CVE - Blog Cybersec-1m

28/01/2026

• 13 notícias

Cybersec-1m - 28/01/2026

Suas notícias de cibersegurança em 1 minuto

Google alerta: Exploração ativa da vulnerabilidade WinRAR CVE-2025-8088

O Google revelou que múltiplos atores de ameaças, incluindo grupos patrocinados por nações (Rússia e China) e grupos motivados financeiramente, estão explorando uma falha de segurança crítica no WinRAR da RARLAB, já corrigida em julho de 2025, para obter acesso inicial e instalar diversos payloads.

Fortinet bloqueia vulnerabilidade zero-day FortiCloud SSO até patch

A Fortinet confirmou uma vulnerabilidade crítica de bypass de autenticação no FortiCloud Single Sign-On (SSO), rastreada como CVE-2026-24858, que estava sendo ativamente explorada como um ataque de dia zero. A empresa mitigou as explorações bloqueando as conexões do FortiCloud SSO de dispositivos que executam as versões vulneráveis do firmware.

Mais 1 notícias sobre "CVE"

Ler newsletter completa

Google Winrar China

27/01/2026

• 10 notícias

Cybersec-1m - 27/01/2026

Suas notícias de cibersegurança em 1 minuto

Falha Zero-Day no Microsoft Office (CVE-2026-21509): Correção Urgente Emitida

A Microsoft emitiu na segunda-feira correções de segurança fora de banda para uma vulnerabilidade de dia zero de alta severidade no Microsoft Office, rastreada como CVE-2026-21509 e com pontuação CVSS de 7.8, que permite o desvio de recursos de segurança ao depender de entradas não confiáveis. Esta falha de segurança foi ativamente explorada em ataques.

Prova de Conceito para RCE no telnetd do GNU InetUtils; 800K+ Instâncias Expostas.

Uma exploração de prova de conceito (PoC) para a vulnerabilidade crítica de execução remota de código CVE-2026-24061 no serviço telnetd do GNU Inetutils foi divulgada, expondo mais de 800.000 instâncias vulneráveis acessíveis publicamente na internet, o que permite a atacantes não autenticados executar comandos arbitrários.

Ler newsletter completa

Patch Microsoft Office

24/01/2026

• 7 notícias

Cybersec-1m - 24/01/2026

Suas notícias de cibersegurança em 1 minuto

20 Mil Sites WordPress Invadidos por Backdoor, Permite Admin Malicioso

Uma vulnerabilidade crítica de backdoor (CVE-2026-0920, com severidade 9.8) foi descoberta no plugin LA-Studio Element Kit para Elementor, ameaçando mais de 20.000 instalações WordPress. Este problema permite que invasores não autenticados criem contas de administrador e assumam o controle total do site.

Ler newsletter completa

Poland Energy Cyber

23/01/2026

• 6 notícias

Cybersec-1m - 23/01/2026

Suas notícias de cibersegurança em 1 minuto

Falha Crítica Vivotek Permite Execução Remota de Código Arbitrário

A equipe SIRT da Akamai descobriu uma vulnerabilidade grave de injeção de comando (CVE-2026-22755) no firmware de câmeras IoT Vivotek antigas, que permite a invasores remotos injetar e executar código arbitrário como root sem autenticação. Esta falha crítica, encontrada através de engenharia reversa com auxílio de IA, afeta dezenas de modelos de câmeras e potencializa a criação de botnets.

Zero-Day RCE no Cisco Unified CM em Ataque; CISA Alerta

A CISA adicionou a CVE-2026-20045, uma vulnerabilidade crítica de execução remota de código (RCE) de dia zero no Cisco Unified Communications Manager (Unified CM), ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) em 21 de janeiro de 2026. Esta falha afeta múltiplos produtos de comunicação unificada da Cisco, incluindo Unified CM e Unified CM Session Management Edition (SME), indicando que a vulnerabilidade já está sob exploração ativa.

Ler newsletter completa

Fortinet Bypass Firewalls

22/01/2026

• 12 notícias

Cybersec-1m - 22/01/2026

Suas notícias de cibersegurança em 1 minuto

Exploit de Bypass de Autenticação SmarterMail em Ataques Dias Após Correção

Uma nova falha de segurança no software de e-mail SmarterMail da SmarterTools está sendo ativamente explorada em ataques, apenas dois dias após o lançamento de um patch. A vulnerabilidade, rastreada como WT-2026-0001 e ainda sem identificador CVE, foi corrigida pela SmarterTools em 15 de janeiro de 2026 com o Build 9511.

Ler newsletter completa

Labs Smartermail Smartertools

20/01/2026

• 11 notícias

Cybersec-1m - 20/01/2026

Suas notícias de cibersegurança em 1 minuto

Falha Crítica em Plugin WordPress Expõe 100 Mil Sites a Escalada de Privilégios

Uma vulnerabilidade crítica de escalonamento de privilégios, classificada como CVE-2025-14533 com pontuação CVSS de 9.8, foi descoberta no plugin Advanced Custom Fields: Extended do WordPress, afetando mais de 100.000 instalações ativas. Essa falha permite que atacantes não autenticados elevem seus privilégios para nível administrativo ao explorar um formulário de registro de usuário mal configurado.

Vulnerabilidade WhisperPair permite pareamento de dispositivos sem consentimento.

Uma vulnerabilidade crítica chamada WhisperPair (CVE-2025-36911), classificada como Crítica, foi descoberta na tecnologia Fast Pair do Google, permitindo que atacantes emparelhem dispositivos de áudio sem o consentimento do usuário. Essa falha ameaça a segurança de centenas de milhões de dispositivos que utilizam o pareamento simplificado do Google.

Ler newsletter completa

CVSS Wordpress Sites

19/01/2026

• 7 notícias

Cybersec-1m - 19/01/2026

Suas notícias de cibersegurança em 1 minuto

Falha "BodySnatcher" permite total impersonação de usuários ServiceNow.

Um pesquisador de segurança revelou uma vulnerabilidade crítica na API do Agente Virtual e na aplicação Now Assist AI Agents do ServiceNow, catalogada como CVE-2025-12420 e apelidada de "BodySnatcher", que permite que atacantes não autenticados se passem por qualquer usuário do ServiceNow apenas com o endereço de e-mail, ignorando a autenticação multifator e o SSO para executar fluxos de trabalho de IA privilegiados e criar contas de administrador de backdoor.

Ler newsletter completa

Mandiant Passwords Rainbow

17/01/2026

• 11 notícias

Cybersec-1m - 17/01/2026

Suas notícias de cibersegurança em 1 minuto

Mais Problemas para Fortinet: Falha Crítica no FortiSIEM Explorada

A vulnerabilidade de injeção de comando, CVE-2025-64155, foi divulgada no início desta semana e rapidamente se tornou alvo de ataques de diversos endereços IP.

Ler newsletter completa

Openai Chatgpt Data

16/01/2026

• 11 notícias

Cybersec-1m - 16/01/2026

Suas notícias de cibersegurança em 1 minuto

Exploit Chain Zero-Click atinge Google Pixel 9

Pesquisadores do Google Project Zero revelaram uma cadeia completa de exploração de "zero-click" que afeta os smartphones Google Pixel 9, encadeando vulnerabilidades no decodificador de áudio Dolby (CVE-2025-54957) e em um driver do kernel (CVE-2025-36934) para alcançar execução de código e escalonamento de privilégios sem qualquer interação do usuário.

Falha Crítica em Plugin WordPress Modular DS Explora Acesso de Admin

Uma falha de segurança de severidade máxima no plugin WordPress Modular DS, rastreada como CVE-2026-23550 com pontuação CVSS 10.0, está sendo ativamente explorada, permitindo escalonamento de privilégios sem autenticação em todas as versões anteriores à 2.5.2, que já está disponível para correção.

Ler newsletter completa

ZIP Lotuslite Venezuela

14/01/2026

• 12 notícias

Cybersec-1m - 14/01/2026

Suas notícias de cibersegurança em 1 minuto

ServiceNow Corrige Falha Crítica na Plataforma de IA que Permitiria Suplantar Usuário.

A ServiceNow corrigiu uma falha de segurança crítica (CVE-2025-12420, pontuação CVSS 9.3) em sua Plataforma de Inteligência Artificial que permitia a um usuário não autenticado se passar por outro e executar ações arbitrárias em nome da vítima.

Ler newsletter completa

Microsoft Windows Cloud