Segurança

Com a aproximação da Copa do Mundo de 2026, muitos usuários buscarão maneiras de assistir aos jogos de forma segura e estável, especialmente durante eventos de alta demanda. O uso de uma VPN (Rede Privada Virtual) pode ser uma solução eficaz para contornar problemas comuns, como congestionamento de rede e restrições geográficas. No entanto, para otimizar a performance de streaming, é crucial ajustar algumas configurações da VPN. O artigo destaca a importância de escolher o protocolo adequado, sendo o WireGuard recomendado por sua velocidade e confiabilidade. Além disso, a desativação de recursos como obfuscação e bloqueadores de anúncios pode melhorar a conexão, evitando interrupções durante momentos críticos dos jogos. O uso de split tunneling também é sugerido, permitindo que o tráfego de streaming utilize a VPN enquanto outros aplicativos funcionam normalmente. Essas configurações são essenciais para garantir uma experiência de visualização fluida e sem interrupções durante a Copa do Mundo, especialmente em um cenário de alta demanda de internet.

A Microsoft anunciou a resolução de um problema que fazia com que alguns dispositivos com Windows Server 2025 entrassem no modo de recuperação do BitLocker após a instalação da atualização de segurança de abril de 2026. O BitLocker é uma ferramenta de segurança que criptografa unidades de armazenamento para proteger dados contra roubo. A situação ocorreu em dispositivos com configurações específicas de Política de Grupo que não eram recomendadas. A empresa esclareceu que, após a instalação da atualização, o código de recuperação do BitLocker precisaria ser inserido apenas uma vez, desde que a configuração da política de grupo não fosse alterada. A atualização KB5094125 para Windows Server 2025 e KB5093998 para Windows 11 23H2 corrigiram o problema, evitando que dispositivos com configurações incompatíveis instalassem o Gerenciador de Inicialização do Windows assinado em 2023, que era a causa dos prompts de recuperação do BitLocker. A Microsoft também forneceu orientações para administradores de TI que ainda não podiam implementar as atualizações, sugerindo a remoção da configuração de Política de Grupo antes da instalação das atualizações. Embora o problema tenha afetado principalmente sistemas corporativos, a Microsoft afirmou que é improvável que dispositivos pessoais sejam impactados.

Na última terça-feira, a Microsoft lançou correções para três vulnerabilidades zero-day que permitiam a atacantes obter privilégios de SYSTEM em sistemas Windows totalmente atualizados. As falhas, conhecidas como ‘GreenPlasma’ (CVE-2026-45586) e ‘MiniPlasma’ (CVE-2020-17103), foram identificadas no Collaborative Translation Framework (CTFMON) e no Cloud Files Mini Filter Driver. Ambas permitem que atacantes locais adquiram um shell com permissões elevadas. A terceira vulnerabilidade, chamada ‘YellowKey’ (CVE-2026-45585), atua como uma porta dos fundos no Windows Recovery Environment (WinRE), permitindo que atacantes com acesso físico contornem a proteção do BitLocker em sistemas Windows 11 e Windows Server 2022/2025 não corrigidos. A Microsoft também divulgou medidas de mitigação para a vulnerabilidade YellowKey, enquanto criticou a divulgação pública do conceito de prova, que violou as melhores práticas de coordenação de vulnerabilidades. Este incidente destaca a importância de uma resposta rápida a vulnerabilidades críticas, especialmente em um cenário onde as falhas são exploradas ativamente por atacantes. As correções foram disponibilizadas como parte das atualizações de Patch Tuesday de junho de 2026.

Em 10 de junho de 2026, a Microsoft lançou atualizações para corrigir um total recorde de 206 vulnerabilidades de segurança em seu portfólio de software. Dentre essas falhas, 39 foram classificadas como Críticas e 167 como Importantes. As vulnerabilidades incluem problemas de escalonamento de privilégios, execução remota de código e divulgação de informações. A falha mais crítica, CVE-2026-45657, com uma pontuação CVSS de 9.8, permite que atacantes executem código remotamente ao enviar tráfego de rede malicioso para sistemas vulneráveis. Outras falhas significativas incluem CVE-2026-47291 e CVE-2026-44815, ambas com pontuação 9.8, que podem resultar em execução de código não autorizado. Além disso, a Microsoft abordou vulnerabilidades relacionadas ao BitLocker e problemas de negação de serviço. O aumento no número de correções é atribuído ao uso de inteligência artificial na descoberta de vulnerabilidades, uma tendência que deve continuar. Especialistas alertam que a rápida liberação de patches pode levantar preocupações sobre a qualidade das correções. As atualizações são essenciais para proteger sistemas, especialmente aqueles que lidam com tráfego DHCP, que é crítico para a infraestrutura de rede.

Em 14 de junho de 2026, a Microsoft lançou atualizações de segurança para 200 vulnerabilidades, incluindo três falhas zero-day publicamente divulgadas. Dentre as 33 vulnerabilidades classificadas como ‘Críticas’, 28 são de execução remota de código, 4 de elevação de privilégio e 1 de divulgação de informações. As falhas mais notáveis incluem a CVE-2026-45586, que permite a elevação de privilégios no Windows CTFMON, e a CVE-2026-49160, uma vulnerabilidade de negação de serviço no HTTP.sys, que pode ser explorada para causar interrupções em servidores. A CVE-2026-50507, relacionada ao BitLocker, permite que atacantes locais contornem a proteção de unidades criptografadas. Embora essas vulnerabilidades tenham sido divulgadas, não há evidências de que tenham sido exploradas ativamente. A Microsoft também lançou um novo parâmetro de registro para mitigar a vulnerabilidade de negação de serviço, limitando o número de cabeçalhos em solicitações HTTP/2. As atualizações são cruciais para proteger sistemas que utilizam tecnologias amplamente adotadas, como Windows e Azure.

A SAP lançou correções para 15 vulnerabilidades em seu pacote de patches de segurança de junho de 2026, incluindo quatro falhas de gravidade crítica que afetam o SAP NetWeaver e o SAP Commerce Cloud. O NetWeaver é uma plataforma central de aplicações e middleware da SAP, enquanto o Commerce Cloud é uma plataforma de e-commerce para empresas. Entre as vulnerabilidades críticas estão: CVE-2026-44748, que permite a bypass de autenticação em ambientes SAML; CVE-2026-27671, uma falha de corrupção de memória que pode ser explorada sem autenticação; CVE-2026-22732, uma vulnerabilidade relacionada ao Spring Security; e CVE-2026-40128, que permite a travessia de diretórios. A SAP também abordou duas vulnerabilidades de alta gravidade e diversas questões de injeção SQL, XSS e bypass de autorização. As organizações que utilizam os produtos afetados devem priorizar a aplicação dos patches, especialmente as falhas CVE-2026-44748 e CVE-2026-27671, que podem ter um impacto significativo nos ambientes empresariais.

A ServiceNow emitiu um alerta sobre um incidente de segurança após a exploração de uma falha de acesso não autenticado em um endpoint de API vulnerável, permitindo que atacantes consultassem dados de instâncias de clientes. A empresa notificou discretamente os clientes afetados por meio de um boletim de suporte e casos de suporte direto, após detectar ‘atividade anômala’ relacionada ao problema. O boletim, acessível apenas através do portal de suporte ao cliente da ServiceNow, informa que uma atualização de segurança foi aplicada em 5 de junho de 2026, restringindo o acesso ao endpoint da API apenas a usuários autenticados. Embora a ServiceNow não tenha revelado quais dados foram acessados, as instâncias geralmente armazenam informações sensíveis, como registros de funcionários e documentação interna. A falha parece estar relacionada a um endpoint REST configurado incorretamente, permitindo solicitações não autenticadas. A empresa aconselha os administradores a revisar os logs para identificar solicitações suspeitas e a proteger informações sensíveis. O incidente afeta principalmente clientes na versão da plataforma Australia ou aqueles que realizaram alterações de configuração em versões anteriores.

A Veeam lançou atualizações de segurança para corrigir uma vulnerabilidade crítica em seu software Backup & Replication, que pode permitir a execução remota de código (RCE) em servidores de backup que estão conectados a um domínio. A falha, identificada como CVE-2026-44963, afeta a versão 12.3.2.4465 e todas as versões anteriores da versão 12, sendo corrigida na versão 12.3.2.4854. Embora qualquer usuário de domínio com privilégios baixos possa explorar essa vulnerabilidade, ela impacta apenas as instalações do Veeam que estão unidas a um domínio, o que contraria as melhores práticas recomendadas pela empresa. Apesar de não haver relatos de exploração ativa até o momento, a Veeam alertou que atacantes costumam desenvolver exploits assim que os patches são divulgados, o que torna essencial que todos os clientes atualizem seus sistemas imediatamente. A empresa também destacou que seus servidores de backup são frequentemente alvos de ataques de ransomware, que visam roubar dados sensíveis e dificultar a recuperação ao deletar backups. Com mais de 550 mil clientes, incluindo 82% das empresas da Fortune 500, a Veeam é uma tecnologia amplamente utilizada, o que aumenta a relevância da correção dessa vulnerabilidade.

Uma falha de segurança crítica foi identificada no plugin Everest Forms Pro, utilizado em sites WordPress, afetando cerca de 4.000 instalações ativas. A vulnerabilidade, classificada como CVE-2026-3300, possui uma pontuação CVSS de 9.8 e permite a execução remota de código, resultando na possibilidade de comprometimento total do site. O problema reside na função process_filter() do addon de Cálculo, que concatena valores de campos de formulário submetidos pelo usuário em uma string de código PHP sem a devida sanitização, permitindo que atacantes não autenticados injetem e executem código PHP arbitrário. Desde o início das tentativas de exploração em 13 de abril de 2026, mais de 29.300 tentativas de ataque foram bloqueadas, com um padrão comum de criação de contas de administrador maliciosas. Além disso, a Sansec alertou sobre campanhas de skimmer que utilizam Stripe como servidor de comando e controle, aproveitando-se da reputação da marca para evitar detecções. Essas campanhas têm como alvo páginas de checkout de plataformas como Magento e Adobe Commerce, extraindo dados financeiros de usuários desavisados. A combinação dessas vulnerabilidades e ataques representa um risco significativo para a segurança de sites e dados de clientes.

A Cisco divulgou atualizações de segurança para corrigir uma vulnerabilidade crítica no Cisco Unified Communications Manager (Unified CM), que permite que atacantes obtenham privilégios de root. A falha, identificada como CVE-2026-20230, pode ser explorada remotamente por meio de ataques de Server-Side Request Forgery (SSRF) de baixa complexidade, sem a necessidade de privilégios. Um atacante pode enviar uma solicitação HTTP manipulada para um dispositivo afetado, possibilitando a escrita de arquivos no sistema operacional subjacente, o que pode ser usado para elevar privilégios a root.

Um novo ataque de negação de serviço (DoS) conhecido como HTTP/2 Bomb pode ser lançado a partir de uma única máquina, conseguindo derrubar servidores web em questão de segundos. Essa técnica explora configurações padrão do HTTP/2 em servidores amplamente utilizados, como NGINX, Apache, Microsoft IIS, Envoy e Cloudflare Pingora. O ataque combina duas metodologias conhecidas: a amplificação de compressão HPACK e a retenção de recursos ao estilo Slowloris, utilizando o controle de fluxo do HTTP/2. Ao enviar um único byte, um atacante pode forçar o servidor a alocar milhares de bytes de memória, resultando em um consumo extremo de RAM. Por exemplo, um computador doméstico com conexão de 100 Mbps pode tornar um servidor vulnerável inacessível em poucos segundos. Os testes mostraram que o Envoy e o Apache httpd são os mais afetados, consumindo 32 GB de RAM em cerca de 10 e 18 segundos, respectivamente. Embora algumas plataformas já tenham recebido patches, outras, como IIS e Envoy, ainda não têm correções disponíveis. A recomendação é desativar o HTTP/2 onde possível e implementar proxies ou firewalls que limitem o número de cabeçalhos.

Uma vulnerabilidade crítica de escalonamento de privilégios, identificada como CVE-2026-8206, foi descoberta no plugin Kirki para WordPress, permitindo que hackers assumam qualquer conta de usuário, incluindo as de administradores. A falha, que afeta versões do plugin até a 6.0.6, foi introduzida na versão 6.0.0 e impacta cerca de 40% da base de usuários do plugin, que está ativo em mais de 500 mil sites. A vulnerabilidade se origina da exposição de um endpoint da API REST para redefinição de senhas, onde o plugin aceita um endereço de e-mail arbitrário durante as solicitações de redefinição. Isso permite que atacantes não autenticados gerem links de redefinição de senha para qualquer usuário registrado, enviando-os para e-mails sob seu controle. A empresa de segurança Wordfence bloqueou mais de 222 tentativas de exploração em apenas 24 horas. A correção foi disponibilizada na versão 6.0.7, lançada em 18 de maio de 2026, e é crucial que os administradores de sites atualizem o plugin ou o desativem para evitar comprometimentos. A vulnerabilidade representa um risco significativo, pois, uma vez que um atacante obtenha acesso administrativo, ele pode instalar plugins maliciosos, modificar conteúdos do site e acessar bancos de dados privados.

O Google divulgou em junho de 2026 atualizações de segurança para o Android, abordando 124 vulnerabilidades, incluindo uma falha zero-day (CVE-2025-48595) que está sendo explorada em ataques direcionados. Essa vulnerabilidade de alta severidade permite que atacantes locais executem código e elevem privilégios em dispositivos que rodam Android 14 ou versões posteriores. O Google alertou que a exploração dessa falha pode estar em andamento, embora detalhes técnicos ainda não tenham sido divulgados. Além disso, foram corrigidas 18 vulnerabilidades críticas em componentes do sistema e do framework, que poderiam ser utilizadas para causar negação de serviço e elevação de privilégios. As atualizações de segurança foram lançadas em dois pacotes, com dispositivos Google Pixel recebendo as correções imediatamente, enquanto outros fabricantes podem demorar mais para implementá-las. O Google também revisou seus programas de recompensas por vulnerabilidades, oferecendo até US$ 1,5 milhão por exploits do Android, enquanto reduziu os pagamentos para falhas mais fáceis de serem descobertas com inteligência artificial. A empresa não forneceu mais informações sobre os ataques relacionados à CVE-2025-48595.

Hackers estão explorando uma vulnerabilidade crítica no plugin WP Maps Pro, que permite a criação de contas de administrador sem autenticação. A falha, identificada como CVE-2026-8732, afeta versões 6.1.0 e anteriores do plugin, que é amplamente utilizado para criar mapas interativos em sites de negócios, imobiliárias e turismo. A vulnerabilidade foi descoberta pelo pesquisador de segurança David Brown e se deve a uma funcionalidade de ‘acesso temporário’ que deveria permitir suporte técnico, mas que foi mal implementada, permitindo acesso não autenticado. Isso possibilita que atacantes enviem requisições manipuladas para criar novos usuários com privilégios de administrador, gerando URLs de login sem senha. A empresa de segurança Wordfence já bloqueou mais de 3.600 tentativas de exploração em um único dia. A versão 6.1.1 do WP Maps Pro foi lançada em 20 de maio de 2026, corrigindo a falha. Administradores de sites são aconselhados a atualizar seus plugins imediatamente, dado o aumento da atividade maliciosa.

A proteção de contas do Active Directory (AD) começa com políticas de senha robustas, que devem ser aplicadas de forma consistente em toda a organização. O desafio é encontrar um equilíbrio entre regras muito fracas, que aumentam a superfície de ataque, e regras excessivamente rigorosas, que levam os usuários a encontrar soluções alternativas, como anotar senhas ou reutilizá-las. Uma abordagem recomendada é a adoção de frases-senha em vez de senhas complexas, priorizando o comprimento em vez da complexidade. Além disso, é crucial bloquear a criação de senhas fracas e comprometidas, utilizando ferramentas como o Specops Password Policy, que permite a criação de listas de palavras banidas e a verificação contínua contra credenciais comprometidas. A revisão das políticas de expiração de senhas também é necessária, evitando a exigência de mudanças frequentes sem evidências de comprometimento. Outras práticas recomendadas incluem o uso de gerenciadores de senhas, a implementação de redefinições de senha autônomas e a comunicação clara com os usuários sobre as políticas. Essas estratégias visam não apenas fortalecer a segurança, mas também melhorar a experiência do usuário, reduzindo a carga sobre as equipes de suporte.

A Microsoft lançou a atualização cumulativa opcional KB5089573 para as versões 25H2 e 24H2 do Windows 11, trazendo 30 melhorias focadas em desempenho e confiabilidade. Esta atualização, parte do cronograma de pré-visualização mensal da empresa, não inclui correções de segurança, permitindo que administradores de TI e usuários testem novas funcionalidades antes do Patch Tuesday do próximo mês. Entre as melhorias, destaca-se a aceleração no lançamento de aplicativos e na experiência do shell, como o menu Iniciar e o Centro de Ações. Além disso, a atualização aprimora o comportamento de login nas telas de bloqueio e de login, tornando o Windows Hello o método padrão de autenticação. A confiabilidade do Windows também foi melhorada no File Explorer e nas configurações de temas. A atualização pode ser instalada manualmente pelo Catálogo de Atualizações da Microsoft ou através das configurações do Windows Update. A KB5089573 atualiza os dispositivos para as builds 26200.8524 e 26100.8524, respectivamente, e inclui melhorias como áudio compartilhado e exibição de velocidade da CPU no Gerenciador de Tarefas. A Microsoft também está substituindo certificados Secure Boot que expiram em junho de 2026.

Uma falha de segurança de alta gravidade, agora corrigida, afetou o sistema de gestão de aprendizagem Digital Knowledge KnowledgeDeliver, amplamente utilizado no Japão. A vulnerabilidade, identificada como CVE-2026-5426, possui uma pontuação CVSS de 7.5 e permite a execução remota de código não autenticado através de um ataque de desserialização do ViewState, devido ao uso de chaves de máquina ASP.NET codificadas. A exploração dessa falha possibilitou que um ator malicioso injetasse código malicioso na plataforma, visando infectar usuários que acessavam o site. O ataque resultou na implantação do shell web Godzilla e na execução de comandos que comprometeram o sistema de arquivos do servidor, além de manipulações que induziram os usuários a instalar um plugin de segurança falso, culminando na infecção por Cobalt Strike Beacon. A situação ressalta os riscos associados ao uso de segredos compartilhados em templates de implantação, onde uma única chave vazada pode comprometer múltiplas instâncias do sistema. A implementação de segredos únicos e monitoramento robusto de endpoints é recomendada para prevenir tais ataques.

Uma vulnerabilidade crítica no sistema operacional Linux, identificada como CVE-2026-46333, foi revelada pela Qualys. Essa falha, que existe desde 2016, permite que usuários comuns ou atacantes maliciosos obtenham acesso administrativo em sistemas vulneráveis. A vulnerabilidade afeta distribuições populares como Debian, Ubuntu e Fedora, e ocorre durante um breve intervalo em que um processo privilegiado está encerrando, permitindo que usuários não privilegiados acessem arquivos e conexões abertas. A Qualys demonstrou a exploração da falha em instalações padrão dessas distribuições. A pontuação de severidade da vulnerabilidade é de 5.5/10, considerada média. Os administradores devem aplicar atualizações de segurança imediatamente, e aqueles que não puderem fazê-lo devem aumentar a proteção do sistema. A falha foi reportada à equipe de segurança do kernel do Linux, que lançou um patch rapidamente. É aconselhável que sistemas com usuários locais não confiáveis tratem chaves SSH e credenciais como comprometidas e as rotacionem o mais rápido possível.

Pesquisadores de cibersegurança revelaram uma vulnerabilidade crítica no kernel do Linux, identificada como CVE-2026-46333, que permaneceu oculta por nove anos. Com uma pontuação CVSS de 5.5, a falha se refere a uma gestão inadequada de privilégios, permitindo que usuários locais não privilegiados acessem arquivos sensíveis e executem comandos como root em distribuições populares como Debian, Fedora e Ubuntu. A vulnerabilidade, conhecida como ssh-keysign-pwn, foi descoberta pela Qualys e está relacionada à função __ptrace_may_access() do kernel, introduzida em novembro de 2016. A exploração bem-sucedida pode permitir a divulgação de arquivos críticos, como /etc/shadow e chaves privadas em /etc/ssh/*_key. A Qualys recomenda que as distribuições Linux apliquem atualizações de kernel imediatamente. Caso não seja possível, sugere-se aumentar o parâmetro “kernel.yama.ptrace_scope” para 2 como uma medida temporária. A situação é agravada pela recente divulgação de um exploit de prova de conceito (PoC) para essa vulnerabilidade, o que aumenta a urgência de ações corretivas. Além disso, um exploit chamado PinTheft, que permite a escalada de privilégios locais em sistemas Arch Linux, foi também mencionado, destacando a necessidade de vigilância contínua em relação a falhas de segurança no Linux.

O Drupal divulgou atualizações de segurança para uma vulnerabilidade considerada “altamente crítica” no Drupal Core, identificada como CVE-2026-9082. Essa falha pode ser explorada por atacantes para realizar execução remota de código, escalonamento de privilégios ou divulgação de informações. A vulnerabilidade está relacionada a uma API de abstração de banco de dados utilizada para validar consultas e proteger contra ataques de injeção SQL, afetando especificamente sites que utilizam bancos de dados PostgreSQL. A exploração pode ser realizada por usuários anônimos, o que aumenta o risco. As versões afetadas incluem Drupal 11.3.10, 11.2.12, 11.1.10, 10.6.9, 10.5.10 e 10.4.10, enquanto o Drupal 7 não é impactado. O Drupal também lançou patches manuais para versões 9 e 8, que já atingiram o fim de vida útil. A gravidade da falha justifica a atualização imediata para evitar possíveis ataques, uma vez que versões não suportadas ainda podem conter outras vulnerabilidades conhecidas.

O Japão enfrenta um aumento alarmante de ataques de ursos, com 13 fatalidades e mais de 50 mil avistamentos registrados em 2025. Para lidar com essa situação, a empresa Ohta Seiki, localizada em Hokkaido, lançou o ‘Monster Wolf’, um robô animatrônico projetado para repelir esses animais perigosos. O robô, que custa cerca de US$ 4.000, possui uma estrutura de tubo coberta com pelagem artificial, olhos LED vermelhos e emite mais de 50 tipos de sons, incluindo vozes humanas e rosnados, que podem ser ouvidos a até um quilômetro de distância. A demanda pelo Monster Wolf disparou, com a empresa recebendo cerca de 50 pedidos em um ano, superando sua capacidade de produção habitual. O robô é ativado por um sensor infravermelho que detecta a presença de animais selvagens, acionando seus sons e movimentos. A Ohta Seiki planeja aprimorar o dispositivo, tornando-o autônomo e desenvolvendo uma versão portátil para uso em áreas rurais. Apesar de sua aparência assustadora, o robô se tornou uma solução viável para comunidades que enfrentam ataques de ursos, que estão se tornando cada vez mais frequentes.

O Drupal, um sistema de gerenciamento de conteúdo amplamente utilizado por grandes organizações, incluindo setores governamentais, educacionais e de saúde, anunciou uma atualização de segurança crucial programada para hoje. A equipe de segurança do Drupal alertou que, após a divulgação da vulnerabilidade, é provável que atacantes desenvolvam exploits em questão de horas. Administradores de sites que utilizam as versões 8 ou 9 do Drupal são fortemente aconselhados a atualizar para pelo menos a versão 10.6. A vulnerabilidade afeta o núcleo do Drupal a partir da versão 8, embora nem todas as configurações sejam impactadas. Atualizações de segurança estarão disponíveis para várias versões, incluindo as 11.3.x, 10.6.x e outras, com correções também sendo fornecidas para versões não suportadas devido à gravidade do problema. É importante ressaltar que as versões 8 e 9 não receberão patches, mas arquivos de correção serão disponibilizados para versões específicas. Os administradores devem monitorar o portal de segurança oficial do Drupal para mais informações e aplicar as atualizações assim que estiverem disponíveis, mantendo cautela em relação a informações fraudulentas que possam circular online.

Uma nova vulnerabilidade de escalonamento de privilégios no Linux, chamada PinTheft, foi recentemente corrigida, mas agora possui um exploit de prova de conceito (PoC) disponível publicamente. Essa falha, que afeta o kernel Linux, especificamente o módulo RDS (Reliable Datagram Sockets), permite que atacantes locais obtenham privilégios de root em sistemas Arch Linux. O exploit se aproveita de um erro no caminho de envio zerocopy do RDS, onde páginas de usuário são ‘pinned’ uma a uma. Se ocorrer uma falha de página, as páginas já ‘pinned’ são descartadas, permitindo que referências sejam roubadas. Para que a exploração seja bem-sucedida, o módulo RDS deve estar carregado, o que é padrão apenas no Arch Linux entre as distribuições mais comuns. Os usuários são aconselhados a instalar as atualizações do kernel imediatamente, mas uma mitigação temporária também foi sugerida. Essa vulnerabilidade se junta a uma série de outras falhas de escalonamento de privilégios que foram reveladas recentemente, algumas das quais estão sendo ativamente exploradas por agentes de ameaças. A situação é crítica, especialmente para usuários de distribuições Linux afetadas, que devem agir rapidamente para proteger seus sistemas.

O Drupal, um sistema de gerenciamento de conteúdo amplamente utilizado, alertou sobre uma atualização de segurança crítica programada para o dia 20 de maio de 2026, entre 17h e 21h UTC. A equipe de segurança do Drupal recomenda que os administradores reservem tempo para aplicar as atualizações, pois vulnerabilidades podem ser exploradas rapidamente após o anúncio. Embora a natureza exata da vulnerabilidade ainda não tenha sido divulgada, a gravidade é sugerida pela liberação de patches para versões de núcleo que já estão fora de suporte. Para sites que utilizam versões suportadas, como Drupal 11.1 ou 10.4, é aconselhável atualizar para as versões 11.1.9 e 10.4.9, respectivamente, antes da janela de atualização. Para aqueles que ainda utilizam versões obsoletas, como Drupal 8 e 9, a aplicação manual de patches será necessária, embora não haja garantia de que esses patches funcionem corretamente. O Drupal 7 não é afetado por essa vulnerabilidade. A atualização é crucial para mitigar riscos de segurança, especialmente em um cenário onde a conformidade com a LGPD é uma preocupação crescente.

Um novo código de exploração de prova de conceito (PoC) foi liberado para uma vulnerabilidade recentemente corrigida no kernel Linux, conhecida como DirtyDecrypt (ou DirtyCBC). Descoberta pela equipe de segurança Zellic e V12 em 9 de maio de 2026, a falha permite a escalada de privilégios locais (LPE) devido à ausência de uma proteção de copy-on-write (COW) na função rxgk_decrypt_skb. Essa vulnerabilidade, identificada como CVE-2026-31635, possui uma pontuação CVSS de 7.5 e afeta distribuições como Fedora, Arch Linux e openSUSE Tumbleweed. A falha permite que dados sejam escritos na memória de processos privilegiados, potencialmente comprometendo arquivos sensíveis como /etc/shadow e /etc/sudoers. Além disso, a vulnerabilidade é considerada uma variante de outras falhas que também permitem acesso root em sistemas vulneráveis. Em resposta a uma série de vulnerabilidades críticas, desenvolvedores do kernel Linux estão considerando a implementação de um “killswitch” para desativar funções vulneráveis até que correções adequadas sejam disponibilizadas. O Rocky Linux introduziu um repositório de segurança opcional para fornecer correções urgentes rapidamente, destacando a necessidade de uma resposta ágil a vulnerabilidades críticas.

Uma nova variante da vulnerabilidade Dirty Frag, chamada Fragnesia, foi identificada no núcleo do Linux, permitindo que atacantes locais não privilegiados obtenham acesso root. Classificada como CVE-2026-46300, a vulnerabilidade apresenta um CVSS de 7.8 e está relacionada ao subsistema XFRM ESP-in-TCP do kernel. Descoberta por William Bowling da equipe de segurança V12, a falha permite a modificação de conteúdos de arquivos somente leitura na cache de página do kernel, utilizando uma lógica defeituosa que não requer condições de corrida. A Fragnesia é semelhante a outras vulnerabilidades recentes, como Copy Fail e Dirty Frag, e já possui um exploit de prova de conceito disponível. Várias distribuições Linux, incluindo Amazon Linux e Red Hat Enterprise Linux, emitiram avisos sobre a necessidade de aplicar patches. Embora não tenha sido observada exploração ativa até o momento, especialistas recomendam que usuários e organizações apliquem as correções imediatamente. Medidas de mitigação incluem desabilitar funcionalidades relacionadas ao IPsec e aumentar a vigilância sobre atividades anormais de escalonamento de privilégios.

A Microsoft anunciou a resolução de um problema que fazia com que alguns sistemas Windows 11 entrassem no modo de recuperação do BitLocker após a instalação das atualizações de segurança de abril de 2026. O BitLocker é um recurso de segurança que criptografa unidades de armazenamento para proteger dados contra roubo. O problema, que também afetou dispositivos com Windows 10 e Windows Server, foi reconhecido pela Microsoft em 14 de abril e estava relacionado a uma configuração de Política de Grupo do BitLocker considerada ’não recomendada’. A empresa informou que, após a instalação da atualização, alguns dispositivos poderiam exigir a chave de recuperação do BitLocker no primeiro reinício. A correção foi disponibilizada apenas para sistemas Windows 11 25H2, enquanto os usuários de Windows 10 e Windows Server ainda aguardam uma solução. A Microsoft aconselhou administradores de TI a remover a configuração de Política de Grupo que poderia causar o problema antes de aplicar as atualizações de abril de 2026. Este incidente destaca a importância de manter as configurações de segurança adequadas para evitar interrupções no acesso a dados críticos.

Na última terça-feira, a Microsoft lançou atualizações para 138 vulnerabilidades de segurança em seu portfólio de produtos. Dentre essas falhas, 30 foram classificadas como Críticas e 104 como Importantes. A maioria das vulnerabilidades está relacionada a elevações de privilégio e execução remota de código. Um dos destaques é a CVE-2026-41096, uma falha de buffer overflow que pode permitir que atacantes não autorizados executem código remotamente em sistemas Windows. Além disso, a Microsoft corrigiu vulnerabilidades críticas em serviços como Azure DevOps e Microsoft Dynamics 365, que podem expor informações sensíveis e permitir a execução de código malicioso. A empresa também enfatizou a importância de atualizar os certificados de Secure Boot antes da expiração em junho de 2026, para evitar falhas de segurança. A crescente descoberta de vulnerabilidades, impulsionada por abordagens de inteligência artificial, sugere que o volume de correções deve aumentar nos próximos meses. Com mais de 500 CVEs corrigidos em 2026 até agora, a situação exige atenção constante das organizações para mitigar riscos potenciais.

O Android 17, previsto para ser lançado no próximo mês, introduzirá várias funcionalidades de segurança e privacidade, focando em roubo de dispositivos, detecção de ameaças e chamadas fraudulentas relacionadas a bancos. A Google ampliará as proteções contra golpistas que falsificam IDs de chamadas para se passar por instituições financeiras, ajudando a evitar que usuários transfiram dinheiro ou revelem informações sensíveis. O sistema operacional trabalhará em conjunto com aplicativos bancários para detectar chamadas fraudulentas e encerrar automaticamente a conexão quando um golpe for identificado. Além disso, a detecção de ameaças em tempo real será aprimorada para identificar técnicas de abuso adicionais, como o uso indevido de encaminhamento de SMS e sobreposições de acessibilidade ocultas. Para aumentar a proteção contra roubo, a nova funcionalidade ‘Marcar como perdido’ permitirá bloquear o dispositivo com autenticação biométrica, impedindo que ladrões desativem o rastreamento do aparelho. Outras melhorias incluem a verificação de autenticidade de chamadas, escaneamento de APKs para malware e compartilhamento temporário de localização precisa. Embora algumas funcionalidades sejam lançadas inicialmente em dispositivos Pixel, a Google promete disponibilizá-las para versões do Android 11 em diante.

A SAP lançou atualizações de segurança em maio de 2026 que corrigem 15 vulnerabilidades em diversos produtos, incluindo duas falhas críticas no Commerce Cloud e no S/4HANA. A primeira falha crítica, identificada como CVE-2026-34263, permite que atacantes não autenticados executem código em servidores vulneráveis devido a uma configuração inadequada do Spring Security. Isso pode resultar em uma execução arbitrária de código, comprometendo a confidencialidade, integridade e disponibilidade da aplicação. A segunda vulnerabilidade crítica, CVE-2026-34260, permite que atacantes com privilégios básicos injetem comandos SQL maliciosos, o que pode levar ao acesso não autorizado a informações sensíveis do banco de dados e até mesmo à queda da aplicação. Além dessas falhas críticas, a SAP também corrigiu uma falha de alta severidade e 11 problemas de severidade média, incluindo injeção de comandos e XSS. Embora a SAP não tenha encontrado evidências de exploração ativa dessas vulnerabilidades, a CISA já adicionou 14 falhas de segurança da SAP ao seu catálogo de vulnerabilidades conhecidas exploradas. A empresa, que é a maior fornecedora de software empresarial do mundo, atende a 99 das 100 maiores empresas globais, destacando a importância de uma resposta rápida a essas vulnerabilidades.

A Checkmarx alertou sobre a publicação de uma versão comprometida de seu plugin Jenkins Application Security Testing (AST) no Jenkins Marketplace, atribuída ao grupo hacker TeamPCP. Este incidente faz parte de uma série de ataques à cadeia de suprimentos, que também afetaram outras ferramentas como npm e Trivy. O plugin AST da Checkmarx é amplamente utilizado para integrar a segurança em pipelines automatizados de desenvolvimento. Os hackers conseguiram acessar os repositórios do GitHub da Checkmarx e injetar código malicioso, utilizando credenciais obtidas em um ataque anterior ao Trivy. A Checkmarx confirmou que a versão maliciosa do plugin foi publicada fora do pipeline oficial e não seguiu os padrões de versionamento adequados. A empresa recomendou que os usuários verifiquem se estão utilizando a versão correta do plugin e alertou que aqueles que baixaram a versão comprometida devem considerar suas credenciais como comprometidas e realizar uma rotação de segredos. A Checkmarx também disponibilizou indicadores de comprometimento (IoCs) para ajudar na detecção de possíveis infecções em ambientes de desenvolvimento.

O cPanel anunciou a liberação de atualizações para corrigir três vulnerabilidades significativas em seu software e no Web Host Manager (WHM). As falhas, identificadas como CVE-2026-29201, CVE-2026-29202 e CVE-2026-29203, podem ser exploradas para escalonamento de privilégios, execução de código e negação de serviço. A primeira vulnerabilidade (CVE-2026-29201) apresenta uma pontuação CVSS de 4.3 e envolve uma validação insuficiente de entrada, permitindo a leitura de arquivos arbitrários. As outras duas falhas (CVE-2026-29202 e CVE-2026-29203) têm uma pontuação CVSS de 8.8 e permitem a execução de código Perl arbitrário e a manipulação de permissões de arquivos, respectivamente, o que pode levar a negação de serviço ou escalonamento de privilégios. As versões afetadas incluem cPanel e WHM a partir de 11.136.0.9 e outras versões anteriores. Embora não haja evidências de exploração ativa, a divulgação ocorre após a identificação de outra falha crítica que foi utilizada por agentes de ameaças. Os usuários são aconselhados a atualizar para as versões mais recentes para garantir a proteção adequada.

O GrapheneOS, uma distribuição alternativa do Android focada em privacidade, lançou uma atualização para corrigir uma falha de segurança no Android 16, que permite que aplicativos comuns vazem dados fora de um túnel VPN ativo. Essa vulnerabilidade, conhecida como ‘Tiny UDP Cannon’, foi descoberta por um pesquisador de segurança e classificada pela equipe de segurança do Android do Google como ‘Não será corrigida’. O problema reside em uma funcionalidade do Android que não verifica se um aplicativo deve estar restrito a uma conexão VPN, permitindo que dados sejam enviados pela conexão padrão de internet. Embora a exploração exija que um aplicativo malicioso já esteja instalado no dispositivo, a falha representa um risco significativo para usuários que dependem de configurações de privacidade rigorosas, como o ‘Always-On VPN’. O GrapheneOS desativou a funcionalidade vulnerável, eliminando a superfície de ataque, mas isso pode resultar em uma leve perda de eficiência na rede. Para usuários do Android padrão, a solução temporária envolve desativar a função manualmente, mas isso não é permanente. A situação destaca a importância de manter aplicativos atualizados e de usar VPNs confiáveis, mesmo com a vulnerabilidade existente.

Pesquisadores da Zimperium identificaram quatro campanhas de trojans bancários para Android, denominadas RecruitRat, SaferRat, Astrinox e Massiv, que visam mais de 800 aplicativos financeiros e de redes sociais. Esses malwares utilizam técnicas de engano e furtividade, como ocultar ícones de aplicativos e sobrepor telas falsas de login, para roubar credenciais financeiras dos usuários. Os atacantes direcionam as vítimas a sites falsos que imitam portais de emprego ou serviços de streaming, levando-as a instalar software malicioso. Uma vez instalado, o malware solicita permissões de acessibilidade, permitindo monitorar ações e capturar informações sem o conhecimento do usuário. Além disso, algumas variantes conseguem se esconder completamente, dificultando a remoção. Os ataques também incluem a transmissão ao vivo da tela do dispositivo para os servidores dos atacantes, permitindo a interceptação em tempo real das etapas de autenticação. A complexidade das técnicas de instalação e a evolução dos métodos de evasão tornam a detecção por ferramentas de segurança tradicionais cada vez mais difícil.

A Cisco lançou atualizações de segurança para corrigir uma vulnerabilidade de negação de serviço (DoS) nos sistemas Crosswork Network Controller (CNC) e Network Services Orchestrator (NSO). Essa falha, identificada como CVE-2026-20188, é considerada de alta severidade e resulta de uma limitação inadequada na taxa de conexões de rede recebidas. A vulnerabilidade pode ser explorada remotamente por agentes de ameaça não autenticados, levando à interrupção dos sistemas CNC e NSO não corrigidos. A exploração bem-sucedida pode esgotar os recursos de conexão disponíveis, tornando os sistemas inoperantes e exigindo um reinício manual para recuperação. A Cisco recomenda fortemente que os clientes atualizem para as versões corrigidas mencionadas em seu aviso. Embora a CVE-2026-20188 ainda não tenha sido explorada ativamente, a empresa já enfrentou outras vulnerabilidades de DoS que foram utilizadas em ataques. A situação destaca a importância de manter os sistemas atualizados para evitar possíveis interrupções nos serviços e garantir a continuidade das operações.

Uma vulnerabilidade crítica foi identificada na biblioteca de sandboxing vm2, amplamente utilizada no Node.js, permitindo que atacantes escapem do ambiente seguro e executem código arbitrário no sistema host. A falha, identificada como CVE-2026-26956, afeta a versão 3.10.4 do vm2, embora versões anteriores também possam estar vulneráveis. O problema ocorre em ambientes que utilizam Node.js 25 com suporte a tratamento de exceções do WebAssembly e JSTag. A biblioteca vm2 é projetada para executar código JavaScript não confiável em um ambiente restrito, mas a manipulação inadequada de exceções permite que objetos de erro do host sejam injetados de volta no sandbox, possibilitando o acesso a APIs sensíveis do Node.js, como o objeto process. O mantenedor da biblioteca recomenda que os usuários atualizem para a versão 3.10.5 ou superior para mitigar os riscos. Essa não é a primeira vez que o vm2 enfrenta problemas de segurança, refletindo os desafios de isolar código não confiável em ambientes JavaScript. Com mais de 1,3 milhão de downloads semanais, a vulnerabilidade representa um risco significativo para plataformas que dependem dessa biblioteca.

Pesquisadores de segurança da Cisco Talos identificaram uma nova variante do trojan de acesso remoto (RAT) CloudZ, que utiliza um plugin chamado Pheno para explorar a ferramenta Microsoft Phone Link. Essa ferramenta permite que usuários conectem seus dispositivos Android e iOS aos computadores com Windows 10 e 11, facilitando a realização de chamadas e o envio de mensagens. No entanto, o plugin Pheno permite que atacantes interceptem mensagens SMS e senhas temporárias (OTPs) sem precisar comprometer o telefone. Ao monitorar sessões ativas do Phone Link, o malware acessa um banco de dados local que armazena essas informações, comprometendo assim a autenticação de dois fatores (2FA). Os pesquisadores alertam que, embora o Phone Link seja uma funcionalidade útil, sua exploração pode levar a sérias vulnerabilidades de segurança. Eles recomendam que os usuários evitem serviços de OTP baseados em SMS e optem por aplicativos de autenticação que não dependam de notificações interceptáveis. A Cisco Talos ainda não conseguiu determinar como os usuários foram infectados, mas enfatiza a necessidade de precauções adicionais para proteger informações sensíveis.

A Microsoft confirmou que as atualizações de segurança de abril de 2026 estão causando falhas em aplicativos de backup de terceiros que utilizam o driver psmounterex.sys. Este problema afeta softwares que utilizam o Volume Shadow Copy Service (VSS) para criar snapshots, resultando em erros e timeouts durante o processo de backup. Produtos de empresas como Macrium, Acronis, UrBackup Server e NinjaOne Backup, que operam em dispositivos com Windows 10, Windows 11 e Windows Server, estão entre os impactados. A atualização de abril incluiu uma mudança de segurança que adicionou o psmounterex.sys à lista de drivers vulneráveis, visando proteger os usuários contra uma vulnerabilidade de buffer overflow (CVE-2023-43896) que poderia permitir a escalada de privilégios ou execução de código arbitrário. A Microsoft recomenda que os usuários afetados atualizem seus aplicativos para versões mais recentes que utilizem drivers atualizados e seguros. Os administradores de TI podem observar comportamentos como falhas ao montar arquivos de imagem de backup e mensagens de erro relacionadas ao VSS. A empresa também alertou que alguns dispositivos com Windows Server 2025 podem entrar no modo de recuperação do BitLocker após a instalação de uma atualização específica.

A Amnezia VPN lançou a versão 4.8.15 de seu aplicativo, que inclui correções de bugs, um patch de segurança crucial e novas funcionalidades. O destaque dessa atualização é a correção de uma vulnerabilidade severa no módulo tun2socks, que poderia permitir que spyware em dispositivos de usuários se conectasse ao proxy do cliente VPN sem permissão, expondo endereços IP e comprometendo a privacidade. Essa falha não afetava apenas a Amnezia, mas também outros provedores de VPN. Além do patch de segurança, a atualização traz melhorias na experiência do usuário, como a introdução de tunelamento dividido para o protocolo VLESS no iOS, permitindo que os usuários escolham quais aplicativos utilizam a conexão VPN e quais se conectam diretamente à internet. A gestão de assinaturas também foi simplificada, permitindo renovações diretas pelo aplicativo. Com essas melhorias, a Amnezia VPN demonstra seu compromisso em aprimorar a segurança e a usabilidade de sua plataforma, respondendo às crescentes demandas por privacidade digital.

Uma nova vulnerabilidade no cPanel, identificada como CVE-2026-41940, está sendo amplamente explorada em ataques de ransomware conhecidos como ‘Sorry’. Recentemente, uma atualização de emergência foi lançada para corrigir uma falha crítica de bypass de autenticação que permite que atacantes acessem painéis de controle. O cPanel e o WHM são painéis de controle de hospedagem web baseados em Linux, sendo o WHM responsável pelo controle do servidor e o cPanel pelo acesso ao backend do site. Desde o final de fevereiro, tentativas de exploração dessa falha têm sido registradas, e a Shadowserver reportou que pelo menos 44.000 endereços IP executando cPanel foram comprometidos. Os hackers estão utilizando um criptografador Linux baseado em Go para implementar o ransomware ‘Sorry’, que adiciona a extensão ‘.sorry’ a todos os arquivos criptografados. O ransomware utiliza o cifrador de fluxo ChaCha20 e a chave de criptografia é protegida por uma chave pública RSA-2048. Para reverter a criptografia, é necessário obter a chave privada correspondente. Os usuários do cPanel e WHM são aconselhados a instalar as atualizações de segurança imediatamente para proteger seus sites contra esses ataques e roubo de dados.

A Microsoft anunciou a correção de um problema conhecido que afetava a exibição de avisos de segurança ao abrir arquivos de Conexão de Área de Trabalho Remota (.rdp) em sistemas Windows. Essa falha impactava todas as versões suportadas do Windows, incluindo Windows 11 e Windows 10, especialmente em dispositivos com múltiplos monitores e diferentes configurações de escala de exibição. A correção foi incluída na atualização cumulativa opcional KB5083631, liberada recentemente, que também trouxe outras 34 alterações. Os avisos de segurança foram introduzidos nas atualizações cumulativas de abril de 2026 para desativar recursos compartilhados arriscados por padrão, como uma medida contra ataques de phishing que abusam dos arquivos .rdp. Os usuários relataram que, após a instalação da atualização de segurança KB5083769, alguns aplicativos de backup de terceiros também apresentaram falhas devido a um tempo limite no Serviço de Cópia de Sombra de Volume (VSS). A Microsoft já havia liberado atualizações fora do ciclo regular para corrigir problemas que causavam loops de reinicialização e falhas na instalação de atualizações em servidores Windows. Essa situação destaca a importância de manter os sistemas atualizados e monitorar as atualizações de segurança para evitar vulnerabilidades.

A Microsoft lançou a atualização cumulativa opcional KB5083631 para o Windows 11, que inclui 34 alterações significativas, como um novo modo Xbox para PCs, melhorias de segurança e desempenho para arquivos em lote, e otimizações no lançamento de aplicativos de inicialização. Esta atualização é uma prévia que permite que administradores testem correções de bugs e novas funcionalidades antes do lançamento oficial no próximo Patch Tuesday. Entre as melhorias, destaca-se o modo Xbox, que oferece uma interface em tela cheia para jogos, minimizando distrações. Além disso, a atualização aprimora a segurança e o desempenho de scripts CMD e arquivos em lote, introduzindo um modo de processamento mais seguro que impede alterações durante a execução. A instalação pode ser feita através das Configurações do Windows, mas é necessário optar pelo download manual, já que se trata de uma atualização opcional. A atualização também traz melhorias na autenticação Kerberos e no registro de eventos relacionados a vulnerabilidades específicas. Vale ressaltar que a Microsoft está substituindo certificados de Secure Boot que expiram em junho de 2026, o que pode impactar dispositivos que não receberem as atualizações necessárias.

Uma nova vulnerabilidade de escalonamento de privilégios local, chamada ‘Copy Fail’ e identificada como CVE-2026-31431, afeta kernels do Linux lançados desde 2017. Descoberta pela empresa de segurança Theori, a falha permite que um atacante local não privilegiado obtenha permissões de root. A vulnerabilidade foi encontrada após uma varredura de uma hora no subsistema criptográfico do Linux utilizando a plataforma de pentesting Xint Code. A falha é causada por um erro lógico no template criptográfico do kernel, que permite a escrita controlada de 4 bytes na cache de página de qualquer arquivo legível. Isso pode alterar o comportamento de binários setuid-root, concedendo privilégios de root ao atacante. A Theori desenvolveu um exploit em Python que funciona em várias distribuições Linux, incluindo Ubuntu, Amazon Linux, RHEL e SUSE. A correção foi disponibilizada rapidamente, revertendo uma otimização problemática introduzida em 2017. Embora as distribuições principais estejam implementando as correções, ainda não há atualizações oficiais para algumas versões. Como mitigação temporária, recomenda-se desabilitar a interface criptográfica vulnerável. A vulnerabilidade é considerada mais prática e portátil do que outras falhas similares, como a ‘Dirty Pipe’.

A atualização de segurança KB5083769, lançada em abril de 2026, está causando falhas em aplicativos de backup de terceiros em sistemas operacionais Windows 11 24H2 e 25H2. O problema, identificado inicialmente pela MVP da Microsoft, Susan Bradley, afeta softwares que utilizam o Volume Shadow Copy Service (VSS), resultando em timeouts do serviço VSS durante a criação de snapshots. O VSS, introduzido no Windows Server 2003, é crucial para a operação conjunta do sistema operacional, softwares de backup e aplicativos empresariais como SQL Server e Exchange. Entre os softwares impactados estão Acronis Cyber Protect Cloud, Macrium Reflect, NinjaOne Backup e UrBackup Server. A Acronis confirmou que a atualização causa erros de backup, especificamente a mensagem “O backup falhou porque o VSS da Microsoft excedeu o tempo limite durante a criação do snapshot”. Como solução temporária, os usuários afetados são orientados a desinstalar a atualização KB5083769 e pausar as atualizações do Windows. A Microsoft ainda não se pronunciou oficialmente sobre o problema. Além disso, a empresa lançou atualizações de emergência para corrigir problemas em sistemas Windows Server que resultaram em loops de reinicialização após a instalação das atualizações de abril de 2026.

O cPanel lançou atualizações de segurança para corrigir uma vulnerabilidade que afeta diversos caminhos de autenticação, permitindo que atacantes possam obter acesso não autorizado ao software do painel de controle. Essa falha impacta todas as versões atualmente suportadas do cPanel. As versões corrigidas incluem 11.110.0.97, 11.118.0.63, 11.126.0.54, 11.132.0.29 e 11.134.0.20. A empresa Namecheap, que fornece serviços de hospedagem e registro de domínios, revelou que a vulnerabilidade está relacionada a um exploit de login que pode permitir acesso não autorizado ao painel de controle. Como medida de precaução, a Namecheap implementou uma regra de firewall para bloquear o acesso às portas TCP 2083 e 2087, restringindo temporariamente o acesso dos clientes às interfaces do cPanel e WHM até que um patch completo seja aplicado. A equipe da Namecheap está monitorando a situação e aplicará o patch oficial em todos os servidores suportados assim que estiver disponível. Até o momento, a correção foi aplicada em servidores Reseller e Stellar Business.

A Microsoft confirmou um novo problema que afeta os avisos de segurança do Windows ao abrir arquivos de Conexão de Área de Trabalho Remota (.rdp). Essa questão impacta todas as versões suportadas do Windows, incluindo Windows 11 e Windows 10, e ocorre quando os usuários utilizam mais de um monitor com diferentes configurações de escala de exibição. Os avisos de segurança podem apresentar texto sobreposto e botões mal posicionados, dificultando a leitura e a interação. Essa falha foi introduzida nas atualizações cumulativas de abril de 2026, que visam proteger os usuários contra arquivos RDP maliciosos. Os arquivos RDP são frequentemente utilizados em ambientes corporativos para conectar-se a sistemas remotos, mas têm sido alvo de abusos em campanhas de phishing. A Microsoft recomenda que os usuários verifiquem a legitimidade dos arquivos RDP, especialmente aqueles que não estão digitalmente assinados, pois podem representar riscos de segurança. A situação exige atenção, pois a falha pode impactar a segurança das conexões remotas em empresas, especialmente em um cenário onde ataques cibernéticos estão em ascensão.

Uma nova vulnerabilidade, chamada Pack2TheRoot, foi identificada no daemon PackageKit, permitindo que usuários locais do Linux instalem ou removam pacotes do sistema e adquiram permissões de root. Classificada como CVE-2026-41651, a falha possui uma severidade alta, com nota de 8.8 em 10, e está presente no PackageKit há quase 12 anos. A vulnerabilidade foi descoberta pela equipe de segurança da Deutsche Telekom e afeta diversas distribuições Linux, incluindo Ubuntu, Debian e Fedora. A falha permite que comandos como ‘pkcon install’ sejam executados sem autenticação em certas condições, o que possibilita a instalação de pacotes de sistema sem permissão adequada. A versão 1.3.5 do PackageKit, que corrige essa falha, já está disponível, e os usuários são aconselhados a atualizá-la imediatamente. A vulnerabilidade pode ser explorada em várias distribuições que utilizam o PackageKit, e a falta de um patch pode deixar os sistemas vulneráveis a ataques. A equipe de pesquisa também observou que a exploração pode causar falhas no daemon, resultando em registros de erro que podem ser monitorados. Portanto, é crucial que os administradores de sistemas verifiquem suas versões do PackageKit e apliquem as atualizações necessárias.

Hackers estão explorando ativamente uma vulnerabilidade crítica no plugin Breeze Cache para WordPress, que permite o upload de arquivos arbitrários no servidor sem autenticação. A falha, identificada como CVE-2026-3844, já foi utilizada em mais de 170 tentativas de exploração, conforme relatado pela solução de segurança Wordfence. O plugin, desenvolvido pela Cloudways, possui mais de 400 mil instalações ativas e é projetado para melhorar o desempenho do site através de cache e otimização de arquivos. A vulnerabilidade recebeu uma pontuação de severidade crítica de 9.8 em 10 e foi descoberta pelo pesquisador de segurança Hung Nguyen. O problema se origina da falta de validação do tipo de arquivo na função ‘fetch_gravatar_from_remote’, permitindo que um atacante não autenticado faça o upload de arquivos, o que pode levar à execução remota de código e à tomada total do site. A exploração bem-sucedida só é possível se o complemento ‘Host Files Locally - Gravatars’ estiver ativado, o que não é a configuração padrão. A Cloudways corrigiu a falha na versão 2.4.5, lançada recentemente. Os administradores de sites que utilizam o Breeze Cache devem atualizar para a versão mais recente ou desativar temporariamente o plugin para evitar riscos.

A Apple lançou atualizações de segurança fora do ciclo regular para corrigir uma falha nos serviços de notificação em dispositivos iPhone e iPad. A vulnerabilidade, identificada como CVE-2026-28950, permitia que notificações marcadas para exclusão permanecessem armazenadas no dispositivo. As correções foram implementadas nas versões iOS 26.4.2, iPadOS 26.4.2, iOS 18.7.8 e iPadOS 18.7.8, disponibilizadas em 22 de abril de 2026. O boletim de segurança da Apple indica que a falha foi resolvida por meio de uma melhoria na redação de dados, mas não fornece detalhes adicionais sobre a exploração da vulnerabilidade ou o motivo da atualização emergencial. O caso se torna ainda mais relevante à luz de um incidente recente em que o FBI recuperou mensagens do aplicativo Signal de um iPhone, mesmo após a exclusão, sugerindo que os dados de notificação poderiam ser retidos. A Apple recomenda que os usuários instalem as atualizações o mais rápido possível para evitar a retenção inesperada de dados de notificações excluídas. Além disso, os usuários podem ajustar as configurações do Signal para minimizar a retenção de conteúdo de mensagens nas notificações do iOS.

A Microsoft divulgou atualizações de segurança fora do ciclo regular para corrigir uma vulnerabilidade crítica de escalonamento de privilégios no ASP.NET Core, identificada como CVE-2026-40372. Essa falha, encontrada nas APIs criptográficas de Proteção de Dados do ASP.NET Core, permite que atacantes não autenticados obtenham privilégios de sistema em dispositivos afetados ao forjar cookies de autenticação. A vulnerabilidade foi descoberta após relatos de usuários sobre falhas de descriptografia em suas aplicações após a atualização do .NET 10.0.6. A Microsoft alertou que um erro na validação de HMAC pode permitir que um atacante crie cargas úteis que passem nas verificações de autenticidade do DataProtection, possibilitando a descriptografia de dados anteriormente protegidos. Caso um atacante tenha se autenticado como um usuário privilegiado durante a janela vulnerável, ele poderia ter recebido tokens legítimos, que permanecem válidos mesmo após a atualização para a versão 10.0.7, a menos que a chave de proteção de dados seja rotacionada. A empresa recomenda que todos os clientes atualizem o pacote Microsoft.AspNetCore.DataProtection para a versão 10.0.7 o mais rápido possível e reimplantem suas aplicações para corrigir a rotina de validação. Além disso, a Microsoft também abordou uma vulnerabilidade de ‘smuggling’ de requisições HTTP em seu servidor web Kestrel, destacando a importância de manter os sistemas atualizados.