Vulnerabilidade

Vulnerabilidade crítica no servidor NGINX pode causar execução remota de código

Uma falha de segurança de 18 anos no servidor web de código aberto NGINX, identificada por um sistema de varredura autônomo, pode ser explorada para causar negação de serviço e, em certas condições, execução remota de código. A vulnerabilidade, rastreada como CVE-2026-42945, recebeu uma classificação de severidade crítica de 9,2 no sistema CVSS. A falha, um estouro de buffer na heap no módulo ngx_http_rewrite_module, afeta versões do NGINX de 0.6.27 a 1.30.0. O problema ocorre quando as configurações do NGINX utilizam as diretivas ‘rewrite’ e ‘set’, uma prática comum em gateways de API e configurações de proxy reverso. Pesquisadores demonstraram que a exploração pode ser realizada através de requisições HTTP especialmente elaboradas, levando à execução de código não autenticado. Embora a execução remota de código tenha sido demonstrada em um ambiente sem proteção ASLR, a exploração em sistemas com ASLR habilitado é considerada complexa. Outras três falhas de segurança de gravidade média também foram descobertas. A F5, empresa que mantém o NGINX, já disponibilizou correções para as versões afetadas, e recomenda que os usuários atualizem ou modifiquem suas regras de reescrita para mitigar os riscos.

Ameaça de Exploração de Vulnerabilidade no PraisonAI

Recentemente, uma vulnerabilidade crítica foi identificada no PraisonAI, um framework de orquestração multi-agente de código aberto. A falha, classificada como CVE-2026-44338, possui um escore CVSS de 7.3 e se refere à falta de autenticação, permitindo que qualquer pessoa acesse endpoints sensíveis sem a necessidade de um token. O servidor API legado, baseado em Flask, vem com a autenticação desativada por padrão, expondo funcionalidades protegidas. A exploração dessa vulnerabilidade pode resultar em enumeração não autenticada do arquivo de agentes e ativação de fluxos de trabalho configurados, além de consumo indevido de quotas de modelo/API. A falha afeta todas as versões do pacote Python do PraisonAI, com correção disponível na versão 4.6.34. A Sysdig, empresa de segurança em nuvem, relatou que tentativas de exploração foram observadas apenas quatro horas após a divulgação pública da vulnerabilidade, destacando a rapidez com que atores maliciosos estão adotando novas falhas. Os usuários são aconselhados a aplicar as correções imediatamente, auditar implantações existentes e revisar atividades suspeitas relacionadas ao uso do PraisonAI.

Vulnerabilidade Fragnasia permite escalonamento de privilégios no Linux

Recentemente, distribuições Linux começaram a lançar patches para uma nova vulnerabilidade de alta severidade, conhecida como Fragnasia (CVE-2026-46300). Essa falha de segurança, descoberta por William Bowling, permite que atacantes locais não privilegiados executem código malicioso com privilégios de root, explorando um erro lógico no subsistema XFRM ESP-in-TCP do Linux. O ataque é realizado através da escrita de bytes arbitrários no cache de página do kernel de arquivos somente leitura, sem a necessidade de condições de corrida. Bowling também revelou um exploit de prova de conceito que corrompe a memória do cache de página do binário /usr/bin/su, possibilitando acesso root em sistemas vulneráveis. A vulnerabilidade Fragnasia pertence à classe de vulnerabilidades Dirty Frag, que afeta todos os kernels Linux lançados antes de 13 de maio de 2026. Para mitigar os riscos, os usuários do Linux são aconselhados a aplicar atualizações de kernel imediatamente. Caso não consigam, devem remover módulos vulneráveis, embora isso possa impactar sistemas de arquivos distribuídos e VPNs IPsec. A divulgação da Fragnasia ocorre em um momento em que outras vulnerabilidades, como a Copy Fail, também estão sendo exploradas ativamente, aumentando a urgência para que as organizações atualizem suas defesas.

Nova vulnerabilidade Linux permite escalonamento de privilégios locais

Uma nova variante da vulnerabilidade Dirty Frag, chamada Fragnesia, foi identificada no núcleo do Linux, permitindo que atacantes locais não privilegiados obtenham acesso root. Classificada como CVE-2026-46300, a vulnerabilidade apresenta um CVSS de 7.8 e está relacionada ao subsistema XFRM ESP-in-TCP do kernel. Descoberta por William Bowling da equipe de segurança V12, a falha permite a modificação de conteúdos de arquivos somente leitura na cache de página do kernel, utilizando uma lógica defeituosa que não requer condições de corrida. A Fragnesia é semelhante a outras vulnerabilidades recentes, como Copy Fail e Dirty Frag, e já possui um exploit de prova de conceito disponível. Várias distribuições Linux, incluindo Amazon Linux e Red Hat Enterprise Linux, emitiram avisos sobre a necessidade de aplicar patches. Embora não tenha sido observada exploração ativa até o momento, especialistas recomendam que usuários e organizações apliquem as correções imediatamente. Medidas de mitigação incluem desabilitar funcionalidades relacionadas ao IPsec e aumentar a vigilância sobre atividades anormais de escalonamento de privilégios.

Novas vulnerabilidades do Microsoft Defender expõem riscos críticos

Um pesquisador anônimo de cibersegurança revelou duas novas vulnerabilidades no Microsoft Defender, conhecidas como YellowKey e GreenPlasma. A primeira, YellowKey, permite a contornagem do BitLocker, funcionando como uma porta dos fundos, e afeta o Windows 11 e Windows Server 2022/2025. O exploit se dá através da manipulação de arquivos ‘FsTx’ em um drive USB, permitindo que um invasor acesse um shell de comando com o BitLocker desbloqueado. O pesquisador destacou que a falha está oculta e que medidas como TPM+PIN não são eficazes. A segunda vulnerabilidade, GreenPlasma, refere-se a uma escalada de privilégios no Windows CTFMON, permitindo que usuários não privilegiados criem objetos de seção de memória arbitrários, potencialmente manipulando serviços ou drivers privilegiados. Essas falhas surgem em um contexto onde o pesquisador já havia denunciado outras vulnerabilidades que foram exploradas ativamente. A Microsoft, por sua vez, afirmou que investiga as questões de segurança reportadas, mas a resposta tem sido criticada por sua lentidão e falta de transparência.

Vulnerabilidade crítica no Exim permite execução remota de código

Uma vulnerabilidade crítica, identificada como CVE-2026-45185, afeta configurações específicas do Exim, um agente de transferência de e-mail open-source amplamente utilizado em servidores Linux e Unix. Essa falha, que impacta versões do Exim anteriores à 4.99.3 que utilizam a biblioteca GNU Transport Layer Security (GnuTLS), pode ser explorada por atacantes remotos não autenticados para executar código arbitrário. O problema é um erro do tipo user-after-free (UAF) que ocorre durante o encerramento do TLS ao lidar com tráfego SMTP chunked. O Exim libera um buffer de transferência TLS, mas continua a usar referências de callback obsoletas, permitindo que dados sejam escritos em uma região de memória liberada, o que pode levar à execução remota de código (RCE). A vulnerabilidade foi descoberta pelo pesquisador Federico Kirschbaum da XBOW, que relatou o problema aos mantenedores do Exim em 1º de maio, recebendo confirmação em 5 de maio. Uma correção foi disponibilizada na versão 4.99.3 do Exim. Os usuários de distribuições Linux baseadas em Ubuntu e Debian são aconselhados a aplicar as atualizações disponíveis para mitigar os riscos associados a essa falha.

Exim corrige vulnerabilidade crítica que pode permitir execução remota de código

A Exim, um agente de transferência de e-mail de código aberto, lançou atualizações de segurança para corrigir uma vulnerabilidade crítica, identificada como CVE-2026-45185, também conhecida como Dead.Letter. Essa falha, classificada como uma vulnerabilidade de uso após liberação (use-after-free), afeta versões do Exim entre 4.97 e 4.99.2 que utilizam a biblioteca GnuTLS. O problema ocorre durante o processamento de mensagens BDAT quando um cliente envia um alerta de fechamento TLS antes da conclusão da transferência do corpo da mensagem, resultando em corrupção de memória e potencial execução de código malicioso. O especialista Federico Kirschbaum, do XBOW, destacou que a exploração dessa vulnerabilidade requer pouca configuração especial no servidor. A Exim já lançou a versão 4.99.3, que corrige a falha, e recomenda que todos os usuários atualizem imediatamente, pois não há mitigações disponíveis. Essa não é a primeira vez que falhas críticas são descobertas no Exim, levantando preocupações sobre a segurança contínua do software.

Google bloqueia ataque de dia zero utilizando inteligência artificial

O Google Threat Intelligence Group (GTIG) anunciou a detecção e interrupção de um ataque de dia zero que utilizou inteligência artificial (IA) pela primeira vez. O ataque, realizado por um grupo de cibercriminosos ainda não identificado, visava explorar uma vulnerabilidade em uma ferramenta de administração de sistemas open-source. O código malicioso, embutido em um script Python, permitia contornar a autenticação de dois fatores, embora os invasores ainda precisassem de credenciais válidas para acessar a plataforma. O GTIG identificou que a IA foi utilizada para descobrir e transformar a vulnerabilidade em um exploit, com evidências no código que indicam a utilização de um modelo de IA para mapear brechas e desenvolver malware. O Google trabalhou com o fornecedor afetado para corrigir a falha, e uma atualização já foi disponibilizada. Este incidente destaca uma tendência crescente entre grupos hackers que estão utilizando IA para aumentar a eficácia de seus ataques, com foco em grupos ligados à China e à Coreia do Norte, que demonstraram interesse em explorar vulnerabilidades através de técnicas avançadas.

Ator de ameaças explora falha crítica do cPanel para implantar backdoor

Um ator de ameaças identificado como Mr_Rot13 está explorando uma vulnerabilidade crítica no cPanel, conhecida como CVE-2026-41940, que permite a bypass de autenticação e controle remoto do painel de controle. Após a divulgação pública da falha, mais de 2.000 IPs de atacantes em todo o mundo, incluindo Brasil, foram identificados realizando ataques automatizados. A exploração envolve o uso de um script que baixa um infector baseado em Go, que implantam uma chave SSH para acesso persistente e um shell PHP para execução remota de comandos. O shell é utilizado para injetar código JavaScript que redireciona usuários para uma página de login falsa, coletando credenciais que são enviadas para um sistema controlado pelo atacante. O backdoor, denominado Filemanager, é capaz de infectar sistemas Windows, macOS e Linux, e coleta informações sensíveis do host comprometido. A operação parece ter sido realizada de forma discreta por anos, com baixa taxa de detecção em produtos de segurança. A situação exige atenção urgente das empresas que utilizam cPanel e WHM.

Vulnerabilidade na Instructure permite ataque a portais Canvas

A Instructure, empresa responsável pelo Canvas, um sistema de gestão de aprendizagem amplamente utilizado, confirmou que uma vulnerabilidade de segurança permitiu que hackers modificassem portais de login do Canvas e deixassem uma mensagem de extorsão. O ataque envolveu múltiplas falhas de cross-site scripting (XSS), que possibilitaram ao invasor obter sessões administrativas autenticadas. Em 29 de abril, a Instructure detectou a violação e imediatamente revogou o acesso não autorizado, iniciando uma investigação com especialistas forenses. Dias depois, foi confirmado que dados foram roubados, totalizando mais de 3,6 terabytes de informações. O grupo ShinyHunters, responsável pelo ataque, utilizou a mesma vulnerabilidade em um segundo ataque em 7 de maio, pressionando a Instructure a negociar um resgate. A empresa tomou medidas para mitigar os danos, incluindo a suspensão temporária de contas do Canvas. Embora o ataque não tenha comprometido dados durante a defaceação, a violação inicial afetou 8.809 instituições educacionais, resultando na possível exposição de 275 milhões de registros de alunos e funcionários. A Instructure restaurou o Canvas em 9 de maio, mas a situação destaca a necessidade de vigilância contínua em sistemas educacionais.

Google revela uso de IA em exploração de vulnerabilidades

O Google anunciou a descoberta de um ator de ameaças desconhecido utilizando um exploit de zero-day, supostamente desenvolvido com um sistema de inteligência artificial (IA). Esta é a primeira vez que a tecnologia é empregada em um contexto malicioso para a descoberta e geração de exploits. A operação, descrita como uma “operação de exploração de vulnerabilidades em massa”, envolveu a colaboração de grupos de cibercrime. O exploit, que permite contornar a autenticação de dois fatores (2FA) em uma ferramenta de administração de sistemas web de código aberto, foi implementado em um script Python. O Google trabalhou com o fornecedor afetado para divulgar a falha de forma responsável e garantir sua correção. Embora não haja evidências de que o Google Gemini tenha sido usado, a análise sugere que um modelo de IA foi instrumental na descoberta da vulnerabilidade. Além disso, a IA está acelerando a descoberta de vulnerabilidades e permitindo o desenvolvimento de malware polimórfico, como o PromptSpy, que pode monitorar atividades do usuário e capturar dados biométricos. O uso de IA por grupos de ameaças, incluindo grupos ligados à China e à Coreia do Norte, tem se intensificado, levantando preocupações sobre a segurança cibernética em um cenário global cada vez mais complexo.

Vulnerabilidade crítica no Ollama pode expor dados sensíveis

Pesquisadores de cibersegurança revelaram uma vulnerabilidade crítica no framework open-source Ollama, que permite a execução local de grandes modelos de linguagem. A falha, identificada como CVE-2026-7482, possui um CVSS de 9.1 e pode afetar mais de 300.000 servidores globalmente. A vulnerabilidade é um erro de leitura fora dos limites que permite a um atacante remoto e não autenticado vazar toda a memória do processo do Ollama. O problema se origina do uso do pacote ‘unsafe’ na criação de modelos a partir de arquivos GGUF, permitindo que um arquivo malicioso provoque a leitura de dados sensíveis, como variáveis de ambiente e chaves de API. Além disso, duas falhas não corrigidas no mecanismo de atualização do Ollama para Windows podem permitir a execução de código persistente. Os usuários são aconselhados a aplicar correções, limitar o acesso à rede e implementar um proxy de autenticação. A situação é crítica, pois pode comprometer informações sensíveis de organizações que utilizam o Ollama.

Site do JDownloader comprometido para distribuir malware

O site do popular gerenciador de downloads JDownloader foi comprometido entre os dias 6 e 7 de maio de 2026, resultando na distribuição de instaladores maliciosos para Windows e Linux. Os atacantes alteraram os links de download para direcionar os usuários a payloads maliciosos, incluindo um trojan de acesso remoto baseado em Python. O incidente foi inicialmente relatado por um usuário no Reddit, que percebeu que os instaladores estavam sendo sinalizados como software malicioso pelo Microsoft Defender. Os desenvolvedores do JDownloader confirmaram a violação e tomaram o site offline para investigação. A vulnerabilidade explorada permitiu que os atacantes modificassem listas de controle de acesso do site sem autenticação. Apenas os links de download alternativos para Windows e o instalador Linux foram afetados, enquanto outras versões do software permaneceram seguras. Os usuários que baixaram os instaladores comprometidos são aconselhados a reinstalar seus sistemas operacionais e redefinir senhas, pois credenciais podem ter sido comprometidas. O ataque destaca a crescente tendência de hackers visando sites de ferramentas de software populares para disseminar malware.

CISA dá prazo para agências dos EUA corrigirem vulnerabilidade crítica

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta para que agências federais corrijam uma vulnerabilidade de alta severidade no Ivanti Endpoint Manager Mobile (EPMM), identificada como CVE-2026-6973. Essa falha permite que atacantes com privilégios administrativos executem código arbitrário remotamente em sistemas que utilizam versões do EPMM 12.8.0.0 e anteriores. A Ivanti recomendou a atualização para as versões 12.6.1.1, 12.7.0.1 e 12.8.0.1, além de revisar e rotacionar credenciais de contas administrativas. Embora a exploração da vulnerabilidade tenha sido limitada até o momento, a CISA alertou que esse tipo de falha é um vetor comum para ataques cibernéticos maliciosos, representando riscos significativos para a segurança das agências federais. A Ivanti já havia corrigido outras falhas críticas em janeiro, e a CISA reiterou a importância de ações rápidas para mitigar riscos. A Shadowserver, organização de segurança sem fins lucrativos, identificou mais de 800 dispositivos EPMM expostos online, mas não há informações sobre quantos já foram corrigidos. O prazo para a correção é até a meia-noite de domingo, 10 de maio.

Nova vulnerabilidade zero-day no Linux permite escalonamento de privilégios

Uma nova vulnerabilidade zero-day no Linux, chamada Dirty Frag, foi descoberta, permitindo que atacantes locais obtenham privilégios de root em diversas distribuições Linux com um único comando. O pesquisador de segurança Hyunwoo Kim revelou a falha, que foi introduzida há cerca de nove anos na interface algif_aead do kernel Linux. A Dirty Frag explora duas vulnerabilidades do kernel: a vulnerabilidade de gravação em cache de página xfrm-ESP e a vulnerabilidade de gravação em cache de página RxRPC, permitindo a modificação de arquivos do sistema protegidos na memória sem autorização. Essa falha é semelhante às vulnerabilidades Dirty Pipe e Copy Fail, mas utiliza um campo de fragmento de uma estrutura de dados diferente do kernel. Kim destacou que, ao contrário de outras vulnerabilidades, a Dirty Frag não depende de condições de corrida, o que aumenta sua taxa de sucesso. Até o momento, a vulnerabilidade não possui um ID CVE e afeta várias distribuições populares, como Ubuntu, Red Hat, CentOS e Fedora, que ainda não receberam patches. Para mitigar os riscos, os usuários do Linux podem desativar os módulos do kernel vulneráveis, embora isso possa quebrar VPNs IPsec e sistemas de arquivos distribuídos AFS. A descoberta ocorre em um momento em que as distribuições Linux ainda estão implementando correções para a vulnerabilidade Copy Fail, que também permite escalonamento de privilégios de root.

Nova vulnerabilidade Dirty Frag afeta o kernel Linux

Uma nova vulnerabilidade de escalonamento de privilégios local (LPE) chamada Dirty Frag foi identificada no kernel Linux, afetando diversas distribuições populares, como Ubuntu, RHEL e Fedora. Essa falha, que ainda não possui um identificador CVE, permite que usuários não privilegiados obtenham acesso root ao explorar duas vulnerabilidades existentes: xfrm-ESP Page-Cache Write e RxRPC Page-Cache Write. A primeira foi introduzida em 2017 e a segunda em 2023, e juntas formam uma cadeia que pode ser explorada em diferentes ambientes. A vulnerabilidade é considerada de alta gravidade, com um CVSS score de 7.8, e sua exploração não depende de condições de corrida, o que aumenta a taxa de sucesso do ataque. A urgência é acentuada pela divulgação de um proof-of-concept (PoC) que permite a exploração em um único comando. Enquanto os patches não estão disponíveis, recomenda-se bloquear os módulos esp4, esp6 e rxrpc para mitigar o risco. A Dirty Frag representa uma ameaça significativa, pois pode ser explorada independentemente da ativação do módulo algif_aead, que é uma mitigação conhecida para outra vulnerabilidade, Copy Fail.

Ivanti alerta sobre vulnerabilidade crítica no Endpoint Manager Mobile

A Ivanti emitiu um alerta sobre uma nova vulnerabilidade de alta severidade, identificada como CVE-2026-6973, que afeta o Endpoint Manager Mobile (EPMM) em versões anteriores a 12.6.1.1, 12.7.0.1 e 12.8.0.1. Essa falha, que possui um score CVSS de 7.2, permite que um usuário autenticado com acesso administrativo execute código remotamente. A empresa informou que, até o momento, há um número muito limitado de clientes que foram explorados devido a essa vulnerabilidade. A exploração bem-sucedida requer autenticação de administrador, e a Ivanti recomenda que os clientes que seguiram suas orientações anteriores sobre a rotação de credenciais estão em menor risco. Além da CVE-2026-6973, a Ivanti também corrigiu outras quatro vulnerabilidades no EPMM, com scores CVSS variando de 7.0 a 8.9, que incluem problemas de controle de acesso e validação de certificados. A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) adicionou essa falha ao seu catálogo de Vulnerabilidades Conhecidas e Exploradas, exigindo que as agências federais apliquem as correções até 10 de maio de 2026. A Ivanti esclareceu que as falhas afetam apenas o produto EPMM on-premises e não impactam suas soluções baseadas em nuvem.

Vulnerabilidade crítica no PAN-OS da Palo Alto Networks

A Palo Alto Networks revelou que atores de ameaças tentaram explorar uma vulnerabilidade crítica, identificada como CVE-2026-0300, no serviço User-ID Authentication Portal do software PAN-OS. Essa falha, com uma pontuação CVSS de 9.3/8.7, permite que um atacante não autenticado execute código arbitrário com privilégios de root ao enviar pacotes especialmente elaborados. Embora as correções estejam previstas para serem lançadas em 13 de maio de 2026, a empresa recomenda que os clientes restrinjam o acesso ao portal ou o desativem caso não esteja em uso. A Palo Alto Networks também observou tentativas de exploração limitadas desde 9 de abril de 2026, e um grupo de ameaças, identificado como CL-STA-1132, está sendo investigado por sua possível ligação com atividades de espionagem cibernética patrocinadas por estados. Os atacantes conseguiram injetar shellcode em um processo do nginx e realizar atividades pós-exploração, como enumeração do Active Directory e a instalação de malwares adicionais. A dependência de ferramentas de código aberto pelos atacantes dificultou a detecção baseada em assinaturas, permitindo que suas atividades permanecessem abaixo dos limiares de alerta da maioria dos sistemas automatizados.

Cisco corrige vulnerabilidade crítica em controladores de rede

A Cisco lançou atualizações de segurança para corrigir uma vulnerabilidade de negação de serviço (DoS) nos sistemas Crosswork Network Controller (CNC) e Network Services Orchestrator (NSO). Essa falha, identificada como CVE-2026-20188, é considerada de alta severidade e resulta de uma limitação inadequada na taxa de conexões de rede recebidas. A vulnerabilidade pode ser explorada remotamente por agentes de ameaça não autenticados, levando à interrupção dos sistemas CNC e NSO não corrigidos. A exploração bem-sucedida pode esgotar os recursos de conexão disponíveis, tornando os sistemas inoperantes e exigindo um reinício manual para recuperação. A Cisco recomenda fortemente que os clientes atualizem para as versões corrigidas mencionadas em seu aviso. Embora a CVE-2026-20188 ainda não tenha sido explorada ativamente, a empresa já enfrentou outras vulnerabilidades de DoS que foram utilizadas em ataques. A situação destaca a importância de manter os sistemas atualizados para evitar possíveis interrupções nos serviços e garantir a continuidade das operações.

Vulnerabilidade crítica no vm2 permite execução de código arbitrário

Uma vulnerabilidade crítica foi identificada na biblioteca de sandboxing vm2, amplamente utilizada no Node.js, permitindo que atacantes escapem do ambiente seguro e executem código arbitrário no sistema host. A falha, identificada como CVE-2026-26956, afeta a versão 3.10.4 do vm2, embora versões anteriores também possam estar vulneráveis. O problema ocorre em ambientes que utilizam Node.js 25 com suporte a tratamento de exceções do WebAssembly e JSTag. A biblioteca vm2 é projetada para executar código JavaScript não confiável em um ambiente restrito, mas a manipulação inadequada de exceções permite que objetos de erro do host sejam injetados de volta no sandbox, possibilitando o acesso a APIs sensíveis do Node.js, como o objeto process. O mantenedor da biblioteca recomenda que os usuários atualizem para a versão 3.10.5 ou superior para mitigar os riscos. Essa não é a primeira vez que o vm2 enfrenta problemas de segurança, refletindo os desafios de isolar código não confiável em ambientes JavaScript. Com mais de 1,3 milhão de downloads semanais, a vulnerabilidade representa um risco significativo para plataformas que dependem dessa biblioteca.

Vulnerabilidade crítica no PAN-OS da Palo Alto Networks é explorada

A Palo Alto Networks emitiu um alerta sobre uma vulnerabilidade crítica de buffer overflow em seu software PAN-OS, identificada como CVE-2026-0300. Essa falha permite a execução remota de código não autenticado, com um CVSS de 9.3, caso o portal de autenticação User-ID esteja acessível pela internet. A gravidade diminui para 8.7 se o acesso for restrito a endereços IP internos confiáveis. A vulnerabilidade afeta versões específicas do PAN-OS, incluindo 12.1, 11.2, 11.1 e 10.2, e está sendo explorada em ambientes onde o portal é publicamente acessível. A Palo Alto Networks planeja lançar correções a partir de 13 de maio de 2026, mas até lá, recomenda que os usuários restrinjam o acesso ao portal ou o desativem completamente, se não for necessário. A empresa enfatiza que seguir boas práticas de segurança pode reduzir significativamente o risco de exploração.

Atualização de segurança crítica do Apache HTTP Server

A Apache Software Foundation (ASF) lançou atualizações de segurança para corrigir várias vulnerabilidades no Apache HTTP Server, incluindo uma falha severa que pode levar à execução remota de código (RCE). A vulnerabilidade, identificada como CVE-2026-23918, possui uma pontuação CVSS de 8.8 e afeta a versão 2.4.66 do servidor. A falha, classificada como ‘double free e possível RCE’, ocorre no manuseio do protocolo HTTP/2. O problema foi descoberto por Bartlomiej Dmitruk, co-fundador da Striga.ai, e Stanislaw Strzalkowski, pesquisador da ISEC.pl.

Vulnerabilidade crítica no Weaver E-cology em exploração ativa

Uma vulnerabilidade crítica foi identificada na plataforma Weaver (Fanwei) E-cology, que é amplamente utilizada para automação de escritório e colaboração. O problema, classificado como CVE-2026-22679, possui uma pontuação CVSS de 9.8, indicando seu alto risco. A falha permite a execução remota de código não autenticado em versões anteriores à 10.0, especificamente no endpoint ‘/papi/esearch/data/devops/dubboApi/debug/method’. Isso possibilita que atacantes enviem requisições POST manipuladas para executar comandos arbitrários no sistema. A exploração ativa dessa vulnerabilidade foi observada pela primeira vez em 31 de março de 2026, com evidências de abusos datando de 17 de março, apenas cinco dias após a disponibilização de patches. O ataque envolveu tentativas de execução de código malicioso e coleta de informações do sistema. Especialistas recomendam que os usuários atualizem suas versões do Weaver E-cology para evitar compromissos de segurança. Um script em Python para detectar instâncias vulneráveis também foi disponibilizado por pesquisadores de segurança.

Progress Software alerta sobre vulnerabilidade crítica no MOVEit Automation

A Progress Software emitiu um alerta para que os clientes atualizem suas versões do MOVEit Automation, um aplicativo de transferência de arquivos gerenciado, devido a uma vulnerabilidade crítica de bypass de autenticação, identificada como CVE-2026-4670. Essa falha afeta versões anteriores a 2025.1.5, 2025.0.9 e 2024.1.8 e pode ser explorada remotamente por atacantes sem privilégios, em ataques de baixa complexidade que não requerem interação do usuário. A empresa recomenda que a atualização seja feita utilizando o instalador completo, uma vez que essa é a única forma de remediar a vulnerabilidade, embora isso cause uma interrupção no sistema durante o processo. Além disso, a Progress também lançou atualizações de segurança para uma vulnerabilidade de escalonamento de privilégios (CVE-2026-5174) relacionada a uma falha de validação de entrada. Um levantamento realizado pelo consultor de cibersegurança Daniel Card revelou que mais de 1.400 instâncias do MOVEit Automation estão expostas online, incluindo várias vinculadas a agências governamentais locais e estaduais dos EUA. Embora a empresa não tenha indicado que essas falhas estão sendo ativamente exploradas, vulnerabilidades anteriores do MOVEit foram alvo de ataques, como os realizados pelo grupo de ransomware Clop, que comprometeram mais de 2.100 organizações em 2023.

Atualizações de segurança da Microsoft causam falhas em backups

A Microsoft confirmou que as atualizações de segurança de abril de 2026 estão causando falhas em aplicativos de backup de terceiros que utilizam o driver psmounterex.sys. Este problema afeta softwares que utilizam o Volume Shadow Copy Service (VSS) para criar snapshots, resultando em erros e timeouts durante o processo de backup. Produtos de empresas como Macrium, Acronis, UrBackup Server e NinjaOne Backup, que operam em dispositivos com Windows 10, Windows 11 e Windows Server, estão entre os impactados. A atualização de abril incluiu uma mudança de segurança que adicionou o psmounterex.sys à lista de drivers vulneráveis, visando proteger os usuários contra uma vulnerabilidade de buffer overflow (CVE-2023-43896) que poderia permitir a escalada de privilégios ou execução de código arbitrário. A Microsoft recomenda que os usuários afetados atualizem seus aplicativos para versões mais recentes que utilizem drivers atualizados e seguros. Os administradores de TI podem observar comportamentos como falhas ao montar arquivos de imagem de backup e mensagens de erro relacionadas ao VSS. A empresa também alertou que alguns dispositivos com Windows Server 2025 podem entrar no modo de recuperação do BitLocker após a instalação de uma atualização específica.

Vulnerabilidade Copy Fail no Linux expõe sistemas a ataques

A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) alertou sobre a exploração da vulnerabilidade de segurança ‘Copy Fail’, identificada como CVE-2026-31431, que afeta o kernel do Linux. Essa falha permite que usuários locais não privilegiados obtenham privilégios de root em sistemas Linux não corrigidos, manipulando quatro bytes controlados na cache de páginas de arquivos legíveis. A vulnerabilidade foi divulgada por pesquisadores da Theori, que também disponibilizaram um exploit em Python considerado ‘100% confiável’ para diversas distribuições Linux, incluindo Ubuntu 24.04 LTS e Amazon Linux 2023. A CISA incluiu a falha em seu catálogo de Vulnerabilidades Conhecidas e ordenou que agências federais atualizassem seus sistemas em até duas semanas. Embora as principais distribuições Linux já tenham iniciado a distribuição de correções, a falta de atualizações oficiais no momento da divulgação da vulnerabilidade levanta preocupações sobre a segurança de sistemas em uso. A CISA enfatizou que esse tipo de vulnerabilidade é um vetor de ataque comum e representa riscos significativos para a segurança das agências federais.

Grupo desconhecido ataca entidades governamentais na Ásia

Um novo ator de ameaças foi identificado atacando entidades governamentais e militares no Sudeste Asiático, além de provedores de serviços gerenciados (MSPs) e provedores de hospedagem em países como Filipinas, Laos, Canadá, África do Sul e EUA. A exploração da vulnerabilidade CVE-2026-41940, uma falha crítica no cPanel e WebHost Manager (WHM), permite que atacantes remotos contornem autenticações e obtenham controle elevado do painel de controle. As atividades foram detectadas em 2 de maio de 2026, com foco em domínios governamentais das Filipinas e Laos. Além disso, o ator utilizou uma cadeia de exploração personalizada em um portal de treinamento do setor de defesa da Indonésia, combinando injeção SQL autenticada e execução remota de código. O acesso persistente foi facilitado por ferramentas como OpenVPN e Ligolo, permitindo a exfiltração de documentos do setor ferroviário da China. A vulnerabilidade cPanel está sendo explorada por múltiplos terceiros, com pelo menos 44.000 IPs comprometidos realizando ataques de força bruta. A situação exige atenção, pois a exploração pode impactar a conformidade com a LGPD no Brasil.

Amnezia VPN lança correções de bugs e patch de segurança crítico

A Amnezia VPN lançou a versão 4.8.15 de seu aplicativo, que inclui correções de bugs, um patch de segurança crucial e novas funcionalidades. O destaque dessa atualização é a correção de uma vulnerabilidade severa no módulo tun2socks, que poderia permitir que spyware em dispositivos de usuários se conectasse ao proxy do cliente VPN sem permissão, expondo endereços IP e comprometendo a privacidade. Essa falha não afetava apenas a Amnezia, mas também outros provedores de VPN. Além do patch de segurança, a atualização traz melhorias na experiência do usuário, como a introdução de tunelamento dividido para o protocolo VLESS no iOS, permitindo que os usuários escolham quais aplicativos utilizam a conexão VPN e quais se conectam diretamente à internet. A gestão de assinaturas também foi simplificada, permitindo renovações diretas pelo aplicativo. Com essas melhorias, a Amnezia VPN demonstra seu compromisso em aprimorar a segurança e a usabilidade de sua plataforma, respondendo às crescentes demandas por privacidade digital.

Falha crítica no cPanel é explorada em ataques de ransomware Sorry

Uma nova vulnerabilidade no cPanel, identificada como CVE-2026-41940, está sendo amplamente explorada em ataques de ransomware conhecidos como ‘Sorry’. Recentemente, uma atualização de emergência foi lançada para corrigir uma falha crítica de bypass de autenticação que permite que atacantes acessem painéis de controle. O cPanel e o WHM são painéis de controle de hospedagem web baseados em Linux, sendo o WHM responsável pelo controle do servidor e o cPanel pelo acesso ao backend do site. Desde o final de fevereiro, tentativas de exploração dessa falha têm sido registradas, e a Shadowserver reportou que pelo menos 44.000 endereços IP executando cPanel foram comprometidos. Os hackers estão utilizando um criptografador Linux baseado em Go para implementar o ransomware ‘Sorry’, que adiciona a extensão ‘.sorry’ a todos os arquivos criptografados. O ransomware utiliza o cifrador de fluxo ChaCha20 e a chave de criptografia é protegida por uma chave pública RSA-2048. Para reverter a criptografia, é necessário obter a chave privada correspondente. Os usuários do cPanel e WHM são aconselhados a instalar as atualizações de segurança imediatamente para proteger seus sites contra esses ataques e roubo de dados.

Vulnerabilidade crítica de bypass de autenticação no cPanel

A vulnerabilidade crítica CVE-2026-41940, que permite o bypass de autenticação em cPanel, WHM e WP Squared, está sendo ativamente explorada desde o final de fevereiro de 2026. A falha, identificada como uma injeção de Carriage Return Line Feed (CRLF) nos processos de login e carregamento de sessão, permite que atacantes acessem sistemas sem a validação adequada da senha. A empresa KnownHost, que utiliza cPanel, relatou tentativas de exploração já no dia da divulgação da vulnerabilidade. Em resposta, a cPanel lançou um patch em 28 de abril, após pressão de provedores de hospedagem. A vulnerabilidade afeta versões do cPanel a partir da 11.40 e também impacta o WP Squared. A Rapid7 estima que cerca de 1,5 milhão de instâncias do cPanel estão expostas online, embora não haja dados sobre quantas são vulneráveis. Para mitigar riscos, recomenda-se bloquear o acesso externo a portas específicas e reiniciar serviços após a aplicação das correções. A situação é crítica, pois a exploração bem-sucedida pode conceder controle total sobre o sistema cPanel e os sites gerenciados.

Google corrige falha crítica no Gemini CLI que permite execução remota de comandos

O Google anunciou a correção de uma vulnerabilidade de gravidade máxima no pacote npm ‘@google/gemini-cli’ e no fluxo de trabalho ‘google-github-actions/run-gemini-cli’, que poderia permitir a execução de comandos arbitrários em sistemas host. Segundo a Novee Security, a falha permitia que um atacante externo não privilegiado forçasse o carregamento de conteúdo malicioso como configuração do Gemini, resultando em execução de comandos diretamente no sistema host, antes mesmo da inicialização do sandbox do agente. A vulnerabilidade, que não possui um identificador CVE, apresenta uma pontuação CVSS de 10.0 e afeta versões específicas do Gemini CLI. O Google destacou que o impacto é limitado a fluxos de trabalho que utilizam o Gemini CLI em modo headless, e recomenda que os usuários revisem suas configurações para garantir que apenas pastas confiáveis sejam utilizadas. Além disso, a empresa está implementando medidas para reforçar a lista de permissões de ferramentas quando o Gemini CLI é configurado para rodar em modo –yolo, evitando que entradas não confiáveis possam levar à execução remota de código. O artigo também menciona uma vulnerabilidade no Cursor, uma ferramenta de desenvolvimento, que poderia resultar em execução de código arbitrário devido a uma interação de recursos no Git.

Vulnerabilidade de escalonamento de privilégios no Linux pode permitir acesso root

Pesquisadores de cibersegurança revelaram uma vulnerabilidade crítica no Linux, identificada como CVE-2026-31431, que permite a um usuário local não privilegiado obter acesso root ao sistema. Nomeada ‘Copy Fail’, essa falha de escalonamento de privilégios local (LPE) foi descoberta nas versões do kernel Linux desde 2017 e está relacionada a um erro lógico no subsistema criptográfico do kernel, especificamente no módulo algif_aead. A exploração bem-sucedida da vulnerabilidade pode ser realizada através de um simples script Python de 732 bytes, que manipula a cache de páginas de arquivos executáveis setuid. Embora a vulnerabilidade não seja explorável remotamente, ela pode ser utilizada por qualquer usuário local para corromper a cache de página de um binário setuid, afetando potencialmente todas as distribuições Linux, incluindo Amazon Linux, RHEL, SUSE e Ubuntu. A gravidade da falha é elevada, com um CVSS de 7.8, e sua exploração é facilitada pela portabilidade e simplicidade do ataque, que não requer condições de corrida ou offsets de kernel. As distribuições Linux já emitiram avisos sobre a vulnerabilidade, e a comunidade de segurança está em alerta para suas implicações.

Hackers exploram uploads de SVG no DotNetNuke para comprometer servidores

Um novo ataque cibernético tem explorado uma vulnerabilidade crítica no sistema de gerenciamento de conteúdo DotNetNuke (DNN), afetando mais de 750 mil sites globalmente. A falha, identificada como CVE-2026-40321, permite que hackers façam upload de arquivos SVG maliciosos que contêm código JavaScript. Quando um usuário administrador clica nesse arquivo, o código é executado, possibilitando que o invasor escreva um backdoor diretamente no servidor. O ataque se aproveita de uma vulnerabilidade de cross-site scripting (XSS), que não é bloqueada pelos filtros de conteúdo do DNN. Uma vez que o backdoor é instalado, o atacante pode executar comandos, roubar dados ou desativar ferramentas de segurança. A gravidade da situação é acentuada pelo fato de que a defesa tradicional, como antivírus e firewalls, pode não detectar ou bloquear esse tipo de ataque, uma vez que ele utiliza tráfego HTTP legítimo. Embora exista um patch disponível, é crucial que os administradores revisem suas políticas de registro de usuários e considerem desabilitar uploads de arquivos desnecessários para mitigar riscos futuros.

Vulnerabilidade crítica no GitHub permite execução remota de código

Em março de 2026, o GitHub corrigiu uma vulnerabilidade crítica de execução remota de código (CVE-2026-3854) que poderia ter permitido a atacantes acessarem milhões de repositórios privados. A falha foi reportada por pesquisadores da empresa de cibersegurança Wiz, que a identificaram através do programa de recompensas por bugs do GitHub. A equipe de segurança do GitHub reproduziu e confirmou a vulnerabilidade em apenas 40 minutos, implementando uma correção em menos de duas horas após o relatório.

CISA ordena proteção contra vulnerabilidade crítica do Windows

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu uma ordem para que agências federais protejam seus sistemas Windows contra uma vulnerabilidade crítica, identificada como CVE-2026-32202. Esta falha de segurança, relatada pela empresa de cibersegurança Akamai, é uma vulnerabilidade de ‘zero-click’ que permite o roubo de credenciais sem a necessidade de interação do usuário. A vulnerabilidade foi deixada após um patch incompleto de uma falha anterior de execução remota de código (CVE-2026-21510) em fevereiro. O grupo de ciberespionagem russo APT28 já explorou a falha anterior em ataques direcionados à Ucrânia e países da UE. A CISA incluiu a CVE-2026-32202 em seu Catálogo de Vulnerabilidades Conhecidas (KEV) e ordenou que as agências federais aplicassem patches até 12 de maio. A agência alertou que esse tipo de vulnerabilidade é um vetor frequente de ataque e representa riscos significativos para a segurança federal. Embora a ordem se aplique apenas a agências federais, a CISA incentivou todas as equipes de segurança a priorizarem a correção dessa vulnerabilidade em suas redes.

Atualizações de segurança do cPanel abordam vulnerabilidade crítica

O cPanel lançou atualizações de segurança para corrigir uma vulnerabilidade que afeta diversos caminhos de autenticação, permitindo que atacantes possam obter acesso não autorizado ao software do painel de controle. Essa falha impacta todas as versões atualmente suportadas do cPanel. As versões corrigidas incluem 11.110.0.97, 11.118.0.63, 11.126.0.54, 11.132.0.29 e 11.134.0.20. A empresa Namecheap, que fornece serviços de hospedagem e registro de domínios, revelou que a vulnerabilidade está relacionada a um exploit de login que pode permitir acesso não autorizado ao painel de controle. Como medida de precaução, a Namecheap implementou uma regra de firewall para bloquear o acesso às portas TCP 2083 e 2087, restringindo temporariamente o acesso dos clientes às interfaces do cPanel e WHM até que um patch completo seja aplicado. A equipe da Namecheap está monitorando a situação e aplicará o patch oficial em todos os servidores suportados assim que estiver disponível. Até o momento, a correção foi aplicada em servidores Reseller e Stellar Business.

Vulnerabilidade crítica no LiteLLM expõe dados sensíveis a ataques

Uma nova vulnerabilidade crítica foi descoberta no pacote Python LiteLLM da BerriAI, com o identificador CVE-2026-42208, que apresenta uma pontuação CVSS de 9.3. Trata-se de uma falha de injeção SQL que permite a atacantes não autenticados modificar o banco de dados subjacente do LiteLLM. A vulnerabilidade foi identificada em uma consulta de banco de dados que misturava valores de chave de API fornecidos pelo chamador na consulta em vez de passá-los como parâmetros separados. Isso possibilita que um atacante envie um cabeçalho de autorização malicioso para qualquer rota da API LLM e acesse dados sensíveis, como credenciais e chaves de provedores de modelos de linguagem. Apesar de a falha ter sido corrigida na versão 1.83.7-stable, lançada em 19 de abril de 2026, a exploração começou apenas uma semana depois, com tentativas registradas em 26 de abril. O ataque visou tabelas específicas que armazenam informações críticas, sugerindo que o invasor tinha conhecimento prévio sobre a estrutura do banco de dados. Os especialistas recomendam que os usuários atualizem suas instâncias ou desativem logs de erro para mitigar a exploração.

Vulnerabilidade crítica no GitHub permite execução remota de código

Pesquisadores de cibersegurança revelaram uma vulnerabilidade crítica no GitHub.com e no GitHub Enterprise Server, identificada como CVE-2026-3854, com uma pontuação CVSS de 8.7. Essa falha de injeção de comando permite que um usuário autenticado execute código remotamente com um único comando ‘git push’. O problema decorre da falta de sanitização adequada dos valores de opções de push fornecidos pelo usuário, que são incorporados nos cabeçalhos internos do serviço. Um atacante pode injetar campos de metadados adicionais através de valores manipulados, comprometendo a segurança do servidor. A empresa Wiz, especializada em segurança em nuvem, descobriu a vulnerabilidade e notificou o GitHub, que implementou uma correção em menos de duas horas. Embora a falha tenha afetado cerca de 88% das instâncias no momento da divulgação, não há evidências de exploração maliciosa até agora. A vulnerabilidade também permite a exposição cruzada entre inquilinos, possibilitando que um invasor acesse milhões de repositórios. Dada a gravidade da situação, é recomendado que os usuários apliquem a atualização imediatamente para garantir a proteção adequada.

Vulnerabilidade crítica no LeRobot pode permitir execução remota de código

Pesquisadores de cibersegurança revelaram uma vulnerabilidade crítica no LeRobot, a plataforma de robótica de código aberto da Hugging Face, que possui quase 24.000 estrelas no GitHub. A falha, identificada como CVE-2026-25874, apresenta um alto índice de gravidade (9.3 no CVSS) e está relacionada à desserialização insegura de dados, resultante do uso do formato pickle. Essa vulnerabilidade permite que um atacante não autenticado, que consiga acessar a rede do servidor PolicyServer, envie um payload malicioso e execute comandos arbitrários no sistema. O impacto potencial é significativo, incluindo a possibilidade de execução remota de código, comprometimento total do host do PolicyServer, roubo de dados sensíveis e riscos à segurança física. A falha foi validada na versão 0.4.3 do LeRobot e ainda não possui correção, com um patch previsto para a versão 0.6.0. A situação é alarmante, pois o LeRobot é projetado para sistemas de inferência de inteligência artificial que operam com privilégios elevados. A Hugging Face reconheceu a necessidade de refatoração do código, enfatizando que a segurança na implantação não era uma prioridade até o momento. O uso do formato pickle, que já é conhecido por suas vulnerabilidades, levanta preocupações adicionais sobre a segurança da plataforma.

Problemas de segurança no Windows afetam arquivos RDP

A Microsoft confirmou um novo problema que afeta os avisos de segurança do Windows ao abrir arquivos de Conexão de Área de Trabalho Remota (.rdp). Essa questão impacta todas as versões suportadas do Windows, incluindo Windows 11 e Windows 10, e ocorre quando os usuários utilizam mais de um monitor com diferentes configurações de escala de exibição. Os avisos de segurança podem apresentar texto sobreposto e botões mal posicionados, dificultando a leitura e a interação. Essa falha foi introduzida nas atualizações cumulativas de abril de 2026, que visam proteger os usuários contra arquivos RDP maliciosos. Os arquivos RDP são frequentemente utilizados em ambientes corporativos para conectar-se a sistemas remotos, mas têm sido alvo de abusos em campanhas de phishing. A Microsoft recomenda que os usuários verifiquem a legitimidade dos arquivos RDP, especialmente aqueles que não estão digitalmente assinados, pois podem representar riscos de segurança. A situação exige atenção, pois a falha pode impactar a segurança das conexões remotas em empresas, especialmente em um cenário onde ataques cibernéticos estão em ascensão.

Vulnerabilidade no Microsoft Entra ID permite escalonamento de privilégios

Uma nova vulnerabilidade identificada no Microsoft Entra ID, especificamente na função de administrador de ID de agente, pode permitir ataques de escalonamento de privilégios e tomada de identidade. Essa função, destinada a gerenciar a identidade de agentes de inteligência artificial (IA), permite que usuários com essa atribuição assumam o controle de outros principais de serviço, o que pode resultar em um comprometimento significativo da segurança do ambiente. A falha foi descoberta pela Silverfort e, após a divulgação responsável em 1º de março de 2026, a Microsoft lançou um patch em 9 de abril para corrigir a questão. O problema reside na forma como as permissões são aplicadas, permitindo que um agente assuma a propriedade de principais de serviço não relacionados a agentes, o que pode levar a um controle mais amplo sobre o inquilino, especialmente se esses principais tiverem permissões elevadas. As organizações são aconselhadas a monitorar o uso de funções sensíveis e a proteger os principais de serviço privilegiados para mitigar os riscos associados a essa vulnerabilidade.

Vulnerabilidade Pack2TheRoot afeta o PackageKit no Linux

Uma nova vulnerabilidade, chamada Pack2TheRoot, foi identificada no daemon PackageKit, permitindo que usuários locais do Linux instalem ou removam pacotes do sistema e adquiram permissões de root. Classificada como CVE-2026-41651, a falha possui uma severidade alta, com nota de 8.8 em 10, e está presente no PackageKit há quase 12 anos. A vulnerabilidade foi descoberta pela equipe de segurança da Deutsche Telekom e afeta diversas distribuições Linux, incluindo Ubuntu, Debian e Fedora. A falha permite que comandos como ‘pkcon install’ sejam executados sem autenticação em certas condições, o que possibilita a instalação de pacotes de sistema sem permissão adequada. A versão 1.3.5 do PackageKit, que corrige essa falha, já está disponível, e os usuários são aconselhados a atualizá-la imediatamente. A vulnerabilidade pode ser explorada em várias distribuições que utilizam o PackageKit, e a falta de um patch pode deixar os sistemas vulneráveis a ataques. A equipe de pesquisa também observou que a exploração pode causar falhas no daemon, resultando em registros de erro que podem ser monitorados. Portanto, é crucial que os administradores de sistemas verifiquem suas versões do PackageKit e apliquem as atualizações necessárias.

Mais de 10 mil instâncias do Zimbra vulneráveis a ataques em andamento

Mais de 10.000 instâncias do Zimbra Collaboration Suite (ZCS) estão expostas online e vulneráveis a ataques que exploram uma falha de segurança de cross-site scripting (XSS), conforme relatado pela organização de segurança sem fins lucrativos Shadowserver. O Zimbra é um software de e-mail e colaboração amplamente utilizado, incluindo por diversas agências governamentais e empresas ao redor do mundo. A vulnerabilidade, identificada como CVE-2025-48700, afeta as versões 8.8.15, 9.0, 10.0 e 10.1 do ZCS, permitindo que atacantes não autenticados acessem informações sensíveis ao executar JavaScript arbitrário na sessão do usuário. A Synacor, responsável pelo Zimbra, lançou patches de segurança em junho de 2025, alertando que a exploração da falha não requer interação do usuário e pode ser ativada ao visualizar um e-mail malicioso. A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) incluiu a CVE-2025-48700 em seu catálogo de vulnerabilidades conhecidas exploradas, exigindo que agências federais protejam seus servidores Zimbra em um prazo de três dias. A maioria dos servidores vulneráveis está localizada na Ásia e na Europa, com um número significativo ainda sem correção. Além disso, a exploração de falhas do Zimbra tem sido uma tática comum em ataques cibernéticos, incluindo campanhas de phishing direcionadas a entidades governamentais ucranianas.

Vulnerabilidade crítica no LMDeploy é explorada em menos de 13 horas

Uma vulnerabilidade de alta severidade foi identificada no LMDeploy, um toolkit de código aberto para compressão e implantação de modelos de linguagem, e já está sendo ativamente explorada. A falha, classificada como CVE-2026-33626 com um score CVSS de 7.5, refere-se a uma vulnerabilidade de Server-Side Request Forgery (SSRF) que permite o acesso a dados sensíveis. O problema reside na função load_image() que não valida endereços IP internos, possibilitando que atacantes acessem serviços de metadados em nuvem e redes internas. A exploração bem-sucedida pode permitir o roubo de credenciais de nuvem e a movimentação lateral em redes internas. A empresa Sysdig detectou a primeira tentativa de exploração em um sistema honeypot apenas 12 horas após a divulgação da vulnerabilidade, com o atacante realizando uma varredura de portas em serviços internos. Este incidente destaca a rapidez com que as vulnerabilidades estão sendo exploradas, especialmente em um contexto onde a inteligência artificial está acelerando a criação de exploits. Além disso, outras vulnerabilidades em plugins do WordPress e dispositivos Modbus também estão sendo alvo de ataques, evidenciando um cenário de ameaças em expansão.

Roteadores D-Link vulneráveis a ataque de hackers

Uma nova variante do malware Mirai está ameaçando roteadores D-Link da série DIR-823-X, permitindo que hackers assumam o controle dos dispositivos sem aviso. A vulnerabilidade, identificada pela empresa de segurança Akamai, foi detectada pela primeira vez em março de 2026 e se baseia em uma injeção de comandos que foi descoberta há 13 meses. Os pesquisadores Wang Jinshuai e Zhao Jiangting publicaram uma prova de conceito da falha, que posteriormente foi removida. As versões de firmware 240126 e 24082 estão especialmente vulneráveis, permitindo a execução de comandos remotos não autorizados. O ataque ocorre quando pedidos manipulados são enviados a um ponto de acesso vulnerável, resultando na instalação do malware tuxnokill, que transforma o roteador em um botnet para ataques DDoS. A D-Link não oferece mais suporte para esses modelos desde novembro de 2024, tornando a situação ainda mais crítica. Especialistas recomendam a substituição dos roteadores antigos ou, se isso não for possível, a desativação do acesso remoto e a mudança de senhas padrão.

Hackers exploram vulnerabilidade crítica no plugin Breeze Cache do WordPress

Hackers estão explorando ativamente uma vulnerabilidade crítica no plugin Breeze Cache para WordPress, que permite o upload de arquivos arbitrários no servidor sem autenticação. A falha, identificada como CVE-2026-3844, já foi utilizada em mais de 170 tentativas de exploração, conforme relatado pela solução de segurança Wordfence. O plugin, desenvolvido pela Cloudways, possui mais de 400 mil instalações ativas e é projetado para melhorar o desempenho do site através de cache e otimização de arquivos. A vulnerabilidade recebeu uma pontuação de severidade crítica de 9.8 em 10 e foi descoberta pelo pesquisador de segurança Hung Nguyen. O problema se origina da falta de validação do tipo de arquivo na função ‘fetch_gravatar_from_remote’, permitindo que um atacante não autenticado faça o upload de arquivos, o que pode levar à execução remota de código e à tomada total do site. A exploração bem-sucedida só é possível se o complemento ‘Host Files Locally - Gravatars’ estiver ativado, o que não é a configuração padrão. A Cloudways corrigiu a falha na versão 2.4.5, lançada recentemente. Os administradores de sites que utilizam o Breeze Cache devem atualizar para a versão mais recente ou desativar temporariamente o plugin para evitar riscos.

Apple corrige falha de segurança em notificações do iOS e iPadOS

A Apple lançou uma atualização de software para iOS e iPadOS visando corrigir uma vulnerabilidade nas Notificações que permitia que mensagens marcadas para exclusão fossem retidas no dispositivo. A falha, identificada como CVE-2026-28950, foi classificada como um problema de registro de dados, que agora conta com melhorias na redação de dados. A vulnerabilidade afeta diversos modelos de iPhone e iPad, incluindo iPhone 11 e posteriores, iPad Pro (3ª geração e posteriores), e outros dispositivos mais recentes. A atualização foi motivada por um incidente em que o FBI conseguiu extrair mensagens do aplicativo Signal de um iPhone, mesmo após a exclusão do aplicativo, utilizando dados armazenados na base de notificações do dispositivo. Embora o Signal já ofereça opções para ocultar o conteúdo das mensagens nas notificações, o caso destaca a importância do acesso físico ao dispositivo para a extração de dados sensíveis. A Apple garantiu que, após a instalação do patch, todas as notificações preservadas inadvertidamente serão excluídas, e futuras notificações não serão mantidas para aplicativos deletados.

Apple lança atualizações de segurança para iPhone e iPad

A Apple lançou atualizações de segurança fora do ciclo regular para corrigir uma falha nos serviços de notificação em dispositivos iPhone e iPad. A vulnerabilidade, identificada como CVE-2026-28950, permitia que notificações marcadas para exclusão permanecessem armazenadas no dispositivo. As correções foram implementadas nas versões iOS 26.4.2, iPadOS 26.4.2, iOS 18.7.8 e iPadOS 18.7.8, disponibilizadas em 22 de abril de 2026. O boletim de segurança da Apple indica que a falha foi resolvida por meio de uma melhoria na redação de dados, mas não fornece detalhes adicionais sobre a exploração da vulnerabilidade ou o motivo da atualização emergencial. O caso se torna ainda mais relevante à luz de um incidente recente em que o FBI recuperou mensagens do aplicativo Signal de um iPhone, mesmo após a exclusão, sugerindo que os dados de notificação poderiam ser retidos. A Apple recomenda que os usuários instalem as atualizações o mais rápido possível para evitar a retenção inesperada de dados de notificações excluídas. Além disso, os usuários podem ajustar as configurações do Signal para minimizar a retenção de conteúdo de mensagens nas notificações do iOS.

Mais de 1.300 servidores SharePoint da Microsoft expostos e vulneráveis

Mais de 1.300 servidores Microsoft SharePoint estão expostos na internet e ainda não foram corrigidos contra uma vulnerabilidade de spoofing, identificada como CVE-2026-32201. Essa falha afeta as versões SharePoint Enterprise Server 2016, SharePoint Server 2019 e a Subscription Edition. A Microsoft, ao lançar um patch em abril de 2026, destacou que a exploração bem-sucedida da vulnerabilidade permite que atacantes sem privilégios realizem spoofing de rede, aproveitando uma fraqueza na validação de entrada. Embora a Microsoft tenha classificado a vulnerabilidade como um zero-day, ainda não foram divulgadas informações sobre como foi explorada em ataques ou se há ligação com grupos de hackers específicos. A Shadowserver alertou que menos de 200 dos servidores vulneráveis foram corrigidos desde o lançamento do patch. A CISA, agência de cibersegurança dos EUA, incluiu a vulnerabilidade em seu catálogo de vulnerabilidades conhecidas e ordenou que agências federais aplicassem os patches em um prazo de duas semanas, destacando os riscos significativos que essa vulnerabilidade representa para a segurança federal. Além disso, a CISA também alertou sobre outra vulnerabilidade no Windows Task Host que permite a elevação de privilégios, exigindo atenção imediata das agências.

Microsoft lança atualização de segurança para vulnerabilidade crítica

A Microsoft divulgou atualizações de segurança fora do ciclo regular para corrigir uma vulnerabilidade crítica de escalonamento de privilégios no ASP.NET Core, identificada como CVE-2026-40372. Essa falha, encontrada nas APIs criptográficas de Proteção de Dados do ASP.NET Core, permite que atacantes não autenticados obtenham privilégios de sistema em dispositivos afetados ao forjar cookies de autenticação. A vulnerabilidade foi descoberta após relatos de usuários sobre falhas de descriptografia em suas aplicações após a atualização do .NET 10.0.6. A Microsoft alertou que um erro na validação de HMAC pode permitir que um atacante crie cargas úteis que passem nas verificações de autenticidade do DataProtection, possibilitando a descriptografia de dados anteriormente protegidos. Caso um atacante tenha se autenticado como um usuário privilegiado durante a janela vulnerável, ele poderia ter recebido tokens legítimos, que permanecem válidos mesmo após a atualização para a versão 10.0.7, a menos que a chave de proteção de dados seja rotacionada. A empresa recomenda que todos os clientes atualizem o pacote Microsoft.AspNetCore.DataProtection para a versão 10.0.7 o mais rápido possível e reimplantem suas aplicações para corrigir a rotina de validação. Além disso, a Microsoft também abordou uma vulnerabilidade de ‘smuggling’ de requisições HTTP em seu servidor web Kestrel, destacando a importância de manter os sistemas atualizados.