257 notícia(s) relacionada(s).
Reunimos nesta página as publicações do Hack Alerta relacionadas a security.
Elastic Security descreve CVE-2025-37734: uma falha de validação de origem no Observability AI Assistant de Kibana que permite SSRF e XSS. Versões afetadas incluem Kibana 8.12.0‑8.19.6, 9.1.0‑9.1.6 e 9.2.0; Elastic liberou 8.19.7, 9.1.7 e 9.2.1. Clientes Elastic Cloud Serverless já estão protegidos.
Dell divulgou CVE-2025-46608, falha crítica (CVSS 9.1) no Data Lakehouse que permite escalada remota de privilégios em versões anteriores a 1.6.0.0. A fabricante lançou a versão 1.6.0.0 (DSA-2025-375) e recomenda atualização imediata; enquanto isso, controles de acesso e monitoramento devem ser reforçados.
Pesquisadores identificaram uma campanha prolongada que adicionou dezenas de milhares de pacotes falsos ao npm desde 2024 — mais de 67.000 pacotes foram detectados — em operação descrita como spam provavelmente motivado financeiramente. Isso aumenta riscos na cadeia de suprimentos de software.
Relatos indicam que um mesmo APT explorou vulnerabilidades críticas em Citrix NetScaler (CVE-2025-5777) e Cisco Identity Services Engine (CVE-2025-20337). As informações disponíveis são limitadas aos CVE e à correlação com o ator; não há detalhes técnicos, contagem de afetados ou mitigação pública.
Zero-days em Citrix NetScaler (CVE-2025-5777) e Cisco ISE (CVE-2025-20337) foram explorados em larga escala para implantar um webshell em memória identificado como "IdentityAuditAction"; equipes de honeypot da Amazon detectaram a campanha.
Pesquisa revelou uma cadeia de SSRF no recurso "Actions" de Custom GPTs que, por meio de redirect e injeção de cabeçalho "Metadata: true", permitiu leitura do Azure IMDS e extração de um token OAuth2; a falha foi reportada ao OpenAI e corrigida.
Pesquisas da Unit42 detalham authentication coercion: técnicas que exploram funções RPC pouco usadas no Windows para forçar envio de hashes de autenticação a infraestrutura controlada por atacantes. Mitigações incluem SMB signing, bloqueio de RPC não utilizados e EDR comportamental.
Tor Browser 15.0.1 foi lançado incorporando correções do Firefox (140.5.0esr/145), atualização do NoScript para 13.4 e melhorias no Android (GeckoView 140.5.0esr). Usuários e equipes devem atualizar e conferir advisories oficiais para CVEs.
Intel lançou um pacote de correções que abrange mais de 60 vulnerabilidades; AMD e Nvidia também publicaram advisories. Administradores devem consultar os boletins oficiais para CVEs, planejar testes de firmware/microcódigo e priorizar atualizações em servidores e ambientes de nuvem.
Google lançou Chrome 142.0.7444.162/.163 para corrigir CVE-2025-13042, falha de alta severidade no motor V8 reportada em 3/11/2025. O update será distribuído gradualmente para Windows, macOS e Linux; a recomendação é atualizar clientes assim que a build estiver disponível.