Execução Remota De Código

Uma vulnerabilidade crítica, conhecida como TARmageddon (CVE-2025-62518), foi descoberta na biblioteca async-tar do Rust e em seus forks, como o tokio-tar. Com uma classificação de severidade de 8.1 (alta), essa falha permite que atacantes executem código remotamente ao sobrescrever arquivos de configuração e sequestrar backends de construção através de arquivos TAR aninhados cuidadosamente elaborados. A equipe de segurança Edera identificou que a vulnerabilidade afeta projetos importantes nos ecossistemas Python e de desenvolvimento web, incluindo o gerenciador de pacotes uv da Astral e o testcontainers. O tokio-tar, que já acumulou mais de 5 milhões de downloads, representa um grande risco para seus usuários, especialmente porque parece estar descontinuado e não recebe mais manutenção. A falha se origina de um erro de desincronização na forma como o parser lida com arquivos TAR aninhados, permitindo que um atacante crie um arquivo TAR que contenha arquivos legítimos na camada externa e cargas maliciosas ocultas na interna. A Edera lançou patches que priorizam cabeçalhos PAX sobre cabeçalhos ustar e recomendou que os desenvolvedores atualizem para versões corrigidas. Para organizações que não podem aplicar patches imediatamente, alternativas incluem a migração para a crate tar padrão ou a implementação de mitigação em tempo de execução.

Pesquisadores em cibersegurança identificaram uma vulnerabilidade de alta severidade na biblioteca async-tar, utilizada em diversos projetos populares, como testcontainers e wasmCloud. A falha, classificada como CVE-2025-62518 e com um escore CVSS de 8.1, pode permitir a execução remota de código (RCE) através de ataques de sobrescrita de arquivos. O problema é agravado pelo fato de que a biblioteca tokio-tar, que depende do async-tar, não recebe atualizações desde julho de 2023, tornando-a essencialmente abandonada. Para mitigar os riscos, os usuários são aconselhados a migrar para a versão 0.5.6 da biblioteca astral-tokio-tar, que corrige a vulnerabilidade. A falha decorre de uma inconsistência no tratamento de cabeçalhos PAX e ustar, permitindo que atacantes ’escondam’ arquivos maliciosos dentro de arquivos TAR legítimos. Essa vulnerabilidade é um lembrete de que, apesar das garantias de segurança do Rust, falhas lógicas ainda podem ocorrer e devem ser monitoradas de perto pelos desenvolvedores.

Uma vulnerabilidade crítica de execução remota de código foi identificada na edição on-premise do LANSCOPE Endpoint Manager, permitindo que atacantes não autenticados executem comandos arbitrários com altos privilégios nos sistemas afetados. A falha, rastreada como CVE-2025-61932, afeta tanto o Programa Cliente (MR) quanto o Agente de Detecção (DA) nas versões 9.4.7.1 e anteriores. Pesquisadores de segurança descobriram que pacotes de rede especialmente elaborados podem acionar um erro severo no cliente MR e no agente DA, contornando todos os requisitos de interação do usuário, como cliques ou abertura de e-mails. Tentativas de exploração no mundo real já foram observadas, tornando a aplicação de patches urgente. A edição on-premise é a única afetada, enquanto a edição em nuvem permanece segura. Um patch já está disponível no portal de suporte oficial da LANSCOPE, e é crucial que todas as máquinas que executam a edição on-premise sejam atualizadas imediatamente para mitigar o risco de exploração.

Uma vulnerabilidade crítica nos dispositivos de segurança de rede Firebox da WatchGuard pode permitir que um atacante remoto e não autenticado execute código arbitrário, comprometendo redes corporativas. A falha, identificada como CVE-2025-9242, está relacionada ao gerenciamento de conexões VPN IKEv2 e recebeu uma pontuação de severidade crítica de 9.3 em 10. Essa vulnerabilidade é um problema de escrita fora dos limites dentro do processo iked do sistema operacional Fireware, que gerencia trocas de chaves IKEv2 para VPNs. Os atacantes podem explorar essa falha enviando um pacote especialmente elaborado a um dispositivo afetado, provocando um estouro de buffer baseado em pilha. A WatchGuard recomenda que os clientes atualizem seus sistemas imediatamente, com versões corrigidas já disponíveis. A vulnerabilidade afeta uma ampla gama de modelos Firebox, incluindo dispositivos de pequeno escritório e unidades empresariais maiores, com um potencial de ataque significativo, dado que a empresa protege mais de 250.000 negócios e 10 milhões de endpoints. Administradores são aconselhados a priorizar a aplicação de patches para evitar possíveis explorações, especialmente por grupos de ransomware.

Pesquisadores de cibersegurança revelaram uma vulnerabilidade crítica no WatchGuard Fireware, identificada como CVE-2025-9242, com uma pontuação CVSS de 9.3. Essa falha, que afeta versões do Fireware OS de 11.10.2 até 12.11.3 e 2025.1, permite que atacantes não autenticados executem código arbitrário. A vulnerabilidade está relacionada ao processo ‘ike2_ProcessPayload_CERT’, que não verifica corretamente o comprimento do buffer de identificação do cliente, possibilitando um estouro de buffer durante a fase de autenticação do IKE_SA_AUTH, essencial para a criação de um túnel VPN. Embora a validação do certificado ocorra, ela acontece após a execução do código vulnerável, permitindo que o ataque seja realizado antes da autenticação. A WatchGuard já lançou patches para corrigir a falha em várias versões do Fireware. A análise da WatchTowr Labs destaca que essa vulnerabilidade é atraente para grupos de ransomware, pois permite a execução de código em um serviço exposto à internet. A falta de um shell interativo não impede que um invasor obtenha controle sobre o sistema, podendo escalar privilégios e acessar um shell Linux completo. Dada a gravidade da falha, é crucial que as organizações que utilizam o Fireware atualizem seus sistemas imediatamente.

Uma vulnerabilidade severa na implementação do servidor WINS do Samba para controladores de domínio do Active Directory foi divulgada, permitindo que atacantes não autenticados executem código arbitrário em sistemas vulneráveis. Identificada como CVE-2025-10230, a falha possui uma pontuação CVSS 3.1 de 10.0, destacando seu alto risco e facilidade de exploração. Todas as versões do Samba desde a 4.0 com suporte a WINS habilitado e o parâmetro wins hook configurado estão afetadas, o que pode expor uma infinidade de serviços de diretório corporativo a compromissos.

Pesquisadores de cibersegurança revelaram uma falha crítica no software de discagem automática ICTBroadcast, que está sendo ativamente explorada. A vulnerabilidade, identificada como CVE-2025-2611, possui uma pontuação CVSS de 9.3 e está relacionada à validação inadequada de entradas, permitindo a execução remota de código não autenticado. Essa falha afeta as versões 7.4 e anteriores do ICTBroadcast, um aplicativo amplamente utilizado em call centers. Os atacantes estão utilizando a injeção de comandos via cookie BROADCAST para executar comandos no servidor vulnerável. A exploração foi detectada em 11 de outubro, com ataques ocorrendo em duas fases: primeiro, uma verificação de exploração baseada em tempo, seguida por tentativas de estabelecer shells reversos. Os atacantes injetaram um comando codificado em Base64 que traduz para ‘sleep 3’ no cookie, confirmando a execução do comando. A situação é preocupante, pois cerca de 200 instâncias online estão expostas. Não há informações disponíveis sobre o status de correção da falha, e a ICT Innovations ainda não se pronunciou sobre o assunto.

Pesquisadores de cibersegurança revelaram uma vulnerabilidade crítica, identificada como CVE-2025-53967, no servidor Model Context Protocol (MCP) do Figma, que pode permitir a execução remota de código. Com uma pontuação CVSS de 7.5, a falha é um erro de injeção de comando causado pelo uso não sanitizado de entradas de usuários, possibilitando que atacantes enviem comandos arbitrários ao sistema. O problema reside na construção de comandos de linha de comando que utilizam diretamente entradas não validadas, o que pode levar à injeção de metacaracteres de shell. A exploração pode ocorrer quando um cliente MCP envia requisições ao servidor, permitindo que um ator malicioso execute comandos indesejados. A vulnerabilidade foi descoberta pela Imperva em julho de 2025 e corrigida na versão 0.6.3 do MCP, lançada em 29 de setembro de 2025. É recomendado evitar o uso de child_process.exec com entradas não confiáveis e optar por child_process.execFile para mitigar riscos. Este incidente destaca a necessidade de que as ferramentas de desenvolvimento impulsionadas por IA sejam acompanhadas de considerações de segurança adequadas.

A CrowdStrike atribuiu com confiança moderada a exploração de uma vulnerabilidade crítica no Oracle E-Business Suite ao grupo de ameaças conhecido como Graceful Spider (ou Cl0p). A falha, identificada como CVE-2025-61882, possui um escore CVSS de 9.8 e permite a execução remota de código sem autenticação. O primeiro registro de exploração ocorreu em 9 de agosto de 2025. A vulnerabilidade facilita ataques que podem levar à exfiltração de dados, com um canal no Telegram insinuando a colaboração entre diferentes grupos de ameaças. A exploração envolve uma série de requisições HTTP que permitem a execução de um template XSLT malicioso, resultando em conexões de saída para a infraestrutura controlada pelos atacantes. A CISA incluiu essa vulnerabilidade em seu catálogo de vulnerabilidades conhecidas exploradas, alertando agências federais para aplicar correções até 27 de outubro de 2025. A CrowdStrike e a WatchTowr Labs destacam a complexidade do ataque, que combina múltiplas falhas para alcançar a execução remota de código pré-autenticada. O alerta é claro: empresas que utilizam o Oracle EBS devem agir rapidamente para mitigar riscos.

A Redis divulgou uma vulnerabilidade de alta severidade em seu software de banco de dados em memória, identificada como CVE-2025-49844, também conhecida como RediShell. Com uma pontuação CVSS de 10.0, essa falha permite que um usuário autenticado execute um script Lua malicioso, manipulando o coletor de lixo e potencialmente levando à execução remota de código. A vulnerabilidade afeta todas as versões do Redis que suportam scripts Lua e foi corrigida nas versões 6.2.20, 7.2.11, 7.4.6, 8.0.4 e 8.2.2, lançadas em 3 de outubro de 2025. Para mitigar o problema temporariamente, recomenda-se restringir a execução de scripts Lua através de listas de controle de acesso (ACLs) e garantir que apenas identidades confiáveis possam executar comandos arriscados. Apesar de não haver evidências de exploração ativa da falha, cerca de 330.000 instâncias do Redis estão expostas à internet, com aproximadamente 60.000 delas sem autenticação, tornando-as alvos atrativos para ataques, como o cryptojacking. A combinação de configurações inseguras e a gravidade da vulnerabilidade exige ação imediata das organizações.

Uma vulnerabilidade crítica foi identificada no Redis Server, permitindo que atacantes autenticados realizem execução remota de código através de uma falha do tipo use-after-free no motor de script Lua. Classificada como CVE-2025-49844, essa vulnerabilidade afeta todas as versões do Redis que suportam a funcionalidade de scripting Lua, representando um risco significativo para organizações que dependem do Redis para armazenamento de dados em memória.

Pesquisadores de segurança da Wiz, em colaboração com a Iniciativa Zero Day da Trend Micro, descobriram que a falha resulta de uma gestão inadequada da memória na implementação do Lua, onde referências a memória liberada persistem após a coleta de lixo. Ao criar scripts Lua maliciosos que manipulam os tempos de coleta de lixo, atacantes podem explorar essa condição, assumindo o controle de regiões de memória liberadas e executando código arbitrário com os privilégios do processo do servidor Redis.

A Oracle emitiu um alerta de segurança urgente sobre uma vulnerabilidade crítica de 0-day no Oracle E-Business Suite, que permite a execução remota de código sem autenticação. A falha, identificada como CVE-2025-61882, afeta as versões 12.2.3 a 12.2.14 do software e possui uma pontuação máxima de 9.8 no CVSS 3.1, indicando severidade crítica. Essa vulnerabilidade reside no componente de Integração BI Publisher do Oracle Concurrent Processing e pode ser explorada remotamente através do protocolo HTTP.

Pesquisadores revelaram uma falha crítica de segurança em roteadores empresariais que utilizam o sistema DrayOS, permitindo que atacantes remotos não autenticados provoquem corrupção de memória, quedas de sistema e potencialmente executem código arbitrário. A vulnerabilidade está presente na Interface Web do Usuário (WebUI), que aceita requisições HTTP(S) sem validação adequada de entrada. Quando explorada, essa falha pode dar controle total sobre os dispositivos afetados, permitindo que os atacantes se movam mais profundamente nas redes corporativas. A exploração ocorre ao enviar requisições maliciosas para a WebUI em interfaces de rede com acesso remoto habilitado. A DrayTek já lançou atualizações de firmware para corrigir a vulnerabilidade, e os usuários são aconselhados a atualizar imediatamente para evitar riscos de exploração. Para mitigar a ameaça, recomenda-se desabilitar o acesso remoto à WebUI e implementar listas de controle de acesso (ACLs) que restrinjam o acesso a hosts confiáveis. Além disso, é importante realizar auditorias de patch e testes de penetração periódicos para garantir a segurança das interfaces de gerenciamento remoto.

A Cisco divulgou um aviso de segurança crítico (ID cisco-sa-http-code-exec-WmfP3h3O) sobre uma vulnerabilidade de execução remota de código que afeta várias plataformas da empresa. Revelada em 25 de setembro de 2025, a falha (CVE-2025-20363) impacta o Cisco Secure Firewall Adaptive Security Appliance (ASA), o Cisco Secure Firewall Threat Defense (FTD) e diversos sistemas operacionais baseados em IOS. Com uma pontuação CVSS 3.1 de 9.0, a vulnerabilidade permite que atacantes não autenticados ou com privilégios baixos obtenham privilégios de root, o que pode levar à completa compromissão do dispositivo.

Uma vulnerabilidade recentemente divulgada no módulo KSMBD do Kernel Linux permite a execução remota de código (RCE) não autenticada em sistemas que utilizam a versão 6.1.45 do Linux com KSMBD ativado. O KSMBD, que serve como um servidor SMB3 em espaço de kernel para compartilhamento de arquivos em rede, foi considerado mais eficiente em comparação com alternativas em espaço de usuário. No entanto, pesquisadores de segurança demonstraram um exploit estável que não requer interação do usuário, explorando duas vulnerabilidades conhecidas (CVE-2023-52440 e CVE-2023-4130) que foram corrigidas pela Zero Day Initiative no final de 2023 e início de 2024. O ataque começa com um estouro de heap não autenticado durante a autenticação NTLM, permitindo que um invasor manipule a memória do kernel. A exploração é facilitada por uma série de técnicas que burlam a aleatorização do espaço de endereçamento do kernel (KASLR), culminando na execução de um shell reverso em modo usuário, mantendo a estabilidade do kernel. Apesar de o KSMBD ser frequentemente desativado em ambientes de produção, sistemas que operam com o kernel 6.1.x não corrigido e expostos a redes não confiáveis permanecem vulneráveis. Administradores são aconselhados a atualizar para a versão 6.1.46 ou posterior, onde as vulnerabilidades foram corrigidas.

A Ivanti divulgou atualizações críticas para o Ivanti Endpoint Manager (EPM) devido a duas vulnerabilidades de execução remota de código, identificadas como CVE-2025-9712 e CVE-2025-9872. Ambas as falhas, que afetam as versões 2024 SU3 e 2022 SU8 do software, resultam de uma validação inadequada de nomes de arquivos. Um atacante não autenticado pode criar nomes de arquivos maliciosos que, ao serem manipulados por um usuário, podem levar à execução de código arbitrário. Ambas as vulnerabilidades possuem uma pontuação CVSS de 8.8, indicando um alto impacto em confidencialidade, integridade e disponibilidade. A Ivanti recomenda que os clientes instalem as atualizações de segurança disponíveis para mitigar os riscos. É importante ressaltar que a versão 2022 SU8 atingirá o fim de sua vida útil em outubro de 2025, o que significa que não receberá mais correções de segurança. Portanto, as organizações que ainda utilizam essa versão devem planejar uma atualização para a versão 2024 ou uma alternativa suportada para garantir a conformidade de segurança.

Agências do Federal Civilian Executive Branch (FCEB) dos EUA foram alertadas para atualizar suas instâncias do Sitecore até 25 de setembro de 2025, devido a uma vulnerabilidade crítica identificada como CVE-2025-53690, com um CVSS de 9.0. Essa falha permite a execução remota de código através da deserialização de dados não confiáveis, explorando chaves de máquina ASP.NET expostas. A Mandiant, que descobriu a exploração ativa, observou que a vulnerabilidade foi utilizada em ataques que começaram a ser documentados em dezembro de 2024. Os atacantes, que demonstraram um conhecimento profundo do produto comprometido, conseguiram escalar privilégios e realizar movimentos laterais na rede, resultando em roubo de dados. Para mitigar essa ameaça, as organizações são aconselhadas a rotacionar suas chaves de máquina ASP.NET e verificar suas configurações. A situação destaca a importância de não utilizar chaves padrão expostas em documentações públicas, uma prática que deixou muitas implementações vulneráveis a ataques de deserialização de ViewState.

Em 4 de setembro de 2025, Mandiant e Sitecore divulgaram uma vulnerabilidade zero-day, identificada como CVE-2025-53690, que afeta produtos populares da Sitecore. A falha permite a execução remota de código, explorando chaves de máquina ASP.NET expostas para criar payloads maliciosos no ViewState, comprometendo servidores e permitindo infiltração na rede. A vulnerabilidade, originada em guias de implantação legados, impacta diversas implementações locais e gerenciadas por clientes, levando a Sitecore a emitir avisos urgentes e patches. Os atacantes, ao explorar essa falha, conseguiram comprometer servidores e realizar reconhecimento profundo da rede, utilizando ferramentas como WEEPSTEEL e EARTHWORM para coletar informações do sistema. Em resposta, a Sitecore recomendou a rotação das chaves de máquina e a ativação da validação e criptografia do ViewState. Organizações que utilizam ASP.NET devem adotar essas práticas para se proteger contra ameaças semelhantes, uma vez que a falha pode ter implicações significativas na segurança e conformidade, especialmente em relação à LGPD.

Pesquisadores de segurança da watchTowr Labs revelaram uma cadeia de vulnerabilidades críticas no Sitecore Experience Platform, que afeta mais de 22.000 instâncias globalmente. A principal falha, CVE-2025-53693, permite a manipulação do cache HTML sem autenticação, possibilitando que atacantes injetem conteúdo malicioso em páginas acessadas pelos usuários. A exploração se dá através do endpoint GET /-/xaml/Sitecore.Shell.Xaml.WebControl, onde parâmetros HTTP específicos são utilizados para sobrescrever o conteúdo legítimo do cache.

Além disso, a CVE-2025-53694 expõe a API ItemService, permitindo que atacantes enumerem itens cacheáveis e suas configurações, facilitando ataques de envenenamento de cache. A cadeia culmina na CVE-2025-53691, que permite a execução remota de código através de uma falha de desserialização insegura, onde atacantes com permissões de editor de conteúdo podem injetar código malicioso. A Sitecore lançou patches em junho e julho de 2025, e organizações que utilizam a plataforma devem aplicar as atualizações imediatamente para evitar a exploração dessas falhas.

Recentemente, três novas vulnerabilidades foram identificadas na Sitecore Experience Platform, que podem ser exploradas para divulgação de informações e execução remota de código. As falhas, reportadas pelo watchTowr Labs, incluem: CVE-2025-53693, que permite envenenamento de cache HTML; CVE-2025-53691, que possibilita execução remota de código através de desserialização insegura; e CVE-2025-53694, que resulta em divulgação de informações na API ItemService, permitindo a exposição de chaves de cache por meio de um ataque de força bruta. A Sitecore lançou patches para as duas primeiras vulnerabilidades em junho e para a terceira em julho de 2025. A exploração bem-sucedida dessas falhas pode levar a acessos não autorizados e execução de código malicioso. O pesquisador Piotr Bazydlo destacou que essas vulnerabilidades podem ser encadeadas, permitindo que um ator malicioso utilize a API ItemService para enumerar chaves de cache e enviar requisições de envenenamento, culminando em uma execução de código malicioso. Essa situação representa um risco significativo para as empresas que utilizam a plataforma, especialmente considerando a possibilidade de comprometer instâncias totalmente atualizadas do Sitecore Experience Platform.

Administradores do FreePBX estão em alerta após a descoberta de uma vulnerabilidade crítica de 0-Day no módulo Endpoint Manager. Identificada em 21 de agosto de 2025, a falha permite que atacantes realizem escalonamento de privilégios não autenticados, levando à execução remota de código (RCE). Isso significa que invasores podem obter privilégios administrativos sem credenciais válidas, especialmente se a interface de administração estiver exposta a redes hostis. A equipe de segurança da Sangoma emitiu um aviso de emergência em 26 de agosto, recomendando que os operadores isolem imediatamente os sistemas afetados e bloqueiem o acesso público às portas 80 e 443. Além disso, é sugerido que os administradores verifiquem a presença do módulo Endpoint e apliquem o patch oficial ou removam o módulo vulnerável. A análise forense deve incluir a verificação de logs do servidor web e a busca por padrões de comprometimento. Para a proteção a longo prazo, recomenda-se a desativação de módulos comerciais não utilizados e a implementação de autenticação multifator (MFA) para acesso administrativo. A combinação de isolamento imediato, análise forense e endurecimento proativo pode ajudar a mitigar o impacto dessa vulnerabilidade.

A Citrix anunciou a correção de três vulnerabilidades de segurança em seus produtos NetScaler ADC e NetScaler Gateway, sendo uma delas, identificada como CVE-2025-7775, alvo de exploração ativa. Essa vulnerabilidade, com uma pontuação CVSS de 9.2, permite a execução remota de código e/ou negação de serviço, enquanto as outras duas, CVE-2025-7776 e CVE-2025-8424, apresentam pontuações de 8.8 e 8.7, respectivamente, e podem causar comportamentos errôneos e problemas de controle de acesso. Para que as falhas sejam exploradas, configurações específicas do NetScaler são necessárias, como a utilização como Gateway ou a presença de perfis PCoIP. As versões afetadas incluem o NetScaler ADC e Gateway 13.1 e 14.1, com correções disponíveis nas versões mais recentes. A Citrix reconheceu a contribuição de pesquisadores na identificação dessas vulnerabilidades. Este incidente é parte de uma série de falhas críticas que têm sido descobertas em um curto espaço de tempo, destacando a necessidade de atenção contínua à segurança em ambientes corporativos que utilizam essas tecnologias.

Pesquisadores da Rapid7 identificaram quatro vulnerabilidades críticas no Securden Unified PAM, uma solução de gerenciamento de acesso privilegiado amplamente utilizada. Três dessas falhas permitem o bypass completo de autenticação e execução remota de código, afetando as versões de 9.0.x a 11.3.1. A vulnerabilidade mais grave, CVE-2025-53118, permite que atacantes acessem múltiplos endpoints da API sem credenciais válidas, explorando a validação inadequada de cookies. Isso pode resultar em extração de credenciais e backups de banco de dados. Outras duas vulnerabilidades, CVE-2025-53119 e CVE-2025-53120, expõem o servidor a execução remota de código não autenticada, permitindo o upload de arquivos arbitrários e a sobrescrição de scripts em diretórios privilegiados. A quarta falha, CVE-2025-6737, revela fraquezas na isolação de inquilinos, aumentando o risco de exploração cruzada entre instâncias. A Securden lançou um patch na versão 11.4.4 para corrigir essas falhas, e as organizações são aconselhadas a atualizar imediatamente suas versões vulneráveis. Dada a função do Securden como um corretor de credenciais, essas vulnerabilidades representam um vetor de ataque de alto valor, permitindo que atacantes colham credenciais e imitem administradores.

O Vtenext, uma solução de CRM amplamente utilizada por pequenas e médias empresas italianas, apresenta múltiplas falhas críticas nas versões 25.02 e anteriores. Três vetores distintos de bypass de autenticação permitem que atacantes contornem a segurança e realizem execução remota de código (RCE) no servidor alvo. Embora a versão 25.02.1 tenha corrigido o vetor mais severo, as vulnerabilidades restantes ainda expõem muitas implementações ao risco. Os vetores de ataque incluem: 1) uma cadeia de XSS refletido que permite o sequestro de sessões; 2) injeção SQL que possibilita a extração de tokens de redefinição de senha; e 3) uma redefinição de senha silenciosa que não valida tokens, permitindo acesso administrativo não autenticado. Os atacantes podem, então, explorar a execução remota de código através de inclusão de arquivos locais ou upload de módulos maliciosos. A atualização imediata para a versão 25.02.1 é fortemente recomendada para mitigar esses riscos.

A Commvault lançou atualizações para corrigir quatro vulnerabilidades de segurança que poderiam ser exploradas para execução remota de código em instâncias vulneráveis. As falhas, identificadas nas versões anteriores à 11.36.60, incluem: CVE-2025-57788, que permite a atacantes não autenticados executar chamadas de API sem credenciais; CVE-2025-57789, que permite o uso de credenciais padrão para obter controle administrativo; CVE-2025-57790, uma vulnerabilidade de travessia de caminho que possibilita acesso não autorizado ao sistema de arquivos; e CVE-2025-57791, que permite a injeção de argumentos de linha de comando devido à validação insuficiente de entradas. Pesquisadores da watchTowr Labs descobriram e relataram essas falhas em abril de 2025. As vulnerabilidades foram resolvidas nas versões 11.32.102 e 11.36.60, e a solução SaaS da Commvault não foi afetada. O artigo destaca que as falhas podem ser combinadas em cadeias de exploração para execução de código, especialmente se a senha do administrador não tiver sido alterada desde a instalação. Essa divulgação ocorre após a identificação de uma falha crítica anterior na Commvault, que foi adicionada ao catálogo de vulnerabilidades exploradas ativamente pela CISA.

Uma nova exploração que combina duas falhas críticas no SAP NetWeaver foi identificada, colocando em risco a segurança de diversas organizações. As vulnerabilidades, CVE-2025-31324 e CVE-2025-42999, permitem que atacantes não autenticados executem comandos arbitrários no sistema SAP, levando a uma possível execução remota de código (RCE) e comprometimento total dos dados e processos empresariais. A CVE-2025-31324, com uma pontuação CVSS de 10.0, refere-se à falta de verificação de autorização no servidor de desenvolvimento Visual Composer do SAP, enquanto a CVE-2025-42999, com pontuação de 9.1, diz respeito à deserialização insegura. Ambas as falhas foram corrigidas pela SAP em abril e maio de 2025, mas já estavam sendo exploradas por grupos de ransomware e espionagem antes da correção. A Onapsis, empresa de segurança especializada em SAP, alerta que essas vulnerabilidades podem ser usadas para implantar shells web e realizar ataques que não requerem a instalação de artefatos adicionais no sistema comprometido. É crucial que os usuários do SAP apliquem as correções mais recentes e monitorem seus sistemas para sinais de comprometimento.

A Rockwell Automation revelou uma vulnerabilidade crítica que afeta diversos módulos de comunicação Ethernet ControlLogix, potencialmente expondo sistemas de controle industrial a ataques de execução remota de código. Identificada como CVE-2025-7353, a falha possui uma pontuação CVSS 3.1 de 9.8, indicando um risco severo para a infraestrutura de tecnologia operacional. A vulnerabilidade decorre de um agente de depuração baseado na web (WDB) que permanece habilitado por padrão em dispositivos de produção, permitindo que atacantes realizem operações não autorizadas na memória, como dumps de memória e modificações diretas. O vetor de ataque requer acesso à rede, mas não exige autenticação ou interação do usuário, o que a torna especialmente perigosa em ambientes industriais. A Rockwell recomenda que as organizações atualizem o firmware para a versão 12.001 para mitigar os riscos. Para ambientes onde a aplicação imediata de patches é desafiadora, a segmentação de rede e listas de controle de acesso são sugeridas como medidas provisórias. A descoberta da vulnerabilidade destaca a necessidade de práticas robustas de segurança cibernética em setores críticos.