CVE - Blog Cybersec-1m

06/01/2026

• 12 notícias

Cybersec-1m - 06/01/2026

Suas notícias de cibersegurança em 1 minuto

Vulnerabilidade n8n (CVSS 9.9) permite execução remota de comandos.

Uma nova vulnerabilidade de segurança crítica, rastreada como CVE-2025-68668 e classificada com pontuação CVSS 9.9, foi revelada na plataforma de automação de fluxo de trabalho de código aberto n8n, permitindo que um invasor autenticado execute comandos arbitrários no sistema hospedeiro. Este incidente é resultado de uma falha no mecanismo de proteção da ferramenta.

Falha Crítica no Bodyparser AdonisJS Permite Escrita Arbitrária de Arquivos

Usuários do pacote npm "@adonisjs/bodyparser" devem atualizar imediatamente devido à descoberta de uma vulnerabilidade crítica de travessia de caminho (CVE-2026-21440, CVSS 9.2) que permite a um atacante remoto escrever arquivos arbitrários no servidor.

Ler newsletter completa

CVSS Comandos Usuários

02/01/2026

• 4 notícias

Cybersec-1m - 02/01/2026

Suas notícias de cibersegurança em 1 minuto

Falha no Apache NuttX permite travamento de sistemas embarcados

A Apache Software Foundation emitiu um aviso de segurança sobre uma vulnerabilidade de corrupção de memória no Sistema Operacional de Tempo Real (RTOS) Apache NuttX, identificada como CVE-2025-48769, que decorre de um erro do tipo "Use After Free" no sistema de arquivos. Essa falha afeta amplamente sistemas embarcados e pode permitir que atacantes desestabilizem dispositivos ou manipulem arquivos.

Ler newsletter completa

Phishing Google Cloud

01/01/2026

• 7 notícias

Cybersec-1m - 01/01/2026

Suas notícias de cibersegurança em 1 minuto

Botnet RondoDox explora falha crítica React2Shell em IoT e servidores.

Pesquisadores de cibersegurança revelaram detalhes de uma campanha persistente de nove meses que visou dispositivos de Internet das Coisas (IoT) e aplicações web para recrutá-los em uma botnet chamada RondoDox, utilizando a vulnerabilidade recém-divulgada React2Shell (CVE-2025-55182, com pontuação CVSS 10.0) como vetor de acesso inicial. A atividade tem sido monitorada desde dezembro de 2025, segundo a CloudSEK.

Falha Crítica (CVSS 9.8) no Sistema de Autenticação da IBM API Connect

A IBM divulgou detalhes de uma falha crítica de segurança no API Connect, rastreada como CVE-2025-13915 e classificada com 9.8/10.0 na escala CVSS, que permite a um atacante remoto contornar os mecanismos de autenticação da aplicação.

Ler newsletter completa

Rondodox IOT Reactshell

31/12/2025

• 12 notícias

Cybersec-1m - 31/12/2025

Suas notícias de cibersegurança em 1 minuto

CSA Alerta: Falha Crítica no SmarterMail Permite Execução Remota de Código

A Agência de Cibersegurança de Singapura (CSA) emitiu um alerta sobre uma falha de segurança de gravidade máxima no software de e-mail SmarterTools SmarterMail, rastreada como CVE-2025-52691, que possui uma pontuação CVSS de 10.0 e pode permitir a execução remota de código através de um upload arbitrário de arquivos.

Ler newsletter completa

API Bypass IBM

30/12/2025

• 14 notícias

Cybersec-1m - 30/12/2025

Suas notícias de cibersegurança em 1 minuto

Mais de 70.000 MongoDB expostos após PoC MongoBleed

Mais de 74.000 servidores de banco de dados MongoDB permanecem vulneráveis a uma falha de segurança crítica, a CVE-2025-14847, após a liberação pública de código de exploração de prova de conceito para a vulnerabilidade apelidada de MongoBleed. Essa vulnerabilidade de estouro de memória heap afeta aproximadamente 95% das instâncias do MongoDB atualmente expostas online, totalizando 74.854 servidores sem correção.

Falha RCE Zero-Day Crítica em Redes Expõe 70 Mil Hosts

Uma vulnerabilidade crítica de execução remota de código (RCE) não autenticada, rastreada como CVE-2025-54322, foi descoberta em dispositivos de rede XSpeeder, permitindo que invasores obtenham acesso de nível root em mais de 70.000 hosts acessíveis publicamente. Esta falha de dia zero é classificada como crítica e não requer credenciais de autenticação para ser explorada.

Ler newsletter completa

Panda Kaspersky Mustang

29/12/2025

• 4 notícias

Cybersec-1m - 29/12/2025

Suas notícias de cibersegurança em 1 minuto

Lançado Detector MongoBleed para Falha Crítica MongoDB (CVE-2025-14847)

Pesquisadores de segurança lançaram a ferramenta de código aberto MongoBleed Detector, desenvolvida por Neo23x0, para auxiliar organizações a identificar a exploração da vulnerabilidade crítica de divulgação de memória no MongoDB, catalogada como CVE-2025-14847. Esta ferramenta permite a análise offline de logs do MongoDB para detecção de indicadores de exploração, sem a necessidade de conectividade de rede ou agentes adicionais.

Ler newsletter completa

Phishing Npm API

27/12/2025

• 7 notícias

Cybersec-1m - 27/12/2025

Suas notícias de cibersegurança em 1 minuto

Nova falha no MongoDB permite leitura de memória não inicializada.

Uma falha de segurança de alta severidade foi divulgada no MongoDB, rastreada como CVE-2025-14847 com pontuação CVSS de 8.7, que permite que usuários não autenticados leiam memória heap não inicializada devido a um manuseio inadequado da inconsistência do parâmetro de comprimento.

Ler newsletter completa

CVSS Flaw Mongodb

26/12/2025

• 6 notícias

Cybersec-1m - 26/12/2025

Suas notícias de cibersegurança em 1 minuto

Vulnerabilidade Crítica no LangChain Permite Roubo de Segredos

Uma vulnerabilidade crítica na biblioteca principal do LangChain, um framework de IA amplamente utilizado, identificada como CVE-2025-68664, permite que atacantes extraiam segredos de variáveis de ambiente e potencialmente executem código devido a uma falha de injeção de serialização.

Ler newsletter completa

Chrome Trust Wallet

25/12/2025

• 8 notícias

Cybersec-1m - 25/12/2025

Suas notícias de cibersegurança em 1 minuto

CISA Alerta: Vulnerabilidade Digiever NVR Exploitada para RCE

A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) incluiu uma falha de segurança nos gravadores de vídeo em rede (NVRs) Digiever DS-2105 Pro em seu catálogo de Vulnerabilidades Ativamente Exploradas (KEV) devido a evidências de exploração ativa. Essa vulnerabilidade, rastreada como CVE-2023-52163 e com pontuação CVSS de 8.8, permite a injeção de comandos pós-autenticação para execução remota de código.

Ler newsletter completa

CISA Digiever NVR

24/12/2025

• 10 notícias

Cybersec-1m - 24/12/2025

Suas notícias de cibersegurança em 1 minuto

Falha Crítica no MongoDB Vaza Dados Sensíveis via zlib

A MongoDB divulgou uma vulnerabilidade crítica de segurança (CVE-2025-14847) que permite a atacantes extrair memória heap não inicializada de servidores de banco de dados sem autenticação, explorando uma falha no lado do cliente na implementação de compressão zlib do servidor, afetando múltiplas versões desde a v3.6.

Ler newsletter completa

SEC Crypto Morocoin