Execução Remota De Código

Uma vulnerabilidade crítica foi identificada no complemento premium Ninja Forms File Uploads para WordPress, permitindo o upload de arquivos arbitrários sem autenticação, o que pode resultar em execução remota de código. Classificada como CVE-2026-0740, essa falha já está sendo explorada em ataques ativos, com mais de 3.600 tentativas bloqueadas pelo firewall Wordfence em apenas 24 horas. O Ninja Forms, um construtor de formulários popular com mais de 600.000 downloads, permite que usuários criem formulários sem codificação. A extensão de upload de arquivos, utilizada por cerca de 90.000 clientes, apresenta uma gravidade de 9.8 em 10. A vulnerabilidade se origina da falta de validação dos tipos de arquivos e extensões no nome do arquivo de destino, permitindo que atacantes não autenticados façam upload de arquivos maliciosos, incluindo scripts PHP. A exploração dessa falha pode levar a consequências severas, como a instalação de web shells e a tomada total do site. A vulnerabilidade foi descoberta em 8 de janeiro e um patch completo foi disponibilizado em 19 de março. Usuários do Ninja Forms File Upload são fortemente aconselhados a atualizar para a versão mais recente para mitigar riscos.

Pesquisadores da Microsoft Defender alertam que atores de ameaças estão utilizando cookies HTTP como um canal de controle para shells web baseados em PHP em servidores Linux, visando a execução remota de código. Essa técnica permite que o código malicioso permaneça inativo durante a execução normal da aplicação, ativando-se apenas quando valores específicos de cookies estão presentes. O uso de cookies para controle de execução oferece uma camada adicional de furtividade, já que esses dados se misturam ao tráfego web normal, dificultando a detecção. As implementações incluem loaders PHP que utilizam ofuscação e verificações em tempo de execução, além de scripts que segmentam dados de cookies para executar cargas úteis secundárias. A pesquisa também revela que os atacantes podem obter acesso inicial ao ambiente Linux da vítima através de credenciais válidas ou exploração de vulnerabilidades conhecidas, configurando tarefas cron para invocar rotinas de shell periodicamente. Para mitigar essa ameaça, a Microsoft recomenda a implementação de autenticação multifator, monitoramento de atividades de login incomuns e auditoria de tarefas cron. Essa abordagem de controle por cookies sugere uma reutilização de técnicas de shell web estabelecidas, permitindo acesso persistente pós-compromisso que pode evadir controles tradicionais de inspeção e registro.

A organização sem fins lucrativos Shadowserver identificou mais de 14 mil instâncias do BIG-IP APM expostas na internet, em meio a ataques que exploram uma vulnerabilidade crítica de execução remota de código (RCE). O BIG-IP APM, uma solução da F5 para gerenciamento de acesso, foi inicialmente classificado como uma vulnerabilidade de negação de serviço (DoS) em outubro, mas foi reclassificado como RCE após novas informações surgirem em março de 2026. A F5 alertou que atacantes sem privilégios estão explorando essa falha em sistemas não corrigidos, especialmente aqueles com políticas de acesso configuradas em servidores virtuais. Apesar de uma ordem da CISA para que agências federais protegessem seus sistemas até a meia-noite de segunda-feira, mais de 14 mil instâncias permanecem vulneráveis. A F5 também forneceu indicadores de comprometimento e recomendações para verificar logs e discos em busca de atividades maliciosas, sugerindo a reconstrução dos sistemas afetados a partir de fontes confiáveis para evitar a persistência de malware. A empresa atende mais de 23 mil clientes, incluindo grandes corporações, e suas vulnerabilidades têm sido alvo de grupos de cibercrime e nações-estado nos últimos anos.

Recentemente, foram descobertas vulnerabilidades críticas nos editores de texto Vim e GNU Emacs, que permitem a execução remota de código (RCE) ao abrir arquivos maliciosos. O pesquisador Hung Nguyen, da Calif, identificou falhas no Vim que resultam da falta de verificações de segurança e problemas no manuseio de modelines, que são instruções contidas no início dos arquivos. Essas falhas afetam todas as versões do Vim até 9.2.0271 e foram corrigidas na versão 9.2.0272, após a notificação dos mantenedores do software.

A empresa de cibersegurança F5 Networks reclassificou uma vulnerabilidade no BIG-IP APM, anteriormente considerada uma falha de negação de serviço (DoS), como uma falha crítica de execução remota de código (RCE). Essa vulnerabilidade, identificada como CVE-2025-53521, permite que atacantes não privilegiados realizem execução remota de código em sistemas BIG-IP APM com políticas de acesso configuradas em um servidor virtual. A F5 alertou que a vulnerabilidade está sendo explorada ativamente, com a possibilidade de implantação de webshells em dispositivos não corrigidos. A organização também forneceu indicadores de comprometimento (IOCs) e recomendou que os administradores verifiquem os discos, logs e histórico de terminais de seus sistemas BIG-IP em busca de atividades maliciosas. A CISA dos EUA incluiu essa vulnerabilidade em sua lista de falhas ativamente exploradas e ordenou que agências federais garantissem a segurança de seus sistemas até 30 de março. A F5 enfatizou a importância de seguir as diretrizes de segurança corporativa e as melhores práticas forenses em caso de incidentes. Com mais de 240 mil instâncias do BIG-IP expostas online, a situação representa um risco significativo para a segurança das redes corporativas.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma falha crítica no F5 BIG-IP Access Policy Manager (APM) em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), após evidências de exploração ativa. A vulnerabilidade, identificada como CVE-2025-53521, possui uma pontuação CVSS v4 de 9.3, permitindo que um ator malicioso execute código remotamente. Inicialmente classificada como uma vulnerabilidade de negação de serviço (DoS), a F5 reclassificou-a após novas informações em março de 2026. A empresa confirmou que a falha foi explorada nas versões vulneráveis do BIG-IP e forneceu indicadores para verificar se o sistema foi comprometido, incluindo alterações em arquivos e logs específicos. As versões afetadas incluem 17.5.0 a 17.5.1, 17.1.0 a 17.1.2, entre outras. Diante da exploração ativa, agências federais têm até 30 de março de 2026 para aplicar as correções necessárias. Especialistas alertam que a situação representa um risco significativamente maior do que o inicialmente comunicado, exigindo atenção imediata dos administradores de sistema.

A Oracle divulgou atualizações de segurança para corrigir uma falha crítica que afeta o Oracle Identity Manager e o Oracle Web Services Manager, permitindo a execução remota de código. A vulnerabilidade, identificada como CVE-2026-21992, possui uma pontuação CVSS de 9.8, indicando um risco elevado. Segundo a Oracle, a falha é explorável remotamente e sem necessidade de autenticação, o que a torna particularmente perigosa. As versões afetadas incluem o Oracle Identity Manager nas versões 12.2.1.4.0 e 14.1.2.1.0, e o Oracle Web Services Manager nas mesmas versões. A descrição da falha na base de dados de vulnerabilidades do NIST destaca que um atacante não autenticado com acesso à rede via HTTP pode comprometer os sistemas afetados. Embora a Oracle não tenha relatado exploração ativa da vulnerabilidade, recomenda a aplicação imediata das atualizações para garantir a proteção. Este alerta é especialmente relevante, considerando que, em novembro de 2025, uma falha semelhante no Oracle Identity Manager foi adicionada ao catálogo de Vulnerabilidades Conhecidas e Exploradas da CISA, indicando um histórico de exploração ativa. Portanto, a atualização é crucial para a segurança das organizações que utilizam essas tecnologias.

A Oracle lançou uma atualização de segurança fora do cronograma para corrigir uma vulnerabilidade crítica de execução remota de código não autenticada, identificada como CVE-2026-21992, que afeta o Oracle Identity Manager e o Oracle Web Services Manager. Essa falha, com uma pontuação de severidade CVSS v3.1 de 9.8, permite que atacantes explorem o sistema remotamente, sem necessidade de autenticação ou interação do usuário, aumentando o risco em servidores expostos. A Oracle recomenda fortemente que os clientes apliquem os patches imediatamente, especialmente aqueles que utilizam as versões 12.2.1.4.0 e 14.1.2.1.0 do Oracle Identity Manager e do Oracle Web Services Manager. A empresa não confirmou se a vulnerabilidade já foi explorada, mas enfatizou a importância de manter as versões ativas e aplicar todas as atualizações de segurança sem demora. A falha é considerada de baixa complexidade e pode ser explorada via HTTP, o que a torna ainda mais preocupante para as organizações que utilizam essas tecnologias. A Oracle também alertou os clientes para revisar o alerta de segurança para obter detalhes completos sobre os patches disponíveis.

Uma vulnerabilidade crítica no Langflow, identificada como CVE-2026-33017, foi explorada ativamente apenas 20 horas após sua divulgação pública. Com uma pontuação CVSS de 9.3, a falha resulta de uma combinação de falta de autenticação e injeção de código, permitindo a execução remota de código sem autenticação. O endpoint vulnerável, /api/v1/build_public_tmp/{flow_id}/flow, permite a construção de fluxos públicos sem exigir autenticação, o que possibilita que atacantes enviem dados controlados por eles, incluindo código Python arbitrário. A exploração bem-sucedida pode permitir que um invasor execute código com privilégios totais do servidor, acessando variáveis de ambiente e arquivos sensíveis.

Uma vulnerabilidade de severidade máxima foi identificada na plataforma FreeScout, que permite a execução remota de código (RCE) sem interação do usuário ou autenticação. A falha, identificada como CVE-2026-28289, contorna uma correção anterior (CVE-2026-27636) que afetava usuários autenticados com permissões de upload. Pesquisadores da OX Security descobriram que um atacante pode explorar essa vulnerabilidade enviando um e-mail malicioso para qualquer endereço configurado no FreeScout. O problema reside na manipulação de nomes de arquivos, onde um espaço em branco invisível (Unicode U+200B) pode ser adicionado antes do nome do arquivo, permitindo que ele seja salvo como um arquivo oculto e contorne as verificações de segurança. A exploração pode resultar em comprometimento total do servidor, violação de dados e interrupção de serviços. A versão 1.8.207 do FreeScout, lançada recentemente, corrige essa falha, mas recomenda-se desabilitar a configuração ‘AllowOverrideAll’ no Apache para maior segurança. Embora não haja exploração ativa observada até o momento, a natureza da vulnerabilidade indica um alto risco de atividade maliciosa iminente.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma nova vulnerabilidade crítica, CVE-2026-22719, no seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). Essa falha, com uma pontuação CVSS de 8.1, permite que atacantes não autenticados executem comandos arbitrários, potencialmente levando à execução remota de código durante a migração assistida de produtos no VMware Aria Operations. A vulnerabilidade foi identificada como uma injeção de comando e afeta produtos como VMware Cloud Foundation e VMware vSphere Foundation 9.x.x.x, além do VMware Aria Operations 8.x. A correção foi disponibilizada nas versões 9.0.2.0 e 8.18.6, respectivamente. Para clientes que não podem aplicar o patch imediatamente, a Broadcom oferece um script de contorno. Embora a Broadcom tenha reconhecido relatos de exploração ativa da vulnerabilidade, ainda não há detalhes sobre a natureza dos ataques ou os responsáveis. As agências do Federal Civilian Executive Branch (FCEB) têm até 24 de março de 2026 para aplicar as correções. A situação exige atenção imediata, especialmente considerando o potencial impacto em ambientes corporativos que utilizam essas tecnologias.

Pesquisadores de cibersegurança identificaram várias vulnerabilidades no Claude Code, um assistente de codificação baseado em inteligência artificial da Anthropic, que podem levar à execução remota de código e ao roubo de credenciais da API. As falhas exploram mecanismos de configuração, como Hooks e variáveis de ambiente, permitindo a execução de comandos de shell arbitrários e a exfiltração de chaves da API da Anthropic ao clonar repositórios não confiáveis. As vulnerabilidades se dividem em três categorias principais: uma falha de injeção de código sem CVE, que permite a execução de código arbitrário sem confirmação do usuário; uma vulnerabilidade CVE-2025-59536, que executa comandos de shell automaticamente ao iniciar o Claude Code em um diretório não confiável; e uma falha CVE-2026-21852, que permite a exfiltração de dados, incluindo chaves da API, de repositórios maliciosos. A exploração bem-sucedida dessas vulnerabilidades pode comprometer a infraestrutura de IA do desenvolvedor, permitindo acesso a arquivos de projetos compartilhados e gerando custos inesperados com a API. A Anthropic já lançou correções para essas falhas, mas a situação destaca a necessidade de cautela ao trabalhar com ferramentas de IA em ambientes de desenvolvimento.

A SolarWinds lançou atualizações para corrigir quatro vulnerabilidades críticas em seu software de transferência de arquivos Serv-U, que, se exploradas, podem resultar em execução remota de código. Todas as falhas, classificadas com 9.1 no sistema de pontuação CVSS, incluem: CVE-2025-40538, uma vulnerabilidade de controle de acesso quebrado que permite a criação de um usuário administrador do sistema; CVE-2025-40539 e CVE-2025-40540, ambas relacionadas a confusão de tipos que possibilitam a execução de código nativo arbitrário; e CVE-2025-40541, uma vulnerabilidade de referência direta insegura (IDOR) que também permite a execução de código nativo como root. A SolarWinds destacou que essas vulnerabilidades exigem privilégios administrativos para serem exploradas, mas representam um risco médio em implementações do Windows, pois os serviços geralmente operam sob contas de serviço com menos privilégios por padrão. As falhas afetam a versão 15.5 do Serv-U e foram corrigidas na versão 15.5.4. Embora não haja menção de exploração ativa, vulnerabilidades anteriores foram alvo de grupos de hackers, incluindo um grupo baseado na China conhecido como Storm-0322.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) alertou que hackers estão explorando ativamente a vulnerabilidade CVE-2026-1731 no produto BeyondTrust Remote Support. Essa falha de segurança afeta as versões 25.3.1 ou anteriores do Remote Support e 24.3.4 ou anteriores do Privileged Remote Access, permitindo a execução remota de código. A CISA incluiu essa vulnerabilidade no catálogo de Vulnerabilidades Conhecidas Exploitadas (KEV) em 13 de fevereiro, dando um prazo de três dias para que agências federais aplicassem o patch ou interrompessem o uso do produto. A BeyondTrust divulgou a CVE-2026-1731 em 6 de fevereiro, classificando-a como uma vulnerabilidade de execução remota de código pré-autenticação, causada por uma fraqueza de injeção de comando do sistema operacional. Explorações de prova de conceito (PoC) surgiram rapidamente, e a exploração no mundo real começou quase imediatamente. A BeyondTrust confirmou que a exploração foi detectada em 31 de janeiro, tornando a CVE-2026-1731 uma vulnerabilidade zero-day por pelo menos uma semana. Para clientes da aplicação em nuvem, o patch foi aplicado automaticamente em 2 de fevereiro. Já os clientes de instâncias auto-hospedadas precisam verificar a aplicação do patch ou instalá-lo manualmente. As versões recomendadas são 25.3.2 para Remote Support e 25.1.1 ou mais recente para Privileged Remote Access.

Uma vulnerabilidade crítica de execução remota de código pré-autenticação foi identificada nos aparelhos BeyondTrust Remote Support e Privileged Remote Access, afetando versões 25.3.1 e anteriores do Remote Support e 24.3.4 e anteriores do Privileged Remote Access. A falha, rastreada como CVE-2026-1731 e com uma pontuação CVSS de 9.9, permite que atacantes não autenticados enviem solicitações de cliente especialmente elaboradas, possibilitando a execução de comandos do sistema operacional no contexto do usuário do site. A BeyondTrust divulgou a vulnerabilidade em 6 de fevereiro de 2026, alertando que a exploração bem-sucedida pode levar a compromissos de sistema, acesso não autorizado, exfiltração de dados e interrupção de serviços. Embora a BeyondTrust tenha aplicado patches automaticamente em suas instâncias SaaS, clientes on-premise devem instalar as correções manualmente. A exploração da vulnerabilidade já está em andamento, com cerca de 11.000 instâncias expostas online, das quais aproximadamente 8.500 são implementações on-premise. Especialistas recomendam que as organizações que utilizam essas soluções apliquem as correções disponíveis imediatamente.

Recentemente, uma falha de segurança crítica no Ivanti Endpoint Manager Mobile (EPMM), identificada como CVE-2026-1281, tem sido alvo de exploração ativa. A empresa de inteligência em segurança GreyNoise registrou 417 tentativas de exploração entre 1 e 9 de fevereiro de 2026, com 83% dessas tentativas originando-se de um único endereço IP, 193.24.123[.]42, associado a uma infraestrutura de hospedagem resistente a ações legais, conhecida como PROSPERO. Essa vulnerabilidade permite a execução remota de código não autenticado, colocando em risco a segurança de organizações que utilizam o EPMM. Além disso, a análise revelou que o mesmo IP está explorando outras vulnerabilidades em softwares não relacionados, o que sugere o uso de ferramentas automatizadas para esses ataques. Agências europeias, incluindo a Autoridade de Proteção de Dados da Holanda, confirmaram que foram alvos de ataques utilizando essas falhas. A Ivanti já reconheceu que um número limitado de clientes foi impactado. Especialistas recomendam que os usuários do EPMM apliquem patches de segurança, auditem suas infraestruturas e monitorem atividades suspeitas para mitigar riscos.

A Microsoft corrigiu uma vulnerabilidade de execução remota de código (RCE) no Notepad do Windows 11, que permitia a atacantes executar programas locais ou remotos ao induzir usuários a clicarem em links Markdown maliciosos, sem exibir avisos de segurança. A falha, identificada como CVE-2026-20841, foi descoberta por pesquisadores e poderia ser explorada ao abrir arquivos Markdown (.md) que contivessem links manipulados. Ao clicar em um link malicioso, o Notepad poderia executar arquivos sem qualquer aviso, colocando em risco a segurança do usuário. A atualização, disponibilizada em fevereiro de 2026, agora exibe alertas ao clicar em links que não utilizam os protocolos http:// ou https://, mas ainda é possível que usuários sejam enganados a confirmar a execução. A Microsoft não esclareceu o motivo de não ter bloqueado esses links não padrão inicialmente. A correção será distribuída automaticamente via Microsoft Store, minimizando o impacto da vulnerabilidade.

A Fortinet divulgou atualizações de segurança para corrigir uma falha crítica no FortiClientEMS, identificada como CVE-2026-21643, que pode permitir a execução de código arbitrário em sistemas vulneráveis. Com uma pontuação CVSS de 9.1, a vulnerabilidade é classificada como uma injeção SQL, permitindo que atacantes não autenticados executem comandos não autorizados através de requisições HTTP manipuladas. As versões afetadas incluem FortiClientEMS 7.4.4, que deve ser atualizada para a versão 7.4.5 ou superior. As versões 7.2 e 8.0 não são afetadas. Embora a Fortinet não tenha relatado exploração ativa da falha, é crucial que os usuários apliquem as correções rapidamente. Essa atualização ocorre em um contexto onde a empresa também lidou com outra vulnerabilidade crítica em seus produtos FortiOS, FortiManager, FortiAnalyzer, FortiProxy e FortiWeb, que já está sendo explorada ativamente por atacantes. A rápida aplicação das atualizações é essencial para mitigar riscos de segurança.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou uma falha crítica no SolarWinds Web Help Desk (WHD) ao seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), classificando-a como ativamente explorada em ataques. A vulnerabilidade, identificada como CVE-2025-40551, possui uma pontuação CVSS de 9.8 e refere-se a uma deserialização de dados não confiáveis, que pode permitir a execução remota de código sem necessidade de autenticação. A SolarWinds lançou correções para essa e outras falhas na versão 2026.1 do WHD. Além disso, outras vulnerabilidades críticas em sistemas como Sangoma FreePBX e GitLab também foram adicionadas ao catálogo da CISA. Embora não haja informações públicas sobre como a CVE-2025-40551 está sendo explorada, o alerta destaca a rapidez com que os atores de ameaças estão se movendo para explorar falhas recém-divulgadas. Agências federais dos EUA devem corrigir essa vulnerabilidade até 6 de fevereiro de 2026, e as demais até 24 de fevereiro de 2026, conforme a Diretriz Operacional Vinculante 22-01.

Uma vulnerabilidade de alta severidade foi identificada no OpenClaw, um assistente pessoal de inteligência artificial de código aberto, que pode permitir a execução remota de código (RCE) através de um link malicioso. A falha, registrada como CVE-2026-25253 e com uma pontuação CVSS de 8.8, foi corrigida na versão 2026.1.29, lançada em 30 de janeiro de 2026. O problema reside na falta de validação do parâmetro ‘gatewayUrl’ na interface de controle, que permite que um link malicioso envie um token de autenticação para um servidor controlado por um atacante. Isso possibilita que o invasor conecte-se ao gateway local da vítima, altere configurações e execute comandos com privilégios elevados. O ataque pode ser realizado com um único clique, tornando-o extremamente perigoso. A vulnerabilidade afeta qualquer implantação do OpenClaw onde o usuário tenha se autenticado na interface de controle, permitindo acesso ao API do gateway e a execução de código arbitrário. O impacto é significativo, pois mesmo configurações que limitam o acesso a localhost podem ser contornadas, devido à maneira como o navegador da vítima inicia a conexão. A rápida popularidade do OpenClaw, com mais de 149 mil estrelas no GitHub, aumenta a urgência para que as organizações que utilizam essa ferramenta implementem a atualização imediatamente.

A SmarterTools anunciou a correção de duas vulnerabilidades críticas em seu software de e-mail SmarterMail, incluindo uma falha de execução remota de código, identificada como CVE-2026-24423, que possui uma pontuação CVSS de 9.3. Essa vulnerabilidade permite que um atacante direcione o SmarterMail para um servidor HTTP malicioso, executando comandos do sistema operacional sem autenticação. A falha foi descoberta por pesquisadores de várias organizações e corrigida na versão Build 9511, lançada em 15 de janeiro de 2026. Além disso, a mesma versão também aborda outra vulnerabilidade crítica (CVE-2026-23760) que já estava sendo explorada ativamente. Outra falha de severidade média (CVE-2026-25067) foi corrigida na versão Build 9518, lançada em 22 de janeiro de 2026, que poderia facilitar ataques de retransmissão NTLM e autenticação não autorizada. Dada a gravidade das vulnerabilidades e a exploração ativa, é crucial que os usuários atualizem para a versão mais recente o mais rápido possível.

Pesquisadores de cibersegurança revelaram duas falhas significativas na plataforma n8n, que é amplamente utilizada para automação de workflows. A primeira vulnerabilidade, identificada como CVE-2026-1470, possui uma pontuação CVSS de 9.9 e permite que um usuário autenticado contorne o mecanismo de sandbox da expressão, possibilitando a execução remota de código JavaScript malicioso. A segunda falha, CVE-2026-0863, com pontuação CVSS de 8.5, permite a execução de código Python arbitrário no sistema operacional subjacente, também por um usuário autenticado. A exploração bem-sucedida dessas vulnerabilidades pode permitir que um atacante assuma o controle total de uma instância do n8n, mesmo em modo de execução interna, o que representa um risco significativo para a segurança das organizações. Os desenvolvedores recomendam que os usuários atualizem para versões específicas para mitigar esses riscos. Essas falhas destacam a dificuldade de manter a segurança em linguagens dinâmicas como JavaScript e Python, onde características sutis podem ser exploradas para contornar medidas de segurança.

Uma falha de segurança crítica foi identificada no Grist-Core, uma versão de planilha-relacional de código aberto, que pode resultar em execução remota de código (RCE). A vulnerabilidade, rastreada como CVE-2026-24002 e codinome Cellbreak, foi descoberta pelo pesquisador de segurança Vladimir Tokarev. Ele explica que uma fórmula maliciosa pode transformar uma planilha em um ponto de acesso para execução de comandos do sistema operacional ou JavaScript, quebrando a barreira entre a lógica da célula e a execução no host. Essa falha é classificada como uma fuga do sandbox Pyodide, que também afetou recentemente outra plataforma, n8n. A vulnerabilidade foi corrigida na versão 1.7.9, lançada em 9 de janeiro de 2026. Os administradores devem verificar se estão usando o método de sandboxing ‘pyodide’ e, se sim, atualizar imediatamente. A falha permite que um usuário mal-intencionado execute processos arbitrários no servidor, acessando credenciais de banco de dados e chaves de API. A Grist recomenda que os usuários atualizem para a versão mais recente e, como solução temporária, configurem a variável de ambiente GRIST_SANDBOX_FLAVOR para ‘gvisor’. Essa situação destaca a necessidade de um design de sandbox mais robusto e baseado em capacidades para evitar brechas de segurança.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma falha crítica no VMware vCenter Server, identificada como CVE-2024-37079, em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). Com uma pontuação CVSS de 9.8, essa vulnerabilidade permite a execução remota de código por meio de um estouro de heap no protocolo DCE/RPC, possibilitando que um invasor com acesso à rede do vCenter envie pacotes de rede especialmente elaborados. A Broadcom, responsável pela correção da falha em junho de 2024, confirmou que a exploração da vulnerabilidade está ocorrendo ativamente. Pesquisadores da empresa de cibersegurança chinesa QiAnXin LegendSec descobriram essa e outras falhas relacionadas, que podem ser encadeadas para obter acesso não autorizado ao sistema ESXi. Embora ainda não se saiba a extensão dos ataques ou os grupos responsáveis, a Broadcom atualizou seu aviso para alertar sobre o abuso da vulnerabilidade. As agências do governo federal dos EUA devem atualizar para a versão mais recente até 13 de fevereiro de 2026 para garantir proteção adequada.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma nova vulnerabilidade crítica no seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). A falha, identificada como CVE-2025-8110, permite a execução remota de código (RCE) não autenticada por meio da API PutContents, comprometendo servidores Gogs. Com um índice de severidade de 8.7/10, a CISA ordenou que as agências federais apliquem um patch até 2 de fevereiro de 2026, ou cessem o uso do software vulnerável. O Gogs é um serviço de Git auto-hospedado, frequentemente utilizado em ambientes de desenvolvimento interno e redes isoladas. Pesquisadores da Wiz Research relataram que mais de 700 servidores Gogs já foram comprometidos, com ataques em andamento desde novembro de 2025. A correção disponível no GitHub implementa validação de caminho ciente de symlink em todos os pontos de entrada de escrita de arquivos, mitigando a vulnerabilidade. A situação destaca a necessidade urgente de atualização por parte das organizações que utilizam essa plataforma, uma vez que mais de 1.400 servidores Gogs estão expostos online.

A plataforma de automação de fluxo de trabalho de código aberto n8n alertou sobre uma vulnerabilidade de segurança de alta severidade, identificada como CVE-2026-21877, que pode permitir a execução remota de código (RCE) por usuários autenticados. Avaliada com a pontuação máxima de 10.0 no sistema CVSS, a falha pode resultar na total comprometimento da instância afetada. Tanto as implementações auto-hospedadas quanto as instâncias na nuvem da n8n estão vulneráveis. A vulnerabilidade foi corrigida na versão 1.121.3, lançada em novembro de 2025, e os usuários são aconselhados a atualizar imediatamente. Caso a atualização não seja viável, recomenda-se desabilitar o nó Git e restringir o acesso a usuários não confiáveis. Essa divulgação ocorre em um contexto onde a n8n já havia abordado outras falhas críticas, como CVE-2025-68613 e CVE-2025-68668, que também poderiam levar à execução de código sob certas condições. A descoberta foi feita pelo pesquisador de segurança Théo Lelasseux.

Uma nova vulnerabilidade crítica, identificada como CVE-2026-0625, foi descoberta em roteadores DSL da D-Link, com um alto índice de severidade de 9.3 no CVSS. Essa falha, que se refere a uma injeção de comandos no endpoint ‘dnscfg.cgi’, permite que atacantes remotos não autenticados injetem e executem comandos de shell arbitrários, resultando em execução remota de código. Os modelos afetados incluem DSL-2740R, DSL-2640B, DSL-2780B e DSL-526B, todos com status de fim de vida desde 2020. A D-Link está investigando a situação após um alerta da VulnCheck em dezembro de 2025, mas a identificação precisa dos modelos afetados é complexa devido a variações de firmware. A exploração ativa dessa vulnerabilidade foi registrada em novembro de 2025, e a empresa recomenda que os proprietários de dispositivos afetados considerem a substituição por modelos que recebam atualizações regulares de firmware e segurança. A falha expõe um mecanismo de configuração DNS que já foi utilizado em campanhas de sequestro de DNS em larga escala, permitindo que atacantes alterem silenciosamente as entradas de DNS, comprometendo a segurança de toda a rede conectada ao roteador.

A Agência de Cibersegurança de Cingapura (CSA) emitiu um alerta sobre uma vulnerabilidade de alta severidade no software de e-mail SmarterTools SmarterMail, identificada como CVE-2025-52691, que possui uma pontuação CVSS de 10.0. Essa falha permite o upload arbitrário de arquivos, possibilitando a execução de código remoto sem necessidade de autenticação. A exploração bem-sucedida dessa vulnerabilidade pode permitir que atacantes não autenticados façam upload de arquivos maliciosos no servidor de e-mail, potencialmente levando à execução de código. O SmarterMail é uma alternativa a soluções de colaboração empresarial, como o Microsoft Exchange, e é utilizado por provedores de hospedagem. A vulnerabilidade afeta as versões Build 9406 e anteriores, tendo sido corrigida na Build 9413, lançada em 9 de outubro de 2025. A CSA recomenda que os usuários atualizem para a versão mais recente (Build 9483, lançada em 18 de dezembro de 2025) para garantir proteção adequada. Embora não haja relatos de exploração ativa da falha, a gravidade da vulnerabilidade justifica a atualização imediata dos sistemas afetados.

A Hewlett Packard Enterprise (HPE) anunciou a correção de uma vulnerabilidade crítica no seu software OneView, que pode permitir a execução remota de código por usuários não autenticados. Identificada como CVE-2025-37164, essa falha recebeu a pontuação máxima de 10.0 no CVSS, indicando seu alto potencial de risco. O problema afeta todas as versões anteriores à 11.00 do OneView, que é uma ferramenta de gerenciamento de infraestrutura de TI. A HPE disponibilizou um hotfix para as versões 5.20 a 10.20, mas é importante ressaltar que esse hotfix deve ser reaplicado após atualizações específicas. Embora a empresa não tenha relatado a exploração da vulnerabilidade em ambientes reais, recomenda-se que os usuários apliquem as correções o mais rápido possível para garantir a segurança de seus sistemas. Além disso, em junho, a HPE já havia lançado atualizações para corrigir outras oito vulnerabilidades em sua solução StoreOnce, que também poderiam resultar em execução remota de código. A situação destaca a importância da gestão de patches e da vigilância contínua em ambientes corporativos.

A SonicWall anunciou a correção de uma vulnerabilidade crítica em seus dispositivos Secure Mobile Access (SMA) da série 100, identificada como CVE-2025-40602, com uma pontuação CVSS de 6.6. Essa falha permite a escalada de privilégios locais devido a uma autorização insuficiente no console de gerenciamento do aparelho. As versões afetadas incluem 12.4.3-03093 e anteriores, além de 12.5.0-02002 e anteriores, com correções disponíveis nas versões 12.4.3-03245 e 12.5.0-02283, respectivamente. A SonicWall alertou que essa vulnerabilidade está sendo explorada ativamente, especialmente em combinação com outra falha crítica, CVE-2025-23006, que permite a execução remota de código não autenticado com privilégios de root. Essa última falha foi corrigida em janeiro de 2025. A descoberta das vulnerabilidades foi creditada a pesquisadores do Google Threat Intelligence Group. Dada a gravidade da situação, é crucial que os usuários dos dispositivos SMA 100 apliquem as correções imediatamente para evitar possíveis comprometimentos.

A Huntress alertou sobre uma nova vulnerabilidade ativa nos produtos CentreStack e Triofox da Gladinet, que resulta do uso de chaves criptográficas hard-coded. Até o momento, nove organizações, incluindo aquelas nos setores de saúde e tecnologia, foram afetadas. A falha permite que atacantes acessem o arquivo web.config, possibilitando a deserialização de ViewState e a execução remota de código. A função ‘GenerateSecKey()’, presente no arquivo ‘GladCtrl64.dll’, gera chaves criptográficas que nunca mudam, tornando-as vulneráveis a ataques. Os invasores podem explorar essa falha enviando requisições URL específicas para o endpoint ‘/storage/filesvr.dn’, criando tickets de acesso que nunca expiram. A Huntress recomenda que as organizações afetadas atualizem para a versão mais recente do software e verifiquem logs em busca de atividades suspeitas. Caso sejam detectados indicadores de comprometimento, é essencial rotacionar a chave da máquina seguindo um procedimento específico. A situação é crítica, e as empresas devem agir rapidamente para mitigar os riscos associados a essa vulnerabilidade.

Uma nova pesquisa revelou vulnerabilidades no .NET Framework que podem ser exploradas em aplicações empresariais, permitindo a execução remota de código. Codenomeada de ‘SOAPwn’ pela WatchTowr Labs, a falha afeta produtos como Barracuda Service Center RMM e Ivanti Endpoint Manager, além de potencialmente impactar outros fornecedores devido à ampla utilização do .NET. A vulnerabilidade permite que atacantes abusem de importações de WSDL e proxies de cliente HTTP para executar código arbitrário, explorando erros na manipulação de mensagens SOAP. Um cenário hipotético de ataque envolve o uso de um caminho UNC para direcionar solicitações SOAP a um compartilhamento SMB controlado pelo atacante, possibilitando a captura de desafios NTLM. Além disso, a pesquisa identificou um vetor de exploração mais poderoso em aplicações que geram proxies de cliente HTTP a partir de arquivos WSDL, permitindo a execução remota de código ao não validar URLs. Apesar da divulgação responsável, a Microsoft optou por não corrigir a falha, alegando que se trata de um problema de comportamento de aplicação. As versões corrigidas já estão disponíveis para algumas das aplicações afetadas, com pontuações CVSS de até 9.8, indicando um risco elevado.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma vulnerabilidade crítica, identificada como CVE-2025-55182, no seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). Essa falha, que possui uma pontuação CVSS de 10.0, permite a execução remota de código por atacantes não autenticados, sem necessidade de configuração especial. O problema está relacionado à deserialização insegura no protocolo Flight da biblioteca React, que é utilizado para comunicação entre servidor e cliente. A vulnerabilidade foi explorada ativamente, com tentativas de ataque relatadas por empresas como Amazon e Palo Alto Networks, que identificaram grupos de hackers, incluindo aqueles associados à China. A CISA recomenda que as organizações atualizem suas versões do React para as versões 19.0.1, 19.1.2 e 19.2.1, que já corrigem a falha. Além disso, frameworks dependentes do React, como Next.js e React Router, também estão em risco. A situação é crítica, com mais de 2 milhões de serviços expostos na internet potencialmente vulneráveis, exigindo atenção imediata das equipes de segurança.

Uma vulnerabilidade crítica, identificada como CVE-2025-55182, foi descoberta nas versões 19.0 a 19.2.0 do React, uma das bibliotecas JavaScript mais utilizadas na web. Essa falha permite a execução remota de código (RCE) em componentes do servidor React, afetando também frameworks populares como Next.js, React Router e Vite. O problema foi classificado com a pontuação máxima de 10/10 em severidade, e a equipe do React já lançou patches nas versões 19.0.1, 19.1.2 e 19.2.1. Especialistas alertam que a exploração dessa vulnerabilidade é iminente, com uma taxa de sucesso próxima de 100%, o que torna a atualização imediata uma prioridade para desenvolvedores e empresas que utilizam essas tecnologias. A vulnerabilidade afeta uma vasta gama de aplicações, incluindo grandes plataformas como Facebook, Instagram e Netflix, aumentando significativamente a superfície de ataque. A recomendação é que todos os usuários atualizem suas versões o mais rápido possível para evitar possíveis ataques.

Dois grupos de hackers com vínculos à China, Earth Lamia e Jackpot Panda, foram identificados explorando uma vulnerabilidade crítica no React Server Components (RSC), conhecida como CVE-2025-55182, que permite a execução remota de código não autenticado. A falha, que recebeu a pontuação máxima de 10.0 no CVSS, foi divulgada publicamente e rapidamente aproveitada por esses grupos. A Amazon Web Services (AWS) relatou que as tentativas de exploração foram detectadas em sua infraestrutura de honeypot, associadas a endereços IP conhecidos por estarem ligados a atores de ameaças estatais chineses. Os ataques têm como alvo setores variados, incluindo serviços financeiros, logística e universidades, principalmente na América Latina, Oriente Médio e Sudeste Asiático. Além disso, o Jackpot Panda, ativo desde 2020, tem se concentrado em entidades relacionadas a jogos online na Ásia. A AWS também observou que os atacantes estavam explorando outras vulnerabilidades conhecidas, sugerindo uma abordagem sistemática para encontrar sistemas não corrigidos. Essa situação destaca a necessidade urgente de que empresas e organizações atualizem suas versões do React para mitigar riscos de exploração.

Uma falha de segurança de alta severidade foi identificada nos React Server Components (RSC), com o identificador CVE-2025-55182, que permite a execução remota de código não autenticado. A vulnerabilidade, que possui uma pontuação CVSS de 10.0, resulta de um erro na forma como o React decodifica os dados enviados para os endpoints de funções do servidor. Mesmo que uma aplicação não utilize endpoints de funções do servidor, ela ainda pode ser vulnerável se suportar componentes do servidor do React. A empresa de segurança em nuvem Wiz relatou que 39% dos ambientes em nuvem podem ter instâncias vulneráveis a essa falha. As versões afetadas incluem 19.0, 19.1.0, 19.1.1 e 19.2.0 de pacotes npm como react-server-dom-webpack e react-server-dom-parcel. As correções foram lançadas nas versões 19.0.1, 19.1.2 e 19.2.1. Além disso, a vulnerabilidade também impacta o Next.js com App Router, identificado como CVE-2025-66478, afetando versões >=14.3.0-canary.77 e superiores. Dada a gravidade da situação, é altamente recomendável que os usuários apliquem as correções imediatamente para garantir a proteção adequada.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma vulnerabilidade crítica no Oracle Identity Manager em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). A falha, identificada como CVE-2025-61757, possui uma pontuação CVSS de 9.8 e permite a execução remota de código sem autenticação, afetando as versões 12.2.1.4.0 e 14.1.2.1.0 do software. Pesquisadores da Searchlight Cyber descobriram que a vulnerabilidade resulta de um bypass de um filtro de segurança, permitindo que atacantes não autenticados acessem endpoints de API e manipulem fluxos de autenticação. O ataque pode ser realizado ao adicionar parâmetros específicos a uma URI, levando à execução de código Groovy em um endpoint que deveria apenas verificar a sintaxe do código. A CISA alertou que houve tentativas de exploração ativa entre agosto e setembro de 2025, com múltiplos IPs tentando acessar a vulnerabilidade. Diante disso, agências federais dos EUA devem aplicar patches até 12 de dezembro de 2025 para proteger suas redes.

Uma falha de segurança recentemente divulgada no 7-Zip, identificada como CVE-2025-11001, está sendo ativamente explorada por atacantes. Com uma pontuação CVSS de 7.0, essa vulnerabilidade permite que invasores executem código arbitrário ao manipular links simbólicos em arquivos ZIP. A Trend Micro alertou que dados manipulados em um arquivo ZIP podem fazer com que o processo acesse diretórios não intencionais, possibilitando a execução de código em contas de serviço. A falha foi descoberta por Ryota Shiga, da GMO Flatt Security Inc., e corrigida na versão 25.00 do 7-Zip, lançada em julho de 2025. Além disso, outra vulnerabilidade, CVE-2025-11002, também foi resolvida na mesma versão, que apresenta um problema semelhante. A NHS England Digital confirmou a exploração ativa da CVE-2025-11001, embora detalhes sobre os atacantes e os métodos utilizados ainda não estejam disponíveis. Dada a existência de provas de conceito (PoC) para essa vulnerabilidade, é crucial que os usuários do 7-Zip atualizem para a versão mais recente o mais rápido possível para garantir a proteção adequada.

A Cisco divulgou vulnerabilidades críticas de execução remota de código que afetam o Cisco Unified Contact Center Express (CCX), expondo organizações a riscos severos de segurança. O aviso detalha duas vulnerabilidades independentes no processo de Java Remote Method Invocation (RMI), que podem permitir que atacantes não autenticados obtenham controle total do sistema, incluindo privilégios de nível root. As falhas representam uma ameaça significativa para operações de contact center em todo o mundo, pois podem ser exploradas sem autenticação ou interação do usuário. A primeira vulnerabilidade permite o upload de arquivos arbitrários e a execução de comandos com permissões de root. A segunda permite que atacantes contornem mecanismos de autenticação na aplicação CCX Editor, criando a ilusão de acesso legítimo. Ambas as vulnerabilidades possuem pontuações CVSS de 9.8 e 9.4, respectivamente, indicando níveis críticos de severidade. A Cisco recomenda que as organizações que utilizam versões vulneráveis do CCX atualizem imediatamente para as versões corrigidas, uma vez que não existem alternativas de mitigação. A rápida remediação é essencial para proteger a infraestrutura crítica dos contact centers.

Pesquisadores de cibersegurança identificaram vulnerabilidades críticas de execução remota de código em motores de inferência de inteligência artificial (IA) de grandes empresas como Meta, Nvidia e Microsoft, além de projetos open-source como vLLM e SGLang. O problema central está relacionado ao uso inseguro do ZeroMQ (ZMQ) e à desserialização do Python, resultando em um padrão denominado ShadowMQ. A vulnerabilidade mais significativa foi encontrada no framework Llama da Meta (CVE-2024-50050), que permitia a execução de código arbitrário ao desserializar dados maliciosos. Outras plataformas, como NVIDIA TensorRT-LLM e Microsoft Sarathi-Serve, também apresentaram falhas semelhantes. A exploração dessas vulnerabilidades pode permitir que atacantes executem código arbitrário, escalem privilégios e até realizem roubo de modelos de IA. Com a rápida evolução dos projetos de IA, a reutilização de código inseguro se torna um risco crescente. Além disso, um novo relatório revelou que técnicas de injeção de JavaScript podem comprometer navegadores integrados em editores de código, aumentando ainda mais as preocupações de segurança. É crucial que as empresas adotem medidas de mitigação, como desativar recursos de execução automática e auditar servidores de integração.

Uma vulnerabilidade crítica de execução remota de código foi descoberta e corrigida no Imunify360 AV, um produto de segurança que protege aproximadamente 56 milhões de websites em todo o mundo. A falha, identificada em versões anteriores à v32.7.4.0, permite que atacantes executem comandos arbitrários em servidores vulneráveis, comprometendo completamente o ambiente de hospedagem. A vulnerabilidade se origina de uma lógica de desofuscação defeituosa que processa funções não confiáveis e cargas úteis extraídas de amostras de malware fornecidas por atacantes. O Imunify360 AV, que opera com privilégios de root por padrão, aumenta os riscos de escalonamento em ambientes de hospedagem compartilhada. A empresa-mãe, CloudLinux, não emitiu um aviso oficial sobre a segurança, embora a gravidade do problema tenha sido documentada em seu portal de suporte. Administradores que utilizam versões afetadas devem aplicar atualizações de segurança imediatamente ou, se não for possível, restringir o ambiente de execução. Este é o segundo incidente crítico de RCE no Imunify360, seguindo um evento semelhante em 2021.

Uma vulnerabilidade crítica de execução remota de código (RCE) foi identificada na biblioteca expr-eval, amplamente utilizada para avaliação de expressões matemáticas e processamento de linguagem natural (NLP). A falha, registrada como CVE-2025-12735, permite que atacantes executem comandos de sistema no ambiente do servidor, comprometendo a segurança de aplicações que processam entradas de usuários. Essa vulnerabilidade é especialmente preocupante para organizações que utilizam essa biblioteca em ambientes de produção, pois pode resultar em acesso não autorizado a recursos sensíveis e exfiltração de dados. A falha decorre de um erro de design no método evaluate() da classe Parser, permitindo que funções arbitrárias sejam definidas no contexto do parser. Para mitigar os riscos, as organizações devem auditar suas dependências e aplicar patches imediatamente. As opções incluem a aplicação de um patch específico ou a atualização para versões corrigidas da biblioteca. A rápida implementação dessas correções é crucial para evitar a exploração generalizada da vulnerabilidade. O pesquisador de segurança Jangwoo Choe divulgou a questão de forma responsável, colaborando com GitHub e npm para garantir um relato adequado e tempo suficiente para as correções.

Uma vulnerabilidade crítica de execução remota de código foi identificada na biblioteca de serialização de checkpoints do LangGraph, afetando versões anteriores à 3.0. Essa falha permite que atacantes executem código Python arbitrário por meio da desserialização de payloads maliciosos. O problema reside no componente JsonPlusSerializer, que é o protocolo de serialização padrão para operações de checkpoint. Quando a serialização msgpack falha devido a valores Unicode ilegais, o sistema muda automaticamente para o modo JSON, que permite a reconstrução de objetos personalizados sem a devida validação, criando uma superfície de ataque. A LangGraph lançou a versão 3.0.0, que corrige a vulnerabilidade implementando um sistema de lista de permissão para a desserialização de construtores, restringindo os caminhos de código permitidos. A atualização é compatível com versões anteriores e não requer modificações no código. Dada a gravidade da vulnerabilidade e a facilidade de exploração, a atualização imediata é essencial para as organizações que utilizam o LangGraph.

Recentemente, foram descobertas falhas críticas de execução remota de código na aplicação Claude Desktop, desenvolvida pela Anthropic, uma das principais empresas de inteligência artificial. Três extensões oficiais da plataforma, que somam mais de 350.000 downloads, apresentavam vulnerabilidades que permitiam ataques de injeção de comandos. Essas falhas poderiam ser exploradas durante interações normais com o Claude, permitindo que um simples questionamento do usuário resultasse em comprometimento total do sistema. A vulnerabilidade, classificada com um CVSS de 8.9, se origina de comandos não sanitizados, um erro de segurança conhecido há décadas. As extensões afetadas, que operam com permissões completas do sistema, não validavam a entrada do usuário, permitindo que códigos maliciosos fossem injetados. Embora a Anthropic tenha lançado patches para corrigir as falhas, a situação levanta preocupações sobre a segurança do ecossistema de extensões MCP, que está em rápida expansão. A falta de revisão de segurança em extensões criadas por desenvolvedores independentes, muitas vezes utilizando codificação assistida por IA, aumenta a superfície de ataque, tornando essencial que os usuários e administradores de sistemas compreendam as diferenças entre essas extensões e os complementos tradicionais de navegadores.

Em 3 de novembro de 2025, o Google divulgou seu Boletim de Segurança Android, revelando uma vulnerabilidade crítica de execução remota de código (CVE-2025-48593) que afeta dispositivos Android em todo o mundo. Essa falha, que não requer interação do usuário para ser explorada, representa um risco severo, pois permite que atacantes executem código arbitrário em dispositivos vulneráveis. A vulnerabilidade impacta as versões Android 13, 14, 15 e 16, e a sua gravidade é acentuada pelo fato de que os usuários não podem mitigar o problema através de mudanças de comportamento ou práticas de segurança. O Google recomenda que todos os dispositivos com nível de patch de segurança de 2025-11-01 ou posterior sejam atualizados imediatamente para se proteger contra essa e outras ameaças. Além disso, uma outra vulnerabilidade de elevação de privilégios (CVE-2025-48581) foi identificada, afetando exclusivamente o Android 16. O Google também enfatiza a importância de atualizações regulares e o uso do Google Play Protect para aumentar a segurança dos dispositivos.

Uma vulnerabilidade crítica de execução remota de código (RCE) foi descoberta no UniFi OS da Ubiquiti, afetando a infraestrutura da API de backup em dispositivos UniFi. Identificada como CVE-2025-52665, a falha resulta de uma validação inadequada de entrada no endpoint de exportação de backup, permitindo que atacantes executem comandos arbitrários com privilégios elevados. A vulnerabilidade foi identificada durante uma avaliação de segurança rotineira e está relacionada a múltiplas APIs não autenticadas no ecossistema do UniFi OS. O endpoint vulnerável aceita um parâmetro de diretório sem a devida sanitização, possibilitando a injeção de comandos maliciosos. Além disso, a configuração incorreta expôs o endpoint a acessos não autenticados, permitindo que atacantes realizem operações sensíveis. Organizações que utilizam o UniFi OS devem priorizar a aplicação de patches e revisar os controles de acesso à rede para restringir a exposição dos endpoints da API. A gravidade da vulnerabilidade é evidenciada pelo CVSS Score de 9.8, classificada como crítica, e a recompensa de $25.000 oferecida pela descoberta.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu a vulnerabilidade CVE-2025-24893 em seu catálogo de Vulnerabilidades Conhecidas Exploited, destacando um grave problema de injeção de código na plataforma XWiki. Essa falha permite que qualquer usuário convidado execute código remoto arbitrário sem autenticação, representando um risco significativo para organizações que utilizam essa plataforma de wiki de código aberto. A vulnerabilidade está relacionada ao componente SolrSearch do XWiki, que não trata adequadamente as funções de avaliação de código, permitindo que atacantes não autenticados injetem código malicioso. A CISA estabeleceu o dia 20 de novembro de 2025 como prazo crítico para que as organizações implementem correções de segurança fornecidas pela equipe de desenvolvimento do XWiki. Para organizações que não conseguem aplicar as correções imediatamente, a CISA recomenda a suspensão do uso da plataforma até que a remediação completa seja possível. Embora não haja evidências de exploração ativa, a gravidade da vulnerabilidade sugere que os atacantes podem rapidamente desenvolver códigos de exploração contra sistemas não corrigidos. As equipes de segurança devem realizar um inventário de todas as implementações do XWiki e estabelecer procedimentos de teste de patches antes da implementação em larga escala.

A Microsoft lançou um patch de segurança crítico para corrigir uma vulnerabilidade grave de execução remota de código (RCE) no Windows Server Update Services (WSUS), identificada como CVE-2025-59287. Essa falha representa uma ameaça imediata para organizações que gerenciam atualizações do Windows em sua infraestrutura, com uma pontuação máxima de 9.8 no CVSS, o que a classifica como crítica. A vulnerabilidade se origina na forma como o WSUS lida com a desserialização de dados não confiáveis, permitindo que atacantes executem código arbitrário sem necessidade de autenticação ou interação do usuário. Um invasor com acesso à rede de um servidor WSUS pode executar comandos com os mesmos privilégios da conta de serviço do WSUS, comprometendo completamente a infraestrutura de atualização e potencialmente afetando milhares de sistemas conectados. Dada a facilidade de exploração e o alto impacto, a Microsoft recomenda que as organizações apliquem o patch imediatamente e revisem a topologia de implantação do WSUS para limitar o alcance de possíveis ataques. A situação exige atenção urgente de administradores de sistemas e equipes de segurança de TI em todo o mundo.

Uma vulnerabilidade crítica, identificada como CVE-2025-54236 e chamada de SessionReaper, está sendo explorada ativamente por hackers em plataformas de comércio eletrônico como Adobe Commerce e Magento. Essa falha permite a execução remota de código e a tomada de controle de contas de clientes em milhares de lojas online. Detectada pela primeira vez em 22 de outubro de 2025, a vulnerabilidade combina uma sessão maliciosa com um bug de desserialização na API REST do Magento, permitindo que atacantes façam upload de backdoors PHP disfarçados. Apesar de um patch de emergência ter sido lançado pela Adobe em 9 de setembro, a adoção do mesmo foi lenta, com menos de 40% das lojas afetadas aplicando a correção até a data da descoberta. A situação é agravada pelo fato de que a Adobe inicialmente minimizou a gravidade da vulnerabilidade em seu aviso oficial. Com 62% das lojas ainda sem correção, a ameaça continua a evoluir, exigindo ações imediatas por parte dos administradores de sistemas para evitar compromissos.

Pesquisas de segurança da Trail of Bits revelam que agentes de inteligência artificial modernos estão vulneráveis a ataques de injeção de argumentos, permitindo a execução remota de código (RCE). Essa vulnerabilidade explora uma falha arquitetônica fundamental na forma como esses agentes lidam com a execução de comandos do sistema. Ao utilizar utilitários de linha de comando como find, grep e git, os sistemas se tornam mais rápidos, mas também expõem uma superfície de ataque perigosa quando a entrada do usuário influencia os parâmetros dos comandos.