Vulnerabilidade Crítica

Recentemente, um grupo de atacantes começou a explorar uma vulnerabilidade crítica no Ivanti Sentry, anteriormente conhecido como MobileIron Sentry, que permite a execução de código com privilégios de root em gateways móveis seguros expostos à Internet. A falha, identificada como CVE-2026-10520, resulta de uma fraqueza de injeção de comandos do sistema operacional e foi corrigida pela Ivanti com o lançamento das versões R10.5.2, R10.6.2 e R10.7.1. Apesar de a Ivanti afirmar não ter evidências de exploração ativa no momento do aviso, a organização de segurança Shadowserver relatou que muitos gateways Sentry já estavam comprometidos. A Shadowserver observou tentativas de exploração em 19 instâncias vulneráveis, com pelo menos duas já backdooradas. A empresa alertou que, se os sistemas não forem atualizados, é provável que estejam comprometidos. A Ivanti ainda não atualizou seu aviso de segurança, que continua afirmando que não há conhecimento de clientes afetados. A exploração de falhas na Ivanti é comum, pois elas oferecem uma porta de entrada para redes corporativas, permitindo o roubo de dados sensíveis. Nos últimos anos, a CISA identificou 34 vulnerabilidades em produtos da Ivanti como ativamente exploradas, com implicações significativas para a segurança das redes corporativas.

A Check Point alertou sobre a exploração ativa de uma vulnerabilidade crítica, identificada como CVE-2026-50751, que afeta implementações de VPN de Acesso Remoto e Acesso Móvel configuradas para usar o protocolo de troca de chaves IKEv1, já obsoleto. Com uma pontuação CVSS de 9.3, a falha permite que um atacante remoto não autenticado contorne a autenticação de usuários e estabeleça uma conexão VPN sem a necessidade de uma senha válida. Os produtos afetados incluem várias versões de Security Gateways e Spark Firewalls, com a exploração sendo observada desde 7 de maio de 2026, e um aumento significativo nas atividades de exploração a partir de junho. A Check Point identificou que a infraestrutura do ator de ameaças está explorando outras vulnerabilidades relacionadas a VPNs, e que a atividade se limita a algumas dezenas de organizações globalmente. Além disso, uma segunda vulnerabilidade, CVE-2026-50752, foi descoberta, permitindo ataques do tipo adversário-no-meio em conexões VPN site-a-site, embora não haja evidências de exploração real. A situação requer atenção imediata das organizações afetadas para evitar comprometimentos de segurança.

Uma vulnerabilidade crítica (CVE-2026-3300) no plugin Everest Forms Pro está sendo explorada ativamente por hackers, permitindo que eles assumam o controle total de sites WordPress. A falha afeta as versões 1.9.12 e anteriores do plugin, que é amplamente utilizado para criar formulários personalizados. O problema reside na funcionalidade de Cálculo Complexo do plugin, que aceita valores de campos de formulário e os insere em uma string de código PHP, executando-o com a função ’eval()’. Embora a entrada do usuário seja filtrada por ‘sanitize_text_field()’, essa função não escapa caracteres que podem influenciar a sintaxe do PHP, como aspas simples. Isso permite que um invasor feche a string pretendida, injete código PHP arbitrário e comente o restante do código gerado, resultando na execução do código no servidor. Dados do Wordfence indicam que a exploração começou em 13 de abril, com mais de 29.300 tentativas bloqueadas. Os administradores de sites são aconselhados a revisar logs e contas de administrador em busca de atividades suspeitas, especialmente aquelas relacionadas ao nome de usuário ‘diksimarina’. Um patch foi disponibilizado em 18 de março para corrigir a vulnerabilidade.

Uma falha de segurança crítica foi identificada no plugin Everest Forms Pro, utilizado em sites WordPress, afetando cerca de 4.000 instalações ativas. A vulnerabilidade, classificada como CVE-2026-3300, possui uma pontuação CVSS de 9.8 e permite a execução remota de código, resultando na possibilidade de comprometimento total do site. O problema reside na função process_filter() do addon de Cálculo, que concatena valores de campos de formulário submetidos pelo usuário em uma string de código PHP sem a devida sanitização, permitindo que atacantes não autenticados injetem e executem código PHP arbitrário. Desde o início das tentativas de exploração em 13 de abril de 2026, mais de 29.300 tentativas de ataque foram bloqueadas, com um padrão comum de criação de contas de administrador maliciosas. Além disso, a Sansec alertou sobre campanhas de skimmer que utilizam Stripe como servidor de comando e controle, aproveitando-se da reputação da marca para evitar detecções. Essas campanhas têm como alvo páginas de checkout de plataformas como Magento e Adobe Commerce, extraindo dados financeiros de usuários desavisados. A combinação dessas vulnerabilidades e ataques representa um risco significativo para a segurança de sites e dados de clientes.

O Redis, popular banco de dados em memória, corrigiu uma vulnerabilidade crítica, identificada como CVE-2026-23479, que permitia a usuários autenticados executar comandos arbitrários no sistema operacional do servidor. A falha, descoberta por uma ferramenta de IA, estava presente desde a versão 7.2.0 e afetou todas as versões estáveis até a correção em 5 de maio de 2026. A NVD avaliou a gravidade da vulnerabilidade em 8.8 no CVSS 3.1, enquanto o Redis a classificou como 7.7 no CVSS 4.0. A exploração da falha requer uma sessão autenticada, mas muitos ambientes de nuvem executam o Redis sem senha, aumentando o risco. O ataque envolve manipulação de memória, onde um ponteiro de função é sobrescrito, permitindo que comandos do sistema sejam executados. O Redis recomenda que os usuários atualizem para as versões corrigidas e adotem medidas de segurança, como restringir acessos e manter o Redis fora da internet pública. Apesar da gravidade, não há evidências de exploração ativa até o momento.

A Palo Alto Networks alertou seus clientes sobre a exploração de uma vulnerabilidade crítica em seus firewalls PAN-OS, identificada como CVE-2026-0300. Essa falha de execução remota de código foi descoberta no Portal de Autenticação User-ID do PAN-OS e permite que atacantes não autenticados executem código arbitrário com privilégios de root em firewalls PA-Series e VM-Series expostos à Internet. Desde 9 de abril de 2026, foram registradas tentativas de exploração, culminando em um ataque bem-sucedido uma semana depois, onde os invasores conseguiram injetar shellcode e realizar limpeza de logs para evitar detecções. Os atacantes utilizaram ferramentas de tunelamento como Earthworm e ReverseSocks5 para estabelecer comunicação clandestina. A Palo Alto Networks informou que está trabalhando em patches, com a expectativa de que as primeiras correções sejam disponibilizadas em 13 de maio. Enquanto isso, a empresa recomenda que os clientes restrinjam o acesso ao Portal de Autenticação ou o desativem, se necessário. A CISA dos EUA também incluiu essa vulnerabilidade em seu catálogo de vulnerabilidades exploradas conhecidas, exigindo que agências federais tomem medidas imediatas para proteger seus dispositivos vulneráveis.

A Palo Alto Networks alertou seus clientes sobre uma vulnerabilidade crítica não corrigida no Portal de Autenticação User-ID do PAN-OS, que está sendo explorada em ataques. Conhecida como Captive Portal, essa funcionalidade do PAN-OS autentica usuários cujas identidades não podem ser mapeadas automaticamente pelo firewall. A falha, rastreada como CVE-2026-0300, é um bug de zero-day resultante de uma vulnerabilidade de estouro de buffer, permitindo que atacantes não autenticados executem código arbitrário com privilégios de root em firewalls PA-Series e VM-Series expostos à internet. A Palo Alto Networks observou uma exploração limitada direcionada a Portais de Autenticação User-ID expostos a endereços IP não confiáveis e à internet pública. A empresa recomenda que os clientes restrinjam o acesso ao portal a zonas confiáveis ou desativem a funcionalidade até que um patch esteja disponível. Atualmente, mais de 5.800 firewalls VM-Series estão expostos online, com a maioria localizada na Ásia e na América do Norte. A Palo Alto Networks, que atende mais de 70.000 clientes globalmente, está trabalhando para resolver essa vulnerabilidade crítica.

Desde meados de março, hackers têm explorado uma vulnerabilidade crítica (CVE-2026-22679) na plataforma de automação de escritório Weaver E-cology, utilizada principalmente por organizações chinesas. Essa falha permite a execução remota de código sem autenticação, devido a um endpoint de API de depuração exposto que não valida as entradas do usuário. Os ataques começaram cinco dias após a liberação de uma atualização de segurança pelo fornecedor e duas semanas antes de sua divulgação pública. A empresa de inteligência de ameaças Vega documentou a atividade maliciosa, que durou cerca de uma semana e incluiu várias fases distintas. Os atacantes tentaram inicialmente executar comandos de descoberta e baixar payloads baseados em PowerShell, mas foram bloqueados pelas defesas de endpoint. Embora tenham explorado a vulnerabilidade, não conseguiram estabelecer uma sessão persistente no host alvo. A recomendação é que os usuários da versão 10.0 do Weaver E-cology apliquem as atualizações de segurança disponíveis o mais rápido possível, uma vez que a correção remove completamente o endpoint vulnerável.

Uma vulnerabilidade crítica foi identificada no cPanel e no WebHost Manager (WHM), afetando quase todas as versões, exceto as mais recentes. Essa falha de segurança permite que atacantes obtenham acesso ao painel de controle sem autenticação. A empresa responsável, WebPros International, lançou uma atualização de emergência que exige que os administradores executem manualmente um comando para aplicar o patch. O WHM oferece controle a nível de servidor, enquanto o cPanel permite acesso ao backend do site, webmail e bancos de dados. A gravidade da vulnerabilidade levou a Namecheap a bloquear temporariamente o acesso às portas 2083 e 2087, utilizadas por esses serviços, para proteger seus clientes. Embora detalhes técnicos não tenham sido divulgados, a falha é considerada significativa, pois um invasor com acesso ao cPanel pode controlar todos os aspectos da conta de hospedagem, incluindo sites, dados e e-mails. Os administradores devem atualizar para as versões corrigidas o mais rápido possível, pois versões não suportadas não receberão atualizações de segurança.

Uma vulnerabilidade crítica foi identificada no SGLang, um framework open-source para modelos de linguagem, que pode permitir a execução remota de código (RCE) em sistemas vulneráveis. A falha, registrada como CVE-2026-5760, possui um alto índice de severidade, com uma pontuação CVSS de 9.8. O problema reside no endpoint de reranking ‘/v1/rerank’, onde um atacante pode explorar a vulnerabilidade ao criar um arquivo de modelo GGUF malicioso. Esse arquivo contém um parâmetro ’tokenizer.chat_template’ que inclui um payload de injeção de template do lado do servidor (SSTI) utilizando Jinja2. Quando o modelo é carregado pelo usuário no SGLang, o código malicioso é executado no servidor, permitindo ao atacante controlar o sistema. A recomendação para mitigar essa vulnerabilidade é substituir o uso de jinja2.Environment() por ImmutableSandboxedEnvironment, evitando assim a execução de código Python arbitrário. Essa vulnerabilidade é semelhante a outras falhas críticas já corrigidas em pacotes populares, destacando a necessidade urgente de atenção e ação por parte dos administradores de sistemas que utilizam SGLang.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) alertou sobre uma vulnerabilidade crítica no Apache ActiveMQ, identificada como CVE-2026-34197, que está sendo ativamente explorada em ataques. O Apache ActiveMQ é um popular broker de mensagens open-source baseado em Java, utilizado para comunicação assíncrona entre aplicações. A falha, que passou despercebida por 13 anos, foi descoberta pelo pesquisador Naveen Sunkavally da Horizon3, e se origina de uma validação inadequada de entrada, permitindo que atacantes autenticados executem código arbitrário através de ataques de injeção. A correção foi disponibilizada em 30 de março para as versões 6.2.3 e 5.19.4 do ActiveMQ Classic. A CISA incluiu a vulnerabilidade em seu Catálogo de Vulnerabilidades Conhecidas e ordenou que agências federais atualizassem seus servidores ActiveMQ até 30 de abril. A Horizon3 também destacou que mais de 7.500 servidores ActiveMQ estão expostos online, aumentando o risco de exploração. A CISA recomenda que organizações que utilizam ActiveMQ tratem essa vulnerabilidade como prioridade alta, dada a frequência com que o ActiveMQ é alvo de ataques reais.

A Adobe lançou atualizações de emergência para corrigir uma falha crítica de segurança no Acrobat Reader, identificada como CVE-2026-34621, que está sendo ativamente explorada. Com uma pontuação CVSS de 8.6, a vulnerabilidade permite que atacantes executem código malicioso em instalações afetadas. Descrita como um caso de poluição de protótipo, a falha afeta versões do Acrobat DC e Acrobat Reader DC anteriores à 26.001.21411, além do Acrobat 2024. A Adobe confirmou que a vulnerabilidade está sendo explorada na prática, com evidências sugerindo que isso ocorre desde dezembro de 2025. A exploração se dá através da execução de código JavaScript malicioso ao abrir documentos PDF especialmente elaborados. A empresa ajustou a classificação do vetor de ataque de rede para local, indicando que a exploração pode ocorrer em sistemas já comprometidos. Os usuários são aconselhados a atualizar seus softwares imediatamente para evitar possíveis ataques.

A Fortinet divulgou patches fora do ciclo regular para uma vulnerabilidade crítica no FortiClient EMS, identificada como CVE-2026-35616, com uma pontuação CVSS de 9.1. Essa falha permite que atacantes não autenticados contornem controles de acesso da API, possibilitando a execução de comandos maliciosos. A vulnerabilidade afeta as versões 7.4.5 a 7.4.6 do FortiClient EMS e já foi observada em exploração ativa. A empresa recomenda que os usuários apliquem um hotfix imediatamente, uma vez que a exploração dessa falha pode resultar em escalonamento de privilégios. A descoberta foi feita por pesquisadores da Defused Cyber e Nguyen Duc Anh, que notaram tentativas de exploração em honeypots desde 31 de março de 2026. Este incidente ocorre pouco tempo após outra vulnerabilidade crítica no mesmo produto, o que levanta preocupações sobre a segurança contínua do FortiClient EMS. A Fortinet alerta que a exploração de vulnerabilidades tende a aumentar durante feriados, quando as equipes de segurança estão menos atentas. Portanto, é crucial que as organizações afetadas tratem essa situação como uma emergência e atualizem seus sistemas o mais rápido possível.

A PTC Inc. emitiu um alerta sobre uma vulnerabilidade crítica identificada como CVE-2026-4681, que afeta suas soluções de gerenciamento de ciclo de vida de produtos, Windchill e FlexPLM. Essa falha pode permitir a execução remota de código através da desserialização de dados confiáveis. A gravidade do problema levou as autoridades alemãs, incluindo a polícia federal (BKA), a tomar medidas emergenciais, enviando agentes para notificar empresas afetadas sobre o risco cibernético. Embora não haja patches oficiais disponíveis no momento, a PTC está desenvolvendo correções para todas as versões suportadas. Enquanto isso, recomenda-se que os administradores de sistema apliquem regras de mitigação para negar acesso ao caminho servlet afetado. A empresa também publicou indicadores de comprometimento (IoCs) e alertou que há evidências de uma ameaça iminente de um grupo externo para explorar essa vulnerabilidade. A resposta rápida das autoridades sugere que a exploração dessa falha pode ter implicações significativas, especialmente em setores críticos como engenharia e manufatura.

Uma vulnerabilidade crítica no Langflow, identificada como CVE-2026-33017, foi explorada ativamente apenas 20 horas após sua divulgação pública. Com uma pontuação CVSS de 9.3, a falha resulta de uma combinação de falta de autenticação e injeção de código, permitindo a execução remota de código sem autenticação. O endpoint vulnerável, /api/v1/build_public_tmp/{flow_id}/flow, permite a construção de fluxos públicos sem exigir autenticação, o que possibilita que atacantes enviem dados controlados por eles, incluindo código Python arbitrário. A exploração bem-sucedida pode permitir que um invasor execute código com privilégios totais do servidor, acessando variáveis de ambiente e arquivos sensíveis.

A Cybersecurity and Infrastructure Security Agency (CISA) alertou sobre a exploração de uma vulnerabilidade crítica no Microsoft SharePoint, identificada como CVE-2026-20963. Essa falha de segurança afeta versões do SharePoint Enterprise Server 2016, SharePoint Server 2019 e SharePoint Server Subscription Edition. A exploração bem-sucedida permite que atacantes não autenticados executem código remotamente em servidores que não foram atualizados, utilizando uma fraqueza na desserialização de dados não confiáveis. A CISA incluiu essa vulnerabilidade em seu catálogo de falhas ativamente exploradas e ordenou que agências federais dos EUA, como o Departamento de Segurança Interna e o Departamento de Justiça, protegessem seus servidores até 21 de março. Embora a Microsoft tenha atualizado seu aviso sobre a CVE-2026-20963, ainda não confirmou sua exploração em ataques reais. A CISA também recomendou que todos os defensores de rede aplicassem as correções necessárias, uma vez que esse tipo de vulnerabilidade é um vetor de ataque comum para agentes maliciosos, representando riscos significativos para a segurança federal. Além disso, a CISA ordenou que agências federais corrigissem uma vulnerabilidade de cross-site scripting (XSS) no Zimbra Collaboration Suite, que também está sendo explorada.

Pesquisadores de cibersegurança revelaram uma falha crítica no daemon Telnet do GNU InetUtils, identificada como CVE-2026-32746, com uma pontuação CVSS de 9.8. Essa vulnerabilidade permite que um atacante remoto não autenticado execute código arbitrário com privilégios elevados, explorando um erro de escrita fora dos limites no manipulador de subopções SLC durante o handshake do protocolo Telnet. A falha afeta todas as versões do serviço Telnet até a versão 2.7 e pode ser acionada simplesmente ao conectar-se à porta 23, sem necessidade de credenciais ou interação do usuário. A empresa israelense Dream, que descobriu a vulnerabilidade, recomenda desativar o serviço se não for necessário, rodar o telnetd sem privilégios de root e bloquear o acesso à porta 23. A correção deve ser disponibilizada até 1º de abril de 2026. Essa vulnerabilidade é particularmente preocupante, pois pode levar a uma completa compromissão do sistema, permitindo ações como instalação de backdoors e exfiltração de dados. A divulgação ocorre pouco tempo após outra falha crítica no mesmo serviço, indicando um padrão preocupante de vulnerabilidades no Telnet.

O Google revelou uma vulnerabilidade de alta severidade, identificada como CVE-2026-21385, que afeta um componente de código aberto da Qualcomm utilizado em dispositivos Android. Essa falha, classificada com um CVSS de 7.8, refere-se a um buffer over-read no componente gráfico, resultando em corrupção de memória ao adicionar dados fornecidos pelo usuário sem verificar o espaço disponível no buffer. A Qualcomm recebeu o relatório sobre essa vulnerabilidade em 18 de dezembro de 2025 e notificou seus clientes em 2 de fevereiro de 2026. Embora não haja detalhes sobre como a vulnerabilidade está sendo explorada, o Google indicou que há sinais de exploração direcionada e limitada. Além disso, a atualização de março de 2026 do Android inclui patches para 129 vulnerabilidades, incluindo uma falha crítica que pode permitir execução remota de código sem privilégios adicionais. A atualização oferece dois níveis de patch para que os parceiros do Android possam abordar rapidamente as vulnerabilidades comuns em diferentes dispositivos. Essa situação destaca a importância de manter os dispositivos atualizados para mitigar riscos de segurança.

Uma vulnerabilidade crítica de execução remota de código pré-autenticação foi identificada nos aparelhos BeyondTrust Remote Support e Privileged Remote Access, afetando versões 25.3.1 e anteriores do Remote Support e 24.3.4 e anteriores do Privileged Remote Access. A falha, rastreada como CVE-2026-1731 e com uma pontuação CVSS de 9.9, permite que atacantes não autenticados enviem solicitações de cliente especialmente elaboradas, possibilitando a execução de comandos do sistema operacional no contexto do usuário do site. A BeyondTrust divulgou a vulnerabilidade em 6 de fevereiro de 2026, alertando que a exploração bem-sucedida pode levar a compromissos de sistema, acesso não autorizado, exfiltração de dados e interrupção de serviços. Embora a BeyondTrust tenha aplicado patches automaticamente em suas instâncias SaaS, clientes on-premise devem instalar as correções manualmente. A exploração da vulnerabilidade já está em andamento, com cerca de 11.000 instâncias expostas online, das quais aproximadamente 8.500 são implementações on-premise. Especialistas recomendam que as organizações que utilizam essas soluções apliquem as correções disponíveis imediatamente.

A Fortinet anunciou a liberação de atualizações de segurança para corrigir uma falha crítica no FortiOS, identificada como CVE-2026-24858, com uma pontuação CVSS de 9.4. Essa vulnerabilidade, que permite a bypass de autenticação no sistema de login único (SSO) do FortiCloud, afeta também o FortiManager e o FortiAnalyzer. A falha possibilita que um atacante com uma conta FortiCloud e um dispositivo registrado consiga acessar outros dispositivos vinculados a contas diferentes, caso a autenticação SSO esteja habilitada. Embora essa funcionalidade não esteja ativada por padrão, a Fortinet alertou que administradores que registram dispositivos no FortiCare podem ativá-la inadvertidamente.

A Shadowserver, entidade de monitoramento de segurança na internet, identificou quase 800 mil endereços IP com impressões digitais de Telnet, em meio a ataques que exploram uma vulnerabilidade crítica de bypass de autenticação no servidor telnetd do GNU InetUtils. Essa falha de segurança, identificada como CVE-2026-24061, afeta versões do GNU InetUtils de 1.9.3 a 2.7, sendo corrigida na versão 2.8, lançada em 20 de janeiro. A vulnerabilidade permite que um cliente malicioso se conecte ao servidor telnetd e se logue como root, ignorando os processos normais de autenticação, ao enviar um valor específico na variável de ambiente USER. A atividade maliciosa começou logo após a divulgação da vulnerabilidade, com tentativas de exploração detectadas em 21 de janeiro, utilizando 18 endereços IP em 60 sessões Telnet. Embora a maioria dos ataques pareça automatizada, alguns foram realizados por operadores humanos. Administradores de sistemas são aconselhados a desativar o serviço telnetd vulnerável ou bloquear a porta TCP 23 em seus firewalls, caso não consigam atualizar imediatamente seus dispositivos.

Uma campanha coordenada está explorando uma vulnerabilidade crítica no servidor telnetd do GNU InetUtils, que existe há 11 anos. A falha, identificada como CVE-2026-24061, permite que atacantes contornem a autenticação e obtenham acesso root ao sistema. O problema se origina do manuseio inadequado de variáveis de ambiente, especificamente a variável USER, que é passada sem sanitização para o comando de login. Essa vulnerabilidade afeta versões do GNU InetUtils de 1.9.3 a 2.7, sendo corrigida apenas na versão 2.8. Para sistemas que não podem ser atualizados, recomenda-se desativar o serviço telnetd ou bloquear a porta TCP 23. Embora o Telnet seja um protocolo legado e inseguro, ainda é utilizado em muitos sistemas industriais e dispositivos IoT. A atividade de exploração observada foi limitada, mas os sistemas afetados devem ser corrigidos ou reforçados para evitar possíveis ataques futuros.

Uma falha de segurança crítica foi revelada no daemon telnet do GNU InetUtils, afetando todas as versões desde a 1.9.3 até a 2.7. Classificada como CVE-2026-24061, a vulnerabilidade possui uma pontuação de 9.8 no sistema CVSS, indicando seu alto risco. O problema permite que um atacante contorne a autenticação remota ao manipular a variável de ambiente USER com o valor ‘-f root’. Isso resulta em um login automático como root, comprometendo a segurança do sistema. A falha foi introduzida em um commit de código em março de 2015 e descoberta recentemente por um pesquisador de segurança. Nos últimos dias, 21 endereços IP únicos foram identificados tentando explorar essa vulnerabilidade, todos marcados como maliciosos e originários de países como Hong Kong, EUA, Japão e Alemanha. Para mitigar os riscos, recomenda-se aplicar patches atualizados e restringir o acesso à porta telnet apenas a clientes confiáveis. Alternativamente, os usuários podem desativar o servidor telnetd ou utilizar uma ferramenta de login personalizada que não permita o parâmetro ‘-f’.

Hackers estão explorando uma falha de gravidade máxima no plugin Modular DS do WordPress, que permite a eles contornar a autenticação remotamente e acessar sites vulneráveis com privilégios de administrador. A falha, identificada como CVE-2026-23550, afeta as versões 2.5.1 e anteriores do plugin, que é utilizado para gerenciar múltiplos sites WordPress a partir de uma única interface. Com mais de 40.000 instalações, o plugin permite que proprietários, desenvolvedores e provedores de hospedagem monitorem sites, realizem atualizações e gerenciem usuários. Pesquisadores da Patchstack confirmaram que a exploração da falha começou em 13 de janeiro, e a Modular DS lançou uma correção na versão 2.5.2 poucas horas depois. A vulnerabilidade é causada por falhas de design que aceitam requisições como confiáveis sem uma verificação criptográfica de sua origem, permitindo uma escalada de privilégios. Os usuários são aconselhados a atualizar para a versão mais recente e revisar logs de acesso ao servidor em busca de requisições suspeitas, além de regenerar todas as chaves do WordPress após a atualização.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma vulnerabilidade crítica, identificada como CVE-2025-55182, no seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). Essa falha, que possui uma pontuação CVSS de 10.0, permite a execução remota de código por atacantes não autenticados, sem necessidade de configuração especial. O problema está relacionado à deserialização insegura no protocolo Flight da biblioteca React, que é utilizado para comunicação entre servidor e cliente. A vulnerabilidade foi explorada ativamente, com tentativas de ataque relatadas por empresas como Amazon e Palo Alto Networks, que identificaram grupos de hackers, incluindo aqueles associados à China. A CISA recomenda que as organizações atualizem suas versões do React para as versões 19.0.1, 19.1.2 e 19.2.1, que já corrigem a falha. Além disso, frameworks dependentes do React, como Next.js e React Router, também estão em risco. A situação é crítica, com mais de 2 milhões de serviços expostos na internet potencialmente vulneráveis, exigindo atenção imediata das equipes de segurança.

Uma falha de segurança crítica foi identificada no Apache Tika, que pode resultar em um ataque de injeção de entidade externa XML (XXE). A vulnerabilidade, classificada como CVE-2025-66516, recebeu a pontuação máxima de 10.0 na escala CVSS, indicando sua gravidade. Essa falha afeta os módulos tika-core, tika-pdf-module e tika-parsers em várias versões, permitindo que um invasor execute injeções XXE através de arquivos XFA manipulados dentro de PDFs. O Apache Tika alertou que a vulnerabilidade se expande em relação a uma falha anterior (CVE-2025-54988), pois afeta mais pacotes e requer que os usuários atualizem tanto o tika-parser-pdf-module quanto o tika-core para a versão 3.2.2 ou superior. A injeção XXE é uma vulnerabilidade de segurança da web que pode permitir o acesso a arquivos do sistema de arquivos do servidor da aplicação e, em alguns casos, até a execução remota de código. Dada a gravidade da situação, é altamente recomendável que os usuários apliquem as atualizações o mais rápido possível para mitigar possíveis ameaças.

A Fortinet emitiu um alerta urgente para seus clientes após a descoberta de uma vulnerabilidade crítica em seu firewall de aplicação web, o FortiWeb. Identificada como CVE-2025-64446, essa falha permite que atacantes não autenticados executem comandos administrativos no sistema, apresentando um risco significativo. A vulnerabilidade afeta as versões 7.0.0 a 8.0.1 do FortiWeb e foi corrigida na versão 8.0.2. A gravidade da falha foi classificada com um escore de 9.8 em 10, indicando a necessidade de ação imediata. A Fortinet recomenda que os usuários apliquem o patch ou desativem as interfaces HTTP/HTTPS expostas à internet. A vulnerabilidade já está sendo explorada ativamente, conforme relatórios de pesquisadores de segurança. A CISA (Cybersecurity and Infrastructure Security Agency) incluiu essa falha em seu catálogo de Vulnerabilidades Conhecidas e Exploradas, exigindo que agências federais tomem medidas até 21 de novembro. A situação destaca a importância de manter sistemas atualizados e monitorar logs para detectar possíveis modificações não autorizadas.

A empresa de segurança cibernética Sansec alertou que criminosos cibernéticos começaram a explorar uma vulnerabilidade crítica recentemente divulgada nas plataformas Adobe Commerce e Magento Open Source. A falha, identificada como CVE-2025-54236, possui uma pontuação CVSS de 9.1 e permite a tomada de controle de contas de clientes através da API REST do Commerce. Desde a divulgação pública da vulnerabilidade, mais de 250 tentativas de ataque foram registradas em apenas 24 horas, com 62% das lojas Magento ainda vulneráveis. Os ataques têm origem em diversos endereços IP, onde os invasores utilizam a falha para implantar webshells PHP ou extrair informações de configuração do PHP. A Sansec recomenda que os administradores de sites apliquem os patches disponíveis o mais rápido possível para evitar a exploração mais ampla da vulnerabilidade. Essa é a segunda falha de desserialização crítica que afeta as plataformas Adobe Commerce e Magento em dois anos, o que destaca a necessidade urgente de atenção e ação por parte dos administradores de sistemas.

Pesquisadores de cibersegurança revelaram uma falha crítica no software de discagem automática ICTBroadcast, que está sendo ativamente explorada. A vulnerabilidade, identificada como CVE-2025-2611, possui uma pontuação CVSS de 9.3 e está relacionada à validação inadequada de entradas, permitindo a execução remota de código não autenticado. Essa falha afeta as versões 7.4 e anteriores do ICTBroadcast, um aplicativo amplamente utilizado em call centers. Os atacantes estão utilizando a injeção de comandos via cookie BROADCAST para executar comandos no servidor vulnerável. A exploração foi detectada em 11 de outubro, com ataques ocorrendo em duas fases: primeiro, uma verificação de exploração baseada em tempo, seguida por tentativas de estabelecer shells reversos. Os atacantes injetaram um comando codificado em Base64 que traduz para ‘sleep 3’ no cookie, confirmando a execução do comando. A situação é preocupante, pois cerca de 200 instâncias online estão expostas. Não há informações disponíveis sobre o status de correção da falha, e a ICT Innovations ainda não se pronunciou sobre o assunto.

A Oracle divulgou uma atualização emergencial para corrigir uma falha de segurança crítica em seu E-Business Suite, identificada como CVE-2025-61882, com uma pontuação CVSS de 9.8. Essa vulnerabilidade permite que um atacante não autenticado, com acesso à rede via HTTP, comprometa o componente de Processamento Concorrente da Oracle. A empresa alertou que, se explorada com sucesso, essa falha pode resultar em execução remota de código. O Chief Security Officer da Oracle, Rob Duhart, afirmou que a atualização foi lançada para mitigar potenciais explorações adicionais descobertas durante a investigação. A vulnerabilidade está relacionada a uma onda recente de ataques de roubo de dados do grupo Cl0p, que utilizou múltiplas falhas, incluindo algumas já corrigidas em atualizações anteriores. A Mandiant, subsidiária do Google, destacou que o Cl0p explorou essas vulnerabilidades para roubar grandes quantidades de dados de várias vítimas. Diante da exploração em massa de zero-days, as organizações devem verificar se já foram comprometidas, independentemente da aplicação do patch.

Uma vulnerabilidade de alta severidade foi identificada na solução de Gestão de Identidade e Acesso (IAM) One Identity OneLogin, que pode expor segredos de cliente de aplicações OpenID Connect (OIDC) se explorada com sucesso. A falha, registrada como CVE-2025-59363, recebeu uma pontuação CVSS de 7.7 em 10.0 e é classificada como uma transferência incorreta de recursos entre esferas (CWE-669). Isso permite que um programa ultrapasse limites de segurança e acesse dados ou funções confidenciais sem autorização. De acordo com a Clutch Security, a vulnerabilidade permite que atacantes com credenciais API válidas enumerem e recuperem segredos de cliente para todas as aplicações OIDC dentro de um inquilino OneLogin. O problema decorre da configuração inadequada do endpoint de listagem de aplicações, que retorna dados além do esperado, incluindo os valores de client_secret. A exploração bem-sucedida dessa falha pode permitir que um invasor se passe por aplicações e acesse serviços integrados. A falta de restrições de IP e o controle de acesso baseado em funções (RBAC) ampliam o risco, permitindo que atacantes explorem a vulnerabilidade de qualquer lugar do mundo. A falha foi corrigida na versão 2025.3.0 do OneLogin, lançada em agosto de 2025, que tornou os valores de client_secret invisíveis. Não há evidências de que a vulnerabilidade tenha sido explorada ativamente.

Agências do Federal Civilian Executive Branch (FCEB) dos EUA foram alertadas para atualizar suas instâncias do Sitecore até 25 de setembro de 2025, devido a uma vulnerabilidade crítica identificada como CVE-2025-53690, com um CVSS de 9.0. Essa falha permite a execução remota de código através da deserialização de dados não confiáveis, explorando chaves de máquina ASP.NET expostas. A Mandiant, que descobriu a exploração ativa, observou que a vulnerabilidade foi utilizada em ataques que começaram a ser documentados em dezembro de 2024. Os atacantes, que demonstraram um conhecimento profundo do produto comprometido, conseguiram escalar privilégios e realizar movimentos laterais na rede, resultando em roubo de dados. Para mitigar essa ameaça, as organizações são aconselhadas a rotacionar suas chaves de máquina ASP.NET e verificar suas configurações. A situação destaca a importância de não utilizar chaves padrão expostas em documentações públicas, uma prática que deixou muitas implementações vulneráveis a ataques de deserialização de ViewState.

O grupo de ciberespionagem russo conhecido como Static Tundra está explorando uma vulnerabilidade crítica, CVE-2018-0171, presente no Cisco IOS e Cisco IOS XE, para obter acesso persistente a redes de organizações em setores estratégicos como telecomunicações, educação superior e manufatura. Essa falha, que possui um CVSS de 9.8, permite que atacantes não autenticados provoquem condições de negação de serviço ou executem código arbitrário. Os alvos são escolhidos com base no interesse estratégico da Rússia, com foco recente em organizações da Ucrânia e seus aliados, especialmente após o início da guerra russo-ucraniana em 2022.