CVE - Blog Cybersec-1m

04/02/2026

• 12 notícias

Cybersec-1m - 04/02/2026

Suas notícias de cibersegurança em 1 minuto

CISA alerta para vulnerabilidade SSRF do GitLab explorada

A Agência de Segurança Cibernética e de Infraestrutura (CISA) adicionou uma vulnerabilidade crítica de falsificação de requisição do lado do servidor (SSRF), rastreada como CVE-2021-39935, que afeta as edições Community e Enterprise do GitLab, ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) após a confirmação de exploração ativa em ataques reais. Esta falha reside na API CI Lint do GitLab.

Ler newsletter completa

Google RCE Data

03/02/2026

• 9 notícias

Cybersec-1m - 03/02/2026

Suas notícias de cibersegurança em 1 minuto

Falha em AP Wireless Hikvision permite execução de comandos arbitrários.

A Hikvision divulgou uma vulnerabilidade de alta severidade de execução de comando, rastreada como CVE-2026-0709, que afeta vários modelos de pontos de acesso sem fio e pode permitir que invasores autenticados executem comandos arbitrários nos dispositivos afetados. A empresa lançou um alerta em 30 de janeiro de 2026, instigando os clientes a aplicarem os patches de segurança imediatamente para mitigar o risco decorrente da falha de validação de entrada.

Falha no Apache Syncope permite sequestro de sessões ativas

A plataforma de código aberto de gerenciamento de identidade e acesso Apache Syncope possui uma vulnerabilidade crítica de Entidade Externa XML (XXE), rastreada como CVE-2026-23795, que permite que administradores autenticados executem ataques XXE e extraiam dados sensíveis dos sistemas afetados.

Ler newsletter completa

Firefox Mozilla Generative

31/01/2026

• 12 notícias

Cybersec-1m - 31/01/2026

Suas notícias de cibersegurança em 1 minuto

Mais de 200 Lojas Magento são invadidas por Rootkit via Exploit Zero-Day

Uma onda perigosa de ataques explorando a vulnerabilidade "SessionReaper" (CVE-2025-54236) em plataformas de e-commerce Magento permite que invasores sequestrem sessões e assumam controle total do servidor ao reutilizar tokens de sessão inválidos, resultando na compromissão de mais de 200 lojas em nível de root.

Ler newsletter completa

Google MFA Mandiant

30/01/2026

• 12 notícias

Cybersec-1m - 30/01/2026

Suas notícias de cibersegurança em 1 minuto

SmarterMail corrige falha RCE crítica não autenticada (CVSS 9.3)

A SmarterTools corrigiu duas falhas de segurança no SmarterMail, incluindo uma vulnerabilidade crítica (CVE-2026-24423, com pontuação CVSS de 9.3) que permite a execução remota de código não autenticado na API ConnectToHub em versões anteriores ao build 9511.

Ler newsletter completa

Google DOJ China

29/01/2026

• 12 notícias

Cybersec-1m - 29/01/2026

Suas notícias de cibersegurança em 1 minuto

Falha 0-Day na Ferramenta Gemini MCP permite Execução Remota de Código

Uma vulnerabilidade crítica de dia zero, rastreada como CVE-2026-0755 com pontuação CVSS 9.8, foi divulgada na ferramenta Gemini MCP, permitindo que atacantes remotos não autenticados executem código arbitrário em sistemas vulneráveis. Esta falha representa um risco grave para ambientes de produção que utilizam a referida ferramenta, pois explora a ausência de necessidade de interação ou autenticação do usuário.

Falha no Roteador TP-Link Archer expõe usuários a ataques remotos e controle total.

Uma vulnerabilidade crítica de injeção de comando de alto nível (CVE-2025-14756) foi descoberta no roteador TP-Link Archer MR600 v5, permitindo que invasores autenticados executem comandos arbitrários através da interface de administração do dispositivo. Esta falha representa um risco sério para usuários domésticos e empresariais que utilizam este equipamento de rede amplamente disseminado.

Ler newsletter completa

RCE Solarwinds Web

28/01/2026

• 13 notícias

Cybersec-1m - 28/01/2026

Suas notícias de cibersegurança em 1 minuto

Google alerta: Exploração ativa da vulnerabilidade WinRAR CVE-2025-8088

O Google revelou que múltiplos atores de ameaças, incluindo grupos patrocinados por nações (Rússia e China) e grupos motivados financeiramente, estão explorando uma falha de segurança crítica no WinRAR da RARLAB, já corrigida em julho de 2025, para obter acesso inicial e instalar diversos payloads.

Fortinet bloqueia vulnerabilidade zero-day FortiCloud SSO até patch

A Fortinet confirmou uma vulnerabilidade crítica de bypass de autenticação no FortiCloud Single Sign-On (SSO), rastreada como CVE-2026-24858, que estava sendo ativamente explorada como um ataque de dia zero. A empresa mitigou as explorações bloqueando as conexões do FortiCloud SSO de dispositivos que executam as versões vulneráveis do firmware.

Mais 1 notícias sobre "CVE"

Ler newsletter completa

Google Winrar China

27/01/2026

• 10 notícias

Cybersec-1m - 27/01/2026

Suas notícias de cibersegurança em 1 minuto

Falha Zero-Day no Microsoft Office (CVE-2026-21509): Correção Urgente Emitida

A Microsoft emitiu na segunda-feira correções de segurança fora de banda para uma vulnerabilidade de dia zero de alta severidade no Microsoft Office, rastreada como CVE-2026-21509 e com pontuação CVSS de 7.8, que permite o desvio de recursos de segurança ao depender de entradas não confiáveis. Esta falha de segurança foi ativamente explorada em ataques.

Prova de Conceito para RCE no telnetd do GNU InetUtils; 800K+ Instâncias Expostas.

Uma exploração de prova de conceito (PoC) para a vulnerabilidade crítica de execução remota de código CVE-2026-24061 no serviço telnetd do GNU Inetutils foi divulgada, expondo mais de 800.000 instâncias vulneráveis acessíveis publicamente na internet, o que permite a atacantes não autenticados executar comandos arbitrários.

Ler newsletter completa

Patch Microsoft Office

24/01/2026

• 7 notícias

Cybersec-1m - 24/01/2026

Suas notícias de cibersegurança em 1 minuto

20 Mil Sites WordPress Invadidos por Backdoor, Permite Admin Malicioso

Uma vulnerabilidade crítica de backdoor (CVE-2026-0920, com severidade 9.8) foi descoberta no plugin LA-Studio Element Kit para Elementor, ameaçando mais de 20.000 instalações WordPress. Este problema permite que invasores não autenticados criem contas de administrador e assumam o controle total do site.

Ler newsletter completa

Poland Energy Cyber

23/01/2026

• 6 notícias

Cybersec-1m - 23/01/2026

Suas notícias de cibersegurança em 1 minuto

Falha Crítica Vivotek Permite Execução Remota de Código Arbitrário

A equipe SIRT da Akamai descobriu uma vulnerabilidade grave de injeção de comando (CVE-2026-22755) no firmware de câmeras IoT Vivotek antigas, que permite a invasores remotos injetar e executar código arbitrário como root sem autenticação. Esta falha crítica, encontrada através de engenharia reversa com auxílio de IA, afeta dezenas de modelos de câmeras e potencializa a criação de botnets.

Zero-Day RCE no Cisco Unified CM em Ataque; CISA Alerta

A CISA adicionou a CVE-2026-20045, uma vulnerabilidade crítica de execução remota de código (RCE) de dia zero no Cisco Unified Communications Manager (Unified CM), ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) em 21 de janeiro de 2026. Esta falha afeta múltiplos produtos de comunicação unificada da Cisco, incluindo Unified CM e Unified CM Session Management Edition (SME), indicando que a vulnerabilidade já está sob exploração ativa.

Ler newsletter completa

Fortinet Bypass Firewalls

22/01/2026

• 12 notícias

Cybersec-1m - 22/01/2026

Suas notícias de cibersegurança em 1 minuto

Exploit de Bypass de Autenticação SmarterMail em Ataques Dias Após Correção

Uma nova falha de segurança no software de e-mail SmarterMail da SmarterTools está sendo ativamente explorada em ataques, apenas dois dias após o lançamento de um patch. A vulnerabilidade, rastreada como WT-2026-0001 e ainda sem identificador CVE, foi corrigida pela SmarterTools em 15 de janeiro de 2026 com o Build 9511.

Ler newsletter completa

Labs Smartermail Smartertools