12 notícia(s) relacionada(s).
Reunimos nesta página as publicações do Hack Alerta relacionadas a command-injection.
A CISA incluiu CVE‑2025‑11953 no seu catálogo KEV: trata‑se de uma injeção de comandos no React Native Community CLI em exploração ativa. O vetor atinge servidores Metro expostos e permite execução remota de comandos; há prazo federal para correção. Recomenda‑se patch imediato, bloqueio de portas (8081) e caça via EDR.
Advisory público detalha CVE‑2025‑14756, uma injeção de comandos no painel administrativo do TP‑Link Archer MR600 v5 (firmware < v0001.0 Build 250930 Rel.63611n). A falha exige credenciais com privilégios e tem CVSS v4.0 8.5; o fornecedor recomenda atualização de firmware e segmentação do acesso administrativo.
Technical details and a public exploit were published for a critical command injection flaw in Fortinet's FortiSIEM. A remote unauthenticated attacker could execute commands or code; the source does not list affected versions or vendor mitigations.
Pesquisadores reportam exploração ativa de uma vulnerabilidade de injeção de comando em múltiplos roteadores gateway DSL da D‑Link que estão fora de suporte. O trecho disponível não lista modelos, CVE ou mitigadores oficiais; recomenda‑se buscar a matéria completa e comunicados da D‑Link/CERT.
A CISA adicionou a CVE-2023-52163 ao seu catálogo Known Exploited Vulnerabilities depois de identificar exploração ativa contra gravadores Digiever DS-2105 Pro. A falha (CVSS 8.8) permite injeção de comandos e RCE pós‑autenticação. Não há detalhes públicos sobre escala de ataques ou patches, por isso equipes devem inventariar dispositivos, isolar redes e buscar orientações oficiais do fabricante.
A variante 'Broadside' da família Mirai explora uma falha crítica em DVRs para executar injeção de comandos, obter persistência e mover-se lateralmente; a campanha mira o setor de logística marítima, segundo DarkReading.
CVE-2025-66399 em Cacti (até 1.2.28) permite command injection via campo snmp_community; Cacti 1.2.29 corrige o problema. A exploração exige autenticação e pode resultar em execução de comandos com privilégios do processo de monitoramento.
Reportagem aponta exploração ativa de uma vulnerabilidade de command injection em dispositivos Array AG Series VPN, com implantação de webshells e criação de contas administrativas rogue. A publicação não lista CVE nem versões afetadas; recomenda auditoria e mitigação imediata.
Check Point Research reportou uma falha de command injection no Codex CLI que permitia executar comandos arbitrários a partir de configuração em repositórios; OpenAI corrigiu a falha em Codex CLI 0.23.0 — usuários devem atualizar e tratar configs .codex/.env como sensíveis.
Falhas de injeção de comando em roteadores Tenda (N300 e 4G03 Pro) permitem execução remota como root; CVE‑2025‑13207 e CVE‑2024‑24481 afetam firmwares até v04.03.01.44 e v04.03.01.14, respectivamente. Tenda ainda não publicou patches; CERT/CC aponta mitigação e substituição em ambientes críticos.