Vulnerabilidade

Uma vulnerabilidade crítica na forma como o Microsoft Teams armazena dados de autenticação expôs organizações a um novo tipo de ataque. Pesquisadores de segurança descobriram que atacantes podem roubar tokens de acesso das instalações do Teams, permitindo-lhes ler conversas privadas, e-mails e documentos confidenciais sem precisar das senhas dos usuários. O ataque é particularmente preocupante, pois uma vez que um invasor ganha acesso inicial ao computador de um funcionário, ele pode extrair tokens de autenticação já armazenados no disco. Esses tokens funcionam como passes permanentes para os serviços da Microsoft, permitindo que os atacantes se façam passar por usuários legítimos e acessem todo o espaço de trabalho digital. O método de ataque se aproveita da forma como o Teams criptografa seus dados de autenticação, onde a chave de criptografia é armazenada em texto simples. Uma vez que os atacantes obtêm um token de acesso roubado, eles podem interagir diretamente com a API do Microsoft Graph, acessando conversas do Teams, lendo e enviando e-mails e navegando em documentos compartilhados. Para mitigar esses riscos, as empresas devem implementar soluções de detecção e resposta em endpoints e educar os funcionários sobre segurança de dispositivos.

Pesquisadores de cibersegurança, Ben R. e Georgi G., da Interrupt Labs, revelaram uma vulnerabilidade crítica no Samsung Galaxy S25 durante o evento Pwn2Own Ireland 2025. A falha, uma vulnerabilidade 0-Day, permite que atacantes ativem remotamente a câmera do dispositivo e rastreiem a localização do usuário sem seu consentimento. O problema foi identificado como uma falha de validação de entrada no software do Galaxy S25, que possibilitou a execução de código arbitrário. Essa vulnerabilidade destaca as lacunas de segurança que ainda existem em smartphones Android de ponta, mesmo após rigorosos testes de qualidade. Os pesquisadores foram recompensados com US$ 50.000 e 5 pontos no Master of Pwn por sua descoberta. A Samsung foi notificada sobre a vulnerabilidade e, embora ainda não tenha emitido um comunicado oficial, é esperado que um patch de segurança seja lançado em breve. Enquanto isso, os usuários devem habilitar atualizações automáticas e evitar aplicativos não confiáveis, uma vez que essa falha pode ser explorada para comprometer dados pessoais e privacidade.

A Microsoft implementou uma atualização de segurança no Windows File Explorer a partir de 14 de outubro de 2025, que desativa automaticamente o painel de pré-visualização para arquivos baixados. Essa medida visa mitigar uma vulnerabilidade que poderia expor hashes NTLM, credenciais sensíveis usadas na autenticação em redes. O vetor de ataque envolve a pré-visualização de arquivos maliciosos que incorporam elementos HTML, permitindo que solicitações de rede não autorizadas sejam disparadas em segundo plano. Com a nova atualização, arquivos de fontes não confiáveis são marcados com o atributo ‘Mark of the Web’, impedindo a pré-visualização e exibindo um aviso ao usuário. Embora a maioria dos usuários não sinta um impacto significativo, a proteção é ativada automaticamente, priorizando a segurança sem comprometer a usabilidade. Para arquivos confiáveis, os usuários podem facilmente reverter a proteção. Essa mudança é especialmente benéfica para ambientes corporativos, onde a segurança é crucial, reduzindo a superfície de ataque e promovendo hábitos de segurança mais seguros. A atualização é um passo importante na luta contra o roubo de credenciais, mantendo os sistemas Windows mais resilientes frente a ameaças cibernéticas.

A Atlassian revelou uma vulnerabilidade crítica de travessia de caminho no Jira Software Data Center e Server, identificada como CVE-2025-22167. Essa falha permite que atacantes autenticados modifiquem arquivos acessíveis ao processo da Máquina Virtual Java (JVM) do Jira, apresentando um risco significativo para organizações que utilizam essa plataforma para gerenciamento de projetos e rastreamento de problemas. Com uma pontuação CVSS de 8.7, a vulnerabilidade pode comprometer a integridade do sistema, permitindo que arquivos críticos, como arquivos de configuração e dados de aplicação, sejam alterados. A falha é especialmente preocupante em ambientes multi-inquilinos, onde várias organizações compartilham a mesma instância do Jira. A Atlassian já lançou patches para corrigir a vulnerabilidade, e as organizações afetadas devem priorizar a atualização imediata para as versões mais recentes. As versões vulneráveis incluem a 9.12.0 e outras variantes, com recomendações específicas de atualização para cada ramo de versão. A transparência da Atlassian em divulgar essa falha oferece às organizações tempo suficiente para aplicar as correções antes que a exploração ocorra.

Uma vulnerabilidade crítica, identificada como CVE-2025-54236 e chamada de SessionReaper, está sendo explorada ativamente por hackers em plataformas de comércio eletrônico como Adobe Commerce e Magento. Essa falha permite a execução remota de código e a tomada de controle de contas de clientes em milhares de lojas online. Detectada pela primeira vez em 22 de outubro de 2025, a vulnerabilidade combina uma sessão maliciosa com um bug de desserialização na API REST do Magento, permitindo que atacantes façam upload de backdoors PHP disfarçados. Apesar de um patch de emergência ter sido lançado pela Adobe em 9 de setembro, a adoção do mesmo foi lenta, com menos de 40% das lojas afetadas aplicando a correção até a data da descoberta. A situação é agravada pelo fato de que a Adobe inicialmente minimizou a gravidade da vulnerabilidade em seu aviso oficial. Com 62% das lojas ainda sem correção, a ameaça continua a evoluir, exigindo ações imediatas por parte dos administradores de sistemas para evitar compromissos.

Pesquisadores de segurança da Brave descobriram uma vulnerabilidade crítica no navegador Comet da Perplexity, que permite a injeção de comandos maliciosos por meio de texto oculto em capturas de tela. Essa falha explora a esteganografia para esconder instruções perigosas em conteúdos da web. Ao tirar uma captura de tela de uma página comprometida, o navegador utiliza tecnologia de reconhecimento óptico de caracteres (OCR) para extrair todo o texto, incluindo os comandos maliciosos ocultos. O problema crítico é que essas instruções são enviadas diretamente para o sistema de IA sem qualquer filtragem, permitindo que atacantes manipulem o navegador para realizar ações não autorizadas. As consequências para os usuários são graves, especialmente para aqueles que mantêm sessões ativas em contas sensíveis, pois um ataque bem-sucedido pode resultar em acesso não autorizado a contas bancárias, roubo de e-mails e comprometimento de sistemas corporativos. Os pesquisadores da Brave relataram a vulnerabilidade à Perplexity em 1º de outubro de 2025, dando tempo para a empresa corrigir o problema antes da divulgação pública. Até que medidas de segurança adequadas sejam implementadas, os especialistas recomendam que os usuários evitem manter contas sensíveis logadas ao usar recursos de navegação do Comet.

Pesquisadores de segurança da GitGuardian identificaram uma vulnerabilidade crítica de travessia de caminho na plataforma Smithery.ai, que hospeda servidores do Modelo de Protocolo de Contexto (MCP). Essa falha expôs mais de 3.000 servidores de IA e comprometeu milhares de chaves de API. A vulnerabilidade foi causada por um erro de configuração no processo de construção do servidor da Smithery, permitindo que atacantes especificassem locais arbitrários do sistema de arquivos como contexto de construção do Docker. Ao explorar essa falha, os pesquisadores conseguiram acessar arquivos sensíveis, incluindo credenciais de autenticação do Docker, que estavam severamente sobreprivilegiadas. Isso possibilitou a execução de código arbitrário em servidores comprometidos e a captura de tráfego de rede, expondo chaves de API e tokens de autenticação de milhares de clientes. A vulnerabilidade representa um cenário clássico de ataque à cadeia de suprimentos, onde a exploração de uma única plataforma confiável pode resultar em violações que afetam diversas organizações. A Smithery respondeu rapidamente à divulgação da vulnerabilidade, implementando correções em menos de 48 horas, sem evidências de exploração antes do patch.

Pesquisas de segurança da Trail of Bits revelam que agentes de inteligência artificial modernos estão vulneráveis a ataques de injeção de argumentos, permitindo a execução remota de código (RCE). Essa vulnerabilidade explora uma falha arquitetônica fundamental na forma como esses agentes lidam com a execução de comandos do sistema. Ao utilizar utilitários de linha de comando como find, grep e git, os sistemas se tornam mais rápidos, mas também expõem uma superfície de ataque perigosa quando a entrada do usuário influencia os parâmetros dos comandos.

Uma vulnerabilidade crítica, conhecida como TARmageddon (CVE-2025-62518), foi descoberta na biblioteca async-tar do Rust e em seus forks, como o tokio-tar. Com uma classificação de severidade de 8.1 (alta), essa falha permite que atacantes executem código remotamente ao sobrescrever arquivos de configuração e sequestrar backends de construção através de arquivos TAR aninhados cuidadosamente elaborados. A equipe de segurança Edera identificou que a vulnerabilidade afeta projetos importantes nos ecossistemas Python e de desenvolvimento web, incluindo o gerenciador de pacotes uv da Astral e o testcontainers. O tokio-tar, que já acumulou mais de 5 milhões de downloads, representa um grande risco para seus usuários, especialmente porque parece estar descontinuado e não recebe mais manutenção. A falha se origina de um erro de desincronização na forma como o parser lida com arquivos TAR aninhados, permitindo que um atacante crie um arquivo TAR que contenha arquivos legítimos na camada externa e cargas maliciosas ocultas na interna. A Edera lançou patches que priorizam cabeçalhos PAX sobre cabeçalhos ustar e recomendou que os desenvolvedores atualizem para versões corrigidas. Para organizações que não podem aplicar patches imediatamente, alternativas incluem a migração para a crate tar padrão ou a implementação de mitigação em tempo de execução.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma falha de segurança crítica no Motex Lanscope Endpoint Manager em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). A vulnerabilidade, identificada como CVE-2025-61932, possui uma pontuação CVSS v4 de 9.3 e afeta versões locais do Lanscope, especificamente o programa Cliente e o Agente de Detecção. Essa falha permite que atacantes executem código arbitrário em sistemas vulneráveis ao enviar pacotes especialmente elaborados. A CISA recomenda que as agências do Federal Civilian Executive Branch (FCEB) remedeiem essa vulnerabilidade até 12 de novembro de 2025, a fim de proteger suas redes. Embora ainda não se saiba como a vulnerabilidade está sendo explorada em ataques reais, o portal japonês Japan Vulnerability Notes (JVN) informou que um cliente da Motex recebeu um pacote malicioso suspeito de visar essa falha. As versões afetadas são as 9.4.7.1 e anteriores, enquanto as versões corrigidas incluem a 9.4.6.3.

Cibercriminosos têm explorado uma vulnerabilidade no ToolShell do Microsoft SharePoint, identificada como CVE-2025-53770, para invadir instituições governamentais em diversos continentes. Apesar de um patch ter sido lançado em julho de 2025 para corrigir a falha, ataques foram registrados em agências de telecomunicações no Oriente Médio, departamentos governamentais na África, agências estatais na América do Sul e uma universidade nos Estados Unidos. A vulnerabilidade permitia burlar a autenticação e executar códigos remotamente, sendo utilizada em conjunto com outras falhas, como CVE-2025-49704 e CVE-2025-49706, por grupos hackers chineses. Esses grupos, como Linen Typhoon e Violet Typhoon, têm utilizado malwares zero-day para realizar suas invasões. Além disso, técnicas de evasão de DLL foram empregadas para entregar malwares em servidores SQL e Apache HTTP. Os ataques visam roubar credenciais e garantir acesso persistente aos sistemas das vítimas, sugerindo um interesse em espionagem. A situação destaca a necessidade de vigilância contínua e atualização de sistemas para mitigar riscos de segurança.

Uma investigação realizada pelo Varonis Threat Labs revelou uma vulnerabilidade crítica que permitiu a hackers criar aplicativos maliciosos no Azure utilizando nomes reservados da Microsoft. Ao contornar as salvaguardas, os atacantes conseguiram registrar nomes enganosos, como ‘Azure Portal’, induzindo os usuários a conceder permissões perigosas. Essa falha possibilitou que cibercriminosos obtivessem acesso inicial, mantivessem persistência e escalassem privilégios em ambientes Microsoft 365, expondo organizações a riscos de perda de dados e danos à reputação.

A Oracle revelou duas vulnerabilidades críticas em seu produto Marketing do E-Business Suite, identificadas como CVE-2025-53072 e CVE-2025-62481. Ambas as falhas afetam o componente de Administração de Marketing e possuem uma pontuação CVSS de 9.8, indicando um alto nível de severidade. Essas vulnerabilidades permitem que atacantes remotos não autenticados obtenham controle total sobre o módulo de Marketing da Oracle, comprometendo a confidencialidade, integridade e disponibilidade dos dados. A exploração dessas falhas não requer privilégios especiais ou interação do usuário, tornando-as particularmente perigosas. As versões afetadas vão de 12.2.3 a 12.2.14, e a Oracle recomenda a aplicação imediata de patches de segurança disponíveis. Além disso, especialistas sugerem a segmentação de rede e a implementação de firewalls de aplicação web para mitigar riscos. O aumento de ataques à cadeia de suprimentos, como os recentes incidentes com Cisco e Microsoft, destaca a urgência em proteger sistemas que gerenciam dados sensíveis de clientes, especialmente em setores como varejo e finanças, onde a conformidade com regulamentos como LGPD é crucial.

Recentemente, grupos de ameaças ligados à China exploraram a vulnerabilidade ToolShell no Microsoft SharePoint para invadir uma empresa de telecomunicações no Oriente Médio, após a falha ter sido divulgada e corrigida em julho de 2025. Além da telecomunicação, alvos incluíram departamentos governamentais em um país africano, agências governamentais na América do Sul, uma universidade nos EUA e uma empresa de finanças na Europa. A vulnerabilidade CVE-2025-53770 permitiu a execução remota de código e foi utilizada por diversos grupos, como Linen Typhoon e Violet Typhoon, além do Salt Typhoon, que implementaram ferramentas como Zingdoor e ShadowPad. Os ataques também envolveram a exploração de servidores SQL e Apache, utilizando técnicas de side-loading de DLLs. A análise da Symantec indica que os atacantes estavam interessados em roubar credenciais e estabelecer acesso persistente às redes das vítimas, sugerindo um objetivo de espionagem. A situação destaca a necessidade de vigilância contínua e atualização de sistemas para mitigar riscos semelhantes.

O Google lançou uma atualização de segurança urgente para o navegador Chrome, visando uma vulnerabilidade de alta severidade no motor JavaScript V8, que poderia permitir que atacantes executassem código remotamente em sistemas afetados. A falha, identificada como CVE-2025-12036, foi corrigida nas versões 141.0.7390.122/.123 para Windows e Mac, e na versão 141.0.7390.122 para Linux. Descoberta pelo projeto Big Sleep do Google em 15 de outubro de 2025, a vulnerabilidade foi classificada como uma ‘implementação inadequada’ no motor V8, que é responsável pela execução de código JavaScript em navegadores. A rápida resposta do Google resultou na liberação do patch apenas seis dias após a descoberta, e os usuários são fortemente aconselhados a verificar suas versões do Chrome e garantir que a atualização mais recente esteja instalada. O Google utiliza ferramentas sofisticadas para detectar vulnerabilidades, e a informação detalhada sobre a falha permanece restrita até que a maioria dos usuários tenha atualizado seus navegadores, evitando que atores maliciosos explorem a vulnerabilidade antes que os usuários possam se proteger.

Uma vulnerabilidade crítica de execução remota de código foi identificada na edição on-premise do LANSCOPE Endpoint Manager, permitindo que atacantes não autenticados executem comandos arbitrários com altos privilégios nos sistemas afetados. A falha, rastreada como CVE-2025-61932, afeta tanto o Programa Cliente (MR) quanto o Agente de Detecção (DA) nas versões 9.4.7.1 e anteriores. Pesquisadores de segurança descobriram que pacotes de rede especialmente elaborados podem acionar um erro severo no cliente MR e no agente DA, contornando todos os requisitos de interação do usuário, como cliques ou abertura de e-mails. Tentativas de exploração no mundo real já foram observadas, tornando a aplicação de patches urgente. A edição on-premise é a única afetada, enquanto a edição em nuvem permanece segura. Um patch já está disponível no portal de suporte oficial da LANSCOPE, e é crucial que todas as máquinas que executam a edição on-premise sejam atualizadas imediatamente para mitigar o risco de exploração.

O Apache Syncope revelou uma vulnerabilidade crítica, identificada como CVE-2025-57738, que permite que administradores autenticados executem código arbitrário em sistemas afetados. Essa falha afeta todas as versões do Apache Syncope 3.x anteriores à 3.0.14 e 4.x anteriores à 4.0.2, expondo as organizações a riscos significativos de comprometimento do sistema por meio da injeção de código Groovy malicioso.

A vulnerabilidade reside na implementação personalizada do Syncope, que permite que administradores estendam a funcionalidade central ao enviar código Java ou Groovy. Enquanto as extensões Java requerem arquivos JAR pré-compilados, os scripts Groovy podem ser enviados como código-fonte simples e compilados em tempo de execução, sem restrições de segurança. Isso significa que qualquer administrador com permissão para criar ou atualizar implementações Groovy pode injetar scripts que o servidor executa com privilégios totais.

Uma nova vulnerabilidade no Microsoft 365 Copilot foi descoberta, permitindo que atacantes enganem o assistente de IA para acessar e vazar dados sensíveis de e-mails corporativos. Pesquisadores identificaram que, ao ocultar instruções secretas dentro de um documento do Office, os atacantes podem forçar o Copilot a buscar e codificar e-mails recentes, empacotando-os em um diagrama malicioso gerado pelo Mermaid. Quando um usuário clica no diagrama, os e-mails codificados são enviados para um servidor controlado pelo atacante.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta sobre uma grave vulnerabilidade no Microsoft Windows Server Message Block (SMB), identificada como CVE-2025-33073. Essa falha de controle de acesso inadequado permite que atacantes escalem privilégios em sistemas comprometidos, possibilitando o controle total sobre eles. A vulnerabilidade está sendo ativamente explorada em ataques reais, o que representa uma ameaça significativa para redes federais e infraestrutura crítica. A CISA incluiu essa vulnerabilidade em seu catálogo de Vulnerabilidades Conhecidas e Exploited, exigindo que agências federais a corrijam até 10 de novembro de 2025. Organizações que utilizam sistemas Windows são aconselhadas a revisar as orientações de atualização de segurança da Microsoft e aplicar patches imediatamente. Embora não haja confirmação de que essa vulnerabilidade esteja ligada a ataques de ransomware, falhas de escalonamento de privilégios são frequentemente utilizadas por grupos de ransomware. A rápida ação das organizações é crucial para proteger seus sistemas contra esses ataques, destacando a importância de práticas eficazes de gerenciamento de vulnerabilidades.

Pesquisadores da Universidade da Califórnia revelaram uma vulnerabilidade intrigante que transforma mouses ópticos em dispositivos de escuta. Denominada ‘Mic-E-Mouse’, essa prova de conceito demonstra que mouses podem captar vibrações sonoras mínimas da superfície onde estão posicionados. Utilizando softwares variados, incluindo programas sem privilégios e extensões de navegador, é possível converter essas vibrações em áudio compreensível. O processo é realizado através de técnicas avançadas de filtragem estatística e redes neurais, permitindo que palavras faladas sejam extraídas com clareza.

Uma vulnerabilidade crítica nos dispositivos de segurança de rede Firebox da WatchGuard pode permitir que um atacante remoto e não autenticado execute código arbitrário, comprometendo redes corporativas. A falha, identificada como CVE-2025-9242, está relacionada ao gerenciamento de conexões VPN IKEv2 e recebeu uma pontuação de severidade crítica de 9.3 em 10. Essa vulnerabilidade é um problema de escrita fora dos limites dentro do processo iked do sistema operacional Fireware, que gerencia trocas de chaves IKEv2 para VPNs. Os atacantes podem explorar essa falha enviando um pacote especialmente elaborado a um dispositivo afetado, provocando um estouro de buffer baseado em pilha. A WatchGuard recomenda que os clientes atualizem seus sistemas imediatamente, com versões corrigidas já disponíveis. A vulnerabilidade afeta uma ampla gama de modelos Firebox, incluindo dispositivos de pequeno escritório e unidades empresariais maiores, com um potencial de ataque significativo, dado que a empresa protege mais de 250.000 negócios e 10 milhões de endpoints. Administradores são aconselhados a priorizar a aplicação de patches para evitar possíveis explorações, especialmente por grupos de ransomware.

Pesquisadores de cibersegurança revelaram uma vulnerabilidade crítica no WatchGuard Fireware, identificada como CVE-2025-9242, com uma pontuação CVSS de 9.3. Essa falha, que afeta versões do Fireware OS de 11.10.2 até 12.11.3 e 2025.1, permite que atacantes não autenticados executem código arbitrário. A vulnerabilidade está relacionada ao processo ‘ike2_ProcessPayload_CERT’, que não verifica corretamente o comprimento do buffer de identificação do cliente, possibilitando um estouro de buffer durante a fase de autenticação do IKE_SA_AUTH, essencial para a criação de um túnel VPN. Embora a validação do certificado ocorra, ela acontece após a execução do código vulnerável, permitindo que o ataque seja realizado antes da autenticação. A WatchGuard já lançou patches para corrigir a falha em várias versões do Fireware. A análise da WatchTowr Labs destaca que essa vulnerabilidade é atraente para grupos de ransomware, pois permite a execução de código em um serviço exposto à internet. A falta de um shell interativo não impede que um invasor obtenha controle sobre o sistema, podendo escalar privilégios e acessar um shell Linux completo. Dada a gravidade da falha, é crucial que as organizações que utilizam o Fireware atualizem seus sistemas imediatamente.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou uma vulnerabilidade crítica do Microsoft Windows ao seu catálogo de Vulnerabilidades Conhecidas e Exploited (KEV), alertando que atacantes estão explorando ativamente essa falha em ataques reais. A vulnerabilidade, identificada como CVE-2025-59230, afeta o componente Gerenciador de Conexão de Acesso Remoto do Windows e permite que atacantes aumentem seus privilégios em sistemas comprometidos. Isso significa que um invasor com acesso limitado pode obter permissões mais altas, possibilitando a execução de código malicioso, acesso a dados sensíveis e movimentação lateral em redes interconectadas. A CISA ordenou que agências federais apliquem patches de segurança até 4 de novembro, e recomenda que todas as organizações priorizem a correção dessa falha. Dada a exploração ativa e a urgência do alerta, as equipes de segurança devem tratar essa vulnerabilidade como uma prioridade alta para evitar possíveis violações e comprometimentos de sistemas.

Uma vulnerabilidade severa na implementação do servidor WINS do Samba para controladores de domínio do Active Directory foi divulgada, permitindo que atacantes não autenticados executem código arbitrário em sistemas vulneráveis. Identificada como CVE-2025-10230, a falha possui uma pontuação CVSS 3.1 de 10.0, destacando seu alto risco e facilidade de exploração. Todas as versões do Samba desde a 4.0 com suporte a WINS habilitado e o parâmetro wins hook configurado estão afetadas, o que pode expor uma infinidade de serviços de diretório corporativo a compromissos.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou uma falha de segurança crítica no Adobe Experience Manager (AEM) ao seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), após evidências de exploração ativa. A vulnerabilidade, identificada como CVE-2025-54253, possui uma pontuação CVSS de 10.0, indicando severidade máxima, e pode permitir a execução de código arbitrário. A falha afeta as versões 6.5.23.0 e anteriores do AEM Forms em JEE e foi corrigida na versão 6.5.0-0108, lançada em agosto de 2025. O problema decorre de um servlet exposto, que avalia expressões OGNL fornecidas pelo usuário como código Java, sem exigir autenticação ou validação de entrada. Embora não haja informações públicas sobre como a falha está sendo explorada em ataques reais, a Adobe reconheceu a existência de um proof-of-concept disponível publicamente. Em resposta à exploração ativa, as agências do Federal Civilian Executive Branch (FCEB) foram orientadas a aplicar as correções necessárias até 5 de novembro de 2025.

Pesquisadores de cibersegurança da Trend Micro descobriram uma campanha de ataque sofisticada chamada “Operação Zero Disco”, que explora uma vulnerabilidade crítica no protocolo SNMP da Cisco para implantar rootkits Linux em dispositivos de infraestrutura de rede. A vulnerabilidade, identificada como CVE-2025-20352, permite a execução remota de código (RCE) em modelos de switches Cisco mais antigos, como as séries 9400, 9300 e 3750G. Os atacantes conseguem estabelecer acesso persistente e evitar sistemas de detecção, utilizando senhas universais que comprometem a segurança dos dispositivos. Além disso, a campanha demonstra técnicas avançadas de infiltração na rede, como manipulação de VLANs e spoofing de ARP, permitindo que os invasores contornem múltiplas camadas de segurança. A Cisco confirmou que a falha afeta diversos modelos de switches, sendo os 3750G os mais vulneráveis devido à falta de proteções modernas. A Trend Micro recomenda o uso de suas soluções de segurança para detectar e mitigar esses ataques, mas alerta que não há ferramentas automatizadas confiáveis para verificar se um switch Cisco foi comprometido, exigindo investigação manual.

Uma nova vulnerabilidade no Internet Information Services (IIS) da Microsoft, identificada como CVE-2025-59282, possibilita que atacantes executem código arbitrário em sistemas afetados. A falha decorre de uma condição de corrida e de um cenário de uso após liberação em componentes de memória compartilhada. Classificada como importante, a vulnerabilidade possui um escore CVSS 3.1 de 7.0, indicando que, embora a exploração seja considerada local, um invasor precisa persuadir um usuário legítimo a abrir um arquivo malicioso. A complexidade do ataque é alta, exigindo um tempo preciso para explorar a falha de sincronização. A Microsoft lançou um patch em 14 de outubro de 2025, recomendando que todas as versões suportadas do Windows Server com IIS sejam atualizadas imediatamente. Organizações devem revisar suas instalações do IIS e desativar recursos de objetos COM inbox, a menos que sejam explicitamente necessários. Medidas como a lista de permissões de aplicativos podem ajudar a prevenir a execução de arquivos não confiáveis.

A Microsoft anunciou a remoção do driver legado do modem Agere (ltmdm64.sys) do Windows devido à descoberta de duas vulnerabilidades de elevação de privilégios, identificadas como CVE-2025-24052 e CVE-2025-24990. Ambas as falhas afetam todas as versões suportadas do Windows e permitem que atacantes obtenham privilégios de administrador sem interação do usuário. A primeira vulnerabilidade, CVE-2025-24052, é um estouro de buffer baseado em pilha, classificada como ‘Importante’ com um escore CVSS de 7.8, que pode ser explorada localmente por usuários com baixos privilégios. A segunda, CVE-2025-24990, resulta de uma fraqueza de desreferência de ponteiro não confiável e já foi explorada ativamente. Em vez de lançar patches, a Microsoft optou por remover completamente o driver, o que pode impactar dispositivos que ainda dependem de modems analógicos. As organizações devem auditar seus sistemas para identificar dependências de hardware legado e considerar migrações para alternativas suportadas. A recomendação é eliminar qualquer dependência desse hardware para evitar interrupções nos serviços.

A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) adicionou a vulnerabilidade CVE-2025-6264 ao seu catálogo de Vulnerabilidades Conhecidas e Exploited (KEV), alertando que operadores de ransomware estão explorando uma falha de permissões padrão no Velociraptor, uma ferramenta de forense de endpoints da Rapid7. Essa vulnerabilidade permite a execução de comandos arbitrários e a possível tomada de controle do endpoint, desde que o atacante já tenha acesso suficiente para coletar artefatos. A falha está relacionada a configurações de permissões incorretas, que podem ser utilizadas em estágios de movimento lateral em ataques de ransomware, onde os operadores convertem acessos limitados em controle total. A CISA recomenda que as organizações remedeiem a vulnerabilidade até 4 de novembro de 2025, aplicando as mitig ações do fornecedor e seguindo as diretrizes de BOD 22-01 para serviços em nuvem. A exploração ativa dessa vulnerabilidade foi observada em várias campanhas de ransomware, elevando a urgência para defensores do setor público e privado. As equipes de segurança devem verificar as permissões de implantação do Velociraptor, reforçar credenciais e aumentar a telemetria para detectar usos anômalos.

A Oracle lançou um patch para a vulnerabilidade crítica CVE-2025-61884, que afeta sua E-Business Suite. Esta falha permite que atacantes não autenticados acessem recursos sensíveis remotamente, sem a necessidade de credenciais. A vulnerabilidade foi supostamente explorada pelo grupo ShinyHunters, que tem um histórico de roubo de dados corporativos de várias organizações. O patch é uma resposta a um aumento nos ataques, incluindo campanhas de extorsão por ransomware. A Oracle já havia lançado um patch anterior para outra vulnerabilidade na mesma suíte, CVE-2025-61882, que permitia a um atacante não autenticado comprometer o componente de Processamento Concorrente da E-Business Suite. A empresa recomenda que os clientes mantenham suas versões atualizadas e apliquem os patches de segurança imediatamente. O aumento das ameaças direcionadas a usuários da E-Business Suite destaca a necessidade de vigilância contínua e atualização de sistemas para evitar compromissos de segurança.

O Google lançou uma atualização crítica para o Chrome, versão 141.0.7390[.]107/.108, que corrige uma falha de segurança de alta gravidade, identificada como CVE-2025-11756. Essa vulnerabilidade, descoberta por um pesquisador externo, permite a execução de código arbitrário devido a um erro ‘Use-After-Free’ no componente Safe Browsing do navegador. Ao manipular a vida útil de objetos durante verificações de URLs maliciosas, um atacante pode corromper a memória, potencialmente comprometendo o processo de renderização privilegiado do Chrome.

Uma vulnerabilidade crítica de corrupção de memória foi identificada no SAP NetWeaver AS ABAP e na Plataforma ABAP, classificada como CVE-2025-42902. Essa falha permite que atacantes não autenticados provoquem a queda de processos do servidor ao enviar tickets de logon SAP ou tickets de afirmação SAP malformados. Avaliada como média, com um escore CVSS 3.1 de 5.3, a vulnerabilidade resulta de uma desreferenciação de ponteiro NULL durante a análise dos tickets, levando à corrupção de memória e à terminação do processo. A SAP divulgou um aviso e patches em 14 de outubro de 2025, recomendando que os administradores apliquem as atualizações imediatamente. A falha afeta todas as versões suportadas do SAP NetWeaver, abrangendo desde a versão 7.22 até a 9.16. Embora a confidencialidade e a integridade não sejam comprometidas, a disponibilidade do sistema pode ser severamente afetada por meio de envios repetidos de tickets malformados, resultando em condições de negação de serviço. A SAP também sugere desabilitar a aceitação de tickets de logon externos como uma solução temporária, embora isso possa interromper logins federados legítimos.

Pesquisadores da Universidade da Califórnia e outras instituições descobriram uma vulnerabilidade em dispositivos Android da Google e Samsung, que pode ser explorada por meio de um ataque chamado ‘Pixnapping’. Este ataque permite que aplicativos maliciosos capturem códigos de autenticação de dois fatores (2FA), cronogramas do Google Maps e outros dados sensíveis sem o conhecimento do usuário. O método utiliza APIs do Android e um canal lateral de hardware, permitindo que um aplicativo malicioso intercepte dados de outros aplicativos, mesmo sem permissões especiais. O ataque foi testado em cinco dispositivos com Android entre as versões 13 e 16, mas a metodologia pode ser aplicada a todos os dispositivos Android. O Google já está ciente da vulnerabilidade, identificada como CVE-2025-48561, e lançou patches em setembro de 2025. No entanto, um método alternativo para reativar o ataque foi descoberto, e a empresa está trabalhando em uma solução definitiva. A vulnerabilidade também permite que atacantes verifiquem se aplicativos específicos estão instalados no dispositivo, contornando restrições implementadas nas versões mais recentes do Android.

A fabricante de chips AMD divulgou correções para uma vulnerabilidade de segurança conhecida como RMPocalypse, que pode ser explorada para comprometer as garantias de computação confidencial oferecidas pela Virtualização Segura Encriptada com Paginação Aninhada Segura (SEV-SNP). Pesquisadores da ETH Zürich identificaram que a falha permite a execução de uma única gravação de memória na tabela de Reverse Map Paging (RMP), uma estrutura que armazena metadados de segurança para todas as páginas de DRAM no sistema. A vulnerabilidade, classificada como CVE-2025-0033, resulta de uma condição de corrida durante a inicialização do Processador Seguro da AMD (PSP), que pode permitir que um hipervisor malicioso manipule o conteúdo inicial da RMP, comprometendo a integridade da memória dos convidados SEV-SNP. A exploração bem-sucedida dessa falha pode permitir que atacantes acessem informações sensíveis e manipulem o ambiente de máquinas virtuais. A AMD confirmou que os processadores EPYC 7003, 8004, 9004 e 9005 estão entre os afetados, e atualizações de BIOS estão sendo preparadas para mitigar a vulnerabilidade. A Microsoft e a Supermicro também estão trabalhando em soluções para seus sistemas afetados.

Pesquisadores de segurança revelaram uma vulnerabilidade crítica no framework Guardrails da OpenAI, que pode ser explorada através de métodos simples de injeção de prompt. Essa técnica permite que atacantes manipulem os modelos de linguagem que deveriam garantir a segurança do comportamento da IA, possibilitando a inserção de conteúdo malicioso sem ser detectado. O Guardrails, introduzido em 6 de outubro, utiliza modelos de linguagem como ‘juízes’ para avaliar a segurança de entradas e saídas, mas a pesquisa mostrou que essa abordagem cria um ciclo de segurança ‘cega’. Os atacantes podem enganar esses juízes, manipulando os limiares de confiança e permitindo a execução de instruções perigosas. Os métodos de bypass demonstrados incluem a inserção de instruções maliciosas em templates que imitam avaliações aprovadas e a ocultação de código malicioso em comentários HTML. Essa vulnerabilidade, classificada como ‘composta’, sugere que os juízes baseados em LLM são tão suscetíveis à manipulação quanto os modelos que protegem. Para mitigar esses riscos, as organizações devem implementar defesas em camadas e sistemas de validação independentes, além de monitoramento contínuo.

A Clevo, fabricante de hardware, acidentalmente divulgou chaves privadas utilizadas em sua implementação do Intel Boot Guard, resultando em uma vulnerabilidade crítica. Essa falha, identificada como VU#538470, permite que atacantes assinem e implantem firmware malicioso que é aceito pelo sistema durante as fases iniciais de inicialização. O Intel Boot Guard é projetado para verificar o bloco de inicialização inicial antes da inicialização do UEFI, garantindo que apenas firmware autenticado seja executado. No entanto, a inclusão acidental das chaves de assinatura no pacote de atualização UEFI compromete essa cadeia de confiança. Com acesso ao armazenamento de firmware, um invasor pode manipular e assinar uma imagem de firmware, permitindo que ela passe pela verificação do Boot Guard sem alertas de segurança. Isso compromete todo o processo de inicialização segura, tornando ineficazes outras defesas subsequentes, como verificações de integridade do sistema operacional. A Clevo já removeu o pacote comprometido, mas não forneceu orientações específicas de remediação. Administradores de sistemas devem identificar dispositivos afetados, ativar mecanismos de proteção contra gravação de firmware e garantir que as atualizações sejam obtidas de canais verificados.

A Elastic lançou uma atualização de segurança urgente para o Elastic Cloud Enterprise (ECE) devido a uma vulnerabilidade crítica de injeção no motor de templates Jinjava, identificada como CVE-2025-37729, com uma pontuação CVSSv3.1 de 9.1. Essa falha afeta as versões 2.5.0 a 3.8.1 e 4.0.0 a 4.0.1 do ECE, permitindo que administradores autenticados executem comandos arbitrários e exfiltratem dados sensíveis. A vulnerabilidade ocorre quando um administrador submete um plano de implantação com variáveis Jinjava manipuladas, que são avaliadas e executadas pela plataforma. Se o recurso de Logging+Metrics estiver ativado, a saída dos comandos injetados é registrada, criando um canal de feedback para os atacantes. A Elastic recomenda que os clientes atualizem para as versões 3.8.2 ou 4.0.2 imediatamente, pois não existem alternativas de mitigação. Além disso, sugere que os administradores monitorem os logs de requisições em busca de nomes de payloads suspeitos e revisem os pipelines de Logging+Metrics para identificar atividades incomuns. A falha representa um risco significativo, pois permite controle total sobre o processo de interpretação de templates, comprometendo a confidencialidade, integridade e disponibilidade dos dados.

Pesquisadores da Trend Micro descobriram uma vulnerabilidade grave na Axis Communications, que resultou na exposição de credenciais de contas do Azure Storage. Essa falha estava presente em múltiplos DLLs assinados utilizados em um plugin oficial da Axis para o Autodesk® Revit®. As credenciais, que estavam hardcoded, permitiam acesso total aos conteúdos armazenados, incluindo instaladores e arquivos de modelo utilizados por clientes para integrar dispositivos Axis ao Revit. A descoberta levantou preocupações sobre riscos na cadeia de suprimentos, uma vez que atacantes poderiam modificar ou carregar instaladores maliciosos. Embora a Axis tenha lançado versões subsequentes do plugin para mitigar a vulnerabilidade, as correções iniciais foram insuficientes, permitindo que as credenciais expostas ainda fossem acessíveis. A situação foi finalmente resolvida na versão 25.3.718, quando as credenciais legadas foram invalidadas. Além disso, foram identificadas falhas de execução remota de código no parser de arquivos RFA do Revit, que poderiam ser exploradas caso arquivos maliciosos fossem carregados. A Axis confirmou que todas as vulnerabilidades foram corrigidas e que não houve acesso não autorizado.

Pesquisadores de segurança identificaram vulnerabilidades críticas na infraestrutura de comunicação em nuvem do Microsoft Defender for Endpoint, que permitem a invasores contornar mecanismos de autenticação e manipular operações de resposta a incidentes. A análise das componentes do agente de detecção e resposta a endpoint (EDR), como MsSense.exe e SenseIR.exe, revelou falhas na validação de tokens de autenticação. Isso possibilita que atacantes interceptem comandos de segurança e até mesmo enviem dados falsificados para armazenamento em nuvem, comprometendo a integridade das investigações. Os atacantes podem explorar a falta de controle de autenticação para obter tokens válidos e executar ações maliciosas, como relatar estados de isolamento falsos ou carregar arquivos maliciosos disfarçados. Embora a Microsoft tenha classificado essas falhas como de baixa severidade, a falta de correções claras e a possibilidade de acesso não autorizado a dados de configuração de resposta a incidentes levantam preocupações significativas. Especialistas recomendam que equipes de segurança implementem medidas defensivas imediatas, como monitoramento de padrões de comando e validação de estados de isolamento, até que a Microsoft resolva as vulnerabilidades.

No último sábado, a Oracle emitiu um alerta de segurança sobre uma nova vulnerabilidade em seu E-Business Suite, identificada como CVE-2025-61884, que pode permitir acesso não autorizado a dados sensíveis. Com uma pontuação CVSS de 7.5, a falha afeta versões do software que vão de 12.2.3 a 12.2.14. Segundo a descrição na base de dados de vulnerabilidades do NIST, a vulnerabilidade é facilmente explorável por um atacante não autenticado que tenha acesso à rede via HTTP, comprometendo o Oracle Configurator. Embora a Oracle não tenha relatado que a falha esteja sendo explorada ativamente, a empresa enfatizou a importância de aplicar a atualização de segurança o mais rápido possível. O Chief Security Officer da Oracle, Rob Duhart, destacou que a vulnerabilidade pode ser utilizada para acessar recursos sensíveis. O alerta surge após a divulgação de que várias organizações podem ter sido afetadas por uma exploração de zero-day em outra vulnerabilidade do E-Business Suite, CVE-2025-61882, que permitiu a instalação de malwares como GOLDVEIN.JAVA e SAGEGIFT. A situação é preocupante, especialmente considerando a possibilidade de que os ataques estejam ligados a um grupo de hackers associado ao ransomware Cl0p.

A Google decidiu não corrigir uma vulnerabilidade de segurança em sua ferramenta de inteligência artificial, Gemini, que permite a execução de códigos maliciosos ocultos em textos invisíveis. Essa técnica, conhecida como ASCII smuggling, utiliza caracteres especiais do Unicode para inserir comandos maliciosos na LLM (Large Language Model) sem que o usuário perceba. Embora a falha não seja nova, os riscos aumentaram com a maior autonomia e acesso a dados sensíveis que assistentes como o Gemini possuem. O pesquisador de segurança Viktor Markopoulos, da FireTail, testou várias ferramentas de IA e encontrou vulnerabilidades semelhantes em algumas delas, mas não em outras como Claude, ChatGPT e Microsoft Copilot, que possuem validação de dados de entrada. A Google, ao ser informada sobre a vulnerabilidade, minimizou o problema, alegando que ele só poderia ser explorado por meio de engenharia social. No entanto, a possibilidade de que convites de calendário e e-mails no Google Workspace possam incluir códigos maliciosos representa um risco significativo, pois esses códigos podem instruir as LLMs a acessar dados sensíveis do dispositivo da vítima e enviá-los aos atacantes.

Desde julho de 2025, operadores do ransomware Akira têm explorado dispositivos SonicWall SSL VPN, utilizando uma vulnerabilidade conhecida (CVE-2024-40766) que afeta versões do SonicOS. Essa falha, que foi divulgada e corrigida em agosto de 2024, permite acesso inadequado e tem sido utilizada para comprometer redes empresariais em diversos setores. A campanha inclui técnicas avançadas de coleta de credenciais e exfiltração de dados, com um ataque documentado em agosto de 2025 que resultou na transferência de aproximadamente 2 GB de dados sensíveis. Os atacantes utilizaram métodos sofisticados, como a técnica ‘UnPAC the hash’, para escalar privilégios dentro da rede. A Darktrace, empresa de segurança, conseguiu conter o ataque, mas a exploração contínua da vulnerabilidade destaca a importância de práticas de gerenciamento de patches atualizadas, especialmente para dispositivos que oferecem acesso remoto. O incidente ressalta a necessidade de vigilância constante e resposta rápida a ameaças cibernéticas, especialmente em um cenário onde a segurança de dados é crítica.

A empresa de cibersegurança Huntress identificou a exploração ativa de uma vulnerabilidade zero-day nos produtos Gladinet CentreStack e TrioFox. A falha, classificada como CVE-2025-11371, possui um CVSS de 6.1 e permite a inclusão local de arquivos não autenticados, resultando na divulgação não intencional de arquivos do sistema. Todas as versões do software anteriores e incluindo a 16.7.10368.56560 estão afetadas. A Huntress detectou a atividade pela primeira vez em 27 de setembro de 2025, com três clientes impactados até o momento. Essa vulnerabilidade se conecta a uma falha anterior, CVE-2025-30406, que permitia a execução remota de código. A recomendação imediata para os usuários é desabilitar o manipulador “temp” no arquivo Web.config, embora isso possa afetar algumas funcionalidades da plataforma. A Huntress está retendo detalhes adicionais da falha devido à exploração ativa e à falta de um patch disponível.

Um novo exploit de prova de conceito, denominado Fenrir, foi divulgado, visando uma falha crítica de lógica no processo de inicialização segura dos dispositivos Nothing Phone (2a) e CMF Phone 1. A vulnerabilidade permite que um atacante contorne a autenticação da partição bl2_ext, quebrando a cadeia de confiança e possibilitando a execução de código arbitrário no nível de privilégio mais alto (EL3) em sistemas ARM. Essa falha ocorre devido a um erro na cadeia de inicialização segura da MediaTek, que faz com que o Preloader ignore a verificação da partição bl2_ext quando o bootloader está desbloqueado. Isso significa que qualquer imagem de inicialização pode ser carregada sem validação, permitindo que um invasor desative as proteções de inicialização segura e obtenha controle total do dispositivo. A pontuação CVSS 3.1 para essa vulnerabilidade é de 9.8, indicando um risco crítico. Os usuários afetados devem evitar desbloquear seus bootloaders até que correções oficiais sejam disponibilizadas, e os fabricantes devem atualizar a lógica de verificação de inicialização segura para reforçar as verificações da bl2_ext, mesmo em estado desbloqueado.

Recentemente, a CrowdStrike identificou duas vulnerabilidades críticas em seu software Falcon, designadas como CVE-2025-42701 e CVE-2025-42706. Ambas as falhas afetam exclusivamente as versões do Falcon para Windows e permitem que atacantes, que já tenham conseguido executar código no sistema, excluam arquivos arbitrários. A CVE-2025-42701 é uma vulnerabilidade de condição de corrida (TOCTOU) com um escore CVSS de 5.6, enquanto a CVE-2025-42706 envolve um erro lógico relacionado à validação de origem, com um escore CVSS de 6.5. A CrowdStrike lançou patches para várias versões do Falcon, incluindo a versão 7.29 e hotfixes para versões anteriores, garantindo que os usuários possam se proteger contra essas falhas. A empresa não encontrou evidências de exploração ativa dessas vulnerabilidades, mas recomenda que os clientes atualizem seus sistemas para evitar possíveis ataques que possam comprometer a estabilidade do software e do sistema operacional. A atualização é essencial para manter uma postura de segurança robusta e prevenir a exclusão de arquivos críticos.

Uma vulnerabilidade crítica, identificada como CVE-2025-5947, está sendo explorada ativamente por agentes maliciosos, afetando o tema WordPress Service Finder. Essa falha de segurança permite que atacantes não autenticados acessem qualquer conta de usuário, incluindo administradores, comprometendo o controle de sites vulneráveis. A vulnerabilidade se origina de uma falha de validação do valor do cookie do usuário durante uma função de troca de conta, permitindo que um invasor se logue como qualquer usuário. O problema afeta todas as versões do tema até a 6.0 e foi corrigido em 17 de julho de 2025, com a liberação da versão 6.1. Desde 1º de agosto de 2025, foram detectadas mais de 13.800 tentativas de exploração, embora a taxa de sucesso ainda não seja clara. Administradores de sites são aconselhados a auditar suas plataformas em busca de atividades suspeitas e garantir que todos os plugins e temas estejam atualizados.

Pesquisadores de cibersegurança revelaram uma vulnerabilidade crítica, identificada como CVE-2025-53967, no servidor Model Context Protocol (MCP) do Figma, que pode permitir a execução remota de código. Com uma pontuação CVSS de 7.5, a falha é um erro de injeção de comando causado pelo uso não sanitizado de entradas de usuários, possibilitando que atacantes enviem comandos arbitrários ao sistema. O problema reside na construção de comandos de linha de comando que utilizam diretamente entradas não validadas, o que pode levar à injeção de metacaracteres de shell. A exploração pode ocorrer quando um cliente MCP envia requisições ao servidor, permitindo que um ator malicioso execute comandos indesejados. A vulnerabilidade foi descoberta pela Imperva em julho de 2025 e corrigida na versão 0.6.3 do MCP, lançada em 29 de setembro de 2025. É recomendado evitar o uso de child_process.exec com entradas não confiáveis e optar por child_process.execFile para mitigar riscos. Este incidente destaca a necessidade de que as ferramentas de desenvolvimento impulsionadas por IA sejam acompanhadas de considerações de segurança adequadas.

A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) emitiu um alerta urgente sobre uma vulnerabilidade zero-day de cross-site scripting (XSS) no Zimbra Collaboration Suite (ZCS), que está sendo ativamente explorada por agentes maliciosos. Essa falha permite que atacantes sequestram sessões de usuários, roubem dados sensíveis e manipulem filtros de e-mail sem a necessidade de privilégios elevados. A vulnerabilidade se origina da sanitização insuficiente de conteúdo HTML em arquivos de convite de calendário (ICS) visualizados na interface Classic Web Client. Um atacante pode criar uma entrada ICS maliciosa que embute código JavaScript, que é executado quando um usuário desavisado abre o e-mail com o anexo comprometido. A CISA adicionou essa falha ao seu Catálogo de Vulnerabilidades Conhecidas em 7 de outubro de 2025, atribuindo um prazo de ação até 28 de outubro de 2025. Com um CVSS de 7.5, a vulnerabilidade é considerada de alta severidade. Os administradores do ZCS são aconselhados a aplicar patches disponíveis ou seguir estratégias de mitigação imediatas para evitar acessos não autorizados e possíveis vazamentos de dados. A recomendação inclui a revisão de políticas de anexos de e-mail e a educação dos usuários sobre os riscos associados a convites de calendário inesperados.

Pesquisadores de segurança cibernética divulgaram uma vulnerabilidade crítica chamada ‘UniPwn’ que afeta robôs da Unitree, incluindo os modelos G1, Go2 e B2. Essa falha permite acesso remoto com privilégios de root, explorando uma combinação de chaves criptográficas hardcoded, handshakes fracos e execução insegura de comandos. A vulnerabilidade permite que um dispositivo comprometido receba comandos via conexões sem fio, possibilitando a movimentação lateral entre robôs próximos. Embora a pesquisa indique que a exploração pode ter um comportamento ‘wormable’, o que significa que o código malicioso pode se propagar, a propagação real depende de fatores como configuração do dispositivo e práticas operacionais. O estudo também destaca a urgência de mitigações, já que técnicas de jailbreak em robôs com inteligência artificial podem ser combinadas com essa vulnerabilidade, aumentando a superfície de ataque. A situação exige atenção imediata dos fabricantes e operadores para evitar possíveis danos.

Uma vulnerabilidade zero-day na plataforma Zimbra Collaboration, que integra e-mail, calendários e chats, deixou instituições militares brasileiras vulneráveis a ciberataques em 2025. Identificada como CVE-2025-27915, a falha estava relacionada a scripts entre sites (XSS) no cliente web Classic, permitindo a execução de códigos JavaScript maliciosos através de arquivos ICS de calendário. Embora a Zimbra tenha lançado patches para corrigir a brecha, a exposição anterior pode ter comprometido dados sensíveis. Relatórios indicam que hackers desconhecidos tentaram invadir militares brasileiros utilizando arquivos ICS maliciosos, que continham códigos projetados para roubar informações e redirecionar e-mails para endereços controlados por criminosos. O ataque, que não foi confirmado como bem-sucedido, destaca a necessidade de vigilância contínua e atualizações de segurança em sistemas amplamente utilizados, como o Zimbra, que é comum em diversas organizações no Brasil.