41 notícia(s) relacionada(s).
Reunimos nesta página as publicações do Hack Alerta relacionadas a dos.
O GitLab lançou patches para múltiplas vulnerabilidades de alta severidade (incluindo CVE‑2025‑7659) que permitem furto de tokens, DoS e XSS. Instâncias self‑hosted devem atualizar para 18.8.4/18.7.4/18.6.6 e planejar janelas de manutenção.
A F5 publicou correções em BIG‑IP, NGINX e serviços de ingress que incluem vulnerabilidades com CVSS v4.0 até 8.2, principalmente DoS e exposições de configuração. Administradores devem identificar instâncias expostas, testar atualizações em staging e priorizar patches em ambientes de borda e ingress.
CVE-2025-0921 afeta componentes do Iconics Suite (GENESIS64/GENESIS/MC Works64) e permite sobrescrever binários críticos via logs manipulados, causando falhas de boot e indisponibilidade em estações OT. Patches foram divulgados para parte dos produtos; mitigação e revisão de permissões são recomendadas.
Wireshark 4.6.3 corrige quatro vulnerabilidades em dissectors e parser que permitiam crashes e um loop infinito em HTTP3. A atualização é crítica para manter visibilidade de rede e prevenir negação de serviço em ferramentas de análise.
Vulnerabilidades em pacotes que implementam React Server Components (react-server-dom-*) permitem ataques de negação de serviço. Mantenedores liberaram correções (19.0.4 / 19.1.5 / 19.2.4); equipes devem atualizar e aplicar limites de taxa.
Foi divulgada uma vulnerabilidade de alta severidade no BIND 9 (CVE-2025-13878) que permite a queda do processo "named" ao processar registros BRID/HHIT malformados. As versões 9.18.40–9.18.43, 9.20.13–9.20.17 e 9.21.12–9.21.16 foram listadas como vulneráveis; o ISC recomenda atualizar para as releases corrigidas imediatamente. Não há exploits públicos documentados até a divulgação.
Pesquisadores da Palo Alto (Unit42) descrevem limitação no Azure Private Endpoint/Private Link que pode causar falhas de resolução DNS e DoS a storage accounts — afetando estimativa >5% de contas. Microsoft reconhece a limitação e propõe mitigações parciais: fallback para internet ou registro DNS manual.
Pesquisadores reportam duas falhas no firmware dos Redmi Buds (3 Pro a 6 Pro): CVE-2025-13834 (leitura de memória não inicializada expondo dados de chamadas) e CVE-2025-13328 (DoS por flooding do canal RFCOMM). Exploração não exige emparelhamento e opera por rádio (~20 m). Xiaomi ainda não se manifestou; recomendação imediata: desativar Bluetooth quando não usado.
O projeto Go liberou Go 1.25.6 e 1.24.12 para corrigir seis vulnerabilidades de alto impacto (DoS, exaustão de memória, vazamento TLS e caminhos que permitem execução de código via toolchain). A recomendação é atualizar imediatamente e auditar pipelines de build.
Palo Alto Networks corrigiu uma vulnerabilidade de alta severidade que poderia permitir ataques DoS sem autenticação, afetando disponibilidade de funções de firewall. A empresa publicou patch; recomenda-se aplicar a correção e restringir acesso a interfaces de gerenciamento.