Vulnerabilidade

Microsoft trabalha em patch para vulnerabilidade zero-day do Defender

A Microsoft confirmou que está desenvolvendo um patch para uma vulnerabilidade zero-day no Microsoft Defender, conhecida como ‘RoguePlanet’, que foi divulgada recentemente. O pesquisador de segurança que revelou a falha, identificado como Nightmare Eclipse, afirmou que a vulnerabilidade afeta dispositivos com Windows 10 e Windows 11 totalmente atualizados, permitindo que atacantes executem comandos com privilégios de SYSTEM por meio de uma condição de corrida. O exploit, que pode ser encontrado em um repositório Git auto-hospedado, funciona independentemente da proteção em tempo real estar ativada ou não. A Microsoft designou a falha com o ID CVE-2026-50656 e está investigando a situação. A empresa já havia enfrentado um conflito com Nightmare Eclipse sobre suas práticas de divulgação de vulnerabilidades e recompensas por bugs. Recentemente, a Microsoft também corrigiu outras falhas críticas em seu sistema. A situação destaca a importância de monitorar e atualizar constantemente as soluções de segurança para proteger os usuários contra ameaças emergentes.

Vulnerabilidade crítica no Joomla Content Editor afeta segurança

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma vulnerabilidade de alta severidade no Joomla Content Editor (JCE) em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). A falha, identificada como CVE-2026-48907, possui uma pontuação CVSS de 10.0 e permite a execução arbitrária de código devido a um controle de acesso inadequado. Essa vulnerabilidade afeta as versões do JCE de 1.0.0 a 2.9.99.4 e foi corrigida na versão 2.9.99.5, lançada em 3 de junho de 2026. A CISA alertou que a falha pode permitir que usuários não autenticados criem perfis de editor e façam upload de código PHP malicioso.

Falha no Google Cloud permite sequestro de modelos de ML

Uma vulnerabilidade no SDK do Google Cloud Vertex AI para Python permitiu que um atacante, sem acesso ao projeto da vítima, sequestrasse modelos de aprendizado de máquina e executasse código na infraestrutura de serviços do Google. A técnica, chamada de “Pickle in the Middle” pela Palo Alto Networks Unit 42, foi descoberta e relatada através do programa de recompensas por vulnerabilidades do Google. O problema estava na forma como o SDK gerava nomes de buckets temporários para uploads de modelos. Se o usuário não especificasse um bucket, o SDK criava um nome previsível a partir do ID do projeto e da região, permitindo que um atacante criasse o bucket esperado em seu próprio projeto. Assim, o modelo da vítima era enviado para o bucket do atacante, que poderia substituí-lo por um modelo malicioso. Esse modelo, ao ser carregado pelo Vertex AI, executava código malicioso, permitindo o roubo de tokens OAuth e acesso a outros artefatos do projeto. A falha foi corrigida nas versões 1.148.0 e posteriores do SDK, e recomenda-se que os usuários atualizem e especifiquem um bucket de armazenamento controlado ao fazer uploads de modelos.

Mais de 1 milhão de sites WordPress em risco após plugin popular ser hackeado

Mais de um milhão de sites WordPress estão em risco de serem comprometidos devido a uma vulnerabilidade no plugin UpdraftPlus, que foi explorada em um ataque de cadeia de suprimentos. O ataque, identificado pela empresa de segurança Sansec, afetou o servidor de marketing da Awesome Motive, responsável por produtos populares como OptinMonster. Os hackers conseguiram acessar credenciais do servidor e injetar scripts JavaScript maliciosos que só eram ativados quando administradores logados visitavam os sites afetados. Isso permitiu que os atacantes coletassem tokens de autenticação e criassem contas de administrador falsas, possibilitando o controle total dos sites. Os proprietários de sites são aconselhados a verificar a presença de contas de administrador não autorizadas e a realizar varreduras de malware. Além disso, é recomendado que senhas e chaves de API sejam rotacionadas para mitigar o risco de comprometimento contínuo.

CISA dá três dias para agências dos EUA corrigirem vulnerabilidade crítica

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta urgente para que agências governamentais protejam seus servidores contra uma vulnerabilidade crítica (CVE-2026-48172) no plugin de cPanel da LiteSpeed. Essa falha, que permite a escalada de privilégios a root em servidores de hospedagem compartilhada, foi identificada como sendo ativamente explorada desde junho. A vulnerabilidade afeta todas as versões do plugin anteriores à 2.4.8 e é resultado de uma fraqueza no ‘seguimento de symlink do UNIX’. A CISA ordenou que as agências federais realizem a correção em um prazo de três dias, conforme a Diretriz Operacional Vinculativa (BOD) 26-04, que prioriza o patching baseado no risco de exploração. Os usuários são aconselhados a verificar se seus servidores estão vulneráveis utilizando um comando específico e, caso haja qualquer saída, investigar os logs do sistema para identificar possíveis danos. A CISA também destacou que essa vulnerabilidade é um vetor de ataque frequente para agentes cibernéticos maliciosos, representando riscos significativos para a segurança federal.

Vulnerabilidade no Plugin LiteSpeed cPanel exige atenção urgente

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma falha de segurança no plugin LiteSpeed cPanel em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). A vulnerabilidade, identificada como CVE-2026-54420, possui uma pontuação CVSS de 8.5 e permite que usuários com acesso FTP ou web shell escalem privilégios para root em servidores de hospedagem compartilhada que utilizam CloudLinux ou CageFS. A falha ocorre devido ao manuseio inadequado de symlinks por parte do plugin LiteSpeed cPanel antes da versão 2.4.8. Embora ainda não se saiba como a vulnerabilidade está sendo explorada ativamente, a LiteSpeed recomenda que os usuários executem um comando específico para verificar se seus servidores foram afetados. Caso o comando retorne resultados, a empresa sugere a atualização para a versão 5.3.2.1 do LiteSpeed WHM Plugin para corrigir a falha. A descoberta da vulnerabilidade foi creditada à Namecheap, que alertou sobre o problema em 31 de maio de 2026.

Cisco corrige falha de segurança em SD-WAN Manager com exploração ativa

A Cisco divulgou atualizações de segurança para uma vulnerabilidade de média gravidade no Catalyst SD-WAN Manager, identificada como CVE-2026-20262, que está sendo ativamente explorada. Com uma pontuação CVSS de 6.5, a falha permite que um atacante remoto autenticado crie ou sobrescreva arquivos no sistema afetado devido à validação inadequada de entradas durante o processo de upload de arquivos. Para explorar essa vulnerabilidade, o invasor precisa ter credenciais válidas com acesso de gravação. A falha afeta diversas versões do Cisco Catalyst SD-WAN Manager, tanto em ambientes on-premises quanto na nuvem. A Cisco lançou patches para corrigir a vulnerabilidade em várias versões, e a CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) incluiu a falha em seu catálogo de Vulnerabilidades Conhecidas e Explotadas, exigindo que agências federais apliquem as correções até 29 de junho de 2026. A empresa também forneceu indicadores de comprometimento para ajudar os clientes a auditar possíveis atividades maliciosas relacionadas a essa falha.

Vulnerabilidade crítica no software SimpleHelp permite criação de contas privilegiadas

Uma vulnerabilidade no software de gerenciamento remoto SimpleHelp, identificada como CVE-2026-48558, permite que atacantes não autenticados criem contas de técnicos privilegiados em servidores que utilizam o protocolo de autenticação OpenID Connect (OIDC). Essa falha, classificada como de severidade crítica, afeta as versões 5.5.15 e anteriores do SimpleHelp, além de versões pré-lançamento 6.0. A exploração da vulnerabilidade ocorre devido à validação inadequada das afirmações de identidade recebidas de um provedor de identidade OIDC. Quando a autenticação OIDC está habilitada, um atacante pode criar e acessar uma nova conta de Técnico sem passar pelo processo de autenticação multifatorial (MFA). Isso permite que o Técnico execute atividades de gerenciamento privilegiadas, como acessar endpoints gerenciados e executar scripts. A SimpleHelp lançou correções para a vulnerabilidade em 9 de junho, disponibilizando as versões 5.5.16 e 6.0RC2. A vulnerabilidade não afeta todos os servidores SimpleHelp, mas sim aqueles que dependem do protocolo OIDC, sendo que aproximadamente 14.000 servidores estão expostos na internet, com cerca de 7,2% configurados para usar a autenticação OIDC. Organizações são aconselhadas a atualizar para as versões mais recentes ou, se não for possível, restringir as fontes de login dos técnicos por meio de listas de permissões baseadas em IP.

Cisco corrige vulnerabilidade crítica no Catalyst SD-WAN Manager

A Cisco lançou atualizações de segurança para corrigir uma vulnerabilidade crítica no Catalyst SD-WAN Manager, identificada como CVE-2026-20262, que permitia a escalada de privilégios para root. Este software de gerenciamento de rede, anteriormente conhecido como SD-WAN vManage, possibilita que administradores gerenciem até 6.000 dispositivos SD-WAN a partir de um único painel. A falha, que afeta todos os tipos de implantação, foi causada por uma validação insuficiente de entradas fornecidas pelo usuário durante o upload de arquivos. Isso permitia que atacantes remotos de baixo privilégio executassem comandos arbitrários como root ao enviar requisições HTTP manipuladas para um endpoint de API vulnerável. A Cisco alertou que a exploração dessa vulnerabilidade poderia resultar na criação ou sobrescrita de arquivos no sistema afetado, potencialmente permitindo a elevação de privilégios. A empresa recomendou fortemente que os clientes aplicassem os patches disponíveis. Além disso, a Cisco identificou que a exploração dessa falha estava em andamento, e os administradores devem verificar logs específicos para detectar tentativas de upload de arquivos maliciosos. Este incidente se junta a uma série de vulnerabilidades críticas que afetaram o Catalyst SD-WAN Manager nos últimos meses.

Vulnerabilidade no Microsoft 365 permite exfiltração de dados com um clique

Pesquisadores da Varonis Threat Labs descobriram uma vulnerabilidade crítica no Microsoft 365 Copilot que permite a exfiltração de dados com um único clique. Batizada de SearchLeak, a falha resulta da combinação de três bugs, sendo um deles uma injeção de comandos que pode expor informações sensíveis, como e-mails e detalhes de calendário. O ataque é facilitado por um link aparentemente confiável que, ao ser clicado, permite que o Copilot busque dados do usuário sem que ele precise inserir qualquer informação ou senha. O processo envolve a injeção de um código em um parâmetro da URL, que é interpretado pelo Copilot, e a utilização de um endpoint do Bing para contornar as políticas de segurança de conteúdo. A Microsoft já mitigou a falha em seu backend, mas a vulnerabilidade destaca a necessidade de monitoramento e governança de dados mais rigorosos. A CVE-2026-42824 foi atribuída a essa vulnerabilidade, que, embora não tenha sido explorada ativamente, representa um risco significativo para a segurança das informações corporativas.

Vulnerabilidade crítica no Microsoft 365 Copilot pode expor dados sensíveis

Uma nova vulnerabilidade crítica, denominada SearchLeak, foi identificada no Microsoft 365 Copilot Enterprise, permitindo que atacantes roubem dados sensíveis de contas de e-mail, OneDrive ou SharePoint através de URLs manipuladas. A informação exfiltrada pode incluir conteúdos de e-mails, eventos de calendário, detalhes de reuniões e documentos acessíveis via Copilot. A vulnerabilidade foi corrigida pela Microsoft e recebeu o identificador CVE-2026-42824, com classificação de severidade máxima.

A cadeia de ataque desenvolvida pela empresa de segurança Varonis consiste em três etapas: a primeira envolve uma injeção de parâmetro que permite ao atacante criar um link que instrui o Copilot a buscar dados do usuário. Na segunda etapa, uma condição de corrida na renderização de HTML permite que o código malicioso execute antes da sanitização. Por fim, um problema de SSRF no Bing permite que a solicitação para buscar uma imagem seja feita, contornando as políticas de segurança.

Atualização de segurança crítica para Splunk Enterprise

A Splunk lançou atualizações de segurança para corrigir uma falha crítica no Splunk Enterprise, identificada como CVE-2026-20253, que permite a execução remota de código e operações de arquivos não autenticadas. Avaliada em 9.8 na escala CVSS, a vulnerabilidade afeta versões anteriores a 10.2.4 e 10.0.7, permitindo que usuários não autenticados realizem operações de arquivos através de um endpoint do serviço PostgreSQL. A falha ocorre devido à falta de controles de autenticação, possibilitando que qualquer usuário acessível pela rede invoque operações de arquivos sem credenciais. A exploração pode levar à execução de código malicioso ao sobrescrever scripts Python utilizados pelo Splunk. Embora não haja evidências de exploração ativa, a divulgação dos detalhes técnicos pode incentivar tentativas oportunistas. A Splunk recomenda que os usuários atualizem rapidamente para as versões corrigidas para garantir a segurança de seus sistemas.

Vulnerabilidade de bypass de autenticação no phpBB permite acesso não autorizado

Uma vulnerabilidade de bypass de autenticação, descoberta no software de fórum phpBB, permite que um atacante faça login como qualquer usuário, incluindo administradores. Essa falha, que não possui um identificador, é fácil de explorar com uma única requisição HTTP e afeta as versões 4.0.0-a2 e 3.3.16 ou anteriores. A empresa de segurança Aikido identificou o problema em 2 de junho e notificou os desenvolvedores, que corrigiram a falha em 6 de junho com o lançamento da versão 3.3.17. A vulnerabilidade, que existe há 10 anos, impacta todas as versões das ramificações 3.x e 4.x até as mencionadas. O acesso administrativo possibilita que atacantes visualizem mensagens privadas, modifiquem ou excluam conteúdos e contas de usuários, além de se passarem por membros da equipe. Embora a execução remota de código não seja possível devido a uma verificação de senha separada, a falha representa um risco significativo, especialmente em configurações padrão. Aikido recomenda que os administradores atualizem imediatamente para evitar compromissos. Vale ressaltar que a atualização pode causar problemas em fóruns que utilizam autenticação OAuth, mas a correção deve ser simples na maioria dos casos.

Vulnerabilidades críticas no LangGraph podem permitir execução remota de código

Pesquisadores de cibersegurança revelaram três falhas de segurança, agora corrigidas, que afetam o LangGraph, um framework de código aberto desenvolvido pela LangChain para criar aplicações de inteligência artificial (IA). A vulnerabilidade mais crítica, identificada como CVE-2025-67644, é uma injeção SQL que permite a atacantes obter controle total de um servidor através da execução remota de código. Outras falhas incluem uma vulnerabilidade de desserialização insegura (CVE-2026-28277) e uma injeção de consulta RediSearch (CVE-2026-27022). Essas vulnerabilidades podem ser exploradas em implementações auto-hospedadas que utilizam os checkpointers SQLite ou Redis com entradas de filtro controladas pelo usuário. O pesquisador de segurança Yarden Porat, que descobriu as falhas, destacou que a combinação das vulnerabilidades CVE-2025-67644 e CVE-2026-28277 pode levar à execução remota de código. O LangGraph afirmou que a exploração bem-sucedida dessas falhas pode expor segredos em tempo de execução e permitir acesso a outros sistemas. Os usuários são aconselhados a aplicar as correções mais recentes e implementar práticas de segurança rigorosas, como autenticação e segmentação de rede.

Oracle alerta sobre vulnerabilidade crítica no PeopleSoft

A Oracle emitiu um alerta sobre uma vulnerabilidade crítica de zero-day na suíte PeopleSoft, identificada como CVE-2026-35273, que permite a execução remota de código sem autenticação. Com uma pontuação CVSS de 9.8, a falha afeta as versões 8.61 e 8.62 do PeopleTools. A vulnerabilidade está sendo explorada ativamente por um grupo de extorsão conhecido como ShinyHunters, que já comprometeu 300 instâncias de mais de 100 organizações, principalmente no setor educacional. A Mandiant confirmou que a exploração da vulnerabilidade está em andamento e notificou mais de 100 organizações globais sobre possíveis riscos. A Oracle já lançou mitigação de emergência e um patch está previsto para breve. As recomendações incluem restringir o acesso a endpoints sensíveis e revisar logs em busca de atividades suspeitas. A situação é crítica, pois a falha pode resultar em vazamento de dados sensíveis e comprometer a conformidade com a LGPD.

Grupo ShinyHunters explora falha crítica no Oracle PeopleSoft

O grupo de extorsão ShinyHunters explorou uma falha não corrigida no Oracle PeopleSoft, resultando em invasões a sistemas empresariais, roubo de dados e exigência de pagamento para manter as informações em sigilo. A vulnerabilidade, identificada como CVE-2026-35273, é uma falha de execução remota de código com uma pontuação de 9.8 em 10, que não requer login ou interação do usuário, apenas acesso à rede via HTTP. A campanha, que ocorreu entre 27 de maio e 9 de junho de 2026, afetou principalmente universidades, com 68% das organizações comprometidas pertencendo ao setor de educação superior. O ataque foi possível devido à exposição do componente de gerenciamento de ambiente do PeopleSoft, que permite que os atacantes acessem e controlem servidores vulneráveis. A Oracle publicou um aviso sobre a falha apenas em 10 de junho, deixando a vulnerabilidade como um zero-day durante o período de exploração. A Mandiant, que rastreia o grupo como UNC6240, notificou mais de 100 organizações sobre a vulnerabilidade, com a Universidade de Nottingham sendo uma das primeiras vítimas confirmadas, resultando no vazamento de dados de aproximadamente 455.000 endereços de e-mail. As recomendações incluem desativar o serviço de gerenciamento de ambiente e restringir o acesso externo aos componentes vulneráveis.

Pesquisador revela bypass do BitLocker no Windows com GreatXML

O pesquisador de segurança conhecido como Chaotic Eclipse divulgou uma nova vulnerabilidade que permite contornar a proteção do BitLocker no Windows, chamada GreatXML. A descoberta foi feita acidentalmente em apenas quatro horas e revela que usuários que utilizaram a função de varredura offline do Windows Defender estão automaticamente vulneráveis a esse tipo de ataque. O exploit funciona ao copiar arquivos XML específicos para a partição de recuperação e reiniciar o sistema no Ambiente de Recuperação do Windows (WinRE). Se os passos forem seguidos corretamente, o atacante pode obter acesso irrestrito ao volume protegido pelo BitLocker. Essa vulnerabilidade é a segunda do tipo divulgada por Chaotic Eclipse, que já havia lançado anteriormente o YellowKey, e surge em um momento em que a Microsoft lançou patches para outras falhas críticas em seu software de segurança. A situação destaca a importância de manter sistemas atualizados e a necessidade de vigilância constante contra novas ameaças.

Vulnerabilidade crítica no Langflow permite exploração de servidores

A vulnerabilidade CVE-2026-5027, classificada como de alta severidade, está sendo ativamente explorada por atacantes na plataforma de desenvolvimento de IA Langflow. Essa falha de path traversal na funcionalidade de upload de arquivos permite que invasores escrevam arquivos em locais arbitrários do sistema de arquivos, utilizando sequências de travessia de caminho (’../’). O problema foi identificado pela Tenable no início de 2026 e divulgado publicamente em 27 de março, após a equipe do Langflow não ter respondido a um relatório inicial. A exploração é facilitada pelo fato de que o Langflow permite login automático não autenticado por padrão, tornando a vulnerabilidade acessível sem a necessidade de credenciais. Pesquisas indicam que cerca de 7.000 instâncias do Langflow estão expostas publicamente, embora esses dados possam incluir resultados de varreduras históricas. A recomendação é que os usuários atualizem para a versão mais recente, 1.10.0, que corrige a falha. A situação é preocupante, especialmente considerando que outras vulnerabilidades no Langflow também foram alvo de exploração recentemente.

Microsoft corrige vulnerabilidade crítica no Exchange Server

A Microsoft lançou um patch para uma vulnerabilidade crítica no Exchange Server, identificada como CVE-2026-42897, que está sendo ativamente explorada por atacantes. Essa falha de spoofing, que afeta as versões Exchange Server 2016, 2019 e Subscription Edition, permite que invasores executem código JavaScript arbitrário em ataques de cross-site scripting (XSS) direcionados a usuários do Outlook Web Access. O problema pode ser explorado remotamente, sem a necessidade de privilégios, através do envio de um e-mail especialmente elaborado. Caso o usuário abra o e-mail e certas condições de interação sejam atendidas, o código malicioso pode ser executado no contexto do navegador. A Microsoft recomenda que os administradores apliquem as atualizações de segurança de junho de 2026 o mais rápido possível e mantenham as mitig ações em vigor para proteção adicional. A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) também incluiu essa vulnerabilidade em sua lista de falhas exploradas e ordenou que agências governamentais realizassem os patches em suas instalações até 29 de maio. Nos últimos cinco anos, 20 vulnerabilidades do Exchange Server foram adicionadas à lista da CISA, com 14 delas sendo exploradas por grupos de ransomware.

Novo exploit zero-day do Microsoft Defender afeta Windows 10 e 11

Um pesquisador de segurança, conhecido como Nightmare Eclipse, divulgou um novo exploit zero-day chamado ‘RoguePlanet’, que afeta dispositivos Windows 10 e Windows 11 totalmente atualizados. O exploit permite que atacantes abram um prompt de comando com privilégios de SYSTEM por meio de uma vulnerabilidade de condição de corrida no Microsoft Defender. O pesquisador publicou um proof-of-concept em um repositório auto-hospedado após ter suas postagens removidas de plataformas como GitHub e GitLab. O exploit foi testado em versões oficiais e Canary do Windows 11, bem como em sistemas Windows 10 com as atualizações de segurança de junho de 2026 instaladas. A empresa de cibersegurança ThreatLocker confirmou a viabilidade do exploit em seus testes, destacando que organizações que utilizam listas de permissões de aplicativos podem prevenir a execução do exploit. O pesquisador também mencionou que a vulnerabilidade foi inicialmente desenvolvida para execução remota de código, mas que mudanças silenciosas na proteção do Defender limitaram essa capacidade. A disputa entre Nightmare Eclipse e a Microsoft sobre práticas de divulgação de vulnerabilidades continua, com o pesquisador tendo liberado outros exploits zero-day nos últimos meses.

Pesquisador revela exploit zero-day no Microsoft Defender

Um pesquisador de segurança, conhecido como Chaotic Eclipse, divulgou um exploit de prova de conceito (PoC) para uma vulnerabilidade zero-day no Microsoft Defender, chamada RoguePlanet. O exploit é uma condição de corrida, resultando em acesso com privilégios de sistema, permitindo que atacantes executem código arbitrário. Testado em máquinas com Windows 10 e 11, o exploit mostrou uma taxa de sucesso de 100% em alguns dispositivos, mas não funciona em instâncias do Windows Server. O pesquisador expressou frustração com a forma como a Microsoft lidou com a divulgação de vulnerabilidades, alegando falta de comunicação e revogação de acesso ao Microsoft Security Response Center (MSRC). A Microsoft, por sua vez, condenou as divulgações públicas, afirmando que colocam os clientes em risco. Este exploit é parte de uma série de falhas descobertas por Chaotic Eclipse, que incluem BlueHammer e UnDefend. A situação gerou um conflito público entre o pesquisador e a Microsoft, levando à remoção de suas contas no GitHub e GitLab. A vulnerabilidade representa um risco significativo, especialmente considerando que já foi explorada ativamente.

ServiceNow alerta sobre falha de segurança em instâncias de clientes

A ServiceNow divulgou um alerta sobre um incidente de segurança em que atores desconhecidos exploraram uma vulnerabilidade para obter acesso não autorizado a instâncias vulneráveis. Em 5 de junho de 2026, a empresa aplicou uma atualização de segurança em suas instâncias hospedadas, visando um problema que poderia permitir que um usuário não autenticado, em certas circunstâncias, tivesse acesso maior do que o pretendido. A atualização altera a configuração de um endpoint para restringir esse acesso apenas a usuários autenticados. Até o momento, a falha de segurança não possui um identificador CVE. A ServiceNow detectou atividades anômalas relacionadas a essa questão e observou consultas bem-sucedidas em tabelas de instâncias de um subconjunto de clientes, que já foram notificados. A vulnerabilidade afeta clientes na plataforma Australia ou aqueles que realizaram certas alterações de configuração em versões anteriores. Um usuário no Reddit alegou que a equipe de segurança da ServiceNow havia reportado a vulnerabilidade internamente desde 7 de abril de 2026, mas a empresa a classificou como não urgente até então. A situação continua em desenvolvimento, e mais detalhes podem surgir.

ServiceNow alerta sobre incidente de segurança em API vulnerável

A ServiceNow emitiu um alerta sobre um incidente de segurança após a exploração de uma falha de acesso não autenticado em um endpoint de API vulnerável, permitindo que atacantes consultassem dados de instâncias de clientes. A empresa notificou discretamente os clientes afetados por meio de um boletim de suporte e casos de suporte direto, após detectar ‘atividade anômala’ relacionada ao problema. O boletim, acessível apenas através do portal de suporte ao cliente da ServiceNow, informa que uma atualização de segurança foi aplicada em 5 de junho de 2026, restringindo o acesso ao endpoint da API apenas a usuários autenticados. Embora a ServiceNow não tenha revelado quais dados foram acessados, as instâncias geralmente armazenam informações sensíveis, como registros de funcionários e documentação interna. A falha parece estar relacionada a um endpoint REST configurado incorretamente, permitindo solicitações não autenticadas. A empresa aconselha os administradores a revisar os logs para identificar solicitações suspeitas e a proteger informações sensíveis. O incidente afeta principalmente clientes na versão da plataforma Australia ou aqueles que realizaram alterações de configuração em versões anteriores.

Veeam lança patches de segurança para falha crítica em software de backup

A Veeam, empresa especializada em soluções de backup e recuperação, anunciou a liberação de patches de segurança para corrigir uma vulnerabilidade crítica em seu software Backup & Replication, identificada como CVE-2026-44963. Essa falha, que possui uma pontuação CVSS de 9.4, permite a execução remota de código (RCE) por um usuário autenticado no domínio. A vulnerabilidade afeta a versão 12.3.2.4465 e todas as versões anteriores da linha 12, mas não impacta as versões 13.x, que passaram por mudanças arquitetônicas. A correção foi implementada na versão 12.3.2.4854. Em março de 2026, a Veeam já havia resolvido outras vulnerabilidades críticas que poderiam ser exploradas para RCE, destacando a importância de manter o software atualizado, especialmente em um cenário onde grupos de ransomware têm se aproveitado de falhas conhecidas. Os usuários são fortemente aconselhados a atualizar para a versão mais recente para garantir a segurança de seus dados.

Veeam lança atualizações de segurança para falha crítica em backup

A Veeam lançou atualizações de segurança para corrigir uma vulnerabilidade crítica em seu software Backup & Replication, que pode permitir a execução remota de código (RCE) em servidores de backup que estão conectados a um domínio. A falha, identificada como CVE-2026-44963, afeta a versão 12.3.2.4465 e todas as versões anteriores da versão 12, sendo corrigida na versão 12.3.2.4854. Embora qualquer usuário de domínio com privilégios baixos possa explorar essa vulnerabilidade, ela impacta apenas as instalações do Veeam que estão unidas a um domínio, o que contraria as melhores práticas recomendadas pela empresa. Apesar de não haver relatos de exploração ativa até o momento, a Veeam alertou que atacantes costumam desenvolver exploits assim que os patches são divulgados, o que torna essencial que todos os clientes atualizem seus sistemas imediatamente. A empresa também destacou que seus servidores de backup são frequentemente alvos de ataques de ransomware, que visam roubar dados sensíveis e dificultar a recuperação ao deletar backups. Com mais de 550 mil clientes, incluindo 82% das empresas da Fortune 500, a Veeam é uma tecnologia amplamente utilizada, o que aumenta a relevância da correção dessa vulnerabilidade.

CISA ordena proteção contra vulnerabilidade crítica em VPNs da Check Point

A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) emitiu uma ordem para que agências governamentais dos EUA protejam suas implementações de VPN de Acesso Remoto e Acesso Móvel da Check Point contra uma vulnerabilidade crítica, identificada como CVE-2026-50751. Essa falha de segurança permite que atacantes remotos não autenticados contornem a autenticação e estabeleçam conexões VPN em dispositivos afetados, especialmente aqueles que utilizam o protocolo de troca de chaves IKEv1, que já está obsoleto. A Check Point lançou atualizações de segurança para corrigir essa vulnerabilidade, que foi explorada em ataques que começaram em 7 de maio e aumentaram durante o fim de semana. Embora os ataques tenham afetado apenas algumas dezenas de organizações globalmente, a Check Point associou um dos incidentes ao grupo de ransomware Qilin, que já comprometeu mais de 400 vítimas desde sua aparição em agosto de 2022. A CISA incluiu a CVE-2026-50751 em seu catálogo de Vulnerabilidades Conhecidas e Explotadas, exigindo que as agências federais implementem as correções até 11 de junho. A agência também recomendou que equipes de segurança, incluindo as do setor privado, adotem as atualizações de segurança imediatamente.

Google corrige vulnerabilidade crítica do Chrome explorada na web

O Google lançou atualizações de emergência para corrigir uma vulnerabilidade zero-day no Chrome, identificada como CVE-2026-11645, que estava sendo explorada ativamente. Essa é a quinta falha desse tipo corrigida pela empresa em 2023. A vulnerabilidade, que afeta o motor JavaScript V8 do Chrome, permite que atacantes remotos executem código arbitrário através de páginas HTML manipuladas, comprometendo a segurança do navegador. A atualização já está disponível para usuários de Windows, Mac e Linux, embora o Google tenha alertado que a distribuição completa pode levar dias ou semanas. Além disso, a empresa está ciente de outras vulnerabilidades zero-day, como a CVE-2024-0519, mas não forneceu detalhes adicionais sobre ataques relacionados. Desde o início do ano, o Google já corrigiu outras quatro falhas críticas, destacando a necessidade de vigilância constante em relação à segurança do navegador. Os usuários são incentivados a atualizar manualmente ou confiar na atualização automática do Chrome para garantir a proteção contra essas ameaças.

CISA alerta sobre vulnerabilidade crítica no BerriAI LiteLLM

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma vulnerabilidade de alta severidade no BerriAI LiteLLM em seu catálogo de Vulnerabilidades Conhecidas (KEV), devido a evidências de exploração ativa. A falha, identificada como CVE-2026-42271, possui uma pontuação CVSS de 8.7 e permite que usuários autenticados executem comandos arbitrários no host. A vulnerabilidade afeta versões específicas do pacote Python LiteLLM, onde dois endpoints de teste aceitam configurações completas do servidor, possibilitando a execução de comandos como subprocessos no host proxy. Os mantenedores do LiteLLM informaram que a segurança dos endpoints dependia apenas de uma chave de API válida, permitindo que qualquer usuário autenticado, incluindo aqueles com privilégios elevados, executasse comandos arbitrários. Para mitigar a falha, foi lançada uma atualização (versão 1.83.7) que exige o papel PROXY_ADMIN para acessar os endpoints. Além disso, uma cadeia de exploração foi identificada, combinando essa vulnerabilidade com outra (CVE-2026-48710), resultando em uma pontuação CVSS crítica de 10.0, permitindo a execução remota de código sem autenticação. Os usuários são aconselhados a atualizar imediatamente suas versões do LiteLLM e Starlette, além de implementar medidas de mitigação se a atualização não for viável.

Gogs corrige falha crítica que permite acesso a repositórios privados

A plataforma Gogs, uma alternativa ao GitHub Enterprise, corrigiu uma vulnerabilidade crítica de injeção de argumentos que poderia permitir que atacantes autenticados acessassem repositórios, incluindo os privados. A falha, que ainda não possui um ID CVE, afeta todas as versões do Gogs até a 0.14.2 e 0.15.0+dev. De acordo com o pesquisador de segurança Jonah Burgess, a configuração padrão do Gogs, que permite registro aberto de usuários e sem limite na criação de repositórios, facilita a exploração da vulnerabilidade. Um atacante autenticado poderia criar uma conta, um repositório e ativar a mesclagem rebase, permitindo a execução de um ataque sem interação de outros usuários. A Gogs lançou a versão 0.14.3 em 7 de junho para corrigir a falha e recomenda que todos os usuários atualizem imediatamente. Para aqueles que não podem aplicar o patch, a Rapid7 sugere medidas de mitigação, como restringir o registro de usuários e a criação de repositórios. A falha é semelhante a outras já corrigidas pela equipe de segurança do Gogs, mas afeta um caminho de código diferente que não havia sido abordado anteriormente.

CISA alerta sobre vulnerabilidade crítica no SolarWinds Serv-U

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma falha de segurança de alta gravidade no software de servidor de arquivos multi-protocolo SolarWinds Serv-U em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). A vulnerabilidade, identificada como CVE-2026-28318, possui uma pontuação CVSS de 7.5 e é classificada como um bug de negação de serviço (DoS), que pode causar a queda do serviço sob certas condições. Segundo a SolarWinds, a falha é suscetível a requisições POST especialmente elaboradas que podem derrubar o serviço sem necessidade de autenticação, utilizando o cabeçalho Content-Encoding: deflate. A empresa já lançou uma correção na versão 15.5.4 HF1 do Serv-U e recomenda que os usuários limitem o acesso a endereços conhecidos e bloqueiem requisições que contenham “content-encoding”. A CISA ordenou que as agências do governo federal dos EUA resolvam a falha até 19 de junho de 2026. Embora a exploração ativa tenha sido confirmada, não há informações sobre como a vulnerabilidade está sendo utilizada em ataques reais ou quantas instâncias do Serv-U expostas à internet foram comprometidas.

Cisco alerta sobre falha crítica no Catalyst SD-WAN Manager

A Cisco emitiu um alerta sobre uma vulnerabilidade de alta severidade, identificada como CVE-2026-20245, que afeta o Catalyst SD-WAN Manager. Com uma pontuação CVSS de 7.8, essa falha permite que um atacante autenticado execute comandos arbitrários como root, ao enviar um arquivo malicioso para o sistema afetado. A vulnerabilidade é resultado de uma validação insuficiente de entradas fornecidas pelo usuário, o que pode levar a ataques de injeção de comandos e elevação de privilégios. Para explorar essa falha, o atacante precisa ter privilégios de netadmin, o que requer credenciais válidas ou a exploração de outras vulnerabilidades conhecidas, como CVE-2026-20182 e CVE-2026-20127, ambas já exploradas ativamente. A Cisco não possui patches disponíveis para CVE-2026-20245, mas recomenda que os clientes atualizem seu software SD-WAN para corrigir as falhas anteriores. A empresa também alertou que sistemas expostos à internet estão em risco elevado de comprometimento e sugere que os usuários verifiquem logs específicos em busca de indicadores de comprometimento. Essa é a sétima vulnerabilidade crítica identificada na plataforma SD-WAN da Cisco em 2026, destacando a necessidade urgente de atenção e ação por parte das organizações que utilizam essas tecnologias.

CISA alerta sobre exploração de falha crítica no SolarWinds Serv-U

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta sobre a exploração ativa de uma vulnerabilidade crítica no software Serv-U da SolarWinds, que foi recentemente corrigida. A falha, identificada como CVE-2026-28318, permite que atacantes remotos provoquem a queda do serviço sem necessidade de autenticação, utilizando requisições POST especialmente elaboradas. A SolarWinds lançou um patch para corrigir essa vulnerabilidade, mas a CISA observou que a exploração já está ocorrendo na prática, levando a agência a incluir a falha em seu Catálogo de Vulnerabilidades Conhecidas. Administradores que não puderem aplicar a correção imediatamente são aconselhados a restringir o acesso a endereços conhecidos e bloquear requisições POST que contenham “content-encoding”. Atualmente, mais de 12.000 servidores Serv-U estão expostos online, o que representa um risco significativo, especialmente considerando que grupos de cibercrime têm historicamente explorado falhas nesse software para roubar dados sensíveis. A CISA enfatiza a necessidade de que todas as organizações, incluindo o setor privado, tomem medidas para proteger suas redes contra esses ataques.

Cisco alerta sobre vulnerabilidade crítica em SD-WAN Manager

Na última quinta-feira, a Cisco emitiu um alerta sobre uma vulnerabilidade crítica, classificada como zero-day, no Cisco Catalyst SD-WAN Manager, identificada como CVE-2026-20245. Essa falha, que ainda não possui correção, permite a escalada de privilégios para usuários com permissões limitadas, possibilitando a execução de comandos arbitrários como root. A vulnerabilidade afeta todos os tipos de implantação, incluindo soluções on-premises e na nuvem. A Cisco informou que a exploração dessa falha requer que o atacante tenha privilégios de netadmin, o que pode ser obtido através de credenciais válidas ou pela exploração de outras vulnerabilidades conhecidas. A empresa também observou tentativas limitadas de exploração que resultaram em alterações de configuração em dispositivos de borda. Além disso, a Cisco já havia identificado outras falhas críticas em seu SD-WAN Manager, algumas das quais também estão sendo ativamente exploradas. A recomendação é que os administradores verifiquem os logs do sistema para identificar possíveis tentativas de exploração e que abram um chamado com o suporte técnico da Cisco para assistência.

Ameaças cibernéticas em ascensão vulnerabilidades e operações de espionagem

O cenário de cibersegurança continua a apresentar desafios significativos, com a recente divulgação de uma vulnerabilidade crítica no Cisco Unified Communications Manager (CVE-2026-20230), que permite ataques de Server-Side Request Forgery (SSRF) por atacantes remotos não autenticados. A Cisco já lançou patches para mitigar essa falha, que pode permitir a execução de comandos maliciosos no sistema operacional subjacente. Além disso, a Rússia revelou uma operação em larga escala de espionagem, onde serviços de inteligência estrangeiros implantaram spyware em dispositivos móveis de altos oficiais, visando a exfiltração de dados sensíveis.

Vulnerabilidade no Claude Code permite invasão de repositórios no GitHub

Um pesquisador de segurança descobriu uma falha no Claude Code, uma ação do GitHub desenvolvida pela Anthropic, que permitia a um atacante assumir repositórios públicos vulneráveis apenas com a abertura de uma única issue no GitHub. A falha foi reportada em janeiro e corrigida em quatro dias, com a versão segura sendo a claude-code-action v1.0.94. A vulnerabilidade foi classificada com um score de 7.8 no CVSS v4.0 e resultou em um pagamento de recompensa por bugs. O problema estava na verificação de gatilho da ação, que permitia que qualquer ator cujo nome terminasse em [bot] acionasse a ação, assumindo que aplicativos do GitHub são confiáveis. Isso possibilitou que um atacante injetasse comandos maliciosos que poderiam expor variáveis de ambiente e credenciais sensíveis. Além disso, a configuração padrão da ação permitia que usuários sem acesso de escrita a acionassem, aumentando o risco. A situação é crítica, pois um ataque semelhante já resultou na exploração de um token de publicação npm em outro repositório. A recomendação é atualizar para a versão corrigida e auditar fluxos de trabalho que permitam entradas não confiáveis.

Cisco corrige falha crítica no Unified Communications Manager

A Cisco lançou um patch para uma vulnerabilidade crítica no Unified Communications Manager (UCM), identificada como CVE-2026-20230. Essa falha permite que um atacante não autenticado na rede escreva arquivos no sistema, possibilitando a escalada de privilégios até o nível root. O problema é classificado como uma ‘server-side request forgery’ (SSRF), onde requisições HTTP malformadas podem ser utilizadas para comprometer a integridade do sistema. Embora a Cisco não tenha registrado ataques explorando essa vulnerabilidade até o momento, a disponibilidade de um código de prova de conceito (PoC) aumenta a preocupação com possíveis explorações. A falha só se manifesta quando o serviço WebDialer está ativo, o que não é o padrão, mas organizações que o ativaram estão em risco. A correção para a versão 14 do UCM está disponível, enquanto a atualização completa para a versão 15 está prevista para setembro de 2026. A situação é alarmante, considerando que o UCM já foi alvo de outras vulnerabilidades críticas no passado, como a presença de uma conta SSH root hard-coded.

Cisco lança atualizações de segurança para falha crítica no Unified CM

A Cisco divulgou atualizações de segurança para corrigir uma vulnerabilidade crítica no Cisco Unified Communications Manager (Unified CM), que permite que atacantes obtenham privilégios de root. A falha, identificada como CVE-2026-20230, pode ser explorada remotamente por meio de ataques de Server-Side Request Forgery (SSRF) de baixa complexidade, sem a necessidade de privilégios. Um atacante pode enviar uma solicitação HTTP manipulada para um dispositivo afetado, possibilitando a escrita de arquivos no sistema operacional subjacente, o que pode ser usado para elevar privilégios a root.

Vulnerabilidade em aplicativos Android do Microsoft 365 expõe tokens de conta

Uma falha de segurança descoberta em vários aplicativos Android do Microsoft 365, chamada de FlagLeft, permitiu que aplicativos não confiáveis no mesmo dispositivo solicitassem tokens de conta de usuários autenticados. Isso significa que um aplicativo malicioso poderia acessar e-mails, arquivos, calendários e enviar mensagens em nome do usuário sem necessidade de senha ou autorização. A falha foi identificada por pesquisadores da Enclave e afetou aplicativos amplamente utilizados, como Word, PowerPoint, Excel, Microsoft 365 Copilot, Loop e OneNote. A vulnerabilidade foi corrigida pela Microsoft, que lançou atualizações para os aplicativos, mas os tokens comprometidos podem permanecer válidos mesmo após a atualização. Portanto, é recomendável que os usuários revoguem os tokens de atualização e façam um novo login. A Microsoft emitiu quatro CVEs relacionados a essa falha, com classificações de severidade variando de 4.4 a 7.7, indicando um risco significativo para os usuários que não atualizarem seus aplicativos. A atualização é essencial para mitigar o risco de exploração dessa vulnerabilidade.

Vulnerabilidade no Google Gemini permite ataques via notificações

Um estudo recente revelou uma vulnerabilidade crítica no assistente de voz Google Gemini, que pode ser explorada através de notificações maliciosas enviadas por aplicativos como WhatsApp, Slack e Instagram. A pesquisa, conduzida pela SafeBreach, demonstrou que um único aviso envenenado poderia permitir que um invasor assumisse o controle do assistente, abrindo janelas conectadas, enviando mensagens falsas em nome de contatos e até mesmo iniciando chamadas de vídeo no Zoom. O ataque, denominado ‘Fake Context Alignment’, utiliza técnicas de injeção de comandos que enganam o assistente ao interpretar notificações hostis como instruções legítimas. Embora o Google tenha corrigido a falha, a vulnerabilidade destaca a necessidade de vigilância contínua em dispositivos Android, onde o Gemini possui acesso a notificações. A pesquisa não encontrou evidências de que a técnica tenha sido utilizada em ataques reais, mas a possibilidade de controle remoto de dispositivos inteligentes e a persistência de informações envenenadas representam riscos significativos para a segurança dos usuários. Os usuários podem mitigar o risco desativando a leitura de notificações pelo assistente, mas a questão da segurança em assistentes de voz continua a ser uma preocupação crescente.

Novo ataque DoS HTTP2 Bomb pode derrubar servidores rapidamente

Um novo ataque de negação de serviço (DoS) conhecido como HTTP/2 Bomb pode ser lançado a partir de uma única máquina, conseguindo derrubar servidores web em questão de segundos. Essa técnica explora configurações padrão do HTTP/2 em servidores amplamente utilizados, como NGINX, Apache, Microsoft IIS, Envoy e Cloudflare Pingora. O ataque combina duas metodologias conhecidas: a amplificação de compressão HPACK e a retenção de recursos ao estilo Slowloris, utilizando o controle de fluxo do HTTP/2. Ao enviar um único byte, um atacante pode forçar o servidor a alocar milhares de bytes de memória, resultando em um consumo extremo de RAM. Por exemplo, um computador doméstico com conexão de 100 Mbps pode tornar um servidor vulnerável inacessível em poucos segundos. Os testes mostraram que o Envoy e o Apache httpd são os mais afetados, consumindo 32 GB de RAM em cerca de 10 e 18 segundos, respectivamente. Embora algumas plataformas já tenham recebido patches, outras, como IIS e Envoy, ainda não têm correções disponíveis. A recomendação é desativar o HTTP/2 onde possível e implementar proxies ou firewalls que limitem o número de cabeçalhos.

Exploração de vulnerabilidade HTTP2 Bomb afeta servidores web populares

Pesquisadores de cibersegurança identificaram uma nova vulnerabilidade chamada HTTP/2 Bomb, que afeta servidores web amplamente utilizados, como NGINX, Apache HTTPD, Microsoft IIS, Envoy e Cloudflare Pingora. Essa falha permite um ataque de negação de serviço (DoS) remoto, explorando a configuração padrão do HTTP/2. A vulnerabilidade foi descoberta pela Calif, que explicou que o ataque combina duas técnicas conhecidas: uma bomba de compressão e uma técnica de manutenção de conexão semelhante ao Slowloris. O ataque visa o HPACK, o esquema de compressão de cabeçalhos do HTTP/2, onde um único byte pode resultar em uma alocação de cabeçalho completa no servidor, repetida milhares de vezes. Isso pode levar a um consumo excessivo de memória do servidor, tornando-o inacessível rapidamente. Para mitigar a vulnerabilidade, recomenda-se que os usuários do NGINX atualizem para a versão 1.29.8 ou desativem o HTTP/2, enquanto os usuários do Apache HTTPD devem atualizar para a versão 2.0.41 ou desativar o HTTP/2. No entanto, não há patches disponíveis para Microsoft IIS, Envoy e Cloudflare Pingora até o momento.

Vulnerabilidade expõe hash NTLMv2 em ferramenta da Microsoft

Pesquisadores em cibersegurança revelaram uma vulnerabilidade não corrigida que pode permitir que atacantes obtenham o hash NTLMv2 de um usuário. O problema, relacionado ao manipulador de URI ‘search:’, é semelhante ao CVE-2026-33829, que afetou a ferramenta Snipping Tool da Microsoft. A vulnerabilidade permite que um invasor induza o usuário a clicar em um link malicioso, que, se aprovado, conecta o computador a um servidor SMB controlado pelo atacante, expondo o hash NTLMv2 do usuário. A Microsoft já havia corrigido uma falha semelhante em abril de 2026, mas optou por não abordar essa nova questão, alegando que apenas casos de severidade ‘Importante’ e ‘Crítico’ são priorizados. Sem uma correção disponível, recomenda-se bloquear o tráfego SMB em hosts desnecessários, aplicar assinatura SMB e desativar o NTLM quando possível. Essa situação representa um risco significativo, pois o hash capturado pode ser utilizado em ataques de retransmissão, permitindo acesso não autorizado a redes.

Vulnerabilidade no VS Code permite roubo de token do GitHub

Pesquisadores de cibersegurança revelaram uma vulnerabilidade crítica no Microsoft Visual Studio Code (VS Code) que permite a um atacante roubar tokens do GitHub com um simples clique. O problema está relacionado ao uso do GitHub.dev, um editor de código leve que opera no navegador, que utiliza um token OAuth para interagir com repositórios do GitHub. A vulnerabilidade permite que extensões maliciosas sejam instaladas sem a necessidade de confirmação do usuário, explorando um mecanismo de passagem de mensagens entre a janela principal do VS Code e as webviews. Isso possibilita a execução de JavaScript malicioso que simula pressionamentos de tecla, permitindo a instalação de uma extensão controlada pelo atacante que extrai o token OAuth e consulta a API do GitHub para acessar repositórios privados. A Microsoft foi notificada sobre a vulnerabilidade em 2 de junho de 2026 e está trabalhando em uma correção, embora tenha esclarecido que o problema não afeta a versão desktop do VS Code.

Vulnerabilidade zero-day no VS Code permite roubo de tokens do GitHub

Um pesquisador de segurança divulgou um código de exploração para uma vulnerabilidade zero-day no Visual Studio Code (VS Code), que permite que atacantes roubem tokens de autenticação do GitHub ao induzir usuários a clicarem em links maliciosos. Essa falha, que ainda não possui um patch oficial, permite que extensões maliciosas sejam instaladas, explorando o sistema de mensagens do webview do VS Code. O pesquisador Ammar Askar explicou que, ao interagir com github.dev, um token OAuth é enviado, permitindo acesso total a todos os repositórios privados do usuário. Para se proteger, os usuários devem limpar cookies e dados do site para github.dev em seus navegadores, o que gerará um aviso ao tentar acessar links potencialmente perigosos. Askar optou pela divulgação pública imediata após experiências negativas com o processo de resposta de segurança da Microsoft, que não reconheceu falhas anteriores. Essa vulnerabilidade se junta a uma série de zero-days divulgados por outro pesquisador anônimo, conhecido como Nightmare Eclipse, que criticou a forma como a Microsoft lida com a divulgação de falhas. A Microsoft ainda não comentou sobre a vulnerabilidade do VS Code.

Vulnerabilidade crítica no plugin Kirki do WordPress permite escalonamento de privilégios

Uma vulnerabilidade crítica de escalonamento de privilégios, identificada como CVE-2026-8206, foi descoberta no plugin Kirki para WordPress, permitindo que hackers assumam qualquer conta de usuário, incluindo as de administradores. A falha, que afeta versões do plugin até a 6.0.6, foi introduzida na versão 6.0.0 e impacta cerca de 40% da base de usuários do plugin, que está ativo em mais de 500 mil sites. A vulnerabilidade se origina da exposição de um endpoint da API REST para redefinição de senhas, onde o plugin aceita um endereço de e-mail arbitrário durante as solicitações de redefinição. Isso permite que atacantes não autenticados gerem links de redefinição de senha para qualquer usuário registrado, enviando-os para e-mails sob seu controle. A empresa de segurança Wordfence bloqueou mais de 222 tentativas de exploração em apenas 24 horas. A correção foi disponibilizada na versão 6.0.7, lançada em 18 de maio de 2026, e é crucial que os administradores de sites atualizem o plugin ou o desativem para evitar comprometimentos. A vulnerabilidade representa um risco significativo, pois, uma vez que um atacante obtenha acesso administrativo, ele pode instalar plugins maliciosos, modificar conteúdos do site e acessar bancos de dados privados.

Falha crítica no Oracle WebLogic Server pode comprometer dados

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma vulnerabilidade de alta severidade no Oracle WebLogic Server em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). Identificada como CVE-2024-21182, essa falha possui um escore CVSS de 7.5 e permite que atacantes não autenticados, com acesso à rede, assumam o controle de servidores vulneráveis. A CISA alertou que ataques bem-sucedidos podem resultar em acesso não autorizado a dados críticos. Embora não haja relatos públicos sobre a exploração ativa dessa vulnerabilidade, falhas anteriores no WebLogic foram frequentemente utilizadas para formar botnets, minerar criptomoedas e implantar ransomware. A Oracle lançou um patch para corrigir essa vulnerabilidade em julho de 2024. Diante da exploração ativa, a CISA recomenda que as agências do governo federal dos EUA apliquem as correções necessárias até 4 de junho de 2026 para proteger suas redes.

CISA ordena proteção contra vulnerabilidade crítica do Oracle WebLogic

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu uma ordem para que agências governamentais reforcem a segurança de seus sistemas contra uma vulnerabilidade crítica no Oracle WebLogic Server, identificada como CVE-2024-21182. Essa falha, que foi corrigida há dois anos, está sendo ativamente explorada em ataques cibernéticos. O Oracle WebLogic Server é um servidor de aplicações Java utilizado em grandes aplicações distribuídas. A vulnerabilidade permite que atacantes não autenticados comprometam o servidor remotamente, podendo resultar em acesso não autorizado a dados críticos. Atualmente, mais de 1.592 servidores WebLogic estão expostos online e vulneráveis a essa falha. A CISA recomendou que, além das agências federais, todas as organizações, incluindo o setor privado, apliquem os patches de segurança o mais rápido possível. A vulnerabilidade é considerada um vetor de ataque comum e representa riscos significativos para a segurança das informações. A CISA também destacou a importância de seguir as orientações do fornecedor e, se necessário, descontinuar o uso do produto até que as correções sejam aplicadas.

Vulnerabilidade crítica do Windows Netlogon está sendo explorada

O Centro de Cibersegurança da Bélgica (CCB) alertou que atacantes estão explorando ativamente uma vulnerabilidade crítica no Windows Netlogon, identificada como CVE-2026-41089. Essa falha, que foi corrigida pela Microsoft em maio de 2026, permite que invasores não privilegiados executem código remotamente em controladores de domínio do Windows. O Netlogon é um serviço essencial que autentica usuários e serviços em redes baseadas em domínio. A vulnerabilidade é classificada com um CVSS de 9.8, indicando seu alto potencial de impacto. O CCB recomendou que administradores de sistemas realizem a atualização imediata de seus servidores vulneráveis. Embora a Microsoft tenha identificado a falha, ainda não há informações detalhadas sobre os ataques em andamento. Além disso, a empresa enfrenta desafios com outras vulnerabilidades zero-day, como a YellowKey e a BlueHammer, que também estão sendo exploradas. O alerta do CCB destaca a urgência de ações corretivas para mitigar riscos de segurança em ambientes corporativos.

Vulnerabilidade crítica em aplicativo VPN expõe redes a ataques

Um artigo recente destaca uma vulnerabilidade crítica de execução remota de código (RCE) em um aplicativo VPN amplamente utilizado, que não foi detectada a tempo por serviços de alerta de vulnerabilidades. Em menos de 24 horas, atacantes exploraram essa falha, obtendo acesso à rede da empresa, o que foi finalmente identificado por ferramentas internas de monitoramento. O tempo é um fator crucial em cibersegurança, com um aumento de 67% nas novas vulnerabilidades entre 2023 e 2025 e uma redução no tempo médio para exploração de 4,2 meses para apenas 1,6 dias. Isso evidencia a necessidade urgente de um serviço de alerta de vulnerabilidades que forneça orientações de remediação imediatas. O SecAlerts, uma plataforma que oferece alertas instantâneos sobre vulnerabilidades, promete ajudar as empresas a se manterem à frente das ameaças, permitindo que respondam rapidamente antes que as falhas sejam exploradas. A ferramenta é acessível e pode ser utilizada por empresas de todos os tamanhos, oferecendo uma linha de defesa robusta contra ameaças cibernéticas.

Vulnerabilidade crítica no WP Maps Pro permite controle total de sites WordPress

Uma vulnerabilidade crítica, identificada como CVE-2026-8732, afeta o plugin WP Maps Pro, utilizado em mais de 15.000 sites WordPress. Este problema de escalonamento de privilégios permite que atacantes não autenticados criem contas de administrador, possibilitando o controle total do site. A falha está relacionada a uma funcionalidade de ‘acesso temporário’ destinada ao suporte técnico, que não possui verificações adequadas de autenticação. A exploração dessa vulnerabilidade foi confirmada, com a Wordfence reportando 2.858 tentativas de ataque em apenas 24 horas. A versão 6.1.1 do plugin já corrige a falha, e é crucial que os proprietários de sites atualizem suas instalações para evitar comprometimentos. A vulnerabilidade possui uma pontuação CVSS de 9.8, indicando seu alto risco. Portanto, a atualização imediata é essencial para garantir a segurança dos sites afetados.