352 notícia(s) relacionada(s).
Reunimos nesta página as publicações do Hack Alerta relacionadas a patch.
Zoom publicou bulletins com correções para múltiplas vulnerabilidades no portfólio Workplace, incluindo CVE-2025-64741 (Android) e CVE-2025-64740 (VDI Client Windows). A empresa recomenda atualização imediata; análises preliminares apontam CVSS >7,5 para as falhas de alta severidade.
Três vulnerabilidades em runc (CVE-2025-31133, CVE-2025-52565, CVE-2025-52881) foram corrigidas; elas permitiam potencial escape de container. Equipes de plataforma devem aplicar patches ao runtime, revisar privilégios de containers e reforçar políticas de isolação em clusters.
Pesquisadores do Pwn2Own Ireland exploraram múltiplas vulnerabilidades na linha de produtos QNAP, demonstrando vetores para remote code execution, divulgação de informações e DoS. A QNAP publicou correções; as matérias não divulgam CVE específicos nem detalhes técnicos das explorações, por isso equipes devem consultar advisories oficiais para instruções de atualização.
Elastic divulgou CVE-2025-37735 (ESA-2025-23), uma falha em Elastic Defend for Windows que decorre de preservação inadequada de permissões no serviço que roda com privilégios SYSTEM. A falha (CVSS 7.0) permite apagar arquivos arbitrários e, em cenários específicos, escalada de privilégios. As versões afetadas são até 8.19.5 e 9.0.0–9.1.5; as correções estão em 8.19.6, 9.1.6 e 9.2.0.
CVE-2025-34299 é uma RCE pré-autenticada em Monsta FTP com exploração ativa e ao menos 5.000 instâncias expostas; a correção está em Monsta FTP v2.11.3 (26/08/2025). Atualize e isole instâncias expostas.
Foi identificada e reportada exploração ativa da vulnerabilidade CVE-2025-34299 em Monsta FTP, que permite execução remota de código pré-autenticada em versões até 2.11.2. Há referência a pelo menos 5.000 instâncias expostas; a correção está disponível na versão 2.11.3 (26/08/2025).
CVE-2025-20333 é um buffer overflow crítico no servidor web VPN de Secure Firewall ASA/FTD da Cisco com CVSS 9.9; Cisco reportou exploração ativa. Atualize para versões corrigidas (ex.: ASA 9.18.4.19) e limite exposição até patch.
CVE-2025-48593 é um zero-click RCE no componente System do Android que afeta AOSP 13–16. Google liberou patch com nível 2025-11-01; dispositivos não atualizados correm risco de comprometimento total. Há referência a exploração ativa e a presença de um EoP relacionado (CVE-2025-48581).
A rodada de outubro de 2025 do Patch Tuesday da Microsoft corrige 172 vulnerabilidades, incluindo seis zero-days ativos; administradores devem priorizar patches para ativos críticos e consultar os boletins oficiais para detalhes por CVE.
CVE-2025-58325 é uma vulnerabilidade no FortiOS que permite, a um usuário local autenticado com privilégios, executar comandos arbitrários via CLI (CVSS 7.8). Fortinet publicou correções para as linhas 7.6/7.4/7.2/7.0 e recomenda upgrades imediatos.