Vulnerabilidade

Uma vulnerabilidade crítica foi descoberta e já corrigida no EngageLab SDK, um kit de desenvolvimento de software amplamente utilizado em aplicativos Android, que poderia ter colocado em risco milhões de usuários de carteiras de criptomoedas. Segundo a equipe de pesquisa de segurança da Microsoft Defender, essa falha permitia que aplicativos no mesmo dispositivo contornassem a sandbox de segurança do Android, obtendo acesso não autorizado a dados privados. O EngageLab SDK, que oferece um serviço de notificações push, foi integrado em muitos aplicativos do ecossistema de criptomoedas, totalizando mais de 30 milhões de instalações. A vulnerabilidade, identificada na versão 4.5.4 do SDK, é classificada como uma vulnerabilidade de redirecionamento de intent, onde um aplicativo malicioso poderia manipular intents para acessar dados sensíveis de outros aplicativos. Embora não haja evidências de exploração maliciosa, a Microsoft recomenda que os desenvolvedores atualizem para a versão mais recente do SDK para evitar riscos futuros. Este caso destaca como falhas em SDKs de terceiros podem ter implicações de segurança em larga escala, especialmente em setores de alto valor como o gerenciamento de ativos digitais.

Pesquisadores de segurança descobriram uma vulnerabilidade de execução remota de código (RCE) no Apache ActiveMQ Classic, que permaneceu indetectada por 13 anos. A falha, identificada como CVE-2026-34197, recebeu uma pontuação de severidade alta de 8.8 e afeta versões anteriores à 5.19.4 e todas as versões entre 6.0.0 e 6.2.3. O ActiveMQ, um broker de mensagens open-source escrito em Java, é amplamente utilizado em sistemas empresariais e governamentais. A vulnerabilidade foi encontrada pelo pesquisador Naveen Sunkavally, que utilizou o assistente de IA Claude para analisar a interação entre componentes do ActiveMQ. A falha permite que um atacante, ao enviar uma solicitação especialmente elaborada, force o broker a buscar um arquivo XML remoto e executar comandos do sistema durante sua inicialização. Embora a autenticação seja necessária via API Jolokia, versões específicas estão vulneráveis sem autenticação devido a outro bug. Os pesquisadores alertam que, embora a CVE-2026-34197 não esteja sendo ativamente explorada, sinais de exploração foram observados nos logs do broker. Organizações que utilizam ActiveMQ devem tratar essa vulnerabilidade como prioridade alta, dada a recorrência de ataques a essa tecnologia.

A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) concedeu um prazo de quatro dias para que agências governamentais dos EUA protejam seus sistemas contra uma vulnerabilidade crítica no Ivanti Endpoint Manager Mobile (EPMM), identificada como CVE-2026-1340. Essa falha de injeção de código permite que atacantes não autorizados executem código remotamente em dispositivos EPMM expostos à Internet e não corrigidos. A Ivanti já havia alertado sobre essa e outra vulnerabilidade (CVE-2026-1281) em janeiro, quando lançou atualizações de segurança. A CISA incluiu a CVE-2026-1340 em seu catálogo de vulnerabilidades conhecidas e ordenou que as agências federais aplicassem patches até a meia-noite de 11 de abril. A agência destacou que esse tipo de vulnerabilidade é um vetor de ataque comum e representa riscos significativos para a segurança federal. A Ivanti, que fornece produtos de gerenciamento de ativos de TI para mais de 40.000 clientes, já teve outras vulnerabilidades exploradas em ataques zero-day nos últimos anos, afetando diversas agências governamentais ao redor do mundo.

Uma vulnerabilidade de alta severidade, identificada como CVE-2025-59528, foi descoberta na plataforma de código aberto Flowise, utilizada para desenvolver aplicativos de LLM e sistemas autônomos. Essa falha permite a injeção de código JavaScript sem a realização de verificações de segurança, possibilitando a execução de comandos e acesso ao sistema de arquivos. O problema reside no nó CustomMCP do Flowise, que avalia de forma insegura a configuração do servidor MCP fornecida pelo usuário. A vulnerabilidade foi divulgada publicamente em setembro e, embora a atividade de exploração tenha sido detectada recentemente, existem entre 12.000 e 15.000 instâncias do Flowise expostas na internet. A empresa VulnCheck, que monitora essas atividades, recomenda que os usuários atualizem para a versão 3.1.1 ou, no mínimo, para a 3.0.6, e considerem remover suas instâncias da internet pública se o acesso externo não for necessário. Além disso, outras vulnerabilidades, como CVE-2025-8943 e CVE-2025-26319, também afetam o Flowise e estão sendo ativamente exploradas.

Uma vulnerabilidade crítica foi identificada no complemento premium Ninja Forms File Uploads para WordPress, permitindo o upload de arquivos arbitrários sem autenticação, o que pode resultar em execução remota de código. Classificada como CVE-2026-0740, essa falha já está sendo explorada em ataques ativos, com mais de 3.600 tentativas bloqueadas pelo firewall Wordfence em apenas 24 horas. O Ninja Forms, um construtor de formulários popular com mais de 600.000 downloads, permite que usuários criem formulários sem codificação. A extensão de upload de arquivos, utilizada por cerca de 90.000 clientes, apresenta uma gravidade de 9.8 em 10. A vulnerabilidade se origina da falta de validação dos tipos de arquivos e extensões no nome do arquivo de destino, permitindo que atacantes não autenticados façam upload de arquivos maliciosos, incluindo scripts PHP. A exploração dessa falha pode levar a consequências severas, como a instalação de web shells e a tomada total do site. A vulnerabilidade foi descoberta em 8 de janeiro e um patch completo foi disponibilizado em 19 de março. Usuários do Ninja Forms File Upload são fortemente aconselhados a atualizar para a versão mais recente para mitigar riscos.

Uma vulnerabilidade de alta severidade foi identificada no Docker Engine, permitindo que atacantes contornem plugins de autorização (AuthZ) em circunstâncias específicas. A falha, identificada como CVE-2026-34040, possui uma pontuação CVSS de 8.8 e resulta de uma correção incompleta da vulnerabilidade CVE-2024-41110, revelada em julho de 2024. De acordo com os mantenedores do Docker, um atacante pode enviar uma solicitação de API especialmente elaborada, fazendo com que o daemon do Docker encaminhe a solicitação para um plugin de autorização sem o corpo da requisição. Isso pode permitir que um pedido que normalmente seria negado seja aceito, comprometendo a segurança. A vulnerabilidade foi descoberta por vários pesquisadores de segurança e já foi corrigida na versão 29.3.1 do Docker Engine. O impacto é significativo, pois permite a criação de contêineres privilegiados com acesso ao sistema de arquivos do host, expondo credenciais e dados sensíveis. Além disso, agentes de inteligência artificial (IA) podem ser induzidos a executar códigos maliciosos que exploram essa vulnerabilidade, aumentando ainda mais o risco. Recomenda-se que as organizações evitem o uso de plugins AuthZ que dependem da inspeção do corpo da requisição e limitem o acesso à API do Docker.

Uma grave vulnerabilidade de segurança foi identificada na plataforma de inteligência artificial Flowise, com a classificação CVE-2025-59528, que possui um escore CVSS de 10.0, indicando sua severidade máxima. Essa falha, uma vulnerabilidade de injeção de código, permite a execução remota de código, possibilitando que atacantes executem JavaScript arbitrário no servidor Flowise. O problema reside no nó CustomMCP, que processa configurações de conexão com servidores externos sem validação de segurança adequada, permitindo acesso a módulos perigosos como child_process e fs, que podem comprometer completamente o sistema e permitir a exfiltração de dados sensíveis.

Uma nova vulnerabilidade, chamada BlueHammer, foi divulgada por um pesquisador de segurança insatisfeito com a forma como a Microsoft lidou com o processo de divulgação. Essa falha de escalonamento de privilégios no Windows permite que atacantes obtenham permissões de SYSTEM ou administrador elevado. Sem um patch oficial disponível, a vulnerabilidade é considerada um zero-day. O pesquisador, que se identifica como Chaotic Eclipse, expressou frustração com a Microsoft e publicou um repositório no GitHub contendo o código de exploração. Embora a exploração exija acesso local, o risco é significativo, pois atacantes podem obter acesso local por meio de engenharia social ou outras vulnerabilidades. A falha combina um problema de TOCTOU (time-of-check to time-of-use) e confusão de caminho, permitindo acesso ao banco de dados Security Account Manager (SAM), que contém hashes de senhas. Especialistas confirmaram que, embora o exploit funcione, ele pode apresentar bugs que dificultam sua eficácia em algumas versões do Windows, como o Windows Server. A Microsoft ainda não se pronunciou sobre a questão.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu uma ordem para que agências federais protejam suas instâncias do FortiClient Enterprise Management Server (EMS) contra uma vulnerabilidade criticamente explorada, identificada como CVE-2026-35616. Esta falha, descoberta pela empresa de cibersegurança Defused, permite que atacantes contornem controles de autenticação e autorização, possibilitando a execução de comandos maliciosos. A Fortinet, fabricante do FortiClient, lançou correções de emergência e alertou que a vulnerabilidade está sendo ativamente explorada em ataques zero-day. A CISA incluiu a CVE-2026-35616 em seu catálogo de Vulnerabilidades Conhecidas e Explotadas (KEV) e exigiu que as agências federais aplicassem patches até a meia-noite de 9 de abril. Apesar de a ordem se aplicar apenas a agências federais, a CISA recomendou que todas as organizações, incluindo as do setor privado, priorizassem a correção dessa vulnerabilidade. Atualmente, cerca de 2.000 instâncias do FortiClient EMS estão expostas na internet, com mais de 1.400 IPs localizados nos EUA e na Europa, aumentando a urgência para a aplicação das correções.

A Fortinet divulgou um alerta sobre uma vulnerabilidade crítica no FortiClient Enterprise Management Server (EMS), identificada como CVE-2026-35616, que está sendo ativamente explorada em ataques. Esta falha de controle de acesso inadequado permite que atacantes não autenticados executem comandos ou códigos maliciosos por meio de requisições especialmente elaboradas. A vulnerabilidade afeta as versões 7.4.5 e 7.4.6 do FortiClient EMS, e a empresa recomenda que os clientes vulneráveis instalem imediatamente os hotfixes disponíveis. A falha foi descoberta pela empresa de cibersegurança Defused, que observou sua exploração como um zero-day antes de reportá-la à Fortinet. Além disso, a Shadowserver identificou mais de 2.000 instâncias expostas do FortiClient EMS, principalmente nos EUA e na Alemanha. A Fortinet também está trabalhando em uma correção para a versão 7.4.7 do software. A empresa enfatiza a urgência da atualização, especialmente após a identificação de outra vulnerabilidade crítica no mesmo sistema, o CVE-2026-21643, que foi reportada na semana anterior e também está sendo explorada em ataques.

Uma operação de grande escala de coleta de credenciais foi identificada, utilizando a vulnerabilidade React2Shell como vetor inicial para roubar credenciais de banco de dados, chaves privadas SSH, segredos da Amazon Web Services (AWS), histórico de comandos de shell, chaves da API do Stripe e tokens do GitHub. A Cisco Talos atribuiu essa operação a um grupo de ameaças conhecido como UAT-10608, que comprometeu pelo menos 766 hosts em diversas regiões geográficas e provedores de nuvem. Após o comprometimento, o grupo utiliza scripts automatizados para extrair e exfiltrar credenciais, que são então enviadas para um servidor de comando e controle (C2) que possui uma interface gráfica chamada ‘NEXUS Listener’. Essa interface permite que os operadores visualizem as informações roubadas e realizem análises estatísticas sobre as credenciais coletadas. A campanha visa especificamente aplicações Next.js vulneráveis à falha crítica CVE-2025-55182, que pode resultar em execução remota de código. A amplitude do conjunto de vítimas sugere um padrão de ataque automatizado, utilizando serviços como Shodan para identificar implantações vulneráveis. As organizações são aconselhadas a auditar seus ambientes e implementar práticas de segurança rigorosas para mitigar esses riscos.

A Cisco divulgou atualizações de segurança para corrigir várias vulnerabilidades críticas e de alta severidade, incluindo uma falha de bypass de autenticação no Integrated Management Controller (IMC), que permite que atacantes obtenham acesso administrativo. Conhecido como CIMC, o Cisco IMC é um módulo de hardware presente nas placas-mãe dos servidores Cisco, oferecendo gerenciamento fora de banda para os servidores UCS C-Series e E-Series. A vulnerabilidade, rastreada como CVE-2026-20093, foi identificada na funcionalidade de alteração de senha do Cisco IMC e pode ser explorada remotamente por atacantes não autenticados. A Cisco recomenda fortemente que os clientes atualizem para o software corrigido, uma vez que não existem soluções alternativas para mitigar essa falha de segurança. Além disso, a empresa lançou patches para outra vulnerabilidade crítica (CVE-2026-20160) no Smart Software Manager On-Prem, que pode permitir a execução remota de código por atacantes sem privilégios. A Cisco também enfrentou um incidente de segurança em seu ambiente de desenvolvimento interno, onde credenciais foram comprometidas durante um ataque à cadeia de suprimentos. Diante disso, a atualização imediata dos sistemas é essencial para evitar possíveis explorações.

A Cisco lançou atualizações para corrigir uma falha de segurança crítica no Integrated Management Controller (IMC), identificada como CVE-2026-20093, que permite a um atacante remoto não autenticado contornar a autenticação e obter acesso ao sistema com privilégios elevados. A vulnerabilidade, que possui uma pontuação CVSS de 9.8, resulta de um manuseio incorreto de solicitações de alteração de senha. Um atacante pode explorar essa falha enviando uma solicitação HTTP manipulada para um dispositivo afetado, o que pode permitir a alteração de senhas de qualquer usuário, incluindo administradores.

A organização sem fins lucrativos Shadowserver identificou mais de 14 mil instâncias do BIG-IP APM expostas na internet, em meio a ataques que exploram uma vulnerabilidade crítica de execução remota de código (RCE). O BIG-IP APM, uma solução da F5 para gerenciamento de acesso, foi inicialmente classificado como uma vulnerabilidade de negação de serviço (DoS) em outubro, mas foi reclassificado como RCE após novas informações surgirem em março de 2026. A F5 alertou que atacantes sem privilégios estão explorando essa falha em sistemas não corrigidos, especialmente aqueles com políticas de acesso configuradas em servidores virtuais. Apesar de uma ordem da CISA para que agências federais protegessem seus sistemas até a meia-noite de segunda-feira, mais de 14 mil instâncias permanecem vulneráveis. A F5 também forneceu indicadores de comprometimento e recomendações para verificar logs e discos em busca de atividades maliciosas, sugerindo a reconstrução dos sistemas afetados a partir de fontes confiáveis para evitar a persistência de malware. A empresa atende mais de 23 mil clientes, incluindo grandes corporações, e suas vulnerabilidades têm sido alvo de grupos de cibercrime e nações-estado nos últimos anos.

A Apple anunciou a ampliação da atualização de segurança iOS 18.7.7 e iPadOS 18.7.7 para uma gama mais ampla de dispositivos, visando proteger os usuários de um exploit kit recentemente revelado, conhecido como DarkSword. A atualização, que começou a ser disponibilizada em 1º de abril de 2026, é crucial para dispositivos que ainda operam em versões mais antigas do sistema. O DarkSword, que tem sido utilizado em ataques cibernéticos desde julho de 2025, é capaz de comprometer dispositivos que executam versões entre iOS 18.4 e 18.7, ativando-se quando o usuário visita um site legítimo, mas comprometido. Os ataques podem implantar backdoors e ferramentas de mineração de dados, resultando em roubo de informações. A Apple já havia alertado os usuários sobre a necessidade de atualizar para versões mais recentes, como iOS 15.8.7 e 16.7.15, para mitigar outras vulnerabilidades. A empresa também começou a enviar notificações de bloqueio de tela para dispositivos mais antigos, alertando sobre os riscos de ataques baseados na web. A situação é preocupante, pois uma nova versão do kit foi vazada, aumentando o risco de exploração por outros atores maliciosos.

Hackers têm atacado servidores de conferência TrueConf, explorando uma vulnerabilidade zero-day identificada como CVE-2026-3502, que permite a execução de arquivos arbitrários em todos os pontos finais conectados. A falha, classificada como de severidade média, resulta de uma verificação de integridade ausente no mecanismo de atualização do software, possibilitando que um invasor substitua uma atualização legítima por uma variante maliciosa. O TrueConf, utilizado por mais de 100 mil organizações, incluindo forças armadas e agências governamentais, é uma plataforma de videoconferência que pode ser hospedada localmente ou na nuvem. A campanha de ataques, denominada TrueChaos, tem como alvo entidades governamentais no Sudeste Asiático e é atribuída a um ator de ameaça com vínculos chineses. Os pesquisadores da CheckPoint identificaram que, ao obter controle do servidor TrueConf, um atacante pode distribuir arquivos maliciosos disfarçados de atualizações legítimas. A vulnerabilidade afeta as versões 8.1.0 a 8.5.2, e um patch foi disponibilizado na versão 8.5.3 em março de 2026. Os sinais de comprometimento incluem a presença de arquivos suspeitos e tráfego de rede associado a uma infraestrutura de comando e controle chamada Havoc.

A Gigabyte, fabricante de hardware, divulgou um alerta sobre uma vulnerabilidade crítica no seu software GIGABYTE Control Center, que afeta versões anteriores à 25.12.10.01. Essa falha, identificada como CVE-2026-4415, permite que atacantes remotos não autenticados escrevam arquivos arbitrários no sistema operacional, executem códigos maliciosos e escalem privilégios, podendo causar negação de serviço. A vulnerabilidade está relacionada à funcionalidade de ‘pairing’, que facilita a comunicação do software com outros dispositivos na rede. O National Vulnerability Database classificou a gravidade da falha com uma pontuação de 9.2/10, indicando um risco elevado. A Gigabyte recomenda que todos os usuários atualizem imediatamente para a versão corrigida do software para proteger seus sistemas. A falha foi inicialmente divulgada pelo Computer Emergency Response Team de Taiwan, que reconheceu o pesquisador David Sprüngli pela descoberta. A atualização inclui melhorias na gestão de caminhos de download, processamento de mensagens e criptografia de comandos, fechando a brecha de segurança.

O Google lançou atualizações de emergência para corrigir uma vulnerabilidade zero-day no Chrome, identificada como CVE-2026-5281, que está sendo explorada ativamente em ataques. Esta é a quarta falha de segurança desse tipo corrigida desde o início do ano. A vulnerabilidade é originada de uma fraqueza do tipo use-after-free no Dawn, a implementação multiplataforma do padrão WebGPU utilizada pelo projeto Chromium. Os atacantes podem explorar essa falha para causar travamentos no navegador, corrupção de dados e outros comportamentos anormais. O Google confirmou que há evidências de que essa vulnerabilidade está sendo utilizada em ataques, mas não divulgou detalhes específicos sobre os incidentes. A correção já está disponível para usuários do canal Estável do Chrome em versões para Windows, macOS e Linux. Embora a atualização possa levar dias ou semanas para alcançar todos os usuários, ela já estava acessível no momento da verificação. Este incidente ressalta a importância de manter os navegadores atualizados para evitar riscos de segurança.

O GIGABYTE Control Center (GCC), uma ferramenta essencial para gerenciamento de hardware em laptops e placas-mãe da GIGABYTE, apresenta uma vulnerabilidade crítica que permite a um atacante remoto e não autenticado escrever arquivos arbitrários no sistema operacional subjacente. Essa falha, identificada como CVE-2026-4415, foi descoberta pelo pesquisador de segurança David Sprüngli e possui uma classificação de severidade de 9.2 em 10, segundo o sistema CVSS v4.0. A vulnerabilidade afeta versões do GCC até 25.07.21.01, especialmente quando a função de “pareamento” está ativada. A exploração bem-sucedida dessa falha pode resultar em execução de código arbitrário, escalonamento de privilégios e até mesmo condições de negação de serviço. A GIGABYTE recomenda que todos os usuários atualizem para a versão mais recente do GCC, 25.12.10.01, que corrige essa e outras falhas. É crucial que os usuários baixem a atualização diretamente do portal oficial da GIGABYTE para evitar instaladores comprometidos. A falta de resposta da GIGABYTE sobre a vulnerabilidade levanta preocupações adicionais sobre a gestão de segurança da empresa.

Recentemente, foram descobertas vulnerabilidades críticas nos editores de texto Vim e GNU Emacs, que permitem a execução remota de código (RCE) ao abrir arquivos maliciosos. O pesquisador Hung Nguyen, da Calif, identificou falhas no Vim que resultam da falta de verificações de segurança e problemas no manuseio de modelines, que são instruções contidas no início dos arquivos. Essas falhas afetam todas as versões do Vim até 9.2.0271 e foram corrigidas na versão 9.2.0272, após a notificação dos mantenedores do software.

Pesquisadores de cibersegurança da Palo Alto Networks revelaram uma falha de segurança na plataforma Vertex AI do Google Cloud, que pode ser explorada por atacantes para acessar dados sensíveis e comprometer ambientes em nuvem. O problema está relacionado ao modelo de permissões do Vertex AI, que, por padrão, concede permissões excessivas ao agente de serviço associado a um agente de IA. Isso permite que um agente mal configurado ou comprometido atue como um ‘agente duplo’, exfiltrando dados sem autorização. A pesquisa destacou que o agente de serviço por projeto e produto (P4SA) pode ter suas credenciais extraídas, permitindo que um invasor realize ações em nome do agente. Além disso, as credenciais comprometidas podem dar acesso a repositórios restritos do Google, expondo ainda mais a infraestrutura interna da plataforma. O Google já atualizou sua documentação e recomenda que os clientes adotem a prática de ‘Bring Your Own Service Account’ (BYOSA) para limitar as permissões concedidas aos agentes de IA. A falha representa um risco significativo, transformando um agente de IA de uma ferramenta útil em uma potencial ameaça interna.

Uma falha de segurança de alta gravidade foi identificada no software de videoconferência TrueConf, classificada como CVE-2026-3502, com um score CVSS de 7.8. Essa vulnerabilidade permite que atacantes distribuam atualizações maliciosas, resultando na execução de código arbitrário em sistemas vulneráveis. A falha foi explorada em uma campanha chamada TrueChaos, que visa entidades governamentais no Sudeste Asiático. A Check Point, empresa de cibersegurança, relatou que a vulnerabilidade se origina de uma verificação de integridade inadequada no mecanismo de atualização do TrueConf, permitindo que um servidor comprometido substitua pacotes de atualização legítimos por versões adulteradas. O ataque pode implantar o framework de comando e controle Havoc em pontos finais vulneráveis. A exploração dessa vulnerabilidade não requer a comprometimento de cada endpoint individualmente, mas sim a manipulação da relação de confiança entre o servidor TrueConf e seus clientes. A atualização para a versão 8.5.3 do TrueConf já corrige essa falha, mas a ameaça persiste, especialmente considerando a atribuição do ataque a um ator de ameaça com vínculos chineses.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu uma ordem para que agências governamentais atualizassem seus dispositivos Citrix NetScaler devido a uma vulnerabilidade crítica (CVE-2026-3055) que está sendo ativamente explorada. Essa falha, identificada como resultado de validação insuficiente de entrada, permite que atacantes remotos não autenticados acessem informações sensíveis em dispositivos Citrix ADC ou Citrix Gateway configurados como provedores de identidade SAML. A CISA destacou que a vulnerabilidade representa um vetor de ataque frequente para agentes maliciosos e pode levar a uma tomada de controle total de dispositivos não corrigidos. Apesar de a Citrix ter emitido orientações detalhadas e atualizações de segurança, a CISA ainda não confirmou se os ataques estão em andamento. A agência também alertou que a correção deve ser priorizada por todas as organizações, incluindo o setor privado. A situação é crítica, especialmente considerando que a CISA já havia identificado outras vulnerabilidades da Citrix como exploradas no passado, aumentando a urgência para a aplicação de patches.

Hackers estão explorando uma vulnerabilidade crítica, identificada como CVE-2026-3055, em dispositivos Citrix NetScaler ADC e NetScaler Gateway, permitindo o acesso a dados sensíveis. A Citrix divulgou inicialmente essa falha em um boletim de segurança em 23 de março, juntamente com outra vulnerabilidade de alta severidade, CVE-2026-4368. A falha afeta versões anteriores a 14.1-60.58 e 13.1-62.23, além de versões mais antigas que 13.1-37.262. A Citrix destacou que a vulnerabilidade impacta apenas dispositivos configurados como provedores de identidade SAML (IDP) e que a ação é necessária apenas para administradores de dispositivos locais.

Um novo relatório da Check Point revelou uma vulnerabilidade crítica no ChatGPT da OpenAI, que permitia a exfiltração de dados sensíveis sem o consentimento do usuário. A falha, que foi corrigida em 20 de fevereiro de 2026, explorava um canal de comunicação DNS oculto, permitindo que informações fossem enviadas para fora do ambiente sem que o sistema detectasse. Isso significa que um prompt malicioso poderia transformar uma conversa comum em um canal de vazamento de dados, expondo mensagens e arquivos carregados. Embora não haja evidências de que a vulnerabilidade tenha sido explorada maliciosamente, a descoberta destaca a necessidade de camadas adicionais de segurança em ambientes corporativos que utilizam IA. Além disso, uma vulnerabilidade separada no OpenAI Codex permitiu a injeção de comandos, comprometendo tokens de acesso do GitHub, o que poderia levar a um acesso não autorizado a repositórios. Ambas as falhas ressaltam a importância de uma arquitetura de segurança robusta para proteger dados sensíveis em sistemas de IA.

A empresa de cibersegurança F5 Networks reclassificou uma vulnerabilidade no BIG-IP APM, anteriormente considerada uma falha de negação de serviço (DoS), como uma falha crítica de execução remota de código (RCE). Essa vulnerabilidade, identificada como CVE-2025-53521, permite que atacantes não privilegiados realizem execução remota de código em sistemas BIG-IP APM com políticas de acesso configuradas em um servidor virtual. A F5 alertou que a vulnerabilidade está sendo explorada ativamente, com a possibilidade de implantação de webshells em dispositivos não corrigidos. A organização também forneceu indicadores de comprometimento (IOCs) e recomendou que os administradores verifiquem os discos, logs e histórico de terminais de seus sistemas BIG-IP em busca de atividades maliciosas. A CISA dos EUA incluiu essa vulnerabilidade em sua lista de falhas ativamente exploradas e ordenou que agências federais garantissem a segurança de seus sistemas até 30 de março. A F5 enfatizou a importância de seguir as diretrizes de segurança corporativa e as melhores práticas forenses em caso de incidentes. Com mais de 240 mil instâncias do BIG-IP expostas online, a situação representa um risco significativo para a segurança das redes corporativas.

Uma vulnerabilidade crítica, identificada como CVE-2026-21643, foi descoberta na plataforma FortiClient EMS da Fortinet e está sendo ativamente explorada por atacantes. Essa falha de injeção SQL permite que agentes mal-intencionados não autenticados executem comandos arbitrários em sistemas não corrigidos, utilizando ataques de baixa complexidade direcionados à interface web do FortiClient EMS. A vulnerabilidade afeta a versão 7.4.4 do FortiClient EMS e pode ser corrigida com a atualização para a versão 7.4.5 ou posterior. Apesar de a CISA não ter listado a vulnerabilidade como explorada, dados recentes indicam que a exploração começou há apenas quatro dias. A empresa Fortinet ainda não atualizou seu aviso de segurança sobre a situação. Atualmente, cerca de 1.000 instâncias do FortiClient EMS estão expostas publicamente, com mais de 1.400 IPs localizados nos Estados Unidos e na Europa. A exploração de vulnerabilidades da Fortinet é comum em ataques de ransomware e campanhas de espionagem cibernética, o que torna a situação ainda mais crítica para as empresas que utilizam essa tecnologia.

Uma vulnerabilidade no plugin Smart Slider 3, utilizado em mais de 800 mil sites WordPress, permite que usuários autenticados, como assinantes, acessem arquivos arbitrários no servidor. A falha, identificada como CVE-2026-3098, foi descoberta pelo pesquisador Dmitrii Ignatyev e afeta todas as versões do plugin até a 3.5.1.33. O problema se origina da falta de verificações de capacidade nas ações de exportação AJAX do plugin, permitindo que qualquer usuário autenticado invoque funções que não validam o tipo ou a origem dos arquivos. Isso significa que arquivos sensíveis, como o wp-config.php, que contém credenciais do banco de dados, podem ser acessados, aumentando o risco de roubo de dados e comprometimento total do site. Embora a vulnerabilidade tenha recebido uma classificação de severidade média, ela ainda representa um risco significativo, especialmente para sites com opções de assinatura. A Nextendweb, desenvolvedora do plugin, lançou um patch em 24 de março, mas estima-se que cerca de 500 mil sites ainda estejam vulneráveis. Os administradores de sites devem agir rapidamente para mitigar os riscos associados a essa falha.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma falha crítica no F5 BIG-IP Access Policy Manager (APM) em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), após evidências de exploração ativa. A vulnerabilidade, identificada como CVE-2025-53521, possui uma pontuação CVSS v4 de 9.3, permitindo que um ator malicioso execute código remotamente. Inicialmente classificada como uma vulnerabilidade de negação de serviço (DoS), a F5 reclassificou-a após novas informações em março de 2026. A empresa confirmou que a falha foi explorada nas versões vulneráveis do BIG-IP e forneceu indicadores para verificar se o sistema foi comprometido, incluindo alterações em arquivos e logs específicos. As versões afetadas incluem 17.5.0 a 17.5.1, 17.1.0 a 17.1.2, entre outras. Diante da exploração ativa, agências federais têm até 30 de março de 2026 para aplicar as correções necessárias. Especialistas alertam que a situação representa um risco significativamente maior do que o inicialmente comunicado, exigindo atenção imediata dos administradores de sistema.

Uma vulnerabilidade crítica, identificada como CVE-2026-3055, foi recentemente divulgada, afetando o Citrix NetScaler ADC e o NetScaler Gateway. Com uma pontuação CVSS de 9.3, a falha se refere a uma validação insuficiente de entrada, que pode levar a uma leitura excessiva de memória, permitindo que um atacante potencialmente vaze informações sensíveis. A exploração bem-sucedida dessa vulnerabilidade depende da configuração do dispositivo como um Provedor de Identidade SAML (SAML IDP).

Atualmente, atividades de reconhecimento ativo estão sendo observadas, com atacantes tentando identificar se as instâncias do NetScaler estão configuradas como SAML IDP. Especialistas de segurança, como a Defused Cyber e a watchTowr, alertaram que a exploração pode ocorrer a qualquer momento, e as organizações que utilizam versões afetadas devem aplicar patches imediatamente. As versões vulneráveis incluem o NetScaler ADC e Gateway 14.1 antes da 14.1-66.59 e 13.1 antes da 13.1-62.23.

Pesquisadores de cibersegurança revelaram uma vulnerabilidade crítica no Open VSX, que afeta o processo de verificação de extensões do Visual Studio Code (VS Code). A falha, identificada como ‘Open Sesame’, permitiu que extensões maliciosas passassem pelo processo de verificação e fossem publicadas no repositório. O problema reside em um retorno booleano que não diferencia entre ’nenhum scanner configurado’ e ’todos os scanners falharam’, levando a uma interpretação errônea dos resultados de verificação. Quando os scanners falhavam sob carga, o Open VSX considerava que não havia nada a escanear, permitindo que extensões maliciosas fossem ativadas e disponibilizadas para download. A vulnerabilidade foi explorada por atacantes que inundaram o endpoint de publicação com várias extensões maliciosas, esgotando o pool de conexões do banco de dados e impedindo que os trabalhos de verificação fossem enfileirados. A falha foi corrigida na versão 0.32.0 do Open VSX, após divulgação responsável em fevereiro de 2026. A situação destaca a importância de um design robusto em pipelines de segurança, onde estados de falha devem ser explicitamente tratados.

A Cybersecurity and Infrastructure Security Agency (CISA) emitiu um alerta sobre a exploração ativa de uma vulnerabilidade crítica, identificada como CVE-2026-33017, que afeta o framework Langflow, amplamente utilizado para a construção de agentes de inteligência artificial. Com uma pontuação de 9.3 em 10, essa falha permite a execução remota de código, possibilitando que atacantes criem fluxos públicos sem autenticação. A exploração começou rapidamente após a divulgação do aviso, com atividades de escaneamento automatizado iniciando em apenas 20 horas e a coleta de dados em 24 horas. O Langflow, um framework visual open-source com 145 mil estrelas no GitHub, é um alvo atrativo para hackers devido à sua popularidade. A CISA recomenda que administradores de sistemas atualizem para a versão 1.9.0 ou superior para mitigar a vulnerabilidade ou restrinjam o endpoint vulnerável. Embora a CISA não tenha classificado a exploração como relacionada a ransomware, a urgência da atualização é clara, especialmente para organizações sob a Diretiva Operacional Vinculativa (BOD) 22-01. A situação destaca a importância de monitorar o tráfego de saída e rotacionar credenciais em caso de atividades suspeitas.

Pesquisadores de cibersegurança identificaram uma vulnerabilidade crítica na extensão do Google Chrome do assistente Claude, da Anthropic, que poderia ser explorada para injetar comandos maliciosos apenas ao visitar uma página da web. A falha, chamada ShadowPrompt, resulta de uma lista de permissões excessivamente permissiva e uma vulnerabilidade de cross-site scripting (XSS) em um componente CAPTCHA da Arkose Labs. Essa combinação permite que um atacante injete código JavaScript que simula um comando legítimo do usuário, possibilitando o roubo de dados sensíveis, acesso ao histórico de conversas e até ações em nome da vítima, como o envio de e-mails. Após a divulgação responsável da vulnerabilidade em dezembro de 2025, a Anthropic lançou uma correção que restringe as permissões da extensão, enquanto a Arkose Labs também corrigiu a falha de XSS. A crescente complexidade e capacidade dos assistentes de IA os tornam alvos valiosos para ataques, destacando a importância de uma segurança robusta nas extensões de navegador.

Recentemente, a vulnerabilidade PolyShell, presente nas versões 2 do Magento Open Source e Adobe Commerce, começou a ser explorada em massa, afetando mais de 56% das lojas vulneráveis. A empresa de segurança Sansec relatou que os ataques começaram em 19 de março, apenas dois dias após a divulgação pública do problema. A falha está relacionada à API REST do Magento, que permite o upload de arquivos, possibilitando a execução remota de código e a tomada de controle de contas através de cross-site scripting (XSS) armazenado, dependendo da configuração do servidor web.

A TP-Link anunciou a correção de várias vulnerabilidades em sua série de roteadores Archer NX, incluindo uma falha de gravidade crítica, identificada como CVE-2025-15517. Essa vulnerabilidade permite que atacantes contornem a autenticação e façam upload de novos firmwares, afetando os modelos Archer NX200, NX210, NX500 e NX600. A falha se origina de uma verificação de autenticação ausente em certos endpoints CGI do servidor HTTP, permitindo acesso não autenticado a ações que deveriam ser restritas a usuários autenticados. Além disso, a TP-Link removeu uma chave criptográfica hardcoded (CVE-2025-15605) que permitia a atacantes autenticados descriptografar e modificar arquivos de configuração. Outras duas vulnerabilidades de injeção de comando (CVE-2025-15518 e CVE-2025-15519) também foram corrigidas, permitindo que administradores executassem comandos arbitrários. A empresa recomenda fortemente que os usuários atualizem para a versão mais recente do firmware para evitar possíveis ataques. A CISA já havia classificado outras falhas da TP-Link como exploradas em ataques, destacando a necessidade de atenção contínua à segurança desses dispositivos.

A Citrix lançou patches para duas vulnerabilidades críticas que afetam seus dispositivos NetScaler ADC e soluções de acesso remoto seguro NetScaler Gateway. A primeira falha, identificada como CVE-2026-3055, resulta de uma validação insuficiente de entrada, permitindo que atacantes remotos não privilegiados possam acessar informações sensíveis, como tokens de sessão, em dispositivos configurados como provedores de identidade SAML. A empresa recomenda que os clientes afetados atualizem suas versões imediatamente. A segunda vulnerabilidade, CVE-2026-4368, afeta dispositivos configurados como Gateways e pode permitir que atores maliciosos com privilégios baixos explorem uma condição de corrida, resultando em confusão de sessões de usuários. Ambas as falhas impactam as versões 13.1 e 14.1 do NetScaler ADC e Gateway. A Shadowserver, um grupo de vigilância de segurança na internet, está monitorando mais de 30.000 instâncias do NetScaler ADC expostas online, mas não há informações sobre quantas estão vulneráveis. Especialistas em cibersegurança alertam que a exploração dessas falhas é iminente, especialmente devido à similaridade com vulnerabilidades anteriores amplamente exploradas, como CitrixBleed.

Um novo estudo da equipe Donjon da Ledger revelou uma vulnerabilidade crítica em smartphones Android que utilizam processadores MediaTek. Essa falha permite que hackers acessem dados sensíveis, como PINs e frases-semente de carteiras de criptomoedas, mesmo quando os dispositivos estão desligados. O ataque é realizado através de uma conexão USB, onde os invasores podem extrair chaves criptográficas antes que o sistema operacional seja carregado. Essa vulnerabilidade afeta cerca de um quarto dos smartphones Android no mundo, destacando a fragilidade da segurança em dispositivos móveis. O CTO da Ledger, Charles Guillemet, enfatizou que smartphones não foram projetados para serem cofres e que a atualização de segurança é crucial para mitigar esses riscos. A vulnerabilidade foi divulgada sob o processo padrão de 90 dias, e a MediaTek já começou a implementar patches para os fabricantes de dispositivos. Usuários são aconselhados a instalar atualizações de segurança imediatamente para proteger seus dados.

A Citrix divulgou atualizações de segurança para corrigir duas vulnerabilidades em seu NetScaler ADC e NetScaler Gateway, incluindo uma falha crítica que pode ser explorada para vazar dados sensíveis. A primeira vulnerabilidade, CVE-2026-3055, possui um CVSS de 9.3 e refere-se a uma validação insuficiente de entrada que pode permitir que atacantes remotos não autenticados leiam informações sensíveis da memória do dispositivo. Para que essa exploração seja bem-sucedida, o dispositivo deve estar configurado como um Provedor de Identidade SAML (SAML IDP). A segunda vulnerabilidade, CVE-2026-4368, com um CVSS de 7.7, resulta de uma condição de corrida que pode levar à confusão de sessões de usuário, exigindo que o dispositivo esteja configurado como um gateway ou servidor AAA. As versões afetadas incluem NetScaler ADC e Gateway 14.1 antes de 14.1-66.59 e 13.1 antes de 13.1-62.23. Embora não haja evidências de exploração ativa, a história de falhas de segurança em dispositivos NetScaler torna urgente que os usuários apliquem as atualizações. Especialistas alertam que a exploração dessas vulnerabilidades é altamente provável, dada a importância crítica dos NetScalers em ambientes corporativos.

A Microsoft lançou uma atualização de emergência para resolver um problema significativo que impede o login em contas Microsoft em diversos aplicativos, incluindo Teams e OneDrive. O erro surgiu após a instalação da atualização cumulativa KB5079473, liberada durante o Patch Tuesday deste mês, que gerou uma mensagem de erro informando que os dispositivos afetados não estão conectados à Internet, mesmo quando estão. Além do Teams e OneDrive, aplicativos como Microsoft Edge, Microsoft 365 Copilot e ferramentas do Office, como Excel e Word, também foram impactados. A Microsoft confirmou que o problema afeta apenas operações de login com contas Microsoft, não impactando empresas que utilizam o Entra ID para autenticação. Enquanto uma solução definitiva está sendo desenvolvida, a empresa sugeriu que os usuários reiniciassem seus PCs como uma medida temporária. Para corrigir o problema, a Microsoft começou a distribuir a atualização opcional KB5085516, que inclui correções para a falha e melhorias de segurança. Essa atualização é aplicável a dispositivos Windows 11 nas versões 25H2 e 24H2 e pode ser instalada via Windows Update ou Catálogo de Atualizações da Microsoft.

Uma grave vulnerabilidade de segurança, identificada como CVE-2025-32975, está sendo explorada por atores maliciosos em sistemas Quest KACE Systems Management Appliance (SMA) não atualizados. Com uma pontuação CVSS de 10.0, essa falha permite que atacantes contornem a autenticação e se façam passar por usuários legítimos, possibilitando a tomada de controle total de contas administrativas. A atividade maliciosa foi detectada pela Arctic Wolf, que observou tentativas de exploração a partir da semana de 9 de março de 2026, em ambientes de clientes expostos à internet. Os atacantes utilizam a vulnerabilidade para executar comandos remotos e implantar cargas úteis codificadas em Base64 a partir de um servidor externo. Além disso, foram identificadas modificações no Registro do Windows e a criação de contas administrativas adicionais. Para mitigar essa ameaça, é crucial que os administradores apliquem as atualizações mais recentes e evitem expor instâncias do SMA à internet. A falha foi corrigida em versões específicas do software lançadas em maio de 2025.

A Oracle divulgou atualizações de segurança para corrigir uma falha crítica que afeta o Oracle Identity Manager e o Oracle Web Services Manager, permitindo a execução remota de código. A vulnerabilidade, identificada como CVE-2026-21992, possui uma pontuação CVSS de 9.8, indicando um risco elevado. Segundo a Oracle, a falha é explorável remotamente e sem necessidade de autenticação, o que a torna particularmente perigosa. As versões afetadas incluem o Oracle Identity Manager nas versões 12.2.1.4.0 e 14.1.2.1.0, e o Oracle Web Services Manager nas mesmas versões. A descrição da falha na base de dados de vulnerabilidades do NIST destaca que um atacante não autenticado com acesso à rede via HTTP pode comprometer os sistemas afetados. Embora a Oracle não tenha relatado exploração ativa da vulnerabilidade, recomenda a aplicação imediata das atualizações para garantir a proteção. Este alerta é especialmente relevante, considerando que, em novembro de 2025, uma falha semelhante no Oracle Identity Manager foi adicionada ao catálogo de Vulnerabilidades Conhecidas e Exploradas da CISA, indicando um histórico de exploração ativa. Portanto, a atualização é crucial para a segurança das organizações que utilizam essas tecnologias.

A Oracle lançou uma atualização de segurança fora do cronograma para corrigir uma vulnerabilidade crítica de execução remota de código não autenticada, identificada como CVE-2026-21992, que afeta o Oracle Identity Manager e o Oracle Web Services Manager. Essa falha, com uma pontuação de severidade CVSS v3.1 de 9.8, permite que atacantes explorem o sistema remotamente, sem necessidade de autenticação ou interação do usuário, aumentando o risco em servidores expostos. A Oracle recomenda fortemente que os clientes apliquem os patches imediatamente, especialmente aqueles que utilizam as versões 12.2.1.4.0 e 14.1.2.1.0 do Oracle Identity Manager e do Oracle Web Services Manager. A empresa não confirmou se a vulnerabilidade já foi explorada, mas enfatizou a importância de manter as versões ativas e aplicar todas as atualizações de segurança sem demora. A falha é considerada de baixa complexidade e pode ser explorada via HTTP, o que a torna ainda mais preocupante para as organizações que utilizam essas tecnologias. A Oracle também alertou os clientes para revisar o alerta de segurança para obter detalhes completos sobre os patches disponíveis.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu uma ordem para que agências federais corrijam uma vulnerabilidade de alta severidade, identificada como CVE-2026-20131, no Cisco Secure Firewall Management Center (FMC) até o dia 22 de março. A Cisco divulgou um boletim de segurança no dia 4 de março, alertando os administradores de sistemas sobre a necessidade de aplicar as atualizações de segurança imediatamente, uma vez que não existem soluções alternativas disponíveis. A falha permite que um atacante remoto não autenticado execute código Java arbitrário como root em dispositivos afetados, devido à deserialização insegura de um fluxo de bytes Java fornecido pelo usuário. A situação se agrava com a confirmação de que a vulnerabilidade está sendo ativamente explorada por grupos de ransomware, como o Interlock, que a utilizam desde o final de janeiro. A CISA incluiu essa vulnerabilidade em seu catálogo de Vulnerabilidades Conhecidas Exploradas (KEV), destacando seu uso em campanhas de ransomware. Embora a ordem da CISA se aplique a agências federais, recomendações semelhantes são válidas para empresas privadas e governos estaduais e locais, dada a gravidade da situação.

A Sansec alertou sobre uma falha de segurança crítica na API REST do Magento, que pode permitir que atacantes não autenticados façam upload de executáveis arbitrários, resultando em execução de código e possível tomada de conta. Denominada PolyShell, a vulnerabilidade se aproveita do fato de que o Magento aceita uploads de arquivos como parte das opções personalizadas de itens no carrinho. A falha afeta todas as versões do Magento Open Source e Adobe Commerce até a versão 2.4.9-alpha2. Embora a Adobe tenha corrigido o problema na versão pré-lançamento 2.4.9, as versões em produção permanecem vulneráveis. Para mitigar riscos, recomenda-se restringir o acesso ao diretório de uploads e verificar as regras do servidor web. Além disso, a Sansec observou uma campanha em andamento que comprometeu e desfigurou milhares de sites de e-commerce Magento, afetando grandes marcas globais. A situação destaca a necessidade urgente de ações corretivas por parte de administradores de sistemas e CISOs para proteger suas infraestruturas contra possíveis explorações dessa vulnerabilidade.

Uma nova vulnerabilidade, chamada ‘PolyShell’, foi descoberta e afeta todas as versões estáveis 2 do Magento Open Source e do Adobe Commerce. Essa falha permite a execução de código não autenticado e a tomada de controle de contas. Embora não haja evidências de exploração ativa até o momento, a empresa de segurança eCommerce Sansec alerta que métodos de exploração já estão circulando, prevendo que ataques automatizados possam começar em breve. A Adobe lançou uma correção, mas ela está disponível apenas na segunda versão alfa da versão 2.4.9, deixando as versões de produção vulneráveis. A vulnerabilidade está relacionada à API REST do Magento, que aceita uploads de arquivos como parte das opções personalizadas para itens do carrinho. Quando um produto tem uma opção do tipo ‘arquivo’, o Magento processa um objeto file_info embutido que contém dados de arquivo codificados em base64, tipo MIME e nome do arquivo, escrevendo-o no servidor. A Sansec observou que muitos sites expõem arquivos no diretório de upload, aumentando o risco de execução remota de código ou tomada de conta via XSS armazenado. Até que a Adobe disponibilize um patch para as versões de produção, recomenda-se que os administradores de lojas restrinjam o acesso ao diretório pub/media/custom_options/, verifiquem as regras do servidor web e realizem varreduras em busca de shells e malware.

Hackers do grupo APT28, vinculado ao serviço de inteligência militar da Rússia (GRU), estão explorando uma vulnerabilidade crítica no Zimbra Collaboration Suite (ZCS) para atacar entidades governamentais da Ucrânia. A falha de segurança, identificada como CVE-2025-66376, foi corrigida em novembro e permite que atacantes não autenticados realizem execução remota de código (RCE) através de um ataque de cross-site scripting (XSS) armazenado. A Cybersecurity and Infrastructure Security Agency (CISA) dos EUA incluiu essa vulnerabilidade em seu catálogo de falhas ativamente exploradas e ordenou que agências federais protegessem seus servidores em um prazo de duas semanas. Os ataques, que utilizam e-mails de phishing, têm como alvo instituições críticas, como a Agência Estatal de Hidrologia da Ucrânia. Os hackers enviam mensagens que contêm um payload JavaScript ofuscado, que, ao ser aberto, coleta credenciais e dados sensíveis do usuário. A vulnerabilidade do Zimbra tem sido frequentemente alvo de grupos patrocinados pelo Estado russo, com um histórico de exploração em larga escala. A situação destaca a necessidade urgente de medidas de segurança para proteger sistemas vulneráveis, especialmente em um contexto de crescente atividade cibernética hostil.

A ConnectWise alertou os clientes do ScreenConnect sobre uma vulnerabilidade crítica de verificação de assinatura criptográfica, identificada como CVE-2026-3564, que pode resultar em acesso não autorizado e escalonamento de privilégios. Essa falha afeta versões do ScreenConnect anteriores à 26.1, uma plataforma de acesso remoto amplamente utilizada por provedores de serviços gerenciados (MSPs) e equipes de suporte. Um atacante pode explorar essa vulnerabilidade para extrair e utilizar chaves de máquina ASP.NET para autenticação de sessões não autorizadas. A ConnectWise implementou melhorias na proteção das chaves de máquina na versão 26.1, incluindo armazenamento criptografado e melhor gerenciamento. Os usuários da versão em nuvem foram atualizados automaticamente, enquanto os administradores de sistemas locais devem atualizar imediatamente. A empresa também observou tentativas de exploração da vulnerabilidade, embora não haja evidências de exploração ativa até o momento. A recomendação é que os administradores reforcem o acesso a arquivos de configuração e monitorem atividades de autenticação incomuns.

A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) emitiu uma ordem para que agências governamentais dos EUA protejam seus servidores contra uma vulnerabilidade ativamente explorada no Zimbra Collaboration Suite (ZCS), identificada como CVE-2025-66376. Essa falha de segurança, classificada como de alta severidade, resulta de uma vulnerabilidade de cross-site scripting (XSS) armazenada na interface Classic UI, permitindo que atacantes remotos não autenticados executem JavaScript arbitrário através de e-mails HTML maliciosos. A CISA deu um prazo de duas semanas para que as agências federais implementem correções, conforme a Diretiva Operacional Vinculante (BOD) 22-01. Embora a BOD se aplique apenas a agências federais, a CISA recomendou que todas as organizações, incluindo as do setor privado, realizem a correção dessa falha. O Zimbra já foi alvo de ataques anteriores, com hackers explorando vulnerabilidades para comprometer milhares de servidores de e-mail globalmente. A situação destaca a necessidade urgente de ações de mitigação para evitar possíveis sequestros de sessões e roubo de dados sensíveis.

A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) emitiu um alerta para que agências governamentais dos EUA protejam suas instâncias do Wing FTP Server contra uma vulnerabilidade ativa, identificada como CVE-2025-47813. Essa falha permite que atacantes com privilégios baixos descubram o caminho completo da instalação local do aplicativo em servidores não corrigidos. O Wing FTP Server é um software de servidor FTP multiplataforma, utilizado por mais de 10.000 clientes, incluindo grandes empresas como a Força Aérea dos EUA e a Sony. A vulnerabilidade foi corrigida na versão 7.4.4, lançada em maio de 2025, juntamente com outras falhas críticas que podem levar à execução remota de código e ao vazamento de informações. A CISA enfatizou que essa vulnerabilidade é um vetor de ataque comum e representa riscos significativos para a segurança federal. Embora o alerta se aplique principalmente a agências federais, a CISA incentivou também o setor privado a aplicar as correções necessárias o mais rápido possível, dada a gravidade da situação.

Uma vulnerabilidade crítica no plugin User Registration & Membership, desenvolvido pela WPEverest e instalado em mais de 60.000 sites WordPress, está sendo explorada por hackers. A falha, identificada como CVE-2026-1492, possui uma gravidade de 9.8, permitindo que atacantes criem contas de administrador sem autenticação, o que lhes confere acesso total ao site. Isso possibilita o roubo de dados, como informações de usuários registrados, e a inserção de códigos maliciosos para disseminar malware. A empresa de segurança WordPress Defiant bloqueou mais de 200 tentativas de exploração dessa vulnerabilidade em apenas 24 horas. A falha afeta todas as versões do plugin até a 5.1.2, e a correção foi disponibilizada na versão 5.1.3. Administradores de sites são aconselhados a atualizar para a versão mais recente, 5.1.4, ou desativar temporariamente o plugin se a atualização não for viável. A exploração de vulnerabilidades em plugins do WordPress é uma prática comum entre hackers, visando atividades maliciosas como distribuição de malware e phishing.