Vulnerabilidade

Uma equipe de acadêmicos da ETH Zürich e do Google descobriu uma nova variante do ataque RowHammer, chamada Phoenix (CVE-2025-6202, CVSS 7.1), que atinge chips de memória DDR5 da SK Hynix. O ataque é capaz de contornar mecanismos de proteção avançados, demonstrando que a correção de erros em chip (ECC) não é suficiente para impedir a exploração. O RowHammer é uma vulnerabilidade de hardware que provoca alterações indesejadas em bits adjacentes em chips DRAM devido ao acesso repetido a uma linha de memória. Essa nova variante permite a escalada de privilégios em sistemas desktop padrão equipados com memória DDR5, podendo comprometer chaves RSA-2048 e permitir acesso root em menos de 109 segundos. Os pesquisadores recomendam aumentar a taxa de atualização da memória para três vezes, o que impede a ativação do ataque. As descobertas ressaltam que, como os dispositivos DRAM não podem ser atualizados, a vulnerabilidade permanecerá por muitos anos, exigindo atenção contínua dos profissionais de segurança da informação.

Uma nova vulnerabilidade no IBM QRadar Security Information and Event Management (SIEM), identificada como CVE-2025-0164, permite que usuários locais privilegiados manipulem arquivos de configuração críticos, comprometendo a segurança das implementações afetadas. O problema decorre de uma atribuição inadequada de permissões e possui uma pontuação base CVSS 3.1 de 2.3. A falha permite que atacantes com privilégios elevados, como contas administrativas comprometidas ou insiders com acesso ao QRadar, possam sobrescrever ou alterar arquivos que controlam regras de detecção, políticas ou configurações de auditoria. Embora a vulnerabilidade não permita execução remota de código ou escalonamento de privilégios, ela enfraquece o modelo de defesa em profundidade, concedendo controle indevido sobre ativos sensíveis do sistema. A IBM lançou o Interim Fix 02 para a versão 7.5.0 UP13 do QRadar e recomenda que os clientes apliquem a atualização imediatamente. Além disso, é aconselhável que as organizações realizem auditorias nas contas de usuários locais e implementem autenticação multifatorial para consoles administrativos, a fim de minimizar o risco de comprometimento de credenciais.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma vulnerabilidade crítica no software DELMIA Apriso da Dassault Systèmes em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). A falha, identificada como CVE-2025-5086, possui uma pontuação CVSS de 9.0, indicando um alto nível de risco. O problema afeta versões do software desde 2020 até 2025 e pode permitir a execução remota de código, resultando em sérios riscos de segurança. A CISA alertou que tentativas de exploração estão ativas, com ataques originando-se de um endereço IP localizado no México. Os ataques envolvem o envio de uma solicitação HTTP a um endpoint específico, utilizando um payload codificado em Base64 que se decodifica para um executável malicioso. O malware identificado como ‘Trojan.MSIL.Zapchast.gen’ é projetado para espionar atividades do usuário, coletando informações sensíveis. Diante da exploração ativa, as agências do governo dos EUA foram orientadas a aplicar atualizações até 2 de outubro de 2025 para proteger suas redes.

A Samsung lançou suas atualizações mensais de segurança para o Android, incluindo um patch para uma vulnerabilidade crítica identificada como CVE-2025-21043, que possui uma pontuação CVSS de 8.8. Essa falha, relacionada a uma escrita fora dos limites no arquivo libimagecodec.quram.so, permite que atacantes remotos executem código arbitrário em dispositivos afetados. A vulnerabilidade impacta as versões 13, 14, 15 e 16 do Android e foi divulgada à Samsung em 13 de agosto de 2025. Embora a empresa não tenha fornecido detalhes sobre como a vulnerabilidade está sendo explorada, reconheceu que um exploit já está em circulação. Essa situação surge após a Google ter resolvido duas falhas de segurança em Android que também estavam sendo exploradas em ataques direcionados. A correção é essencial para proteger os usuários de dispositivos Samsung contra possíveis ataques que possam comprometer a segurança de seus dados.

Um novo exploit, denominado VMScape, foi revelado, demonstrando que os processadores AMD Zen e Intel Coffee Lake ainda são vulneráveis a ataques de execução especulativa de guest para host, apesar das mitig ações de hardware implementadas. Ao contrário de técnicas anteriores que exigiam modificações no código do hipervisor, o VMScape opera em implementações KVM baseadas em QEMU não modificadas, permitindo que um VM (máquina virtual) controlado por um atacante vaze memória do host a uma taxa de 32 bytes por janela de especulação.

Uma vulnerabilidade crítica foi descoberta nos sistemas Daikin Security Gateway, permitindo que atacantes contornem todos os controles de autenticação e acessem sistemas de controle industrial sem autorização. Identificada como CVE-2025-10127, essa falha representa um risco significativo para organizações que dependem da infraestrutura de segurança da Daikin, especialmente no setor de energia. A vulnerabilidade se origina de um mecanismo fraco de recuperação de senha, que não verifica adequadamente a identidade do usuário, permitindo que um invasor redefina credenciais administrativas ou acesse o sistema diretamente. Pesquisadores da CISA alertaram que a exploração bem-sucedida pode comprometer a confidencialidade, integridade e disponibilidade dos sistemas afetados. A Daikin não planeja emitir um patch formal, deixando a responsabilidade de proteção nas mãos das organizações. Recomendações incluem isolar dispositivos de controle de sistemas da internet e implementar medidas de segurança adicionais, como autenticação em múltiplas camadas e monitoramento contínuo de logs de acesso.

A Oracle lançou a versão 7.2.2 do VirtualBox, uma atualização crítica que visa resolver falhas na interface gráfica do usuário (GUI) que afetavam máquinas virtuais (VMs) em plataformas Windows, Linux e macOS. Publicada em 10 de setembro de 2025, essa atualização traz melhorias significativas na confiabilidade dos fluxos de trabalho de virtualização, proporcionando uma experiência de usuário mais estável. Entre as correções, destaca-se a solução para travamentos frequentes na interface do VirtualBox Manager, especialmente ao gerenciar VMs com múltiplos snapshots. Além disso, foram abordados problemas de congelamento no Linux durante a inicialização e ao adicionar novas VMs. A atualização também melhora o suporte a hosts ARM, reduzindo o uso excessivo de CPU em VMs ociosas e garantindo um desempenho mais confiável. Outras melhorias incluem suporte para novos adaptadores de rede e correções na manipulação de DNS, aumentando a estabilidade da rede. A Oracle recomenda que todos os usuários do VirtualBox atualizem imediatamente para evitar interrupções nas operações diárias das VMs.

Uma vulnerabilidade de segurança foi identificada no editor de código Cursor, que utiliza inteligência artificial. O problema ocorre porque a configuração de segurança chamada ‘Workspace Trust’ está desativada por padrão, permitindo que atacantes executem código arbitrário nos computadores dos usuários ao abrir repositórios maliciosos. A análise da Oasis Security destaca que, com essa configuração desativada, um arquivo malicioso ‘.vscode/tasks.json’ pode transformar a simples ação de abrir uma pasta em uma execução silenciosa de código malicioso. Isso pode resultar em vazamento de credenciais sensíveis ou comprometer todo o sistema do usuário. Para mitigar esse risco, os usuários devem ativar o ‘Workspace Trust’, abrir repositórios não confiáveis em editores de código alternativos e realizar auditorias antes de usar o Cursor. Além disso, a pesquisa aponta que a segurança em ferramentas de desenvolvimento baseadas em IA enfrenta desafios adicionais, como injeções de prompt e vulnerabilidades clássicas, que ampliam a superfície de ataque. A situação é preocupante, pois a segurança deve ser uma prioridade em um ambiente de desenvolvimento cada vez mais dependente de IA.

Pesquisadores de segurança alertam que o ransomware Akira está explorando uma vulnerabilidade antiga no SSLVPN da SonicWall, afetando firewalls das gerações Gen5, Gen6 e Gen7 que ainda não foram atualizados. Essa falha de controle de acesso inadequado foi descoberta e corrigida há mais de um ano, mas muitas organizações ainda não aplicaram o patch necessário. Além de atacar firewalls desatualizados, o Akira também se aproveita de configurações padrão do grupo LDAP e do acesso público ao Virtual Office Portal da SonicWall. Isso permite que usuários sem as permissões adequadas acessem o SSLVPN. Os especialistas da Rapid7 recomendam que as empresas troquem senhas de todas as contas SonicWall, configurem corretamente as políticas de autenticação multifator (MFA) e restrinjam o acesso ao Virtual Office Portal apenas a redes internas confiáveis. O Akira tem se mostrado ativo nos últimos dois anos, com um foco agressivo em dispositivos de borda, o que representa um risco significativo para as organizações que não tomarem medidas imediatas.

Uma vulnerabilidade crítica foi identificada no User-ID Credential Agent da Palo Alto Networks, afetando versões anteriores à 11.0.3 no Windows. Essa falha permite que senhas de contas de serviço sejam expostas em texto claro, especialmente quando configuradas com permissões elevadas, como as de Server Operator ou Domain Join. Um usuário de domínio não privilegiado pode explorar mecanismos de leitura de arquivos ou despejo de memória para obter essas senhas. O impacto varia conforme o nível de privilégio da conta de serviço: contas minimamente privilegiadas podem resultar em interrupções nas operações do User-ID, enquanto contas com privilégios elevados podem permitir controle total do servidor, incluindo manipulação de domínio e comprometimento da rede. A Palo Alto Networks já lançou um patch para corrigir a vulnerabilidade, e recomenda que administradores atualizem suas versões para 11.0.3 ou superiores. Enquanto isso, é aconselhável que as organizações verifiquem as permissões de logon local concedidas a usuários de domínio nos Controladores de Domínio e adotem práticas recomendadas para a criação de contas de serviço dedicadas e minimamente privilegiadas.

Um novo ataque cibernético descoberto permite que usuários autenticados do ArgoCD, uma ferramenta popular de entrega contínua para Kubernetes, roubem credenciais do GitHub. O ataque explora a resolução de DNS do Kubernetes, enganando o servidor de repositório do ArgoCD a se conectar a um serviço controlado pelo atacante em vez do verdadeiro GitHub. Ao implantar um serviço malicioso, o atacante cria um registro DNS que redireciona o domínio github.com para um IP interno do cluster. Quando o ArgoCD busca manifestos via HTTPS, o atacante utiliza um certificado personalizado para inspecionar o cabeçalho de autorização e exfiltrar credenciais, incluindo tokens de autenticação e JWTs do GitHub. Para que o ataque seja bem-sucedido, a conta do ArgoCD comprometida deve ter permissões adequadas. O artigo também sugere medidas de mitigação, como aplicar princípios de menor privilégio e monitorar o tráfego interno. Essa vulnerabilidade é uma preocupação crescente, especialmente em um cenário onde a exfiltração de informações é um tema recorrente na cibersegurança.

Uma vulnerabilidade crítica no plugin etcd do CoreDNS foi revelada, permitindo que atacantes com acesso de escrita a daemons etcd fixem entradas de cache DNS indefinidamente, interrompendo atualizações de serviço. A falha, identificada como GHSA-93mf-426m-g6x9, resulta de um uso inadequado de identificadores de lease do etcd como valores de tempo de vida (TTL), levando a durações de cache extremas que podem durar anos. Usuários do CoreDNS versão 1.2.0 e superiores devem atualizar para a versão 1.12.4 imediatamente para mitigar esse problema de alta severidade. O erro ocorre na função TTL() do arquivo plugin/etcd/etcd.go, onde um ID de lease de 64 bits é tratado como um inteiro sem sinal de 32 bits, resultando em valores de TTL extremamente altos. Isso faz com que resolvers e clientes armazenem respostas DNS por períodos muito além do esperado, ignorando mudanças legítimas de serviço. Para explorar a vulnerabilidade, um atacante precisa apenas de privilégios de escrita no etcd, que podem ser obtidos por meio de contas de serviço comprometidas ou configurações inadequadas. A atualização do CoreDNS corrige o cálculo do TTL e introduz limites configuráveis para evitar durações de cache excessivas. É recomendado que operadores de instâncias vulneráveis apliquem o patch imediatamente e revisem os controles de acesso do etcd.

Uma nova vulnerabilidade de alta severidade (CVE-2025-59052) foi descoberta na funcionalidade de renderização do lado do servidor (SSR) do Angular, colocando em risco dados de usuários. Essa falha permite que atacantes acessem informações de outras sessões durante operações de alta concorrência. O problema se origina de uma condição de corrida global no injetor da plataforma SSR do Angular, que armazena dados específicos de cada requisição durante a renderização. Quando múltiplas requisições são processadas simultaneamente, o estado do injetor global pode ser compartilhado ou sobrescrito, resultando em vazamento de dados entre requisições. Isso significa que dados sensíveis, como tokens de autenticação e configurações de usuários, podem ser inadvertidamente retornados a usuários não autorizados. A exploração da falha não requer privilégios especiais ou interação do usuário, tornando-a um risco significativo para aplicações web de alto tráfego. O Angular já lançou correções automáticas para as versões 18, 19 e 20, e recomenda que as equipes desativem o SSR ou removam lógica assíncrona de funções de bootstrap personalizadas até que as atualizações sejam implementadas.

O grupo de ransomware Akira tem intensificado seus ataques a dispositivos SonicWall, especialmente aqueles que utilizam a SSL VPN. A empresa de cibersegurança Rapid7 relatou um aumento nas intrusões envolvendo esses aparelhos, que se intensificaram após a reativação das atividades do grupo em julho de 2025. A SonicWall identificou que os ataques exploram uma vulnerabilidade de um ano (CVE-2024-40766, com pontuação CVSS de 9.3), onde senhas de usuários locais não foram redefinidas durante uma migração. A empresa recomenda que os clientes ativem o filtro de botnets e as políticas de bloqueio de contas para mitigar os riscos. Além disso, a SonicWall alertou sobre a configuração inadequada dos grupos de usuários padrão do LDAP, que pode permitir que contas comprometidas herdem permissões indevidas. O grupo Akira, que já afetou 967 vítimas desde sua criação em março de 2023, utiliza técnicas sofisticadas, como phishing e SEO, para disseminar malware e realizar operações de ransomware. As organizações são aconselhadas a rotacionar senhas, remover contas inativas e restringir o acesso ao portal Virtual Office. O Australian Cyber Security Centre também confirmou que o grupo está atacando organizações australianas vulneráveis através de dispositivos SonicWall.

Uma vulnerabilidade crítica de execução remota de código (RCE) foi identificada no Cursor AI Code Editor, permitindo que atacantes executem comandos arbitrários na máquina de um desenvolvedor assim que uma pasta de projeto é aberta. Descoberta pela equipe de pesquisa da Oasis Security, a falha explora uma configuração padrão do Cursor que desativa o recurso ‘Workspace Trust’, semelhante ao do Visual Studio Code, mas que não solicita consentimento do usuário. Com isso, um invasor pode criar um repositório malicioso contendo um arquivo .vscode/tasks.json configurado para executar comandos automaticamente ao abrir a pasta comprometida. Isso pode resultar na instalação de backdoors, exfiltração de arquivos ou modificação de configurações do sistema, colocando em risco credenciais de alto privilégio armazenadas nas estações de trabalho dos desenvolvedores. A vulnerabilidade pode ser um ponto de partida para ataques em cadeia, comprometendo pipelines de CI/CD e infraestrutura em nuvem. A Cursor reconheceu o problema e planeja publicar orientações de segurança atualizadas, enquanto recomenda-se que equipes de desenvolvimento ativem manualmente o ‘Workspace Trust’ e evitem abrir repositórios não confiáveis em ambientes isolados.

A HackerOne confirmou que seu ambiente Salesforce foi comprometido após hackers explorarem uma vulnerabilidade no aplicativo Drift, fornecido pela Salesloft. O incidente foi inicialmente sinalizado pela Salesforce em 22 de agosto e confirmado pela Salesloft no dia seguinte, afetando um subconjunto de registros dentro do ambiente da HackerOne. A empresa assegurou que controles rigorosos de segmentação impediram a exposição de dados sensíveis de vulnerabilidades dos clientes. A equipe de segurança da HackerOne ativou imediatamente os protocolos de resposta a incidentes, colaborando com a Salesforce e a Salesloft para conter a intrusão e isolar a integração comprometida. A investigação preliminar revelou que os atacantes exploraram uma falha desconhecida no mecanismo de autenticação do Drift, permitindo o sequestro de sessões e acesso a dados adjacentes no CRM. Embora registros básicos de conta e informações de contato tenham sido expostos, dados críticos como códigos proprietários e relatórios de vulnerabilidade não foram afetados. A HackerOne está auditando todas as integrações existentes e implementou verificações adicionais para mitigar riscos futuros. Clientes afetados serão notificados diretamente, e um relatório detalhado do incidente será publicado após a conclusão da investigação.

Uma falha de segurança crítica foi identificada no ponto de acesso Bluetooth Amp’ed RF BT-AP 111, que expõe sua interface administrativa baseada em HTTP sem controles de autenticação. O dispositivo, que suporta até sete conexões Bluetooth simultâneas e oferece Universal Plug and Play (UPnP) em sua porta Ethernet, permite que qualquer dispositivo na mesma rede solicite o endpoint HTTP e visualize ou modifique configurações críticas. Essa vulnerabilidade, rastreada como CVE-2025-9994, permite que atacantes não autenticados alterem modos de emparelhamento Bluetooth, ajustem parâmetros de rede e até mesmo façam upload de firmware malicioso, comprometendo completamente o dispositivo. A ausência de autenticação contraria as diretrizes do NIST, que exigem controles de segurança para dispositivos Bluetooth. A situação é especialmente preocupante para organizações que utilizam o BT-AP 111 em ambientes mistos ou não confiáveis, pois isso pode permitir que atacantes estabeleçam pontos de acesso persistentes em redes corporativas. Até o momento, não há orientações de remediação ou atualizações de firmware disponíveis, e a recomendação é isolar os dispositivos em redes seguras e monitorar acessos HTTP.

Uma nova vulnerabilidade, identificada como CVE-2025-24132, foi revelada, permitindo que atacantes explorem os protocolos sem fio do Apple CarPlay para obter privilégios de root em sistemas multimídia de veículos. Apresentada na conferência DefCon, a falha é um estouro de buffer na SDK do AirPlay, destacando os riscos críticos que veículos conectados enfrentam e a necessidade urgente de uma implementação coordenada de patches na indústria automotiva. O ataque se aproveita do emparelhamento Bluetooth padrão ‘Just Works’, permitindo que um invasor se passe por um iPhone e solicite credenciais de Wi-Fi sem interação do usuário. Uma vez conectado, o atacante pode obter informações de configuração da rede e explorar a vulnerabilidade do AirPlay. Apesar de a Apple ter lançado versões corrigidas do SDK, a adoção dessas correções por montadoras é lenta, o que deixa milhões de veículos vulneráveis. A colaboração proativa entre fabricantes de equipamentos originais (OEMs) e fornecedores de software é essencial para mitigar esses riscos e garantir que todos os veículos com CarPlay recebam proteção em tempo hábil.

O GitLab lançou atualizações de patch (18.3.2, 18.2.6 e 18.1.6) para suas edições Community e Enterprise, abordando vulnerabilidades críticas que podem resultar em negação de serviço (DoS) e ataques de Server-Side Request Forgery (SSRF). As instalações autogeridas devem atualizar imediatamente, pois a versão do GitLab.com já está corrigida. A vulnerabilidade mais grave (CVE-2025-6454) permite que usuários autenticados injetem sequências maliciosas em cabeçalhos personalizados de Webhook, potencialmente desencadeando requisições internas indesejadas. Com um CVSS de 8.5, essa falha representa um risco significativo à confidencialidade e integridade dos dados. Além disso, duas falhas de DoS de alta severidade (CVE-2025-2256 e CVE-2025-1250) podem permitir que atacantes esgotem recursos do sistema. O GitLab recomenda que os administradores atualizem suas instalações sem demora, garantindo a segurança contra esses riscos. As versões afetadas vão da 7.8 até antes das versões de patch mencionadas, e a atualização é essencial para evitar a exploração dessas vulnerabilidades.

A Sophos divulgou uma vulnerabilidade crítica de bypass de autenticação que afeta sua série de Pontos de Acesso Sem Fio AP6, permitindo que atacantes não autorizados obtenham privilégios administrativos. A falha, identificada como CVE-2025-10159, foi descoberta durante testes internos de segurança e já foi corrigida na versão mais recente do firmware. A vulnerabilidade impacta dispositivos que executam versões de firmware anteriores à 1.7.2563 (MR7). Atacantes que conseguem acessar o endereço IP de gerenciamento do ponto de acesso podem explorar essa falha para contornar os mecanismos de autenticação, comprometendo a segurança da rede. Uma vez que um invasor obtém privilégios administrativos, ele pode alterar configurações de rede, interceptar comunicações sem fio e implantar firmware malicioso. A Sophos implementou atualizações automáticas para a maioria dos clientes, mas aqueles que optaram por não usar essa configuração devem atualizar manualmente o firmware para se proteger contra essa vulnerabilidade. Administradores de rede são aconselhados a verificar suas versões de firmware e aplicar o patch imediatamente para evitar possíveis brechas de segurança.

A Adobe emitiu um alerta sobre uma vulnerabilidade crítica, identificada como CVE-2025-54236, que afeta suas plataformas Adobe Commerce e Magento Open Source. Com uma pontuação CVSS de 9.1, a falha é classificada como um problema de validação inadequada de entrada, permitindo que atacantes possam assumir o controle de contas de clientes através da API REST do Commerce. A vulnerabilidade impacta diversas versões do Adobe Commerce e Magento, incluindo versões anteriores a 2.4.9-alpha2 e 2.4.8-p2, entre outras. Embora a Adobe não tenha conhecimento de explorações ativas, a empresa lançou um hotfix e implementou regras de firewall de aplicação web (WAF) para proteger os ambientes contra tentativas de exploração. A empresa de segurança Sansec comparou essa vulnerabilidade a outras falhas significativas na história do Magento, como o Shoplift e o CosmicSting. Além disso, a Adobe também corrigiu uma vulnerabilidade crítica no ColdFusion, que poderia permitir gravações arbitrárias no sistema de arquivos. É essencial que os comerciantes que utilizam essas plataformas tomem medidas imediatas para mitigar os riscos associados a essa vulnerabilidade.

Uma vulnerabilidade crítica, identificada como SessionReaper (CVE-2025-54236), foi descoberta no Magento, levando a Adobe a interromper seu ciclo regular de atualizações para lançar um patch de emergência. Essa falha é considerada uma das mais severas na história do Magento, comparável a incidentes anteriores como Shoplift e TrojanOrder. A vulnerabilidade permite que atacantes, com acesso autenticado, manipulem configurações administrativas e injetem códigos maliciosos através da API do Magento. A exploração dessa falha pode ocorrer rapidamente, uma vez que ferramentas automatizadas de escaneamento devem ser utilizadas para identificar instâncias não corrigidas logo após a publicação do patch. A Adobe notificou seus clientes do Commerce Cloud em 4 de setembro, mas os usuários de Magento open source só foram informados em 9 de setembro, levantando preocupações sobre a transparência na distribuição de atualizações de segurança. Para mitigar os riscos, os comerciantes devem aplicar o patch imediatamente, revisar credenciais de administrador e implementar autenticação multifatorial. O cenário destaca a necessidade urgente de vigilância e defesa em camadas para proteger as lojas Magento contra essa vulnerabilidade crítica.

Uma nova técnica de exploração foi desenvolvida para a vulnerabilidade crítica do kernel Linux, identificada como CVE-2024-50264, que afeta o subsistema AF_VSOCK em versões do kernel a partir da 4.8. Essa vulnerabilidade permite que atacantes não privilegiados provoquem uma condição de uso após a liberação (UAF) no objeto virtio_vsock_sock durante operações de conexão de socket. Embora defesas anteriores, como a aleatorização de caches e o endurecimento de buckets SLAB, tenham dificultado a exploração, pesquisadores demonstraram que uma combinação de novos métodos e temporização precisa pode contornar essas mitigativas. Utilizando o framework de teste open-source kernel-hack-drill, os pesquisadores criaram uma cadeia de exploração que interrompe a chamada de sistema connect() com um sinal POSIX ‘imortal’, permitindo a exploração sem encerrar o processo. Após a liberação do objeto vulnerável, o ataque utiliza uma abordagem de alocação cruzada para recuperar o objeto e corromper estruturas críticas do kernel, permitindo a elevação de privilégios. Com a CVE-2024-50264 agora considerada explorável em kernels endurecidos, é crucial que as equipes de segurança priorizem a implementação de patches e reavaliem as estratégias de endurecimento de objetos do kernel.

O ransomware LunaLock emergiu como uma nova ameaça, atacando artistas independentes e clientes de arte digital ao comprometer a plataforma Artists & Clients, um mercado popular para obras encomendadas. Em 8 de setembro de 2025, os operadores do LunaLock anunciaram que conseguiram invadir a infraestrutura da plataforma, exfiltrando arquivos sensíveis e criptografando bancos de dados críticos, exigindo um resgate substancial em criptomoeda. A análise forense preliminar revelou que os atacantes exploraram uma vulnerabilidade zero-day no módulo de autenticação da aplicação web, utilizando uma injeção SQL para contornar a autenticação multifatorial e obter privilégios administrativos. Uma vez dentro, eles implantaram um carregador personalizado que desativou a proteção em tempo real do Windows Defender e um módulo de exfiltração que buscou arquivos de arte e dados pessoais dos clientes, criptografando-os com AES-256-GCM. O ransomware, por sua vez, utilizou RSA-4096 para criptografar os arquivos, adicionando a extensão .luna. Os atacantes ameaçaram publicar os dados roubados em sites de vazamento caso o resgate não fosse pago em até 72 horas. A equipe de segurança da Artists & Clients já tomou medidas, como a desativação dos servidores afetados e a implementação de agentes de detecção e resposta em endpoints para mitigar a situação. Especialistas em cibersegurança recomendam que organizações do setor criativo adotem controles de acesso de menor privilégio e mantenham backups offline para se protegerem contra tais ataques.

Pesquisadores da empresa ERNW descobriram uma vulnerabilidade crítica no Windows Hello, sistema de login que utiliza reconhecimento facial, permitindo que hackers acessem computadores usando o rosto de outra pessoa. Denominado Faceplant, o ataque foi apresentado na conferência Black Hat 2025. O método envolve o cadastro do rosto do hacker em um computador que gera um modelo biométrico. Após isso, os criminosos extraem e injetam esse modelo na base de dados biométrica da vítima, permitindo que se passem pelo usuário legítimo. Essa técnica é mais sofisticada que o ataque anterior, conhecido como Face Swap, que trocava identificadores entre contas já cadastradas. Para realizar o ataque, o hacker precisa de permissões de administrador, que podem ser obtidas através de malwares ou phishing. Para se proteger, recomenda-se desconfiar de mensagens suspeitas e utilizar autenticação em dois fatores.

Uma vulnerabilidade crítica foi identificada na plataforma Argo CD, amplamente utilizada para entrega contínua em ambientes Kubernetes. Essa falha permite que tokens de API com permissões básicas de projeto acessem credenciais sensíveis de repositórios, incluindo nomes de usuário e senhas. A vulnerabilidade, designada como GHSA-786q-9hcg-v9ff, foi revelada pelo pesquisador de segurança Michael Crenshaw e afeta todas as versões do Argo CD a partir da 2.2.0-rc1.

O problema ocorre no endpoint da API de detalhes do projeto (/api/v1/projects/{project}/detailed), onde tokens com permissões padrão podem recuperar credenciais sem a necessidade de acesso explícito a segredos. Isso representa uma séria escalada de privilégios, pois tokens destinados a operações rotineiras de aplicação obtêm acesso não autorizado a dados de autenticação sensíveis. A falha não se limita apenas a permissões de nível de projeto, mas também se estende a qualquer token com permissões de obtenção de projeto, aumentando o impacto potencial em implementações empresariais do Argo CD.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta sobre uma vulnerabilidade crítica no WhatsApp, identificada como CVE-2025-55177, que já está sendo explorada por cibercriminosos em campanhas de ataque. Essa falha de zero-day afeta a funcionalidade de sincronização de dispositivos do aplicativo, permitindo que atacantes manipulem mensagens de sincronização e forcem dispositivos a processar conteúdo malicioso. O problema reside em uma verificação de autorização incorreta no framework de sincronização entre dispositivos, classificada como CWE-863. A CISA estabeleceu um prazo até 23 de setembro para que agências federais e organizações de infraestrutura crítica implementem correções. A exploração dessa vulnerabilidade pode levar a acessos não autorizados, exfiltração de dados e instalação de malware, ampliando significativamente o risco para os usuários do WhatsApp. A natureza silenciosa do ataque, que não requer interação do usuário, torna a conscientização tradicional ineficaz contra essa ameaça.

Uma falha crítica de segurança foi identificada no Apache Jackrabbit, um sistema de repositório de conteúdo baseado em Java, que pode colocar milhares de aplicações empresariais em risco de execução remota de código (RCE). A vulnerabilidade, rastreada como CVE-2025-58782, afeta os componentes Apache Jackrabbit Core e JCR Commons, sendo classificada como importante. O problema decorre da desserialização insegura de dados não confiáveis por meio de buscas de repositório baseadas em JNDI, permitindo que atacantes executem código arbitrário em sistemas vulneráveis.

Recentemente, a TP-Link confirmou uma vulnerabilidade crítica em vários modelos de roteadores, que ainda não possui correção. A falha, identificada pelo pesquisador Mehrun da ByteRay, é uma vulnerabilidade de zero-day relacionada à sobrecarga de buffer no Protocolo de Gerenciamento CPE WAN (CWMP). Essa falha permite a execução remota de códigos maliciosos, especialmente quando o tamanho dos buffers ultrapassa 3072 bytes. Os atacantes podem explorar essa vulnerabilidade através de um servidor CWMP malicioso, comprometendo roteadores que utilizam credenciais padrão ou firmwares desatualizados. Modelos como Archer AX10 e AX1500 já foram confirmados como vulneráveis, e a TP-Link está desenvolvendo um patch para modelos fora da Europa. Enquanto isso, recomenda-se que os usuários alterem as senhas padrão, desativem o CWMP se não for necessário e atualizem seus dispositivos para a versão mais recente do firmware. A situação é preocupante, especialmente considerando que botnets têm explorado falhas em roteadores para disseminar malware e roubar credenciais, como observado em ataques recentes.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) elevou a prioridade de uma nova vulnerabilidade zero-day no componente Android Runtime, classificando-a como de alta gravidade. A falha, identificada como CVE-2025-48543, resulta de um erro de uso após a liberação de memória, permitindo que atacantes escapem do sandbox do Chrome e executem código arbitrário, potencialmente elevando privilégios a nível root em dispositivos Android. A CISA recomenda que organizações e usuários finais implementem medidas de mitigação até 25 de setembro de 2025 para evitar possíveis violações de dados ou controle não autorizado de dispositivos. A vulnerabilidade é especialmente preocupante devido à ampla adoção do Android, que opera bilhões de dispositivos globalmente, expondo dados pessoais e credenciais a agentes maliciosos. As recomendações incluem verificar atualizações de firmware, endurecer configurações do Android Runtime e implementar diretrizes operacionais para monitoramento. Embora não haja evidências de ligação com campanhas de ransomware, a urgência para a aplicação de patches é destacada, uma vez que sistemas não corrigidos permanecerão vulneráveis a acessos não autorizados e exfiltração de dados.

Uma vulnerabilidade de alta severidade no SAP S/4HANA, identificada como CVE-2025-42957 e com um score CVSS de 9.9, está sendo ativamente explorada. Essa falha permite que um usuário com privilégios baixos, que possua acesso mínimo ao SAP, realize injeção de código remoto, resultando em uma tomada de controle total do sistema. A vulnerabilidade foi descoberta pelo SecurityBridge em 27 de junho de 2025 e divulgada de forma responsável à SAP, que lançou correções em 11 de agosto de 2025. No entanto, tentativas de exploração já foram observadas no mundo real. Para que um ataque seja bem-sucedido, é necessário apenas um usuário SAP válido com acesso a um módulo RFC vulnerável e a autorização S_DMIS com atividade 02. Uma vez explorada, a falha permite ao atacante executar código ABAP arbitrário, modificar ou excluir registros no banco de dados SAP, criar novos usuários administrativos com privilégios totais e até implantar ransomware. As organizações que utilizam SAP S/4HANA, tanto em ambientes on-premise quanto em nuvem privada, devem aplicar as atualizações de segurança imediatamente para mitigar esse risco crítico.

Uma vulnerabilidade crítica de segurança, identificada como CVE-2025-42957, está afetando o software SAP S/4HANA, amplamente utilizado para gestão empresarial. Com uma pontuação CVSS de 9.9, essa falha permite a injeção de código ABAP arbitrário por atacantes com privilégios de usuário, comprometendo a confidencialidade, integridade e disponibilidade do sistema. A exploração bem-sucedida pode levar a sérias consequências, como a modificação de bancos de dados, criação de contas de superusuário e instalação de ransomware. A empresa SecurityBridge alertou que a exploração ativa já foi observada, afetando tanto as edições on-premise quanto as de nuvem privada. Embora a exploração em larga escala ainda não tenha sido detectada, a facilidade de engenharia reversa do patch torna a situação alarmante. As organizações são aconselhadas a aplicar os patches imediatamente, monitorar logs em busca de chamadas RFC suspeitas e implementar medidas de segmentação e backup adequadas. Recomenda-se também a implementação do SAP UCON para restringir o uso de RFC e revisar o acesso ao objeto de autorização S_DMIS.

Pesquisadores de segurança revelaram uma vulnerabilidade de estouro de buffer baseada em heap no Driver de Serviço WOW Thunk de Streaming do Kernel do Windows, identificado como CVE-2025-53149. A falha, localizada no componente ksthunk.sys, foi divulgada de forma responsável à Microsoft, que já lançou um patch para corrigir a vulnerabilidade. Essa falha crítica permite que atacantes executem código arbitrário com privilégios elevados por meio de solicitações IOCTL (Input/Output Control) maliciosas. A vulnerabilidade se origina na função CKSAutomationThunk::HandleArrayProperty(), que não valida corretamente os tamanhos dos buffers de saída durante operações de recuperação de propriedades de dispositivos multimídia. O problema ocorre quando o código não verifica adequadamente o comprimento do buffer de saída em relação ao tamanho real dos dados retornados, resultando em uma condição de estouro de buffer. Para explorar essa vulnerabilidade, os atacantes precisam criar solicitações IOCTL direcionadas a dispositivos multimídia que implementam os manipuladores de propriedades afetados. A Microsoft implementou validações adicionais no código para mitigar o risco de exploração. Organizações que utilizam sistemas Windows com hardware multimídia especializado devem priorizar a aplicação das atualizações de segurança de agosto de 2025 para evitar riscos de exploração associados a essa vulnerabilidade.

A Microsoft reconheceu que a atualização de segurança de agosto de 2025 (KB5063878) está gerando prompts inesperados do Controle de Conta de Usuário (UAC) para usuários não administradores ao tentar reparar ou atualizar certos aplicativos. Essa mudança foi implementada para reforçar a segurança do Windows Installer, corrigindo uma vulnerabilidade (CVE-2025-50173) que poderia ser explorada por atacantes. Como consequência, programas comuns, como AutoCAD e Civil 3D, agora solicitam aprovação de administrador para operações que antes eram realizadas sem essa necessidade. Além disso, aplicativos mais antigos, como o Office 2010, podem falhar completamente quando executados em contas padrão. A Microsoft planeja, em atualizações futuras, permitir que administradores de TI aprovem aplicativos específicos para realizar essas operações de reparo sem interrupções constantes. Até que essa solução seja implementada, os usuários devem estar cientes de que a exigência de permissões administrativas não indica um problema com os aplicativos, mas sim uma medida de segurança adicional do Windows.

Em 3 de setembro de 2025, a equipe de desenvolvimento do Django lançou três atualizações de segurança para corrigir uma vulnerabilidade de injeção SQL de alta gravidade, identificada como CVE-2025-57833. Essa falha afeta as versões 5.2.6, 5.1.12 e 4.2.24 do popular framework web em Python, especificamente na funcionalidade FilteredRelation. A vulnerabilidade permite que atacantes maliciosos explorem o sistema utilizando dicionários especialmente elaborados como argumentos de palavras-chave passados para os métodos QuerySet.annotate() ou QuerySet.alias(). O impacto potencial inclui a execução remota de código e comprometimento severo de dados, tornando a atualização imediata essencial. A equipe de segurança do Django recomenda que todos os usuários atualizem para as versões mais recentes, que estão disponíveis para download com assinaturas digitais para garantir a autenticidade. Essa situação ressalta a importância da comunidade de segurança em identificar e relatar ameaças, além de reforçar a necessidade de práticas de divulgação responsável para proteger os usuários antes que as vulnerabilidades se tornem amplamente conhecidas.

Em 4 de setembro de 2025, Mandiant e Sitecore divulgaram uma vulnerabilidade zero-day, identificada como CVE-2025-53690, que afeta produtos populares da Sitecore. A falha permite a execução remota de código, explorando chaves de máquina ASP.NET expostas para criar payloads maliciosos no ViewState, comprometendo servidores e permitindo infiltração na rede. A vulnerabilidade, originada em guias de implantação legados, impacta diversas implementações locais e gerenciadas por clientes, levando a Sitecore a emitir avisos urgentes e patches. Os atacantes, ao explorar essa falha, conseguiram comprometer servidores e realizar reconhecimento profundo da rede, utilizando ferramentas como WEEPSTEEL e EARTHWORM para coletar informações do sistema. Em resposta, a Sitecore recomendou a rotação das chaves de máquina e a ativação da validação e criptografia do ViewState. Organizações que utilizam ASP.NET devem adotar essas práticas para se proteger contra ameaças semelhantes, uma vez que a falha pode ter implicações significativas na segurança e conformidade, especialmente em relação à LGPD.

O FBI emitiu um alerta sobre uma campanha em andamento de operadores cibernéticos do Serviço Federal de Segurança da Rússia (FSB), conhecida como Centro 16, que visa equipamentos de rede legados. A exploração de uma vulnerabilidade não corrigida, CVE-2018-0171, na funcionalidade Smart Install (SMI) da Cisco, permite que atacantes remotos acessem arquivos de configuração dos dispositivos e, em alguns casos, injetem modificações maliciosas que garantem acesso não autorizado persistente. Essa vulnerabilidade, divulgada pela primeira vez em 2018, afeta dispositivos Cisco que utilizam o SMI sem exigir autenticação do usuário. O FBI observou que os operadores russos estão atacando milhares de dispositivos de rede associados a organizações dos EUA em setores críticos, como sistemas de controle industrial e tecnologia operacional, levantando preocupações sobre possíveis interrupções em serviços essenciais. O FBI recomenda que as organizações apliquem imediatamente atualizações de software da Cisco, desativem o SMI onde não for possível aplicar atualizações e implementem monitoramento contínuo de arquivos de configuração. A situação destaca a importância de práticas rigorosas de higiene cibernética, especialmente em um cenário onde a infraestrutura de rede está envelhecendo e as atividades patrocinadas pelo estado estão se intensificando.

Uma grave vulnerabilidade de segurança foi identificada no extensor de alcance sem fio TP-Link TL-WA855RE, permitindo que atacantes maliciosos comprometam completamente a segurança do dispositivo e obtenham acesso administrativo não autorizado. Classificada como CWE-306 (Falta de Autenticação para Função Crítica), essa falha representa uma ameaça significativa à segurança da infraestrutura de rede. O problema permite que atacantes não autenticados, operando na mesma rede, executem um reset de fábrica e sequência de reinicialização ao enviar uma solicitação POST TDDP_RESET especialmente elaborada. Isso contorna todos os mecanismos de autenticação existentes, permitindo que os atacantes redefinam o dispositivo para as configurações de fábrica e estabeleçam novas credenciais administrativas. A vulnerabilidade explora a implementação do protocolo TDDP (TP-Link Device Discovery Protocol) no firmware do TL-WA855RE. Especialistas recomendam a descontinuação imediata dos dispositivos afetados, especialmente se estiverem fora do suporte. Para organizações que não podem substituir o equipamento imediatamente, a segmentação de rede e o monitoramento de atividades suspeitas são medidas recomendadas para mitigar riscos temporariamente.

A Apache Software Foundation anunciou a correção de uma vulnerabilidade crítica no Apache DolphinScheduler, uma plataforma popular de orquestração de fluxos de trabalho distribuídos. Classificada como ‘Permissões Padrão Incorretas’, a falha afeta todas as versões anteriores à 3.2.2 e foi avaliada com baixa severidade. A vulnerabilidade resulta de configurações inadequadas de permissões padrão, permitindo acesso não autorizado a dados sensíveis e funções administrativas. Embora detalhes técnicos sobre o mecanismo de exploração não tenham sido divulgados, a falha pode permitir que atacantes contornem controles de acesso e obtenham privilégios elevados. A versão 3.3.1 já está disponível e deve ser instalada imediatamente pelos usuários afetados, evitando a versão intermediária 3.2.2. Além da atualização, é recomendado que as organizações revisem suas configurações de permissão e realizem auditorias para detectar acessos não autorizados. A Apache enfatiza a importância de manter versões atualizadas e participar de programas de reporte de segurança.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma falha de segurança de alta severidade, identificada como CVE-2020-24363, no catálogo de Vulnerabilidades Conhecidas (KEV). Essa vulnerabilidade afeta produtos extensor de Wi-Fi TP-Link TL-WA855RE e permite que atacantes não autenticados na mesma rede realizem um reset de fábrica e obtenham acesso administrativo ao dispositivo. A CISA alerta que essa falha já está sendo explorada ativamente. Embora a vulnerabilidade tenha sido corrigida na versão de firmware TL-WA855RE(EU)_V5_200731, o produto atingiu o status de fim de vida (EoL), o que significa que não receberá mais atualizações ou patches. Os usuários são aconselhados a substituir seus dispositivos por modelos mais novos para garantir uma proteção adequada. Além disso, a CISA também adicionou uma falha no WhatsApp, que está sendo explorada em uma campanha de spyware direcionada. As agências do governo federal dos EUA têm até 23 de setembro de 2025 para aplicar as mitig ações necessárias para ambas as vulnerabilidades.

Uma vulnerabilidade crítica foi identificada no componente do servidor web ESPHome na plataforma ESP-IDF, permitindo que hackers acessem dispositivos de casa inteligente sem credenciais válidas. O problema decorre do manuseio inadequado do cabeçalho de autenticação HTTP Basic, que anula efetivamente a autenticação nos dispositivos afetados. A falha permite que qualquer prefixo da string de credenciais correta, incluindo uma string vazia, passe na verificação de autenticação. Isso significa que um invasor pode obter acesso completo à interface do servidor web, incluindo a funcionalidade de atualização Over-the-Air (OTA), sem necessidade de conhecimento de usuário ou senha. As implicações de segurança são graves, pois permitem o controle não autenticado de dispositivos como luzes e fechaduras, além da possibilidade de injeção de firmware malicioso. A vulnerabilidade foi corrigida nas versões ESPHome 2025.8.1 e posteriores. Enquanto os dispositivos não forem atualizados, recomenda-se desativar o componente web_server e implementar controles de rede para restringir o acesso. Fabricantes devem incentivar os usuários a aplicar as atualizações imediatamente, uma vez que manter o software atualizado é crucial para a segurança dos ambientes conectados.

Uma avaliação recente de cibersegurança realizada pela equipe HUNTER da Resecurity revelou uma falha crítica no Azure Active Directory (Azure AD), onde credenciais de aplicativos, como ClientId e ClientSecret, foram expostas em um arquivo appsettings.json acessível publicamente. Essa configuração inadequada permite que atacantes realizem solicitações de token não autorizadas contra os endpoints OAuth 2.0 da Microsoft, possibilitando acesso direto a dados do Microsoft Graph e Microsoft 365.

No cenário revelado, o arquivo appsettings.json continha informações sensíveis que, se acessadas, permitem que um invasor execute o fluxo de credenciais do cliente OAuth 2.0, obtendo um token de acesso que concede acesso programático a endpoints da API Graph. Com isso, os atacantes podem recuperar dados sensíveis de serviços como SharePoint e OneDrive, enumerar usuários e grupos, e até mesmo implantar aplicativos maliciosos sob o inquilino comprometido.

A HashiCorp divulgou uma vulnerabilidade crítica no Vault, identificada como CVE-2025-6203, que afeta as edições Community e Enterprise entre as versões 1.15.0 e 1.20.2. Essa falha permite que atacantes criem payloads JSON complexos que, embora respeitem o limite de tamanho de requisição padrão (32 MiB), podem causar alocação excessiva de memória e alto consumo de CPU, resultando em negação de serviço (DoS) ao deixar o servidor inoperante. A vulnerabilidade foi detalhada no boletim de segurança HCSEC-2025-24, publicado em 28 de agosto de 2025. Para mitigar os riscos, a HashiCorp recomenda que as organizações atualizem para as versões 1.20.3, 1.19.9, 1.18.14 ou 1.16.25, onde a falha foi corrigida. Além disso, novas configurações de listener podem ser aplicadas para limitar a complexidade dos payloads JSON, como profundidade máxima de JSON e tamanho máximo de strings. As empresas são incentivadas a migrar para o novo HCP Vagrant Registry, que oferece uma solução gerenciada para armazenamento e distribuição de artefatos Vagrant, garantindo maior resiliência operacional e segurança da infraestrutura.

Pesquisadores de segurança identificaram uma vulnerabilidade crítica, chamada AR-Slip, na versão 4.4.0 da ferramenta MobSF, que permite a usuários autenticados sobrescrever arquivos arbitrários no sistema de arquivos do host. Essa falha, registrada como GHSA-9gh8-9r95-3fc3, resulta de uma validação insuficiente de nomes de arquivos absolutos durante a extração de bibliotecas estáticas. O problema ocorre quando a função ar_extract não verifica adequadamente se os caminhos são relativos, permitindo que um atacante sobrescreva arquivos críticos, como bancos de dados e arquivos de configuração. Para mitigar os riscos, os usuários devem atualizar para a versão 4.4.1, que corrige essa vulnerabilidade ao normalizar os nomes dos arquivos e garantir que os caminhos de extração permaneçam dentro do diretório designado. A exploração dessa vulnerabilidade pode levar a distorções de integridade, interrupções de serviço e até mesmo escalonamento de privilégios em sistemas mal configurados. Portanto, é crucial que as equipes de segurança implementem práticas de verificação rigorosas para evitar tais falhas no futuro.

Uma vulnerabilidade crítica foi identificada no sistema de gerenciamento Fleet da SUSE, que expõe dados sensíveis de configuração do Helm devido ao armazenamento não criptografado. O problema está relacionado ao manuseio de informações sensíveis através de recursos BundleDeployment, que são armazenados em formato de texto simples, permitindo que qualquer usuário com permissões de GET ou LIST acesse valores do Helm que contêm credenciais, chaves de API e senhas. Diferente do Helm v3, que utiliza segredos do Kubernetes para proteger esses dados, a implementação do Fleet não adota essas salvaguardas, deixando os valores vulneráveis tanto no nível de armazenamento quanto nas respostas da API. A SUSE já lançou patches que alteram fundamentalmente a forma como o Fleet lida com dados sensíveis, introduzindo capacidades de armazenamento de segredos dedicadas para cada recurso Bundle e BundleDeployment, garantindo criptografia e controles de acesso adequados. Organizações são aconselhadas a revisar suas implementações do Fleet e a implementar políticas de controle de acesso para mitigar os riscos enquanto os patches são aplicados.

No dia 31 de agosto de 2025, pesquisadores de segurança revelaram a vulnerabilidade CVE-2025-29927, que afeta o framework Next.js. Essa falha permite que atacantes contornem a autenticação ao manipular o cabeçalho x-middleware-subrequest, possibilitando o acesso não autorizado a rotas protegidas. O problema ocorre devido ao tratamento inadequado desse cabeçalho nas middleware do Next.js, que é utilizado para diferenciar subrequisições internas de chamadas HTTP externas. Ao forjar esse cabeçalho, um invasor pode fazer com que o servidor trate uma solicitação externa como uma subrequisição, ignorando as verificações de autorização. A vulnerabilidade se manifesta de maneiras diferentes nas versões do Next.js, sendo mais crítica nas versões anteriores à 12.2, onde a exploração é mais direta. Para mitigar os riscos, recomenda-se a atualização para a versão 13.2.1 ou superior, que corrige a lógica de parsing do cabeçalho e implementa verificações de autorização explícitas. Organizações que utilizam o Next.js devem auditar suas implementações de middleware e aplicar patches imediatamente para proteger suas aplicações contra esse exploit de alto risco.

Um pesquisador de segurança, Bálint Magyar, revelou uma vulnerabilidade crítica no Google Web Designer para Windows, que afeta versões anteriores à 16.4.0.0711. A falha permite a execução remota de código (RCE) através da injeção de CSS no arquivo de configuração gwd_workspace.json. Os atacantes podem inserir regras CSS maliciosas que, quando ativadas, acionam a API interna do Chrome, permitindo que comandos arbitrários sejam executados no computador da vítima. Essa vulnerabilidade é particularmente preocupante, pois requer apenas a interação mínima do usuário, como abrir um documento malicioso e selecionar uma opção no seletor de cores. O Google já lançou uma atualização que corrige essa falha, e os usuários são aconselhados a atualizar imediatamente para evitar possíveis ataques. Além disso, as equipes de segurança devem auditar arquivos gwd_workspace.json personalizados e restringir o acesso a compartilhamentos de arquivos de rede para mitigar riscos adicionais. Essa descoberta ressalta os perigos de misturar componentes nativos e da web em aplicações modernas, enfatizando a necessidade de validação rigorosa de entradas e isolamento de APIs internas.

Pesquisadores de segurança da watchTowr Labs revelaram uma cadeia de vulnerabilidades críticas no Sitecore Experience Platform, que afeta mais de 22.000 instâncias globalmente. A principal falha, CVE-2025-53693, permite a manipulação do cache HTML sem autenticação, possibilitando que atacantes injetem conteúdo malicioso em páginas acessadas pelos usuários. A exploração se dá através do endpoint GET /-/xaml/Sitecore.Shell.Xaml.WebControl, onde parâmetros HTTP específicos são utilizados para sobrescrever o conteúdo legítimo do cache.

Além disso, a CVE-2025-53694 expõe a API ItemService, permitindo que atacantes enumerem itens cacheáveis e suas configurações, facilitando ataques de envenenamento de cache. A cadeia culmina na CVE-2025-53691, que permite a execução remota de código através de uma falha de desserialização insegura, onde atacantes com permissões de editor de conteúdo podem injetar código malicioso. A Sitecore lançou patches em junho e julho de 2025, e organizações que utilizam a plataforma devem aplicar as atualizações imediatamente para evitar a exploração dessas falhas.

Em uma divulgação crítica datada de 29 de agosto de 2025, a IBM confirmou que certas versões do watsonx Orchestrate Cartridge para Cloud Pak for Data são vulneráveis a uma falha de Blind SQL Injection (CVE-2025-0165). Essa vulnerabilidade permite que atacantes autenticados manipulem registros de banco de dados. A falha está presente nas versões 4.8.4 a 4.8.5 e 5.0.0 a 5.2, onde a sanitização de entrada é inadequada, permitindo a injeção de comandos SQL maliciosos. A IBM classificou a vulnerabilidade com um CVSS 3.1 Base Score de 7.6, indicando um alto impacto em confidencialidade, com consequências limitadas para integridade e disponibilidade. A exploração dessa falha pode resultar na divulgação não autorizada de dados sensíveis, como credenciais e informações pessoais. Para mitigar os riscos, a IBM recomenda uma atualização imediata para a versão 5.2.0.1, que implementa a parametrização de entrada e a aplicação de instruções preparadas. Organizações que não puderem aplicar o patch devem implementar regras de firewall de aplicação web (WAF) para bloquear cargas úteis comuns de SQL injection e restringir o acesso à interface de gerenciamento do IBM Cloud Pak for Data.

O WhatsApp anunciou a correção de uma vulnerabilidade de segurança em seus aplicativos para iOS e macOS, identificada como CVE-2025-55177, com uma pontuação CVSS de 8.0, indicando um risco elevado. Essa falha está relacionada à autorização insuficiente de mensagens de sincronização de dispositivos vinculados, o que poderia permitir que um usuário não autorizado processasse conteúdo de uma URL arbitrária no dispositivo de um alvo. A vulnerabilidade afeta versões anteriores do WhatsApp para iOS (antes da 2.25.21.73), WhatsApp Business para iOS (2.25.21.78) e WhatsApp para Mac (2.25.21.78). A empresa também alertou que essa falha poderia ser combinada com outra vulnerabilidade da Apple, CVE-2025-43300, que foi utilizada em ataques direcionados a indivíduos específicos. O ataque, descrito como um ‘zero-click’, não requer interação do usuário, aumentando a gravidade da situação. O WhatsApp notificou usuários que acreditam ter sido alvos de uma campanha de spyware avançada e recomendou a realização de um reset de fábrica nos dispositivos afetados, além de manter os aplicativos atualizados. A situação destaca a crescente ameaça de spyware a jornalistas e defensores dos direitos humanos.