5 notícia(s) relacionada(s).
Reunimos nesta página as publicações do Hack Alerta relacionadas a cert-cc.
O CERT/CC divulgou a CVE-2026-2256, falha crítica de 9.8 no CVSS no framework MS-Agent da ModelScope. A vulnerabilidade permite injeção de comandos via prompt, levando a execução remota de código e controle total do sistema. Não há patch oficial; mitigações urgentes incluem sandboxing e privilégio mínimo.
Uma falha em Livewire Filemanager (CVE-2025-14894 / VU#650657) permite upload de PHP malicioso e execução remota sem autenticação, especialmente em instalações Laravel com php artisan storage:link. CERT/CC recomenda remover o serving público e aplicar allowlists de upload enquanto fornecedores não se pronunciam.
Pesquisadores reportam duas falhas no firmware dos Redmi Buds (3 Pro a 6 Pro): CVE-2025-13834 (leitura de memória não inicializada expondo dados de chamadas) e CVE-2025-13328 (DoS por flooding do canal RFCOMM). Exploração não exige emparelhamento e opera por rádio (~20 m). Xiaomi ainda não se manifestou; recomendação imediata: desativar Bluetooth quando não usado.
Pesquisador demonstrou bypass em runtime Python incluído no Forcepoint One DLP (CVE-2025-14026): é possível restaurar ctypes via módulo patchado, habilitar chamadas a DLLs e execução arbitrária. A Forcepoint confirmou remoção do runtime vulnerável a partir da versão 23.11 (DLP v10.2) e o CERT/CC recomenda atualização imediata. Equipes de segurança devem priorizar patches, reforçar EDR e revisar políticas de DLP.
Falhas de injeção de comando em roteadores Tenda (N300 e 4G03 Pro) permitem execução remota como root; CVE‑2025‑13207 e CVE‑2024‑24481 afetam firmwares até v04.03.01.44 e v04.03.01.14, respectivamente. Tenda ainda não publicou patches; CERT/CC aponta mitigação e substituição em ambientes críticos.