Vulnerabilidade

Cibercriminosos estão aproveitando uma vulnerabilidade crítica em roteadores D-Link de gateway DSL que não recebem suporte há anos. A falha, identificada como CVE-2026-0625, afeta o endpoint dnscfg.cgi devido à má sanitização em uma biblioteca CGI, permitindo a execução remota de códigos maliciosos. Os modelos afetados incluem DSL-526B, DSL-2640B, DSL-2740R e DSL-2780B, todos considerados ’end-of-life’ desde 2020, o que significa que não receberão mais atualizações de firmware ou patches de segurança. A D-Link recomenda que os usuários desses dispositivos os substituam por modelos mais novos. A empresa ainda investiga se outros produtos podem ser impactados pela falha. Embora não se saiba quais hackers estão explorando a vulnerabilidade, a maioria das configurações permite apenas acesso LAN a interfaces administrativas. A exploração da falha pode ocorrer através de ataques baseados em navegador ou mirando dispositivos configurados para administração remota. A situação é preocupante, pois a falta de suporte para esses dispositivos pode expor redes a riscos significativos.

A Cisco lançou atualizações para corrigir uma vulnerabilidade de segurança de média gravidade no Identity Services Engine (ISE) e no ISE Passive Identity Connector (ISE-PIC), identificada como CVE-2026-20029, com uma pontuação CVSS de 4.9. Essa falha está relacionada ao recurso de licenciamento e pode permitir que um atacante remoto autenticado com privilégios administrativos acesse informações sensíveis. A vulnerabilidade decorre de uma análise inadequada de XML processada pela interface de gerenciamento baseada na web do Cisco ISE e do ISE-PIC. Um atacante poderia explorar essa falha ao fazer o upload de um arquivo malicioso para a aplicação, possibilitando a leitura de arquivos arbitrários do sistema operacional subjacente, o que deveria ser restrito até mesmo para administradores. A Cisco informou que não há soluções alternativas e que está ciente da disponibilidade de um código de prova de conceito (PoC) para a exploração da falha, embora não haja indícios de que tenha sido explorada ativamente. Além disso, a empresa também corrigiu outras duas vulnerabilidades de média gravidade relacionadas ao processamento de solicitações DCE/RPC, que poderiam permitir que um atacante remoto não autenticado causasse vazamento de informações ou reiniciasse o mecanismo de detecção Snort 3, afetando a disponibilidade.

O WhatsApp, um dos aplicativos de comunicação mais populares do mundo, corrigiu recentemente uma vulnerabilidade relacionada ao fingerprinting, que permitia a cibercriminosos identificar o dispositivo utilizado pelos usuários. Apesar da criptografia de ponta a ponta (E2EE) que protege a comunicação, falhas no design do aplicativo possibilitavam que hackers descobrissem informações sensíveis, como o sistema operacional do dispositivo. A correção foi implementada de forma silenciosa e incompleta, afetando inicialmente apenas a lógica de encriptação no Android, que agora se tornou randômica, dificultando a identificação do dispositivo. No entanto, outras plataformas ainda não receberam atualizações semelhantes, o que mantém a possibilidade de identificação. Pesquisadores de segurança, como Tal Be’ery, já haviam alertado sobre essa falha anteriormente, mas a Meta, empresa responsável pelo WhatsApp, não reconheceu a gravidade do problema. A falta de transparência e reconhecimento por parte da empresa em relação aos pesquisadores que reportaram a vulnerabilidade levanta preocupações sobre a privacidade dos usuários e a responsabilidade da plataforma em garantir a segurança de seus dados.

A plataforma de automação de fluxo de trabalho de código aberto n8n alertou sobre uma vulnerabilidade de segurança de alta severidade, identificada como CVE-2026-21877, que pode permitir a execução remota de código (RCE) por usuários autenticados. Avaliada com a pontuação máxima de 10.0 no sistema CVSS, a falha pode resultar na total comprometimento da instância afetada. Tanto as implementações auto-hospedadas quanto as instâncias na nuvem da n8n estão vulneráveis. A vulnerabilidade foi corrigida na versão 1.121.3, lançada em novembro de 2025, e os usuários são aconselhados a atualizar imediatamente. Caso a atualização não seja viável, recomenda-se desabilitar o nó Git e restringir o acesso a usuários não confiáveis. Essa divulgação ocorre em um contexto onde a n8n já havia abordado outras falhas críticas, como CVE-2025-68613 e CVE-2025-68668, que também poderiam levar à execução de código sob certas condições. A descoberta foi feita pelo pesquisador de segurança Théo Lelasseux.

Pesquisadores de cibersegurança revelaram uma vulnerabilidade de gravidade máxima na plataforma de automação de fluxos de trabalho n8n, identificada como CVE-2026-21858, com uma pontuação CVSS de 10.0. Descoberta por Dor Attias, a falha permite que atacantes remotos não autenticados obtenham controle total sobre instâncias vulneráveis. A vulnerabilidade explora uma falha de confusão no cabeçalho ‘Content-Type’, permitindo que um invasor acesse arquivos sensíveis no servidor e execute comandos arbitrários. Essa falha afeta todas as versões do n8n até a 1.65.0 e foi corrigida na versão 1.121.0, lançada em 18 de novembro de 2025. Nos últimos dias, o n8n também divulgou outras três vulnerabilidades críticas, aumentando a preocupação com a segurança da plataforma. A recomendação é que os usuários atualizem para a versão corrigida imediatamente e evitem expor o n8n à internet sem autenticação adequada. A gravidade da falha destaca a necessidade de uma abordagem proativa em cibersegurança, especialmente em ambientes que utilizam automação de fluxos de trabalho.

Uma nova vulnerabilidade crítica, identificada como CVE-2026-0625, foi descoberta em roteadores DSL da D-Link, com um alto índice de severidade de 9.3 no CVSS. Essa falha, que se refere a uma injeção de comandos no endpoint ‘dnscfg.cgi’, permite que atacantes remotos não autenticados injetem e executem comandos de shell arbitrários, resultando em execução remota de código. Os modelos afetados incluem DSL-2740R, DSL-2640B, DSL-2780B e DSL-526B, todos com status de fim de vida desde 2020. A D-Link está investigando a situação após um alerta da VulnCheck em dezembro de 2025, mas a identificação precisa dos modelos afetados é complexa devido a variações de firmware. A exploração ativa dessa vulnerabilidade foi registrada em novembro de 2025, e a empresa recomenda que os proprietários de dispositivos afetados considerem a substituição por modelos que recebam atualizações regulares de firmware e segurança. A falha expõe um mecanismo de configuração DNS que já foi utilizado em campanhas de sequestro de DNS em larga escala, permitindo que atacantes alterem silenciosamente as entradas de DNS, comprometendo a segurança de toda a rede conectada ao roteador.

O CERT Coordination Center (CERT/CC) divulgou uma falha de segurança não corrigida que afeta o extensor de rede sem fio TOTOLINK EX200. A vulnerabilidade, identificada como CVE-2025-65606, permite que um atacante autenticado obtenha controle total do dispositivo. A falha está relacionada à lógica de tratamento de erros no upload de firmware, que pode levar à ativação de um serviço telnet com privilégios de root sem autenticação. Para explorar essa vulnerabilidade, o atacante precisa estar autenticado na interface de gerenciamento web do dispositivo. O CERT/CC alerta que a TOTOLINK não lançou patches para corrigir a falha e que o produto não está mais sendo mantido ativamente, com a última atualização de firmware ocorrendo em fevereiro de 2023. Em vista da falta de uma solução, os usuários são aconselhados a restringir o acesso administrativo a redes confiáveis e monitorar atividades anômalas.

Usuários do pacote npm ‘@adonisjs/bodyparser’ são alertados para atualizar para a versão mais recente após a descoberta de uma vulnerabilidade crítica de segurança, identificada como CVE-2026-21440, com uma pontuação CVSS de 9.2. Essa falha é um problema de travessia de caminho que afeta o mecanismo de manipulação de arquivos multipart do AdonisJS, um framework Node.js utilizado para desenvolver aplicações web e servidores de API com TypeScript. A vulnerabilidade permite que um atacante remoto escreva arquivos arbitrários no servidor, caso consiga explorar um endpoint de upload acessível. O problema reside na função ‘MultipartFile.move(location, options)’, onde a falta de sanitização do nome do arquivo pode permitir que um invasor forneça um nome de arquivo malicioso, levando a uma possível execução remota de código (RCE). A falha foi corrigida nas versões 10.1.2 e 11.0.0-next.6. Além disso, uma vulnerabilidade semelhante foi identificada no pacote jsPDF, também com uma pontuação CVSS de 9.2, que permite a leitura de arquivos arbitrários no sistema de arquivos local. As correções para ambas as vulnerabilidades foram lançadas recentemente, e os desenvolvedores são aconselhados a aplicar as atualizações imediatamente.

Uma nova vulnerabilidade crítica foi descoberta na plataforma de automação de workflows n8n, permitindo que um atacante autenticado execute comandos arbitrários no sistema subjacente. Identificada como CVE-2025-68668, a falha apresenta uma pontuação de 9.9 no sistema de pontuação CVSS e é classificada como uma falha no mecanismo de proteção. A vulnerabilidade afeta as versões do n8n de 1.0.0 até, mas não incluindo, 2.0.0. Um usuário autenticado com permissão para criar ou modificar workflows pode explorar essa falha para executar comandos no sistema operacional onde o n8n está rodando. A n8n já lançou a versão 2.0.0, que corrige o problema. Para mitigar a vulnerabilidade, a n8n recomenda desabilitar o Code Node e a execução de Python, além de configurar o uso de um sandbox baseado em task runner. Essa falha se junta a outra vulnerabilidade crítica recentemente divulgada, CVE-2025-68613, que também permite a execução de código arbitrário em certas circunstâncias.

Pesquisadores de cibersegurança revelaram uma campanha persistente de nove meses que visou dispositivos da Internet das Coisas (IoT) e aplicações web, com o objetivo de integrá-los a uma botnet chamada RondoDox. Desde dezembro de 2025, a campanha tem explorado a vulnerabilidade React2Shell (CVE-2025-55182), que permite a execução remota de código em dispositivos vulneráveis. Estima-se que cerca de 90.300 instâncias ainda estejam suscetíveis a essa falha, com a maioria localizada nos EUA. A RondoDox, que surgiu no início de 2025, ampliou seu alcance ao adicionar novas vulnerabilidades ao seu arsenal. A campanha passou por três fases distintas, incluindo reconhecimento inicial e exploração em larga escala. Em dezembro de 2025, os atacantes começaram a escanear servidores Next.js vulneráveis e tentaram implantar mineradores de criptomoedas e variantes da botnet Mirai. Para mitigar os riscos, as organizações são aconselhadas a atualizar suas versões do Next.js, segmentar dispositivos IoT em VLANs dedicadas e monitorar processos suspeitos.

A IBM divulgou informações sobre uma vulnerabilidade crítica no IBM API Connect, identificada como CVE-2025-13915, que permite a atacantes remotos contornar mecanismos de autenticação e obter acesso não autorizado ao aplicativo. Com uma pontuação de 9.8 no sistema CVSS, essa falha afeta as versões 10.0.8.0 a 10.0.8.5 do software. A empresa recomenda que os clientes baixem um patch disponível no Fix Central e apliquem a correção conforme a versão utilizada. Para aqueles que não puderem instalar a correção imediatamente, a IBM sugere desabilitar o registro de autoatendimento no Developer Portal para minimizar a exposição à vulnerabilidade. Embora não haja evidências de exploração ativa da falha, a recomendação é que os usuários apliquem as correções o mais rápido possível para garantir a proteção adequada. O IBM API Connect é uma solução amplamente utilizada por diversas organizações, incluindo bancos e companhias aéreas, o que torna a vulnerabilidade ainda mais preocupante para o setor.

A Agência de Cibersegurança de Cingapura (CSA) emitiu um alerta sobre uma vulnerabilidade de alta severidade no software de e-mail SmarterTools SmarterMail, identificada como CVE-2025-52691, que possui uma pontuação CVSS de 10.0. Essa falha permite o upload arbitrário de arquivos, possibilitando a execução de código remoto sem necessidade de autenticação. A exploração bem-sucedida dessa vulnerabilidade pode permitir que atacantes não autenticados façam upload de arquivos maliciosos no servidor de e-mail, potencialmente levando à execução de código. O SmarterMail é uma alternativa a soluções de colaboração empresarial, como o Microsoft Exchange, e é utilizado por provedores de hospedagem. A vulnerabilidade afeta as versões Build 9406 e anteriores, tendo sido corrigida na Build 9413, lançada em 9 de outubro de 2025. A CSA recomenda que os usuários atualizem para a versão mais recente (Build 9483, lançada em 18 de dezembro de 2025) para garantir proteção adequada. Embora não haja relatos de exploração ativa da falha, a gravidade da vulnerabilidade justifica a atualização imediata dos sistemas afetados.

A Fortinet, empresa multinacional de cibersegurança, enfrenta ataques digitais há cinco anos, com foco em uma vulnerabilidade no sistema FortiOS, que compromete a autenticação de dois fatores (2FA) e os firewalls da companhia. A falha foi inicialmente identificada na VPN FortiGate e permite que hackers acessem contas legítimas sem ativar o segundo fator de autenticação, utilizando uma simples alteração no nome de usuário, como mudar a primeira letra de minúscula para maiúscula. Essa vulnerabilidade se agrava devido a uma má configuração do sistema, onde a autenticação local não diferencia letras maiúsculas e minúsculas, resultando em acessos não autorizados. Apesar das atualizações lançadas pela Fortinet e recomendações para desativar a diferenciação de letras, os ataques continuam a ser uma preocupação constante. Em abril de 2021, autoridades alertaram sobre o uso do FortiOS para atacar governos, destacando a gravidade da situação. A exploração contínua dessa falha representa um risco significativo para empresas que utilizam as soluções da Fortinet, especialmente em um cenário onde vulnerabilidades de dia zero são comuns.

Pesquisadores das empresas OX Security e Wiz.io identificaram uma vulnerabilidade crítica no MongoDB, conhecida como MongoBleed (CVE-2025-14847), que já foi explorada em ataques a diversos sites e serviços, incluindo a Ubisoft. Essa falha permite que hackers acessem e vazem informações sensíveis da memória de servidores MongoDB, como senhas e chaves de API, sem necessidade de autenticação. A vulnerabilidade foi revelada em 24 de dezembro de 2025 e afeta todas as versões suportadas do MongoDB, da 3.6 à 8.2.2. A Ubisoft, que utiliza MongoDB em seus serviços, teve que interromper temporariamente o acesso ao jogo Rainbow Six Siege e seu marketplace devido a um ataque que explorou essa brecha. Para mitigar os riscos, as organizações que utilizam MongoDB devem atualizar suas versões imediatamente ou desativar a compressão zlib, que é a causa da vulnerabilidade. A primeira exploração pública foi demonstrada em 25 de dezembro, evidenciando a gravidade da situação e a necessidade urgente de ações corretivas.

Uma vulnerabilidade crítica no MongoDB, identificada como CVE-2025-14847, está sendo ativamente explorada, com mais de 87 mil instâncias potencialmente vulneráveis em todo o mundo. Com uma pontuação CVSS de 8.7, a falha permite que atacantes não autenticados vazem dados sensíveis da memória do servidor MongoDB. O problema está relacionado à implementação da descompressão de mensagens zlib no MongoDB, que é a configuração padrão. Ao enviar pacotes de rede malformados, um atacante pode extrair fragmentos de dados privados, incluindo informações de usuários, senhas e chaves de API. Embora a exploração exija o envio de um grande volume de requisições, o tempo disponível para o atacante aumenta a quantidade de dados que podem ser coletados. A empresa de segurança Wiz alerta que 42% dos ambientes em nuvem têm pelo menos uma instância do MongoDB em versões vulneráveis. Para mitigar o problema, recomenda-se atualizar para versões seguras do MongoDB e desativar a compressão zlib. Além disso, é aconselhável restringir a exposição da rede dos servidores MongoDB e monitorar logs em busca de conexões anômalas.

Uma falha de segurança de alta gravidade foi identificada no MongoDB, permitindo que usuários não autenticados leiam memória heap não inicializada. A vulnerabilidade, classificada como CVE-2025-14847 com uma pontuação CVSS de 8.7, resulta de um tratamento inadequado de inconsistências no parâmetro de comprimento. Isso ocorre quando um programa não lida corretamente com situações em que um campo de comprimento não corresponde ao tamanho real dos dados associados. A falha afeta várias versões do MongoDB, incluindo as versões 8.2.0 a 8.2.3, 8.0.0 a 8.0.16, e versões anteriores até a 3.6. A MongoDB já lançou correções nas versões 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 e 4.4.30. Caso a atualização imediata não seja viável, recomenda-se desabilitar a compressão zlib no servidor MongoDB. A exploração dessa falha pode resultar na divulgação de dados sensíveis que podem auxiliar um atacante em futuras explorações.

Uma falha de segurança crítica foi identificada no LangChain Core, um pacote Python essencial para aplicações que utilizam modelos de linguagem. A vulnerabilidade, classificada como CVE-2025-68664 e com um CVSS de 9.3, permite que atacantes explorem funções de serialização, como dumps() e dumpd(), para injetar dados maliciosos e potencialmente roubar segredos sensíveis. O problema reside na falta de escape de dicionários que contêm chaves ’lc’, que são usadas internamente pelo LangChain. Isso pode resultar na extração de segredos de variáveis de ambiente e na execução de código arbitrário. Para mitigar a vulnerabilidade, a equipe do LangChain lançou um patch que altera as configurações padrão, bloqueando a execução de templates Jinja2 e desativando a carga automática de segredos do ambiente. Além disso, uma falha semelhante foi encontrada no LangChain.js, com a CVE-2025-68665, que também permite a extração de segredos. Dada a gravidade da situação, os usuários são fortemente aconselhados a atualizar para versões corrigidas o mais rápido possível.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma falha de segurança nos gravadores de vídeo em rede (NVRs) Digiever DS-2105 Pro em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), devido a evidências de exploração ativa. A vulnerabilidade, identificada como CVE-2023-52163, possui uma pontuação CVSS de 8.8 e está relacionada a uma injeção de comando que permite a execução remota de código após autenticação. Segundo a CISA, a falha se deve a uma vulnerabilidade de autorização ausente, que pode ser explorada através do arquivo time_tzsetup.cgi. Relatórios da Akamai e Fortinet indicam que a vulnerabilidade está sendo utilizada por agentes de ameaças para implantar botnets como Mirai e ShadowV2. A falha, juntamente com um bug de leitura de arquivo arbitrário (CVE-2023-52164, CVSS 5.1), permanece sem correção, uma vez que o dispositivo atingiu o status de fim de vida (EoL). A CISA recomenda que as agências do governo federal dos EUA adotem as devidas mitig ações ou descontinuem o uso do produto até 12 de janeiro de 2025, para proteger suas redes contra ameaças ativas.

Uma vulnerabilidade crítica foi identificada na plataforma de automação de workflows n8n, classificada como CVE-2025-68613, com um alto índice de severidade de 9.9 no CVSS. Essa falha permite que usuários autenticados executem código arbitrário em um contexto de execução inadequadamente isolado, o que pode levar à total comprometimento da instância afetada, incluindo acesso não autorizado a dados sensíveis e modificação de workflows. A vulnerabilidade afeta todas as versões do n8n a partir da 0.211.0 até antes da 1.120.4. As versões corrigidas incluem 1.120.4, 1.121.1 e 1.122.0. Com mais de 103 mil instâncias potencialmente vulneráveis, a maioria localizadas nos EUA, Alemanha, França, Brasil e Cingapura, é essencial que os usuários apliquem as atualizações imediatamente. Caso a aplicação do patch não seja viável, recomenda-se restringir as permissões de criação e edição de workflows a usuários confiáveis e implementar o n8n em um ambiente seguro com privilégios de sistema e acesso à rede limitados.

A WatchGuard Technologies anunciou a correção de uma vulnerabilidade crítica de execução remota de código (RCE) em seus firewalls Firebox, identificada como CVE-2025-14733. Essa falha, com uma pontuação de severidade de 9.3/10, permite que atacantes não autenticados executem código arbitrário remotamente, afetando firewalls que operam com Fireware OS 11.x e versões posteriores. A vulnerabilidade impacta tanto a VPN de Usuário Móvel quanto a VPN de Escritório Remoto quando configuradas com um par de gateway dinâmico. A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) incluiu essa falha em seu catálogo de Vulnerabilidades Conhecidas Exploradas (KEV), estabelecendo um prazo até 26 de dezembro para que agências federais apliquem o patch ou interrompam o uso dos dispositivos vulneráveis. Para aqueles que não podem aplicar a correção imediatamente, a WatchGuard recomenda desativar as VPNs dinâmicas e ajustar as políticas de firewall como medidas paliativas. A empresa já havia corrigido uma falha semelhante meses atrás, evidenciando a necessidade de vigilância contínua em suas soluções de segurança.

A vulnerabilidade React2Shell (CVE-2025-55182), classificada como crítica, está sendo explorada por grupos de hackers ligados à China e à Coreia do Norte, comprometendo centenas de sistemas em todo o mundo. A falha, que afeta os Componentes de Servidor do React (RCS), permite a execução de comandos arbitrários e a instalação de malware, incluindo mineradores de criptomoedas. A Microsoft alertou que a exploração da vulnerabilidade se intensificou após a divulgação pública, com ataques direcionados a setores variados, como serviços financeiros, logística, varejo e instituições governamentais. Os atacantes buscam estabelecer persistência e realizar espionagem cibernética. A Coreia do Norte, em particular, está utilizando um malware sofisticado chamado EtherRAT, que combina técnicas de várias campanhas anteriores. É crucial que as organizações atualizem suas versões do React para 19.0.1, 19.1.2 ou 19.2.1 imediatamente para mitigar os riscos associados a essa vulnerabilidade.

A WatchGuard anunciou a correção de uma vulnerabilidade crítica em seu sistema operacional Fireware OS, identificada como CVE-2025-14733, com uma pontuação CVSS de 9.3. Essa falha, classificada como um ‘out-of-bounds write’, afeta o processo iked e permite que atacantes remotos não autenticados executem código arbitrário. A vulnerabilidade impacta configurações de VPN para usuários móveis e filiais que utilizam IKEv2, especialmente quando configuradas com um gateway dinâmico. Mesmo após a exclusão dessas configurações, o dispositivo pode permanecer vulnerável se uma VPN de filial para um gateway estático estiver ativa. A WatchGuard observou tentativas de exploração em tempo real, com IPs específicos associados a esses ataques. A empresa recomenda que os administradores desativem as VPNs dinâmicas e apliquem as atualizações de segurança imediatamente. O incidente destaca a importância de monitorar e proteger sistemas críticos, especialmente em um cenário onde a exploração ativa está em andamento.

Modelos de placas-mãe de fabricantes como ASRock, ASUS, GIGABYTE e MSI estão expostos a uma vulnerabilidade de segurança que permite ataques de acesso direto à memória (DMA) durante a fase de inicialização do sistema. Essa falha, identificada por pesquisadores da Riot Games, está relacionada a uma discrepância na proteção DMA, onde o firmware indica que a proteção está ativa, mas não configura corretamente a Unidade de Gerenciamento de Memória de Entrada e Saída (IOMMU) no início do processo de boot. Isso possibilita que dispositivos PCIe maliciosos, com acesso físico ao sistema, leiam ou modifiquem a memória antes que as proteções do sistema operacional sejam ativadas. As vulnerabilidades identificadas incluem CVE-2025-14304, CVE-2025-11901, CVE-2025-14302 e CVE-2025-14303, todas com uma pontuação CVSS de 7.0, indicando um risco alto. É crucial que usuários e administradores apliquem as atualizações de firmware assim que disponíveis para mitigar essa ameaça, especialmente em ambientes onde o acesso físico não pode ser controlado. A falha destaca a importância de uma configuração correta do firmware, mesmo em sistemas que não são tipicamente utilizados em data centers.

Pesquisadores de segurança revelaram três vulnerabilidades críticas no protocolo de Integridade e Criptografia de Dados (IDE) do padrão PCIe 5.0, afetando CPUs da Intel e AMD. As falhas, identificadas como CVE-2025-9612, CVE-2025-9613 e CVE-2025-9614, comprometem a comunicação entre componentes essenciais como CPUs, GPUs e SSDs NVMe. Embora a severidade das falhas tenha sido classificada como baixa, pois requerem acesso físico ou de baixo nível à interface PCIe, elas representam um risco significativo para ambientes corporativos que dependem desse protocolo para a segurança de dados sensíveis. A Intel e a AMD já alertaram sobre a vulnerabilidade em seus processadores de servidor, como os Intel Xeon 6 e AMD EPYC 9005. O CERT Coordination Center recomenda que fabricantes e usuários apliquem atualizações de firmware rapidamente para mitigar os riscos. Em data centers, onde o isolamento de dados é crucial, essas falhas podem permitir a exposição de informações confidenciais, enquanto usuários comuns não devem sentir impacto imediato.

Os automóveis modernos, cada vez mais conectados por tecnologias como Wi-Fi e Bluetooth, estão se tornando alvos de hackers, especialmente aqueles que utilizam o chip Unisoc UIS7862A. Este chip, que integra um modem para conexões 3G, 4G e 5G, apresenta uma vulnerabilidade crítica no protocolo RLC 3G, identificada pela empresa Securelist. A falha está relacionada ao mecanismo de fragmentação de pacotes de dados, que não realiza uma checagem adequada de limites, permitindo que um pacote malicioso transborde o buffer e comprometa o sistema operacional do veículo. Uma vez dentro do sistema, os cibercriminosos podem assumir o controle total do carro, acessando dados do usuário e executando códigos maliciosos. Essa situação levanta preocupações significativas sobre a segurança dos veículos conectados, que se assemelham a dispositivos de Internet das Coisas (IoT) com rodas. A vulnerabilidade destaca a necessidade urgente de medidas de segurança mais robustas para proteger os sistemas automotivos contra invasões digitais.

A Hewlett Packard Enterprise (HPE) anunciou a correção de uma vulnerabilidade crítica no seu software OneView, que pode permitir a execução remota de código por usuários não autenticados. Identificada como CVE-2025-37164, essa falha recebeu a pontuação máxima de 10.0 no CVSS, indicando seu alto potencial de risco. O problema afeta todas as versões anteriores à 11.00 do OneView, que é uma ferramenta de gerenciamento de infraestrutura de TI. A HPE disponibilizou um hotfix para as versões 5.20 a 10.20, mas é importante ressaltar que esse hotfix deve ser reaplicado após atualizações específicas. Embora a empresa não tenha relatado a exploração da vulnerabilidade em ambientes reais, recomenda-se que os usuários apliquem as correções o mais rápido possível para garantir a segurança de seus sistemas. Além disso, em junho, a HPE já havia lançado atualizações para corrigir outras oito vulnerabilidades em sua solução StoreOnce, que também poderiam resultar em execução remota de código. A situação destaca a importância da gestão de patches e da vigilância contínua em ambientes corporativos.

A Cisco alertou sobre uma vulnerabilidade zero-day de gravidade máxima no software Cisco AsyncOS, que está sendo ativamente explorada por um grupo de ameaças persistentes avançadas (APT) da China, conhecido como UAT-9686. A falha, identificada como CVE-2025-20393, permite que atacantes executem comandos arbitrários com privilégios de root em dispositivos afetados, comprometendo a segurança do sistema operacional subjacente. A vulnerabilidade afeta todas as versões do Cisco AsyncOS, mas a exploração só é possível se o recurso de Quarentena de Spam estiver habilitado e acessível pela internet. A Cisco recomenda que os usuários verifiquem a configuração de seus dispositivos e adotem medidas de segurança, como limitar o acesso à internet e monitorar o tráfego de logs. A CISA dos EUA incluiu essa vulnerabilidade em seu catálogo de vulnerabilidades conhecidas, exigindo que agências federais implementem mitigação até 24 de dezembro de 2025. Além disso, a GreyNoise relatou uma campanha coordenada de tentativas de login automatizadas em infraestruturas de autenticação de VPN, destacando a necessidade de vigilância contínua contra ataques cibernéticos.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou uma vulnerabilidade crítica, identificada como CVE-2025-59374, ao seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). Com uma pontuação CVSS de 9.3, essa falha é classificada como uma ‘vulnerabilidade de código malicioso embutido’, resultante de uma violação na cadeia de suprimentos. A CISA alertou que versões específicas do cliente ASUS Live Update foram distribuídas com modificações não autorizadas, permitindo que atacantes realizassem ações indesejadas em dispositivos que atendiam a certas condições. Essa vulnerabilidade remete a um ataque à cadeia de suprimentos que ocorreu em 2019, quando um grupo de ameaças persistentes avançadas (APT) comprometeu servidores da ASUS, visando um grupo restrito de usuários. A ASUS já corrigiu a falha na versão 3.6.8 do software, mas a CISA recomendou que as agências federais descontinuem o uso do Live Update até 7 de janeiro de 2026, após o anúncio do fim do suporte ao software em 4 de dezembro de 2025. A empresa enfatizou seu compromisso com a segurança de software e a importância de atualizações em tempo real para proteger os dispositivos.

A SonicWall anunciou a correção de uma vulnerabilidade crítica em seus dispositivos Secure Mobile Access (SMA) da série 100, identificada como CVE-2025-40602, com uma pontuação CVSS de 6.6. Essa falha permite a escalada de privilégios locais devido a uma autorização insuficiente no console de gerenciamento do aparelho. As versões afetadas incluem 12.4.3-03093 e anteriores, além de 12.5.0-02002 e anteriores, com correções disponíveis nas versões 12.4.3-03245 e 12.5.0-02283, respectivamente. A SonicWall alertou que essa vulnerabilidade está sendo explorada ativamente, especialmente em combinação com outra falha crítica, CVE-2025-23006, que permite a execução remota de código não autenticado com privilégios de root. Essa última falha foi corrigida em janeiro de 2025. A descoberta das vulnerabilidades foi creditada a pesquisadores do Google Threat Intelligence Group. Dada a gravidade da situação, é crucial que os usuários dos dispositivos SMA 100 apliquem as correções imediatamente para evitar possíveis comprometimentos.

A Kaspersky revelou uma nova onda de ataques de phishing, atribuídos ao ator de ameaças ligado à Operação ForumTroll, que tem como alvo acadêmicos na Rússia, especialmente nas áreas de ciência política, relações internacionais e economia global. Detectados em outubro de 2025, esses ataques utilizam uma vulnerabilidade zero-day no Google Chrome (CVE-2025-2783) para implantar o backdoor LeetAgent e um spyware chamado Dante. Os e-mails fraudulentos se disfarçam como comunicações da eLibrary, uma biblioteca científica russa, e são enviados de um domínio registrado seis meses antes do início da campanha, indicando um planejamento cuidadoso. Os alvos são instruídos a clicar em links maliciosos para baixar um relatório de plágio, resultando no download de um arquivo ZIP que contém um atalho do Windows. Ao ser executado, esse atalho ativa um script PowerShell que baixa um payload malicioso, permitindo acesso remoto ao dispositivo da vítima. A Kaspersky alerta que a Operação ForumTroll tem um histórico de ataques a organizações e indivíduos na Rússia e Belarus desde 2022, sugerindo que a ameaça continuará a se expandir.

A Apple lançou atualizações emergenciais para corrigir duas vulnerabilidades críticas no iOS 26, identificadas como CVE-2025-43529 e CVE-2025-14174. Essas falhas, do tipo zero-day, permitiam que hackers obtivessem controle total sobre dispositivos, afetando especificamente usuários de versões anteriores do sistema operacional. A primeira vulnerabilidade, CVE-2025-43529, está relacionada a uma falha de execução remota de código no WebKit, que é a base para navegadores como Safari e Chrome. A segunda, CVE-2025-14174, envolve o corrompimento da memória no motor de renderização do WebKit. Ambas as falhas foram descobertas em colaboração com a equipe de análise de ameaças do Google. Os dispositivos afetados incluem iPhone 11 e sucessores, diversos modelos de iPad, e a vulnerabilidade também impactou o Chrome. A Apple recomenda que todos os usuários atualizem seus dispositivos imediatamente para evitar riscos adicionais. Apesar da correção, detalhes sobre os ataques e os alvos específicos não foram divulgados, mas especialistas sugerem que podem estar relacionados a ataques de spyware direcionados.

Recentemente, foram identificadas duas falhas de segurança críticas em dispositivos Fortinet FortiGate, que estão sendo ativamente exploradas por agentes maliciosos. As vulnerabilidades, identificadas como CVE-2025-59718 e CVE-2025-59719, possuem uma pontuação CVSS de 9.8, indicando seu alto nível de gravidade. A empresa de cibersegurança Arctic Wolf relatou que, desde 12 de dezembro de 2025, logins maliciosos utilizando autenticação de login único (SSO) têm sido realizados em dispositivos FortiGate, aproveitando-se dessas falhas. As vulnerabilidades permitem que atacantes contornem a autenticação SSO através de mensagens SAML manipuladas, especialmente se o recurso FortiCloud SSO estiver ativado. Embora essa funcionalidade esteja desativada por padrão, ela é ativada automaticamente durante o registro no FortiCare, a menos que os administradores a desativem manualmente. Os atacantes têm utilizado endereços IP de provedores de hospedagem específicos para realizar logins na conta ‘admin’ e exportar configurações de dispositivos. Diante da exploração ativa, é crucial que as organizações apliquem os patches disponibilizados pela Fortinet e desativem o FortiCloud SSO até que as atualizações sejam implementadas.

A vulnerabilidade conhecida como React2Shell está sendo explorada por grupos de ameaças para implantar malwares como KSwapDoor e ZnDoor, conforme relatórios da Palo Alto Networks e NTT Security. O KSwapDoor é uma ferramenta de acesso remoto projetada para operar de forma furtiva, utilizando criptografia de nível militar e um modo ‘sleeper’ que permite contornar firewalls. Por outro lado, o ZnDoor, que já está ativo desde dezembro de 2023, é um trojan de acesso remoto que executa comandos em sistemas comprometidos. As campanhas de ataque têm como alvo organizações no Japão e utilizam comandos bash para baixar e executar cargas maliciosas. A vulnerabilidade, classificada como CVE-2025-55182, possui uma pontuação CVSS de 10.0, indicando um risco crítico. Diversos grupos de ameaças, incluindo aqueles com vínculos com a China, têm explorado essa falha para executar comandos arbitrários e implantar ferramentas de monitoramento remoto. Além disso, a Shadowserver Foundation identificou mais de 111.000 endereços IP vulneráveis a ataques relacionados ao React2Shell, com a maioria localizada nos Estados Unidos. Este cenário representa um risco significativo para a segurança cibernética, exigindo atenção imediata das organizações.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma vulnerabilidade de alta severidade, identificada como CVE-2018-4063, no seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). Essa falha, que afeta os roteadores Sierra Wireless AirLink ALEOS, permite o upload não restrito de arquivos, possibilitando a execução remota de código malicioso através de requisições HTTP manipuladas. O problema foi identificado inicialmente em 2018 e, apesar de ter sido reportado, continua a ser explorado ativamente. A vulnerabilidade é particularmente crítica, pois permite que um atacante, ao fazer uma requisição HTTP autenticada, faça upload de um arquivo que pode substituir arquivos existentes no dispositivo, herdando suas permissões de execução. Isso é agravado pelo fato de que o ACEManager opera com privilégios elevados, permitindo que scripts maliciosos sejam executados com permissões de root. A CISA recomenda que as agências federais atualizem seus dispositivos até 2 de janeiro de 2026, data em que o suporte para o produto será encerrado. A análise de honeypots revelou que roteadores industriais são os dispositivos mais atacados em ambientes de tecnologia operacional, destacando a necessidade urgente de mitigação e atualização de sistemas.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma falha de segurança de alta gravidade no OSGeo GeoServer em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). A vulnerabilidade, identificada como CVE-2025-58360, possui uma pontuação CVSS de 8.2 e afeta todas as versões anteriores e incluindo 2.25.5, bem como as versões 2.26.0 a 2.26.1. Essa falha de entidade externa XML (XXE) permite que atacantes acessem arquivos arbitrários do sistema de arquivos do servidor, realizem ataques de Server-Side Request Forgery (SSRF) e até mesmo ataques de negação de serviço (DoS). A CISA recomenda que as agências federais apliquem as correções necessárias até 1º de janeiro de 2026. Embora não haja detalhes sobre como a vulnerabilidade está sendo explorada atualmente, um boletim do Centro Canadense de Segurança Cibernética indicou que um exploit para essa vulnerabilidade já está ativo. Além disso, uma falha crítica anterior no mesmo software, CVE-2024-36401, também foi explorada por diversos atores de ameaças no último ano.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta para que agências federais corrijam a vulnerabilidade crítica CVE-2025-55182, que afeta o protocolo Flight dos React Server Components. Com uma pontuação CVSS de 10.0, a falha permite que atacantes injetem lógica maliciosa em um contexto privilegiado, sem necessidade de autenticação ou interação do usuário. Desde sua divulgação em 3 de dezembro de 2025, a vulnerabilidade tem sido amplamente explorada por diversos grupos de ameaças, visando principalmente aplicações Next.js e cargas de trabalho em Kubernetes. A CISA incluiu a falha em seu catálogo de Vulnerabilidades Conhecidas Exploradas, estabelecendo um prazo para correção até 12 de dezembro de 2025. A empresa de segurança Cloudflare observou uma onda rápida de exploração, com ataques direcionados a sistemas expostos na internet, especialmente em regiões como Taiwan e Japão. Além disso, foram registrados mais de 35.000 tentativas de exploração em um único dia, com alvos que incluem instituições governamentais e empresas de alta tecnologia. A situação exige atenção imediata das organizações para evitar compromissos de segurança.

O Google lançou uma atualização urgente para o navegador Chrome, corrigindo uma vulnerabilidade de alta severidade que estava sendo explorada ativamente como um zero-day. Além dessa falha crítica, a atualização também abrange duas outras vulnerabilidades de severidade média. A vulnerabilidade de alta severidade está relacionada a um estouro de buffer na biblioteca LibANGLE, que pode permitir a corrupção de memória e a execução remota de código. O Google não divulgou detalhes específicos sobre a falha para proteger os usuários, mas confirmou que um exploit já estava em uso. Esta é a oitava correção de zero-day do Chrome em 2023, evidenciando a crescente frequência de ataques direcionados a navegadores. A atualização já está sendo distribuída para a maioria dos usuários, embora a data exata de implementação não tenha sido especificada. A LibANGLE é uma camada de tradução que permite que aplicativos executem conteúdo WebGL e OpenGL ES, mesmo em sistemas que não suportam essas APIs nativamente. A falha pode ter sérias implicações, como a possibilidade de vazamento de dados sensíveis e a interrupção do funcionamento do navegador.

Uma vulnerabilidade de alta severidade, identificada como CVE-2025-8110, está sendo ativamente explorada em mais de 700 instâncias do Gogs, um serviço de Git auto-hospedado. Com uma pontuação CVSS de 8.7, a falha permite a execução local de código devido a um manuseio inadequado de links simbólicos na API de atualização de arquivos. A vulnerabilidade foi descoberta acidentalmente em julho de 2025 durante uma investigação de infecção por malware. Os atacantes podem explorar essa falha para sobrescrever arquivos críticos no servidor e obter acesso SSH. Além disso, a Wiz, empresa de segurança em nuvem, observou que os atacantes deixaram repositórios comprometidos visíveis, indicando uma campanha de estilo ‘smash-and-grab’. Com cerca de 1.400 instâncias expostas, é crucial que os usuários desativem o registro aberto e limitem a exposição à internet. A Wiz também alertou sobre o uso de Tokens de Acesso Pessoal do GitHub como pontos de entrada para acessar ambientes de nuvem, destacando a necessidade de vigilância contínua e ações corretivas imediatas.

A Huntress alertou sobre uma nova vulnerabilidade ativa nos produtos CentreStack e Triofox da Gladinet, que resulta do uso de chaves criptográficas hard-coded. Até o momento, nove organizações, incluindo aquelas nos setores de saúde e tecnologia, foram afetadas. A falha permite que atacantes acessem o arquivo web.config, possibilitando a deserialização de ViewState e a execução remota de código. A função ‘GenerateSecKey()’, presente no arquivo ‘GladCtrl64.dll’, gera chaves criptográficas que nunca mudam, tornando-as vulneráveis a ataques. Os invasores podem explorar essa falha enviando requisições URL específicas para o endpoint ‘/storage/filesvr.dn’, criando tickets de acesso que nunca expiram. A Huntress recomenda que as organizações afetadas atualizem para a versão mais recente do software e verifiquem logs em busca de atividades suspeitas. Caso sejam detectados indicadores de comprometimento, é essencial rotacionar a chave da máquina seguindo um procedimento específico. A situação é crítica, e as empresas devem agir rapidamente para mitigar os riscos associados a essa vulnerabilidade.

Uma vulnerabilidade crítica no WinRAR, software amplamente utilizado para compactação e extração de arquivos, está sendo explorada ativamente por grupos de hackers, conforme alerta da Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA). Identificada como CVE-2025-6218, a falha é do tipo travessia de diretório, permitindo a execução de códigos maliciosos através da inserção de caracteres enganosos que burlam o sistema operacional. Para que a exploração ocorra, a vítima deve acessar um arquivo ou página comprometida.

Uma nova pesquisa revelou vulnerabilidades no .NET Framework que podem ser exploradas em aplicações empresariais, permitindo a execução remota de código. Codenomeada de ‘SOAPwn’ pela WatchTowr Labs, a falha afeta produtos como Barracuda Service Center RMM e Ivanti Endpoint Manager, além de potencialmente impactar outros fornecedores devido à ampla utilização do .NET. A vulnerabilidade permite que atacantes abusem de importações de WSDL e proxies de cliente HTTP para executar código arbitrário, explorando erros na manipulação de mensagens SOAP. Um cenário hipotético de ataque envolve o uso de um caminho UNC para direcionar solicitações SOAP a um compartilhamento SMB controlado pelo atacante, possibilitando a captura de desafios NTLM. Além disso, a pesquisa identificou um vetor de exploração mais poderoso em aplicações que geram proxies de cliente HTTP a partir de arquivos WSDL, permitindo a execução remota de código ao não validar URLs. Apesar da divulgação responsável, a Microsoft optou por não corrigir a falha, alegando que se trata de um problema de comportamento de aplicação. As versões corrigidas já estão disponíveis para algumas das aplicações afetadas, com pontuações CVSS de até 9.8, indicando um risco elevado.

Um ataque de clique zero, identificado por especialistas da Straiker STAR Labs, está ameaçando usuários do navegador Comet, da Perplexity AI, ao permitir que cibercriminosos excluam arquivos do Google Drive sem que a vítima precise clicar em links maliciosos. Esse ataque explora a integração entre o navegador e serviços do Google, como Gmail e Drive, que concede ao Comet acesso para gerenciar arquivos e e-mails. Os hackers podem enviar um e-mail aparentemente inofensivo que, ao ser processado pelo navegador, executa comandos que resultam na exclusão de arquivos, sem qualquer confirmação do usuário. Além disso, a vulnerabilidade permite que os atacantes controlem o OAuth do Gmail e do Drive, propagando instruções maliciosas por meio de pastas compartilhadas, afetando outros usuários. Os pesquisadores alertam que esse tipo de ataque evidencia como modelos de linguagem de grande escala podem ser manipulados para obedecer a comandos maliciosos, representando um risco significativo para a segurança dos dados dos usuários.

Uma vulnerabilidade no Google Family Link, ferramenta de controle parental do Google, está gerando preocupações entre especialistas em cibersegurança. Cibercriminosos têm conseguido bloquear contas de usuários do Gmail, tornando impossível a recuperação das mesmas. A falha ocorre quando hackers alteram a idade do usuário para 10 anos, criando um perfil infantil que fica sob seu controle. Isso impede que o proprietário original da conta realize qualquer ação de recuperação, uma vez que o sistema considera a conta como pertencente a uma criança. O Google foi notificado sobre a vulnerabilidade e está investigando o caso, mas ainda não apresentou uma solução. Relatos anteriores indicam que essa falha pode não ser nova, com usuários enfrentando problemas semelhantes há anos. A situação levanta questões sobre a eficácia do Family Link e a necessidade de uma revisão em suas funcionalidades de segurança, especialmente considerando que a idade mínima para ter uma conta no Gmail é geralmente de 13 anos. O impacto dessa vulnerabilidade pode ser significativo, especialmente para usuários que dependem do Gmail para comunicação e armazenamento de dados.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma vulnerabilidade no WinRAR, rastreada como CVE-2025-6218, em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), devido a evidências de exploração ativa. Essa falha, com uma pontuação CVSS de 7.8, é um bug de travessia de caminho que pode permitir a execução de código, exigindo que a vítima acesse uma página maliciosa ou abra um arquivo comprometido. A vulnerabilidade foi corrigida pela RARLAB na versão 7.12 do WinRAR, lançada em junho de 2025, e afeta apenas versões do Windows. A exploração dessa falha pode permitir que arquivos sejam colocados em locais sensíveis, como a pasta de inicialização do Windows, levando à execução não intencional de código na próxima entrada do sistema. Relatórios indicam que grupos de ameaças, como GOFFEE e Bitter, têm explorado essa vulnerabilidade em ataques direcionados, incluindo campanhas de phishing. A CISA alertou que agências federais devem aplicar as correções necessárias até 30 de dezembro de 2025 para proteger suas redes.

Uma grave vulnerabilidade foi descoberta em dispositivos da série AG da Array Networks, que utilizam VPN. Essa falha permite que hackers injetem comandos maliciosos, instalando web shells e criando usuários não autorizados nos sistemas afetados. A vulnerabilidade foi corrigida em uma atualização em maio de 2025, mas a falta de um identificador dificultou o rastreamento da falha. Especialistas do Japão alertaram que a vulnerabilidade está sendo explorada desde agosto, com ataques direcionados a organizações locais. Os incidentes envolvem a execução de comandos que permitem o acesso remoto ao servidor comprometido, resultando em controle total do sistema. A falha afeta modelos AG 9.4.5.8 e versões anteriores, especialmente em ambientes corporativos que utilizam o recurso DesktopDirect, que facilita o acesso remoto. A JPCERT recomendou que os usuários desativem o DesktopDirect e implementem filtros de URL até que novas atualizações sejam disponibilizadas. A Array Networks ainda não se pronunciou sobre os incidentes ou se haverá uma nova correção.

Uma falha de segurança crítica foi identificada no plugin Sneeit Framework para WordPress, afetando todas as versões até a 8.3, com uma pontuação CVSS de 9.8. Essa vulnerabilidade, classificada como CVE-2025-6389, permite a execução remota de código, possibilitando que atacantes não autenticados executem funções PHP arbitrárias no servidor. O Wordfence, empresa de segurança, relatou que a exploração da falha começou em 24 de novembro de 2025, com mais de 131.000 tentativas de ataque bloqueadas, sendo 15.381 apenas nas últimas 24 horas. Os atacantes têm utilizado requisições HTTP maliciosas para criar contas de administrador e carregar arquivos PHP maliciosos, que podem ser usados para injetar backdoors e redirecionar visitantes para sites maliciosos. O plugin Sneeit Framework possui mais de 1.700 instalações ativas, o que aumenta a urgência para que os administradores atualizem para a versão 8.4, que corrige a vulnerabilidade. Além disso, o artigo menciona outra exploração em andamento, relacionada ao ICTBroadcast, que também apresenta riscos significativos.

Uma vulnerabilidade crítica, identificada como CVE-2025-55182, foi descoberta nas versões 19.0 a 19.2.0 do React, uma das bibliotecas JavaScript mais utilizadas na web. Essa falha permite a execução remota de código (RCE) em componentes do servidor React, afetando também frameworks populares como Next.js, React Router e Vite. O problema foi classificado com a pontuação máxima de 10/10 em severidade, e a equipe do React já lançou patches nas versões 19.0.1, 19.1.2 e 19.2.1. Especialistas alertam que a exploração dessa vulnerabilidade é iminente, com uma taxa de sucesso próxima de 100%, o que torna a atualização imediata uma prioridade para desenvolvedores e empresas que utilizam essas tecnologias. A vulnerabilidade afeta uma vasta gama de aplicações, incluindo grandes plataformas como Facebook, Instagram e Netflix, aumentando significativamente a superfície de ataque. A recomendação é que todos os usuários atualizem suas versões o mais rápido possível para evitar possíveis ataques.

Um novo ataque de navegador, identificado pelo Straiker STAR Labs, está direcionado ao Comet, um navegador da Perplexity, e pode transformar um e-mail aparentemente inofensivo em uma ação destrutiva que apaga todo o conteúdo do Google Drive do usuário. A técnica, chamada de ‘zero-click Google Drive Wiper’, utiliza a conexão do navegador com serviços como Gmail e Google Drive, permitindo que ações rotineiras sejam automatizadas sem a necessidade de confirmação do usuário. Um exemplo de ataque envolve um e-mail que solicita ao navegador que verifique a caixa de entrada e complete tarefas de organização, levando o agente do navegador a deletar arquivos sem perceber que as instruções são maliciosas. A pesquisadora Amanda Rousseau destaca que esse comportamento reflete uma agência excessiva em assistentes baseados em modelos de linguagem, onde as instruções são interpretadas como legítimas. Além disso, outro ataque, denominado HashJack, explora fragmentos de URL para injetar comandos maliciosos em navegadores de IA, manipulando assistentes de navegador para executar ações indesejadas. Embora o Google tenha classificado essa vulnerabilidade como de baixa severidade, a Perplexity e a Microsoft já lançaram correções para seus navegadores. Este cenário levanta preocupações sobre a segurança de dados e a necessidade de medidas de proteção mais rigorosas.

A Microsoft lançou correções para uma vulnerabilidade crítica em arquivos de atalho do Windows, identificada como CVE-2025-9491. Essa falha, que já foi explorada em ataques por grupos de hackers e estados estrangeiros, permite que comandos maliciosos sejam ocultados em arquivos do tipo LNK. Para que a exploração ocorra, é necessária a interação do usuário, que deve abrir o arquivo. Os cibercriminosos costumam enviar esses arquivos disfarçados em anexos compactados, como ZIP, para evitar detecções. A vulnerabilidade se aproveita da forma como o Windows exibe os atalhos, permitindo que códigos maliciosos sejam executados sem que o usuário perceba, uma vez que o campo Target do atalho só mostra os primeiros 260 caracteres. Apesar da correção da Microsoft, que agora exibe todos os caracteres do campo Target, a falha não é completamente resolvida, pois os comandos maliciosos permanecem. A ACROS Security, por sua vez, lançou uma correção alternativa que limita os atalhos a 260 caracteres e alerta os usuários sobre potenciais perigos. Essa situação destaca a necessidade de vigilância constante e educação em segurança cibernética para evitar que usuários caiam em armadilhas.

Dois grupos de hackers com vínculos à China, Earth Lamia e Jackpot Panda, foram identificados explorando uma vulnerabilidade crítica no React Server Components (RSC), conhecida como CVE-2025-55182, que permite a execução remota de código não autenticado. A falha, que recebeu a pontuação máxima de 10.0 no CVSS, foi divulgada publicamente e rapidamente aproveitada por esses grupos. A Amazon Web Services (AWS) relatou que as tentativas de exploração foram detectadas em sua infraestrutura de honeypot, associadas a endereços IP conhecidos por estarem ligados a atores de ameaças estatais chineses. Os ataques têm como alvo setores variados, incluindo serviços financeiros, logística e universidades, principalmente na América Latina, Oriente Médio e Sudeste Asiático. Além disso, o Jackpot Panda, ativo desde 2020, tem se concentrado em entidades relacionadas a jogos online na Ásia. A AWS também observou que os atacantes estavam explorando outras vulnerabilidades conhecidas, sugerindo uma abordagem sistemática para encontrar sistemas não corrigidos. Essa situação destaca a necessidade urgente de que empresas e organizações atualizem suas versões do React para mitigar riscos de exploração.