132 notícia(s) relacionada(s).
Reunimos nesta página as publicações do Hack Alerta relacionadas a exploit.
Uma falha crítica (CVE-2025-8489, CVSS 9.8) no plugin King Addons for Elementor permitia a criação de contas administrativas sem autenticação em versões 24.12.92–51.1.14. Wordfence bloqueou mais de 48.400 tentativas; o plugin foi corrigido na versão 51.1.35.
Google liberou correções para múltiplas falhas no Android, incluindo ao menos dois zero‑days explorados em ataques reais (CVE‑2025‑48633 e CVE‑2025‑48572). O boletim também destaca CVE‑2025‑48631 como problema crítico capaz de causar DoS remoto; dispositivos com Android 13–16 devem aplicar os patches imediatamente.
Um vendedor chamado ResearcherX listou no mercado oculto um suposto exploit "full‑chain" para iOS 26 que exploraria corrupção de memória no Message Parser e permitiria controle root sem interação do usuário; a reivindicação ainda não foi verificada.
PoC pública para CVE‑2025‑9501 demonstra uma command‑injection pré‑autenticação no W3 Total Cache; a exploração exige conhecer W3TC_DYNAMIC_SECURITY, ter page caching ativo e permitir comentários anônimos, e pode levar a RCE em sites WordPress — plugin tem >1M de instalações.
Relatório da ASEC indica que o malware ShadowPad está sendo distribuído explorando CVE-2025-59287 em servidores com WSUS habilitado. A exploração usou a falha corrigida recentemente e envolveu ferramentas como PowerCat; detalhes sobre número de vítimas e versões afetadas não foram divulgados.
Metasploit publicou módulo exploit/linux/http/fortinet_fortiweb_rce que encadeia CVE‑2025‑64446 (auth bypass, CVSS 9.1) e CVE‑2025‑58034 (command injection, CVSS 7.2) para obter RCE com privilégios root em FortiWeb. Fortinet liberou patches e recomenda upgrade para FortiWeb 8.0.2+. Auditoria de contas administrativas é necessária mesmo após patch.
Um anúncio em fórum clandestino afirma a venda de um zero‑day RCE com escape de sandbox para Microsoft Office por US$30.000. A oferta, atribuída ao ator “Zeroplayer”, permanece não verificada publicamente; se verdadeira, permitiria execução arbitrária via documentos e neutralizaria uma camada crítica de proteção do Office.
Relatos indicam exploração ativa de uma vulnerabilidade RCE em 7‑Zip, com um proof‑of‑concept público. Embora as matérias não citem CVE nem versões afetadas, a presença do PoC aumenta o risco de ataques via arquivos maliciosos; equipes devem isolar processamento e monitorar EDR até correção oficial.
CVE-2025-13223 é um zero-day no motor V8 do Chromium que permite corrupção de heap e execução remota de código; Google lançou correção em 19/11/2025 e a CISA incluiu a falha no KEV, exigindo mitigação até 10/12/2025 para agências federais.
CVE‑2025‑11001, em 7‑Zip, permite RCE ao explorar symbolic links em ZIPs; PoC público e exploração ativa foram observados. A correção está em 7‑Zip 25.00; a NHS emitiu advisory urgente em 18/11/2025.