Vulnerabilidade

Dois grupos de hackers com vínculos à China, Earth Lamia e Jackpot Panda, foram identificados explorando uma vulnerabilidade crítica no React Server Components (RSC), conhecida como CVE-2025-55182, que permite a execução remota de código não autenticado. A falha, que recebeu a pontuação máxima de 10.0 no CVSS, foi divulgada publicamente e rapidamente aproveitada por esses grupos. A Amazon Web Services (AWS) relatou que as tentativas de exploração foram detectadas em sua infraestrutura de honeypot, associadas a endereços IP conhecidos por estarem ligados a atores de ameaças estatais chineses. Os ataques têm como alvo setores variados, incluindo serviços financeiros, logística e universidades, principalmente na América Latina, Oriente Médio e Sudeste Asiático. Além disso, o Jackpot Panda, ativo desde 2020, tem se concentrado em entidades relacionadas a jogos online na Ásia. A AWS também observou que os atacantes estavam explorando outras vulnerabilidades conhecidas, sugerindo uma abordagem sistemática para encontrar sistemas não corrigidos. Essa situação destaca a necessidade urgente de que empresas e organizações atualizem suas versões do React para mitigar riscos de exploração.

Uma vulnerabilidade de injeção de comando nos gateways de acesso seguro da Array Networks AG Series está sendo explorada ativamente desde agosto de 2025, conforme alerta emitido pelo JPCERT/CC. Essa falha, que não possui um identificador CVE, foi corrigida pela empresa em 11 de maio de 2025. A vulnerabilidade está relacionada ao DesktopDirect, uma solução de acesso remoto que permite aos usuários acessar seus computadores de trabalho de forma segura. A exploração dessa falha pode permitir que atacantes executem comandos arbitrários em sistemas onde o recurso DesktopDirect está habilitado. O JPCERT/CC confirmou incidentes no Japão que utilizaram essa vulnerabilidade para implantar web shells em dispositivos vulneráveis, com ataques originados do endereço IP 194.233.100[.]138. Embora uma falha de bypass de autenticação no mesmo produto tenha sido explorada anteriormente por um grupo de espionagem cibernética vinculado à China, não há evidências que conectem os atacantes atuais a esse grupo. A vulnerabilidade afeta versões do ArrayOS 9.4.5.8 e anteriores, e os usuários são aconselhados a aplicar as atualizações mais recentes para mitigar ameaças potenciais. Caso a aplicação de patches não seja uma opção imediata, recomenda-se desativar os serviços do DesktopDirect e utilizar filtragem de URL para bloquear acessos a URLs que contenham ponto e vírgula.

Uma vulnerabilidade crítica, identificada como CVE-2025-8489, foi descoberta no plugin King Addons para Elementor, utilizado em mais de 10.000 sites WordPress. Com uma pontuação CVSS de 9.8, essa falha permite que atacantes não autenticados obtenham privilégios administrativos ao se registrarem como usuários com a função de administrador. A vulnerabilidade afeta as versões do plugin entre 24.12.92 e 51.1.14 e foi corrigida na versão 51.1.35, lançada em 25 de setembro de 2025. O problema reside na função ‘handle_register_ajax()’, que não restringe adequadamente os papéis que os usuários podem registrar. Desde a divulgação pública da falha, a empresa de segurança Wordfence bloqueou mais de 48.400 tentativas de exploração, com ataques ativos registrados desde o final de outubro de 2025. Administradores de sites são aconselhados a atualizar para a versão mais recente do plugin e a auditar seus ambientes em busca de usuários administrativos suspeitos.

A Microsoft lançou um patch silencioso em novembro de 2025 para corrigir a vulnerabilidade CVE-2025-9491, que afeta arquivos de atalho (.LNK) do Windows. Essa falha, que existe desde 2017, permite que atacantes executem código remotamente ao manipular a interface do usuário, ocultando comandos maliciosos através de caracteres em branco. A vulnerabilidade foi explorada por grupos patrocinados por estados, incluindo nações como China, Irã, Coreia do Norte e Rússia, em campanhas de espionagem e roubo de dados. A falha foi inicialmente revelada em março de 2025, e, apesar de a Microsoft ter inicialmente decidido não corrigir o problema, a crescente exploração levou à liberação do patch. O novo comportamento do sistema agora exibe o comando completo no diálogo de propriedades, independentemente do seu comprimento, mitigando o risco de ocultação. A 0patch, por sua vez, oferece uma micropatch que alerta os usuários ao tentarem abrir arquivos .LNK com mais de 260 caracteres, destacando a necessidade de proteção contínua contra ataques que possam utilizar essa vulnerabilidade.

Uma falha de segurança de alta severidade foi identificada nos React Server Components (RSC), com o identificador CVE-2025-55182, que permite a execução remota de código não autenticado. A vulnerabilidade, que possui uma pontuação CVSS de 10.0, resulta de um erro na forma como o React decodifica os dados enviados para os endpoints de funções do servidor. Mesmo que uma aplicação não utilize endpoints de funções do servidor, ela ainda pode ser vulnerável se suportar componentes do servidor do React. A empresa de segurança em nuvem Wiz relatou que 39% dos ambientes em nuvem podem ter instâncias vulneráveis a essa falha. As versões afetadas incluem 19.0, 19.1.0, 19.1.1 e 19.2.0 de pacotes npm como react-server-dom-webpack e react-server-dom-parcel. As correções foram lançadas nas versões 19.0.1, 19.1.2 e 19.2.1. Além disso, a vulnerabilidade também impacta o Next.js com App Router, identificado como CVE-2025-66478, afetando versões >=14.3.0-canary.77 e superiores. Dada a gravidade da situação, é altamente recomendável que os usuários apliquem as correções imediatamente para garantir a proteção adequada.

Um cibercriminoso conhecido como ResearcherX divulgou uma suposta vulnerabilidade zero-day no iOS 26, da Apple, em um marketplace da dark web. Essa falha permitiria a corrupção da memória e o controle total de dispositivos que utilizam esse sistema operacional. A vulnerabilidade estaria relacionada ao parser do iOS Message, permitindo acesso root sem interação do usuário, apenas ao receber um pacote de dados malicioso. Classificada como uma ‘solução full chain’, a brecha poderia contornar as defesas de segurança do iOS, incluindo a ‘Proteção Multi Camadas’, que abrange o kernel e as defesas de espaço de usuário. Caso confirmada, a falha poderia expor dados sensíveis dos usuários, como mensagens, fotos encriptadas e informações de localização. A venda do exploit é alarmante, com preços que variam entre US$ 2 milhões e US$ 5 milhões, refletindo a gravidade da situação. Essa vulnerabilidade surge após a Apple ter lançado uma atualização significativa em setembro, que visava melhorar a segurança do sistema, mas que aparentemente não foi suficiente para impedir a exploração por hackers.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) atualizou seu catálogo de Vulnerabilidades Conhecidas Exploradas (KEV) para incluir a falha CVE-2021-26829, uma vulnerabilidade de cross-site scripting (XSS) que afeta o software OpenPLC ScadaBR nas versões para Windows e Linux. Essa vulnerabilidade, com um escore CVSS de 5.4, permite que atacantes explorem o sistema através do arquivo system_settings.shtm. A inclusão no catálogo ocorre após um ataque de um grupo hacktivista pro-Rússia, conhecido como TwoNet, que comprometeu um honeypot, acreditando ser uma instalação de tratamento de água. Os atacantes utilizaram credenciais padrão para obter acesso inicial e exploraram a vulnerabilidade para modificar a página de login do HMI, exibindo uma mensagem de ‘Hacked by Barlati’. Além disso, a VulnCheck observou uma operação de exploração em andamento focada no Brasil, com tentativas de exploração de mais de 200 CVEs. A CISA exige que as agências federais apliquem correções até 19 de dezembro de 2025 para garantir proteção adequada.

Pesquisadores de cibersegurança identificaram vulnerabilidades em pacotes Python legados que podem facilitar um ataque à cadeia de suprimentos no Python Package Index (PyPI). A empresa ReversingLabs revelou que o problema reside em scripts de bootstrap do zc.buildout, que ainda tentam instalar o pacote Distribute a partir de um domínio obsoleto, python-distribute[.]org, que está à venda desde 2014. Essa situação é preocupante, pois um invasor poderia assumir o domínio e injetar código malicioso, colocando em risco dados sensíveis dos usuários. Embora alguns pacotes já tenham removido o script vulnerável, o slapos.core ainda o inclui, aumentando a superfície de ataque. Além disso, um pacote malicioso chamado ‘spellcheckers’ foi descoberto no PyPI, projetado para baixar um trojan de acesso remoto (RAT) após a instalação. O artigo destaca a necessidade urgente de os desenvolvedores revisarem seus códigos e removerem dependências obsoletas para evitar possíveis compromissos de segurança.

Uma vulnerabilidade crítica foi identificada na biblioteca de criptografia ’node-forge’, amplamente utilizada em aplicações Node.js. A falha, classificada como CVE-2025-12816, permite que atacantes contornem a validação de assinaturas e certificados, possibilitando o acesso não autorizado a contas de usuários. A Carnegie Mellon CERT-CC emitiu um alerta sobre os riscos associados, que incluem a manipulação de dados assinados e o desvio de autenticação. A biblioteca, que já conta com quase 26 milhões de downloads semanais, teve sua versão atualizada para 1.3.2, e os desenvolvedores são fortemente aconselhados a realizar a atualização imediatamente. A falha foi descoberta por pesquisadores da Palo Alto Networks e divulgada de forma responsável aos mantenedores da biblioteca, que prontamente lançaram a correção. Em ambientes onde a verificação criptográfica é essencial para a confiança, o impacto dessa vulnerabilidade pode ser significativo, exigindo atenção urgente dos desenvolvedores e profissionais de segurança.

Pesquisadores da Universidade de Michigan e da CMU identificaram uma nova vulnerabilidade no sistema Android, especificamente em dispositivos da Google e Samsung, chamada Pixnapping. Essa falha permite que atacantes capturem informações exibidas na tela, incluindo códigos de autenticação de dois fatores (2FA), utilizando uma técnica de canal lateral que burla as proteções visuais do sistema. O ataque explora o SurfaceFlinger, um mecanismo de renderização de imagens, e foi testado em cinco modelos de aparelhos com versões do Android entre 13 e 16. Apesar de uma correção oficial (CVE-2025-48561) ter sido lançada, os especialistas conseguiram contornar o patch rapidamente. Para que o ataque ocorra, a vítima precisa instalar um aplicativo malicioso que utiliza a API de desfoque de janelas para espionar a atividade do usuário. A Google não planeja corrigir essa falha, que é considerada bloqueada por padrão, mas tanto a Google quanto a Samsung pretendem implementar medidas de mitigação até dezembro. Especialistas recomendam que os usuários mantenham seus dispositivos atualizados e evitem aplicativos de fontes não confiáveis.

O grupo de ameaças conhecido como ToddyCat tem utilizado métodos inovadores para obter acesso a dados de e-mail corporativo de empresas-alvo, incluindo uma ferramenta personalizada chamada TCSectorCopy. Essa técnica permite que os atacantes obtenham tokens do protocolo de autorização OAuth 2.0 através do navegador do usuário, possibilitando o acesso a e-mails corporativos fora da infraestrutura comprometida. Desde 2020, o ToddyCat tem como alvo diversas organizações na Europa e na Ásia, utilizando ferramentas como Samurai e TomBerBil para manter acesso e roubar cookies e credenciais de navegadores como Google Chrome e Microsoft Edge. Recentemente, o grupo explorou uma vulnerabilidade no ESET Command Line Scanner (CVE-2024-11859) para entregar um malware inédito chamado TCESB. Além disso, uma nova variante do TomBerBil foi detectada, capaz de extrair dados do Mozilla Firefox e operar em controladores de domínio. O ToddyCat também tem tentado obter tokens de acesso diretamente da memória em organizações que utilizam o Microsoft 365, utilizando uma ferramenta chamada SharpTokenFinder. Apesar de enfrentar dificuldades em algumas tentativas, o grupo continua a desenvolver suas técnicas para acessar correspondências corporativas de forma furtiva.

Uma vulnerabilidade crítica foi identificada no 7-Zip, um popular software de compressão de arquivos, que pode permitir que hackers assumam o controle total de computadores. A falha, classificada como CVE-2025-11001, foi descoberta por Ryota Shiga da GMO Flatt Security Inc. e envolve a manipulação de links simbólicos em arquivos ZIP. Essa vulnerabilidade permite que um arquivo ZIP malicioso redirecione a extração para diretórios não autorizados, possibilitando a execução de códigos arbitrários com privilégios elevados. Embora até o momento não tenham sido registrados casos de exploração ativa, o NHS England Digital emitiu um alerta de alto risco, destacando a facilidade de exploração, que requer apenas que o usuário abra o arquivo ZIP comprometido. A 7-Zip lançou uma correção na versão 25.00, mas a falta de um sistema de atualização automática significa que os usuários devem atualizar manualmente. A situação é preocupante, especialmente considerando que o score de risco CVSS da falha é de 7,0, indicando um alto nível de severidade.

Uma falha de segurança recentemente corrigida no Microsoft Windows Server Update Services (WSUS) foi explorada por atacantes para distribuir o malware conhecido como ShadowPad. A vulnerabilidade, identificada como CVE-2025-59287, é uma falha crítica de desserialização que permite a execução remota de código com privilégios de sistema. Os atacantes inicialmente acessaram servidores Windows com WSUS habilitado e utilizaram ferramentas como PowerCat, um utilitário baseado em PowerShell, para obter um shell do sistema. Em seguida, eles baixaram e instalaram o ShadowPad usando comandos como certutil e curl.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma vulnerabilidade crítica no Oracle Identity Manager em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). A falha, identificada como CVE-2025-61757, possui uma pontuação CVSS de 9.8 e permite a execução remota de código sem autenticação, afetando as versões 12.2.1.4.0 e 14.1.2.1.0 do software. Pesquisadores da Searchlight Cyber descobriram que a vulnerabilidade resulta de um bypass de um filtro de segurança, permitindo que atacantes não autenticados acessem endpoints de API e manipulem fluxos de autenticação. O ataque pode ser realizado ao adicionar parâmetros específicos a uma URI, levando à execução de código Groovy em um endpoint que deveria apenas verificar a sintaxe do código. A CISA alertou que houve tentativas de exploração ativa entre agosto e setembro de 2025, com múltiplos IPs tentando acessar a vulnerabilidade. Diante disso, agências federais dos EUA devem aplicar patches até 12 de dezembro de 2025 para proteger suas redes.

A Grafana lançou atualizações de segurança para corrigir uma falha crítica, classificada com um CVSS de 10.0, que pode permitir a escalada de privilégios ou a impersonação de usuários em configurações específicas. A vulnerabilidade, identificada como CVE-2025-41115, reside no componente SCIM (System for Cross-domain Identity Management), que facilita o provisionamento e gerenciamento automatizado de usuários. A falha afeta as versões do Grafana Enterprise de 12.0.0 a 12.2.1, quando o provisionamento SCIM está habilitado e configurado. Um cliente SCIM malicioso pode provisionar um usuário com um ’externalId’ numérico, que pode ser interpretado como um ID de usuário interno, possibilitando a impersonação de contas existentes, como a de um administrador. A vulnerabilidade foi descoberta internamente em 4 de novembro de 2025, e a Grafana recomenda que os usuários apliquem os patches disponíveis imediatamente para mitigar os riscos potenciais. As versões corrigidas incluem Grafana Enterprise 12.0.6+security-01, 12.1.3+security-01, 12.2.1+security-01 e 12.3.0.

A Oligo Security alertou sobre ataques em andamento que exploram uma vulnerabilidade de dois anos no framework de inteligência artificial (IA) open-source Ray, transformando clusters infectados com GPUs da NVIDIA em uma botnet de mineração de criptomoedas autossustentável. Denominada ShadowRay 2.0, a campanha se baseia em uma falha crítica de autenticação (CVE-2023-48022, pontuação CVSS: 9.8) que permite o controle de instâncias vulneráveis para mineração ilícita usando o XMRig. Os atacantes submetem trabalhos maliciosos a uma API de submissão de trabalhos do Ray, criando um worm que se espalha entre dashboards expostos. A campanha utiliza repositórios no GitLab e GitHub para distribuir o malware, e os atacantes têm demonstrado resiliência ao criar novas contas após a remoção de contas anteriores. Além disso, a infecção é projetada para eliminar concorrentes, terminando processos de mineração em execução. A Oligo também observou que os clusters comprometidos estão sendo usados para ataques de negação de serviço (DDoS), ampliando o escopo da operação. Com mais de 230.500 servidores Ray acessíveis publicamente, a exposição à internet representa um risco significativo, e a Anyscale, desenvolvedora do Ray, lançou ferramentas para ajudar na configuração adequada dos clusters.

Uma falha de segurança recentemente divulgada no 7-Zip, identificada como CVE-2025-11001, está sendo ativamente explorada por atacantes. Com uma pontuação CVSS de 7.0, essa vulnerabilidade permite que invasores executem código arbitrário ao manipular links simbólicos em arquivos ZIP. A Trend Micro alertou que dados manipulados em um arquivo ZIP podem fazer com que o processo acesse diretórios não intencionais, possibilitando a execução de código em contas de serviço. A falha foi descoberta por Ryota Shiga, da GMO Flatt Security Inc., e corrigida na versão 25.00 do 7-Zip, lançada em julho de 2025. Além disso, outra vulnerabilidade, CVE-2025-11002, também foi resolvida na mesma versão, que apresenta um problema semelhante. A NHS England Digital confirmou a exploração ativa da CVE-2025-11001, embora detalhes sobre os atacantes e os métodos utilizados ainda não estejam disponíveis. Dada a existência de provas de conceito (PoC) para essa vulnerabilidade, é crucial que os usuários do 7-Zip atualizem para a versão mais recente o mais rápido possível para garantir a proteção adequada.

A Google lançou uma correção de emergência para a sétima vulnerabilidade zero-day no Chrome em 2025, identificada como CVE-2025-13223. Essa falha, considerada de alta severidade, foi causada por uma confusão tipográfica no motor JavaScript V8 do navegador. A vulnerabilidade foi relatada por Clement Lecigne, do Grupo de Análise de Ameaças da Google, e já foi utilizada em ataques direcionados, especialmente contra indivíduos de alto risco, como jornalistas e políticos de oposição. As atualizações necessárias foram disponibilizadas para Windows, Mac e Linux, e a empresa recomenda que todos os usuários atualizem seus navegadores o mais rápido possível. A Google não divulgou detalhes sobre a exploração da falha até que a maioria dos usuários esteja atualizada, seguindo uma prática comum para evitar que informações sobre a vulnerabilidade sejam utilizadas por agentes maliciosos. Este ano, a Google já lançou seis patches para outras falhas zero-day, refletindo um aumento na atividade de exploração de vulnerabilidades em navegadores. A atualização pode ser verificada no menu do Chrome, e a empresa enfatiza a importância de manter o navegador sempre atualizado para garantir a segurança dos usuários.

Um novo alerta de segurança destaca como a plataforma de inteligência artificial Now Assist da ServiceNow pode ser explorada por agentes maliciosos. Segundo a AppOmni, configurações padrão da plataforma permitem ataques de injeção de prompt de segunda ordem, onde agentes podem descobrir e recrutar uns aos outros para realizar ações não autorizadas. Isso inclui a cópia e exfiltração de dados sensíveis, modificação de registros e escalonamento de privilégios. O problema não é um bug, mas sim um comportamento esperado devido às configurações padrão que facilitam a comunicação entre agentes. A vulnerabilidade é particularmente preocupante, pois as ações ocorrem em segundo plano, sem que a organização afetada perceba. Para mitigar esses riscos, recomenda-se configurar o modo de execução supervisionada para agentes privilegiados, desabilitar a propriedade de sobreposição autônoma e monitorar o comportamento dos agentes de IA. A ServiceNow reconheceu a questão e atualizou sua documentação, mas a situação ressalta a necessidade de uma proteção mais robusta para agentes de IA em ambientes corporativos.

A Fortinet emitiu um alerta sobre uma nova vulnerabilidade no FortiWeb, identificada como CVE-2025-58034, que já está sendo explorada ativamente. Classificada como de severidade média, a falha possui um CVSS de 6.7, permitindo que um atacante autenticado execute comandos não autorizados no sistema subjacente por meio de requisições HTTP manipuladas ou comandos CLI. Para que um ataque seja bem-sucedido, o invasor deve primeiro se autenticar de alguma forma, o que torna a vulnerabilidade um vetor de ataque em cadeia. A Fortinet já lançou patches para diversas versões do FortiWeb, recomendando atualizações para versões mais recentes. A empresa também foi criticada por não ter emitido um aviso formal sobre a correção de outra vulnerabilidade crítica, CVE-2025-64446, que foi corrigida silenciosamente. Especialistas em segurança alertam que a falta de comunicação sobre novas falhas de segurança pode colocar os defensores em desvantagem, facilitando o trabalho dos atacantes. A situação destaca a importância de uma comunicação clara e proativa por parte dos fornecedores de tecnologia em relação a questões de segurança.

No dia 18 de novembro de 2025, o Google lançou atualizações de segurança para seu navegador Chrome, abordando duas falhas críticas, incluindo uma que está sendo ativamente explorada. A vulnerabilidade identificada como CVE-2025-13223, com uma pontuação CVSS de 8.8, é uma falha de confusão de tipo no motor V8 do JavaScript e WebAssembly, que pode permitir a execução de código arbitrário ou causar falhas no programa. Segundo o NIST, essa falha pode ser explorada por atacantes remotos através de uma página HTML manipulada. O especialista Clément Lecigne, do Google Threat Analysis Group, descobriu a vulnerabilidade em 12 de novembro de 2025. O Google confirmou que um exploit para essa falha já está disponível na internet. Além disso, a atualização também corrige outra vulnerabilidade de confusão de tipo (CVE-2025-13224), também com pontuação 8.8, identificada por um agente de inteligência artificial do Google. Para se proteger, os usuários devem atualizar o Chrome para as versões 142.0.7444.175/.176 para Windows, 142.0.7444.176 para macOS e 142.0.7444.175 para Linux. É recomendado que usuários de navegadores baseados em Chromium, como Microsoft Edge e Brave, também apliquem as correções assim que disponíveis.

Pesquisadores de segurança descobriram uma vulnerabilidade crítica no Cursor, um editor de código popular impulsionado por IA, que permite a atacantes executar código JavaScript arbitrário através de servidores Model Context Protocol (MCP) maliciosos. A falha explora a falta de verificação de integridade nas funcionalidades específicas do Cursor, ao contrário dos controles de segurança mais robustos do VS Code. Ao registrar um servidor MCP local, os atacantes conseguem contornar as proteções embutidas e injetar JavaScript malicioso diretamente no DOM do navegador. O ataque pode roubar credenciais ao substituir páginas de login legítimas por interfaces de phishing, coletando informações do usuário sem que ele perceba. Essa vulnerabilidade não se limita ao roubo de credenciais, pois permite que os atacantes realizem qualquer ação que o usuário possa executar, escalando privilégios e modificando componentes do sistema. A situação é alarmante, pois os servidores MCP operam com permissões amplas, tornando-se alvos atrativos para ameaças. Os desenvolvedores devem revisar cuidadosamente todos os servidores MCP e extensões antes da instalação e implementar camadas adicionais de segurança. As organizações devem monitorar o uso de servidores MCP e considerar soluções empresariais que ofereçam proteção contra ataques à cadeia de suprimentos.

A Cisco divulgou vulnerabilidades críticas de execução remota de código que afetam o Cisco Unified Contact Center Express (CCX), expondo organizações a riscos severos de segurança. O aviso detalha duas vulnerabilidades independentes no processo de Java Remote Method Invocation (RMI), que podem permitir que atacantes não autenticados obtenham controle total do sistema, incluindo privilégios de nível root. As falhas representam uma ameaça significativa para operações de contact center em todo o mundo, pois podem ser exploradas sem autenticação ou interação do usuário. A primeira vulnerabilidade permite o upload de arquivos arbitrários e a execução de comandos com permissões de root. A segunda permite que atacantes contornem mecanismos de autenticação na aplicação CCX Editor, criando a ilusão de acesso legítimo. Ambas as vulnerabilidades possuem pontuações CVSS de 9.8 e 9.4, respectivamente, indicando níveis críticos de severidade. A Cisco recomenda que as organizações que utilizam versões vulneráveis do CCX atualizem imediatamente para as versões corrigidas, uma vez que não existem alternativas de mitigação. A rápida remediação é essencial para proteger a infraestrutura crítica dos contact centers.

Uma grave vulnerabilidade zero-day no Fortinet FortiWeb está sendo ativamente explorada por cibercriminosos, permitindo acesso total a contas de administrador do firewall de aplicações web sem necessidade de autenticação. Essa falha de segurança afeta organizações globalmente que utilizam o FortiWeb para proteger suas aplicações web contra tráfego malicioso. A vulnerabilidade foi divulgada em 6 de outubro de 2025, após ser descoberta por pesquisadores da empresa Defused, que a identificaram em sua infraestrutura de honeypots. Testes realizados pela Rapid7 confirmaram a eficácia do exploit contra a versão 8.0.1 do FortiWeb, lançada em agosto de 2025, permitindo a criação de contas de administrador maliciosas. Embora a versão mais recente, 8.0.2, tenha mostrado respostas de ‘403 Forbidden’ durante tentativas de exploração, organizações que ainda operam versões anteriores enfrentam riscos significativos. A Fortinet ainda não forneceu orientações oficiais ou um identificador CVE para essa vulnerabilidade, o que levanta preocupações sobre sua abrangência. As organizações são aconselhadas a atualizar imediatamente para a versão 8.0.2 ou a remover interfaces de gerenciamento da exposição pública na internet.

Uma vulnerabilidade crítica de execução remota de código foi descoberta e corrigida no Imunify360 AV, um produto de segurança que protege aproximadamente 56 milhões de websites em todo o mundo. A falha, identificada em versões anteriores à v32.7.4.0, permite que atacantes executem comandos arbitrários em servidores vulneráveis, comprometendo completamente o ambiente de hospedagem. A vulnerabilidade se origina de uma lógica de desofuscação defeituosa que processa funções não confiáveis e cargas úteis extraídas de amostras de malware fornecidas por atacantes. O Imunify360 AV, que opera com privilégios de root por padrão, aumenta os riscos de escalonamento em ambientes de hospedagem compartilhada. A empresa-mãe, CloudLinux, não emitiu um aviso oficial sobre a segurança, embora a gravidade do problema tenha sido documentada em seu portal de suporte. Administradores que utilizam versões afetadas devem aplicar atualizações de segurança imediatamente ou, se não for possível, restringir o ambiente de execução. Este é o segundo incidente crítico de RCE no Imunify360, seguindo um evento semelhante em 2021.

Pesquisadores de cibersegurança alertam sobre uma vulnerabilidade de bypass de autenticação no Fortinet FortiWeb WAF, que pode permitir que atacantes assumam contas de administrador e comprometam completamente o dispositivo. A equipe watchTowr identificou a exploração ativa dessa vulnerabilidade, que foi silenciosamente corrigida na versão 8.0.2 do produto. A falha permite que atacantes realizem ações como usuários privilegiados, com foco na adição de novas contas de administrador como um mecanismo de persistência. A empresa conseguiu reproduzir a vulnerabilidade e criou uma prova de conceito, além de disponibilizar uma ferramenta para identificar dispositivos vulneráveis. O vetor de ataque envolve o envio de um payload específico via requisição HTTP POST para criar contas de administrador. Até o momento, a identidade do ator por trás dos ataques é desconhecida, e a Fortinet ainda não publicou um aviso oficial ou atribuiu um identificador CVE. A Rapid7 recomenda que organizações que utilizam versões anteriores à 8.0.2 do FortiWeb tratem a vulnerabilidade com urgência, já que a exploração indiscriminada sugere que dispositivos não corrigidos podem já estar comprometidos.

Uma vulnerabilidade crítica de negação de serviço foi identificada no software PAN-OS da Palo Alto Networks, permitindo que atacantes não autenticados reinicializem remotamente firewalls ao enviar pacotes maliciosos. Essa falha afeta as versões do PAN-OS em firewalls da série PA, da série VM e em implementações do Prisma Access, embora as instalações do Cloud NGFW não sejam impactadas. Os pesquisadores de segurança alertam que tentativas repetidas de reinicialização podem colocar os firewalls em modo de manutenção, desativando suas capacidades de proteção e expondo as organizações a ataques secundários. A Palo Alto Networks atribuiu uma pontuação CVSS de 8.7 a essa vulnerabilidade, classificando-a como de severidade média, mas com urgência moderada. A falha se origina de verificações inadequadas para condições excepcionais e requer que as organizações afetadas atualizem para versões corrigidas do software. A empresa não encontrou evidências de exploração ativa até o momento, mas recomenda que as atualizações sejam priorizadas para restaurar a resiliência dos firewalls e evitar possíveis ataques de negação de serviço.

Uma vulnerabilidade crítica de Cross-Site Scripting (XSS) foi identificada nas plataformas Citrix NetScaler ADC e Gateway, afetando milhares de organizações globalmente. Classificada como CVE-2025-12101, essa falha permite que atacantes injetem scripts maliciosos em páginas web servidas por instâncias vulneráveis do NetScaler, possibilitando o sequestro de sessões, roubo de credenciais e a instalação de malware. Pesquisadores de segurança relataram que a vulnerabilidade já está sendo explorada em ataques reais, especialmente em configurações vulneráveis. As versões afetadas incluem NetScaler ADC e Gateway 14.1 anteriores à 14.1-56.73 e 13.1 anteriores à 13.1-60.32, além de variantes FIPS e versões descontinuadas 12.1 e 13.0, que não recebem mais atualizações de segurança. A Cloud Software Group, responsável pela Citrix, recomenda que as organizações realizem a atualização imediata para versões seguras para mitigar os riscos. A vulnerabilidade foi atribuída uma pontuação CVSSv4 de 5.9, considerada de severidade média, mas que pode subestimar o impacto real devido à exploração ativa. A situação exige atenção urgente, especialmente de empresas que utilizam o NetScaler para autenticação e acesso remoto seguro.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta sobre uma vulnerabilidade crítica no firewall WatchGuard Firebox, identificada como CVE-2025-9242. Essa falha, classificada como um erro de gravação fora dos limites (out-of-bounds write), permite que atacantes remotos e não autenticados explorem a vulnerabilidade sem necessidade de credenciais. A exploração dessa falha pode resultar em controle total sobre os dispositivos afetados, comprometendo a segurança da rede. A CISA incluiu essa vulnerabilidade em seu catálogo de Vulnerabilidades Conhecidas Exploited (KEV) após a confirmação de sua exploração ativa. A agência estabeleceu um prazo rigoroso até 3 de dezembro de 2025 para que as organizações implementem correções, enfatizando a urgência da situação. As organizações são aconselhadas a verificar a disponibilidade de patches e a revisar logs de firewall em busca de atividades suspeitas. Embora não tenham sido relatadas campanhas de ransomware explorando essa vulnerabilidade até o momento, a CISA alerta que a ausência de ataques não deve ser interpretada como segurança. A falha representa um risco significativo para a integridade da rede e a proteção de dados sensíveis.

Recentemente, a SAP lançou um patch crítico para corrigir vulnerabilidades significativas em seu SAP Solution Manager, que possui milhares de organizações usuárias. A falha, identificada como CVE-2025-42887, permite a injeção de código não autenticado, possibilitando que atacantes assumam o controle total do sistema. Com uma pontuação de severidade de 9.9/10, essa vulnerabilidade representa um risco elevado à confidencialidade, integridade e disponibilidade dos dados. Além disso, a SAP também corrigiu outra falha crítica, CVE-2024-42890, relacionada ao SQL Anywhere Monitor, que apresenta credenciais hardcoded, expondo recursos a usuários não autorizados. Os especialistas da SecurityBridge, que descobriram as falhas, alertam que a aplicação do patch deve ser feita imediatamente, já que a divulgação pública pode acelerar o desenvolvimento de exploits. A atualização foi parte do Patch Day de novembro de 2025, que abordou um total de 18 novas vulnerabilidades e atualizações de falhas já conhecidas.

A Microsoft divulgou uma atualização de segurança para corrigir uma vulnerabilidade crítica no Microsoft SQL Server, identificada como CVE-2025-59499. Classificada como uma falha de elevação de privilégios, essa vulnerabilidade possui um score CVSS de 8.8 e afeta diversas versões do SQL Server, incluindo 2022, 2019, 2017 e 2016. O problema decorre da neutralização inadequada de elementos especiais em comandos SQL, permitindo que atacantes com privilégios baixos criem nomes de banco de dados maliciosos que contenham caracteres de controle SQL. Isso pode resultar na execução de comandos T-SQL arbitrários, comprometendo o contexto de segurança do processo em execução. Se o processo estiver sob funções de alto privilégio, como sysadmin, o atacante pode obter controle administrativo total.

Uma nova vulnerabilidade 0-day no Kernel do Windows, identificada como CVE-2025-62215, está sendo ativamente explorada para escalonamento de privilégios. Publicada em 11 de novembro de 2025, a falha é classificada como importante e resulta da execução concorrente de código que utiliza um recurso compartilhado sem a devida sincronização, caracterizando uma condição de corrida. Além disso, a vulnerabilidade envolve gerenciamento inadequado de memória, criando um cenário de ‘double free’ que permite que atacantes escalem privilégios ao serem bem-sucedidos na exploração.

O Lite XL, um editor de texto leve amplamente utilizado por desenvolvedores, apresenta duas vulnerabilidades críticas que podem permitir a execução de código arbitrário em sistemas afetados. As falhas foram divulgadas em 11 de novembro de 2025 e afetam todas as versões anteriores à 2.1.8. A primeira vulnerabilidade, identificada como CVE-2025-12120, permite a execução automática de arquivos .lite_project.lua sem a confirmação do usuário, o que significa que abrir um projeto malicioso pode executar código não confiável com os mesmos privilégios do editor. A segunda falha, CVE-2025-12121, está relacionada à função legada system.exec, que constrói comandos de shell sem a devida sanitização, permitindo a execução de comandos arbitrários. Ambas as vulnerabilidades representam riscos significativos para desenvolvedores que trabalham com códigos não confiáveis, pois um ator malicioso pode injetar código em repositórios de código aberto ou enviar arquivos de projeto manipulados. Os usuários são aconselhados a atualizar imediatamente para versões que incluam correções de segurança, que implementam medidas de proteção e removem funções inseguras.

Pesquisadores de cibersegurança identificaram uma nova onda de ataques do grupo APT-C-08, também conhecido como BITTER, que utiliza uma vulnerabilidade de travessia de diretórios no WinRAR (CVE-2025-6218). Este grupo, vinculado a um estado do Sul da Ásia, é conhecido por suas campanhas de espionagem direcionadas a instituições governamentais, de defesa e acadêmicas. A falha, presente nas versões 7.11 e anteriores do WinRAR, permite que atacantes contornem limites normais de diretórios durante a extração de arquivos. Ao manipular caminhos de arquivos, os invasores conseguem extrair arquivos maliciosos em diretórios protegidos do sistema da vítima.

Uma vulnerabilidade crítica no gerenciador de arquivos Monsta FTP foi descoberta pela empresa de cibersegurança watchTowr, permitindo que hackers realizassem uploads de arquivos sem autenticação. Essa falha, identificada como CVE-2025-34299, possibilita a execução de códigos maliciosos em servidores web, afetando tanto usuários privados quanto instituições financeiras. A vulnerabilidade foi encontrada em versões anteriores à 2.10.4 e se mostrou grave, pois permitia que invasores salvassem arquivos em qualquer local do servidor, comprometendo a segurança de aproximadamente 5.000 sessões FTP disponíveis na internet. A Monsta FTP foi notificada em agosto de 2025 e lançou um patch de correção na versão 2.11.3, recomendando que todos os usuários atualizassem imediatamente para evitar invasões. A situação destaca a importância de manter softwares atualizados e a necessidade de vigilância constante em relação a vulnerabilidades conhecidas.

Uma vulnerabilidade zero-day na biblioteca de processamento de imagem do sistema Android da Samsung permitiu que hackers instalassem spywares em celulares da linha Galaxy, especialmente no Oriente Médio. O malware, denominado Landfall, foi identificado pela Unit 42 da Palo Alto Networks e é capaz de gravar conversas, monitorar a localização, tirar fotos e roubar contatos. A falha, classificada como CVE-2025-21042, foi explorada entre meados de 2024 e abril de 2025, quando a Samsung lançou um patch para corrigir o problema. O spyware era disseminado através de negativos digitais (DNG) enviados pelo WhatsApp, atingindo principalmente usuários no Iraque, Irã, Marrocos e Turquia. A descoberta do Landfall sugere uma possível coordenação com ataques semelhantes em dispositivos iOS, indicando que agentes privados ou governamentais podem estar por trás das atividades maliciosas. A situação é alarmante, pois o malware é otimizado para dispositivos de alta gama da Samsung, como os modelos Galaxy S22, S23 e S24, e possui capacidades avançadas de reconhecimento e evasão.

A Synology divulgou uma atualização crítica para corrigir uma vulnerabilidade severa no BeeStation OS, identificada durante o evento PWN2OWN 2025. A falha, classificada como CVE-2025-12686, permite que atacantes remotos executem código arbitrário sem necessidade de autenticação ou interação do usuário, representando uma ameaça imediata para os dispositivos afetados. Essa vulnerabilidade é resultado de uma fraqueza de buffer overflow no sistema operacional, que possibilita a violação de limites de rede e a comprometimento de sistemas. Com uma pontuação CVSS de 9.8, a vulnerabilidade exige ação imediata dos usuários, pois a exploração bem-sucedida concede controle total sobre os sistemas BeeStation, permitindo o roubo de dados sensíveis e a movimentação lateral na rede. Todas as versões do BeeStation OS, de 1.0 a 1.3, estão vulneráveis, e a Synology recomenda que os usuários atualizem para a versão 1.3.2-65648 ou superior. A atualização unificada corrige a falha em todas as versões afetadas, e é crucial que os usuários verifiquem imediatamente a versão do seu sistema e apliquem o patch. Além disso, é aconselhável monitorar atividades suspeitas, especialmente se houver suspeita de comprometimento antes da atualização.

Pesquisadores de cibersegurança da Mandiant descobriram uma vulnerabilidade crítica de zero-day na plataforma de compartilhamento de arquivos Triofox, da Gladinet, identificada como CVE-2025-12480. Desde 24 de agosto de 2025, o grupo de ameaças UNC6485 tem explorado essa falha para contornar controles de autenticação e executar códigos maliciosos com acesso em nível de sistema. O ataque ocorre em duas etapas: inicialmente, os invasores manipulam os cabeçalhos HTTP para se apresentarem como ’localhost’, permitindo acesso não autorizado a páginas de configuração restritas. A vulnerabilidade reside na função CanRunCriticalPage(), que não valida corretamente a origem das requisições. Após obter acesso, os atacantes criam uma conta de administrador e exploram uma segunda fraqueza no antivírus embutido do Triofox, redirecionando o caminho do scanner para um script malicioso. Isso resulta na execução automática do payload malicioso com privilégios de conta SYSTEM. A Mandiant identificou a intrusão em apenas 16 minutos, alertando para a necessidade de atualização imediata para a versão 16.7.10368.56560 ou posterior. As equipes de segurança devem auditar contas de administrador e monitorar tráfego SSH incomum para detectar compromissos em andamento.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta urgente sobre uma vulnerabilidade crítica de execução remota de código (RCE) que afeta dispositivos móveis da Samsung. A falha, localizada na biblioteca libimagecodec.quram.so, permite que atacantes contornem restrições normais de memória e injetem código arbitrário nos dispositivos. Isso possibilita que invasores obtenham controle total sobre os smartphones afetados, sem necessidade de interação do usuário. A vulnerabilidade é classificada como CWE-787 (Escrita Fora dos Limites) e está sendo ativamente explorada em ataques, embora a extensão e os atores específicos ainda estejam sob investigação. A CISA recomenda que os usuários apliquem imediatamente os patches de segurança disponibilizados pela Samsung e, para aqueles que não puderem aplicar as atualizações, é aconselhável interromper o uso dos dispositivos afetados até que as correções estejam disponíveis. A Samsung foi notificada e deve liberar atualizações de segurança através de seus canais habituais. Este incidente ressalta os riscos contínuos associados à segurança de dispositivos móveis e a importância de manter os dispositivos atualizados.

Pesquisadores da Check Point Research identificaram uma falha crítica no Microsoft Teams, conhecida como CVE-2024-38197, que permite a hackers falsificarem identidades e manipularem conversas. A vulnerabilidade foi reportada à Microsoft em março de 2024, mas a correção só foi implementada em outubro de 2025. Durante esse período, criminosos conseguiram alterar mensagens e notificações na plataforma, enganando usuários e comprometendo a segurança das comunicações corporativas. As táticas incluíam a edição de mensagens sem deixar rastros, o que dificultava a detecção de fraudes. Além disso, hackers podiam se passar por executivos e enviar notificações falsas, aumentando o risco de vazamento de informações sensíveis. Para mitigar esses riscos, as empresas devem adotar medidas de segurança, como a educação digital dos funcionários e a ativação da autenticação multifator. A falha representa um sério risco para a integridade das comunicações empresariais, especialmente em um ambiente onde o Teams é amplamente utilizado para interações corporativas.

Uma vulnerabilidade crítica de execução remota de código (RCE) foi identificada na biblioteca expr-eval, amplamente utilizada para avaliação de expressões matemáticas e processamento de linguagem natural (NLP). A falha, registrada como CVE-2025-12735, permite que atacantes executem comandos de sistema no ambiente do servidor, comprometendo a segurança de aplicações que processam entradas de usuários. Essa vulnerabilidade é especialmente preocupante para organizações que utilizam essa biblioteca em ambientes de produção, pois pode resultar em acesso não autorizado a recursos sensíveis e exfiltração de dados. A falha decorre de um erro de design no método evaluate() da classe Parser, permitindo que funções arbitrárias sejam definidas no contexto do parser. Para mitigar os riscos, as organizações devem auditar suas dependências e aplicar patches imediatamente. As opções incluem a aplicação de um patch específico ou a atualização para versões corrigidas da biblioteca. A rápida implementação dessas correções é crucial para evitar a exploração generalizada da vulnerabilidade. O pesquisador de segurança Jangwoo Choe divulgou a questão de forma responsável, colaborando com GitHub e npm para garantir um relato adequado e tempo suficiente para as correções.

A Allianz UK é a mais recente organização a ser alvo de um ataque cibernético, explorando uma vulnerabilidade crítica no Oracle E-Business Suite (EBS). Os atacantes conseguiram acesso ao sistema EBS da empresa, que gerencia produtos de seguros pessoais, como automóveis e residências. Embora a Allianz UK tenha confirmado a violação, não comentou sobre possíveis demandas de extorsão do grupo criminoso Clop. A empresa notificou o Information Commissioner’s Office, mas o regulador ainda não reconheceu publicamente a reclamação. Este incidente é distinto de um ataque anterior que afetou a Allianz Life, sua subsidiária americana, que comprometeu dados de 1,4 milhão de clientes em julho. A vulnerabilidade, identificada como CVE-2025-61882, possui uma pontuação crítica de 9.8 no CVSS e, segundo pesquisadores do Google, dezenas de organizações podem ter sido afetadas. O grupo Clop, conhecido por sua sofisticação, já havia se destacado em campanhas anteriores, como o ataque MOVEit MFT, que afetou milhões de indivíduos e milhares de organizações. Este novo ataque evidencia a continuidade das campanhas de exploração de zero-day, que se tornaram comuns no cibercrime.

Três vulnerabilidades críticas no runc, o runtime de contêineres que suporta Docker e Kubernetes, foram divulgadas por um pesquisador da SUSE em 5 de novembro de 2025. As falhas, identificadas como CVE-2025-31133, CVE-2025-52565 e CVE-2025-52881, permitem que atacantes contornem o isolamento de contêineres e obtenham acesso root aos sistemas host. Essas vulnerabilidades afetam versões conhecidas do runc e exploram fraquezas nas operações de montagem e nas proteções de arquivos durante a criação de contêineres. Os atacantes podem usar condições de corrida e manipulação de links simbólicos para contornar restrições de segurança, permitindo a escrita em arquivos críticos do sistema, o que pode levar a uma fuga de contêineres. É crucial que organizações que utilizam Docker, Kubernetes ou serviços que dependem do runc atualizem imediatamente para versões corrigidas (1.2.8, 1.3.3 ou 1.4.0-rc.3 e posteriores) para evitar compromissos de segurança. Além disso, recomenda-se a auditoria de ambientes implantados e a implementação de políticas rigorosas de escaneamento de imagens para detectar Dockerfiles maliciosos.

Uma vulnerabilidade crítica foi descoberta no Elastic Defend, um software de proteção de endpoint, que pode permitir que atacantes escalem privilégios em sistemas Windows. Identificada como CVE-2025-37735, a falha resulta de um manuseio inadequado das permissões de arquivos no serviço Defend. Quando o serviço é executado com privilégios de nível SYSTEM, ele não preserva corretamente as configurações de permissão originais, criando uma brecha que permite a usuários locais deletar arquivos arbitrários no sistema comprometido. Isso pode levar a uma escalada de privilégios, permitindo que um atacante com acesso limitado obtenha controle administrativo total da máquina afetada. A Elastic classificou a vulnerabilidade com um score CVSS de 7.0 (Alto), o que indica um risco significativo, especialmente em ambientes onde usuários locais têm acesso. As organizações são aconselhadas a atualizar imediatamente para as versões corrigidas 8.19.6, 9.1.6 ou 9.2.0, que implementam mecanismos adequados de preservação de permissões. Para aquelas que não podem atualizar imediatamente, a versão 24H2 do Windows 11 oferece mudanças arquitetônicas que dificultam a exploração dessa vulnerabilidade, servindo como uma medida de segurança temporária.

Uma vulnerabilidade crítica de execução remota de código foi identificada na biblioteca de serialização de checkpoints do LangGraph, afetando versões anteriores à 3.0. Essa falha permite que atacantes executem código Python arbitrário por meio da desserialização de payloads maliciosos. O problema reside no componente JsonPlusSerializer, que é o protocolo de serialização padrão para operações de checkpoint. Quando a serialização msgpack falha devido a valores Unicode ilegais, o sistema muda automaticamente para o modo JSON, que permite a reconstrução de objetos personalizados sem a devida validação, criando uma superfície de ataque. A LangGraph lançou a versão 3.0.0, que corrige a vulnerabilidade implementando um sistema de lista de permissão para a desserialização de construtores, restringindo os caminhos de código permitidos. A atualização é compatível com versões anteriores e não requer modificações no código. Dada a gravidade da vulnerabilidade e a facilidade de exploração, a atualização imediata é essencial para as organizações que utilizam o LangGraph.

Uma falha de segurança recentemente corrigida em dispositivos Android da Samsung foi explorada como um zero-day para implantar um spyware chamado LANDFALL em ataques direcionados no Oriente Médio. A vulnerabilidade, identificada como CVE-2025-21042, possui uma pontuação CVSS de 8.8 e permite que atacantes remotos executem código arbitrário. A falha foi corrigida pela Samsung em abril de 2025, após relatos de ataques em andamento. Os alvos estão localizados em países como Iraque, Irã, Turquia e Marrocos. O spyware LANDFALL, uma ferramenta de espionagem avançada, coleta dados sensíveis, como gravações de microfone, localização, fotos, contatos e mensagens. Os ataques foram realizados através do envio de imagens maliciosas via WhatsApp, utilizando arquivos DNG. Além disso, outra vulnerabilidade na mesma biblioteca foi identificada, mas não foi utilizada na campanha LANDFALL. A análise sugere que o spyware se comunica com um servidor de comando e controle para receber novas instruções. A origem do spyware ainda é desconhecida, mas há indícios de conexão com o grupo Stealth Falcon. Este caso destaca a complexidade das ameaças cibernéticas e a necessidade de vigilância contínua.

Uma vulnerabilidade crítica foi identificada no cliente Amazon WorkSpaces para Linux, afetando as versões de 2023.0 a 2024.8, conforme o CVE-2025-12779. Essa falha permite que usuários maliciosos em sistemas compartilhados extraiam tokens de autenticação válidos, possibilitando acesso não autorizado a sessões de trabalho de outros usuários. A Amazon emitiu um comunicado de segurança em 5 de novembro de 2025, alertando sobre a gravidade do problema e recomendando a atualização imediata para a versão 2025.0 ou superior. A vulnerabilidade é particularmente preocupante em ambientes multiusuários, onde um atacante pode obter controle total sobre o espaço de trabalho de outra pessoa, comprometendo dados sensíveis e recursos associados. A Amazon encerrou o suporte para as versões afetadas, exigindo que as organizações realizem a atualização sem demora. As equipes de segurança devem auditar suas implementações do WorkSpaces e priorizar a atualização em ambientes de alto risco, além de revisar logs de acesso para identificar tentativas suspeitas de extração de tokens durante o período vulnerável.

Uma vulnerabilidade crítica no Windows, identificada como CVE-2025-9491, tem sido explorada por cibercriminosos nos últimos oito anos, levantando preocupações sobre a segurança do sistema operacional. Essa falha, que afeta o processamento de arquivos LNK, permite que hackers disseminem malware, como trojans de acesso remoto, através de ataques de phishing. Recentemente, um grupo de cibercriminosos tem direcionado suas ações a diplomatas em países europeus, como Bélgica, Hungria e Itália, utilizando essa vulnerabilidade para espionagem digital. Apesar de a Microsoft ter sido informada sobre a falha, não há indícios de que a empresa esteja trabalhando em uma correção, o que gera incertezas sobre a segurança dos usuários. Enquanto isso, recomenda-se que os usuários permaneçam vigilantes quanto a e-mails suspeitos e evitem abrir arquivos LNK de remetentes desconhecidos. A situação é alarmante, especialmente considerando a crescente sofisticação dos ataques digitais e a necessidade de proteção robusta em um cenário de ameaças cibernéticas em evolução.

Uma falha crítica foi identificada no tema JobMonster do WordPress, que afeta mais de 5.500 sites. A vulnerabilidade, classificada como CVE-2025-5397, possui uma pontuação de gravidade de 9.8 e permite que hackers acessem contas de administrador sem a devida autenticação. A falha se torna explorável quando a função de login social está ativada, permitindo que invasores se façam passar por usuários legítimos. Para mitigar os riscos, é recomendado que os administradores atualizem imediatamente para a versão 4.8.2 do tema ou desativem a função de login social. Além disso, a autenticação em dois fatores e a troca de senhas são medidas essenciais para aumentar a segurança. A Wordfence, empresa de segurança, já registrou uma onda de ataques utilizando essa vulnerabilidade, o que destaca a necessidade urgente de ações corretivas. O WordPress tem enfrentado um aumento nas tentativas de exploração de suas vulnerabilidades, o que torna a situação ainda mais crítica para os usuários da plataforma.

Uma vulnerabilidade crítica, identificada como CVE-2025-8671 e chamada de “MadeYouReset”, foi descoberta em implementações do protocolo HTTP/2, permitindo que atacantes realizem ataques de negação de serviço (DoS) em larga escala. Essa falha surge de uma discrepância entre as especificações do protocolo e a forma como servidores web reais lidam com o cancelamento de streams. Quando um cliente solicita um reset de stream através de frames malformados, o protocolo considera o stream fechado, mas os servidores continuam processando a solicitação. Isso permite que atacantes abram e resetem streams rapidamente, forçando os servidores a lidar com um número excessivo de requisições simultâneas, enquanto o sistema de contagem do protocolo permanece artificialmente baixo.