Vulnerabilidade

O pesquisador de segurança conhecido como Chaotic Eclipse divulgou uma nova vulnerabilidade que permite contornar a proteção do BitLocker no Windows, chamada GreatXML. A descoberta foi feita acidentalmente em apenas quatro horas e revela que usuários que utilizaram a função de varredura offline do Windows Defender estão automaticamente vulneráveis a esse tipo de ataque. O exploit funciona ao copiar arquivos XML específicos para a partição de recuperação e reiniciar o sistema no Ambiente de Recuperação do Windows (WinRE). Se os passos forem seguidos corretamente, o atacante pode obter acesso irrestrito ao volume protegido pelo BitLocker. Essa vulnerabilidade é a segunda do tipo divulgada por Chaotic Eclipse, que já havia lançado anteriormente o YellowKey, e surge em um momento em que a Microsoft lançou patches para outras falhas críticas em seu software de segurança. A situação destaca a importância de manter sistemas atualizados e a necessidade de vigilância constante contra novas ameaças.

A vulnerabilidade CVE-2026-5027, classificada como de alta severidade, está sendo ativamente explorada por atacantes na plataforma de desenvolvimento de IA Langflow. Essa falha de path traversal na funcionalidade de upload de arquivos permite que invasores escrevam arquivos em locais arbitrários do sistema de arquivos, utilizando sequências de travessia de caminho (’../’). O problema foi identificado pela Tenable no início de 2026 e divulgado publicamente em 27 de março, após a equipe do Langflow não ter respondido a um relatório inicial. A exploração é facilitada pelo fato de que o Langflow permite login automático não autenticado por padrão, tornando a vulnerabilidade acessível sem a necessidade de credenciais. Pesquisas indicam que cerca de 7.000 instâncias do Langflow estão expostas publicamente, embora esses dados possam incluir resultados de varreduras históricas. A recomendação é que os usuários atualizem para a versão mais recente, 1.10.0, que corrige a falha. A situação é preocupante, especialmente considerando que outras vulnerabilidades no Langflow também foram alvo de exploração recentemente.

A Microsoft lançou um patch para uma vulnerabilidade crítica no Exchange Server, identificada como CVE-2026-42897, que está sendo ativamente explorada por atacantes. Essa falha de spoofing, que afeta as versões Exchange Server 2016, 2019 e Subscription Edition, permite que invasores executem código JavaScript arbitrário em ataques de cross-site scripting (XSS) direcionados a usuários do Outlook Web Access. O problema pode ser explorado remotamente, sem a necessidade de privilégios, através do envio de um e-mail especialmente elaborado. Caso o usuário abra o e-mail e certas condições de interação sejam atendidas, o código malicioso pode ser executado no contexto do navegador. A Microsoft recomenda que os administradores apliquem as atualizações de segurança de junho de 2026 o mais rápido possível e mantenham as mitig ações em vigor para proteção adicional. A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) também incluiu essa vulnerabilidade em sua lista de falhas exploradas e ordenou que agências governamentais realizassem os patches em suas instalações até 29 de maio. Nos últimos cinco anos, 20 vulnerabilidades do Exchange Server foram adicionadas à lista da CISA, com 14 delas sendo exploradas por grupos de ransomware.

Um pesquisador de segurança, conhecido como Nightmare Eclipse, divulgou um novo exploit zero-day chamado ‘RoguePlanet’, que afeta dispositivos Windows 10 e Windows 11 totalmente atualizados. O exploit permite que atacantes abram um prompt de comando com privilégios de SYSTEM por meio de uma vulnerabilidade de condição de corrida no Microsoft Defender. O pesquisador publicou um proof-of-concept em um repositório auto-hospedado após ter suas postagens removidas de plataformas como GitHub e GitLab. O exploit foi testado em versões oficiais e Canary do Windows 11, bem como em sistemas Windows 10 com as atualizações de segurança de junho de 2026 instaladas. A empresa de cibersegurança ThreatLocker confirmou a viabilidade do exploit em seus testes, destacando que organizações que utilizam listas de permissões de aplicativos podem prevenir a execução do exploit. O pesquisador também mencionou que a vulnerabilidade foi inicialmente desenvolvida para execução remota de código, mas que mudanças silenciosas na proteção do Defender limitaram essa capacidade. A disputa entre Nightmare Eclipse e a Microsoft sobre práticas de divulgação de vulnerabilidades continua, com o pesquisador tendo liberado outros exploits zero-day nos últimos meses.

Um pesquisador de segurança, conhecido como Chaotic Eclipse, divulgou um exploit de prova de conceito (PoC) para uma vulnerabilidade zero-day no Microsoft Defender, chamada RoguePlanet. O exploit é uma condição de corrida, resultando em acesso com privilégios de sistema, permitindo que atacantes executem código arbitrário. Testado em máquinas com Windows 10 e 11, o exploit mostrou uma taxa de sucesso de 100% em alguns dispositivos, mas não funciona em instâncias do Windows Server. O pesquisador expressou frustração com a forma como a Microsoft lidou com a divulgação de vulnerabilidades, alegando falta de comunicação e revogação de acesso ao Microsoft Security Response Center (MSRC). A Microsoft, por sua vez, condenou as divulgações públicas, afirmando que colocam os clientes em risco. Este exploit é parte de uma série de falhas descobertas por Chaotic Eclipse, que incluem BlueHammer e UnDefend. A situação gerou um conflito público entre o pesquisador e a Microsoft, levando à remoção de suas contas no GitHub e GitLab. A vulnerabilidade representa um risco significativo, especialmente considerando que já foi explorada ativamente.

A ServiceNow divulgou um alerta sobre um incidente de segurança em que atores desconhecidos exploraram uma vulnerabilidade para obter acesso não autorizado a instâncias vulneráveis. Em 5 de junho de 2026, a empresa aplicou uma atualização de segurança em suas instâncias hospedadas, visando um problema que poderia permitir que um usuário não autenticado, em certas circunstâncias, tivesse acesso maior do que o pretendido. A atualização altera a configuração de um endpoint para restringir esse acesso apenas a usuários autenticados. Até o momento, a falha de segurança não possui um identificador CVE. A ServiceNow detectou atividades anômalas relacionadas a essa questão e observou consultas bem-sucedidas em tabelas de instâncias de um subconjunto de clientes, que já foram notificados. A vulnerabilidade afeta clientes na plataforma Australia ou aqueles que realizaram certas alterações de configuração em versões anteriores. Um usuário no Reddit alegou que a equipe de segurança da ServiceNow havia reportado a vulnerabilidade internamente desde 7 de abril de 2026, mas a empresa a classificou como não urgente até então. A situação continua em desenvolvimento, e mais detalhes podem surgir.

A ServiceNow emitiu um alerta sobre um incidente de segurança após a exploração de uma falha de acesso não autenticado em um endpoint de API vulnerável, permitindo que atacantes consultassem dados de instâncias de clientes. A empresa notificou discretamente os clientes afetados por meio de um boletim de suporte e casos de suporte direto, após detectar ‘atividade anômala’ relacionada ao problema. O boletim, acessível apenas através do portal de suporte ao cliente da ServiceNow, informa que uma atualização de segurança foi aplicada em 5 de junho de 2026, restringindo o acesso ao endpoint da API apenas a usuários autenticados. Embora a ServiceNow não tenha revelado quais dados foram acessados, as instâncias geralmente armazenam informações sensíveis, como registros de funcionários e documentação interna. A falha parece estar relacionada a um endpoint REST configurado incorretamente, permitindo solicitações não autenticadas. A empresa aconselha os administradores a revisar os logs para identificar solicitações suspeitas e a proteger informações sensíveis. O incidente afeta principalmente clientes na versão da plataforma Australia ou aqueles que realizaram alterações de configuração em versões anteriores.

A Veeam, empresa especializada em soluções de backup e recuperação, anunciou a liberação de patches de segurança para corrigir uma vulnerabilidade crítica em seu software Backup & Replication, identificada como CVE-2026-44963. Essa falha, que possui uma pontuação CVSS de 9.4, permite a execução remota de código (RCE) por um usuário autenticado no domínio. A vulnerabilidade afeta a versão 12.3.2.4465 e todas as versões anteriores da linha 12, mas não impacta as versões 13.x, que passaram por mudanças arquitetônicas. A correção foi implementada na versão 12.3.2.4854. Em março de 2026, a Veeam já havia resolvido outras vulnerabilidades críticas que poderiam ser exploradas para RCE, destacando a importância de manter o software atualizado, especialmente em um cenário onde grupos de ransomware têm se aproveitado de falhas conhecidas. Os usuários são fortemente aconselhados a atualizar para a versão mais recente para garantir a segurança de seus dados.

A Veeam lançou atualizações de segurança para corrigir uma vulnerabilidade crítica em seu software Backup & Replication, que pode permitir a execução remota de código (RCE) em servidores de backup que estão conectados a um domínio. A falha, identificada como CVE-2026-44963, afeta a versão 12.3.2.4465 e todas as versões anteriores da versão 12, sendo corrigida na versão 12.3.2.4854. Embora qualquer usuário de domínio com privilégios baixos possa explorar essa vulnerabilidade, ela impacta apenas as instalações do Veeam que estão unidas a um domínio, o que contraria as melhores práticas recomendadas pela empresa. Apesar de não haver relatos de exploração ativa até o momento, a Veeam alertou que atacantes costumam desenvolver exploits assim que os patches são divulgados, o que torna essencial que todos os clientes atualizem seus sistemas imediatamente. A empresa também destacou que seus servidores de backup são frequentemente alvos de ataques de ransomware, que visam roubar dados sensíveis e dificultar a recuperação ao deletar backups. Com mais de 550 mil clientes, incluindo 82% das empresas da Fortune 500, a Veeam é uma tecnologia amplamente utilizada, o que aumenta a relevância da correção dessa vulnerabilidade.

A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) emitiu uma ordem para que agências governamentais dos EUA protejam suas implementações de VPN de Acesso Remoto e Acesso Móvel da Check Point contra uma vulnerabilidade crítica, identificada como CVE-2026-50751. Essa falha de segurança permite que atacantes remotos não autenticados contornem a autenticação e estabeleçam conexões VPN em dispositivos afetados, especialmente aqueles que utilizam o protocolo de troca de chaves IKEv1, que já está obsoleto. A Check Point lançou atualizações de segurança para corrigir essa vulnerabilidade, que foi explorada em ataques que começaram em 7 de maio e aumentaram durante o fim de semana. Embora os ataques tenham afetado apenas algumas dezenas de organizações globalmente, a Check Point associou um dos incidentes ao grupo de ransomware Qilin, que já comprometeu mais de 400 vítimas desde sua aparição em agosto de 2022. A CISA incluiu a CVE-2026-50751 em seu catálogo de Vulnerabilidades Conhecidas e Explotadas, exigindo que as agências federais implementem as correções até 11 de junho. A agência também recomendou que equipes de segurança, incluindo as do setor privado, adotem as atualizações de segurança imediatamente.

O Google lançou atualizações de emergência para corrigir uma vulnerabilidade zero-day no Chrome, identificada como CVE-2026-11645, que estava sendo explorada ativamente. Essa é a quinta falha desse tipo corrigida pela empresa em 2023. A vulnerabilidade, que afeta o motor JavaScript V8 do Chrome, permite que atacantes remotos executem código arbitrário através de páginas HTML manipuladas, comprometendo a segurança do navegador. A atualização já está disponível para usuários de Windows, Mac e Linux, embora o Google tenha alertado que a distribuição completa pode levar dias ou semanas. Além disso, a empresa está ciente de outras vulnerabilidades zero-day, como a CVE-2024-0519, mas não forneceu detalhes adicionais sobre ataques relacionados. Desde o início do ano, o Google já corrigiu outras quatro falhas críticas, destacando a necessidade de vigilância constante em relação à segurança do navegador. Os usuários são incentivados a atualizar manualmente ou confiar na atualização automática do Chrome para garantir a proteção contra essas ameaças.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma vulnerabilidade de alta severidade no BerriAI LiteLLM em seu catálogo de Vulnerabilidades Conhecidas (KEV), devido a evidências de exploração ativa. A falha, identificada como CVE-2026-42271, possui uma pontuação CVSS de 8.7 e permite que usuários autenticados executem comandos arbitrários no host. A vulnerabilidade afeta versões específicas do pacote Python LiteLLM, onde dois endpoints de teste aceitam configurações completas do servidor, possibilitando a execução de comandos como subprocessos no host proxy. Os mantenedores do LiteLLM informaram que a segurança dos endpoints dependia apenas de uma chave de API válida, permitindo que qualquer usuário autenticado, incluindo aqueles com privilégios elevados, executasse comandos arbitrários. Para mitigar a falha, foi lançada uma atualização (versão 1.83.7) que exige o papel PROXY_ADMIN para acessar os endpoints. Além disso, uma cadeia de exploração foi identificada, combinando essa vulnerabilidade com outra (CVE-2026-48710), resultando em uma pontuação CVSS crítica de 10.0, permitindo a execução remota de código sem autenticação. Os usuários são aconselhados a atualizar imediatamente suas versões do LiteLLM e Starlette, além de implementar medidas de mitigação se a atualização não for viável.

A plataforma Gogs, uma alternativa ao GitHub Enterprise, corrigiu uma vulnerabilidade crítica de injeção de argumentos que poderia permitir que atacantes autenticados acessassem repositórios, incluindo os privados. A falha, que ainda não possui um ID CVE, afeta todas as versões do Gogs até a 0.14.2 e 0.15.0+dev. De acordo com o pesquisador de segurança Jonah Burgess, a configuração padrão do Gogs, que permite registro aberto de usuários e sem limite na criação de repositórios, facilita a exploração da vulnerabilidade. Um atacante autenticado poderia criar uma conta, um repositório e ativar a mesclagem rebase, permitindo a execução de um ataque sem interação de outros usuários. A Gogs lançou a versão 0.14.3 em 7 de junho para corrigir a falha e recomenda que todos os usuários atualizem imediatamente. Para aqueles que não podem aplicar o patch, a Rapid7 sugere medidas de mitigação, como restringir o registro de usuários e a criação de repositórios. A falha é semelhante a outras já corrigidas pela equipe de segurança do Gogs, mas afeta um caminho de código diferente que não havia sido abordado anteriormente.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma falha de segurança de alta gravidade no software de servidor de arquivos multi-protocolo SolarWinds Serv-U em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). A vulnerabilidade, identificada como CVE-2026-28318, possui uma pontuação CVSS de 7.5 e é classificada como um bug de negação de serviço (DoS), que pode causar a queda do serviço sob certas condições. Segundo a SolarWinds, a falha é suscetível a requisições POST especialmente elaboradas que podem derrubar o serviço sem necessidade de autenticação, utilizando o cabeçalho Content-Encoding: deflate. A empresa já lançou uma correção na versão 15.5.4 HF1 do Serv-U e recomenda que os usuários limitem o acesso a endereços conhecidos e bloqueiem requisições que contenham “content-encoding”. A CISA ordenou que as agências do governo federal dos EUA resolvam a falha até 19 de junho de 2026. Embora a exploração ativa tenha sido confirmada, não há informações sobre como a vulnerabilidade está sendo utilizada em ataques reais ou quantas instâncias do Serv-U expostas à internet foram comprometidas.

A Cisco emitiu um alerta sobre uma vulnerabilidade de alta severidade, identificada como CVE-2026-20245, que afeta o Catalyst SD-WAN Manager. Com uma pontuação CVSS de 7.8, essa falha permite que um atacante autenticado execute comandos arbitrários como root, ao enviar um arquivo malicioso para o sistema afetado. A vulnerabilidade é resultado de uma validação insuficiente de entradas fornecidas pelo usuário, o que pode levar a ataques de injeção de comandos e elevação de privilégios. Para explorar essa falha, o atacante precisa ter privilégios de netadmin, o que requer credenciais válidas ou a exploração de outras vulnerabilidades conhecidas, como CVE-2026-20182 e CVE-2026-20127, ambas já exploradas ativamente. A Cisco não possui patches disponíveis para CVE-2026-20245, mas recomenda que os clientes atualizem seu software SD-WAN para corrigir as falhas anteriores. A empresa também alertou que sistemas expostos à internet estão em risco elevado de comprometimento e sugere que os usuários verifiquem logs específicos em busca de indicadores de comprometimento. Essa é a sétima vulnerabilidade crítica identificada na plataforma SD-WAN da Cisco em 2026, destacando a necessidade urgente de atenção e ação por parte das organizações que utilizam essas tecnologias.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta sobre a exploração ativa de uma vulnerabilidade crítica no software Serv-U da SolarWinds, que foi recentemente corrigida. A falha, identificada como CVE-2026-28318, permite que atacantes remotos provoquem a queda do serviço sem necessidade de autenticação, utilizando requisições POST especialmente elaboradas. A SolarWinds lançou um patch para corrigir essa vulnerabilidade, mas a CISA observou que a exploração já está ocorrendo na prática, levando a agência a incluir a falha em seu Catálogo de Vulnerabilidades Conhecidas. Administradores que não puderem aplicar a correção imediatamente são aconselhados a restringir o acesso a endereços conhecidos e bloquear requisições POST que contenham “content-encoding”. Atualmente, mais de 12.000 servidores Serv-U estão expostos online, o que representa um risco significativo, especialmente considerando que grupos de cibercrime têm historicamente explorado falhas nesse software para roubar dados sensíveis. A CISA enfatiza a necessidade de que todas as organizações, incluindo o setor privado, tomem medidas para proteger suas redes contra esses ataques.

Na última quinta-feira, a Cisco emitiu um alerta sobre uma vulnerabilidade crítica, classificada como zero-day, no Cisco Catalyst SD-WAN Manager, identificada como CVE-2026-20245. Essa falha, que ainda não possui correção, permite a escalada de privilégios para usuários com permissões limitadas, possibilitando a execução de comandos arbitrários como root. A vulnerabilidade afeta todos os tipos de implantação, incluindo soluções on-premises e na nuvem. A Cisco informou que a exploração dessa falha requer que o atacante tenha privilégios de netadmin, o que pode ser obtido através de credenciais válidas ou pela exploração de outras vulnerabilidades conhecidas. A empresa também observou tentativas limitadas de exploração que resultaram em alterações de configuração em dispositivos de borda. Além disso, a Cisco já havia identificado outras falhas críticas em seu SD-WAN Manager, algumas das quais também estão sendo ativamente exploradas. A recomendação é que os administradores verifiquem os logs do sistema para identificar possíveis tentativas de exploração e que abram um chamado com o suporte técnico da Cisco para assistência.

O cenário de cibersegurança continua a apresentar desafios significativos, com a recente divulgação de uma vulnerabilidade crítica no Cisco Unified Communications Manager (CVE-2026-20230), que permite ataques de Server-Side Request Forgery (SSRF) por atacantes remotos não autenticados. A Cisco já lançou patches para mitigar essa falha, que pode permitir a execução de comandos maliciosos no sistema operacional subjacente. Além disso, a Rússia revelou uma operação em larga escala de espionagem, onde serviços de inteligência estrangeiros implantaram spyware em dispositivos móveis de altos oficiais, visando a exfiltração de dados sensíveis.

Um pesquisador de segurança descobriu uma falha no Claude Code, uma ação do GitHub desenvolvida pela Anthropic, que permitia a um atacante assumir repositórios públicos vulneráveis apenas com a abertura de uma única issue no GitHub. A falha foi reportada em janeiro e corrigida em quatro dias, com a versão segura sendo a claude-code-action v1.0.94. A vulnerabilidade foi classificada com um score de 7.8 no CVSS v4.0 e resultou em um pagamento de recompensa por bugs. O problema estava na verificação de gatilho da ação, que permitia que qualquer ator cujo nome terminasse em [bot] acionasse a ação, assumindo que aplicativos do GitHub são confiáveis. Isso possibilitou que um atacante injetasse comandos maliciosos que poderiam expor variáveis de ambiente e credenciais sensíveis. Além disso, a configuração padrão da ação permitia que usuários sem acesso de escrita a acionassem, aumentando o risco. A situação é crítica, pois um ataque semelhante já resultou na exploração de um token de publicação npm em outro repositório. A recomendação é atualizar para a versão corrigida e auditar fluxos de trabalho que permitam entradas não confiáveis.

A Cisco lançou um patch para uma vulnerabilidade crítica no Unified Communications Manager (UCM), identificada como CVE-2026-20230. Essa falha permite que um atacante não autenticado na rede escreva arquivos no sistema, possibilitando a escalada de privilégios até o nível root. O problema é classificado como uma ‘server-side request forgery’ (SSRF), onde requisições HTTP malformadas podem ser utilizadas para comprometer a integridade do sistema. Embora a Cisco não tenha registrado ataques explorando essa vulnerabilidade até o momento, a disponibilidade de um código de prova de conceito (PoC) aumenta a preocupação com possíveis explorações. A falha só se manifesta quando o serviço WebDialer está ativo, o que não é o padrão, mas organizações que o ativaram estão em risco. A correção para a versão 14 do UCM está disponível, enquanto a atualização completa para a versão 15 está prevista para setembro de 2026. A situação é alarmante, considerando que o UCM já foi alvo de outras vulnerabilidades críticas no passado, como a presença de uma conta SSH root hard-coded.

A Cisco divulgou atualizações de segurança para corrigir uma vulnerabilidade crítica no Cisco Unified Communications Manager (Unified CM), que permite que atacantes obtenham privilégios de root. A falha, identificada como CVE-2026-20230, pode ser explorada remotamente por meio de ataques de Server-Side Request Forgery (SSRF) de baixa complexidade, sem a necessidade de privilégios. Um atacante pode enviar uma solicitação HTTP manipulada para um dispositivo afetado, possibilitando a escrita de arquivos no sistema operacional subjacente, o que pode ser usado para elevar privilégios a root.

Uma falha de segurança descoberta em vários aplicativos Android do Microsoft 365, chamada de FlagLeft, permitiu que aplicativos não confiáveis no mesmo dispositivo solicitassem tokens de conta de usuários autenticados. Isso significa que um aplicativo malicioso poderia acessar e-mails, arquivos, calendários e enviar mensagens em nome do usuário sem necessidade de senha ou autorização. A falha foi identificada por pesquisadores da Enclave e afetou aplicativos amplamente utilizados, como Word, PowerPoint, Excel, Microsoft 365 Copilot, Loop e OneNote. A vulnerabilidade foi corrigida pela Microsoft, que lançou atualizações para os aplicativos, mas os tokens comprometidos podem permanecer válidos mesmo após a atualização. Portanto, é recomendável que os usuários revoguem os tokens de atualização e façam um novo login. A Microsoft emitiu quatro CVEs relacionados a essa falha, com classificações de severidade variando de 4.4 a 7.7, indicando um risco significativo para os usuários que não atualizarem seus aplicativos. A atualização é essencial para mitigar o risco de exploração dessa vulnerabilidade.

Um estudo recente revelou uma vulnerabilidade crítica no assistente de voz Google Gemini, que pode ser explorada através de notificações maliciosas enviadas por aplicativos como WhatsApp, Slack e Instagram. A pesquisa, conduzida pela SafeBreach, demonstrou que um único aviso envenenado poderia permitir que um invasor assumisse o controle do assistente, abrindo janelas conectadas, enviando mensagens falsas em nome de contatos e até mesmo iniciando chamadas de vídeo no Zoom. O ataque, denominado ‘Fake Context Alignment’, utiliza técnicas de injeção de comandos que enganam o assistente ao interpretar notificações hostis como instruções legítimas. Embora o Google tenha corrigido a falha, a vulnerabilidade destaca a necessidade de vigilância contínua em dispositivos Android, onde o Gemini possui acesso a notificações. A pesquisa não encontrou evidências de que a técnica tenha sido utilizada em ataques reais, mas a possibilidade de controle remoto de dispositivos inteligentes e a persistência de informações envenenadas representam riscos significativos para a segurança dos usuários. Os usuários podem mitigar o risco desativando a leitura de notificações pelo assistente, mas a questão da segurança em assistentes de voz continua a ser uma preocupação crescente.

Um novo ataque de negação de serviço (DoS) conhecido como HTTP/2 Bomb pode ser lançado a partir de uma única máquina, conseguindo derrubar servidores web em questão de segundos. Essa técnica explora configurações padrão do HTTP/2 em servidores amplamente utilizados, como NGINX, Apache, Microsoft IIS, Envoy e Cloudflare Pingora. O ataque combina duas metodologias conhecidas: a amplificação de compressão HPACK e a retenção de recursos ao estilo Slowloris, utilizando o controle de fluxo do HTTP/2. Ao enviar um único byte, um atacante pode forçar o servidor a alocar milhares de bytes de memória, resultando em um consumo extremo de RAM. Por exemplo, um computador doméstico com conexão de 100 Mbps pode tornar um servidor vulnerável inacessível em poucos segundos. Os testes mostraram que o Envoy e o Apache httpd são os mais afetados, consumindo 32 GB de RAM em cerca de 10 e 18 segundos, respectivamente. Embora algumas plataformas já tenham recebido patches, outras, como IIS e Envoy, ainda não têm correções disponíveis. A recomendação é desativar o HTTP/2 onde possível e implementar proxies ou firewalls que limitem o número de cabeçalhos.

Pesquisadores de cibersegurança identificaram uma nova vulnerabilidade chamada HTTP/2 Bomb, que afeta servidores web amplamente utilizados, como NGINX, Apache HTTPD, Microsoft IIS, Envoy e Cloudflare Pingora. Essa falha permite um ataque de negação de serviço (DoS) remoto, explorando a configuração padrão do HTTP/2. A vulnerabilidade foi descoberta pela Calif, que explicou que o ataque combina duas técnicas conhecidas: uma bomba de compressão e uma técnica de manutenção de conexão semelhante ao Slowloris. O ataque visa o HPACK, o esquema de compressão de cabeçalhos do HTTP/2, onde um único byte pode resultar em uma alocação de cabeçalho completa no servidor, repetida milhares de vezes. Isso pode levar a um consumo excessivo de memória do servidor, tornando-o inacessível rapidamente. Para mitigar a vulnerabilidade, recomenda-se que os usuários do NGINX atualizem para a versão 1.29.8 ou desativem o HTTP/2, enquanto os usuários do Apache HTTPD devem atualizar para a versão 2.0.41 ou desativar o HTTP/2. No entanto, não há patches disponíveis para Microsoft IIS, Envoy e Cloudflare Pingora até o momento.

Pesquisadores em cibersegurança revelaram uma vulnerabilidade não corrigida que pode permitir que atacantes obtenham o hash NTLMv2 de um usuário. O problema, relacionado ao manipulador de URI ‘search:’, é semelhante ao CVE-2026-33829, que afetou a ferramenta Snipping Tool da Microsoft. A vulnerabilidade permite que um invasor induza o usuário a clicar em um link malicioso, que, se aprovado, conecta o computador a um servidor SMB controlado pelo atacante, expondo o hash NTLMv2 do usuário. A Microsoft já havia corrigido uma falha semelhante em abril de 2026, mas optou por não abordar essa nova questão, alegando que apenas casos de severidade ‘Importante’ e ‘Crítico’ são priorizados. Sem uma correção disponível, recomenda-se bloquear o tráfego SMB em hosts desnecessários, aplicar assinatura SMB e desativar o NTLM quando possível. Essa situação representa um risco significativo, pois o hash capturado pode ser utilizado em ataques de retransmissão, permitindo acesso não autorizado a redes.

Pesquisadores de cibersegurança revelaram uma vulnerabilidade crítica no Microsoft Visual Studio Code (VS Code) que permite a um atacante roubar tokens do GitHub com um simples clique. O problema está relacionado ao uso do GitHub.dev, um editor de código leve que opera no navegador, que utiliza um token OAuth para interagir com repositórios do GitHub. A vulnerabilidade permite que extensões maliciosas sejam instaladas sem a necessidade de confirmação do usuário, explorando um mecanismo de passagem de mensagens entre a janela principal do VS Code e as webviews. Isso possibilita a execução de JavaScript malicioso que simula pressionamentos de tecla, permitindo a instalação de uma extensão controlada pelo atacante que extrai o token OAuth e consulta a API do GitHub para acessar repositórios privados. A Microsoft foi notificada sobre a vulnerabilidade em 2 de junho de 2026 e está trabalhando em uma correção, embora tenha esclarecido que o problema não afeta a versão desktop do VS Code.

Um pesquisador de segurança divulgou um código de exploração para uma vulnerabilidade zero-day no Visual Studio Code (VS Code), que permite que atacantes roubem tokens de autenticação do GitHub ao induzir usuários a clicarem em links maliciosos. Essa falha, que ainda não possui um patch oficial, permite que extensões maliciosas sejam instaladas, explorando o sistema de mensagens do webview do VS Code. O pesquisador Ammar Askar explicou que, ao interagir com github.dev, um token OAuth é enviado, permitindo acesso total a todos os repositórios privados do usuário. Para se proteger, os usuários devem limpar cookies e dados do site para github.dev em seus navegadores, o que gerará um aviso ao tentar acessar links potencialmente perigosos. Askar optou pela divulgação pública imediata após experiências negativas com o processo de resposta de segurança da Microsoft, que não reconheceu falhas anteriores. Essa vulnerabilidade se junta a uma série de zero-days divulgados por outro pesquisador anônimo, conhecido como Nightmare Eclipse, que criticou a forma como a Microsoft lida com a divulgação de falhas. A Microsoft ainda não comentou sobre a vulnerabilidade do VS Code.

Uma vulnerabilidade crítica de escalonamento de privilégios, identificada como CVE-2026-8206, foi descoberta no plugin Kirki para WordPress, permitindo que hackers assumam qualquer conta de usuário, incluindo as de administradores. A falha, que afeta versões do plugin até a 6.0.6, foi introduzida na versão 6.0.0 e impacta cerca de 40% da base de usuários do plugin, que está ativo em mais de 500 mil sites. A vulnerabilidade se origina da exposição de um endpoint da API REST para redefinição de senhas, onde o plugin aceita um endereço de e-mail arbitrário durante as solicitações de redefinição. Isso permite que atacantes não autenticados gerem links de redefinição de senha para qualquer usuário registrado, enviando-os para e-mails sob seu controle. A empresa de segurança Wordfence bloqueou mais de 222 tentativas de exploração em apenas 24 horas. A correção foi disponibilizada na versão 6.0.7, lançada em 18 de maio de 2026, e é crucial que os administradores de sites atualizem o plugin ou o desativem para evitar comprometimentos. A vulnerabilidade representa um risco significativo, pois, uma vez que um atacante obtenha acesso administrativo, ele pode instalar plugins maliciosos, modificar conteúdos do site e acessar bancos de dados privados.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma vulnerabilidade de alta severidade no Oracle WebLogic Server em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). Identificada como CVE-2024-21182, essa falha possui um escore CVSS de 7.5 e permite que atacantes não autenticados, com acesso à rede, assumam o controle de servidores vulneráveis. A CISA alertou que ataques bem-sucedidos podem resultar em acesso não autorizado a dados críticos. Embora não haja relatos públicos sobre a exploração ativa dessa vulnerabilidade, falhas anteriores no WebLogic foram frequentemente utilizadas para formar botnets, minerar criptomoedas e implantar ransomware. A Oracle lançou um patch para corrigir essa vulnerabilidade em julho de 2024. Diante da exploração ativa, a CISA recomenda que as agências do governo federal dos EUA apliquem as correções necessárias até 4 de junho de 2026 para proteger suas redes.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu uma ordem para que agências governamentais reforcem a segurança de seus sistemas contra uma vulnerabilidade crítica no Oracle WebLogic Server, identificada como CVE-2024-21182. Essa falha, que foi corrigida há dois anos, está sendo ativamente explorada em ataques cibernéticos. O Oracle WebLogic Server é um servidor de aplicações Java utilizado em grandes aplicações distribuídas. A vulnerabilidade permite que atacantes não autenticados comprometam o servidor remotamente, podendo resultar em acesso não autorizado a dados críticos. Atualmente, mais de 1.592 servidores WebLogic estão expostos online e vulneráveis a essa falha. A CISA recomendou que, além das agências federais, todas as organizações, incluindo o setor privado, apliquem os patches de segurança o mais rápido possível. A vulnerabilidade é considerada um vetor de ataque comum e representa riscos significativos para a segurança das informações. A CISA também destacou a importância de seguir as orientações do fornecedor e, se necessário, descontinuar o uso do produto até que as correções sejam aplicadas.

O Centro de Cibersegurança da Bélgica (CCB) alertou que atacantes estão explorando ativamente uma vulnerabilidade crítica no Windows Netlogon, identificada como CVE-2026-41089. Essa falha, que foi corrigida pela Microsoft em maio de 2026, permite que invasores não privilegiados executem código remotamente em controladores de domínio do Windows. O Netlogon é um serviço essencial que autentica usuários e serviços em redes baseadas em domínio. A vulnerabilidade é classificada com um CVSS de 9.8, indicando seu alto potencial de impacto. O CCB recomendou que administradores de sistemas realizem a atualização imediata de seus servidores vulneráveis. Embora a Microsoft tenha identificado a falha, ainda não há informações detalhadas sobre os ataques em andamento. Além disso, a empresa enfrenta desafios com outras vulnerabilidades zero-day, como a YellowKey e a BlueHammer, que também estão sendo exploradas. O alerta do CCB destaca a urgência de ações corretivas para mitigar riscos de segurança em ambientes corporativos.

Um artigo recente destaca uma vulnerabilidade crítica de execução remota de código (RCE) em um aplicativo VPN amplamente utilizado, que não foi detectada a tempo por serviços de alerta de vulnerabilidades. Em menos de 24 horas, atacantes exploraram essa falha, obtendo acesso à rede da empresa, o que foi finalmente identificado por ferramentas internas de monitoramento. O tempo é um fator crucial em cibersegurança, com um aumento de 67% nas novas vulnerabilidades entre 2023 e 2025 e uma redução no tempo médio para exploração de 4,2 meses para apenas 1,6 dias. Isso evidencia a necessidade urgente de um serviço de alerta de vulnerabilidades que forneça orientações de remediação imediatas. O SecAlerts, uma plataforma que oferece alertas instantâneos sobre vulnerabilidades, promete ajudar as empresas a se manterem à frente das ameaças, permitindo que respondam rapidamente antes que as falhas sejam exploradas. A ferramenta é acessível e pode ser utilizada por empresas de todos os tamanhos, oferecendo uma linha de defesa robusta contra ameaças cibernéticas.

Uma vulnerabilidade crítica, identificada como CVE-2026-8732, afeta o plugin WP Maps Pro, utilizado em mais de 15.000 sites WordPress. Este problema de escalonamento de privilégios permite que atacantes não autenticados criem contas de administrador, possibilitando o controle total do site. A falha está relacionada a uma funcionalidade de ‘acesso temporário’ destinada ao suporte técnico, que não possui verificações adequadas de autenticação. A exploração dessa vulnerabilidade foi confirmada, com a Wordfence reportando 2.858 tentativas de ataque em apenas 24 horas. A versão 6.1.1 do plugin já corrige a falha, e é crucial que os proprietários de sites atualizem suas instalações para evitar comprometimentos. A vulnerabilidade possui uma pontuação CVSS de 9.8, indicando seu alto risco. Portanto, a atualização imediata é essencial para garantir a segurança dos sites afetados.

Hackers estão explorando uma vulnerabilidade crítica no plugin WP Maps Pro, que permite a criação de contas de administrador sem autenticação. A falha, identificada como CVE-2026-8732, afeta versões 6.1.0 e anteriores do plugin, que é amplamente utilizado para criar mapas interativos em sites de negócios, imobiliárias e turismo. A vulnerabilidade foi descoberta pelo pesquisador de segurança David Brown e se deve a uma funcionalidade de ‘acesso temporário’ que deveria permitir suporte técnico, mas que foi mal implementada, permitindo acesso não autenticado. Isso possibilita que atacantes enviem requisições manipuladas para criar novos usuários com privilégios de administrador, gerando URLs de login sem senha. A empresa de segurança Wordfence já bloqueou mais de 3.600 tentativas de exploração em um único dia. A versão 6.1.1 do WP Maps Pro foi lançada em 20 de maio de 2026, corrigindo a falha. Administradores de sites são aconselhados a atualizar seus plugins imediatamente, dado o aumento da atividade maliciosa.

A Palo Alto Networks emitiu um alerta sobre a exploração de uma falha de bypass de autenticação no GlobalProtect, identificada como CVE-2026-0257. Essa vulnerabilidade permite que atacantes estabeleçam conexões VPN não autorizadas em dispositivos que não foram atualizados. Inicialmente classificada como de gravidade média, a falha teve sua classificação elevada para alta após a empresa identificar tentativas de exploração ativas em dispositivos não corrigidos. A Rapid7 também relatou que a exploração começou em 17 de maio de 2026, com hackers utilizando cookies de autenticação forjados para acessar contas de administrador local. Embora alguns atacantes tenham conseguido conectar-se via VPN, muitos não conseguiram estabelecer uma sessão VPN completa. A falha decorre da validação inadequada dos cookies de autenticação pelo PAN-OS, que não realiza verificação de assinatura. Organizações que utilizam dispositivos GlobalProtect devem aplicar imediatamente as atualizações de segurança disponíveis e considerar desativar a função de override de autenticação para mitigar o risco.

Uma nova vulnerabilidade de escalonamento de privilégios local, chamada ‘CIFSwitch’, foi descoberta no kernel Linux. Essa falha permite que atacantes forjem descrições de chaves de autenticação CIFS, abusem do mecanismo de solicitação de chaves do kernel e obtenham privilégios de root. O problema afeta várias distribuições Linux que utilizam combinações vulneráveis do kernel CIFS e cifs-utils, especialmente nas versões 6.14 e superiores. O CIFS (Common Internet File System) é um protocolo de rede que permite o acesso a arquivos e dispositivos em uma rede local. A vulnerabilidade se origina da falha do subsistema CIFS do kernel em verificar a origem das solicitações de chave cifs.spnego, permitindo que um usuário não privilegiado crie uma solicitação forjada e inicie o fluxo normal de autenticação. O pesquisador Asim Viladi Oglu Manizada, que descobriu a falha, publicou um relatório técnico detalhando a exploração da vulnerabilidade. Embora a falha tenha sido introduzida em 2007, sua exploração depende de fatores como a versão do kernel e a configuração do SELinux/AppArmor. A correção foi disponibilizada através de um patch que valida as origens das solicitações de chave. É recomendado que os usuários desativem ou removam o módulo CIFS se não estiver em uso e desativem namespaces de usuários não privilegiados.

A Palo Alto Networks alertou sobre uma vulnerabilidade de média severidade, identificada como CVE-2026-0257, que afeta o software PAN-OS e o Prisma Access. Essa falha, com uma pontuação CVSS de 7.8, permite que atacantes contornem a autenticação e estabeleçam conexões VPN não autorizadas. O problema ocorre especificamente em firewalls que têm o portal ou gateway GlobalProtect configurados, especialmente quando os cookies de substituição de autenticação estão habilitados. Desde a divulgação da vulnerabilidade, foram observadas tentativas de exploração ativa, com a Rapid7 relatando que ataques bem-sucedidos foram detectados em diversos clientes, começando em 17 de maio de 2026. A Palo Alto Networks recomenda que as organizações afetadas atualizem seus dispositivos com um patch fornecido pelo fornecedor com urgência. Como medidas temporárias, sugere-se desativar a funcionalidade de substituição de autenticação ou gerar um novo certificado para essa função. A exploração dessa vulnerabilidade pode ter um impacto significativo nas organizações afetadas, especialmente em relação à segurança da rede interna.

Pesquisadores de cibersegurança revelaram uma vulnerabilidade no OpenAI ChatGPT, que explora a confiança implícita do assistente de inteligência artificial em links e imagens em Markdown. Denominada ChatGPhish pela Permiso Security, a técnica permite que um ator malicioso insira um pequeno payload em uma página da web que o usuário solicita para ser resumida pelo ChatGPT. Isso pode resultar na exposição de informações como IP, User-Agent e Referer do usuário, além de permitir que links maliciosos sejam apresentados como elementos clicáveis na interface do assistente. A vulnerabilidade se torna crítica à medida que mais organizações utilizam o ChatGPT para pesquisa e resumo, pois qualquer página maliciosa processada pode transformar o assistente em uma superfície de phishing. A Permiso destaca que a mudança do e-mail para o navegador amplia significativamente a superfície de ataque, tornando a interação com páginas da web potencialmente arriscada. Este achado se junta a outras técnicas de ataque recentes que visam agentes de codificação de IA, evidenciando a necessidade de vigilância constante e mitigação de riscos em ambientes corporativos.

Um ator de ameaça desconhecido utilizou um agente de modelo de linguagem grande (LLM) para realizar ações pós-comprometimento após explorar uma vulnerabilidade crítica no Marimo, uma plataforma de notebooks acessível pela internet. A vulnerabilidade, identificada como CVE-2026-39987, permite a execução remota de comandos arbitrários por atacantes não autenticados. Após comprometer um notebook Marimo, o atacante extraiu credenciais de nuvem e obteve uma chave SSH do AWS Secrets Manager, utilizando-a para acessar um servidor bastião e exfiltrar um banco de dados PostgreSQL interno em menos de dois minutos. O uso do LLM permitiu que o atacante improvisasse ações sem conhecimento prévio do ambiente, demonstrando uma adaptabilidade que torna a defesa mais complexa. A Sysdig, empresa de segurança em nuvem, recomenda que os usuários atualizem para a versão mais recente do Marimo e realizem auditorias em ambientes acessíveis publicamente, além de rotacionar credenciais e chaves de API. Este incidente destaca a necessidade urgente de medidas de segurança robustas em face de ameaças que utilizam inteligência artificial.

Uma vulnerabilidade zero-day não corrigida no serviço de Git auto-hospedado Gogs pode permitir que atacantes realizem execução remota de código (RCE) em instâncias expostas à Internet. O Gogs, que é uma alternativa ao GitHub Enterprise e GitLab, é frequentemente utilizado para colaboração remota e, por padrão, permite registro aberto e criação ilimitada de repositórios. Isso significa que um atacante não autenticado pode facilmente criar uma conta e um repositório em uma instância configurada com as definições padrão. Uma vez registrado, o usuário pode habilitar a mesclagem rebase, permitindo que o atacante injete comandos maliciosos durante operações de mesclagem, comprometendo assim o servidor. A falha afeta as versões mais recentes do Gogs (0.14.2 e 0.15.0+dev) e ainda não recebeu um ID CVE. O pesquisador Jonah Burges, que descobriu a vulnerabilidade, alertou que ela permite que atacantes leiam repositórios privados, capturem credenciais e comprometam outros sistemas acessíveis na rede. A Gogs ainda não lançou um patch, apesar de ter reconhecido o problema. A situação é preocupante, especialmente considerando que mais de 2.400 servidores Gogs estão expostos online, com a maioria localizada na Ásia e Europa.

Recentemente, um grupo de cibercriminosos explorou uma falha crítica no FortiClient Endpoint Management Server (EMS), que já foi corrigida, para distribuir malware que rouba credenciais. A campanha utilizou a infraestrutura de gerenciamento de endpoints confiável para implantar o malware disfarçado como uma atualização legítima do Fortinet. A vulnerabilidade, identificada como CVE-2026-35616, possui uma pontuação CVSS de 9.1 e permite a escalada de privilégios por meio de um bypass de autenticação de API. Após a exploração, os atacantes modificaram configurações para atrasar lembretes de atualização de firmware e injetaram scripts maliciosos em dispositivos gerenciados. O malware, chamado ‘FortiEndpoint_Patch.exe’, é um ladrão de informações que coleta dados sensíveis, como senhas e informações de cartões de crédito, e os envia para um servidor controlado pelos atacantes. A utilização de comandos PowerShell para executar essas ações destaca a gravidade da situação, pois cada endpoint gerenciado se torna um alvo potencial sem a necessidade de uma intrusão separada.

A Agência de Cibersegurança e Segurança de Infraestrutura dos EUA (CISA) emitiu um alerta urgente para que agências federais do país protejam seus servidores contra uma vulnerabilidade crítica no plugin LiteSpeed cPanel, identificada como CVE-2026-48172. Essa falha de escalonamento de privilégios permite que atacantes remotos, sem privilégios, executem scripts arbitrários com privilégios de root, devido a uma má gestão das funcionalidades de habilitar/desabilitar Redis. A LiteSpeed lançou atualizações de segurança para corrigir a falha e recomendou que os usuários atualizem o plugin para a versão mais recente. A CISA também incluiu essa vulnerabilidade em seu catálogo de falhas ativamente exploradas, exigindo que as agências federais apliquem patches até a meia-noite de 29 de maio. Embora a diretiva se aplique apenas a agências federais, a CISA instou o setor privado a priorizar a correção dessa vulnerabilidade, que representa um vetor de ataque frequente para cibercriminosos. Os usuários devem verificar se seus servidores estão vulneráveis usando um comando específico e tomar medidas para bloquear IPs suspeitos.

Pesquisadores de cibersegurança identificaram uma falha crítica na plataforma Gitea, um sistema de controle de versão de código aberto e auto-hospedado. A vulnerabilidade, classificada como CVE-2026-27771, permite que atacantes remotos não autenticados acessem imagens de contêiner privadas sem a necessidade de credenciais. Essa falha afeta todas as versões do Gitea anteriores à 1.26.2, que já possui um patch disponível. Estima-se que mais de 30.000 implantações em mais de 30 países estejam vulneráveis, com a maioria das exposições localizadas na China, EUA, Alemanha, França e Reino Unido. Organizações de setores variados, como saúde, manufatura aeroespacial e provedores de serviços de internet, estão entre as afetadas. A empresa de segurança Noscope destacou que a designação privada de repositórios de contêiner não ofereceu a proteção esperada, permitindo que qualquer pessoa na internet acessasse essas imagens como se fossem públicas. Para mitigar o problema, os usuários do Gitea são aconselhados a atualizar para a versão 1.26.2 ou, como solução temporária, configurar a opção de exigência de login na visualização dos serviços. No entanto, essa abordagem pode não ser viável para contêineres que devem ser expostos publicamente.

Um grupo de hackers explorou uma vulnerabilidade crítica de zero-day no servidor do sistema de gestão de aprendizagem KnowledgeDeliver, permitindo a implantação de um web shell conhecido como Godzilla. A falha, identificada como CVE-2026-5426, é um problema de deserialização que pode ser explorado sem autenticação, devido ao uso de uma chave de máquina compartilhada e hardcoded na configuração do portal web. Os atacantes conseguiram obter essa chave e realizar ataques de deserialização em ViewState, permitindo a execução remota de código no nível do sistema operacional. A Mandiant, que respondeu ao ataque no final de 2025, destacou que a vulnerabilidade foi inicialmente utilizada para injetar um script malicioso na plataforma web. O código malicioso induziu os usuários a baixar um instalador falso, resultando na infecção com um beacon do Cobalt Strike, criando uma porta dos fundos. Além disso, o Godzilla, um web shell baseado em .NET, foi utilizado para escalar o controle sobre o sistema de arquivos do servidor web. Este incidente ressalta a crescente preocupação com a segurança em plataformas web, especialmente aquelas que utilizam chaves de máquina inadequadamente protegidas.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) alertou que agências governamentais têm até a noite de quarta-feira para corrigir uma vulnerabilidade de injeção SQL no sistema de gerenciamento de conteúdo Drupal, identificada como CVE-2026-9082. Essa falha, descoberta pelo pesquisador Michael Maturi, permite que atacantes realizem injeções SQL arbitrárias em sites que utilizam PostgreSQL, sem necessidade de autenticação. A exploração bem-sucedida pode resultar em divulgação de informações, escalonamento de privilégios e execução remota de código. A equipe de segurança do Drupal classificou a vulnerabilidade como “altamente crítica” e já foram detectadas tentativas de exploração em mais de 15.000 sites em 65 países, com foco em setores como jogos e serviços financeiros. A CISA incluiu a falha em seu Catálogo de Vulnerabilidades Conhecidas (KEV) e recomendou que todas as organizações, incluindo as do setor privado, apliquem os patches o mais rápido possível. A CISA enfatizou a importância de mitigar essa vulnerabilidade, que representa um vetor de ataque frequente para cibercriminosos.

A Microsoft lançou atualizações para corrigir uma vulnerabilidade de execução remota de código que afeta o SharePoint, identificada como CVE-2026-45659, com uma pontuação CVSS de 8.8, indicando severidade alta. Essa falha permite que um atacante autenticado execute código remotamente no servidor SharePoint, sem necessidade de privilégios elevados. A vulnerabilidade pode ser explorada por qualquer usuário com permissões mínimas de membro do site, tornando-a uma preocupação significativa para as organizações que utilizam essa plataforma. A Microsoft reconheceu o pesquisador MEOW por descobrir e relatar a falha, e atualizações estão disponíveis para as versões SharePoint Server Subscription Edition, SharePoint Server 2019 e SharePoint Enterprise Server 2016. Embora a empresa tenha indicado que a exploração dessa vulnerabilidade é menos provável, é crucial que os usuários apliquem as correções necessárias para garantir a proteção adequada, especialmente considerando que falhas anteriores no SharePoint foram frequentemente exploradas por atacantes. A atualização é uma resposta a um cenário de segurança em constante evolução, onde a proteção de dados e sistemas é essencial.

Uma falha de segurança de alta gravidade, agora corrigida, afetou o sistema de gestão de aprendizagem Digital Knowledge KnowledgeDeliver, amplamente utilizado no Japão. A vulnerabilidade, identificada como CVE-2026-5426, possui uma pontuação CVSS de 7.5 e permite a execução remota de código não autenticado através de um ataque de desserialização do ViewState, devido ao uso de chaves de máquina ASP.NET codificadas. A exploração dessa falha possibilitou que um ator malicioso injetasse código malicioso na plataforma, visando infectar usuários que acessavam o site. O ataque resultou na implantação do shell web Godzilla e na execução de comandos que comprometeram o sistema de arquivos do servidor, além de manipulações que induziram os usuários a instalar um plugin de segurança falso, culminando na infecção por Cobalt Strike Beacon. A situação ressalta os riscos associados ao uso de segredos compartilhados em templates de implantação, onde uma única chave vazada pode comprometer múltiplas instâncias do sistema. A implementação de segredos únicos e monitoramento robusto de endpoints é recomendada para prevenir tais ataques.

Uma grave vulnerabilidade de injeção de comandos foi identificada no sistema operacional PolyScope 5, da Universal Robots, que afeta milhares de robôs industriais. A falha, classificada como CVE-2026-8153, possui uma pontuação CVSS de 9.8, indicando um risco crítico. Um atacante não autenticado que consiga acessar a porta de rede do Dashboard Server pode injetar comandos diretamente no sistema operacional do robô, comprometendo a confidencialidade, integridade e disponibilidade do sistema. A Universal Robots lançou um patch na versão 5.25.1, mas a instalação é necessária para mitigar a vulnerabilidade. A empresa alerta que a segurança da rede é crucial, pois a exploração remota requer que o Dashboard Server esteja habilitado e acessível na rede. Embora não haja relatos de exploração pública até o momento, a falta de segmentação adequada da rede pode permitir que esta vulnerabilidade seja explorada facilmente em ambientes industriais. A presença de robôs colaborativos, que trabalham ao lado de humanos, torna essa ameaça ainda mais preocupante, pois um robô comprometido pode causar danos físicos aos trabalhadores nas proximidades.

Recentemente, um grave problema de segurança foi identificado no Ghost CMS, uma plataforma popular de gerenciamento de conteúdo. A vulnerabilidade, classificada como CVE-2026-26980, apresenta uma pontuação de 9.4 no CVSS e permite que atacantes não autenticados realizem injeções SQL, acessando dados arbitrários do banco de dados. Essa falha foi corrigida na versão 6.19.1, lançada em fevereiro de 2026, após ser descoberta pela Anthropic.

Os atacantes estão utilizando essa vulnerabilidade para obter a chave da API de administração do site, o que lhes permite injetar código JavaScript malicioso em artigos, facilitando ataques de ClickFix. Desde sua detecção em 7 de maio de 2026, mais de 700 sites foram comprometidos, incluindo instituições de ensino, empresas de tecnologia e fintechs. O código injetado atua como um carregador de dois estágios, que busca um payload malicioso de um domínio externo, permitindo que os atacantes adaptem suas ações conforme necessário.