Vulnerabilidade

A Cisco lançou atualizações de segurança para corrigir uma vulnerabilidade de negação de serviço (DoS) nos sistemas Crosswork Network Controller (CNC) e Network Services Orchestrator (NSO). Essa falha, identificada como CVE-2026-20188, é considerada de alta severidade e resulta de uma limitação inadequada na taxa de conexões de rede recebidas. A vulnerabilidade pode ser explorada remotamente por agentes de ameaça não autenticados, levando à interrupção dos sistemas CNC e NSO não corrigidos. A exploração bem-sucedida pode esgotar os recursos de conexão disponíveis, tornando os sistemas inoperantes e exigindo um reinício manual para recuperação. A Cisco recomenda fortemente que os clientes atualizem para as versões corrigidas mencionadas em seu aviso. Embora a CVE-2026-20188 ainda não tenha sido explorada ativamente, a empresa já enfrentou outras vulnerabilidades de DoS que foram utilizadas em ataques. A situação destaca a importância de manter os sistemas atualizados para evitar possíveis interrupções nos serviços e garantir a continuidade das operações.

Uma vulnerabilidade crítica foi identificada na biblioteca de sandboxing vm2, amplamente utilizada no Node.js, permitindo que atacantes escapem do ambiente seguro e executem código arbitrário no sistema host. A falha, identificada como CVE-2026-26956, afeta a versão 3.10.4 do vm2, embora versões anteriores também possam estar vulneráveis. O problema ocorre em ambientes que utilizam Node.js 25 com suporte a tratamento de exceções do WebAssembly e JSTag. A biblioteca vm2 é projetada para executar código JavaScript não confiável em um ambiente restrito, mas a manipulação inadequada de exceções permite que objetos de erro do host sejam injetados de volta no sandbox, possibilitando o acesso a APIs sensíveis do Node.js, como o objeto process. O mantenedor da biblioteca recomenda que os usuários atualizem para a versão 3.10.5 ou superior para mitigar os riscos. Essa não é a primeira vez que o vm2 enfrenta problemas de segurança, refletindo os desafios de isolar código não confiável em ambientes JavaScript. Com mais de 1,3 milhão de downloads semanais, a vulnerabilidade representa um risco significativo para plataformas que dependem dessa biblioteca.

A Palo Alto Networks emitiu um alerta sobre uma vulnerabilidade crítica de buffer overflow em seu software PAN-OS, identificada como CVE-2026-0300. Essa falha permite a execução remota de código não autenticado, com um CVSS de 9.3, caso o portal de autenticação User-ID esteja acessível pela internet. A gravidade diminui para 8.7 se o acesso for restrito a endereços IP internos confiáveis. A vulnerabilidade afeta versões específicas do PAN-OS, incluindo 12.1, 11.2, 11.1 e 10.2, e está sendo explorada em ambientes onde o portal é publicamente acessível. A Palo Alto Networks planeja lançar correções a partir de 13 de maio de 2026, mas até lá, recomenda que os usuários restrinjam o acesso ao portal ou o desativem completamente, se não for necessário. A empresa enfatiza que seguir boas práticas de segurança pode reduzir significativamente o risco de exploração.

A Apache Software Foundation (ASF) lançou atualizações de segurança para corrigir várias vulnerabilidades no Apache HTTP Server, incluindo uma falha severa que pode levar à execução remota de código (RCE). A vulnerabilidade, identificada como CVE-2026-23918, possui uma pontuação CVSS de 8.8 e afeta a versão 2.4.66 do servidor. A falha, classificada como ‘double free e possível RCE’, ocorre no manuseio do protocolo HTTP/2. O problema foi descoberto por Bartlomiej Dmitruk, co-fundador da Striga.ai, e Stanislaw Strzalkowski, pesquisador da ISEC.pl.

Uma vulnerabilidade crítica foi identificada na plataforma Weaver (Fanwei) E-cology, que é amplamente utilizada para automação de escritório e colaboração. O problema, classificado como CVE-2026-22679, possui uma pontuação CVSS de 9.8, indicando seu alto risco. A falha permite a execução remota de código não autenticado em versões anteriores à 10.0, especificamente no endpoint ‘/papi/esearch/data/devops/dubboApi/debug/method’. Isso possibilita que atacantes enviem requisições POST manipuladas para executar comandos arbitrários no sistema. A exploração ativa dessa vulnerabilidade foi observada pela primeira vez em 31 de março de 2026, com evidências de abusos datando de 17 de março, apenas cinco dias após a disponibilização de patches. O ataque envolveu tentativas de execução de código malicioso e coleta de informações do sistema. Especialistas recomendam que os usuários atualizem suas versões do Weaver E-cology para evitar compromissos de segurança. Um script em Python para detectar instâncias vulneráveis também foi disponibilizado por pesquisadores de segurança.

A Progress Software emitiu um alerta para que os clientes atualizem suas versões do MOVEit Automation, um aplicativo de transferência de arquivos gerenciado, devido a uma vulnerabilidade crítica de bypass de autenticação, identificada como CVE-2026-4670. Essa falha afeta versões anteriores a 2025.1.5, 2025.0.9 e 2024.1.8 e pode ser explorada remotamente por atacantes sem privilégios, em ataques de baixa complexidade que não requerem interação do usuário. A empresa recomenda que a atualização seja feita utilizando o instalador completo, uma vez que essa é a única forma de remediar a vulnerabilidade, embora isso cause uma interrupção no sistema durante o processo. Além disso, a Progress também lançou atualizações de segurança para uma vulnerabilidade de escalonamento de privilégios (CVE-2026-5174) relacionada a uma falha de validação de entrada. Um levantamento realizado pelo consultor de cibersegurança Daniel Card revelou que mais de 1.400 instâncias do MOVEit Automation estão expostas online, incluindo várias vinculadas a agências governamentais locais e estaduais dos EUA. Embora a empresa não tenha indicado que essas falhas estão sendo ativamente exploradas, vulnerabilidades anteriores do MOVEit foram alvo de ataques, como os realizados pelo grupo de ransomware Clop, que comprometeram mais de 2.100 organizações em 2023.

A Microsoft confirmou que as atualizações de segurança de abril de 2026 estão causando falhas em aplicativos de backup de terceiros que utilizam o driver psmounterex.sys. Este problema afeta softwares que utilizam o Volume Shadow Copy Service (VSS) para criar snapshots, resultando em erros e timeouts durante o processo de backup. Produtos de empresas como Macrium, Acronis, UrBackup Server e NinjaOne Backup, que operam em dispositivos com Windows 10, Windows 11 e Windows Server, estão entre os impactados. A atualização de abril incluiu uma mudança de segurança que adicionou o psmounterex.sys à lista de drivers vulneráveis, visando proteger os usuários contra uma vulnerabilidade de buffer overflow (CVE-2023-43896) que poderia permitir a escalada de privilégios ou execução de código arbitrário. A Microsoft recomenda que os usuários afetados atualizem seus aplicativos para versões mais recentes que utilizem drivers atualizados e seguros. Os administradores de TI podem observar comportamentos como falhas ao montar arquivos de imagem de backup e mensagens de erro relacionadas ao VSS. A empresa também alertou que alguns dispositivos com Windows Server 2025 podem entrar no modo de recuperação do BitLocker após a instalação de uma atualização específica.

A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) alertou sobre a exploração da vulnerabilidade de segurança ‘Copy Fail’, identificada como CVE-2026-31431, que afeta o kernel do Linux. Essa falha permite que usuários locais não privilegiados obtenham privilégios de root em sistemas Linux não corrigidos, manipulando quatro bytes controlados na cache de páginas de arquivos legíveis. A vulnerabilidade foi divulgada por pesquisadores da Theori, que também disponibilizaram um exploit em Python considerado ‘100% confiável’ para diversas distribuições Linux, incluindo Ubuntu 24.04 LTS e Amazon Linux 2023. A CISA incluiu a falha em seu catálogo de Vulnerabilidades Conhecidas e ordenou que agências federais atualizassem seus sistemas em até duas semanas. Embora as principais distribuições Linux já tenham iniciado a distribuição de correções, a falta de atualizações oficiais no momento da divulgação da vulnerabilidade levanta preocupações sobre a segurança de sistemas em uso. A CISA enfatizou que esse tipo de vulnerabilidade é um vetor de ataque comum e representa riscos significativos para a segurança das agências federais.

Um novo ator de ameaças foi identificado atacando entidades governamentais e militares no Sudeste Asiático, além de provedores de serviços gerenciados (MSPs) e provedores de hospedagem em países como Filipinas, Laos, Canadá, África do Sul e EUA. A exploração da vulnerabilidade CVE-2026-41940, uma falha crítica no cPanel e WebHost Manager (WHM), permite que atacantes remotos contornem autenticações e obtenham controle elevado do painel de controle. As atividades foram detectadas em 2 de maio de 2026, com foco em domínios governamentais das Filipinas e Laos. Além disso, o ator utilizou uma cadeia de exploração personalizada em um portal de treinamento do setor de defesa da Indonésia, combinando injeção SQL autenticada e execução remota de código. O acesso persistente foi facilitado por ferramentas como OpenVPN e Ligolo, permitindo a exfiltração de documentos do setor ferroviário da China. A vulnerabilidade cPanel está sendo explorada por múltiplos terceiros, com pelo menos 44.000 IPs comprometidos realizando ataques de força bruta. A situação exige atenção, pois a exploração pode impactar a conformidade com a LGPD no Brasil.

A Amnezia VPN lançou a versão 4.8.15 de seu aplicativo, que inclui correções de bugs, um patch de segurança crucial e novas funcionalidades. O destaque dessa atualização é a correção de uma vulnerabilidade severa no módulo tun2socks, que poderia permitir que spyware em dispositivos de usuários se conectasse ao proxy do cliente VPN sem permissão, expondo endereços IP e comprometendo a privacidade. Essa falha não afetava apenas a Amnezia, mas também outros provedores de VPN. Além do patch de segurança, a atualização traz melhorias na experiência do usuário, como a introdução de tunelamento dividido para o protocolo VLESS no iOS, permitindo que os usuários escolham quais aplicativos utilizam a conexão VPN e quais se conectam diretamente à internet. A gestão de assinaturas também foi simplificada, permitindo renovações diretas pelo aplicativo. Com essas melhorias, a Amnezia VPN demonstra seu compromisso em aprimorar a segurança e a usabilidade de sua plataforma, respondendo às crescentes demandas por privacidade digital.

Uma nova vulnerabilidade no cPanel, identificada como CVE-2026-41940, está sendo amplamente explorada em ataques de ransomware conhecidos como ‘Sorry’. Recentemente, uma atualização de emergência foi lançada para corrigir uma falha crítica de bypass de autenticação que permite que atacantes acessem painéis de controle. O cPanel e o WHM são painéis de controle de hospedagem web baseados em Linux, sendo o WHM responsável pelo controle do servidor e o cPanel pelo acesso ao backend do site. Desde o final de fevereiro, tentativas de exploração dessa falha têm sido registradas, e a Shadowserver reportou que pelo menos 44.000 endereços IP executando cPanel foram comprometidos. Os hackers estão utilizando um criptografador Linux baseado em Go para implementar o ransomware ‘Sorry’, que adiciona a extensão ‘.sorry’ a todos os arquivos criptografados. O ransomware utiliza o cifrador de fluxo ChaCha20 e a chave de criptografia é protegida por uma chave pública RSA-2048. Para reverter a criptografia, é necessário obter a chave privada correspondente. Os usuários do cPanel e WHM são aconselhados a instalar as atualizações de segurança imediatamente para proteger seus sites contra esses ataques e roubo de dados.

A vulnerabilidade crítica CVE-2026-41940, que permite o bypass de autenticação em cPanel, WHM e WP Squared, está sendo ativamente explorada desde o final de fevereiro de 2026. A falha, identificada como uma injeção de Carriage Return Line Feed (CRLF) nos processos de login e carregamento de sessão, permite que atacantes acessem sistemas sem a validação adequada da senha. A empresa KnownHost, que utiliza cPanel, relatou tentativas de exploração já no dia da divulgação da vulnerabilidade. Em resposta, a cPanel lançou um patch em 28 de abril, após pressão de provedores de hospedagem. A vulnerabilidade afeta versões do cPanel a partir da 11.40 e também impacta o WP Squared. A Rapid7 estima que cerca de 1,5 milhão de instâncias do cPanel estão expostas online, embora não haja dados sobre quantas são vulneráveis. Para mitigar riscos, recomenda-se bloquear o acesso externo a portas específicas e reiniciar serviços após a aplicação das correções. A situação é crítica, pois a exploração bem-sucedida pode conceder controle total sobre o sistema cPanel e os sites gerenciados.

O Google anunciou a correção de uma vulnerabilidade de gravidade máxima no pacote npm ‘@google/gemini-cli’ e no fluxo de trabalho ‘google-github-actions/run-gemini-cli’, que poderia permitir a execução de comandos arbitrários em sistemas host. Segundo a Novee Security, a falha permitia que um atacante externo não privilegiado forçasse o carregamento de conteúdo malicioso como configuração do Gemini, resultando em execução de comandos diretamente no sistema host, antes mesmo da inicialização do sandbox do agente. A vulnerabilidade, que não possui um identificador CVE, apresenta uma pontuação CVSS de 10.0 e afeta versões específicas do Gemini CLI. O Google destacou que o impacto é limitado a fluxos de trabalho que utilizam o Gemini CLI em modo headless, e recomenda que os usuários revisem suas configurações para garantir que apenas pastas confiáveis sejam utilizadas. Além disso, a empresa está implementando medidas para reforçar a lista de permissões de ferramentas quando o Gemini CLI é configurado para rodar em modo –yolo, evitando que entradas não confiáveis possam levar à execução remota de código. O artigo também menciona uma vulnerabilidade no Cursor, uma ferramenta de desenvolvimento, que poderia resultar em execução de código arbitrário devido a uma interação de recursos no Git.

Pesquisadores de cibersegurança revelaram uma vulnerabilidade crítica no Linux, identificada como CVE-2026-31431, que permite a um usuário local não privilegiado obter acesso root ao sistema. Nomeada ‘Copy Fail’, essa falha de escalonamento de privilégios local (LPE) foi descoberta nas versões do kernel Linux desde 2017 e está relacionada a um erro lógico no subsistema criptográfico do kernel, especificamente no módulo algif_aead. A exploração bem-sucedida da vulnerabilidade pode ser realizada através de um simples script Python de 732 bytes, que manipula a cache de páginas de arquivos executáveis setuid. Embora a vulnerabilidade não seja explorável remotamente, ela pode ser utilizada por qualquer usuário local para corromper a cache de página de um binário setuid, afetando potencialmente todas as distribuições Linux, incluindo Amazon Linux, RHEL, SUSE e Ubuntu. A gravidade da falha é elevada, com um CVSS de 7.8, e sua exploração é facilitada pela portabilidade e simplicidade do ataque, que não requer condições de corrida ou offsets de kernel. As distribuições Linux já emitiram avisos sobre a vulnerabilidade, e a comunidade de segurança está em alerta para suas implicações.

Um novo ataque cibernético tem explorado uma vulnerabilidade crítica no sistema de gerenciamento de conteúdo DotNetNuke (DNN), afetando mais de 750 mil sites globalmente. A falha, identificada como CVE-2026-40321, permite que hackers façam upload de arquivos SVG maliciosos que contêm código JavaScript. Quando um usuário administrador clica nesse arquivo, o código é executado, possibilitando que o invasor escreva um backdoor diretamente no servidor. O ataque se aproveita de uma vulnerabilidade de cross-site scripting (XSS), que não é bloqueada pelos filtros de conteúdo do DNN. Uma vez que o backdoor é instalado, o atacante pode executar comandos, roubar dados ou desativar ferramentas de segurança. A gravidade da situação é acentuada pelo fato de que a defesa tradicional, como antivírus e firewalls, pode não detectar ou bloquear esse tipo de ataque, uma vez que ele utiliza tráfego HTTP legítimo. Embora exista um patch disponível, é crucial que os administradores revisem suas políticas de registro de usuários e considerem desabilitar uploads de arquivos desnecessários para mitigar riscos futuros.

Em março de 2026, o GitHub corrigiu uma vulnerabilidade crítica de execução remota de código (CVE-2026-3854) que poderia ter permitido a atacantes acessarem milhões de repositórios privados. A falha foi reportada por pesquisadores da empresa de cibersegurança Wiz, que a identificaram através do programa de recompensas por bugs do GitHub. A equipe de segurança do GitHub reproduziu e confirmou a vulnerabilidade em apenas 40 minutos, implementando uma correção em menos de duas horas após o relatório.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu uma ordem para que agências federais protejam seus sistemas Windows contra uma vulnerabilidade crítica, identificada como CVE-2026-32202. Esta falha de segurança, relatada pela empresa de cibersegurança Akamai, é uma vulnerabilidade de ‘zero-click’ que permite o roubo de credenciais sem a necessidade de interação do usuário. A vulnerabilidade foi deixada após um patch incompleto de uma falha anterior de execução remota de código (CVE-2026-21510) em fevereiro. O grupo de ciberespionagem russo APT28 já explorou a falha anterior em ataques direcionados à Ucrânia e países da UE. A CISA incluiu a CVE-2026-32202 em seu Catálogo de Vulnerabilidades Conhecidas (KEV) e ordenou que as agências federais aplicassem patches até 12 de maio. A agência alertou que esse tipo de vulnerabilidade é um vetor frequente de ataque e representa riscos significativos para a segurança federal. Embora a ordem se aplique apenas a agências federais, a CISA incentivou todas as equipes de segurança a priorizarem a correção dessa vulnerabilidade em suas redes.

O cPanel lançou atualizações de segurança para corrigir uma vulnerabilidade que afeta diversos caminhos de autenticação, permitindo que atacantes possam obter acesso não autorizado ao software do painel de controle. Essa falha impacta todas as versões atualmente suportadas do cPanel. As versões corrigidas incluem 11.110.0.97, 11.118.0.63, 11.126.0.54, 11.132.0.29 e 11.134.0.20. A empresa Namecheap, que fornece serviços de hospedagem e registro de domínios, revelou que a vulnerabilidade está relacionada a um exploit de login que pode permitir acesso não autorizado ao painel de controle. Como medida de precaução, a Namecheap implementou uma regra de firewall para bloquear o acesso às portas TCP 2083 e 2087, restringindo temporariamente o acesso dos clientes às interfaces do cPanel e WHM até que um patch completo seja aplicado. A equipe da Namecheap está monitorando a situação e aplicará o patch oficial em todos os servidores suportados assim que estiver disponível. Até o momento, a correção foi aplicada em servidores Reseller e Stellar Business.

Uma nova vulnerabilidade crítica foi descoberta no pacote Python LiteLLM da BerriAI, com o identificador CVE-2026-42208, que apresenta uma pontuação CVSS de 9.3. Trata-se de uma falha de injeção SQL que permite a atacantes não autenticados modificar o banco de dados subjacente do LiteLLM. A vulnerabilidade foi identificada em uma consulta de banco de dados que misturava valores de chave de API fornecidos pelo chamador na consulta em vez de passá-los como parâmetros separados. Isso possibilita que um atacante envie um cabeçalho de autorização malicioso para qualquer rota da API LLM e acesse dados sensíveis, como credenciais e chaves de provedores de modelos de linguagem. Apesar de a falha ter sido corrigida na versão 1.83.7-stable, lançada em 19 de abril de 2026, a exploração começou apenas uma semana depois, com tentativas registradas em 26 de abril. O ataque visou tabelas específicas que armazenam informações críticas, sugerindo que o invasor tinha conhecimento prévio sobre a estrutura do banco de dados. Os especialistas recomendam que os usuários atualizem suas instâncias ou desativem logs de erro para mitigar a exploração.

Pesquisadores de cibersegurança revelaram uma vulnerabilidade crítica no GitHub.com e no GitHub Enterprise Server, identificada como CVE-2026-3854, com uma pontuação CVSS de 8.7. Essa falha de injeção de comando permite que um usuário autenticado execute código remotamente com um único comando ‘git push’. O problema decorre da falta de sanitização adequada dos valores de opções de push fornecidos pelo usuário, que são incorporados nos cabeçalhos internos do serviço. Um atacante pode injetar campos de metadados adicionais através de valores manipulados, comprometendo a segurança do servidor. A empresa Wiz, especializada em segurança em nuvem, descobriu a vulnerabilidade e notificou o GitHub, que implementou uma correção em menos de duas horas. Embora a falha tenha afetado cerca de 88% das instâncias no momento da divulgação, não há evidências de exploração maliciosa até agora. A vulnerabilidade também permite a exposição cruzada entre inquilinos, possibilitando que um invasor acesse milhões de repositórios. Dada a gravidade da situação, é recomendado que os usuários apliquem a atualização imediatamente para garantir a proteção adequada.

Pesquisadores de cibersegurança revelaram uma vulnerabilidade crítica no LeRobot, a plataforma de robótica de código aberto da Hugging Face, que possui quase 24.000 estrelas no GitHub. A falha, identificada como CVE-2026-25874, apresenta um alto índice de gravidade (9.3 no CVSS) e está relacionada à desserialização insegura de dados, resultante do uso do formato pickle. Essa vulnerabilidade permite que um atacante não autenticado, que consiga acessar a rede do servidor PolicyServer, envie um payload malicioso e execute comandos arbitrários no sistema. O impacto potencial é significativo, incluindo a possibilidade de execução remota de código, comprometimento total do host do PolicyServer, roubo de dados sensíveis e riscos à segurança física. A falha foi validada na versão 0.4.3 do LeRobot e ainda não possui correção, com um patch previsto para a versão 0.6.0. A situação é alarmante, pois o LeRobot é projetado para sistemas de inferência de inteligência artificial que operam com privilégios elevados. A Hugging Face reconheceu a necessidade de refatoração do código, enfatizando que a segurança na implantação não era uma prioridade até o momento. O uso do formato pickle, que já é conhecido por suas vulnerabilidades, levanta preocupações adicionais sobre a segurança da plataforma.

A Microsoft confirmou um novo problema que afeta os avisos de segurança do Windows ao abrir arquivos de Conexão de Área de Trabalho Remota (.rdp). Essa questão impacta todas as versões suportadas do Windows, incluindo Windows 11 e Windows 10, e ocorre quando os usuários utilizam mais de um monitor com diferentes configurações de escala de exibição. Os avisos de segurança podem apresentar texto sobreposto e botões mal posicionados, dificultando a leitura e a interação. Essa falha foi introduzida nas atualizações cumulativas de abril de 2026, que visam proteger os usuários contra arquivos RDP maliciosos. Os arquivos RDP são frequentemente utilizados em ambientes corporativos para conectar-se a sistemas remotos, mas têm sido alvo de abusos em campanhas de phishing. A Microsoft recomenda que os usuários verifiquem a legitimidade dos arquivos RDP, especialmente aqueles que não estão digitalmente assinados, pois podem representar riscos de segurança. A situação exige atenção, pois a falha pode impactar a segurança das conexões remotas em empresas, especialmente em um cenário onde ataques cibernéticos estão em ascensão.

Uma nova vulnerabilidade identificada no Microsoft Entra ID, especificamente na função de administrador de ID de agente, pode permitir ataques de escalonamento de privilégios e tomada de identidade. Essa função, destinada a gerenciar a identidade de agentes de inteligência artificial (IA), permite que usuários com essa atribuição assumam o controle de outros principais de serviço, o que pode resultar em um comprometimento significativo da segurança do ambiente. A falha foi descoberta pela Silverfort e, após a divulgação responsável em 1º de março de 2026, a Microsoft lançou um patch em 9 de abril para corrigir a questão. O problema reside na forma como as permissões são aplicadas, permitindo que um agente assuma a propriedade de principais de serviço não relacionados a agentes, o que pode levar a um controle mais amplo sobre o inquilino, especialmente se esses principais tiverem permissões elevadas. As organizações são aconselhadas a monitorar o uso de funções sensíveis e a proteger os principais de serviço privilegiados para mitigar os riscos associados a essa vulnerabilidade.

Uma nova vulnerabilidade, chamada Pack2TheRoot, foi identificada no daemon PackageKit, permitindo que usuários locais do Linux instalem ou removam pacotes do sistema e adquiram permissões de root. Classificada como CVE-2026-41651, a falha possui uma severidade alta, com nota de 8.8 em 10, e está presente no PackageKit há quase 12 anos. A vulnerabilidade foi descoberta pela equipe de segurança da Deutsche Telekom e afeta diversas distribuições Linux, incluindo Ubuntu, Debian e Fedora. A falha permite que comandos como ‘pkcon install’ sejam executados sem autenticação em certas condições, o que possibilita a instalação de pacotes de sistema sem permissão adequada. A versão 1.3.5 do PackageKit, que corrige essa falha, já está disponível, e os usuários são aconselhados a atualizá-la imediatamente. A vulnerabilidade pode ser explorada em várias distribuições que utilizam o PackageKit, e a falta de um patch pode deixar os sistemas vulneráveis a ataques. A equipe de pesquisa também observou que a exploração pode causar falhas no daemon, resultando em registros de erro que podem ser monitorados. Portanto, é crucial que os administradores de sistemas verifiquem suas versões do PackageKit e apliquem as atualizações necessárias.

Mais de 10.000 instâncias do Zimbra Collaboration Suite (ZCS) estão expostas online e vulneráveis a ataques que exploram uma falha de segurança de cross-site scripting (XSS), conforme relatado pela organização de segurança sem fins lucrativos Shadowserver. O Zimbra é um software de e-mail e colaboração amplamente utilizado, incluindo por diversas agências governamentais e empresas ao redor do mundo. A vulnerabilidade, identificada como CVE-2025-48700, afeta as versões 8.8.15, 9.0, 10.0 e 10.1 do ZCS, permitindo que atacantes não autenticados acessem informações sensíveis ao executar JavaScript arbitrário na sessão do usuário. A Synacor, responsável pelo Zimbra, lançou patches de segurança em junho de 2025, alertando que a exploração da falha não requer interação do usuário e pode ser ativada ao visualizar um e-mail malicioso. A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) incluiu a CVE-2025-48700 em seu catálogo de vulnerabilidades conhecidas exploradas, exigindo que agências federais protejam seus servidores Zimbra em um prazo de três dias. A maioria dos servidores vulneráveis está localizada na Ásia e na Europa, com um número significativo ainda sem correção. Além disso, a exploração de falhas do Zimbra tem sido uma tática comum em ataques cibernéticos, incluindo campanhas de phishing direcionadas a entidades governamentais ucranianas.

Uma vulnerabilidade de alta severidade foi identificada no LMDeploy, um toolkit de código aberto para compressão e implantação de modelos de linguagem, e já está sendo ativamente explorada. A falha, classificada como CVE-2026-33626 com um score CVSS de 7.5, refere-se a uma vulnerabilidade de Server-Side Request Forgery (SSRF) que permite o acesso a dados sensíveis. O problema reside na função load_image() que não valida endereços IP internos, possibilitando que atacantes acessem serviços de metadados em nuvem e redes internas. A exploração bem-sucedida pode permitir o roubo de credenciais de nuvem e a movimentação lateral em redes internas. A empresa Sysdig detectou a primeira tentativa de exploração em um sistema honeypot apenas 12 horas após a divulgação da vulnerabilidade, com o atacante realizando uma varredura de portas em serviços internos. Este incidente destaca a rapidez com que as vulnerabilidades estão sendo exploradas, especialmente em um contexto onde a inteligência artificial está acelerando a criação de exploits. Além disso, outras vulnerabilidades em plugins do WordPress e dispositivos Modbus também estão sendo alvo de ataques, evidenciando um cenário de ameaças em expansão.

Uma nova variante do malware Mirai está ameaçando roteadores D-Link da série DIR-823-X, permitindo que hackers assumam o controle dos dispositivos sem aviso. A vulnerabilidade, identificada pela empresa de segurança Akamai, foi detectada pela primeira vez em março de 2026 e se baseia em uma injeção de comandos que foi descoberta há 13 meses. Os pesquisadores Wang Jinshuai e Zhao Jiangting publicaram uma prova de conceito da falha, que posteriormente foi removida. As versões de firmware 240126 e 24082 estão especialmente vulneráveis, permitindo a execução de comandos remotos não autorizados. O ataque ocorre quando pedidos manipulados são enviados a um ponto de acesso vulnerável, resultando na instalação do malware tuxnokill, que transforma o roteador em um botnet para ataques DDoS. A D-Link não oferece mais suporte para esses modelos desde novembro de 2024, tornando a situação ainda mais crítica. Especialistas recomendam a substituição dos roteadores antigos ou, se isso não for possível, a desativação do acesso remoto e a mudança de senhas padrão.

Hackers estão explorando ativamente uma vulnerabilidade crítica no plugin Breeze Cache para WordPress, que permite o upload de arquivos arbitrários no servidor sem autenticação. A falha, identificada como CVE-2026-3844, já foi utilizada em mais de 170 tentativas de exploração, conforme relatado pela solução de segurança Wordfence. O plugin, desenvolvido pela Cloudways, possui mais de 400 mil instalações ativas e é projetado para melhorar o desempenho do site através de cache e otimização de arquivos. A vulnerabilidade recebeu uma pontuação de severidade crítica de 9.8 em 10 e foi descoberta pelo pesquisador de segurança Hung Nguyen. O problema se origina da falta de validação do tipo de arquivo na função ‘fetch_gravatar_from_remote’, permitindo que um atacante não autenticado faça o upload de arquivos, o que pode levar à execução remota de código e à tomada total do site. A exploração bem-sucedida só é possível se o complemento ‘Host Files Locally - Gravatars’ estiver ativado, o que não é a configuração padrão. A Cloudways corrigiu a falha na versão 2.4.5, lançada recentemente. Os administradores de sites que utilizam o Breeze Cache devem atualizar para a versão mais recente ou desativar temporariamente o plugin para evitar riscos.

A Apple lançou uma atualização de software para iOS e iPadOS visando corrigir uma vulnerabilidade nas Notificações que permitia que mensagens marcadas para exclusão fossem retidas no dispositivo. A falha, identificada como CVE-2026-28950, foi classificada como um problema de registro de dados, que agora conta com melhorias na redação de dados. A vulnerabilidade afeta diversos modelos de iPhone e iPad, incluindo iPhone 11 e posteriores, iPad Pro (3ª geração e posteriores), e outros dispositivos mais recentes. A atualização foi motivada por um incidente em que o FBI conseguiu extrair mensagens do aplicativo Signal de um iPhone, mesmo após a exclusão do aplicativo, utilizando dados armazenados na base de notificações do dispositivo. Embora o Signal já ofereça opções para ocultar o conteúdo das mensagens nas notificações, o caso destaca a importância do acesso físico ao dispositivo para a extração de dados sensíveis. A Apple garantiu que, após a instalação do patch, todas as notificações preservadas inadvertidamente serão excluídas, e futuras notificações não serão mantidas para aplicativos deletados.

A Apple lançou atualizações de segurança fora do ciclo regular para corrigir uma falha nos serviços de notificação em dispositivos iPhone e iPad. A vulnerabilidade, identificada como CVE-2026-28950, permitia que notificações marcadas para exclusão permanecessem armazenadas no dispositivo. As correções foram implementadas nas versões iOS 26.4.2, iPadOS 26.4.2, iOS 18.7.8 e iPadOS 18.7.8, disponibilizadas em 22 de abril de 2026. O boletim de segurança da Apple indica que a falha foi resolvida por meio de uma melhoria na redação de dados, mas não fornece detalhes adicionais sobre a exploração da vulnerabilidade ou o motivo da atualização emergencial. O caso se torna ainda mais relevante à luz de um incidente recente em que o FBI recuperou mensagens do aplicativo Signal de um iPhone, mesmo após a exclusão, sugerindo que os dados de notificação poderiam ser retidos. A Apple recomenda que os usuários instalem as atualizações o mais rápido possível para evitar a retenção inesperada de dados de notificações excluídas. Além disso, os usuários podem ajustar as configurações do Signal para minimizar a retenção de conteúdo de mensagens nas notificações do iOS.

Mais de 1.300 servidores Microsoft SharePoint estão expostos na internet e ainda não foram corrigidos contra uma vulnerabilidade de spoofing, identificada como CVE-2026-32201. Essa falha afeta as versões SharePoint Enterprise Server 2016, SharePoint Server 2019 e a Subscription Edition. A Microsoft, ao lançar um patch em abril de 2026, destacou que a exploração bem-sucedida da vulnerabilidade permite que atacantes sem privilégios realizem spoofing de rede, aproveitando uma fraqueza na validação de entrada. Embora a Microsoft tenha classificado a vulnerabilidade como um zero-day, ainda não foram divulgadas informações sobre como foi explorada em ataques ou se há ligação com grupos de hackers específicos. A Shadowserver alertou que menos de 200 dos servidores vulneráveis foram corrigidos desde o lançamento do patch. A CISA, agência de cibersegurança dos EUA, incluiu a vulnerabilidade em seu catálogo de vulnerabilidades conhecidas e ordenou que agências federais aplicassem os patches em um prazo de duas semanas, destacando os riscos significativos que essa vulnerabilidade representa para a segurança federal. Além disso, a CISA também alertou sobre outra vulnerabilidade no Windows Task Host que permite a elevação de privilégios, exigindo atenção imediata das agências.

A Microsoft divulgou atualizações de segurança fora do ciclo regular para corrigir uma vulnerabilidade crítica de escalonamento de privilégios no ASP.NET Core, identificada como CVE-2026-40372. Essa falha, encontrada nas APIs criptográficas de Proteção de Dados do ASP.NET Core, permite que atacantes não autenticados obtenham privilégios de sistema em dispositivos afetados ao forjar cookies de autenticação. A vulnerabilidade foi descoberta após relatos de usuários sobre falhas de descriptografia em suas aplicações após a atualização do .NET 10.0.6. A Microsoft alertou que um erro na validação de HMAC pode permitir que um atacante crie cargas úteis que passem nas verificações de autenticidade do DataProtection, possibilitando a descriptografia de dados anteriormente protegidos. Caso um atacante tenha se autenticado como um usuário privilegiado durante a janela vulnerável, ele poderia ter recebido tokens legítimos, que permanecem válidos mesmo após a atualização para a versão 10.0.7, a menos que a chave de proteção de dados seja rotacionada. A empresa recomenda que todos os clientes atualizem o pacote Microsoft.AspNetCore.DataProtection para a versão 10.0.7 o mais rápido possível e reimplantem suas aplicações para corrigir a rotina de validação. Além disso, a Microsoft também abordou uma vulnerabilidade de ‘smuggling’ de requisições HTTP em seu servidor web Kestrel, destacando a importância de manter os sistemas atualizados.

Uma vulnerabilidade crítica foi identificada no Terrarium, um sandbox baseado em Python, que pode permitir a execução de código arbitrário. Classificada como CVE-2026-5752, a falha recebeu uma pontuação de 9.3 no sistema CVSS, indicando seu alto risco. A vulnerabilidade se origina de uma exploração na cadeia de protótipos do JavaScript no ambiente WebAssembly do Pyodide, que possibilita a execução de comandos do sistema com privilégios de root no processo Node.js host. Isso pode permitir que atacantes escapem do sandbox e acessem arquivos sensíveis, como ‘/etc/passwd’, além de potencialmente escalar privilégios e comprometer outros serviços na rede do container. Embora a exploração exija acesso local ao sistema, não requer interação do usuário ou privilégios especiais. O pesquisador de segurança Jeremy Brown descobriu e relatou a falha, e como o projeto não está mais sendo mantido, é improvável que um patch seja disponibilizado. O CERT/CC recomenda que os usuários desativem recursos que permitam o envio de código ao sandbox, segmentem a rede e implementem um firewall de aplicação web para detectar tráfego suspeito. A falha destaca a inadequação do sandbox em prevenir o acesso a protótipos de objetos globais, comprometendo a segurança esperada.

A Microsoft lançou atualizações fora do ciclo regular para corrigir uma vulnerabilidade crítica no ASP.NET Core, identificada como CVE-2026-40372, que permite a um atacante escalar privilégios. Com uma pontuação CVSS de 9.1, a falha foi descoberta por um pesquisador anônimo e é classificada como importante. A vulnerabilidade resulta de uma verificação inadequada da assinatura criptográfica na biblioteca Microsoft.AspNetCore.DataProtection, que pode permitir que um invasor obtenha privilégios de sistema em aplicações que utilizam versões específicas da biblioteca em sistemas operacionais não-Windows, como Linux e macOS. A Microsoft esclareceu que a exploração bem-sucedida depende de três condições: o uso da versão 10.0.6 da biblioteca, a carga correta da biblioteca em tempo de execução e a execução em um sistema operacional compatível. A atualização para a versão 10.0.7 corrige a falha, mas tokens legítimos emitidos durante a janela de vulnerabilidade permanecem válidos, a menos que a chave de proteção de dados seja rotacionada. A empresa recomenda que os administradores atualizem suas aplicações imediatamente para mitigar riscos de exploração.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) alertou as agências governamentais sobre uma vulnerabilidade no Catalyst SD-WAN Manager, que está sendo ativamente explorada em ataques. A falha, identificada como CVE-2026-20133, permite que atacantes remotos não autenticados acessem informações sensíveis em dispositivos não corrigidos. A Cisco já havia lançado um patch para essa vulnerabilidade em fevereiro, mas a CISA agora exige que as agências federais apliquem as correções até 24 de abril. A vulnerabilidade é resultado de restrições insuficientes de acesso ao sistema de arquivos, permitindo que um invasor acesse a API do sistema afetado. Além disso, a CISA incluiu essa falha em seu Catálogo de Vulnerabilidades Conhecidas (KEV) devido a evidências de exploração ativa. A Cisco ainda não confirmou a exploração da falha, mas já havia identificado outras vulnerabilidades críticas em seus produtos. A situação destaca a importância de uma resposta rápida a vulnerabilidades em sistemas amplamente utilizados, como os da Cisco, que são comuns em diversas organizações.

Pesquisadores de cibersegurança identificaram uma vulnerabilidade crítica no Protocolo de Contexto de Modelo (MCP) que pode permitir a execução remota de código (RCE) em sistemas vulneráveis. Essa falha, presente no kit de desenvolvimento de software (SDK) da Anthropic, afeta mais de 7.000 servidores acessíveis publicamente e mais de 150 milhões de downloads. A vulnerabilidade se origina de configurações inseguras no transporte STDIO, resultando em injeções de comandos não autenticadas. Os pesquisadores destacam que essa falha não foi corrigida na implementação de referência do MCP, o que perpetua os riscos de execução de código. Para mitigar a ameaça, recomenda-se bloquear o acesso público a serviços sensíveis, monitorar invocações de ferramentas MCP e tratar entradas de configuração como não confiáveis. A situação é alarmante, pois uma única decisão arquitetônica comprometeu a segurança de diversas bibliotecas e projetos que confiam no protocolo. A Anthropic, por sua vez, não pretende modificar a arquitetura do protocolo, o que levanta preocupações sobre a segurança na cadeia de suprimentos de IA.

Um código de exploração de prova de conceito foi publicado para uma falha crítica de execução remota de código (RCE) no protobuf.js, uma implementação JavaScript amplamente utilizada dos Protocol Buffers do Google. Essa biblioteca, que é popular no registro do Node Package Manager (npm) com cerca de 50 milhões de downloads semanais, é utilizada para comunicação entre serviços e armazenamento eficiente de dados estruturados. A vulnerabilidade, identificada como GHSA-xq3m-2v4x-88gg, resulta de uma geração de código dinâmico insegura, onde a biblioteca constrói funções JavaScript a partir de esquemas protobuf sem validar adequadamente os identificadores derivados do esquema. Isso permite que um atacante forneça um esquema malicioso que injete código arbitrário na função gerada, possibilitando a execução desse código quando a aplicação processa uma mensagem usando o esquema comprometido. A falha afeta as versões 8.0.0/7.5.4 e anteriores do protobuf.js, e a Endor Labs recomenda a atualização para as versões 8.0.1 e 7.5.5, que corrigem o problema. Embora a exploração seja considerada simples, até o momento não foram observadas explorações ativas na natureza.

A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) alertou sobre uma vulnerabilidade crítica em versões antigas do Microsoft Excel, identificada como CVE-2009-0238. Essa falha, detectada em 2009, permite a execução remota de código (RCE), possibilitando que cibercriminosos comprometam sistemas ao enviar documentos Excel maliciosos. Os ataques podem resultar no roubo de informações sensíveis, implantação de ransomware e corrupção da memória do dispositivo. A vulnerabilidade afeta versões do Microsoft Office Excel 2000 SP3 até 2004 e 2008 para Mac, enquanto versões mais recentes já receberam correções. A CISA não detalhou como os documentos maliciosos são enviados, mas a ameaça permanece ativa, com a possibilidade de exploração por hackers. Especialistas associaram a falha à distribuição de um malware conhecido como “Trojan.Mdropper.AC”. É crucial que usuários e empresas que ainda utilizam essas versões antigas do Excel tomem medidas imediatas para mitigar os riscos associados a essa vulnerabilidade.

Recentemente, o pesquisador conhecido como ‘Chaotic Eclipse’ divulgou um exploit de prova de conceito para uma falha zero-day no Microsoft Defender, chamada ‘RedSun’. Essa vulnerabilidade permite a escalada de privilégios locais (LPE), concedendo privilégios de SYSTEM em sistemas operacionais Windows 10, Windows 11 e Windows Server, especialmente nas atualizações mais recentes do Patch Tuesday de abril. O exploit explora um comportamento peculiar do Windows Defender, que reescreve arquivos maliciosos com uma etiqueta de nuvem, permitindo que arquivos de sistema sejam sobrescritos e, assim, concedendo privilégios administrativos ao atacante. Will Dormann, analista de vulnerabilidades, confirmou que o exploit funciona em sistemas totalmente atualizados. O pesquisador também lançou um exploit anterior, chamado ‘BlueHammer’, em protesto contra a forma como a Microsoft lida com a divulgação de vulnerabilidades. A Microsoft, em resposta, afirmou que investiga questões de segurança relatadas e apoia a divulgação coordenada de vulnerabilidades. Essa situação levanta preocupações sobre a segurança de sistemas amplamente utilizados e a necessidade de uma resposta rápida por parte das empresas que utilizam essas tecnologias.

Hackers estão aproveitando uma vulnerabilidade crítica no notebook Python reativo Marimo para implantar uma nova variante do malware NKAbuse, hospedada na plataforma Hugging Face Spaces. As primeiras tentativas de exploração da falha de execução remota de código (CVE-2026-39987) começaram na semana passada, logo após a divulgação pública de detalhes técnicos. Pesquisadores da Sysdig monitoraram a atividade e identificaram uma campanha que começou em 12 de abril, utilizando a plataforma Hugging Face para demonstrar aplicações de inteligência artificial.

Uma vulnerabilidade crítica no Nginx UI, relacionada ao suporte ao Model Context Protocol (MCP), está sendo explorada ativamente, permitindo que atacantes assumam o controle total do servidor sem necessidade de autenticação. A falha, identificada como CVE-2026-33032, ocorre devido à falta de proteção no endpoint ‘/mcp_message’, que permite a execução de ações privilegiadas do MCP sem credenciais. Isso possibilita que um único pedido não autenticado altere o comportamento do servidor, incluindo a modificação e recarregamento de arquivos de configuração do Nginx.

A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) emitiu um alerta para agências governamentais dos EUA sobre uma vulnerabilidade de escalonamento de privilégios no Windows Task Host, identificada como CVE-2025-60710. Essa falha, que afeta dispositivos com Windows 11 e Windows Server 2025, permite que atacantes locais com permissões básicas elevem seus privilégios a nível de SYSTEM, obtendo controle total sobre o dispositivo comprometido. A vulnerabilidade é resultado de uma fraqueza na resolução de links antes do acesso a arquivos, o que pode ser explorado por atacantes autorizados. A Microsoft lançou um patch para corrigir essa falha em novembro de 2025, e a CISA deu um prazo de duas semanas para que as agências federais implementem as correções. Embora o aviso se aplique principalmente a agências federais, a CISA também recomenda que organizações do setor privado adotem as atualizações de segurança para proteger suas redes. A vulnerabilidade representa um vetor de ataque frequente e significativo, exigindo atenção imediata das equipes de segurança.

Uma falha de segurança crítica, identificada como CVE-2026-33032, foi recentemente divulgada e está sendo ativamente explorada. Essa vulnerabilidade, com um escore CVSS de 9.8, permite que atacantes contornem a autenticação em nginx-ui, uma ferramenta de gerenciamento baseada na web para Nginx. O problema reside na integração do Model Context Protocol (MCP), que expõe dois endpoints HTTP: /mcp e /mcp_message. Enquanto o primeiro requer autenticação, o segundo apenas aplica uma lista de IPs, que por padrão está vazia, permitindo acesso irrestrito. Isso possibilita que qualquer atacante na rede invoque ferramentas do MCP sem autenticação, podendo reiniciar o Nginx, modificar arquivos de configuração e até interceptar tráfego para roubar credenciais de administradores. A vulnerabilidade foi corrigida na versão 2.3.4, lançada em 15 de março de 2026, e recomenda-se que os usuários atualizem imediatamente ou implementem medidas temporárias de segurança. Dados do Shodan indicam que existem cerca de 2.689 instâncias expostas na internet, principalmente na China, EUA, Indonésia, Alemanha e Hong Kong. A situação é crítica, e organizações que utilizam nginx-ui devem agir rapidamente para evitar compromissos de segurança.

O Adobe Acrobat Reader, amplamente utilizado para visualização e compartilhamento de arquivos PDF, foi alvo de uma nova vulnerabilidade de segurança identificada como CVE-2026-34621. Essa falha, classificada como poluição de protótipo, permite a injeção de código JavaScript malicioso, possibilitando que atacantes manipulem objetos e propriedades dentro da aplicação, comprometendo assim o sistema do usuário. A vulnerabilidade foi explorada ativamente desde dezembro de 2025, antes de ser divulgada por um pesquisador de segurança da EXPMON. A Adobe já lançou atualizações de segurança para corrigir essa falha crítica, afetando versões específicas do Acrobat DC e Acrobat Reader DC. Apesar da correção, é importante que os usuários permaneçam vigilantes, especialmente em relação a arquivos PDF recebidos por e-mail, que podem conter vírus. A atualização é essencial para garantir a segurança dos dispositivos e evitar possíveis comprometimentos.

Uma vulnerabilidade crítica, identificada como CVE-2025-0520, afeta o ShowDoc, um serviço de gerenciamento e colaboração de documentos amplamente utilizado na China. Com uma pontuação CVSS de 9.4, a falha permite o upload irrestrito de arquivos, possibilitando que atacantes façam upload de arquivos PHP maliciosos e executem código remotamente. A vulnerabilidade foi descoberta em versões anteriores à 2.8.7 do ShowDoc, que foi corrigida em outubro de 2020. No entanto, novas informações indicam que a exploração ativa dessa falha começou recentemente, com ataques observados em um honeypot nos EUA. Dados da VulnCheck mostram que existem mais de 2.000 instâncias do ShowDoc online, a maioria delas na China. Diante disso, é altamente recomendável que os usuários atualizem para a versão mais recente do software, a 3.8.1, para garantir proteção adequada contra essa ameaça.

Uma vulnerabilidade crítica foi identificada na biblioteca wolfSSL, que implementa SSL/TLS, podendo enfraquecer a segurança na verificação de assinaturas do algoritmo ECDSA. Pesquisadores alertam que um atacante pode explorar essa falha para forçar dispositivos ou aplicações a aceitarem certificados falsificados de servidores maliciosos. A vulnerabilidade, rastreada como CVE-2026-5194 e descoberta por Nicholas Carlini da Anthropic, é um erro de validação criptográfica que afeta múltiplos algoritmos de assinatura, como ECDSA, DSA e EdDSA. A falha permite que resumos de hash inadequadamente fracos sejam aceitos durante a verificação de certificados, o que pode comprometer a autenticação baseada em certificados ECDSA. A wolfSSL, utilizada em mais de 5 bilhões de aplicações e dispositivos em todo o mundo, lançou a versão 5.9.1 em 8 de abril para corrigir essa vulnerabilidade. Organizações que utilizam wolfSSL devem revisar suas implementações e aplicar as atualizações de segurança imediatamente para garantir a validação segura de certificados.

A OpenAI anunciou a descoberta de uma vulnerabilidade em seu fluxo de trabalho do GitHub Actions, que comprometeu diversos aplicativos para macOS, incluindo o ChatGPT Desktop e Codex. A falha permitiu que hackers explorassem um pacote malicioso chamado Axios, que corrompia os aplicativos da empresa. Apesar do incidente, a OpenAI garantiu que não houve exposição de dados de usuários nem danos aos seus sistemas internos. Como medida de precaução, a empresa está revogando e substituindo o certificado de segurança dos aplicativos afetados, que agora serão bloqueados pelas proteções do macOS. O incidente ocorreu em um contexto de crescente preocupação com ataques de supply chain, especialmente após um ataque atribuído a um grupo hacker norte-coreano. A OpenAI está implementando medidas adicionais para proteger seus processos de certificação de aplicativos, destacando a importância de segurança em fluxos de trabalho de desenvolvimento de software.

A Adobe divulgou uma atualização de segurança emergencial para o Acrobat Reader, visando corrigir uma vulnerabilidade crítica identificada como CVE-2026-34621. Essa falha, que tem sido explorada em ataques de zero-day desde dezembro, permite que arquivos PDF maliciosos contornem as restrições de sandbox e invoquem APIs JavaScript privilegiadas, o que pode resultar na execução arbitrária de código. O exploit observado permite a leitura e o roubo de arquivos locais sem necessidade de interação do usuário, além de abusar de APIs como util.readFileIntoStream() e RSS.addFeed() para exfiltração de dados. A vulnerabilidade foi descoberta por Haifei Li, fundador do sistema de detecção de exploits EXPMON, após a análise de um PDF suspeito. A Adobe inicialmente classificou a falha como crítica, mas posteriormente reavaliou sua gravidade para 8.6, considerando que o vetor de ataque é local. A atualização está disponível para várias versões do Acrobat DC e Acrobat Reader DC, e a Adobe recomenda que os usuários atualizem seus aplicativos imediatamente. Não foram listadas alternativas ou mitigação, tornando a aplicação da atualização a única ação recomendada. Os usuários devem ser cautelosos ao abrir PDFs de fontes desconhecidas e preferir ambientes isolados para tal.

O cenário de cibersegurança apresenta uma série de ameaças críticas, incluindo uma vulnerabilidade zero-day no Adobe Acrobat Reader, identificada como CVE-2026-34621, que permite a execução de código malicioso ao abrir PDFs manipulados. Essa falha, com um CVSS de 8.6, está sendo ativamente explorada desde dezembro de 2025, levando a Adobe a lançar atualizações de emergência. Além disso, um grupo de hackers ligado ao Irã tem atacado sistemas de controle industrial nos EUA, causando interrupções operacionais significativas. Outro ponto alarmante é o uso de modelos de IA, como o Mythos da Anthropic, que podem gerar exploits de forma autônoma, aumentando a capacidade de ataque de grupos maliciosos. A operação de desmantelamento do botnet APT28, que explorava vulnerabilidades em roteadores, também destaca a complexidade das ameaças atuais. Por fim, um ataque sofisticado de um grupo norte-coreano resultou no roubo de $285 milhões em ativos digitais, evidenciando a crescente habilidade de atores estatais em realizar operações de espionagem e roubo. Esses eventos ressaltam a necessidade urgente de vigilância e atualização das defesas cibernéticas.

Uma vulnerabilidade crítica foi descoberta na plataforma de notebooks reativos Marimo, permitindo a execução remota de código sem autenticação. A falha, identificada como CVE-2026-39987, afeta as versões 0.20.4 e anteriores e recebeu uma pontuação crítica de 9.3 de 10 pela GitHub. A exploração começou apenas 10 horas após a divulgação pública da falha, com atacantes utilizando informações do aviso do desenvolvedor para realizar operações de exfiltração de dados sensíveis. A vulnerabilidade se origina do endpoint WebSocket ‘/terminal/ws’, que expõe um terminal interativo sem as devidas verificações de autenticação, permitindo que qualquer cliente não autenticado se conecte e execute comandos. O Marimo é amplamente utilizado por cientistas de dados e desenvolvedores, com 20.000 estrelas no GitHub. Os desenvolvedores lançaram a versão 0.23.0 para corrigir a falha, recomendando que os usuários atualizem imediatamente e monitorem as conexões WebSocket. Caso a atualização não seja viável, a recomendação é bloquear o acesso ao endpoint vulnerável.