Execução Remota De Código

Agências Federais devem atualizar Sitecore até 25 de setembro de 2025

Agências do Federal Civilian Executive Branch (FCEB) dos EUA foram alertadas para atualizar suas instâncias do Sitecore até 25 de setembro de 2025, devido a uma vulnerabilidade crítica identificada como CVE-2025-53690, com um CVSS de 9.0. Essa falha permite a execução remota de código através da deserialização de dados não confiáveis, explorando chaves de máquina ASP.NET expostas. A Mandiant, que descobriu a exploração ativa, observou que a vulnerabilidade foi utilizada em ataques que começaram a ser documentados em dezembro de 2024. Os atacantes, que demonstraram um conhecimento profundo do produto comprometido, conseguiram escalar privilégios e realizar movimentos laterais na rede, resultando em roubo de dados. Para mitigar essa ameaça, as organizações são aconselhadas a rotacionar suas chaves de máquina ASP.NET e verificar suas configurações. A situação destaca a importância de não utilizar chaves padrão expostas em documentações públicas, uma prática que deixou muitas implementações vulneráveis a ataques de deserialização de ViewState.

Google alerta sobre vulnerabilidade zero-day em produtos Sitecore

Em 4 de setembro de 2025, Mandiant e Sitecore divulgaram uma vulnerabilidade zero-day, identificada como CVE-2025-53690, que afeta produtos populares da Sitecore. A falha permite a execução remota de código, explorando chaves de máquina ASP.NET expostas para criar payloads maliciosos no ViewState, comprometendo servidores e permitindo infiltração na rede. A vulnerabilidade, originada em guias de implantação legados, impacta diversas implementações locais e gerenciadas por clientes, levando a Sitecore a emitir avisos urgentes e patches. Os atacantes, ao explorar essa falha, conseguiram comprometer servidores e realizar reconhecimento profundo da rede, utilizando ferramentas como WEEPSTEEL e EARTHWORM para coletar informações do sistema. Em resposta, a Sitecore recomendou a rotação das chaves de máquina e a ativação da validação e criptografia do ViewState. Organizações que utilizam ASP.NET devem adotar essas práticas para se proteger contra ameaças semelhantes, uma vez que a falha pode ter implicações significativas na segurança e conformidade, especialmente em relação à LGPD.

Falhas críticas no Sitecore CMS permitem execução remota de código

Pesquisadores de segurança da watchTowr Labs revelaram uma cadeia de vulnerabilidades críticas no Sitecore Experience Platform, que afeta mais de 22.000 instâncias globalmente. A principal falha, CVE-2025-53693, permite a manipulação do cache HTML sem autenticação, possibilitando que atacantes injetem conteúdo malicioso em páginas acessadas pelos usuários. A exploração se dá através do endpoint GET /-/xaml/Sitecore.Shell.Xaml.WebControl, onde parâmetros HTTP específicos são utilizados para sobrescrever o conteúdo legítimo do cache.

Além disso, a CVE-2025-53694 expõe a API ItemService, permitindo que atacantes enumerem itens cacheáveis e suas configurações, facilitando ataques de envenenamento de cache. A cadeia culmina na CVE-2025-53691, que permite a execução remota de código através de uma falha de desserialização insegura, onde atacantes com permissões de editor de conteúdo podem injetar código malicioso. A Sitecore lançou patches em junho e julho de 2025, e organizações que utilizam a plataforma devem aplicar as atualizações imediatamente para evitar a exploração dessas falhas.

Novas vulnerabilidades críticas na plataforma Sitecore Experience

Recentemente, três novas vulnerabilidades foram identificadas na Sitecore Experience Platform, que podem ser exploradas para divulgação de informações e execução remota de código. As falhas, reportadas pelo watchTowr Labs, incluem: CVE-2025-53693, que permite envenenamento de cache HTML; CVE-2025-53691, que possibilita execução remota de código através de desserialização insegura; e CVE-2025-53694, que resulta em divulgação de informações na API ItemService, permitindo a exposição de chaves de cache por meio de um ataque de força bruta. A Sitecore lançou patches para as duas primeiras vulnerabilidades em junho e para a terceira em julho de 2025. A exploração bem-sucedida dessas falhas pode levar a acessos não autorizados e execução de código malicioso. O pesquisador Piotr Bazydlo destacou que essas vulnerabilidades podem ser encadeadas, permitindo que um ator malicioso utilize a API ItemService para enumerar chaves de cache e enviar requisições de envenenamento, culminando em uma execução de código malicioso. Essa situação representa um risco significativo para as empresas que utilizam a plataforma, especialmente considerando a possibilidade de comprometer instâncias totalmente atualizadas do Sitecore Experience Platform.

Exploração de 0-Day afeta servidores FreePBX admins devem cortar acesso à internet

Administradores do FreePBX estão em alerta após a descoberta de uma vulnerabilidade crítica de 0-Day no módulo Endpoint Manager. Identificada em 21 de agosto de 2025, a falha permite que atacantes realizem escalonamento de privilégios não autenticados, levando à execução remota de código (RCE). Isso significa que invasores podem obter privilégios administrativos sem credenciais válidas, especialmente se a interface de administração estiver exposta a redes hostis. A equipe de segurança da Sangoma emitiu um aviso de emergência em 26 de agosto, recomendando que os operadores isolem imediatamente os sistemas afetados e bloqueiem o acesso público às portas 80 e 443. Além disso, é sugerido que os administradores verifiquem a presença do módulo Endpoint e apliquem o patch oficial ou removam o módulo vulnerável. A análise forense deve incluir a verificação de logs do servidor web e a busca por padrões de comprometimento. Para a proteção a longo prazo, recomenda-se a desativação de módulos comerciais não utilizados e a implementação de autenticação multifator (MFA) para acesso administrativo. A combinação de isolamento imediato, análise forense e endurecimento proativo pode ajudar a mitigar o impacto dessa vulnerabilidade.

Citrix corrige falhas críticas no NetScaler ADC e Gateway

A Citrix anunciou a correção de três vulnerabilidades de segurança em seus produtos NetScaler ADC e NetScaler Gateway, sendo uma delas, identificada como CVE-2025-7775, alvo de exploração ativa. Essa vulnerabilidade, com uma pontuação CVSS de 9.2, permite a execução remota de código e/ou negação de serviço, enquanto as outras duas, CVE-2025-7776 e CVE-2025-8424, apresentam pontuações de 8.8 e 8.7, respectivamente, e podem causar comportamentos errôneos e problemas de controle de acesso. Para que as falhas sejam exploradas, configurações específicas do NetScaler são necessárias, como a utilização como Gateway ou a presença de perfis PCoIP. As versões afetadas incluem o NetScaler ADC e Gateway 13.1 e 14.1, com correções disponíveis nas versões mais recentes. A Citrix reconheceu a contribuição de pesquisadores na identificação dessas vulnerabilidades. Este incidente é parte de uma série de falhas críticas que têm sido descobertas em um curto espaço de tempo, destacando a necessidade de atenção contínua à segurança em ambientes corporativos que utilizam essas tecnologias.

Falha Crítica no Securden Unified PAM Permite Bypass de Autenticação

Pesquisadores da Rapid7 identificaram quatro vulnerabilidades críticas no Securden Unified PAM, uma solução de gerenciamento de acesso privilegiado amplamente utilizada. Três dessas falhas permitem o bypass completo de autenticação e execução remota de código, afetando as versões de 9.0.x a 11.3.1. A vulnerabilidade mais grave, CVE-2025-53118, permite que atacantes acessem múltiplos endpoints da API sem credenciais válidas, explorando a validação inadequada de cookies. Isso pode resultar em extração de credenciais e backups de banco de dados. Outras duas vulnerabilidades, CVE-2025-53119 e CVE-2025-53120, expõem o servidor a execução remota de código não autenticada, permitindo o upload de arquivos arbitrários e a sobrescrição de scripts em diretórios privilegiados. A quarta falha, CVE-2025-6737, revela fraquezas na isolação de inquilinos, aumentando o risco de exploração cruzada entre instâncias. A Securden lançou um patch na versão 11.4.4 para corrigir essas falhas, e as organizações são aconselhadas a atualizar imediatamente suas versões vulneráveis. Dada a função do Securden como um corretor de credenciais, essas vulnerabilidades representam um vetor de ataque de alto valor, permitindo que atacantes colham credenciais e imitem administradores.

Múltiplas falhas no Vtenext permitem bypass de autenticação e execução remota de código

O Vtenext, uma solução de CRM amplamente utilizada por pequenas e médias empresas italianas, apresenta múltiplas falhas críticas nas versões 25.02 e anteriores. Três vetores distintos de bypass de autenticação permitem que atacantes contornem a segurança e realizem execução remota de código (RCE) no servidor alvo. Embora a versão 25.02.1 tenha corrigido o vetor mais severo, as vulnerabilidades restantes ainda expõem muitas implementações ao risco. Os vetores de ataque incluem: 1) uma cadeia de XSS refletido que permite o sequestro de sessões; 2) injeção SQL que possibilita a extração de tokens de redefinição de senha; e 3) uma redefinição de senha silenciosa que não valida tokens, permitindo acesso administrativo não autenticado. Os atacantes podem, então, explorar a execução remota de código através de inclusão de arquivos locais ou upload de módulos maliciosos. A atualização imediata para a versão 25.02.1 é fortemente recomendada para mitigar esses riscos.

Commvault corrige vulnerabilidades críticas que permitem execução remota de código

A Commvault lançou atualizações para corrigir quatro vulnerabilidades de segurança que poderiam ser exploradas para execução remota de código em instâncias vulneráveis. As falhas, identificadas nas versões anteriores à 11.36.60, incluem: CVE-2025-57788, que permite a atacantes não autenticados executar chamadas de API sem credenciais; CVE-2025-57789, que permite o uso de credenciais padrão para obter controle administrativo; CVE-2025-57790, uma vulnerabilidade de travessia de caminho que possibilita acesso não autorizado ao sistema de arquivos; e CVE-2025-57791, que permite a injeção de argumentos de linha de comando devido à validação insuficiente de entradas. Pesquisadores da watchTowr Labs descobriram e relataram essas falhas em abril de 2025. As vulnerabilidades foram resolvidas nas versões 11.32.102 e 11.36.60, e a solução SaaS da Commvault não foi afetada. O artigo destaca que as falhas podem ser combinadas em cadeias de exploração para execução de código, especialmente se a senha do administrador não tiver sido alterada desde a instalação. Essa divulgação ocorre após a identificação de uma falha crítica anterior na Commvault, que foi adicionada ao catálogo de vulnerabilidades exploradas ativamente pela CISA.

Exploração de falhas críticas no SAP NetWeaver coloca empresas em risco

Uma nova exploração que combina duas falhas críticas no SAP NetWeaver foi identificada, colocando em risco a segurança de diversas organizações. As vulnerabilidades, CVE-2025-31324 e CVE-2025-42999, permitem que atacantes não autenticados executem comandos arbitrários no sistema SAP, levando a uma possível execução remota de código (RCE) e comprometimento total dos dados e processos empresariais. A CVE-2025-31324, com uma pontuação CVSS de 10.0, refere-se à falta de verificação de autorização no servidor de desenvolvimento Visual Composer do SAP, enquanto a CVE-2025-42999, com pontuação de 9.1, diz respeito à deserialização insegura. Ambas as falhas foram corrigidas pela SAP em abril e maio de 2025, mas já estavam sendo exploradas por grupos de ransomware e espionagem antes da correção. A Onapsis, empresa de segurança especializada em SAP, alerta que essas vulnerabilidades podem ser usadas para implantar shells web e realizar ataques que não requerem a instalação de artefatos adicionais no sistema comprometido. É crucial que os usuários do SAP apliquem as correções mais recentes e monitorem seus sistemas para sinais de comprometimento.

Vulnerabilidade Crítica da Rockwell ControlLogix Permite Execução Remota de Código

A Rockwell Automation revelou uma vulnerabilidade crítica que afeta diversos módulos de comunicação Ethernet ControlLogix, potencialmente expondo sistemas de controle industrial a ataques de execução remota de código. Identificada como CVE-2025-7353, a falha possui uma pontuação CVSS 3.1 de 9.8, indicando um risco severo para a infraestrutura de tecnologia operacional. A vulnerabilidade decorre de um agente de depuração baseado na web (WDB) que permanece habilitado por padrão em dispositivos de produção, permitindo que atacantes realizem operações não autorizadas na memória, como dumps de memória e modificações diretas. O vetor de ataque requer acesso à rede, mas não exige autenticação ou interação do usuário, o que a torna especialmente perigosa em ambientes industriais. A Rockwell recomenda que as organizações atualizem o firmware para a versão 12.001 para mitigar os riscos. Para ambientes onde a aplicação imediata de patches é desafiadora, a segmentação de rede e listas de controle de acesso são sugeridas como medidas provisórias. A descoberta da vulnerabilidade destaca a necessidade de práticas robustas de segurança cibernética em setores críticos.