490 notícia(s) relacionada(s).
Reunimos nesta página as publicações do Hack Alerta relacionadas a vulnerabilidade.
CVE-2025-9242 (CVSS 9.3), um out‑of‑bounds write no processo iked do Fireware, foi adicionada ao KEV da CISA por evidências de exploração; fontes estimam ~54.000 Fireboxes expostos e recomendam aplicar mitigações do fabricante imediatamente.
Relatos indicam que um mesmo APT explorou vulnerabilidades críticas em Citrix NetScaler (CVE-2025-5777) e Cisco Identity Services Engine (CVE-2025-20337). As informações disponíveis são limitadas aos CVE e à correlação com o ator; não há detalhes técnicos, contagem de afetados ou mitigação pública.
A CVE-2025-12101 é uma vulnerabilidade de XSS em NetScaler ADC/Gateway que afeta deployments configurados como Gateway ou AAA virtual servers; possui CVSSv4 5.9 e exige atualização para releases listadas para mitigar o risco.
Apache OpenOffice 4.1.16 corrige sete falhas críticas (CVE-2025-64401 a CVE-2025-64407) que permitem carregamento remoto de conteúdo, corrupção de memória e extração de configurações; administradores devem aplicar a atualização e bloquear fetches externos.
Mozilla lançou Firefox 145 em 11/11/2025 corrigindo 15 CVEs — incluindo um cluster de memory-safety (CVE-2025-13027) e múltiplos bugs em WebGPU, JavaScript e DOM que podem permitir execução remota de código e escape de sandbox. A empresa não confirma exploração ativa; atualização imediata é recomendada.
SAP lançou o Security Patch Day de novembro de 2025 com 18 novas notas e duas atualizações, incluindo falhas críticas com CVSS 10.0 (CVE-2025-42890, CVE-2025-42944) e CVSS 9.9 (CVE-2025-42887). A lista abrange injeções, deserialization, SQLi e corrupção de memória; SAP orienta aplicação imediata dos patches pelo Support Portal.
Vulnerabilidade CVE-2025-64439 no JsonPlusSerializer do langgraph-checkpoint permite execução remota de código ao carregar checkpoints manipulados. A falha afeta versões < 3.0; LangChain lançou a versão 3.0 que implementa allow-list para construtores e desativa fallback inseguro para JSON. Aplicações que persistem dados não confiáveis em checkpoints devem atualizar e isolar processos de desserialização.
Pesquisadores do Pwn2Own Ireland exploraram múltiplas vulnerabilidades na linha de produtos QNAP, demonstrando vetores para remote code execution, divulgação de informações e DoS. A QNAP publicou correções; as matérias não divulgam CVE específicos nem detalhes técnicos das explorações, por isso equipes devem consultar advisories oficiais para instruções de atualização.
Elastic divulgou CVE-2025-37735 (ESA-2025-23), uma falha em Elastic Defend for Windows que decorre de preservação inadequada de permissões no serviço que roda com privilégios SYSTEM. A falha (CVSS 7.0) permite apagar arquivos arbitrários e, em cenários específicos, escalada de privilégios. As versões afetadas são até 8.19.5 e 9.0.0–9.1.5; as correções estão em 8.19.6, 9.1.6 e 9.2.0.
Foram divulgadas três vulnerabilidades críticas no runtime runc (CVE-2025-31133, CVE-2025-52565 e CVE-2025-52881) que permitem escapar de containers e escrever em arquivos sensíveis do procfs; correções estão disponíveis nas versões 1.2.8, 1.3.3 e 1.4.0-rc.3 ou superiores.