257 notícia(s) relacionada(s).
Reunimos nesta página as publicações do Hack Alerta relacionadas a security.
Grafana publicou correções para CVE‑2025‑41115, uma falha crítica no componente SCIM com nota CVSS 10.0 que pode permitir impersonation e escalada de privilégios em certas configurações; aplicar o patch é prioritário.
Grafana Labs corrigiu CVE-2025-41115, falha crítica (CVSS 10.0) em Grafana Enterprise relacionada ao setup SCIM; afeta versões 12.0.0–12.2.1 com enableSCIM e user_sync_enabled ativos e permite impersonação de administradores.
O grupo Cl0p afirma ter usado um zero‑day crítico (CVE-2025-61882, CVSS 9.8) no Oracle E‑Business Suite para acessar sistemas internos da Broadcom; pesquisadores rastrearam atividade desde julho e recomendam aplicação imediata de patches e monitoramento de /OA_HTML/SyncServlet.
OpenAI lançou GPT‑5.1‑Codex‑Max, modelo focado em tarefas de engenharia que processa milhões de tokens via compaction technology e opera por longos agentes; vem em sandbox por padrão e OpenAI alerta para riscos operacionais e recomenda revisão humana do código gerado.
Pesquisa citada pelo The Hacker News relata campanha chamada ShadowRay 2.0 que explora uma falha de dois anos no framework open-source Ray para transformar clusters com GPUs NVIDIA em um botnet autorreplicante de mineração de criptomoeda. Trata‑se de uma evolução de uma onda observada entre set/2023 e mar/2024; as fontes não detalham CVE, contagem de vítimas ou versões afetadas.
Um anúncio em fórum clandestino afirma a venda de um zero‑day RCE com escape de sandbox para Microsoft Office por US$30.000. A oferta, atribuída ao ator “Zeroplayer”, permanece não verificada publicamente; se verdadeira, permitiria execução arbitrária via documentos e neutralizaria uma camada crítica de proteção do Office.
SolarWinds lançou patches para três vulnerabilidades críticas no Serv-U que permitem execução remota de código; a recomendação é aplicar as atualizações imediatamente e revisar logs por sinais de comprometimento.
pi GPT integra ChatGPT a Raspberry Pi e dispositivos similares usando a rede determinística da noBGP para gerenciar código e aplicações via prompts; anúncio de 18/11/2025 cita benefícios de privacidade e redução de dependência de cloud, disponível no OpenAI GPT Store para uso não comercial.
CVE-2025-13223 é um zero-day no motor V8 do Chromium que permite corrupção de heap e execução remota de código; Google lançou correção em 19/11/2025 e a CISA incluiu a falha no KEV, exigindo mitigação até 10/12/2025 para agências federais.
Pesquisa da SquareX descreve uma API oculta no AI Browser Comet (chrome.perplexity.mcp.addStdioServer) que permite extensões embutidas executar comandos locais sem consentimento do usuário; PoC demonstrou execução arbitrária via Agentic extension e periféricos riscos de cadeia de confiança.