Xss

A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) identificou duas vulnerabilidades críticas no Roundcube Webmail, um cliente de e-mail amplamente utilizado, especialmente em servidores que operam com cPanel. A primeira, CVE-2025-49113, é uma falha de execução remota de código que está sendo ativamente explorada por agentes maliciosos, com mais de 84.000 instalações vulneráveis. A segunda vulnerabilidade, CVE-2025-68461, permite ataques de cross-site scripting (XSS) por atacantes remotos e não autenticados, utilizando a tag animate em documentos SVG. Ambas as falhas foram adicionadas ao catálogo de vulnerabilidades conhecidas da CISA, que exige que as agências federais dos EUA apliquem patches em suas instalações em até três semanas. O Roundcube já lançou versões atualizadas (1.6.12 e 1.5.12) para corrigir essas falhas. A CISA também monitora outras vulnerabilidades no Roundcube, que têm sido alvo de grupos de cibercrime e ameaças patrocinadas por estados, como o grupo russo Winter Vivern. A situação é crítica, e a CISA recomenda a atualização imediata das instalações afetadas.

Pesquisadores da CyberArk descobriram uma vulnerabilidade de cross-site scripting (XSS) no painel de controle utilizado por hackers para disseminar o malware StealC. Essa falha permitiu que os especialistas coletassem informações cruciais, como impressões digitais e cookies, para interromper as operações dos cibercriminosos. O StealC, um infostealer que opera sob o modelo de Malware-as-a-Service (MaaS), foi identificado pela primeira vez em janeiro de 2023 e é distribuído por meio de cracks corrompidos de softwares populares, utilizando o YouTube como fachada. O vazamento do código-fonte do painel de gerenciamento do malware facilitou a análise da vulnerabilidade, que é comum em injeções do lado do cliente. Embora os detalhes da falha não tenham sido divulgados para evitar que os hackers a corrigissem, a situação destaca a importância de monitorar e proteger sistemas contra esse tipo de ataque. A falta de medidas de proteção adequadas permitiu que os cookies dos servidores comprometidos vazassem durante a coleta de dados, expondo informações sensíveis dos usuários.

Pesquisadores de cibersegurança da CyberArk conseguiram acessar o painel de controle do malware StealC, um infostealer amplamente utilizado por cibercriminosos. Essa invasão foi possível devido a uma falha de vazamento de código-fonte e uma vulnerabilidade de cross-site scripting (XSS). O StealC é capaz de coletar dados sensíveis, como credenciais de navegadores, cookies e informações de carteiras de criptomoedas. Durante a investigação, os pesquisadores identificaram um ator de ameaças conhecido como ‘YouTubeTA’, que utilizou credenciais roubadas para invadir canais legítimos do YouTube, resultando na coleta de 390 mil senhas e 30 milhões de cookies. A análise revelou detalhes sobre o dispositivo utilizado pelo atacante, que não utilizou uma VPN em uma de suas sessões, expondo seu endereço IP vinculado a um provedor de internet na Ucrânia. A divulgação dessas informações pode atrair mais atenção sobre o StealC, potencialmente interrompendo suas operações. Essa situação destaca a importância de monitorar e mitigar ameaças emergentes no cenário de cibersegurança.

Pesquisadores de cibersegurança revelaram uma vulnerabilidade de cross-site scripting (XSS) no painel de controle web utilizado pelos operadores do malware StealC, um ladrão de informações que surgiu em janeiro de 2023. Essa falha permitiu a coleta de dados críticos sobre os usuários do malware, incluindo impressões digitais do sistema e cookies de sessão. O StealC opera sob um modelo de malware como serviço (MaaS), utilizando plataformas como o YouTube para distribuir o software malicioso disfarçado de cracks de programas populares. O painel atualizado, conhecido como StealC V2, foi comprometido após o vazamento do código-fonte, permitindo que pesquisadores identificassem detalhes sobre os computadores dos operadores, como localização e hardware. A vulnerabilidade XSS é uma injeção de código JavaScript malicioso que pode ser explorada para roubar cookies e acessar informações sensíveis. O caso destaca a ironia de um grupo especializado em roubo de cookies não ter implementado medidas básicas de segurança. Além disso, um cliente do StealC, identificado como YouTubeTA, utilizou a plataforma para distribuir o malware, acumulando um grande número de credenciais roubadas. A pesquisa também revelou falhas na segurança operacional do ator, que expôs sua localização ao não usar uma VPN. Isso evidencia os riscos que os operadores de malware enfrentam, mesmo em suas próprias infraestruturas.

Uma falha de cross-site scripting (XSS) no painel de controle web do malware StealC permitiu que pesquisadores observassem sessões ativas e coletassem informações sobre o hardware dos atacantes. O StealC, que surgiu em 2023, ganhou notoriedade por suas capacidades de evasão e roubo de dados. Com a versão 2.0, lançada em abril, o desenvolvedor introduziu suporte para bots do Telegram e um novo construtor que gera versões personalizadas do malware. A falha XSS descoberta pela CyberArk possibilitou a coleta de impressões digitais de navegadores e hardware dos operadores, além de permitir o sequestro de sessões. Um caso notável envolveu um cliente do StealC, conhecido como ‘YouTubeTA’, que comprometeu canais legítimos do YouTube e coletou mais de 5.000 logs de vítimas, resultando no roubo de aproximadamente 390.000 senhas e 30 milhões de cookies. A localização do atacante foi revelada quando ele não utilizou uma VPN, expondo seu IP real vinculado a um provedor de internet ucraniano. A CyberArk optou por não divulgar detalhes da vulnerabilidade para evitar que os operadores do StealC a corrigissem rapidamente, visando causar interrupções nas operações do malware.

A Microsoft anunciou que, a partir de outubro de 2026, implementará melhorias na segurança da autenticação do Entra ID, bloqueando ataques de injeção de scripts não autorizados. A atualização da Política de Segurança de Conteúdo (CSP) permitirá apenas a execução de scripts provenientes de domínios confiáveis da Microsoft durante o processo de login em ’login.microsoftonline.com’. Essa medida visa proteger os usuários contra ataques de Cross-Site Scripting (XSS), que possibilitam a injeção de códigos maliciosos em sites. A mudança se aplica exclusivamente a experiências de login baseadas em navegador e não afetará o Microsoft Entra External ID. A Microsoft recomenda que as organizações testem seus fluxos de autenticação antes da implementação para evitar problemas. Além disso, a empresa aconselha a não utilização de extensões de navegador que injetem códigos durante o login. Essa atualização faz parte da Iniciativa de Futuro Seguro da Microsoft, que busca priorizar a segurança no desenvolvimento de novos produtos, especialmente em resposta a um relatório que indicou a necessidade de uma reforma na cultura de segurança da empresa. Outras medidas de segurança já implementadas incluem a adoção de autenticação multifator resistente a phishing e a migração de serviços para ambientes mais seguros.

Uma vulnerabilidade crítica de Cross-Site Scripting (XSS) foi identificada nas plataformas Citrix NetScaler ADC e Gateway, afetando milhares de organizações globalmente. Classificada como CVE-2025-12101, essa falha permite que atacantes injetem scripts maliciosos em páginas web servidas por instâncias vulneráveis do NetScaler, possibilitando o sequestro de sessões, roubo de credenciais e a instalação de malware. Pesquisadores de segurança relataram que a vulnerabilidade já está sendo explorada em ataques reais, especialmente em configurações vulneráveis. As versões afetadas incluem NetScaler ADC e Gateway 14.1 anteriores à 14.1-56.73 e 13.1 anteriores à 13.1-60.32, além de variantes FIPS e versões descontinuadas 12.1 e 13.0, que não recebem mais atualizações de segurança. A Cloud Software Group, responsável pela Citrix, recomenda que as organizações realizem a atualização imediata para versões seguras para mitigar os riscos. A vulnerabilidade foi atribuída uma pontuação CVSSv4 de 5.9, considerada de severidade média, mas que pode subestimar o impacto real devido à exploração ativa. A situação exige atenção urgente, especialmente de empresas que utilizam o NetScaler para autenticação e acesso remoto seguro.

A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) emitiu um alerta urgente sobre uma vulnerabilidade zero-day de cross-site scripting (XSS) no Zimbra Collaboration Suite (ZCS), que está sendo ativamente explorada por agentes maliciosos. Essa falha permite que atacantes sequestram sessões de usuários, roubem dados sensíveis e manipulem filtros de e-mail sem a necessidade de privilégios elevados. A vulnerabilidade se origina da sanitização insuficiente de conteúdo HTML em arquivos de convite de calendário (ICS) visualizados na interface Classic Web Client. Um atacante pode criar uma entrada ICS maliciosa que embute código JavaScript, que é executado quando um usuário desavisado abre o e-mail com o anexo comprometido. A CISA adicionou essa falha ao seu Catálogo de Vulnerabilidades Conhecidas em 7 de outubro de 2025, atribuindo um prazo de ação até 28 de outubro de 2025. Com um CVSS de 7.5, a vulnerabilidade é considerada de alta severidade. Os administradores do ZCS são aconselhados a aplicar patches disponíveis ou seguir estratégias de mitigação imediatas para evitar acessos não autorizados e possíveis vazamentos de dados. A recomendação inclui a revisão de políticas de anexos de e-mail e a educação dos usuários sobre os riscos associados a convites de calendário inesperados.

Uma vulnerabilidade de segurança agora corrigida no Zimbra Collaboration foi explorada como um zero-day em ataques cibernéticos direcionados ao Exército Brasileiro. Identificada como CVE-2025-27915, essa falha de cross-site scripting (XSS) armazenada permite a execução de código arbitrário devido à sanitização insuficiente de conteúdo HTML em arquivos de calendário ICS. Quando um usuário visualiza um e-mail com uma entrada ICS maliciosa, um código JavaScript embutido é executado, possibilitando que um atacante realize ações não autorizadas, como redirecionar e-mails para um endereço controlado por ele. A vulnerabilidade foi corrigida nas versões 9.0.0 Patch 44, 10.0.13 e 10.1.5, lançadas em 27 de janeiro de 2025. No entanto, um relatório da StrikeReady Labs, publicado em 30 de setembro de 2025, revelou que a falha foi explorada em ataques reais, onde atores desconhecidos se passaram pelo Escritório de Protocolo da Marinha da Líbia para atacar o Exército Brasileiro. O arquivo ICS continha um código JavaScript projetado para roubar dados, incluindo credenciais e e-mails, e adicionar regras de filtro maliciosas no Zimbra. O ataque destaca a necessidade urgente de monitoramento e atualização de sistemas para evitar compromissos semelhantes.

A Splunk divulgou seis vulnerabilidades críticas que afetam diversas versões do Splunk Enterprise e do Splunk Cloud Platform, permitindo que atacantes executem código JavaScript não autorizado, acessem dados sensíveis e realizem ataques de falsificação de requisições do lado do servidor (SSRF). As vulnerabilidades, publicadas em 1º de outubro de 2025, impactam componentes do Splunk Web e exigem atenção imediata das organizações que utilizam a plataforma.

Dentre as vulnerabilidades, duas se destacam por permitir ataques de cross-site scripting (XSS), possibilitando a execução de JavaScript malicioso nos navegadores dos usuários. A CVE-2025-20367 é uma vulnerabilidade XSS refletida, enquanto a CVE-2025-20368 é uma vulnerabilidade XSS armazenada. Além disso, a CVE-2025-20366 permite que usuários com privilégios baixos acessem resultados de busca sensíveis. A vulnerabilidade mais severa, CVE-2025-20371, é uma SSRF não autenticada que pode ser explorada por atacantes para realizar chamadas de API REST em nome de usuários privilegiados.

Um novo problema de segurança foi identificado na plataforma de autoria de cursos Lectora, da ELB Learning, que permite a injeção de JavaScript malicioso através de parâmetros de URL manipulados. Essa vulnerabilidade afeta as versões 21.0 a 21.3 do Lectora Desktop e versões 7.1.6 e anteriores do Lectora Online, expondo usuários a riscos como sequestro de sessão e redirecionamento para sites maliciosos. O CERT Coordination Center (CERT/CC) emitiu uma nota de vulnerabilidade (VU#780141) para alertar sobre a situação e as etapas necessárias para remediação. Embora a falha tenha sido corrigida na versão 21.4 do Lectora Desktop, muitos cursos permanecem vulneráveis, pois a republicação não foi explicitamente exigida nas notas de lançamento. Para mitigar a vulnerabilidade, a ELB Learning recomenda que os usuários do Lectora Desktop atualizem para a versão 21.4 ou posterior e republicem seus cursos. Administradores do Lectora Online devem garantir que o conteúdo publicado antes da atualização automática de 20 de julho de 2025 seja republicado. A ativação das opções de Acessibilidade Web também é aconselhada para reduzir a exposição a essa vulnerabilidade.

Uma nova vulnerabilidade, identificada como CVE-2025-50975, afeta a versão 2.29 do IPFire, um firewall amplamente utilizado. Essa falha permite que usuários autenticados com altos privilégios realizem ataques de cross-site scripting (XSS) persistente através da interface web do firewall. A vulnerabilidade se origina na falta de validação de entrada e sanitização em vários parâmetros de regras do firewall, como PROT, SRC_PORT e TGT_PORT. Isso possibilita que um atacante injete código JavaScript malicioso que será executado sempre que outro administrador acessar a página de regras do firewall. As consequências incluem roubo de cookies de autenticação, alterações não autorizadas nas regras do firewall e potencial acesso a sistemas internos. A exploração é considerada de baixa complexidade, exigindo apenas acesso à interface gráfica do usuário. Para mitigar os riscos, os administradores devem atualizar para a versão corrigida do IPFire imediatamente e implementar medidas temporárias, como restringir o acesso à interface e monitorar logs em busca de atividades suspeitas.

A Nagios Enterprises anunciou a atualização do Nagios XI para a versão 2024R2.1, que inclui melhorias significativas de segurança e novas funcionalidades de gerenciamento SNMP. Um dos principais destaques é a correção de uma vulnerabilidade de cross-site scripting (XSS) na funcionalidade Graph Explorer, que poderia permitir a injeção de scripts maliciosos através de parâmetros de URL. O pesquisador de segurança Marius Lihet foi reconhecido por divulgar a falha de forma responsável. Além disso, a atualização introduz novos níveis de licença, permitindo um controle mais granular sobre permissões de usuários e acesso a recursos em grandes implantações empresariais. A versão também removeu o suporte ao Ubuntu 20.04, exigindo que os administradores planejem migrações para manter a segurança da plataforma. A nova página de ‘SNMP Walk Jobs’ melhora a escalabilidade e confiabilidade em auditorias de dispositivos, enquanto a integração com o Nagios Mod-Gearman ajuda a manter o desempenho sob cargas pesadas. Com foco em segurança e flexibilidade, esta atualização é essencial para empresas que monitoram ambientes de rede complexos.

O Vtenext, uma solução de CRM amplamente utilizada por pequenas e médias empresas italianas, apresenta múltiplas falhas críticas nas versões 25.02 e anteriores. Três vetores distintos de bypass de autenticação permitem que atacantes contornem a segurança e realizem execução remota de código (RCE) no servidor alvo. Embora a versão 25.02.1 tenha corrigido o vetor mais severo, as vulnerabilidades restantes ainda expõem muitas implementações ao risco. Os vetores de ataque incluem: 1) uma cadeia de XSS refletido que permite o sequestro de sessões; 2) injeção SQL que possibilita a extração de tokens de redefinição de senha; e 3) uma redefinição de senha silenciosa que não valida tokens, permitindo acesso administrativo não autenticado. Os atacantes podem, então, explorar a execução remota de código através de inclusão de arquivos locais ou upload de módulos maliciosos. A atualização imediata para a versão 25.02.1 é fortemente recomendada para mitigar esses riscos.