45 notícia(s) relacionada(s).
Reunimos nesta página as publicações do Hack Alerta relacionadas a firmware.
Akamai descreve CVE-2026-22755, vulnerabilidade de injeção de comandos no upload_map.cgi de firmwares legados da Vivotek que permite execução remota como root sem autenticação. Afeta 36 modelos (firmware 0100a–0125c). Exploração exige condições específicas (arquivo <5MB, bypass de verificação de firmware, presença de /usr/sbin/confclient). Mitigações recomendadas: atualização, segmentação de rede e assinaturas IDS/IPS.
Pesquisadores da KU Leuven revelaram a vulnerabilidade WhisperPair (CVE-2025-36911) no Fast Pair, que permite pareamento não autorizado e controle de earbuds e outros acessórios. A falha afeta centenas de milhões de dispositivos de fabricantes como Sony, Xiaomi e JBL; correções dependem de firmware dos fabricantes.
HPE publicou correções para quatro vulnerabilidades em Aruba Instant On (firmware <= 3.3.1.0) que permitem exposição de VLAN, DoS e corrupção de memória. A versão 3.3.2.0 corrige os problemas; a empresa iniciou atualizações automáticas em dezembro/2025.
Moxa divulgou um advisory para CVE-2023-38408, falha crítica em OpenSSH (CVSS 9.8) que permite RCE em vários switches Ethernet industriais. A fabricante recomenda atualização imediata: EDS → 4.1.58 e RKS → 5.0.4, e medidas compensatórias como restrição de agent forwarding e segregação de redes.
Duas CVEs de stack overflow (CVE-2025-66176 e CVE-2025-66177, CVSS 8.8) em recursos de descoberta da Hikvision permitem crashes via pacotes forjados. A fabricante recomenda aplicar patches e segmentar redes.
Relatos do BleepingComputer indicam que vários modelos de switches Cisco estão entrando em reboot em loop após registrar erros fatais do cliente DNS. A matéria não detalha modelos ou versões afetadas; não há advisory público da Cisco no conteúdo acessível. Equipes de rede devem coletar logs, isolar equipamentos e abrir chamado ao TAC.
Pesquisa revelou campanha ativa que compromete appliances FortiWeb desatualizados (firmware 5.4.202–6.1.62) para instalar o framework Sliver C2. Operação usa FRP para expor serviços e garante persistência em dispositivos de borda; a vulnerabilidade exata não foi confirmada em todos os casos.
A Eaton divulgou o aviso ETN-VA-2025-1026 sobre duas vulnerabilidades no UPS Companion (CVE-2025-59887 CVSS 8.6; CVE-2025-59888 CVSS 6.7). A versão 3.0 corrige os problemas e a empresa recomenda atualização imediata; mitigadores temporários também foram sugeridos.
CVE-2025-48769 é um use‑after‑free em fs/vfs/fs_rename do Apache NuttX que pode causar crashes e operações indesejadas no sistema de arquivos. Afeta versões 7.20–12.10.0; a correção está disponível na 12.11.0. Não há relatos públicos de exploração ativa.
Pesquisadores da ERNW divulgaram três CVEs em SoCs Airoha que expõem o protocolo RACE, permitindo leitura/escrita de memória e possível encadeamento para comprometer smartphones emparelhados. Modelos de marcas como Sony, Bose e JBL foram verificados como vulneráveis.