195 notícia(s) relacionada(s).
Reunimos nesta página as publicações do Hack Alerta relacionadas a cve.
Duas vulnerabilidades críticas em Cisco Unified Contact Center Express (CVE-2025-20354 e CVE-2025-20358) permitem upload de arquivos e bypass de autenticação, resultando em execução remota de código. Cisco lançou correções (12.5 SU3 ES07 e 15.0 ES01) e recomenda atualização imediata. Não há evidências públicas de exploração em massa, mas o risco operacional é alto para contact centers.
CVE-2025-46295 é uma falha de execução remota no Apache Commons Text causada por mecanismos de interpolação inseguros em versões anteriores à 1.10.0. A biblioteca foi atualizada (1.14.0) e a Claris mitigou o problema em FileMaker Server 22.0.4. Equipes devem atualizar dependências e escanear SBOMs.
Campanha PCPcat comprometeu mais de 59.000 servidores em menos de 48 horas explorando vulnerabilidades em Next.js/React (CVE-2025-29927 e CVE-2025-66478). O malware extrai credenciais e instala tunelamento para manter acesso persistente.
A Atlassian lançou correções para uma vulnerabilidade crítica no Apache Tika que afeta vários produtos (Confluence, Jira, Bitbucket, Bamboo, Crowd, Fisheye/Crucible). A falha pode permitir processamento malicioso de documentos e potencial execução de código em contextos vulneráveis. Administradores devem aplicar os patches oficiais e restringir uploads até mitigação.
MITRE divulgou o CWE Top 25 de 2025, baseado em 39.080 CVEs. Cross‑site scripting permanece no topo; OS command injection e diversas fraquezas de memória seguem entre as principais. Recomendações incluem integrar checagens CWE no CI/CD e priorizar correções por KEV.
A IBM publicou correções para mais de 100 vulnerabilidades na semana, a maioria em dependências de terceiros. O feed não lista CVEs ou produtos; equipes devem consultar o advisory oficial para priorizar patches.
A SAP publicou as atualizações de dezembro corrigindo 14 vulnerabilidades em vários produtos, sendo três classificadas como críticas. O comunicado não traz CVEs ou versões afetadas; clientes devem consultar os avisos oficiais e aplicar os patches.
A Patch Tuesday de dezembro de 2025 corrige 56 vulnerabilidades em Windows, Office e componentes associados, incluindo três zero‑days (CVE‑2025‑62221, CVE‑2025‑64671, CVE‑2025‑54100). CVE‑2025‑62221 tem exploração detectada; a recomendação é priorizar testes e aplicação imediata dos patches.
Notas de segurança públicas descrevem dez vulnerabilidades em appliances WatchGuard Firebox, incluindo falhas de execução remota, corrupção de memória no IKE e bypass de checagem de integridade. Patches foram liberados para Fireware OS 2025.1.3, 12.11.5 e 12.5.14; organizações devem priorizar atualização e restringir acesso às interfaces de gestão.
Uma cadeia de exploração em iOS — envolvendo CVE‑2023‑41993, CVE‑2023‑41992 e CVE‑2023‑41991 — foi vinculada a operações de spyware mercenário que entregam payloads PREYHUNTER para vigilância persistente. Google Cloud identificou a cadeia em dispositivos no Egito; o vector inicia com um link em Safari e escala a privilégios de kernel.