6 notícia(s) relacionada(s).
Reunimos nesta página as publicações do Hack Alerta relacionadas a php.
Uma falha crítica zero-click no software de helpdesk FreeScout permite execução remota de código via e-mail, sem necessidade de autenticação ou interação do usuário. Administradores devem atualizar imediatamente.
Ataque à cadeia de suprimentos no Packagist distribui um RAT em PHP através de pacotes disfarçados de utilitários Laravel. O malware oferece controle remoto completo e acesso a segredos da aplicação, exigindo ação imediata de desenvolvedores.
Uma falha em Livewire Filemanager (CVE-2025-14894 / VU#650657) permite upload de PHP malicioso e execução remota sem autenticação, especialmente em instalações Laravel com php artisan storage:link. CERT/CC recomenda remover o serving público e aplicar allowlists de upload enquanto fornecedores não se pronunciam.
PoC pública para CVE‑2025‑9501 demonstra uma command‑injection pré‑autenticação no W3 Total Cache; a exploração exige conhecer W3TC_DYNAMIC_SECURITY, ter page caching ativo e permitir comentários anônimos, e pode levar a RCE em sites WordPress — plugin tem >1M de instalações.
CVE-2025-9501 é uma falha de command injection no W3 Total Cache que permite execução remota de comandos sem autenticação; o plugin é amplamente usado (~1 milhão de sites). A correção está disponível na versão 2.8.13 e atualização imediata é recomendada, além de revisão de logs e proteção via WAF.
Pesquisadores identificaram uma campanha que explora instalações WordPress para injetar spam de cassinos e manipular resultados de busca. A variante observada combina código em tema/plugin com payloads armazenados no banco de dados, mecanismos de cloaking e fallback em cache, complicando a remoção e ampliando persistência.