Novo alerta de RDP após atualização de segurança de abril de 2026
Microsoft atualiza RDP com novos diálogos de segurança em abril de 2026, exigindo aprovação explícita para redirecionamentos de recursos e protegendo contra phishing.
Tag
Tag: authentication
9 notícia(s) relacionada(s).
Reunimos nesta página as publicações do Hack Alerta relacionadas a authentication.
Vulnerabilidade no Nginx-ui é explorada ativamente e permite controle total do servidor
Vulnerabilidade crítica no Nginx UI (CVE-2026-33032) é explorada ativamente, permitindo controle total de servidores e exigindo atualização imediata para versão 2.3.4.
Arquitetura oculta do Google Passkey expõe novas rotas de ataque em autenticação
Pesquisadores da Unit42 revelaram uma arquitetura oculta no Google Passkey que utiliza um autenticador na nuvem para operações criptográficas, expondo novas rotas de ataque e riscos de confiança centralizada na autenticação sem senha.
BodySnatcher: falha crítica no Now Assist do ServiceNow permitia impersonação total
AppOmni descobriu a vulnerabilidade BodySnatcher (CVE-2025-12420) que permitia a impersonação de qualquer usuário via Now Assist e Virtual Agent API do ServiceNow, explorando tokens idênticos e auto-linking sem MFA. ServiceNow corrigiu e publicou KB2587317.
CISA alerta para iHUB da Iskra sem autenticação (CVE-2025-13510) — risco a redes de energia
CISA alerta sobre CVE-2025-13510: Iskra iHUB e iHUB Lite expõem interface web sem autenticação (CVSS v4 9.3). Iskra não respondeu à coordenação; CISA recomenda segmentação, firewalls e VPNs.
Atualizações do Windows 11 ocultam opção de senha na tela de bloqueio
A Microsoft avisou que atualizações do Windows 11 distribuídas desde agosto podem fazer com que a opção de login por senha desapareça visualmente da tela de bloqueio, ainda que a função permaneça operacional. O comunicado não traz KBs ou mitigação detalhada.
Microsoft bloqueará scripts externos em logins do Entra ID
A Microsoft anunciou que bloqueará a execução de scripts externos na página de login do Entra ID (login.microsoftonline.com), com aplicação global prevista para meados/final de outubro de 2026; a medida visa mitigar ataques XSS e recomenda que administradores testem fluxos de login previamente.
Microsoft aplicará CSP em Entra ID para bloquear scripts não autorizados
Microsoft anunciou atualização da Content Security Policy do Entra ID para bloquear scripts não autorizados na página de login (login.microsoftonline), prevista para entrar em vigor em cerca de um ano; detalhes técnicos completos não foram publicados nas matérias.
CVE-2025-49201: FortiPAM e FortiSwitch Manager permitem bypass de autenticação
Fortinet alertou sobre CVE-2025-49201, uma vulnerabilidade de autenticação com CVSS 7.4 que afeta FortiPAM (1.5.0, 1.4.0-1.4.2 e ramos 1.3/1.2/1.1/1.0) e FortiSwitch Manager 7.2.0-7.2.4; a empresa recomenda atualização imediata e monitoramento de login.