Rce

Uma nova vulnerabilidade de execução remota de código (RCE) sem interação do usuário foi descoberta no WhatsApp, afetando dispositivos iOS, macOS e iPadOS. A falha, identificada como CVE-2025-55177, permite que atacantes enviem uma imagem DNG maliciosa que, ao ser processada automaticamente pelo aplicativo, compromete completamente o dispositivo da vítima. O ataque ocorre em duas etapas: primeiro, uma falha lógica no manuseio de mensagens do WhatsApp permite que um invasor falsifique a origem de uma mensagem e insira um arquivo DNG malicioso na conversa. Em seguida, uma segunda vulnerabilidade, CVE-2025-43300, no parser de arquivos DNG, causa corrupção de memória, permitindo que o invasor execute código arbitrário. A exploração é silenciosa, sem necessidade de interação do usuário, tornando a detecção extremamente difícil. Tanto o WhatsApp quanto a Apple estão cientes das vulnerabilidades e estão trabalhando em correções. Usuários são aconselhados a atualizar seus aplicativos assim que as correções forem disponibilizadas e a ter cautela ao receber mensagens multimídia não solicitadas. A situação destaca a complexidade de proteger aplicativos de mensagens contra vetores de ataque que exploram formatos de arquivo aparentemente seguros.

Uma falha crítica foi identificada no motor de templates Jinjava, mantido pela HubSpot, que permite a execução remota de código (RCE) em milhares de sites. A vulnerabilidade explora a integração do ObjectMapper do Jinjava, possibilitando a desserialização de entradas controladas por atacantes em classes Java arbitrárias, apesar das salvaguardas existentes. Pesquisadores alertam que, sem correções imediatas, milhões de páginas que dependem do Jinjava para conteúdo dinâmico estão em risco de comprometimento total do sistema.

Uma vulnerabilidade crítica de execução remota de código (RCE) foi identificada no Cursor AI Code Editor, permitindo que atacantes executem comandos arbitrários na máquina de um desenvolvedor assim que uma pasta de projeto é aberta. Descoberta pela equipe de pesquisa da Oasis Security, a falha explora uma configuração padrão do Cursor que desativa o recurso ‘Workspace Trust’, semelhante ao do Visual Studio Code, mas que não solicita consentimento do usuário. Com isso, um invasor pode criar um repositório malicioso contendo um arquivo .vscode/tasks.json configurado para executar comandos automaticamente ao abrir a pasta comprometida. Isso pode resultar na instalação de backdoors, exfiltração de arquivos ou modificação de configurações do sistema, colocando em risco credenciais de alto privilégio armazenadas nas estações de trabalho dos desenvolvedores. A vulnerabilidade pode ser um ponto de partida para ataques em cadeia, comprometendo pipelines de CI/CD e infraestrutura em nuvem. A Cursor reconheceu o problema e planeja publicar orientações de segurança atualizadas, enquanto recomenda-se que equipes de desenvolvimento ativem manualmente o ‘Workspace Trust’ e evitem abrir repositórios não confiáveis em ambientes isolados.

Um pesquisador de segurança, Bálint Magyar, revelou uma vulnerabilidade crítica no Google Web Designer para Windows, que afeta versões anteriores à 16.4.0.0711. A falha permite a execução remota de código (RCE) através da injeção de CSS no arquivo de configuração gwd_workspace.json. Os atacantes podem inserir regras CSS maliciosas que, quando ativadas, acionam a API interna do Chrome, permitindo que comandos arbitrários sejam executados no computador da vítima. Essa vulnerabilidade é particularmente preocupante, pois requer apenas a interação mínima do usuário, como abrir um documento malicioso e selecionar uma opção no seletor de cores. O Google já lançou uma atualização que corrige essa falha, e os usuários são aconselhados a atualizar imediatamente para evitar possíveis ataques. Além disso, as equipes de segurança devem auditar arquivos gwd_workspace.json personalizados e restringir o acesso a compartilhamentos de arquivos de rede para mitigar riscos adicionais. Essa descoberta ressalta os perigos de misturar componentes nativos e da web em aplicações modernas, enfatizando a necessidade de validação rigorosa de entradas e isolamento de APIs internas.

Uma nova vulnerabilidade de execução remota de código (RCE) zero-day, identificada como CVE-2025-7775, está sendo ativamente explorada em dispositivos Citrix Netscaler ADC e Gateway em todo o mundo. Com mais de 28.200 instâncias ainda sem correção até 26 de agosto de 2025, essa falha representa uma ameaça urgente para redes corporativas, especialmente nos Estados Unidos e na Alemanha. A vulnerabilidade permite que atacantes não autenticados enviem requisições HTTP especialmente elaboradas para a interface de gerenciamento de um dispositivo vulnerável, resultando na execução de código arbitrário com privilégios de nsroot. Isso pode levar a um controle total do sistema, possibilitando a instalação de ransomware, backdoors persistentes e a exfiltração de dados sensíveis. A CISA incluiu CVE-2025-7775 em seu catálogo de Vulnerabilidades Conhecidas e Exploited (KEV), exigindo que as agências federais dos EUA apliquem o patch imediatamente. A Citrix já disponibilizou um boletim de segurança com atualizações de firmware para corrigir a falha, e os administradores são aconselhados a aplicar as correções, revisar logs de servidores e isolar os dispositivos vulneráveis da internet até que as atualizações sejam implementadas.

A Cloud Software Group emitiu um alerta de segurança urgente sobre três vulnerabilidades críticas que afetam os produtos NetScaler ADC e NetScaler Gateway. A mais grave, identificada como CVE-2025-7775, possui um escore CVSS de 9.2 e permite a execução remota de código ou negação de serviço devido a condições de overflow de memória. Explorações dessa vulnerabilidade já foram observadas em dispositivos não mitigados, tornando a aplicação de patches uma prioridade imediata. As outras duas vulnerabilidades, CVE-2025-7776 e CVE-2025-8424, também apresentam riscos significativos, com escores de 8.8 e 8.7, respectivamente. A primeira está relacionada a configurações do NetScaler Gateway que podem levar a negação de serviço, enquanto a segunda envolve uma falha de controle de acesso na interface de gerenciamento do NetScaler, permitindo acesso administrativo não autorizado. A empresa recomenda a atualização para versões corrigidas, destacando a importância de agir rapidamente para proteger a infraestrutura de rede e dados sensíveis das organizações.

Recentemente, a Apple lançou um patch de segurança para uma vulnerabilidade crítica identificada como CVE-2025-43300, que afeta o processamento de imagens em dispositivos iOS e macOS. Essa falha permite a execução remota de código (RCE) sem interação do usuário, simplesmente ao visualizar uma imagem maliciosa. O problema se origina de uma discrepância entre os metadados declarados em arquivos TIFF/DNG e a contagem real de componentes nos fluxos JPEG Lossless, resultando em uma condição de escrita fora dos limites de memória. A Apple confirmou que a exploração dessa vulnerabilidade já foi observada em ataques direcionados, o que destaca sua gravidade. As versões afetadas incluem iOS 18.6.2, macOS Sequoia 15.6.1, entre outras. Especialistas recomendam que usuários e administradores apliquem as atualizações imediatamente, e ferramentas como ELEGANT BOUNCER foram desenvolvidas para detectar inconsistências em arquivos DNG, ajudando a prevenir a exploração. A complexidade dos padrões de imagem utilizados pela Apple é um lembrete de que a segurança pode ser comprometida por falhas em sistemas aparentemente robustos.

Pesquisadores de segurança revelaram uma vulnerabilidade crítica na CodeRabbit, uma plataforma popular de revisão de código impulsionada por IA, que permitiu a execução remota de código (RCE) em servidores de produção e acesso não autorizado a mais de um milhão de repositórios. A falha, descoberta pelo pesquisador Nils Amiet e apresentada na Black Hat USA 2024, foi divulgada de forma responsável e corrigida em janeiro de 2025.

A vulnerabilidade surgiu da integração da CodeRabbit com o Rubocop, uma ferramenta de análise estática para Ruby. O design da plataforma permitiu que usuários especificassem arquivos de configuração personalizados para ferramentas de análise estática através de arquivos .rubocop.yml. Os pesquisadores exploraram essa mecânica criando arquivos de configuração maliciosos que instruíam o Rubocop a carregar e executar código Ruby arbitrário durante o processo de análise. Isso resultou na execução de um payload malicioso nos servidores de produção, estabelecendo um shell remoto com privilégios totais.