12 notícia(s) relacionada(s).
Reunimos nesta página as publicações do Hack Alerta relacionadas a patching.
A F5 publicou correções em BIG‑IP, NGINX e serviços de ingress que incluem vulnerabilidades com CVSS v4.0 até 8.2, principalmente DoS e exposições de configuração. Administradores devem identificar instâncias expostas, testar atualizações em staging e priorizar patches em ambientes de borda e ingress.
DarkReading reporta que a CISA fez atualizações pouco divulgadas no catálogo KEV, e cerca de um terço das CVEs reclassificadas afetam dispositivos de borda, levando pesquisadores a alertar para playbooks de ransomware centrados no perímetro.
A CISA confirmou exploração ativa do zero‑day CVE-2026-20045 em produtos Cisco Unified Communications e incluiu a falha em seu catálogo KEV. Cisco publicou versões corrigidas; órgãos devem aplicar mitigação até 11/02/2026 ou descontinuar uso.
O catálogo KEV da CISA cresceu ~20% em 2025, alcançando 1.484 entradas; 24 falhas adicionadas têm evidência de exploração por grupos de ransomware. Equipes devem priorizar correções e controles compensatórios.
Análise mostra que CVE‑2025‑59374 refere‑se a um ataque supply‑chain em software ASUS Live Update já EoL. Para a maioria das empresas atualizadas o risco é baixo; equipes devem inventorizar e isolar instâncias legadas.
CVE‑2025‑55182, apelidada React2Shell em algumas coberturas, é uma falha crítica no React cuja exploração em ambiente real é esperada, mas afeta apenas instâncias que adotaram um recurso novo; desenvolvedores devem revisar dependências e aplicar patches.
Google liberou correções do Chrome para tratar duas falhas, incluindo CVE-2025-13223, um type confusion no motor V8 (CVSS 8.8) explorado ativamente e capaz de causar execução remota de código ou crashes; aplicar patches imediatamente.
A CISA avisou sobre a CVE-2025-62765 — uma falha no Lynx+ Gateway que transmite dados em texto claro, expondo credenciais e tokens; CVSS v3 7.5 e CVSS v4 8.7. Recomendações imediatas incluem patch, segmentação, criptografia de canais e monitoramento de tráfego.
CISA alertou sobre CVE-2025-64446, uma falha de relative path traversal no FortiWeb da Fortinet que permite execução de comandos administrativos sem autenticação. A vulnerabilidade foi adicionada ao KEV em 14/11/2025 e afeta firmwares até 7.4.7 e 7.6.5; Fortinet recomenda atualização para 7.4.8 ou 7.6.6 e isolamento onde não for possível aplicar patch.
Pesquisadores e sistemas de detecção registraram exploração ativa da CVE-2025-24893 em servidores XWiki expostos, com uso em campanhas de botnet e coinminers; CISA adicionou a falha ao catálogo de vulnerabilidades exploradas e ataques vêm de múltiplos atores.