97 notícia(s) relacionada(s).
Reunimos nesta página as publicações do Hack Alerta relacionadas a exploit.
Reportagem do BleepingComputer descreve a vulnerabilidade apelidada de 'React2Shell' no protocolo "Flight" das React Server Components, capaz de RCE sem autenticação em aplicações React e Next.js. As fontes não detalham patches ou CVE; equipes devem isolar serviços e acompanhar updates oficiais.
CVE-2025-9491, uma vulnerabilidade LNK do Windows explorada desde 2017, foi corrigida nas atualizações de Patch Tuesday de novembro de 2025, segundo relatório do ACROS Security/0patch; a matéria menciona CVSS 7.8/7.0 e exploração prolongada.
CVE-2025-8489 é uma vulnerabilidade crítica no plugin King Addons para Elementor (CVSS 9.8) que permite a criação de contas administrativas por atacantes não autenticados; a falha está sendo explorada em ambiente real, segundo reportagens.
Um exploit contra a pool yETH do Yearn Finance em 30/11/2025 permitiu a mintagem massiva de tokens com um depósito de apenas 16 wei, resultando no roubo de ~US$9 milhões. A falha decorre de valores em cache (packed_vbs) que não foram zerados, permitindo state poisoning e mint excessiva de LP tokens.
Microsoft modificou silenciosamente a exibição do campo Target em arquivos .lnk para mitigar uma técnica usada desde 2017 que permitia ocultar comandos maliciosos. Pesquisas apontam quase 1.000 atalhos maliciosos; há divergência entre IDs CVE nas fontes.
Uma falha crítica (CVE-2025-8489, CVSS 9.8) no plugin King Addons for Elementor permitia a criação de contas administrativas sem autenticação em versões 24.12.92–51.1.14. Wordfence bloqueou mais de 48.400 tentativas; o plugin foi corrigido na versão 51.1.35.
Google liberou correções para múltiplas falhas no Android, incluindo ao menos dois zero‑days explorados em ataques reais (CVE‑2025‑48633 e CVE‑2025‑48572). O boletim também destaca CVE‑2025‑48631 como problema crítico capaz de causar DoS remoto; dispositivos com Android 13–16 devem aplicar os patches imediatamente.
Um vendedor chamado ResearcherX listou no mercado oculto um suposto exploit "full‑chain" para iOS 26 que exploraria corrupção de memória no Message Parser e permitiria controle root sem interação do usuário; a reivindicação ainda não foi verificada.
PoC pública para CVE‑2025‑9501 demonstra uma command‑injection pré‑autenticação no W3 Total Cache; a exploração exige conhecer W3TC_DYNAMIC_SECURITY, ter page caching ativo e permitir comentários anônimos, e pode levar a RCE em sites WordPress — plugin tem >1M de instalações.
Relatório da ASEC indica que o malware ShadowPad está sendo distribuído explorando CVE-2025-59287 em servidores com WSUS habilitado. A exploração usou a falha corrigida recentemente e envolveu ferramentas como PowerCat; detalhes sobre número de vítimas e versões afetadas não foram divulgados.