade mais significativa foi encontrada no framework Llama da Meta (CVE-2024-50050), que permitia a execução de código arbitrário ao desserializar dados maliciosos. Outras plataformas, como NVIDIA TensorRT-LLM e Microsoft Sarathi-Serve, também apresentaram falhas semelhantes. A exploração dessas vulnerabilidades pode permitir que atacantes executem código arbitrário, escalem privilégios e até realizem roubo de modelos de IA. Com a rápida evolução dos projetos de IA, a reutilização de código inseguro se torna um risco crescente. Além disso, um novo relatório revelou que técnicas de injeção de JavaScript podem comprometer navegadores integrados em editores de código, aumentando ainda mais as preocupações de segurança. É crucial que as empresas adotem medidas de mitigação, como desativar recursos de execução automática e auditar servidores de integração.

Uma vulnerabilidade crítica de execução remota de código foi descoberta e corrigida no Imunify360 AV, um produto de segurança que protege aproximadamente 56 milhões de websites em todo o mundo. A falha, identificada em versões anteriores à v32.7.4.0, permite que atacantes executem comandos arbitrários em servidores vulneráveis, comprometendo completamente o ambiente de hospedagem. A vulnerabilidade se origina de uma lógica de desofuscação defeituosa que processa funções não confiáveis e cargas úteis extraídas de amostras de malware fornecidas por atacantes. O Imunify360 AV, que opera com privilégios de root por padrão, aumenta os riscos de escalonamento em ambientes de hospedagem compartilhada. A empresa-mãe, CloudLinux, não emitiu um aviso oficial sobre a segurança, embora a gravidade do problema tenha sido documentada em seu portal de suporte. Administradores que utilizam versões afetadas devem aplicar atualizações de segurança imediatamente ou, se não for possível, restringir o ambiente de execução. Este é o segundo incidente crítico de RCE no Imunify360, seguindo um evento semelhante em 2021.

Uma vulnerabilidade crítica de execução remota de código (RCE) foi identificada na biblioteca expr-eval, amplamente utilizada para avaliação de expressões matemáticas e processamento de linguagem natural (NLP). A falha, registrada como CVE-2025-12735, permite que atacantes executem comandos de sistema no ambiente do servidor, comprometendo a segurança de aplicações que processam entradas de usuários. Essa vulnerabilidade é especialmente preocupante para organizações que utilizam essa biblioteca em ambientes de produção, pois pode resultar em acesso não autorizado a recursos sensíveis e exfiltração de dados. A falha decorre de um erro de design no método evaluate() da classe Parser, permitindo que funções arbitrárias sejam definidas no contexto do parser. Para mitigar os riscos, as organizações devem auditar suas dependências e aplicar patches imediatamente. As opções incluem a aplicação de um patch específico ou a atualização para versões corrigidas da biblioteca. A rápida implementação dessas correções é crucial para evitar a exploração generalizada da vulnerabilidade. O pesquisador de segurança Jangwoo Choe divulgou a questão de forma responsável, colaborando com GitHub e npm para garantir um relato adequado e tempo suficiente para as correções.

Uma vulnerabilidade crítica de execução remota de código foi identificada na biblioteca de serialização de checkpoints do LangGraph, afetando versões anteriores à 3.0. Essa falha permite que atacantes executem código Python arbitrário por meio da desserialização de payloads maliciosos. O problema reside no componente JsonPlusSerializer, que é o protocolo de serialização padrão para operações de checkpoint. Quando a serialização msgpack falha devido a valores Unicode ilegais, o sistema muda automaticamente para o modo JSON, que permite a reconstrução de objetos personalizados sem a devida validação, criando uma superfície de ataque. A LangGraph lançou a versão 3.0.0, que corrige a vulnerabilidade implementando um sistema de lista de permissão para a desserialização de construtores, restringindo os caminhos de código permitidos. A atualização é compatível com versões anteriores e não requer modificações no código. Dada a gravidade da vulnerabilidade e a facilidade de exploração, a atualização imediata é essencial para as organizações que utilizam o LangGraph.

Recentemente, foram descobertas falhas críticas de execução remota de código na aplicação Claude Desktop, desenvolvida pela Anthropic, uma das principais empresas de inteligência artificial. Três extensões oficiais da plataforma, que somam mais de 350.000 downloads, apresentavam vulnerabilidades que permitiam ataques de injeção de comandos. Essas falhas poderiam ser exploradas durante interações normais com o Claude, permitindo que um simples questionamento do usuário resultasse em comprometimento total do sistema. A vulnerabilidade, classificada com um CVSS de 8.9, se origina de comandos não sanitizados, um erro de segurança conhecido há décadas. As extensões afetadas, que operam com permissões completas do sistema, não validavam a entrada do usuário, permitindo que códigos maliciosos fossem injetados. Embora a Anthropic tenha lançado patches para corrigir as falhas, a situação levanta preocupações sobre a segurança do ecossistema de extensões MCP, que está em rápida expansão. A falta de revisão de segurança em extensões criadas por desenvolvedores independentes, muitas vezes utilizando codificação assistida por IA, aumenta a superfície de ataque, tornando essencial que os usuários e administradores de sistemas compreendam as diferenças entre essas extensões e os complementos tradicionais de navegadores.

Em 3 de novembro de 2025, o Google divulgou seu Boletim de Segurança Android, revelando uma vulnerabilidade crítica de execução remota de código (CVE-2025-48593) que afeta dispositivos Android em todo o mundo. Essa falha, que não requer interação do usuário para ser explorada, representa um risco severo, pois permite que atacantes executem código arbitrário em dispositivos vulneráveis. A vulnerabilidade impacta as versões Android 13, 14, 15 e 16, e a sua gravidade é acentuada pelo fato de que os usuários não podem mitigar o problema através de mudanças de comportamento ou práticas de segurança. O Google recomenda que todos os dispositivos com nível de patch de segurança de 2025-11-01 ou posterior sejam atualizados imediatamente para se proteger contra essa e outras ameaças. Além disso, uma outra vulnerabilidade de elevação de privilégios (CVE-2025-48581) foi identificada, afetando exclusivamente o Android 16. O Google também enfatiza a importância de atualizações regulares e o uso do Google Play Protect para aumentar a segurança dos dispositivos.

Uma vulnerabilidade crítica de execução remota de código (RCE) foi descoberta no UniFi OS da Ubiquiti, afetando a infraestrutura da API de backup em dispositivos UniFi. Identificada como CVE-2025-52665, a falha resulta de uma validação inadequada de entrada no endpoint de exportação de backup, permitindo que atacantes executem comandos arbitrários com privilégios elevados. A vulnerabilidade foi identificada durante uma avaliação de segurança rotineira e está relacionada a múltiplas APIs não autenticadas no ecossistema do UniFi OS. O endpoint vulnerável aceita um parâmetro de diretório sem a devida sanitização, possibilitando a injeção de comandos maliciosos. Além disso, a configuração incorreta expôs o endpoint a acessos não autenticados, permitindo que atacantes realizem operações sensíveis. Organizações que utilizam o UniFi OS devem priorizar a aplicação de patches e revisar os controles de acesso à rede para restringir a exposição dos endpoints da API. A gravidade da vulnerabilidade é evidenciada pelo CVSS Score de 9.8, classificada como crítica, e a recompensa de $25.000 oferecida pela descoberta.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu a vulnerabilidade CVE-2025-24893 em seu catálogo de Vulnerabilidades Conhecidas Exploited, destacando um grave problema de injeção de código na plataforma XWiki. Essa falha permite que qualquer usuário convidado execute código remoto arbitrário sem autenticação, representando um risco significativo para organizações que utilizam essa plataforma de wiki de código aberto. A vulnerabilidade está relacionada ao componente SolrSearch do XWiki, que não trata adequadamente as funções de avaliação de código, permitindo que atacantes não autenticados injetem código malicioso. A CISA estabeleceu o dia 20 de novembro de 2025 como prazo crítico para que as organizações implementem correções de segurança fornecidas pela equipe de desenvolvimento do XWiki. Para organizações que não conseguem aplicar as correções imediatamente, a CISA recomenda a suspensão do uso da plataforma até que a remediação completa seja possível. Embora não haja evidências de exploração ativa, a gravidade da vulnerabilidade sugere que os atacantes podem rapidamente desenvolver códigos de exploração contra sistemas não corrigidos. As equipes de segurança devem realizar um inventário de todas as implementações do XWiki e estabelecer procedimentos de teste de patches antes da implementação em larga escala.

A Microsoft lançou um patch de segurança crítico para corrigir uma vulnerabilidade grave de execução remota de código (RCE) no Windows Server Update Services (WSUS), identificada como CVE-2025-59287. Essa falha representa uma ameaça imediata para organizações que gerenciam atualizações do Windows em sua infraestrutura, com uma pontuação máxima de 9.8 no CVSS, o que a classifica como crítica. A vulnerabilidade se origina na forma como o WSUS lida com a desserialização de dados não confiáveis, permitindo que atacantes executem código arbitrário sem necessidade de autenticação ou interação do usuário. Um invasor com acesso à rede de um servidor WSUS pode executar comandos com os mesmos privilégios da conta de serviço do WSUS, comprometendo completamente a infraestrutura de atualização e potencialmente afetando milhares de sistemas conectados. Dada a facilidade de exploração e o alto impacto, a Microsoft recomenda que as organizações apliquem o patch imediatamente e revisem a topologia de implantação do WSUS para limitar o alcance de possíveis ataques. A situação exige atenção urgente de administradores de sistemas e equipes de segurança de TI em todo o mundo.

Uma vulnerabilidade crítica, identificada como CVE-2025-54236 e chamada de SessionReaper, está sendo explorada ativamente por hackers em plataformas de comércio eletrônico como Adobe Commerce e Magento. Essa falha permite a execução remota de código e a tomada de controle de contas de clientes em milhares de lojas online. Detectada pela primeira vez em 22 de outubro de 2025, a vulnerabilidade combina uma sessão maliciosa com um bug de desserialização na API REST do Magento, permitindo que atacantes façam upload de backdoors PHP disfarçados. Apesar de um patch de emergência ter sido lançado pela Adobe em 9 de setembro, a adoção do mesmo foi lenta, com menos de 40% das lojas afetadas aplicando a correção até a data da descoberta. A situação é agravada pelo fato de que a Adobe inicialmente minimizou a gravidade da vulnerabilidade em seu aviso oficial. Com 62% das lojas ainda sem correção, a ameaça continua a evoluir, exigindo ações imediatas por parte dos administradores de sistemas para evitar compromissos.

Pesquisas de segurança da Trail of Bits revelam que agentes de inteligência artificial modernos estão vulneráveis a ataques de injeção de argumentos, permitindo a execução remota de código (RCE). Essa vulnerabilidade explora uma falha arquitetônica fundamental na forma como esses agentes lidam com a execução de comandos do sistema. Ao utilizar utilitários de linha de comando como find, grep e git, os sistemas se tornam mais rápidos, mas também expõem uma superfície de ataque perigosa quando a entrada do usuário influencia os parâmetros dos comandos.

Uma vulnerabilidade crítica, conhecida como TARmageddon (CVE-2025-62518), foi descoberta na biblioteca async-tar do Rust e em seus forks, como o tokio-tar. Com uma classificação de severidade de 8.1 (alta), essa falha permite que atacantes executem código remotamente ao sobrescrever arquivos de configuração e sequestrar backends de construção através de arquivos TAR aninhados cuidadosamente elaborados. A equipe de segurança Edera identificou que a vulnerabilidade afeta projetos importantes nos ecossistemas Python e de desenvolvimento web, incluindo o gerenciador de pacotes uv da Astral e o testcontainers. O tokio-tar, que já acumulou mais de 5 milhões de downloads, representa um grande risco para seus usuários, especialmente porque parece estar descontinuado e não recebe mais manutenção. A falha se origina de um erro de desincronização na forma como o parser lida com arquivos TAR aninhados, permitindo que um atacante crie um arquivo TAR que contenha arquivos legítimos na camada externa e cargas maliciosas ocultas na interna. A Edera lançou patches que priorizam cabeçalhos PAX sobre cabeçalhos ustar e recomendou que os desenvolvedores atualizem para versões corrigidas. Para organizações que não podem aplicar patches imediatamente, alternativas incluem a migração para a crate tar padrão ou a implementação de mitigação em tempo de execução.

Pesquisadores em cibersegurança identificaram uma vulnerabilidade de alta severidade na biblioteca async-tar, utilizada em diversos projetos populares, como testcontainers e wasmCloud. A falha, classificada como CVE-2025-62518 e com um escore CVSS de 8.1, pode permitir a execução remota de código (RCE) através de ataques de sobrescrita de arquivos. O problema é agravado pelo fato de que a biblioteca tokio-tar, que depende do async-tar, não recebe atualizações desde julho de 2023, tornando-a essencialmente abandonada. Para mitigar os riscos, os usuários são aconselhados a migrar para a versão 0.5.6 da biblioteca astral-tokio-tar, que corrige a vulnerabilidade. A falha decorre de uma inconsistência no tratamento de cabeçalhos PAX e ustar, permitindo que atacantes ’escondam’ arquivos maliciosos dentro de arquivos TAR legítimos. Essa vulnerabilidade é um lembrete de que, apesar das garantias de segurança do Rust, falhas lógicas ainda podem ocorrer e devem ser monitoradas de perto pelos desenvolvedores.

Uma vulnerabilidade crítica de execução remota de código foi identificada na edição on-premise do LANSCOPE Endpoint Manager, permitindo que atacantes não autenticados executem comandos arbitrários com altos privilégios nos sistemas afetados. A falha, rastreada como CVE-2025-61932, afeta tanto o Programa Cliente (MR) quanto o Agente de Detecção (DA) nas versões 9.4.7.1 e anteriores. Pesquisadores de segurança descobriram que pacotes de rede especialmente elaborados podem acionar um erro severo no cliente MR e no agente DA, contornando todos os requisitos de interação do usuário, como cliques ou abertura de e-mails. Tentativas de exploração no mundo real já foram observadas, tornando a aplicação de patches urgente. A edição on-premise é a única afetada, enquanto a edição em nuvem permanece segura. Um patch já está disponível no portal de suporte oficial da LANSCOPE, e é crucial que todas as máquinas que executam a edição on-premise sejam atualizadas imediatamente para mitigar o risco de exploração.

Uma vulnerabilidade crítica nos dispositivos de segurança de rede Firebox da WatchGuard pode permitir que um atacante remoto e não autenticado execute código arbitrário, comprometendo redes corporativas. A falha, identificada como CVE-2025-9242, está relacionada ao gerenciamento de conexões VPN IKEv2 e recebeu uma pontuação de severidade crítica de 9.3 em 10. Essa vulnerabilidade é um problema de escrita fora dos limites dentro do processo iked do sistema operacional Fireware, que gerencia trocas de chaves IKEv2 para VPNs. Os atacantes podem explorar essa falha enviando um pacote especialmente elaborado a um dispositivo afetado, provocando um estouro de buffer baseado em pilha. A WatchGuard recomenda que os clientes atualizem seus sistemas imediatamente, com versões corrigidas já disponíveis. A vulnerabilidade afeta uma ampla gama de modelos Firebox, incluindo dispositivos de pequeno escritório e unidades empresariais maiores, com um potencial de ataque significativo, dado que a empresa protege mais de 250.000 negócios e 10 milhões de endpoints. Administradores são aconselhados a priorizar a aplicação de patches para evitar possíveis explorações, especialmente por grupos de ransomware.

Pesquisadores de cibersegurança revelaram uma vulnerabilidade crítica no WatchGuard Fireware, identificada como CVE-2025-9242, com uma pontuação CVSS de 9.3. Essa falha, que afeta versões do Fireware OS de 11.10.2 até 12.11.3 e 2025.1, permite que atacantes não autenticados executem código arbitrário. A vulnerabilidade está relacionada ao processo ‘ike2_ProcessPayload_CERT’, que não verifica corretamente o comprimento do buffer de identificação do cliente, possibilitando um estouro de buffer durante a fase de autenticação do IKE_SA_AUTH, essencial para a criação de um túnel VPN. Embora a validação do certificado ocorra, ela acontece após a execução do código vulnerável, permitindo que o ataque seja realizado antes da autenticação. A WatchGuard já lançou patches para corrigir a falha em várias versões do Fireware. A análise da WatchTowr Labs destaca que essa vulnerabilidade é atraente para grupos de ransomware, pois permite a execução de código em um serviço exposto à internet. A falta de um shell interativo não impede que um invasor obtenha controle sobre o sistema, podendo escalar privilégios e acessar um shell Linux completo. Dada a gravidade da falha, é crucial que as organizações que utilizam o Fireware atualizem seus sistemas imediatamente.

Uma vulnerabilidade severa na implementação do servidor WINS do Samba para controladores de domínio do Active Directory foi divulgada, permitindo que atacantes não autenticados executem código arbitrário em sistemas vulneráveis. Identificada como CVE-2025-10230, a falha possui uma pontuação CVSS 3.1 de 10.0, destacando seu alto risco e facilidade de exploração. Todas as versões do Samba desde a 4.0 com suporte a WINS habilitado e o parâmetro wins hook configurado estão afetadas, o que pode expor uma infinidade de serviços de diretório corporativo a compromissos.

Pesquisadores de cibersegurança revelaram uma falha crítica no software de discagem automática ICTBroadcast, que está sendo ativamente explorada. A vulnerabilidade, identificada como CVE-2025-2611, possui uma pontuação CVSS de 9.3 e está relacionada à validação inadequada de entradas, permitindo a execução remota de código não autenticado. Essa falha afeta as versões 7.4 e anteriores do ICTBroadcast, um aplicativo amplamente utilizado em call centers. Os atacantes estão utilizando a injeção de comandos via cookie BROADCAST para executar comandos no servidor vulnerável. A exploração foi detectada em 11 de outubro, com ataques ocorrendo em duas fases: primeiro, uma verificação de exploração baseada em tempo, seguida por tentativas de estabelecer shells reversos. Os atacantes injetaram um comando codificado em Base64 que traduz para ‘sleep 3’ no cookie, confirmando a execução do comando. A situação é preocupante, pois cerca de 200 instâncias online estão expostas. Não há informações disponíveis sobre o status de correção da falha, e a ICT Innovations ainda não se pronunciou sobre o assunto.

Pesquisadores de cibersegurança revelaram uma vulnerabilidade crítica, identificada como CVE-2025-53967, no servidor Model Context Protocol (MCP) do Figma, que pode permitir a execução remota de código. Com uma pontuação CVSS de 7.5, a falha é um erro de injeção de comando causado pelo uso não sanitizado de entradas de usuários, possibilitando que atacantes enviem comandos arbitrários ao sistema. O problema reside na construção de comandos de linha de comando que utilizam diretamente entradas não validadas, o que pode levar à injeção de metacaracteres de shell. A exploração pode ocorrer quando um cliente MCP envia requisições ao servidor, permitindo que um ator malicioso execute comandos indesejados. A vulnerabilidade foi descoberta pela Imperva em julho de 2025 e corrigida na versão 0.6.3 do MCP, lançada em 29 de setembro de 2025. É recomendado evitar o uso de child_process.exec com entradas não confiáveis e optar por child_process.execFile para mitigar riscos. Este incidente destaca a necessidade de que as ferramentas de desenvolvimento impulsionadas por IA sejam acompanhadas de considerações de segurança adequadas.

A CrowdStrike atribuiu com confiança moderada a exploração de uma vulnerabilidade crítica no Oracle E-Business Suite ao grupo de ameaças conhecido como Graceful Spider (ou Cl0p). A falha, identificada como CVE-2025-61882, possui um escore CVSS de 9.8 e permite a execução remota de código sem autenticação. O primeiro registro de exploração ocorreu em 9 de agosto de 2025. A vulnerabilidade facilita ataques que podem levar à exfiltração de dados, com um canal no Telegram insinuando a colaboração entre diferentes grupos de ameaças. A exploração envolve uma série de requisições HTTP que permitem a execução de um template XSLT malicioso, resultando em conexões de saída para a infraestrutura controlada pelos atacantes. A CISA incluiu essa vulnerabilidade em seu catálogo de vulnerabilidades conhecidas exploradas, alertando agências federais para aplicar correções até 27 de outubro de 2025. A CrowdStrike e a WatchTowr Labs destacam a complexidade do ataque, que combina múltiplas falhas para alcançar a execução remota de código pré-autenticada. O alerta é claro: empresas que utilizam o Oracle EBS devem agir rapidamente para mitigar riscos.

A Redis divulgou uma vulnerabilidade de alta severidade em seu software de banco de dados em memória, identificada como CVE-2025-49844, também conhecida como RediShell. Com uma pontuação CVSS de 10.0, essa falha permite que um usuário autenticado execute um script Lua malicioso, manipulando o coletor de lixo e potencialmente levando à execução remota de código. A vulnerabilidade afeta todas as versões do Redis que suportam scripts Lua e foi corrigida nas versões 6.2.20, 7.2.11, 7.4.6, 8.0.4 e 8.2.2, lançadas em 3 de outubro de 2025. Para mitigar o problema temporariamente, recomenda-se restringir a execução de scripts Lua através de listas de controle de acesso (ACLs) e garantir que apenas identidades confiáveis possam executar comandos arriscados. Apesar de não haver evidências de exploração ativa da falha, cerca de 330.000 instâncias do Redis estão expostas à internet, com aproximadamente 60.000 delas sem autenticação, tornando-as alvos atrativos para ataques, como o cryptojacking. A combinação de configurações inseguras e a gravidade da vulnerabilidade exige ação imediata das organizações.

Uma vulnerabilidade crítica foi identificada no Redis Server, permitindo que atacantes autenticados realizem execução remota de código através de uma falha do tipo use-after-free no motor de script Lua. Classificada como CVE-2025-49844, essa vulnerabilidade afeta todas as versões do Redis que suportam a funcionalidade de scripting Lua, representando um risco significativo para organizações que dependem do Redis para armazenamento de dados em memória.

Pesquisadores de segurança da Wiz, em colaboração com a Iniciativa Zero Day da Trend Micro, descobriram que a falha resulta de uma gestão inadequada da memória na implementação do Lua, onde referências a memória liberada persistem após a coleta de lixo. Ao criar scripts Lua maliciosos que manipulam os tempos de coleta de lixo, atacantes podem explorar essa condição, assumindo o controle de regiões de memória liberadas e executando código arbitrário com os privilégios do processo do servidor Redis.

A Oracle emitiu um alerta de segurança urgente sobre uma vulnerabilidade crítica de 0-day no Oracle E-Business Suite, que permite a execução remota de código sem autenticação. A falha, identificada como CVE-2025-61882, afeta as versões 12.2.3 a 12.2.14 do software e possui uma pontuação máxima de 9.8 no CVSS 3.1, indicando severidade crítica. Essa vulnerabilidade reside no componente de Integração BI Publisher do Oracle Concurrent Processing e pode ser explorada remotamente através do protocolo HTTP.

Pesquisadores revelaram uma falha crítica de segurança em roteadores empresariais que utilizam o sistema DrayOS, permitindo que atacantes remotos não autenticados provoquem corrupção de memória, quedas de sistema e potencialmente executem código arbitrário. A vulnerabilidade está presente na Interface Web do Usuário (WebUI), que aceita requisições HTTP(S) sem validação adequada de entrada. Quando explorada, essa falha pode dar controle total sobre os dispositivos afetados, permitindo que os atacantes se movam mais profundamente nas redes corporativas. A exploração ocorre ao enviar requisições maliciosas para a WebUI em interfaces de rede com acesso remoto habilitado. A DrayTek já lançou atualizações de firmware para corrigir a vulnerabilidade, e os usuários são aconselhados a atualizar imediatamente para evitar riscos de exploração. Para mitigar a ameaça, recomenda-se desabilitar o acesso remoto à WebUI e implementar listas de controle de acesso (ACLs) que restrinjam o acesso a hosts confiáveis. Além disso, é importante realizar auditorias de patch e testes de penetração periódicos para garantir a segurança das interfaces de gerenciamento remoto.