Vulnerabilidade

Microsoft lança patch para vulnerabilidade zero-day do Defender

A Microsoft lançou um patch para corrigir uma vulnerabilidade zero-day no Microsoft Defender, conhecida como ‘RoguePlanet’, que foi divulgada após o Patch Tuesday de junho de 2026. A falha, identificada como CVE-2026-50656, permite que atacantes obtenham privilégios de SYSTEM em dispositivos Windows 10 e 11 totalmente atualizados, explorando uma condição de corrida no Defender. O pesquisador de segurança que revelou a vulnerabilidade, sob o pseudônimo ‘Nightmare Eclipse’, também compartilhou um exploit de prova de conceito em um repositório Git auto-hospedado, alegando que a Microsoft removeu suas postagens anteriores em plataformas como GitHub e GitLab. A empresa confirmou que estava trabalhando em um patch em 16 de junho, mas não reconheceu publicamente o pesquisador. O patch foi disponibilizado através de uma atualização do Microsoft Malware Protection Engine. Nos últimos meses, Nightmare Eclipse divulgou outras vulnerabilidades zero-day relacionadas ao Windows, levando a Microsoft a considerar ações legais contra ele. A situação destaca a importância de monitorar e corrigir vulnerabilidades em sistemas amplamente utilizados, especialmente em um cenário de crescente exploração de falhas de segurança.

Falha em assistentes de codificação AI pode comprometer segurança

Pesquisadores da Wiz descobriram uma vulnerabilidade em seis assistentes de codificação AI populares, que permite que um projeto de código malicioso assuma o controle silenciosamente do computador de um desenvolvedor. A falha, chamada GhostApproval, ocorre quando o assistente solicita permissão para editar um arquivo aparentemente inofensivo, mas na verdade escreve em um arquivo sensível. Os assistentes afetados incluem Amazon Q Developer, Claude Code da Anthropic, Augment, Cursor, Google Antigravity e Windsurf. A vulnerabilidade explora um recurso antigo do Unix chamado link simbólico (symlink), que não é verificado pelos assistentes. Um repositório malicioso pode redirecionar a escrita de um arquivo para o arquivo de login SSH do usuário, permitindo que um invasor acesse o sistema sem senha. Embora não haja evidências de que essa técnica tenha sido usada em ataques reais, a Wiz recomenda que os desenvolvedores adotem práticas de segurança, como executar os assistentes com acesso limitado a arquivos e verificar os arquivos de configuração após trabalhar em repositórios desconhecidos. Três dos seis fornecedores já corrigiram a falha, enquanto dois ainda estão trabalhando em soluções, e a Anthropic contesta a classificação como um bug.

Vulnerabilidade em agentes de IA pode permitir execução de código malicioso

Um novo estudo do AI Now Institute revelou uma vulnerabilidade crítica em agentes de codificação de IA, como Claude Code da Anthropic e Codex da OpenAI, que pode permitir que código malicioso seja executado em máquinas dos usuários. Denominado ‘Friendly Fire’, o ataque ocorre quando esses agentes operam em modo autônomo, onde eles aprovam seus próprios comandos. Os pesquisadores demonstraram que, ao solicitar uma verificação de segurança em código de terceiros, o agente pode inadvertidamente executar um código malicioso disfarçado como um arquivo inofensivo. O ataque se aproveita da confiança que os agentes têm em arquivos README.md, que são comuns em repositórios de código. Embora não haja um patch disponível, a solução proposta envolve mudanças nos fluxos de trabalho para evitar que código não confiável seja analisado por esses agentes. A pesquisa destaca a necessidade urgente de cautela ao utilizar ferramentas de IA para auditoria de segurança, especialmente em ambientes onde a segurança de dados sensíveis é crítica.

Falha em commits assinados do Git pode comprometer segurança

Uma nova pesquisa revela que o hash de um commit assinado no Git não é tão único quanto se pensava. Um atacante pode criar um segundo commit com os mesmos arquivos, autor e data, além de uma assinatura válida, fazendo com que o GitHub ainda o classifique como ‘Verificado’. Isso representa um risco significativo, pois sistemas que bloqueiam commits ruins por hash podem ser contornados, permitindo que um conteúdo malicioso seja reintroduzido sob um novo hash. O estudo, conduzido por Jacob Ginesin da Carnegie Mellon University, destaca a ‘maleabilidade de hash’, onde a assinatura de um commit pode ser alterada sem modificar o código. O GitHub não normaliza as assinaturas antes de verificá-las, o que permite essa vulnerabilidade. Embora não haja um CVE ou uma recomendação imediata para desenvolvedores, a pesquisa sugere que as forges devem implementar a normalização das assinaturas para garantir a segurança. Essa questão é relevante para a segurança do software e a integridade do código, especialmente em ambientes que dependem de commits verificados para garantir a autenticidade do código.

CISA ordena correção de falha crítica no Adobe ColdFusion

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu uma ordem para que agências governamentais corrijam uma vulnerabilidade de alta severidade na plataforma de desenvolvimento de aplicativos web Adobe ColdFusion, identificada como CVE-2026-48282. Essa falha afeta as versões 2025.9, 2023.20 e anteriores, permitindo que atacantes remotos executem código em sistemas não corrigidos, sem necessidade de privilégios. A Adobe lançou atualizações de segurança há uma semana, alertando os administradores sobre o alto risco de exploração. O fundador da KEVIntel, Ryan Dewhurst, informou que os ataques começaram a ocorrer apenas duas horas após a divulgação da falha. A CISA incluiu a CVE-2026-48282 em sua lista de vulnerabilidades ativamente exploradas e exigiu que as agências federais aplicassem os patches até sexta-feira, 10 de junho. Além disso, a Adobe corrigiu outras seis falhas críticas na mesma plataforma, embora não tenha confirmado a exploração ativa dessas vulnerabilidades. A situação é preocupante, pois a CISA já adicionou 80 vulnerabilidades de produtos da Adobe à sua lista desde novembro de 2021, com várias delas sendo utilizadas em ataques de ransomware.

CISA alerta sobre vulnerabilidade crítica no Langflow para IA

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta para que agências federais corrigissem uma vulnerabilidade ativa no Langflow, uma ferramenta popular para desenvolvimento de agentes de IA. A falha, identificada como CVE-2026-55255, é uma referência direta insegura (IDOR) que permite a atacantes autenticados acessarem fluxos de outros usuários ao enviar uma solicitação maliciosa ao endpoint /api/v1/responses com o UUID da vítima. A exploração bem-sucedida pode resultar no acesso a dados sensíveis e no consumo de recursos da vítima. A CISA destacou que essa vulnerabilidade é um vetor de ataque frequente e representa riscos significativos para a segurança federal. Além disso, outras falhas no Langflow foram identificadas, incluindo problemas de autenticação e injeção de código. A CISA ordenou que as agências federais garantissem a segurança de seus dispositivos até a última sexta-feira, conforme exigido pela Diretiva Operacional Vinculante 26-04. A exploração dessa vulnerabilidade foi observada pela primeira vez em junho, com motivações financeiras por parte dos atacantes, que buscam computação e credenciais de IA. A situação exige atenção imediata das equipes de segurança cibernética para evitar possíveis compromissos.

Falha GhostLock no Linux permite controle total por usuários logados

Pesquisadores da Nebula Security revelaram uma vulnerabilidade crítica no kernel do Linux, identificada como GhostLock (CVE-2026-43499), que permite a qualquer usuário logado obter controle total de um sistema não atualizado. Essa falha, que existe há 15 anos, foi incluída por padrão em praticamente todas as distribuições Linux desde 2011 e não requer permissões especiais ou configurações incomuns para ser explorada. A vulnerabilidade foi descoberta por meio da ferramenta de busca de bugs VEGA, e a equipe da Nebula conseguiu criar um exploit funcional que é 97% confiável em testes. Embora não haja relatos de exploração ativa, o código do exploit foi publicado, tornando a correção uma prioridade. A falha é classificada como de alto risco, com uma pontuação de 7.8 em 10, já que um atacante precisa estar logado na máquina. As distribuições estão atualmente implementando patches, mas é essencial que os administradores verifiquem se estão usando a versão corrigida do kernel, pois versões anteriores podem ainda estar vulneráveis. Além disso, a Nebula também destacou que a GhostLock é parte de uma cadeia de exploração que pode ser combinada com outras falhas para comprometer sistemas remotamente.

Falha crítica no Google Dialogflow CX expõe dados de usuários

Uma falha crítica no Google Dialogflow CX, identificada pela empresa de segurança Varonis e nomeada de Rogue Agent, permitia que um atacante com permissões de edição em um agente habilitado para Code Block comprometesse outros agentes no mesmo projeto do Google Cloud. A vulnerabilidade possibilitava a leitura de conversas em tempo real, o roubo de dados compartilhados pelos usuários e o envio de mensagens escritas pelo atacante, como solicitações para reentrada de senhas. A falha afetou apenas organizações que utilizavam Playbooks e Code Blocks personalizados, que permitem a adição de código Python. Para explorar a vulnerabilidade, o atacante precisava da permissão dialogflow.playbooks.update, limitando o risco a insiders maliciosos ou contas de desenvolvedores comprometidas. O ambiente compartilhado onde o código é executado não apresentava isolamento adequado entre os agentes, permitindo que um único Code Block malicioso substituísse um arquivo crítico, comprometendo todos os agentes no projeto. Embora a Google tenha corrigido a falha e não haja indícios de exploração real, a situação destaca a necessidade de controles rigorosos de acesso e monitoramento em ambientes de desenvolvimento de IA.

Backdoor de autenticação oculta em roteadores Tenda expõe riscos

Uma vulnerabilidade crítica foi identificada em várias versões de firmware de roteadores Tenda, permitindo que atacantes obtenham acesso administrativo ao painel de gerenciamento web do dispositivo. O problema, rastreado como CVE-2026-11405, é causado por um mecanismo de autenticação não documentado na função ’login()’ do servidor web ‘/bin/httpd’. Quando um usuário tenta fazer login, o firmware do roteador realiza uma autenticação padrão baseada em MD5. Se essa falha, o sistema recupera uma senha alternativa da configuração ‘sys.rzadmin.password’ e a compara diretamente com a senha em texto claro fornecida pelo usuário remoto. Se as senhas coincidirem, o dispositivo concede acesso administrativo, independentemente do nome de usuário inserido. Isso significa que qualquer nome de usuário é aceito, desde que a senha da backdoor seja fornecida. O CERT/CC alerta que essa falha não está documentada em nenhum lugar, deixando os usuários inconscientes do risco. A exploração bem-sucedida pode permitir que um atacante reconfigure o dispositivo, altere configurações de rede e desative recursos de segurança, comprometendo ainda mais a rede local. Atualmente, não há correção disponível e recomenda-se que os usuários desativem o painel de gerenciamento remoto e mudem o endereço IP LAN padrão para mitigar riscos. A vulnerabilidade foi descoberta por um pesquisador anônimo e, embora não haja relatos de exploração ativa, a possibilidade de ataques por botnets é alta.

Vulnerabilidade crítica no Writer permite comprometimento entre inquilinos

Pesquisadores de cibersegurança revelaram uma vulnerabilidade crítica de isolamento de sessão na plataforma de inteligência artificial generativa Writer, que já foi corrigida. Batizada de WriteOut pela equipe de Sand Security Research, a falha permite que um atacante, com apenas um link, consiga acessar e tomar controle de contas de usuários de diferentes organizações. Isso significa que um invasor pode acessar chats privados, documentos e dados sensíveis, dependendo do papel do usuário atacado. O ataque ocorre quando um usuário logado clica em um link de pré-visualização compartilhado por um agente malicioso, que então captura o cookie de sessão do usuário. A vulnerabilidade quebra as proteções de isolamento entre inquilinos, permitindo que o atacante atue como um usuário legítimo em diferentes contas. Após a divulgação responsável, a Writer implementou correções para evitar que cookies de sessão sejam enviados para pré-visualizações de sandbox. A falha destaca a importância de uma análise rigorosa de segurança em plataformas de IA, especialmente em ambientes corporativos.

Vulnerabilidade de 16 anos no Linux permite fuga de máquinas virtuais

Uma vulnerabilidade no kernel do Linux, identificada como Januscape, permite que atacantes escapem de máquinas virtuais e executem códigos arbitrários no host. Descoberta pelo pesquisador de segurança Hyunwoo Kim, essa falha de escape de convidado para host (CVE-2026-53359) é resultado de uma fraqueza de uso após a liberação na emulação MMU sombra do KVM/x86. Presente no kernel do Linux por cerca de 16 anos, a vulnerabilidade foi corrigida em junho de 2026 e foi utilizada como um exploit zero-day no programa de recompensas de vulnerabilidades do Google, kvmCTF. A exploração bem-sucedida permite que atacantes com acesso root em uma máquina virtual convidada executem códigos como root no host, comprometendo todos os convidados em execução ou até mesmo derrubando o kernel do host. Kim destacou que Januscape é o primeiro exploit desse tipo que pode ser acionado em arquiteturas de processadores Intel e AMD, representando um risco significativo para ambientes de nuvem pública multi-inquilinos. Administradores de hosts KVM/x86 devem garantir que o patch correspondente tenha sido aplicado para proteger seus sistemas contra essa vulnerabilidade.

Vulnerabilidade em firmware da Tenda permite acesso não autorizado

O CERT Coordination Center (CERT/CC) alertou sobre uma vulnerabilidade crítica em várias versões de firmware da fabricante chinesa Tenda, que permite a exploração de uma backdoor de autenticação não documentada. Essa falha, identificada como CVE-2026-11405, possibilita que atacantes contornem o processo de verificação de senha e obtenham controle administrativo total sobre os dispositivos, sem a necessidade de credenciais válidas. A vulnerabilidade afeta diversos modelos de firmware, incluindo US_FH1201V1.0BR_V1.2.0.14(408)_EN_TD e US_AC10V1.0re_V15.03.06.46_multi_TDE01. O problema reside na função “login()” do binário do servidor web, onde uma comparação direta de senhas pode ser realizada, permitindo acesso administrativo ao fornecer um nome de usuário qualquer junto com a senha da backdoor. Até o momento, a Tenda não lançou um patch para corrigir essa falha. Os usuários são aconselhados a desativar a gestão remota e alterar o endereço IP padrão da LAN para mitigar riscos de exploração.

Vulnerabilidade Januscape no KVM do Linux pode comprometer hosts

Uma nova vulnerabilidade, identificada como ‘Januscape’ e registrada como CVE-2026-53359, foi descoberta no hipervisor KVM do Linux. Essa falha, que se trata de um bug do tipo use-after-free, pode ser explorada a partir de uma máquina virtual convidada para corromper o estado da página sombra do kernel do host. O problema reside no código da MMU sombra que o KVM compartilha entre processadores Intel e AMD e, segundo o pesquisador Hyunwoo Kim, pode levar a uma execução de código completo no host. A vulnerabilidade ficou sem ser detectada por cerca de 16 anos e requer que o atacante tenha acesso root na VM, uma condição comum em instâncias de nuvem alugadas. A falha foi utilizada como uma submissão de zero-day no programa de recompensas kvmCTF do Google, que oferece até $250.000 por escapes completos de convidado para host. A correção foi implementada em junho de 2026, mas os administradores de sistemas devem agir rapidamente para aplicar o patch, especialmente em ambientes x86 que hospedam convidados não confiáveis com virtualização aninhada habilitada.

Ameaça crítica em imagens Docker do Gitea vulnerabilidade CVE-2026-20896

Pesquisadores de segurança alertaram sobre uma vulnerabilidade crítica (CVE-2026-20896) em imagens Docker do Gitea, uma plataforma de DevOps. Com uma pontuação CVSS de 9.8, a falha permite que um cliente da internet não autenticado obtenha acesso elevado ao confiar no cabeçalho ‘X-WEBAUTH-USER’ de qualquer endereço IP. A configuração padrão do arquivo ‘app.ini’ da imagem Docker define ‘REVERSE_PROXY_TRUSTED_PROXIES’ como ‘*’, permitindo que qualquer IP que consiga acessar a porta do Gitea se autentique como qualquer usuário, incluindo administradores. Essa vulnerabilidade afeta versões do Gitea até a 1.26.2, mas foi corrigida na versão 1.26.3, onde o wildcard foi removido e a autenticação por proxy reverso se tornou opcional. A Sysdig detectou tentativas de exploração 13 dias após a divulgação pública da falha, destacando a urgência de aplicar os patches disponíveis para proteger as instâncias do Gitea, que somam cerca de 6.200 expostas na internet.

Vulnerabilidade no Opera GX permite roubo de dados sem cliques

Pesquisadores descobriram uma falha crítica no Opera GX, a versão do navegador focada em jogos, que permitia que um site malicioso instalasse silenciosamente um complemento do navegador e extraísse dados específicos das páginas visitadas pela vítima. Em um teste de conceito, foi possível reconstruir o endereço completo do Gmail de um usuário logado a partir de uma única visita, sem necessidade de cliques. A Opera já corrigiu a vulnerabilidade na versão 130.0.5847.89 do navegador, afirmando que não encontrou evidências de que a falha foi explorada na prática. A vulnerabilidade foi classificada como P1 pela equipe de recompensas de bugs da Opera, que pagou o valor máximo de $5.000 pela descoberta. O problema reside na forma como os GX Mods são instalados automaticamente, sem qualquer solicitação de aprovação, permitindo que um site malicioso instale um mod silenciosamente. Embora a injeção de CSS em si não possa roubar dados, a técnica de ‘XS-Leak’ permite que informações sejam extraídas de forma gradual. A falha é preocupante, pois uma vez que o CSS de um mod é aplicado a todas as páginas visitadas, a possibilidade de roubo de dados se torna significativa. A Opera reconheceu a complexidade do ataque, mas os pesquisadores demonstraram que a exploração poderia ocorrer rapidamente, antes que a vítima pudesse reagir.

Falha no Kernel Linux permite controle total de máquinas por usuários comuns

Uma nova vulnerabilidade no kernel Linux, identificada como Bad Epoll (CVE-2026-46242), foi revelada, permitindo que usuários comuns adquiram controle total de máquinas como root. Essa falha afeta não apenas desktops e servidores Linux, mas também dispositivos Android. O problema reside em um bug de ‘use-after-free’, onde duas partes do kernel tentam limpar o mesmo objeto interno simultaneamente, resultando em corrupção da memória do kernel. O pesquisador Jaeyoung Chung desenvolveu um ataque que amplia a janela de tempo para explorar essa vulnerabilidade, alcançando sucesso em 99% dos testes realizados. O ataque pode ser disparado a partir do sandbox do Chrome, o que o torna ainda mais perigoso, pois contorna muitas outras falhas de kernel. Embora a falha tenha sido reportada como um zero-day ao programa kernelCTF do Google, não há indícios de que tenha sido utilizada em ataques reais até o momento. A correção já está disponível, e é recomendável que os usuários apliquem o patch o mais rápido possível, especialmente em sistemas que utilizam o kernel 6.4 ou superior. Essa vulnerabilidade se junta a uma série de falhas conhecidas que afetam o Linux, destacando a necessidade de vigilância contínua em relação à segurança do kernel.

CISA alerta sobre vulnerabilidade crítica no Microsoft SharePoint

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta sobre a exploração de uma vulnerabilidade crítica no Microsoft SharePoint, identificada como CVE-2026-45659. Essa falha de execução remota de código, resultante da desserialização de dados não confiáveis, permite que atacantes com privilégios baixos executem códigos arbitrários em servidores SharePoint não corrigidos, sem necessidade de interação do usuário. A CISA destacou que qualquer atacante autenticado, com permissões mínimas de Membro do Site, pode explorar essa vulnerabilidade, que é acessível pela rede e de baixa complexidade. A Microsoft lançou atualizações de segurança para as versões do SharePoint afetadas em 21 de maio de 2026, após a falha ter sido acidentalmente omitida nas atualizações de segurança anteriores. A CISA também incluiu a vulnerabilidade em seu catálogo de vulnerabilidades conhecidas exploradas, exigindo que as agências federais dos EUA protejam seus servidores até o próximo sábado. A situação é preocupante, pois mais de 10.000 servidores SharePoint estão expostos online, e a falta de informações sobre quantos já foram corrigidos aumenta o risco de ataques em larga escala.

Cisco confirma exploração de vulnerabilidade no Unified CM

A Cisco confirmou que atacantes estão explorando uma vulnerabilidade no Unified Communications Manager (Unified CM), identificada como CVE-2026-20230, que foi corrigida em junho de 2026. O Unified CM, que gerencia sistemas de telefonia IP da Cisco, permite que atacantes não privilegiados realizem ataques de Server-Side Request Forgery (SSRF) de forma remota, enviando requisições HTTP manipuladas. Apesar de a Cisco ter informado em 3 de junho que não havia evidências de exploração ativa, a situação mudou em 22 de junho, quando a empresa de inteligência Defused revelou que os atacantes começaram a explorar a falha. A Cisco aconselha os clientes a atualizarem para versões corrigidas do software e, enquanto isso, recomenda desativar o serviço WebDialer vulnerável. Atualmente, mais de 200 instâncias do Unified CM estão expostas online, principalmente na Ásia e América do Norte. A situação é crítica, pois a exploração ativa pode levar a compromissos sérios de segurança, especialmente considerando que a CISA identificou 93 vulnerabilidades da Cisco como ativamente exploradas desde novembro de 2021.

Falha crítica no Microsoft SharePoint Server é explorada ativamente

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma vulnerabilidade de alta severidade no Microsoft SharePoint Server em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). A falha, identificada como CVE-2026-45659, possui uma pontuação CVSS de 8.8 e permite a execução remota de código devido à desserialização de dados não confiáveis. A Microsoft já disponibilizou correções em maio de 2026 para as versões afetadas do SharePoint. A CISA alerta que qualquer atacante autenticado pode explorar essa vulnerabilidade, sem a necessidade de privilégios elevados, o que a torna particularmente preocupante. Além disso, a Microsoft revelou que investigações de ransomware identificaram dois grupos de atacantes operando simultaneamente em uma mesma rede, complicando a resposta a incidentes. Um dos grupos, conhecido como Storm-2603, tem explorado vulnerabilidades em servidores SharePoint desde 2025, utilizando técnicas para mascarar suas atividades. Diante da exploração ativa, agências federais dos EUA foram orientadas a aplicar as correções até 4 de julho de 2026.

Vulnerabilidade no recurso de e-mail da Apple expõe dados de usuários

O recurso ‘Ocultar Meu E-mail’ da Apple, disponível para assinantes do iCloud+, apresenta uma vulnerabilidade que pode expor endereços de e-mail que deveriam ser protegidos. Identificado pela plataforma EasyOptOuts em junho de 2025, o problema persiste sem solução, mesmo após a Apple ter sido notificada. O recurso, que permite a criação de endereços de e-mail aleatórios para evitar a exposição do e-mail original, falhou em sua função principal, permitindo que, em testes realizados, o endereço original fosse acessado rapidamente. A Apple afirmou que está investigando a situação, mas até o momento não divulgou uma correção. Além disso, há planos para alterar o domínio dos endereços gerados de ‘@icloud.com’ para ‘@private.icloud.com’, o que pode impactar a eficácia do recurso. Essa situação levanta preocupações sobre a segurança dos dados dos usuários e a conformidade com a LGPD, especialmente considerando a popularidade dos serviços da Apple no Brasil.

Falha crítica no Argo CD permite execução de código não autenticado

Um grave problema de segurança foi identificado no Argo CD, uma ferramenta amplamente utilizada para implantações em Kubernetes. A falha, localizada no componente repo-server, permite que um atacante não autenticado execute código, desde que consiga acessar a porta interna do componente. A empresa Synacktiv, que descobriu a vulnerabilidade, alertou os mantenedores do Argo CD em janeiro de 2025, mas, após dezoito meses, a falha continua sem correção e não possui um CVE atribuído.

Mais de 900 instâncias do Oracle E-Business Suite expostas online

Mais de 900 instâncias do Oracle E-Business Suite (EBS) foram encontradas expostas na internet, em meio a ataques que exploram uma vulnerabilidade crítica identificada como CVE-2026-46817. Essa falha, localizada no componente de Transmissão de Arquivos do produto Oracle Payments, permite que atacantes sem privilégios e com acesso à rede HTTP assumam o controle de sistemas vulneráveis por meio de ataques de baixa complexidade. A Oracle já lançou atualizações de segurança para corrigir essa vulnerabilidade em seu patch de segurança crítico de maio de 2026 e pediu aos clientes que atualizem seus sistemas imediatamente. Embora a empresa ainda não tenha confirmado a exploração ativa dessa falha, a empresa de inteligência de ameaças Defused alertou que os atacantes estão, de fato, explorando essa vulnerabilidade, com os primeiros relatos de tentativas ocorrendo no último fim de semana. Além disso, a Shadowserver, um observatório de segurança na internet, identificou cerca de 950 instâncias do Oracle EBS expostas online, mas não há informações sobre quantas delas foram protegidas contra os ataques relacionados ao CVE-2026-46817. A situação é preocupante, especialmente considerando que a CISA já havia alertado sobre outras vulnerabilidades críticas da Oracle que estão sendo ativamente exploradas.

Vulnerabilidade crítica no Progress Kemp LoadMaster em exploração ativa

Uma falha de segurança crítica no Progress Kemp LoadMaster, identificada como CVE-2026-8037, está sendo ativamente explorada, conforme um alerta da unidade de resposta a ameaças da eSentire. Com uma pontuação CVSS de 9.6, essa vulnerabilidade de injeção de comando do sistema operacional permite que atacantes não autenticados executem comandos arbitrários em dispositivos vulneráveis. A exploração começou em 29 de junho de 2026, e a falha está relacionada a um problema na função ’escape_quotes()’, que não trata adequadamente a entrada do usuário, resultando em leitura fora dos limites da memória. Embora as tentativas de exploração observadas até agora tenham falhado, a disponibilidade de um exploit de prova de conceito (PoC) pode aumentar a atividade maliciosa em breve. A Progress alertou que a falha permite que atacantes manipulem a memória do heap ao enviar solicitações especialmente elaboradas para o endpoint ‘/accessv2’. Essa é a segunda vulnerabilidade crítica do LoadMaster a ser explorada ativamente, após a CVE-2024-1212, que tinha uma pontuação CVSS de 10.0.

Vulnerabilidades no Editor de Código AI Cursor Podem Comprometer Sistemas

Duas vulnerabilidades críticas, conhecidas como DuneSlide, foram descobertas no editor de código AI Cursor, permitindo que comandos maliciosos sejam executados fora do ambiente seguro do software. Identificadas como CVE-2026-50548 e CVE-2026-50549, ambas têm uma pontuação de 9.8 em 10 no sistema de avaliação de vulnerabilidades. O ataque ocorre através de injeção de comandos em prompts aparentemente inofensivos, que podem ser incorporados em serviços conectados. Uma vez que o ambiente seguro é comprometido, o invasor pode executar comandos diretamente no computador do desenvolvedor, potencialmente acessando dados em nuvens ou serviços SaaS. A atualização para a versão 3.0 do Cursor, lançada em 2 de abril, já corrige essas falhas, e é recomendada para todos os usuários, especialmente considerando que mais da metade das empresas da Fortune 500 utiliza essa ferramenta. Embora a Cato AI Labs, responsável pela descoberta, não tenha encontrado evidências de exploração ativa, a situação destaca a necessidade de vigilância contínua em relação a vulnerabilidades em ferramentas de desenvolvimento amplamente utilizadas.

Vulnerabilidade em agentes de codificação de IA expõe riscos sérios

Um novo estudo da Adversa AI revelou uma vulnerabilidade crítica em agentes de codificação de IA, chamada GuardFall, que permite a execução de comandos maliciosos. Essa falha afeta dez dos onze agentes de código aberto testados, permitindo que comandos perigosos sejam executados com acesso total à conta do usuário. A vulnerabilidade ocorre porque os agentes verificam os comandos como texto simples, enquanto o bash os reescreve antes da execução, permitindo que comandos destrutivos sejam disfarçados. Por exemplo, um comando como ‘rm’ pode ser alterado para ‘r’’m’ e ainda assim ser executado. A pesquisa destaca que a única ferramenta que se defende adequadamente contra essa vulnerabilidade é o ‘Continue’, que analisa os comandos da mesma forma que o bash. Para mitigar os riscos, recomenda-se que os agentes sejam executados em pastas temporárias, que as flags de autoexecução sejam desativadas e que arquivos de configuração sejam tratados como código não confiável. A Adversa também menciona que essa descoberta se insere em um contexto mais amplo de vulnerabilidades semelhantes encontradas em outras ferramentas de codificação de IA.

Vulnerabilidade do Microsoft Defender é explorada por gangues de ransomware

A CISA confirmou que gangues de ransomware começaram a explorar uma vulnerabilidade crítica no Microsoft Defender, conhecida como BlueHammer (CVE-2026-33825). Essa falha, que permite a elevação de privilégios locais, foi divulgada por um pesquisador de segurança em abril de 2026, em protesto ao processo de divulgação da Microsoft. A vulnerabilidade permite que atacantes autorizados acessem o banco de dados Security Account Manager (SAM), que contém hashes de senhas, possibilitando a escalada para privilégios de SYSTEM e controle total do sistema alvo. Embora a Microsoft tenha corrigido a falha em 14 de abril, a CISA alertou que a vulnerabilidade já estava sendo explorada em ataques zero-day. A agência incluiu a BlueHammer em seu catálogo de Vulnerabilidades Conhecidas e Explotadas, exigindo que agências federais aplicassem patches rapidamente. A exploração dessa vulnerabilidade representa um vetor de ataque frequente para atores maliciosos, aumentando os riscos para a segurança cibernética, especialmente em ambientes federais. A situação é crítica, pois a falha já foi associada a campanhas de ransomware, destacando a necessidade de ações imediatas por parte das equipes de segurança.

Falha crítica de segurança no Oracle E-Business Suite em exploração ativa

Uma falha de segurança crítica, identificada como CVE-2026-46817, está sendo ativamente explorada em instâncias do Oracle E-Business Suite, especificamente no módulo Oracle Payments. Com uma pontuação CVSS de 9.8, essa vulnerabilidade permite que atacantes não autenticados, com acesso à rede via HTTP, comprometam o sistema. A falha afeta versões do software que vão da 12.2.3 até a 12.2.15. A Oracle já disponibilizou patches para corrigir a vulnerabilidade em sua atualização de segurança crítica no mês passado. No entanto, a Defused Cyber reportou que a exploração da falha já está em andamento, com observações de atividades maliciosas em honeypots do Oracle E-Business. Não há informações disponíveis sobre como a exploração está sendo realizada ou se faz parte de uma campanha maior. Essa situação é preocupante, especialmente considerando que uma falha semelhante foi utilizada por grupos de ransomware no passado. As organizações são aconselhadas a assumir que já podem ter sido comprometidas e a ativar seus processos de resposta a incidentes para avaliar o impacto antes da aplicação dos patches.

Exploração de vulnerabilidade crítica no Oracle E-Business Suite

A empresa de inteligência em segurança Defused alertou sobre a exploração de uma vulnerabilidade crítica (CVE-2026-46817) no Oracle E-Business Suite (EBS), especificamente no componente de Transmissão de Arquivos do produto Oracle Payments. Essa falha permite que atacantes não autenticados, com acesso à rede HTTP, assumam o controle de sistemas vulneráveis através de ataques de baixa complexidade. A Oracle já lançou atualizações de segurança em maio de 2026 para corrigir essa vulnerabilidade e recomenda que os clientes apliquem os patches imediatamente. Apesar de a Oracle não ter confirmado a exploração da CVE-2026-46817 em ambientes reais, a Defused observou tentativas de exploração em honeypots durante o último fim de semana. Atualmente, mais de 450 instâncias do Oracle EBS estão expostas online, com quase 200 localizadas nos Estados Unidos e na Europa. A situação é alarmante, especialmente considerando que a CISA já identificou 44 vulnerabilidades em produtos da Oracle como exploradas na natureza, 13 das quais foram utilizadas em ataques de ransomware. A recomendação é que as equipes de segurança realizem testes de simulação de ataques para garantir que as regras de detecção estejam funcionando adequadamente.

CISA dá prazo para corrigir vulnerabilidades críticas em sistemas Cisco e PTC

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) estabeleceu um prazo até domingo, 28 de junho, para que agências federais corrijam uma vulnerabilidade crítica no Cisco Unified Communications Manager Server, identificada como CVE-2026-20230. Esta falha, que permite a exploração remota sem autenticação através de requisições HTTP manipuladas, foi classificada como uma falha de falsificação de requisições do lado do servidor (SSRF). A Cisco já disponibilizou um patch em 3 de junho, mas a exploração ativa foi confirmada recentemente por uma startup de detecção de ameaças.

Nova vulnerabilidade DirtyClone no kernel Linux permite escalonamento de privilégios

A nova vulnerabilidade DirtyClone, identificada como CVE-2026-43503 e com uma pontuação CVSS de 8.8, permite que usuários locais corrompam a memória de arquivos através de pacotes de rede clonados, possibilitando o acesso root ao sistema. A falha foi descoberta pela JFrog Security Research e um exploit funcional foi demonstrado publicamente em 25 de junho de 2026. O problema ocorre quando o kernel copia um pacote de rede, deixando de marcar a memória como compartilhada com um arquivo no disco, o que resulta em uma vulnerabilidade crítica. O ataque envolve a injeção de um binário privilegiado na memória, que é então modificado durante a clonagem do pacote, permitindo que o atacante altere verificações de login. O patch para a vulnerabilidade foi integrado ao kernel em 21 de maio de 2026, e é crucial que os administradores de sistemas atualizem seus kernels para evitar exploração. Sistemas vulneráveis incluem servidores multi-tenant, runners de CI e clusters Kubernetes, especialmente onde namespaces de usuários não privilegiados são permitidos. A vulnerabilidade é parte de uma série de falhas relacionadas, todas explorando a mesma falha de contrato na manipulação de fragmentos de pacotes, o que destaca a necessidade de uma auditoria rigorosa em todo o código que lida com a transferência de fragmentos.

Vulnerabilidade crítica em software PDM da PTC é explorada ativamente

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma vulnerabilidade crítica de execução remota de código (CVE-2026-12569) no catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). Essa falha, com uma pontuação CVSS de 9.3, afeta os softwares PTC Windchill PDMlink e PTC FlexPLM, permitindo que atacantes executem códigos arbitrários ao enviar requisições maliciosas. A PTC confirmou que, apesar da liberação de patches, a exploração da vulnerabilidade continua, com atacantes utilizando shells web JSP para comprometer sistemas vulneráveis. A empresa divulgou endereços IP associados a atividades maliciosas e recomendações de mitigação, como bloquear IPs suspeitos e verificar logs de acesso. Essa situação destaca a rapidez com que os cibercriminosos estão se aproveitando de vulnerabilidades recém-descobertas, tornando-se um alerta para empresas que utilizam essas soluções de gerenciamento de dados e ciclo de vida de produtos.

Vulnerabilidade no Kernel Linux permite escalonamento de privilégios

Uma falha no subsistema de controle de tráfego do kernel Linux, identificada como CVE-2026-46331 e apelidada de “pedit COW”, permite que um usuário local não privilegiado obtenha acesso root em sistemas afetados. Essa vulnerabilidade, que se manifesta como uma escrita fora dos limites na ação de edição de pacotes (act_pedit), corrompe a memória compartilhada do cache de páginas. Um exploit público foi disponibilizado rapidamente após a atribuição da CVE em 16 de junho de 2026, e a Red Hat classificou a falha como importante. O ataque não altera arquivos no disco, mas contamina a cópia em cache de um binário setuid root na memória, permitindo que o invasor execute um shell root sem que verificações de integridade de arquivos detectem a alteração. Para que o exploit funcione, é necessário que o act_pedit esteja carregável e que namespaces de usuários não privilegiados estejam abertos. Sistemas como RHEL 10 e Debian 13 foram testados e mostraram essas condições presentes. A correção já foi disponibilizada por alguns fornecedores, mas muitos sistemas ainda permanecem vulneráveis, exigindo atenção imediata dos administradores.

Exploração de vulnerabilidade crítica no Cisco Catalyst SD-WAN

Um ator de ameaças desconhecido explorou uma vulnerabilidade crítica no Cisco Catalyst SD-WAN, identificada como CVE-2026-20245, antes de sua divulgação pública. Essa falha, com uma pontuação CVSS de 7.8, permite que um atacante autenticado execute comandos arbitrários com privilégios elevados ao fornecer um arquivo malicioso ao sistema afetado. A Cisco confirmou que a exploração requer privilégios de administrador de rede. Durante a intrusão, o atacante utilizou técnicas anti-forenses para ocultar suas atividades, como a exclusão e restauração seletiva de arquivos de configuração do sistema. O ataque visou um provedor de serviços de comunicação não especificado, permitindo que uma conta de administrador comprometida obtivesse acesso total ao sistema. Dois períodos distintos de atividade não autorizada foram identificados, um entre o final de 2025 e janeiro de 2026, e outro em março de 2026. O segundo ataque ocorreu em um dispositivo com uma versão de software mais recente, que já tinha sido corrigido para uma vulnerabilidade anterior. O invasor alterou credenciais padrão e utilizou um upload malicioso de arquivo CSV para escalar privilégios, criando uma conta oculta com controle total. A Mandiant destacou que a exploração de zero-days em dispositivos de borda, como o SD-WAN, é uma tendência crescente, dada a falta de telemetria para análises forenses profundas.

Hackers exploram vulnerabilidade crítica da Cisco em ataques SD-WAN

Recentemente, detalhes sobre a exploração de uma vulnerabilidade crítica da Cisco, identificada como CVE-2026-20245, foram revelados. Essa falha de injeção de comandos permite que atacantes autenticados executem comandos arbitrários como root em dispositivos Cisco Catalyst SD-WAN. A vulnerabilidade foi explorada em ataques de dia zero, onde os invasores conseguiram criar contas root não autorizadas. A Cisco informou que a falha se originou de uma validação insuficiente de entradas fornecidas pelo usuário e que a exploração requer acesso local aos dispositivos afetados.

CISA alerta sobre falha crítica em dispositivos Lantronix EDS5000

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta sobre a exploração ativa de uma falha crítica de segurança nos dispositivos da série EDS5000 da Lantronix. A vulnerabilidade, identificada como CVE-2025-67038, possui uma pontuação CVSS de 9.8 e permite a injeção de código, possibilitando a execução de comandos arbitrários com privilégios elevados. O problema reside no módulo HTTP RPC, que executa comandos de shell sem a devida sanitização dos dados de entrada, permitindo que atacantes injetem comandos maliciosos. A CISA recomendou que as agências do governo federal dos EUA apliquem as correções até 26 de junho de 2026. Além disso, a CISA também confirmou a exploração ativa de três vulnerabilidades críticas no sistema Ubiquiti UniFi OS, que podem permitir mudanças não autorizadas no sistema e acesso a arquivos sensíveis. A combinação dessas falhas representa um risco significativo à segurança das redes, especialmente considerando que dispositivos UniFi OS são frequentemente integrados em redes centrais, facilitando movimentos laterais de atacantes. As organizações devem estar atentas e implementar as correções necessárias para mitigar esses riscos.

Nova vulnerabilidade em CICD compromete cadeias de suprimento

Pesquisadores de cibersegurança identificaram uma nova classe de vulnerabilidades em fluxos de trabalho de CI/CD, chamada Cordyceps, que permite a atacantes sequestrar workflows e comprometer cadeias de suprimento de código aberto. A falha, que pode ser explorada por qualquer usuário não autenticado, afeta grandes organizações como Microsoft, Google, Apache e Cloudflare. Um estudo da Novee Security revelou que mais de 300 repositórios de alto impacto são totalmente exploráveis, possibilitando execução de código controlada por atacantes, roubo de credenciais e comprometimento da cadeia de suprimento. O problema central reside em configurações fracas de CI/CD que concedem permissões excessivas a pull requests (PRs), permitindo que dados não confiáveis acionem workflows privilegiados. Exemplos incluem um PR no Azure Sentinel da Microsoft que poderia executar código de atacantes e roubar chaves de aplicativos do GitHub. Após a divulgação responsável, Microsoft e Google confirmaram o impacto, enquanto Cloudflare, Python e Apache implementaram correções. Essa vulnerabilidade representa um risco significativo, pois permite que usuários anônimos manipulem repositórios de grandes empresas, afetando a segurança do software em larga escala.

Vulnerabilidade crítica no Cisco Unified Communications Manager

Uma falha de segurança crítica, identificada como CVE-2026-20230, foi descoberta no Cisco Unified Communications Manager (Unified CM) e na edição Session Management (Unified CM SME). Com uma pontuação CVSS de 8.6, essa vulnerabilidade permite que atacantes remotos não autenticados realizem ataques de Server-Side Request Forgery (SSRF) ao enviar requisições HTTP manipuladas para dispositivos afetados. A Cisco alertou que a exploração bem-sucedida pode permitir que um invasor escreva arquivos no sistema operacional subjacente, possibilitando elevação de privilégios para root. A empresa Defused Cyber relatou que a exploração ativa dessa vulnerabilidade já está em andamento, com ataques originados de uma única fonte. Para que a exploração ocorra, o serviço WebDialer deve estar habilitado, o que não é o padrão. A Cisco já lançou patches para as versões 14SU6 e 15SU5 do Unified CM e recomenda que, caso a aplicação imediata do patch não seja viável, o serviço WebDialer seja desativado até que a correção possa ser aplicada. A situação é crítica, pois a falha pode ser utilizada para executar código malicioso no servidor, colocando em risco a segurança das comunicações corporativas.

Vulnerabilidade crítica SSRF no Cisco Unified Communications Manager

Uma vulnerabilidade de alta severidade, identificada como CVE-2026-20230, foi descoberta no Cisco Unified Communications Manager Server e está sendo ativamente explorada em ataques. A Cisco lançou atualizações de segurança em 3 de junho, alertando que a exploração dessa falha pode conceder privilégios de root ao invasor. A vulnerabilidade se origina de uma validação inadequada de entradas em solicitações HTTP específicas, permitindo que um atacante não autenticado realize ataques de Server-Side Request Forgery (SSRF) através de um dispositivo afetado. A empresa de inteligência de ameaças Defused relatou que os ataques estão sendo realizados a partir de um único endereço IP, utilizando cargas úteis bem construídas para criar arquivos no dispositivo. Embora a exploração atual pareça ser de natureza de reconhecimento, a divulgação completa da falha pode levar a um aumento no número de atacantes visando esses servidores. A SSD Secure, que divulgou a vulnerabilidade, também forneceu um artigo técnico explicando como a falha pode ser explorada, permitindo que um invasor escreva arquivos arbitrários no sistema operacional, potencialmente levando à execução remota de código e obtenção de privilégios de root. A situação exige atenção imediata das equipes de segurança para mitigar riscos potenciais.

Vulnerabilidade PixelSmash no FFmpeg pode causar RCE e DoS

Uma nova vulnerabilidade no FFmpeg, chamada ‘PixelSmash’, foi identificada e pode ser explorada para execução remota de código (RCE) em servidores Jellyfin, além de provocar condições de negação de serviço (DoS) em aplicações como Kodi, Emby, Nextcloud, PhotoPrism e OBS Studio. A falha, rastreada como CVE-2026-8461, é um erro de escrita fora dos limites da memória (heap out-of-bounds) no decodificador MagicYUV, recebendo uma pontuação de severidade alta, 8.8. A exploração é possível através de arquivos de vídeo maliciosos nos formatos AVI, MKV ou MOV. A vulnerabilidade se origina de inconsistências no processamento de ‘slices’ de vídeo, que podem ser ativadas ao abrir arquivos ou gerar miniaturas. A pesquisa da JFrog demonstrou que a exploração pode ocorrer em Jellyfin e Nextcloud, especialmente quando a proteção ASLR (Address Space Layout Randomization) está desativada. Embora a Plex tenha mitigado o risco com uma versão personalizada do FFmpeg, outras aplicações populares ainda estão vulneráveis. O FFmpeg lançou uma correção na versão 8.1.2, e Jellyfin também atualizou sua versão do FFmpeg. A vulnerabilidade apresenta um grande vetor de ataque, pois o decodificador MagicYUV é utilizado em muitos projetos que confiam no FFmpeg para lidar com entradas não confiáveis.

Vulnerabilidade AutoJack no Microsoft AutoGen Studio pode ser explorada

Uma nova vulnerabilidade chamada AutoJack foi identificada no AutoGen Studio da Microsoft, uma interface para prototipagem de agentes de IA. Essa falha permite que atacantes manipulem um agente para executar comandos arbitrários no sistema host apenas ao visitar uma página maliciosa. O AutoGen Studio é uma ferramenta popular, com mais de 59 mil estrelas no GitHub, que permite a criação de sistemas de IA multi-agente. A Microsoft informou que a vulnerabilidade foi corrigida antes de qualquer lançamento oficial, limitando a exposição a desenvolvedores que compilaram o software diretamente do repositório do GitHub durante um curto período. O ataque se baseia em três fraquezas: a confiança em conexões locais, a falta de autenticação em rotas específicas e a aceitação de parâmetros codificados em base64 que podem ser explorados para executar comandos. Embora a Microsoft tenha mitigado a falha, recomenda que os usuários instalem o AutoGen Studio em ambientes isolados e sob contas de baixo privilégio para evitar riscos futuros. Essa situação destaca a importância de manter práticas de segurança rigorosas ao trabalhar com ferramentas de desenvolvimento de IA.

Vulnerabilidade no Squid Proxy pode expor dados de usuários

Uma vulnerabilidade crítica foi descoberta no proxy web Squid, conhecida como Squidbleed (CVE-2026-47729), que permite que um usuário mal-intencionado acesse requisições HTTP em texto claro de outros usuários que compartilham o mesmo proxy. Essa falha, que remonta a uma alteração de 1997 no parser de FTP do Squid, pode vazar informações sensíveis, como credenciais e tokens de sessão. O ataque é realizado por um cliente confiável, ou seja, alguém que já tem permissão para usar o proxy, o que é comum em redes compartilhadas, como escolas e escritórios. A vulnerabilidade se manifesta quando o servidor FTP do atacante envia uma linha de listagem que termina logo após o timestamp, fazendo com que o código do Squid leia além do buffer, resultando na exposição de dados de outros usuários. Para mitigar o problema, os pesquisadores recomendam desativar o suporte a FTP, uma vez que a maioria das redes não utiliza mais esse protocolo. A classificação de risco da vulnerabilidade é moderada, com um CVSS de 6.5, e até o momento, não foram relatados casos de exploração ativa. A correção já está disponível, mas é essencial verificar se a atualização foi aplicada corretamente.

Exploração de falha de segurança no plugin Gravity SMTP afeta 100 mil sites

Uma vulnerabilidade recentemente corrigida no plugin Gravity SMTP, utilizado em aproximadamente 100 mil sites WordPress, está sendo explorada por atacantes. Identificada como CVE-2026-4020, essa falha de severidade média (CVSS 5.3) permite que invasores não autenticados acessem dados sensíveis, incluindo chaves de API e informações de configuração do plugin. A vulnerabilidade se origina de um endpoint da API REST que, devido a uma configuração inadequada, permite acesso irrestrito a qualquer visitante. Ao adicionar o parâmetro de consulta ‘?page=gravitysmtp-settings’, um atacante pode obter um relatório completo do sistema em formato JSON, revelando detalhes críticos como versão do PHP, plugins ativos e credenciais de serviços de email integrados. Desde o início de maio de 2026, mais de 17 milhões de tentativas de exploração foram bloqueadas, com picos de atividade em junho. Os proprietários de sites que utilizam versões vulneráveis do plugin devem atualizar imediatamente e rotacionar suas credenciais para evitar possíveis abusos. A análise dos logs do servidor também é recomendada para identificar acessos suspeitos provenientes de endereços IP específicos associados a essas tentativas de ataque.

Vulnerabilidade no Gravity SMTP do WordPress expõe dados em 100 mil sites

Uma vulnerabilidade de divulgação de informações não autenticadas no plugin Gravity SMTP do WordPress está sendo explorada ativamente por agentes maliciosos, afetando cerca de 100 mil sites. A falha, identificada como CVE-2026-4020, possui uma classificação de severidade média e afeta todas as versões do plugin anteriores à 2.1.5, que foi lançada em 17 de março para corrigir o problema. A vulnerabilidade se origina de um endpoint da API REST exposto, que permite requisições GET não autenticadas, possibilitando o acesso a um relatório de sistema abrangente que pode conter chaves de API, credenciais de serviços de e-mail e detalhes de configuração do WordPress. A empresa de segurança Defiant, responsável pelo firewall Wordfence, relatou que mais de 17 milhões de tentativas de exploração foram bloqueadas. Apesar da classificação média, a possibilidade de exploração sem autenticação torna a vulnerabilidade crítica, pois pode permitir que atacantes se façam passar por vítimas e acessem informações sensíveis. Além disso, a empresa também alertou sobre uma vulnerabilidade crítica em outro plugin, o Avada Builder, que permite a exclusão arbitrária de arquivos, exigindo atenção imediata dos administradores de sites.

Exploit usbliter8 compromete chips A12 e A13 da Apple

Pesquisadores de segurança da Paradigm Shift divulgaram um exploit chamado usbliter8, que permite a execução de código arbitrário no SecureROM dos chips A12 e A13 da Apple. Essa vulnerabilidade é crítica, pois o código está gravado no silício durante a fabricação e não pode ser corrigido por atualizações de software. O ataque requer acesso físico ao dispositivo, que deve estar em modo DFU e conectado a uma placa microcontroladora específica. Os dispositivos afetados incluem iPhones XS, 11, SE (2ª geração), iPads de 3ª e 5ª geração, e Apple Watch Series 4 e 5. O problema raiz é uma falha no controlador USB da Synopsys, que permite um buffer underflow, possibilitando que o ponteiro de escrita acesse e sobrescreva a SRAM. Após a exploração, o usbliter8 injeta um manipulador de requisições USB personalizado, permitindo que um atacante desative temporariamente o modo de produção do SoC ou inicialize uma imagem iBoot não assinada, contornando a cadeia de confiança da Apple. Embora a pesquisa não indique comprometimento do Secure Enclave, a possibilidade de controle no nível do BootROM pode abrir novas rotas de ataque. Para ambientes de alta segurança, a recomendação é evitar o uso de dispositivos afetados em situações não confiáveis.

Microsoft revela vulnerabilidade AutoJack em agente de navegação AI

Pesquisadores da Microsoft identificaram uma cadeia de exploração chamada AutoJack, que transforma um agente de navegação AI em um veículo para execução remota de código. O ataque ocorre quando o agente carrega uma página da web maliciosa, permitindo que o JavaScript dessa página acesse um serviço local privilegiado e inicie um processo no host, sem necessidade de credenciais ou interação do usuário. A vulnerabilidade reside no AutoGen Studio, uma interface de prototipagem de código aberto, e afeta versões pré-lançamento específicas. A Microsoft esclareceu que a versão estável atual (0.4.2.2) não é vulnerável, mas as versões 0.4.3.dev1 e 0.4.3.dev2, disponíveis no PyPI, contêm a falha. A cadeia de exploração se baseia em três fraquezas: a confiança no localhost, a falta de autenticação em conexões MCP e a execução de comandos diretamente de parâmetros de requisição. Embora a Microsoft não tenha registrado exploração ativa, recomenda-se que os usuários evitem executar o AutoGen Studio em máquinas que também executem agentes de navegação ou de execução de código que acessem conteúdo não confiável. A correção foi implementada no código-fonte, mas ainda não está disponível em uma versão do PyPI.

CISA alerta sobre vulnerabilidade crítica no Splunk Enterprise

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta para que agências federais protejam seus sistemas contra uma vulnerabilidade crítica no Splunk Enterprise, identificada como CVE-2026-20253. Essa falha afeta versões do software entre 10.0.0 a 10.2.3, permitindo que atacantes remotos não autorizados criem ou truncem arquivos arbitrários em dispositivos vulneráveis através de um endpoint do serviço PostgreSQL. A falta de controles de autenticação nesse endpoint é a principal causa da vulnerabilidade, conforme indicado pela equipe de segurança da Splunk. Após a descoberta, a CISA ordenou que as agências federais aplicassem patches até domingo, devido à exploração ativa da falha. A empresa também recomendou que administradores que não consigam aplicar as correções imediatamente desativem o serviço PostgreSQL, embora isso possa afetar outras funcionalidades do sistema. A situação é crítica, pois a exploração dessa vulnerabilidade pode levar a ataques de execução remota de código, representando um risco significativo para a segurança das informações. A CISA enfatizou a importância de avaliar a exposição à internet de cada ativo e seguir as diretrizes de correção estabelecidas.

Apple corrige vulnerabilidade crítica em fones Beats Studio Buds

A Apple lançou uma atualização de firmware para os fones de ouvido Beats Studio Buds, corrigindo uma vulnerabilidade de alta severidade identificada como CVE-2025-20701, com uma pontuação CVSS de 8.8. Essa falha, relacionada a uma autorização incorreta no SDK de áudio Bluetooth Airoha, permite que hackers próximos se conectem aos dispositivos sem o consentimento do usuário, possibilitando a escuta através do microfone. A exploração bem-sucedida da vulnerabilidade não requer privilégios adicionais ou interação do usuário. A falha foi inicialmente destacada em junho de 2025 por pesquisadores da ERNW GmbH e é parte de um conjunto de vulnerabilidades que afetam dispositivos Bluetooth. Além disso, foi revelada uma nova exploração no BootROM dos chips A12 e A13 da Apple, que pode permitir a execução de código malicioso devido a um erro de hardware no controlador USB. Essa situação ressalta a importância da segurança em dispositivos móveis e a necessidade de atualizações regulares para mitigar riscos.

Apple corrige falha crítica em fones Beats que permite espionagem

A Apple lançou atualizações de segurança para corrigir uma vulnerabilidade de alta severidade nos fones de ouvido Beats Studio Buds, que poderia permitir que atacantes dentro do alcance do Bluetooth espionassem conversas dos usuários. Segundo a empresa, um invasor próximo poderia acessar o microfone de um dispositivo que ainda não está pareado e que está buscando solicitações de pareamento. Essa falha, identificada como CVE-2025-20701, foi descoberta por pesquisadores da ERNW GmbH e está relacionada a uma fraqueza de autenticação no sistema Bluetooth BR/EDR. A Apple lançou o patch na atualização de firmware 1B211, que será instalada automaticamente quando os fones vulneráveis estiverem pareados e dentro do alcance de um iPhone, iPad ou Mac. Além disso, os pesquisadores demonstraram que, ao combinar essa vulnerabilidade com outras duas, os atacantes poderiam assumir o controle total dos fones via Bluetooth, sem necessidade de autenticação. Embora os ataques reais sejam complexos e exijam proximidade física, a possibilidade de espionagem levanta preocupações significativas sobre a privacidade dos usuários.

Microsoft trabalha em patch para vulnerabilidade do Defender

A Microsoft anunciou que está desenvolvendo um patch para corrigir uma vulnerabilidade zero-day em seu software de segurança, o Microsoft Defender, identificada como RoguePlanet (CVE-2026-50656), com uma pontuação CVSS de 7.8. Essa falha é classificada como uma vulnerabilidade de elevação de privilégios, permitindo que atacantes obtenham acesso ao nível de sistema. O pesquisador de segurança Chaotic Eclipse revelou a vulnerabilidade, descrevendo-a como uma condição de corrida que pode ser explorada em algumas máquinas com uma taxa de sucesso de 100%, enquanto em outras pode falhar. Ele também observou que o exploit funciona independentemente da proteção em tempo real estar ativada ou não. A Microsoft confirmou que está ciente da vulnerabilidade e está investigando a situação. RoguePlanet é a quarta vulnerabilidade do Defender divulgada por Chaotic Eclipse, que já havia reportado outras falhas que foram corrigidas pela empresa. A situação destaca a importância de manter os sistemas atualizados e a necessidade de vigilância contínua em relação a novas ameaças.

CISA ordena correção de falha crítica no plugin JCE do Joomla

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu uma ordem para que agências federais corrijam uma falha de alta severidade no plugin Widget Factory Joomla Content Editor (JCE), que está sendo ativamente explorada. A vulnerabilidade, identificada como CVE-2026-48907, permite que atacantes executem código malicioso sem privilégios, utilizando ataques de baixa complexidade em implementações do Joomla que utilizam o editor WYSIWYG JCE. A CISA alertou que a falha permite o upload e a execução de código PHP por meio da criação de novos perfis de editor para usuários não autenticados. O time de segurança do JCE lançou uma atualização em junho, recomendando que os usuários apliquem o patch imediatamente, pois a exploração da vulnerabilidade é automatizada e o código de exploração está disponível publicamente. Além de atualizar, os usuários devem realizar uma série de ações para limpar sites comprometidos, incluindo a exclusão de perfis maliciosos e a execução de uma varredura completa em busca de malware. A CISA incluiu a vulnerabilidade em sua lista de falhas ativamente exploradas e ordenou que as agências federais garantam a segurança de seus sistemas até sexta-feira, conforme a Diretriz Operacional Vinculativa (BOD) 26-04.