Vulnerabilidade Crítica

A Fortinet divulgou patches fora do ciclo regular para uma vulnerabilidade crítica no FortiClient EMS, identificada como CVE-2026-35616, com uma pontuação CVSS de 9.1. Essa falha permite que atacantes não autenticados contornem controles de acesso da API, possibilitando a execução de comandos maliciosos. A vulnerabilidade afeta as versões 7.4.5 a 7.4.6 do FortiClient EMS e já foi observada em exploração ativa. A empresa recomenda que os usuários apliquem um hotfix imediatamente, uma vez que a exploração dessa falha pode resultar em escalonamento de privilégios. A descoberta foi feita por pesquisadores da Defused Cyber e Nguyen Duc Anh, que notaram tentativas de exploração em honeypots desde 31 de março de 2026. Este incidente ocorre pouco tempo após outra vulnerabilidade crítica no mesmo produto, o que levanta preocupações sobre a segurança contínua do FortiClient EMS. A Fortinet alerta que a exploração de vulnerabilidades tende a aumentar durante feriados, quando as equipes de segurança estão menos atentas. Portanto, é crucial que as organizações afetadas tratem essa situação como uma emergência e atualizem seus sistemas o mais rápido possível.

A PTC Inc. emitiu um alerta sobre uma vulnerabilidade crítica identificada como CVE-2026-4681, que afeta suas soluções de gerenciamento de ciclo de vida de produtos, Windchill e FlexPLM. Essa falha pode permitir a execução remota de código através da desserialização de dados confiáveis. A gravidade do problema levou as autoridades alemãs, incluindo a polícia federal (BKA), a tomar medidas emergenciais, enviando agentes para notificar empresas afetadas sobre o risco cibernético. Embora não haja patches oficiais disponíveis no momento, a PTC está desenvolvendo correções para todas as versões suportadas. Enquanto isso, recomenda-se que os administradores de sistema apliquem regras de mitigação para negar acesso ao caminho servlet afetado. A empresa também publicou indicadores de comprometimento (IoCs) e alertou que há evidências de uma ameaça iminente de um grupo externo para explorar essa vulnerabilidade. A resposta rápida das autoridades sugere que a exploração dessa falha pode ter implicações significativas, especialmente em setores críticos como engenharia e manufatura.

Uma vulnerabilidade crítica no Langflow, identificada como CVE-2026-33017, foi explorada ativamente apenas 20 horas após sua divulgação pública. Com uma pontuação CVSS de 9.3, a falha resulta de uma combinação de falta de autenticação e injeção de código, permitindo a execução remota de código sem autenticação. O endpoint vulnerável, /api/v1/build_public_tmp/{flow_id}/flow, permite a construção de fluxos públicos sem exigir autenticação, o que possibilita que atacantes enviem dados controlados por eles, incluindo código Python arbitrário. A exploração bem-sucedida pode permitir que um invasor execute código com privilégios totais do servidor, acessando variáveis de ambiente e arquivos sensíveis.

A Cybersecurity and Infrastructure Security Agency (CISA) alertou sobre a exploração de uma vulnerabilidade crítica no Microsoft SharePoint, identificada como CVE-2026-20963. Essa falha de segurança afeta versões do SharePoint Enterprise Server 2016, SharePoint Server 2019 e SharePoint Server Subscription Edition. A exploração bem-sucedida permite que atacantes não autenticados executem código remotamente em servidores que não foram atualizados, utilizando uma fraqueza na desserialização de dados não confiáveis. A CISA incluiu essa vulnerabilidade em seu catálogo de falhas ativamente exploradas e ordenou que agências federais dos EUA, como o Departamento de Segurança Interna e o Departamento de Justiça, protegessem seus servidores até 21 de março. Embora a Microsoft tenha atualizado seu aviso sobre a CVE-2026-20963, ainda não confirmou sua exploração em ataques reais. A CISA também recomendou que todos os defensores de rede aplicassem as correções necessárias, uma vez que esse tipo de vulnerabilidade é um vetor de ataque comum para agentes maliciosos, representando riscos significativos para a segurança federal. Além disso, a CISA ordenou que agências federais corrigissem uma vulnerabilidade de cross-site scripting (XSS) no Zimbra Collaboration Suite, que também está sendo explorada.

Pesquisadores de cibersegurança revelaram uma falha crítica no daemon Telnet do GNU InetUtils, identificada como CVE-2026-32746, com uma pontuação CVSS de 9.8. Essa vulnerabilidade permite que um atacante remoto não autenticado execute código arbitrário com privilégios elevados, explorando um erro de escrita fora dos limites no manipulador de subopções SLC durante o handshake do protocolo Telnet. A falha afeta todas as versões do serviço Telnet até a versão 2.7 e pode ser acionada simplesmente ao conectar-se à porta 23, sem necessidade de credenciais ou interação do usuário. A empresa israelense Dream, que descobriu a vulnerabilidade, recomenda desativar o serviço se não for necessário, rodar o telnetd sem privilégios de root e bloquear o acesso à porta 23. A correção deve ser disponibilizada até 1º de abril de 2026. Essa vulnerabilidade é particularmente preocupante, pois pode levar a uma completa compromissão do sistema, permitindo ações como instalação de backdoors e exfiltração de dados. A divulgação ocorre pouco tempo após outra falha crítica no mesmo serviço, indicando um padrão preocupante de vulnerabilidades no Telnet.

O Google revelou uma vulnerabilidade de alta severidade, identificada como CVE-2026-21385, que afeta um componente de código aberto da Qualcomm utilizado em dispositivos Android. Essa falha, classificada com um CVSS de 7.8, refere-se a um buffer over-read no componente gráfico, resultando em corrupção de memória ao adicionar dados fornecidos pelo usuário sem verificar o espaço disponível no buffer. A Qualcomm recebeu o relatório sobre essa vulnerabilidade em 18 de dezembro de 2025 e notificou seus clientes em 2 de fevereiro de 2026. Embora não haja detalhes sobre como a vulnerabilidade está sendo explorada, o Google indicou que há sinais de exploração direcionada e limitada. Além disso, a atualização de março de 2026 do Android inclui patches para 129 vulnerabilidades, incluindo uma falha crítica que pode permitir execução remota de código sem privilégios adicionais. A atualização oferece dois níveis de patch para que os parceiros do Android possam abordar rapidamente as vulnerabilidades comuns em diferentes dispositivos. Essa situação destaca a importância de manter os dispositivos atualizados para mitigar riscos de segurança.

Uma vulnerabilidade crítica de execução remota de código pré-autenticação foi identificada nos aparelhos BeyondTrust Remote Support e Privileged Remote Access, afetando versões 25.3.1 e anteriores do Remote Support e 24.3.4 e anteriores do Privileged Remote Access. A falha, rastreada como CVE-2026-1731 e com uma pontuação CVSS de 9.9, permite que atacantes não autenticados enviem solicitações de cliente especialmente elaboradas, possibilitando a execução de comandos do sistema operacional no contexto do usuário do site. A BeyondTrust divulgou a vulnerabilidade em 6 de fevereiro de 2026, alertando que a exploração bem-sucedida pode levar a compromissos de sistema, acesso não autorizado, exfiltração de dados e interrupção de serviços. Embora a BeyondTrust tenha aplicado patches automaticamente em suas instâncias SaaS, clientes on-premise devem instalar as correções manualmente. A exploração da vulnerabilidade já está em andamento, com cerca de 11.000 instâncias expostas online, das quais aproximadamente 8.500 são implementações on-premise. Especialistas recomendam que as organizações que utilizam essas soluções apliquem as correções disponíveis imediatamente.

A Fortinet anunciou a liberação de atualizações de segurança para corrigir uma falha crítica no FortiOS, identificada como CVE-2026-24858, com uma pontuação CVSS de 9.4. Essa vulnerabilidade, que permite a bypass de autenticação no sistema de login único (SSO) do FortiCloud, afeta também o FortiManager e o FortiAnalyzer. A falha possibilita que um atacante com uma conta FortiCloud e um dispositivo registrado consiga acessar outros dispositivos vinculados a contas diferentes, caso a autenticação SSO esteja habilitada. Embora essa funcionalidade não esteja ativada por padrão, a Fortinet alertou que administradores que registram dispositivos no FortiCare podem ativá-la inadvertidamente.

A Shadowserver, entidade de monitoramento de segurança na internet, identificou quase 800 mil endereços IP com impressões digitais de Telnet, em meio a ataques que exploram uma vulnerabilidade crítica de bypass de autenticação no servidor telnetd do GNU InetUtils. Essa falha de segurança, identificada como CVE-2026-24061, afeta versões do GNU InetUtils de 1.9.3 a 2.7, sendo corrigida na versão 2.8, lançada em 20 de janeiro. A vulnerabilidade permite que um cliente malicioso se conecte ao servidor telnetd e se logue como root, ignorando os processos normais de autenticação, ao enviar um valor específico na variável de ambiente USER. A atividade maliciosa começou logo após a divulgação da vulnerabilidade, com tentativas de exploração detectadas em 21 de janeiro, utilizando 18 endereços IP em 60 sessões Telnet. Embora a maioria dos ataques pareça automatizada, alguns foram realizados por operadores humanos. Administradores de sistemas são aconselhados a desativar o serviço telnetd vulnerável ou bloquear a porta TCP 23 em seus firewalls, caso não consigam atualizar imediatamente seus dispositivos.

Uma campanha coordenada está explorando uma vulnerabilidade crítica no servidor telnetd do GNU InetUtils, que existe há 11 anos. A falha, identificada como CVE-2026-24061, permite que atacantes contornem a autenticação e obtenham acesso root ao sistema. O problema se origina do manuseio inadequado de variáveis de ambiente, especificamente a variável USER, que é passada sem sanitização para o comando de login. Essa vulnerabilidade afeta versões do GNU InetUtils de 1.9.3 a 2.7, sendo corrigida apenas na versão 2.8. Para sistemas que não podem ser atualizados, recomenda-se desativar o serviço telnetd ou bloquear a porta TCP 23. Embora o Telnet seja um protocolo legado e inseguro, ainda é utilizado em muitos sistemas industriais e dispositivos IoT. A atividade de exploração observada foi limitada, mas os sistemas afetados devem ser corrigidos ou reforçados para evitar possíveis ataques futuros.

Uma falha de segurança crítica foi revelada no daemon telnet do GNU InetUtils, afetando todas as versões desde a 1.9.3 até a 2.7. Classificada como CVE-2026-24061, a vulnerabilidade possui uma pontuação de 9.8 no sistema CVSS, indicando seu alto risco. O problema permite que um atacante contorne a autenticação remota ao manipular a variável de ambiente USER com o valor ‘-f root’. Isso resulta em um login automático como root, comprometendo a segurança do sistema. A falha foi introduzida em um commit de código em março de 2015 e descoberta recentemente por um pesquisador de segurança. Nos últimos dias, 21 endereços IP únicos foram identificados tentando explorar essa vulnerabilidade, todos marcados como maliciosos e originários de países como Hong Kong, EUA, Japão e Alemanha. Para mitigar os riscos, recomenda-se aplicar patches atualizados e restringir o acesso à porta telnet apenas a clientes confiáveis. Alternativamente, os usuários podem desativar o servidor telnetd ou utilizar uma ferramenta de login personalizada que não permita o parâmetro ‘-f’.

Hackers estão explorando uma falha de gravidade máxima no plugin Modular DS do WordPress, que permite a eles contornar a autenticação remotamente e acessar sites vulneráveis com privilégios de administrador. A falha, identificada como CVE-2026-23550, afeta as versões 2.5.1 e anteriores do plugin, que é utilizado para gerenciar múltiplos sites WordPress a partir de uma única interface. Com mais de 40.000 instalações, o plugin permite que proprietários, desenvolvedores e provedores de hospedagem monitorem sites, realizem atualizações e gerenciem usuários. Pesquisadores da Patchstack confirmaram que a exploração da falha começou em 13 de janeiro, e a Modular DS lançou uma correção na versão 2.5.2 poucas horas depois. A vulnerabilidade é causada por falhas de design que aceitam requisições como confiáveis sem uma verificação criptográfica de sua origem, permitindo uma escalada de privilégios. Os usuários são aconselhados a atualizar para a versão mais recente e revisar logs de acesso ao servidor em busca de requisições suspeitas, além de regenerar todas as chaves do WordPress após a atualização.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma vulnerabilidade crítica, identificada como CVE-2025-55182, no seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). Essa falha, que possui uma pontuação CVSS de 10.0, permite a execução remota de código por atacantes não autenticados, sem necessidade de configuração especial. O problema está relacionado à deserialização insegura no protocolo Flight da biblioteca React, que é utilizado para comunicação entre servidor e cliente. A vulnerabilidade foi explorada ativamente, com tentativas de ataque relatadas por empresas como Amazon e Palo Alto Networks, que identificaram grupos de hackers, incluindo aqueles associados à China. A CISA recomenda que as organizações atualizem suas versões do React para as versões 19.0.1, 19.1.2 e 19.2.1, que já corrigem a falha. Além disso, frameworks dependentes do React, como Next.js e React Router, também estão em risco. A situação é crítica, com mais de 2 milhões de serviços expostos na internet potencialmente vulneráveis, exigindo atenção imediata das equipes de segurança.

Uma falha de segurança crítica foi identificada no Apache Tika, que pode resultar em um ataque de injeção de entidade externa XML (XXE). A vulnerabilidade, classificada como CVE-2025-66516, recebeu a pontuação máxima de 10.0 na escala CVSS, indicando sua gravidade. Essa falha afeta os módulos tika-core, tika-pdf-module e tika-parsers em várias versões, permitindo que um invasor execute injeções XXE através de arquivos XFA manipulados dentro de PDFs. O Apache Tika alertou que a vulnerabilidade se expande em relação a uma falha anterior (CVE-2025-54988), pois afeta mais pacotes e requer que os usuários atualizem tanto o tika-parser-pdf-module quanto o tika-core para a versão 3.2.2 ou superior. A injeção XXE é uma vulnerabilidade de segurança da web que pode permitir o acesso a arquivos do sistema de arquivos do servidor da aplicação e, em alguns casos, até a execução remota de código. Dada a gravidade da situação, é altamente recomendável que os usuários apliquem as atualizações o mais rápido possível para mitigar possíveis ameaças.

A Fortinet emitiu um alerta urgente para seus clientes após a descoberta de uma vulnerabilidade crítica em seu firewall de aplicação web, o FortiWeb. Identificada como CVE-2025-64446, essa falha permite que atacantes não autenticados executem comandos administrativos no sistema, apresentando um risco significativo. A vulnerabilidade afeta as versões 7.0.0 a 8.0.1 do FortiWeb e foi corrigida na versão 8.0.2. A gravidade da falha foi classificada com um escore de 9.8 em 10, indicando a necessidade de ação imediata. A Fortinet recomenda que os usuários apliquem o patch ou desativem as interfaces HTTP/HTTPS expostas à internet. A vulnerabilidade já está sendo explorada ativamente, conforme relatórios de pesquisadores de segurança. A CISA (Cybersecurity and Infrastructure Security Agency) incluiu essa falha em seu catálogo de Vulnerabilidades Conhecidas e Exploradas, exigindo que agências federais tomem medidas até 21 de novembro. A situação destaca a importância de manter sistemas atualizados e monitorar logs para detectar possíveis modificações não autorizadas.

A empresa de segurança cibernética Sansec alertou que criminosos cibernéticos começaram a explorar uma vulnerabilidade crítica recentemente divulgada nas plataformas Adobe Commerce e Magento Open Source. A falha, identificada como CVE-2025-54236, possui uma pontuação CVSS de 9.1 e permite a tomada de controle de contas de clientes através da API REST do Commerce. Desde a divulgação pública da vulnerabilidade, mais de 250 tentativas de ataque foram registradas em apenas 24 horas, com 62% das lojas Magento ainda vulneráveis. Os ataques têm origem em diversos endereços IP, onde os invasores utilizam a falha para implantar webshells PHP ou extrair informações de configuração do PHP. A Sansec recomenda que os administradores de sites apliquem os patches disponíveis o mais rápido possível para evitar a exploração mais ampla da vulnerabilidade. Essa é a segunda falha de desserialização crítica que afeta as plataformas Adobe Commerce e Magento em dois anos, o que destaca a necessidade urgente de atenção e ação por parte dos administradores de sistemas.

Pesquisadores de cibersegurança revelaram uma falha crítica no software de discagem automática ICTBroadcast, que está sendo ativamente explorada. A vulnerabilidade, identificada como CVE-2025-2611, possui uma pontuação CVSS de 9.3 e está relacionada à validação inadequada de entradas, permitindo a execução remota de código não autenticado. Essa falha afeta as versões 7.4 e anteriores do ICTBroadcast, um aplicativo amplamente utilizado em call centers. Os atacantes estão utilizando a injeção de comandos via cookie BROADCAST para executar comandos no servidor vulnerável. A exploração foi detectada em 11 de outubro, com ataques ocorrendo em duas fases: primeiro, uma verificação de exploração baseada em tempo, seguida por tentativas de estabelecer shells reversos. Os atacantes injetaram um comando codificado em Base64 que traduz para ‘sleep 3’ no cookie, confirmando a execução do comando. A situação é preocupante, pois cerca de 200 instâncias online estão expostas. Não há informações disponíveis sobre o status de correção da falha, e a ICT Innovations ainda não se pronunciou sobre o assunto.

A Oracle divulgou uma atualização emergencial para corrigir uma falha de segurança crítica em seu E-Business Suite, identificada como CVE-2025-61882, com uma pontuação CVSS de 9.8. Essa vulnerabilidade permite que um atacante não autenticado, com acesso à rede via HTTP, comprometa o componente de Processamento Concorrente da Oracle. A empresa alertou que, se explorada com sucesso, essa falha pode resultar em execução remota de código. O Chief Security Officer da Oracle, Rob Duhart, afirmou que a atualização foi lançada para mitigar potenciais explorações adicionais descobertas durante a investigação. A vulnerabilidade está relacionada a uma onda recente de ataques de roubo de dados do grupo Cl0p, que utilizou múltiplas falhas, incluindo algumas já corrigidas em atualizações anteriores. A Mandiant, subsidiária do Google, destacou que o Cl0p explorou essas vulnerabilidades para roubar grandes quantidades de dados de várias vítimas. Diante da exploração em massa de zero-days, as organizações devem verificar se já foram comprometidas, independentemente da aplicação do patch.

Uma vulnerabilidade de alta severidade foi identificada na solução de Gestão de Identidade e Acesso (IAM) One Identity OneLogin, que pode expor segredos de cliente de aplicações OpenID Connect (OIDC) se explorada com sucesso. A falha, registrada como CVE-2025-59363, recebeu uma pontuação CVSS de 7.7 em 10.0 e é classificada como uma transferência incorreta de recursos entre esferas (CWE-669). Isso permite que um programa ultrapasse limites de segurança e acesse dados ou funções confidenciais sem autorização. De acordo com a Clutch Security, a vulnerabilidade permite que atacantes com credenciais API válidas enumerem e recuperem segredos de cliente para todas as aplicações OIDC dentro de um inquilino OneLogin. O problema decorre da configuração inadequada do endpoint de listagem de aplicações, que retorna dados além do esperado, incluindo os valores de client_secret. A exploração bem-sucedida dessa falha pode permitir que um invasor se passe por aplicações e acesse serviços integrados. A falta de restrições de IP e o controle de acesso baseado em funções (RBAC) ampliam o risco, permitindo que atacantes explorem a vulnerabilidade de qualquer lugar do mundo. A falha foi corrigida na versão 2025.3.0 do OneLogin, lançada em agosto de 2025, que tornou os valores de client_secret invisíveis. Não há evidências de que a vulnerabilidade tenha sido explorada ativamente.

Agências do Federal Civilian Executive Branch (FCEB) dos EUA foram alertadas para atualizar suas instâncias do Sitecore até 25 de setembro de 2025, devido a uma vulnerabilidade crítica identificada como CVE-2025-53690, com um CVSS de 9.0. Essa falha permite a execução remota de código através da deserialização de dados não confiáveis, explorando chaves de máquina ASP.NET expostas. A Mandiant, que descobriu a exploração ativa, observou que a vulnerabilidade foi utilizada em ataques que começaram a ser documentados em dezembro de 2024. Os atacantes, que demonstraram um conhecimento profundo do produto comprometido, conseguiram escalar privilégios e realizar movimentos laterais na rede, resultando em roubo de dados. Para mitigar essa ameaça, as organizações são aconselhadas a rotacionar suas chaves de máquina ASP.NET e verificar suas configurações. A situação destaca a importância de não utilizar chaves padrão expostas em documentações públicas, uma prática que deixou muitas implementações vulneráveis a ataques de deserialização de ViewState.

O grupo de ciberespionagem russo conhecido como Static Tundra está explorando uma vulnerabilidade crítica, CVE-2018-0171, presente no Cisco IOS e Cisco IOS XE, para obter acesso persistente a redes de organizações em setores estratégicos como telecomunicações, educação superior e manufatura. Essa falha, que possui um CVSS de 9.8, permite que atacantes não autenticados provoquem condições de negação de serviço ou executem código arbitrário. Os alvos são escolhidos com base no interesse estratégico da Rússia, com foco recente em organizações da Ucrânia e seus aliados, especialmente após o início da guerra russo-ucraniana em 2022.