Xerox

Pesquisadores de cibersegurança da Horizon3.ai identificaram duas vulnerabilidades críticas, CVE-2025-8355 e CVE-2025-8356, no Xerox FreeFlow Core, uma plataforma amplamente utilizada para orquestração de impressão em empresas, universidades e órgãos governamentais. Essas falhas permitem que atacantes remotos não autenticados comprometam completamente o sistema por meio de injeção de Entidades Externas XML (XXE) e ataques de travessia de caminho. A descoberta começou com um chamado de suporte de um cliente que relatou uma detecção falsa positiva em seu sistema de segurança, levando os pesquisadores a investigar mais a fundo. A vulnerabilidade XXE permite ataques de falsificação de requisições do lado do servidor, enquanto a falha de travessia de caminho possibilita o upload de arquivos maliciosos, resultando em execução remota de código. Dada a natureza sensível das implementações do FreeFlow Core, que lidam com materiais de marketing pré-publicação, essas vulnerabilidades representam um risco significativo. A Xerox já lançou patches para ambas as falhas na versão 8.0.5 do FreeFlow Core, e os especialistas recomendam que todos os usuários atualizem imediatamente para evitar possíveis explorações.

Recentemente, a Zoom e a Xerox divulgaram correções para vulnerabilidades críticas em seus softwares, que podem permitir escalonamento de privilégios e execução remota de código. A falha na Zoom, identificada como CVE-2025-49457, possui um alto índice de severidade (CVSS 9.6) e afeta diversas versões do Zoom Clients para Windows, permitindo que um usuário não autenticado realize uma escalada de privilégios através de acesso à rede. Os produtos impactados incluem o Zoom Workplace e o Zoom Rooms, todos antes da versão 6.3.10.