CVE - Blog Cybersec-1m

13/01/2026

• 14 notícias

Cybersec-1m - 13/01/2026

Suas notícias de cibersegurança em 1 minuto

Falhas Hikvision permitem desorganização de dispositivos com pacotes de rede.

A Hikvision divulgou duas vulnerabilidades graves de estouro de buffer (CVE-2025-66176 e CVE-2025-66177) em produtos selecionados de controle de acesso e sistemas de gravação de vídeo, que surgem de falhas de estouro de pilha na função de busca e descoberta de dispositivos. Essas falhas de segurança podem permitir que atacantes remotos causem mau funcionamento dos dispositivos por meio de pacotes de rede especialmente elaborados.

Vulnerabilidade ServiceNow permite escalada de privilégios sem autenticação

Uma vulnerabilidade crítica de escalonamento de privilégios, rastreada como CVE-2025-12420, foi descoberta na Plataforma de IA da ServiceNow, permitindo que atacantes não autenticados assumam a identidade de outros usuários e executem operações não autorizadas com base nas permissões da conta comprometida.

Ler newsletter completa

Malware Windows RAT

12/01/2026

• 6 notícias

Cybersec-1m - 12/01/2026

Suas notícias de cibersegurança em 1 minuto

Falha Crítica Apache Struts 2 Permite Roubo de Dados

Uma vulnerabilidade recém-divulgada no componente XWork do Apache Struts 2, rastreada como CVE-2025-68493 e classificada como Importante, pode expor dados sensíveis e permitir ataques de negação de serviço (DoS) e falsificação de requisição do lado do servidor (SSRF) em muitas aplicações web Java. Esta falha afeta uma ampla gama de versões do Struts 2 e exige correção imediata para mitigar os riscos de segurança.

Falha Crítica no InputPlumber permite Injeção de UI e DoS

Pesquisadores de segurança descobriram vulnerabilidades críticas, rastreadas como CVE-2025-66005 e CVE-2025-14338, na ferramenta InputPlumber do Linux, usada no SteamOS, que permitem a injeção de teclas, vazamento de dados e negação de serviço devido a falhas nas verificações de autorização do D-Bus. As falhas afetam as versões anteriores à v0.69.0 do InputPlumber.

Ler newsletter completa

Apache Struts Xwork

10/01/2026

• 13 notícias

Cybersec-1m - 10/01/2026

Suas notícias de cibersegurança em 1 minuto

Vulnerabilidade no OWASP CRS permite bypass na validação de charset

Uma vulnerabilidade recém-descoberta no OWASP Core Rule Set (CRS), rastreada como CVE-2026-21876, permite que atacantes contornem a validação de conjunto de caracteres (charset) em WAFs, expondo aplicações a ataques como Cross-Site Scripting (XSS). Administradores são urgentemente aconselhados a atualizar o CRS, que afeta especificamente a regra 922110, e verificar logs por requisições multipart suspeitas.

Ler newsletter completa

Rust Muddywater Word

09/01/2026

• 13 notícias

Cybersec-1m - 09/01/2026

Suas notícias de cibersegurança em 1 minuto

Vulnerabilidade no Snort 3 da Cisco Causa Vazamento de Dados

A Cisco divulgou duas vulnerabilidades críticas (CVE-2026-20026 e CVE-2026-20027) no motor de detecção Snort 3, presentes em diversos produtos de segurança empresarial, que podem permitir que atacantes remotos não autenticados vazem informações sensíveis ou causem condições de negação de serviço ao interferir na inspeção de pacotes.

Vulnerabilidade React2Shell sofre 8,1 milhões de ataques.

A vulnerabilidade de execução remota de código no protocolo "Flight" dos Componentes de Servidor do React (RSC), rastreada como CVE-2025-55182 e conhecida como "React2Shell", está sendo alvo de uma vasta campanha de exploração, com a empresa GreyNoise registrando mais de 8,1 milhões de sessões de ataque desde sua divulgação inicial.

Ler newsletter completa

Windows Trend Micro

07/01/2026

• 6 notícias

Cybersec-1m - 07/01/2026

Suas notícias de cibersegurança em 1 minuto

Google alerta para falha WebView de alto risco que quebra segurança

O Google lançou as versões 143.0.7499.192/.193 do Chrome em 6 de janeiro de 2026 para corrigir uma vulnerabilidade de alta gravidade no WebView, rastreada como CVE-2026-0628, que permitia que invasores contornassem políticas de segurança importantes. Esta falha representa um risco significativo para usuários, pois o WebView é essencial no bloqueio de conteúdo malicioso.

Ataques exploram falha RCE crítica em roteadores D-Link antigos.

Uma falha de segurança crítica recém-descoberta em roteadores D-Link DSL legados, rastreada como CVE-2026-0625 (CVSS 9.3), está sendo ativamente explorada por atacantes. A vulnerabilidade é uma injeção de comando no endpoint "dnscfg.cgi" causada pela falta de higienização adequada dos parâmetros de configuração DNS fornecidos pelo usuário, permitindo que um invasor remoto não autenticado execute comandos.

Mais 1 notícias sobre "CVE"

Ler newsletter completa

Phishing Microsoft Email

06/01/2026

• 12 notícias

Cybersec-1m - 06/01/2026

Suas notícias de cibersegurança em 1 minuto

Vulnerabilidade n8n (CVSS 9.9) permite execução remota de comandos.

Uma nova vulnerabilidade de segurança crítica, rastreada como CVE-2025-68668 e classificada com pontuação CVSS 9.9, foi revelada na plataforma de automação de fluxo de trabalho de código aberto n8n, permitindo que um invasor autenticado execute comandos arbitrários no sistema hospedeiro. Este incidente é resultado de uma falha no mecanismo de proteção da ferramenta.

Falha Crítica no Bodyparser AdonisJS Permite Escrita Arbitrária de Arquivos

Usuários do pacote npm "@adonisjs/bodyparser" devem atualizar imediatamente devido à descoberta de uma vulnerabilidade crítica de travessia de caminho (CVE-2026-21440, CVSS 9.2) que permite a um atacante remoto escrever arquivos arbitrários no servidor.

Ler newsletter completa

CVSS Comandos Usuários

02/01/2026

• 4 notícias

Cybersec-1m - 02/01/2026

Suas notícias de cibersegurança em 1 minuto

Falha no Apache NuttX permite travamento de sistemas embarcados

A Apache Software Foundation emitiu um aviso de segurança sobre uma vulnerabilidade de corrupção de memória no Sistema Operacional de Tempo Real (RTOS) Apache NuttX, identificada como CVE-2025-48769, que decorre de um erro do tipo "Use After Free" no sistema de arquivos. Essa falha afeta amplamente sistemas embarcados e pode permitir que atacantes desestabilizem dispositivos ou manipulem arquivos.

Ler newsletter completa

Phishing Google Cloud

01/01/2026

• 7 notícias

Cybersec-1m - 01/01/2026

Suas notícias de cibersegurança em 1 minuto

Botnet RondoDox explora falha crítica React2Shell em IoT e servidores.

Pesquisadores de cibersegurança revelaram detalhes de uma campanha persistente de nove meses que visou dispositivos de Internet das Coisas (IoT) e aplicações web para recrutá-los em uma botnet chamada RondoDox, utilizando a vulnerabilidade recém-divulgada React2Shell (CVE-2025-55182, com pontuação CVSS 10.0) como vetor de acesso inicial. A atividade tem sido monitorada desde dezembro de 2025, segundo a CloudSEK.

Falha Crítica (CVSS 9.8) no Sistema de Autenticação da IBM API Connect

A IBM divulgou detalhes de uma falha crítica de segurança no API Connect, rastreada como CVE-2025-13915 e classificada com 9.8/10.0 na escala CVSS, que permite a um atacante remoto contornar os mecanismos de autenticação da aplicação.

Ler newsletter completa

Rondodox IOT Reactshell

31/12/2025

• 12 notícias

Cybersec-1m - 31/12/2025

Suas notícias de cibersegurança em 1 minuto

CSA Alerta: Falha Crítica no SmarterMail Permite Execução Remota de Código

A Agência de Cibersegurança de Singapura (CSA) emitiu um alerta sobre uma falha de segurança de gravidade máxima no software de e-mail SmarterTools SmarterMail, rastreada como CVE-2025-52691, que possui uma pontuação CVSS de 10.0 e pode permitir a execução remota de código através de um upload arbitrário de arquivos.

Ler newsletter completa

API Bypass IBM

30/12/2025

• 14 notícias

Cybersec-1m - 30/12/2025

Suas notícias de cibersegurança em 1 minuto

Mais de 70.000 MongoDB expostos após PoC MongoBleed

Mais de 74.000 servidores de banco de dados MongoDB permanecem vulneráveis a uma falha de segurança crítica, a CVE-2025-14847, após a liberação pública de código de exploração de prova de conceito para a vulnerabilidade apelidada de MongoBleed. Essa vulnerabilidade de estouro de memória heap afeta aproximadamente 95% das instâncias do MongoDB atualmente expostas online, totalizando 74.854 servidores sem correção.

Falha RCE Zero-Day Crítica em Redes Expõe 70 Mil Hosts

Uma vulnerabilidade crítica de execução remota de código (RCE) não autenticada, rastreada como CVE-2025-54322, foi descoberta em dispositivos de rede XSpeeder, permitindo que invasores obtenham acesso de nível root em mais de 70.000 hosts acessíveis publicamente. Esta falha de dia zero é classificada como crítica e não requer credenciais de autenticação para ser explorada.

Ler newsletter completa

Panda Kaspersky Mustang