Execução Remota De Código

A plataforma de automação de fluxo de trabalho de código aberto n8n alertou sobre uma vulnerabilidade de segurança de alta severidade, identificada como CVE-2026-21877, que pode permitir a execução remota de código (RCE) por usuários autenticados. Avaliada com a pontuação máxima de 10.0 no sistema CVSS, a falha pode resultar na total comprometimento da instância afetada. Tanto as implementações auto-hospedadas quanto as instâncias na nuvem da n8n estão vulneráveis. A vulnerabilidade foi corrigida na versão 1.121.3, lançada em novembro de 2025, e os usuários são aconselhados a atualizar imediatamente. Caso a atualização não seja viável, recomenda-se desabilitar o nó Git e restringir o acesso a usuários não confiáveis. Essa divulgação ocorre em um contexto onde a n8n já havia abordado outras falhas críticas, como CVE-2025-68613 e CVE-2025-68668, que também poderiam levar à execução de código sob certas condições. A descoberta foi feita pelo pesquisador de segurança Théo Lelasseux.

Uma nova vulnerabilidade crítica, identificada como CVE-2026-0625, foi descoberta em roteadores DSL da D-Link, com um alto índice de severidade de 9.3 no CVSS. Essa falha, que se refere a uma injeção de comandos no endpoint ‘dnscfg.cgi’, permite que atacantes remotos não autenticados injetem e executem comandos de shell arbitrários, resultando em execução remota de código. Os modelos afetados incluem DSL-2740R, DSL-2640B, DSL-2780B e DSL-526B, todos com status de fim de vida desde 2020. A D-Link está investigando a situação após um alerta da VulnCheck em dezembro de 2025, mas a identificação precisa dos modelos afetados é complexa devido a variações de firmware. A exploração ativa dessa vulnerabilidade foi registrada em novembro de 2025, e a empresa recomenda que os proprietários de dispositivos afetados considerem a substituição por modelos que recebam atualizações regulares de firmware e segurança. A falha expõe um mecanismo de configuração DNS que já foi utilizado em campanhas de sequestro de DNS em larga escala, permitindo que atacantes alterem silenciosamente as entradas de DNS, comprometendo a segurança de toda a rede conectada ao roteador.

A Agência de Cibersegurança de Cingapura (CSA) emitiu um alerta sobre uma vulnerabilidade de alta severidade no software de e-mail SmarterTools SmarterMail, identificada como CVE-2025-52691, que possui uma pontuação CVSS de 10.0. Essa falha permite o upload arbitrário de arquivos, possibilitando a execução de código remoto sem necessidade de autenticação. A exploração bem-sucedida dessa vulnerabilidade pode permitir que atacantes não autenticados façam upload de arquivos maliciosos no servidor de e-mail, potencialmente levando à execução de código. O SmarterMail é uma alternativa a soluções de colaboração empresarial, como o Microsoft Exchange, e é utilizado por provedores de hospedagem. A vulnerabilidade afeta as versões Build 9406 e anteriores, tendo sido corrigida na Build 9413, lançada em 9 de outubro de 2025. A CSA recomenda que os usuários atualizem para a versão mais recente (Build 9483, lançada em 18 de dezembro de 2025) para garantir proteção adequada. Embora não haja relatos de exploração ativa da falha, a gravidade da vulnerabilidade justifica a atualização imediata dos sistemas afetados.

A Hewlett Packard Enterprise (HPE) anunciou a correção de uma vulnerabilidade crítica no seu software OneView, que pode permitir a execução remota de código por usuários não autenticados. Identificada como CVE-2025-37164, essa falha recebeu a pontuação máxima de 10.0 no CVSS, indicando seu alto potencial de risco. O problema afeta todas as versões anteriores à 11.00 do OneView, que é uma ferramenta de gerenciamento de infraestrutura de TI. A HPE disponibilizou um hotfix para as versões 5.20 a 10.20, mas é importante ressaltar que esse hotfix deve ser reaplicado após atualizações específicas. Embora a empresa não tenha relatado a exploração da vulnerabilidade em ambientes reais, recomenda-se que os usuários apliquem as correções o mais rápido possível para garantir a segurança de seus sistemas. Além disso, em junho, a HPE já havia lançado atualizações para corrigir outras oito vulnerabilidades em sua solução StoreOnce, que também poderiam resultar em execução remota de código. A situação destaca a importância da gestão de patches e da vigilância contínua em ambientes corporativos.

A SonicWall anunciou a correção de uma vulnerabilidade crítica em seus dispositivos Secure Mobile Access (SMA) da série 100, identificada como CVE-2025-40602, com uma pontuação CVSS de 6.6. Essa falha permite a escalada de privilégios locais devido a uma autorização insuficiente no console de gerenciamento do aparelho. As versões afetadas incluem 12.4.3-03093 e anteriores, além de 12.5.0-02002 e anteriores, com correções disponíveis nas versões 12.4.3-03245 e 12.5.0-02283, respectivamente. A SonicWall alertou que essa vulnerabilidade está sendo explorada ativamente, especialmente em combinação com outra falha crítica, CVE-2025-23006, que permite a execução remota de código não autenticado com privilégios de root. Essa última falha foi corrigida em janeiro de 2025. A descoberta das vulnerabilidades foi creditada a pesquisadores do Google Threat Intelligence Group. Dada a gravidade da situação, é crucial que os usuários dos dispositivos SMA 100 apliquem as correções imediatamente para evitar possíveis comprometimentos.

A Huntress alertou sobre uma nova vulnerabilidade ativa nos produtos CentreStack e Triofox da Gladinet, que resulta do uso de chaves criptográficas hard-coded. Até o momento, nove organizações, incluindo aquelas nos setores de saúde e tecnologia, foram afetadas. A falha permite que atacantes acessem o arquivo web.config, possibilitando a deserialização de ViewState e a execução remota de código. A função ‘GenerateSecKey()’, presente no arquivo ‘GladCtrl64.dll’, gera chaves criptográficas que nunca mudam, tornando-as vulneráveis a ataques. Os invasores podem explorar essa falha enviando requisições URL específicas para o endpoint ‘/storage/filesvr.dn’, criando tickets de acesso que nunca expiram. A Huntress recomenda que as organizações afetadas atualizem para a versão mais recente do software e verifiquem logs em busca de atividades suspeitas. Caso sejam detectados indicadores de comprometimento, é essencial rotacionar a chave da máquina seguindo um procedimento específico. A situação é crítica, e as empresas devem agir rapidamente para mitigar os riscos associados a essa vulnerabilidade.

Uma nova pesquisa revelou vulnerabilidades no .NET Framework que podem ser exploradas em aplicações empresariais, permitindo a execução remota de código. Codenomeada de ‘SOAPwn’ pela WatchTowr Labs, a falha afeta produtos como Barracuda Service Center RMM e Ivanti Endpoint Manager, além de potencialmente impactar outros fornecedores devido à ampla utilização do .NET. A vulnerabilidade permite que atacantes abusem de importações de WSDL e proxies de cliente HTTP para executar código arbitrário, explorando erros na manipulação de mensagens SOAP. Um cenário hipotético de ataque envolve o uso de um caminho UNC para direcionar solicitações SOAP a um compartilhamento SMB controlado pelo atacante, possibilitando a captura de desafios NTLM. Além disso, a pesquisa identificou um vetor de exploração mais poderoso em aplicações que geram proxies de cliente HTTP a partir de arquivos WSDL, permitindo a execução remota de código ao não validar URLs. Apesar da divulgação responsável, a Microsoft optou por não corrigir a falha, alegando que se trata de um problema de comportamento de aplicação. As versões corrigidas já estão disponíveis para algumas das aplicações afetadas, com pontuações CVSS de até 9.8, indicando um risco elevado.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma vulnerabilidade crítica, identificada como CVE-2025-55182, no seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). Essa falha, que possui uma pontuação CVSS de 10.0, permite a execução remota de código por atacantes não autenticados, sem necessidade de configuração especial. O problema está relacionado à deserialização insegura no protocolo Flight da biblioteca React, que é utilizado para comunicação entre servidor e cliente. A vulnerabilidade foi explorada ativamente, com tentativas de ataque relatadas por empresas como Amazon e Palo Alto Networks, que identificaram grupos de hackers, incluindo aqueles associados à China. A CISA recomenda que as organizações atualizem suas versões do React para as versões 19.0.1, 19.1.2 e 19.2.1, que já corrigem a falha. Além disso, frameworks dependentes do React, como Next.js e React Router, também estão em risco. A situação é crítica, com mais de 2 milhões de serviços expostos na internet potencialmente vulneráveis, exigindo atenção imediata das equipes de segurança.

Uma vulnerabilidade crítica, identificada como CVE-2025-55182, foi descoberta nas versões 19.0 a 19.2.0 do React, uma das bibliotecas JavaScript mais utilizadas na web. Essa falha permite a execução remota de código (RCE) em componentes do servidor React, afetando também frameworks populares como Next.js, React Router e Vite. O problema foi classificado com a pontuação máxima de 10/10 em severidade, e a equipe do React já lançou patches nas versões 19.0.1, 19.1.2 e 19.2.1. Especialistas alertam que a exploração dessa vulnerabilidade é iminente, com uma taxa de sucesso próxima de 100%, o que torna a atualização imediata uma prioridade para desenvolvedores e empresas que utilizam essas tecnologias. A vulnerabilidade afeta uma vasta gama de aplicações, incluindo grandes plataformas como Facebook, Instagram e Netflix, aumentando significativamente a superfície de ataque. A recomendação é que todos os usuários atualizem suas versões o mais rápido possível para evitar possíveis ataques.

Dois grupos de hackers com vínculos à China, Earth Lamia e Jackpot Panda, foram identificados explorando uma vulnerabilidade crítica no React Server Components (RSC), conhecida como CVE-2025-55182, que permite a execução remota de código não autenticado. A falha, que recebeu a pontuação máxima de 10.0 no CVSS, foi divulgada publicamente e rapidamente aproveitada por esses grupos. A Amazon Web Services (AWS) relatou que as tentativas de exploração foram detectadas em sua infraestrutura de honeypot, associadas a endereços IP conhecidos por estarem ligados a atores de ameaças estatais chineses. Os ataques têm como alvo setores variados, incluindo serviços financeiros, logística e universidades, principalmente na América Latina, Oriente Médio e Sudeste Asiático. Além disso, o Jackpot Panda, ativo desde 2020, tem se concentrado em entidades relacionadas a jogos online na Ásia. A AWS também observou que os atacantes estavam explorando outras vulnerabilidades conhecidas, sugerindo uma abordagem sistemática para encontrar sistemas não corrigidos. Essa situação destaca a necessidade urgente de que empresas e organizações atualizem suas versões do React para mitigar riscos de exploração.

Uma falha de segurança de alta severidade foi identificada nos React Server Components (RSC), com o identificador CVE-2025-55182, que permite a execução remota de código não autenticado. A vulnerabilidade, que possui uma pontuação CVSS de 10.0, resulta de um erro na forma como o React decodifica os dados enviados para os endpoints de funções do servidor. Mesmo que uma aplicação não utilize endpoints de funções do servidor, ela ainda pode ser vulnerável se suportar componentes do servidor do React. A empresa de segurança em nuvem Wiz relatou que 39% dos ambientes em nuvem podem ter instâncias vulneráveis a essa falha. As versões afetadas incluem 19.0, 19.1.0, 19.1.1 e 19.2.0 de pacotes npm como react-server-dom-webpack e react-server-dom-parcel. As correções foram lançadas nas versões 19.0.1, 19.1.2 e 19.2.1. Além disso, a vulnerabilidade também impacta o Next.js com App Router, identificado como CVE-2025-66478, afetando versões >=14.3.0-canary.77 e superiores. Dada a gravidade da situação, é altamente recomendável que os usuários apliquem as correções imediatamente para garantir a proteção adequada.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma vulnerabilidade crítica no Oracle Identity Manager em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). A falha, identificada como CVE-2025-61757, possui uma pontuação CVSS de 9.8 e permite a execução remota de código sem autenticação, afetando as versões 12.2.1.4.0 e 14.1.2.1.0 do software. Pesquisadores da Searchlight Cyber descobriram que a vulnerabilidade resulta de um bypass de um filtro de segurança, permitindo que atacantes não autenticados acessem endpoints de API e manipulem fluxos de autenticação. O ataque pode ser realizado ao adicionar parâmetros específicos a uma URI, levando à execução de código Groovy em um endpoint que deveria apenas verificar a sintaxe do código. A CISA alertou que houve tentativas de exploração ativa entre agosto e setembro de 2025, com múltiplos IPs tentando acessar a vulnerabilidade. Diante disso, agências federais dos EUA devem aplicar patches até 12 de dezembro de 2025 para proteger suas redes.

Uma falha de segurança recentemente divulgada no 7-Zip, identificada como CVE-2025-11001, está sendo ativamente explorada por atacantes. Com uma pontuação CVSS de 7.0, essa vulnerabilidade permite que invasores executem código arbitrário ao manipular links simbólicos em arquivos ZIP. A Trend Micro alertou que dados manipulados em um arquivo ZIP podem fazer com que o processo acesse diretórios não intencionais, possibilitando a execução de código em contas de serviço. A falha foi descoberta por Ryota Shiga, da GMO Flatt Security Inc., e corrigida na versão 25.00 do 7-Zip, lançada em julho de 2025. Além disso, outra vulnerabilidade, CVE-2025-11002, também foi resolvida na mesma versão, que apresenta um problema semelhante. A NHS England Digital confirmou a exploração ativa da CVE-2025-11001, embora detalhes sobre os atacantes e os métodos utilizados ainda não estejam disponíveis. Dada a existência de provas de conceito (PoC) para essa vulnerabilidade, é crucial que os usuários do 7-Zip atualizem para a versão mais recente o mais rápido possível para garantir a proteção adequada.

A Cisco divulgou vulnerabilidades críticas de execução remota de código que afetam o Cisco Unified Contact Center Express (CCX), expondo organizações a riscos severos de segurança. O aviso detalha duas vulnerabilidades independentes no processo de Java Remote Method Invocation (RMI), que podem permitir que atacantes não autenticados obtenham controle total do sistema, incluindo privilégios de nível root. As falhas representam uma ameaça significativa para operações de contact center em todo o mundo, pois podem ser exploradas sem autenticação ou interação do usuário. A primeira vulnerabilidade permite o upload de arquivos arbitrários e a execução de comandos com permissões de root. A segunda permite que atacantes contornem mecanismos de autenticação na aplicação CCX Editor, criando a ilusão de acesso legítimo. Ambas as vulnerabilidades possuem pontuações CVSS de 9.8 e 9.4, respectivamente, indicando níveis críticos de severidade. A Cisco recomenda que as organizações que utilizam versões vulneráveis do CCX atualizem imediatamente para as versões corrigidas, uma vez que não existem alternativas de mitigação. A rápida remediação é essencial para proteger a infraestrutura crítica dos contact centers.

Pesquisadores de cibersegurança identificaram vulnerabilidades críticas de execução remota de código em motores de inferência de inteligência artificial (IA) de grandes empresas como Meta, Nvidia e Microsoft, além de projetos open-source como vLLM e SGLang. O problema central está relacionado ao uso inseguro do ZeroMQ (ZMQ) e à desserialização do Python, resultando em um padrão denominado ShadowMQ. A vulnerabilidade mais significativa foi encontrada no framework Llama da Meta (CVE-2024-50050), que permitia a execução de código arbitrário ao desserializar dados maliciosos. Outras plataformas, como NVIDIA TensorRT-LLM e Microsoft Sarathi-Serve, também apresentaram falhas semelhantes. A exploração dessas vulnerabilidades pode permitir que atacantes executem código arbitrário, escalem privilégios e até realizem roubo de modelos de IA. Com a rápida evolução dos projetos de IA, a reutilização de código inseguro se torna um risco crescente. Além disso, um novo relatório revelou que técnicas de injeção de JavaScript podem comprometer navegadores integrados em editores de código, aumentando ainda mais as preocupações de segurança. É crucial que as empresas adotem medidas de mitigação, como desativar recursos de execução automática e auditar servidores de integração.

Uma vulnerabilidade crítica de execução remota de código foi descoberta e corrigida no Imunify360 AV, um produto de segurança que protege aproximadamente 56 milhões de websites em todo o mundo. A falha, identificada em versões anteriores à v32.7.4.0, permite que atacantes executem comandos arbitrários em servidores vulneráveis, comprometendo completamente o ambiente de hospedagem. A vulnerabilidade se origina de uma lógica de desofuscação defeituosa que processa funções não confiáveis e cargas úteis extraídas de amostras de malware fornecidas por atacantes. O Imunify360 AV, que opera com privilégios de root por padrão, aumenta os riscos de escalonamento em ambientes de hospedagem compartilhada. A empresa-mãe, CloudLinux, não emitiu um aviso oficial sobre a segurança, embora a gravidade do problema tenha sido documentada em seu portal de suporte. Administradores que utilizam versões afetadas devem aplicar atualizações de segurança imediatamente ou, se não for possível, restringir o ambiente de execução. Este é o segundo incidente crítico de RCE no Imunify360, seguindo um evento semelhante em 2021.

Uma vulnerabilidade crítica de execução remota de código (RCE) foi identificada na biblioteca expr-eval, amplamente utilizada para avaliação de expressões matemáticas e processamento de linguagem natural (NLP). A falha, registrada como CVE-2025-12735, permite que atacantes executem comandos de sistema no ambiente do servidor, comprometendo a segurança de aplicações que processam entradas de usuários. Essa vulnerabilidade é especialmente preocupante para organizações que utilizam essa biblioteca em ambientes de produção, pois pode resultar em acesso não autorizado a recursos sensíveis e exfiltração de dados. A falha decorre de um erro de design no método evaluate() da classe Parser, permitindo que funções arbitrárias sejam definidas no contexto do parser. Para mitigar os riscos, as organizações devem auditar suas dependências e aplicar patches imediatamente. As opções incluem a aplicação de um patch específico ou a atualização para versões corrigidas da biblioteca. A rápida implementação dessas correções é crucial para evitar a exploração generalizada da vulnerabilidade. O pesquisador de segurança Jangwoo Choe divulgou a questão de forma responsável, colaborando com GitHub e npm para garantir um relato adequado e tempo suficiente para as correções.

Uma vulnerabilidade crítica de execução remota de código foi identificada na biblioteca de serialização de checkpoints do LangGraph, afetando versões anteriores à 3.0. Essa falha permite que atacantes executem código Python arbitrário por meio da desserialização de payloads maliciosos. O problema reside no componente JsonPlusSerializer, que é o protocolo de serialização padrão para operações de checkpoint. Quando a serialização msgpack falha devido a valores Unicode ilegais, o sistema muda automaticamente para o modo JSON, que permite a reconstrução de objetos personalizados sem a devida validação, criando uma superfície de ataque. A LangGraph lançou a versão 3.0.0, que corrige a vulnerabilidade implementando um sistema de lista de permissão para a desserialização de construtores, restringindo os caminhos de código permitidos. A atualização é compatível com versões anteriores e não requer modificações no código. Dada a gravidade da vulnerabilidade e a facilidade de exploração, a atualização imediata é essencial para as organizações que utilizam o LangGraph.

Recentemente, foram descobertas falhas críticas de execução remota de código na aplicação Claude Desktop, desenvolvida pela Anthropic, uma das principais empresas de inteligência artificial. Três extensões oficiais da plataforma, que somam mais de 350.000 downloads, apresentavam vulnerabilidades que permitiam ataques de injeção de comandos. Essas falhas poderiam ser exploradas durante interações normais com o Claude, permitindo que um simples questionamento do usuário resultasse em comprometimento total do sistema. A vulnerabilidade, classificada com um CVSS de 8.9, se origina de comandos não sanitizados, um erro de segurança conhecido há décadas. As extensões afetadas, que operam com permissões completas do sistema, não validavam a entrada do usuário, permitindo que códigos maliciosos fossem injetados. Embora a Anthropic tenha lançado patches para corrigir as falhas, a situação levanta preocupações sobre a segurança do ecossistema de extensões MCP, que está em rápida expansão. A falta de revisão de segurança em extensões criadas por desenvolvedores independentes, muitas vezes utilizando codificação assistida por IA, aumenta a superfície de ataque, tornando essencial que os usuários e administradores de sistemas compreendam as diferenças entre essas extensões e os complementos tradicionais de navegadores.

Em 3 de novembro de 2025, o Google divulgou seu Boletim de Segurança Android, revelando uma vulnerabilidade crítica de execução remota de código (CVE-2025-48593) que afeta dispositivos Android em todo o mundo. Essa falha, que não requer interação do usuário para ser explorada, representa um risco severo, pois permite que atacantes executem código arbitrário em dispositivos vulneráveis. A vulnerabilidade impacta as versões Android 13, 14, 15 e 16, e a sua gravidade é acentuada pelo fato de que os usuários não podem mitigar o problema através de mudanças de comportamento ou práticas de segurança. O Google recomenda que todos os dispositivos com nível de patch de segurança de 2025-11-01 ou posterior sejam atualizados imediatamente para se proteger contra essa e outras ameaças. Além disso, uma outra vulnerabilidade de elevação de privilégios (CVE-2025-48581) foi identificada, afetando exclusivamente o Android 16. O Google também enfatiza a importância de atualizações regulares e o uso do Google Play Protect para aumentar a segurança dos dispositivos.

Uma vulnerabilidade crítica de execução remota de código (RCE) foi descoberta no UniFi OS da Ubiquiti, afetando a infraestrutura da API de backup em dispositivos UniFi. Identificada como CVE-2025-52665, a falha resulta de uma validação inadequada de entrada no endpoint de exportação de backup, permitindo que atacantes executem comandos arbitrários com privilégios elevados. A vulnerabilidade foi identificada durante uma avaliação de segurança rotineira e está relacionada a múltiplas APIs não autenticadas no ecossistema do UniFi OS. O endpoint vulnerável aceita um parâmetro de diretório sem a devida sanitização, possibilitando a injeção de comandos maliciosos. Além disso, a configuração incorreta expôs o endpoint a acessos não autenticados, permitindo que atacantes realizem operações sensíveis. Organizações que utilizam o UniFi OS devem priorizar a aplicação de patches e revisar os controles de acesso à rede para restringir a exposição dos endpoints da API. A gravidade da vulnerabilidade é evidenciada pelo CVSS Score de 9.8, classificada como crítica, e a recompensa de $25.000 oferecida pela descoberta.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu a vulnerabilidade CVE-2025-24893 em seu catálogo de Vulnerabilidades Conhecidas Exploited, destacando um grave problema de injeção de código na plataforma XWiki. Essa falha permite que qualquer usuário convidado execute código remoto arbitrário sem autenticação, representando um risco significativo para organizações que utilizam essa plataforma de wiki de código aberto. A vulnerabilidade está relacionada ao componente SolrSearch do XWiki, que não trata adequadamente as funções de avaliação de código, permitindo que atacantes não autenticados injetem código malicioso. A CISA estabeleceu o dia 20 de novembro de 2025 como prazo crítico para que as organizações implementem correções de segurança fornecidas pela equipe de desenvolvimento do XWiki. Para organizações que não conseguem aplicar as correções imediatamente, a CISA recomenda a suspensão do uso da plataforma até que a remediação completa seja possível. Embora não haja evidências de exploração ativa, a gravidade da vulnerabilidade sugere que os atacantes podem rapidamente desenvolver códigos de exploração contra sistemas não corrigidos. As equipes de segurança devem realizar um inventário de todas as implementações do XWiki e estabelecer procedimentos de teste de patches antes da implementação em larga escala.

A Microsoft lançou um patch de segurança crítico para corrigir uma vulnerabilidade grave de execução remota de código (RCE) no Windows Server Update Services (WSUS), identificada como CVE-2025-59287. Essa falha representa uma ameaça imediata para organizações que gerenciam atualizações do Windows em sua infraestrutura, com uma pontuação máxima de 9.8 no CVSS, o que a classifica como crítica. A vulnerabilidade se origina na forma como o WSUS lida com a desserialização de dados não confiáveis, permitindo que atacantes executem código arbitrário sem necessidade de autenticação ou interação do usuário. Um invasor com acesso à rede de um servidor WSUS pode executar comandos com os mesmos privilégios da conta de serviço do WSUS, comprometendo completamente a infraestrutura de atualização e potencialmente afetando milhares de sistemas conectados. Dada a facilidade de exploração e o alto impacto, a Microsoft recomenda que as organizações apliquem o patch imediatamente e revisem a topologia de implantação do WSUS para limitar o alcance de possíveis ataques. A situação exige atenção urgente de administradores de sistemas e equipes de segurança de TI em todo o mundo.

Uma vulnerabilidade crítica, identificada como CVE-2025-54236 e chamada de SessionReaper, está sendo explorada ativamente por hackers em plataformas de comércio eletrônico como Adobe Commerce e Magento. Essa falha permite a execução remota de código e a tomada de controle de contas de clientes em milhares de lojas online. Detectada pela primeira vez em 22 de outubro de 2025, a vulnerabilidade combina uma sessão maliciosa com um bug de desserialização na API REST do Magento, permitindo que atacantes façam upload de backdoors PHP disfarçados. Apesar de um patch de emergência ter sido lançado pela Adobe em 9 de setembro, a adoção do mesmo foi lenta, com menos de 40% das lojas afetadas aplicando a correção até a data da descoberta. A situação é agravada pelo fato de que a Adobe inicialmente minimizou a gravidade da vulnerabilidade em seu aviso oficial. Com 62% das lojas ainda sem correção, a ameaça continua a evoluir, exigindo ações imediatas por parte dos administradores de sistemas para evitar compromissos.

Pesquisas de segurança da Trail of Bits revelam que agentes de inteligência artificial modernos estão vulneráveis a ataques de injeção de argumentos, permitindo a execução remota de código (RCE). Essa vulnerabilidade explora uma falha arquitetônica fundamental na forma como esses agentes lidam com a execução de comandos do sistema. Ao utilizar utilitários de linha de comando como find, grep e git, os sistemas se tornam mais rápidos, mas também expõem uma superfície de ataque perigosa quando a entrada do usuário influencia os parâmetros dos comandos.

Uma vulnerabilidade crítica, conhecida como TARmageddon (CVE-2025-62518), foi descoberta na biblioteca async-tar do Rust e em seus forks, como o tokio-tar. Com uma classificação de severidade de 8.1 (alta), essa falha permite que atacantes executem código remotamente ao sobrescrever arquivos de configuração e sequestrar backends de construção através de arquivos TAR aninhados cuidadosamente elaborados. A equipe de segurança Edera identificou que a vulnerabilidade afeta projetos importantes nos ecossistemas Python e de desenvolvimento web, incluindo o gerenciador de pacotes uv da Astral e o testcontainers. O tokio-tar, que já acumulou mais de 5 milhões de downloads, representa um grande risco para seus usuários, especialmente porque parece estar descontinuado e não recebe mais manutenção. A falha se origina de um erro de desincronização na forma como o parser lida com arquivos TAR aninhados, permitindo que um atacante crie um arquivo TAR que contenha arquivos legítimos na camada externa e cargas maliciosas ocultas na interna. A Edera lançou patches que priorizam cabeçalhos PAX sobre cabeçalhos ustar e recomendou que os desenvolvedores atualizem para versões corrigidas. Para organizações que não podem aplicar patches imediatamente, alternativas incluem a migração para a crate tar padrão ou a implementação de mitigação em tempo de execução.

Pesquisadores em cibersegurança identificaram uma vulnerabilidade de alta severidade na biblioteca async-tar, utilizada em diversos projetos populares, como testcontainers e wasmCloud. A falha, classificada como CVE-2025-62518 e com um escore CVSS de 8.1, pode permitir a execução remota de código (RCE) através de ataques de sobrescrita de arquivos. O problema é agravado pelo fato de que a biblioteca tokio-tar, que depende do async-tar, não recebe atualizações desde julho de 2023, tornando-a essencialmente abandonada. Para mitigar os riscos, os usuários são aconselhados a migrar para a versão 0.5.6 da biblioteca astral-tokio-tar, que corrige a vulnerabilidade. A falha decorre de uma inconsistência no tratamento de cabeçalhos PAX e ustar, permitindo que atacantes ’escondam’ arquivos maliciosos dentro de arquivos TAR legítimos. Essa vulnerabilidade é um lembrete de que, apesar das garantias de segurança do Rust, falhas lógicas ainda podem ocorrer e devem ser monitoradas de perto pelos desenvolvedores.

Uma vulnerabilidade crítica de execução remota de código foi identificada na edição on-premise do LANSCOPE Endpoint Manager, permitindo que atacantes não autenticados executem comandos arbitrários com altos privilégios nos sistemas afetados. A falha, rastreada como CVE-2025-61932, afeta tanto o Programa Cliente (MR) quanto o Agente de Detecção (DA) nas versões 9.4.7.1 e anteriores. Pesquisadores de segurança descobriram que pacotes de rede especialmente elaborados podem acionar um erro severo no cliente MR e no agente DA, contornando todos os requisitos de interação do usuário, como cliques ou abertura de e-mails. Tentativas de exploração no mundo real já foram observadas, tornando a aplicação de patches urgente. A edição on-premise é a única afetada, enquanto a edição em nuvem permanece segura. Um patch já está disponível no portal de suporte oficial da LANSCOPE, e é crucial que todas as máquinas que executam a edição on-premise sejam atualizadas imediatamente para mitigar o risco de exploração.

Uma vulnerabilidade crítica nos dispositivos de segurança de rede Firebox da WatchGuard pode permitir que um atacante remoto e não autenticado execute código arbitrário, comprometendo redes corporativas. A falha, identificada como CVE-2025-9242, está relacionada ao gerenciamento de conexões VPN IKEv2 e recebeu uma pontuação de severidade crítica de 9.3 em 10. Essa vulnerabilidade é um problema de escrita fora dos limites dentro do processo iked do sistema operacional Fireware, que gerencia trocas de chaves IKEv2 para VPNs. Os atacantes podem explorar essa falha enviando um pacote especialmente elaborado a um dispositivo afetado, provocando um estouro de buffer baseado em pilha. A WatchGuard recomenda que os clientes atualizem seus sistemas imediatamente, com versões corrigidas já disponíveis. A vulnerabilidade afeta uma ampla gama de modelos Firebox, incluindo dispositivos de pequeno escritório e unidades empresariais maiores, com um potencial de ataque significativo, dado que a empresa protege mais de 250.000 negócios e 10 milhões de endpoints. Administradores são aconselhados a priorizar a aplicação de patches para evitar possíveis explorações, especialmente por grupos de ransomware.

Pesquisadores de cibersegurança revelaram uma vulnerabilidade crítica no WatchGuard Fireware, identificada como CVE-2025-9242, com uma pontuação CVSS de 9.3. Essa falha, que afeta versões do Fireware OS de 11.10.2 até 12.11.3 e 2025.1, permite que atacantes não autenticados executem código arbitrário. A vulnerabilidade está relacionada ao processo ‘ike2_ProcessPayload_CERT’, que não verifica corretamente o comprimento do buffer de identificação do cliente, possibilitando um estouro de buffer durante a fase de autenticação do IKE_SA_AUTH, essencial para a criação de um túnel VPN. Embora a validação do certificado ocorra, ela acontece após a execução do código vulnerável, permitindo que o ataque seja realizado antes da autenticação. A WatchGuard já lançou patches para corrigir a falha em várias versões do Fireware. A análise da WatchTowr Labs destaca que essa vulnerabilidade é atraente para grupos de ransomware, pois permite a execução de código em um serviço exposto à internet. A falta de um shell interativo não impede que um invasor obtenha controle sobre o sistema, podendo escalar privilégios e acessar um shell Linux completo. Dada a gravidade da falha, é crucial que as organizações que utilizam o Fireware atualizem seus sistemas imediatamente.

Uma vulnerabilidade severa na implementação do servidor WINS do Samba para controladores de domínio do Active Directory foi divulgada, permitindo que atacantes não autenticados executem código arbitrário em sistemas vulneráveis. Identificada como CVE-2025-10230, a falha possui uma pontuação CVSS 3.1 de 10.0, destacando seu alto risco e facilidade de exploração. Todas as versões do Samba desde a 4.0 com suporte a WINS habilitado e o parâmetro wins hook configurado estão afetadas, o que pode expor uma infinidade de serviços de diretório corporativo a compromissos.

Pesquisadores de cibersegurança revelaram uma falha crítica no software de discagem automática ICTBroadcast, que está sendo ativamente explorada. A vulnerabilidade, identificada como CVE-2025-2611, possui uma pontuação CVSS de 9.3 e está relacionada à validação inadequada de entradas, permitindo a execução remota de código não autenticado. Essa falha afeta as versões 7.4 e anteriores do ICTBroadcast, um aplicativo amplamente utilizado em call centers. Os atacantes estão utilizando a injeção de comandos via cookie BROADCAST para executar comandos no servidor vulnerável. A exploração foi detectada em 11 de outubro, com ataques ocorrendo em duas fases: primeiro, uma verificação de exploração baseada em tempo, seguida por tentativas de estabelecer shells reversos. Os atacantes injetaram um comando codificado em Base64 que traduz para ‘sleep 3’ no cookie, confirmando a execução do comando. A situação é preocupante, pois cerca de 200 instâncias online estão expostas. Não há informações disponíveis sobre o status de correção da falha, e a ICT Innovations ainda não se pronunciou sobre o assunto.

Pesquisadores de cibersegurança revelaram uma vulnerabilidade crítica, identificada como CVE-2025-53967, no servidor Model Context Protocol (MCP) do Figma, que pode permitir a execução remota de código. Com uma pontuação CVSS de 7.5, a falha é um erro de injeção de comando causado pelo uso não sanitizado de entradas de usuários, possibilitando que atacantes enviem comandos arbitrários ao sistema. O problema reside na construção de comandos de linha de comando que utilizam diretamente entradas não validadas, o que pode levar à injeção de metacaracteres de shell. A exploração pode ocorrer quando um cliente MCP envia requisições ao servidor, permitindo que um ator malicioso execute comandos indesejados. A vulnerabilidade foi descoberta pela Imperva em julho de 2025 e corrigida na versão 0.6.3 do MCP, lançada em 29 de setembro de 2025. É recomendado evitar o uso de child_process.exec com entradas não confiáveis e optar por child_process.execFile para mitigar riscos. Este incidente destaca a necessidade de que as ferramentas de desenvolvimento impulsionadas por IA sejam acompanhadas de considerações de segurança adequadas.

A CrowdStrike atribuiu com confiança moderada a exploração de uma vulnerabilidade crítica no Oracle E-Business Suite ao grupo de ameaças conhecido como Graceful Spider (ou Cl0p). A falha, identificada como CVE-2025-61882, possui um escore CVSS de 9.8 e permite a execução remota de código sem autenticação. O primeiro registro de exploração ocorreu em 9 de agosto de 2025. A vulnerabilidade facilita ataques que podem levar à exfiltração de dados, com um canal no Telegram insinuando a colaboração entre diferentes grupos de ameaças. A exploração envolve uma série de requisições HTTP que permitem a execução de um template XSLT malicioso, resultando em conexões de saída para a infraestrutura controlada pelos atacantes. A CISA incluiu essa vulnerabilidade em seu catálogo de vulnerabilidades conhecidas exploradas, alertando agências federais para aplicar correções até 27 de outubro de 2025. A CrowdStrike e a WatchTowr Labs destacam a complexidade do ataque, que combina múltiplas falhas para alcançar a execução remota de código pré-autenticada. O alerta é claro: empresas que utilizam o Oracle EBS devem agir rapidamente para mitigar riscos.

A Redis divulgou uma vulnerabilidade de alta severidade em seu software de banco de dados em memória, identificada como CVE-2025-49844, também conhecida como RediShell. Com uma pontuação CVSS de 10.0, essa falha permite que um usuário autenticado execute um script Lua malicioso, manipulando o coletor de lixo e potencialmente levando à execução remota de código. A vulnerabilidade afeta todas as versões do Redis que suportam scripts Lua e foi corrigida nas versões 6.2.20, 7.2.11, 7.4.6, 8.0.4 e 8.2.2, lançadas em 3 de outubro de 2025. Para mitigar o problema temporariamente, recomenda-se restringir a execução de scripts Lua através de listas de controle de acesso (ACLs) e garantir que apenas identidades confiáveis possam executar comandos arriscados. Apesar de não haver evidências de exploração ativa da falha, cerca de 330.000 instâncias do Redis estão expostas à internet, com aproximadamente 60.000 delas sem autenticação, tornando-as alvos atrativos para ataques, como o cryptojacking. A combinação de configurações inseguras e a gravidade da vulnerabilidade exige ação imediata das organizações.

Uma vulnerabilidade crítica foi identificada no Redis Server, permitindo que atacantes autenticados realizem execução remota de código através de uma falha do tipo use-after-free no motor de script Lua. Classificada como CVE-2025-49844, essa vulnerabilidade afeta todas as versões do Redis que suportam a funcionalidade de scripting Lua, representando um risco significativo para organizações que dependem do Redis para armazenamento de dados em memória.

Pesquisadores de segurança da Wiz, em colaboração com a Iniciativa Zero Day da Trend Micro, descobriram que a falha resulta de uma gestão inadequada da memória na implementação do Lua, onde referências a memória liberada persistem após a coleta de lixo. Ao criar scripts Lua maliciosos que manipulam os tempos de coleta de lixo, atacantes podem explorar essa condição, assumindo o controle de regiões de memória liberadas e executando código arbitrário com os privilégios do processo do servidor Redis.

A Oracle emitiu um alerta de segurança urgente sobre uma vulnerabilidade crítica de 0-day no Oracle E-Business Suite, que permite a execução remota de código sem autenticação. A falha, identificada como CVE-2025-61882, afeta as versões 12.2.3 a 12.2.14 do software e possui uma pontuação máxima de 9.8 no CVSS 3.1, indicando severidade crítica. Essa vulnerabilidade reside no componente de Integração BI Publisher do Oracle Concurrent Processing e pode ser explorada remotamente através do protocolo HTTP.

Pesquisadores revelaram uma falha crítica de segurança em roteadores empresariais que utilizam o sistema DrayOS, permitindo que atacantes remotos não autenticados provoquem corrupção de memória, quedas de sistema e potencialmente executem código arbitrário. A vulnerabilidade está presente na Interface Web do Usuário (WebUI), que aceita requisições HTTP(S) sem validação adequada de entrada. Quando explorada, essa falha pode dar controle total sobre os dispositivos afetados, permitindo que os atacantes se movam mais profundamente nas redes corporativas. A exploração ocorre ao enviar requisições maliciosas para a WebUI em interfaces de rede com acesso remoto habilitado. A DrayTek já lançou atualizações de firmware para corrigir a vulnerabilidade, e os usuários são aconselhados a atualizar imediatamente para evitar riscos de exploração. Para mitigar a ameaça, recomenda-se desabilitar o acesso remoto à WebUI e implementar listas de controle de acesso (ACLs) que restrinjam o acesso a hosts confiáveis. Além disso, é importante realizar auditorias de patch e testes de penetração periódicos para garantir a segurança das interfaces de gerenciamento remoto.

A Cisco divulgou um aviso de segurança crítico (ID cisco-sa-http-code-exec-WmfP3h3O) sobre uma vulnerabilidade de execução remota de código que afeta várias plataformas da empresa. Revelada em 25 de setembro de 2025, a falha (CVE-2025-20363) impacta o Cisco Secure Firewall Adaptive Security Appliance (ASA), o Cisco Secure Firewall Threat Defense (FTD) e diversos sistemas operacionais baseados em IOS. Com uma pontuação CVSS 3.1 de 9.0, a vulnerabilidade permite que atacantes não autenticados ou com privilégios baixos obtenham privilégios de root, o que pode levar à completa compromissão do dispositivo.

Uma vulnerabilidade recentemente divulgada no módulo KSMBD do Kernel Linux permite a execução remota de código (RCE) não autenticada em sistemas que utilizam a versão 6.1.45 do Linux com KSMBD ativado. O KSMBD, que serve como um servidor SMB3 em espaço de kernel para compartilhamento de arquivos em rede, foi considerado mais eficiente em comparação com alternativas em espaço de usuário. No entanto, pesquisadores de segurança demonstraram um exploit estável que não requer interação do usuário, explorando duas vulnerabilidades conhecidas (CVE-2023-52440 e CVE-2023-4130) que foram corrigidas pela Zero Day Initiative no final de 2023 e início de 2024. O ataque começa com um estouro de heap não autenticado durante a autenticação NTLM, permitindo que um invasor manipule a memória do kernel. A exploração é facilitada por uma série de técnicas que burlam a aleatorização do espaço de endereçamento do kernel (KASLR), culminando na execução de um shell reverso em modo usuário, mantendo a estabilidade do kernel. Apesar de o KSMBD ser frequentemente desativado em ambientes de produção, sistemas que operam com o kernel 6.1.x não corrigido e expostos a redes não confiáveis permanecem vulneráveis. Administradores são aconselhados a atualizar para a versão 6.1.46 ou posterior, onde as vulnerabilidades foram corrigidas.

A Ivanti divulgou atualizações críticas para o Ivanti Endpoint Manager (EPM) devido a duas vulnerabilidades de execução remota de código, identificadas como CVE-2025-9712 e CVE-2025-9872. Ambas as falhas, que afetam as versões 2024 SU3 e 2022 SU8 do software, resultam de uma validação inadequada de nomes de arquivos. Um atacante não autenticado pode criar nomes de arquivos maliciosos que, ao serem manipulados por um usuário, podem levar à execução de código arbitrário. Ambas as vulnerabilidades possuem uma pontuação CVSS de 8.8, indicando um alto impacto em confidencialidade, integridade e disponibilidade. A Ivanti recomenda que os clientes instalem as atualizações de segurança disponíveis para mitigar os riscos. É importante ressaltar que a versão 2022 SU8 atingirá o fim de sua vida útil em outubro de 2025, o que significa que não receberá mais correções de segurança. Portanto, as organizações que ainda utilizam essa versão devem planejar uma atualização para a versão 2024 ou uma alternativa suportada para garantir a conformidade de segurança.

Agências do Federal Civilian Executive Branch (FCEB) dos EUA foram alertadas para atualizar suas instâncias do Sitecore até 25 de setembro de 2025, devido a uma vulnerabilidade crítica identificada como CVE-2025-53690, com um CVSS de 9.0. Essa falha permite a execução remota de código através da deserialização de dados não confiáveis, explorando chaves de máquina ASP.NET expostas. A Mandiant, que descobriu a exploração ativa, observou que a vulnerabilidade foi utilizada em ataques que começaram a ser documentados em dezembro de 2024. Os atacantes, que demonstraram um conhecimento profundo do produto comprometido, conseguiram escalar privilégios e realizar movimentos laterais na rede, resultando em roubo de dados. Para mitigar essa ameaça, as organizações são aconselhadas a rotacionar suas chaves de máquina ASP.NET e verificar suas configurações. A situação destaca a importância de não utilizar chaves padrão expostas em documentações públicas, uma prática que deixou muitas implementações vulneráveis a ataques de deserialização de ViewState.

Em 4 de setembro de 2025, Mandiant e Sitecore divulgaram uma vulnerabilidade zero-day, identificada como CVE-2025-53690, que afeta produtos populares da Sitecore. A falha permite a execução remota de código, explorando chaves de máquina ASP.NET expostas para criar payloads maliciosos no ViewState, comprometendo servidores e permitindo infiltração na rede. A vulnerabilidade, originada em guias de implantação legados, impacta diversas implementações locais e gerenciadas por clientes, levando a Sitecore a emitir avisos urgentes e patches. Os atacantes, ao explorar essa falha, conseguiram comprometer servidores e realizar reconhecimento profundo da rede, utilizando ferramentas como WEEPSTEEL e EARTHWORM para coletar informações do sistema. Em resposta, a Sitecore recomendou a rotação das chaves de máquina e a ativação da validação e criptografia do ViewState. Organizações que utilizam ASP.NET devem adotar essas práticas para se proteger contra ameaças semelhantes, uma vez que a falha pode ter implicações significativas na segurança e conformidade, especialmente em relação à LGPD.

Pesquisadores de segurança da watchTowr Labs revelaram uma cadeia de vulnerabilidades críticas no Sitecore Experience Platform, que afeta mais de 22.000 instâncias globalmente. A principal falha, CVE-2025-53693, permite a manipulação do cache HTML sem autenticação, possibilitando que atacantes injetem conteúdo malicioso em páginas acessadas pelos usuários. A exploração se dá através do endpoint GET /-/xaml/Sitecore.Shell.Xaml.WebControl, onde parâmetros HTTP específicos são utilizados para sobrescrever o conteúdo legítimo do cache.

Além disso, a CVE-2025-53694 expõe a API ItemService, permitindo que atacantes enumerem itens cacheáveis e suas configurações, facilitando ataques de envenenamento de cache. A cadeia culmina na CVE-2025-53691, que permite a execução remota de código através de uma falha de desserialização insegura, onde atacantes com permissões de editor de conteúdo podem injetar código malicioso. A Sitecore lançou patches em junho e julho de 2025, e organizações que utilizam a plataforma devem aplicar as atualizações imediatamente para evitar a exploração dessas falhas.

Recentemente, três novas vulnerabilidades foram identificadas na Sitecore Experience Platform, que podem ser exploradas para divulgação de informações e execução remota de código. As falhas, reportadas pelo watchTowr Labs, incluem: CVE-2025-53693, que permite envenenamento de cache HTML; CVE-2025-53691, que possibilita execução remota de código através de desserialização insegura; e CVE-2025-53694, que resulta em divulgação de informações na API ItemService, permitindo a exposição de chaves de cache por meio de um ataque de força bruta. A Sitecore lançou patches para as duas primeiras vulnerabilidades em junho e para a terceira em julho de 2025. A exploração bem-sucedida dessas falhas pode levar a acessos não autorizados e execução de código malicioso. O pesquisador Piotr Bazydlo destacou que essas vulnerabilidades podem ser encadeadas, permitindo que um ator malicioso utilize a API ItemService para enumerar chaves de cache e enviar requisições de envenenamento, culminando em uma execução de código malicioso. Essa situação representa um risco significativo para as empresas que utilizam a plataforma, especialmente considerando a possibilidade de comprometer instâncias totalmente atualizadas do Sitecore Experience Platform.

Administradores do FreePBX estão em alerta após a descoberta de uma vulnerabilidade crítica de 0-Day no módulo Endpoint Manager. Identificada em 21 de agosto de 2025, a falha permite que atacantes realizem escalonamento de privilégios não autenticados, levando à execução remota de código (RCE). Isso significa que invasores podem obter privilégios administrativos sem credenciais válidas, especialmente se a interface de administração estiver exposta a redes hostis. A equipe de segurança da Sangoma emitiu um aviso de emergência em 26 de agosto, recomendando que os operadores isolem imediatamente os sistemas afetados e bloqueiem o acesso público às portas 80 e 443. Além disso, é sugerido que os administradores verifiquem a presença do módulo Endpoint e apliquem o patch oficial ou removam o módulo vulnerável. A análise forense deve incluir a verificação de logs do servidor web e a busca por padrões de comprometimento. Para a proteção a longo prazo, recomenda-se a desativação de módulos comerciais não utilizados e a implementação de autenticação multifator (MFA) para acesso administrativo. A combinação de isolamento imediato, análise forense e endurecimento proativo pode ajudar a mitigar o impacto dessa vulnerabilidade.

A Citrix anunciou a correção de três vulnerabilidades de segurança em seus produtos NetScaler ADC e NetScaler Gateway, sendo uma delas, identificada como CVE-2025-7775, alvo de exploração ativa. Essa vulnerabilidade, com uma pontuação CVSS de 9.2, permite a execução remota de código e/ou negação de serviço, enquanto as outras duas, CVE-2025-7776 e CVE-2025-8424, apresentam pontuações de 8.8 e 8.7, respectivamente, e podem causar comportamentos errôneos e problemas de controle de acesso. Para que as falhas sejam exploradas, configurações específicas do NetScaler são necessárias, como a utilização como Gateway ou a presença de perfis PCoIP. As versões afetadas incluem o NetScaler ADC e Gateway 13.1 e 14.1, com correções disponíveis nas versões mais recentes. A Citrix reconheceu a contribuição de pesquisadores na identificação dessas vulnerabilidades. Este incidente é parte de uma série de falhas críticas que têm sido descobertas em um curto espaço de tempo, destacando a necessidade de atenção contínua à segurança em ambientes corporativos que utilizam essas tecnologias.

Pesquisadores da Rapid7 identificaram quatro vulnerabilidades críticas no Securden Unified PAM, uma solução de gerenciamento de acesso privilegiado amplamente utilizada. Três dessas falhas permitem o bypass completo de autenticação e execução remota de código, afetando as versões de 9.0.x a 11.3.1. A vulnerabilidade mais grave, CVE-2025-53118, permite que atacantes acessem múltiplos endpoints da API sem credenciais válidas, explorando a validação inadequada de cookies. Isso pode resultar em extração de credenciais e backups de banco de dados. Outras duas vulnerabilidades, CVE-2025-53119 e CVE-2025-53120, expõem o servidor a execução remota de código não autenticada, permitindo o upload de arquivos arbitrários e a sobrescrição de scripts em diretórios privilegiados. A quarta falha, CVE-2025-6737, revela fraquezas na isolação de inquilinos, aumentando o risco de exploração cruzada entre instâncias. A Securden lançou um patch na versão 11.4.4 para corrigir essas falhas, e as organizações são aconselhadas a atualizar imediatamente suas versões vulneráveis. Dada a função do Securden como um corretor de credenciais, essas vulnerabilidades representam um vetor de ataque de alto valor, permitindo que atacantes colham credenciais e imitem administradores.

O Vtenext, uma solução de CRM amplamente utilizada por pequenas e médias empresas italianas, apresenta múltiplas falhas críticas nas versões 25.02 e anteriores. Três vetores distintos de bypass de autenticação permitem que atacantes contornem a segurança e realizem execução remota de código (RCE) no servidor alvo. Embora a versão 25.02.1 tenha corrigido o vetor mais severo, as vulnerabilidades restantes ainda expõem muitas implementações ao risco. Os vetores de ataque incluem: 1) uma cadeia de XSS refletido que permite o sequestro de sessões; 2) injeção SQL que possibilita a extração de tokens de redefinição de senha; e 3) uma redefinição de senha silenciosa que não valida tokens, permitindo acesso administrativo não autenticado. Os atacantes podem, então, explorar a execução remota de código através de inclusão de arquivos locais ou upload de módulos maliciosos. A atualização imediata para a versão 25.02.1 é fortemente recomendada para mitigar esses riscos.

A Commvault lançou atualizações para corrigir quatro vulnerabilidades de segurança que poderiam ser exploradas para execução remota de código em instâncias vulneráveis. As falhas, identificadas nas versões anteriores à 11.36.60, incluem: CVE-2025-57788, que permite a atacantes não autenticados executar chamadas de API sem credenciais; CVE-2025-57789, que permite o uso de credenciais padrão para obter controle administrativo; CVE-2025-57790, uma vulnerabilidade de travessia de caminho que possibilita acesso não autorizado ao sistema de arquivos; e CVE-2025-57791, que permite a injeção de argumentos de linha de comando devido à validação insuficiente de entradas. Pesquisadores da watchTowr Labs descobriram e relataram essas falhas em abril de 2025. As vulnerabilidades foram resolvidas nas versões 11.32.102 e 11.36.60, e a solução SaaS da Commvault não foi afetada. O artigo destaca que as falhas podem ser combinadas em cadeias de exploração para execução de código, especialmente se a senha do administrador não tiver sido alterada desde a instalação. Essa divulgação ocorre após a identificação de uma falha crítica anterior na Commvault, que foi adicionada ao catálogo de vulnerabilidades exploradas ativamente pela CISA.