Resumo semanal de vulnerabilidades: riscos em Windows, Linux, Drupal, NGINX, Exchange, Cisco e e-commerce

Nesta semana, os principais alertas de segurança reforçam um ponto crítico: vulnerabilidades antigas, falhas em componentes amplamente usados e erros de configuração continuam sendo caminhos rápidos para comprometimento. O destaque vai para falhas já exploradas em ambiente real, incluindo Microsoft Defender, Microsoft Exchange, Cisco SD-WAN, NGINX e plugins de e-commerce.

 

Para empresas, o recado é direto: priorizar correções com exploração ativa, revisar exposição de serviços críticos à internet e validar se os controles de atualização automática estão realmente funcionando.

Microsoft Defender: falhas exploradas permitem elevação de privilégio e negação de serviço

A Microsoft confirmou duas vulnerabilidades no Microsoft Defender já exploradas em ataques reais. A mais crítica, CVE-2026-41091, permite que um atacante local autorizado eleve privilégios e alcance nível SYSTEM. A segunda, CVE-2026-45498, está relacionada a negação de serviço. As correções foram distribuídas nas versões atualizadas da plataforma antimalware do Defender, e a Microsoft informou que, em condições normais, a atualização ocorre automaticamente.

 Por que isso importa?

Mesmo soluções de segurança podem se tornar vetor de ataque quando estão desatualizadas. Ambientes Windows devem verificar se o Defender está recebendo atualizações normalmente, principalmente em estações críticas, servidores e máquinas usadas por administradores.

Ações recomendadas:

 

  • Confirmar a versão do Microsoft Defender Antimalware Platform.
  • Validar se as atualizações automáticas estão ativas.
  • Revisar eventos suspeitos de elevação de privilégio em endpoints Windows.
  • Priorizar esta correção em ativos administrativos.
 

Linux Kernel: falha de 9 anos pode levar à execução como root

Pesquisadores divulgaram a CVE-2026-46333, uma falha no kernel Linux presente há cerca de nove anos. A vulnerabilidade permite que um usuário local sem privilégios acesse arquivos sensíveis e execute comandos como root em distribuições populares, incluindo Debian, Fedora e Ubuntu. A exploração pode expor arquivos como /etc/shadow e chaves privadas SSH do host. 
 
Servidores Linux continuam sendo base de aplicações corporativas, ambientes cloud, containers e infraestrutura de segurança. Uma falha local pode ser usada após um acesso inicial simples para escalar privilégios e comprometer completamente o sistema.
 

Ações recomendadas:

  • Aplicar atualizações de kernel disponibilizadas pela distribuição.
  • Revisar servidores com usuários locais, shells compartilhados ou aplicações expostas.
  • Considerar rotação de chaves SSH em hosts com suspeita de exposição.
  • Usar mitigação temporária com ajuste de kernel.yama.ptrace_scope quando a atualização imediata não for possível.
 

Drupal Core: falha crítica afeta sites com PostgreSQL

O Drupal lançou correções para a CVE-2026-9082, classificada como “altamente crítica”. A falha está na API de abstração de banco de dados usada pelo Drupal Core e pode permitir SQL injection em sites que utilizam PostgreSQL. Dependendo do cenário, o ataque pode resultar em vazamento de informações, escalada de privilégios ou execução remota de código. A exploração pode ser feita por usuários anônimos em ambientes afetados.
 
Sites institucionais e portais corporativos geralmente integram autenticação, formulários, áreas restritas e dados sensíveis. Uma falha explorável sem autenticação aumenta o risco de comprometimento rápido.
 

Ações recomendadas:

  • Atualizar Drupal para as versões corrigidas.
  • Verificar se o ambiente usa PostgreSQL.
  • Revisar logs web em busca de requisições incomuns.
  • Tratar versões Drupal 8, 9 e ramos antigos como risco elevado, pois estão fora do ciclo regular de suporte.
 

BitLocker YellowKey: bypass pode expor dados criptografados

A Microsoft publicou mitigação para a vulnerabilidade YellowKey, rastreada como CVE-2026-45585. A falha afeta versões recentes do Windows 11 e Windows Server 2025 e permite contornar proteções do BitLocker em cenários com acesso físico ao equipamento. O ataque envolve manipulação de arquivos em USB ou partição EFI e uso do ambiente de recuperação do Windows.
 
 A criptografia de disco é um controle essencial para notebooks corporativos, dispositivos de executivos e equipamentos em campo. Um bypass físico pode comprometer dados sensíveis mesmo quando o disco aparenta estar protegido.
 

Ações recomendadas:

  • Aplicar a mitigação disponibilizada pela Microsoft.
  • Revisar políticas de BitLocker, Secure Boot e recuperação.
  • Restringir boot por mídias externas.
  • Reforçar controles físicos para notebooks e servidores em locais compartilhados.
 

SEPPMail Secure E-Mail Gateway: falhas permitem RCE e acesso a e-mails

Pesquisadores divulgaram múltiplas vulnerabilidades críticas no SEPPMail Secure E-Mail Gateway. Entre elas estão falhas de path traversal, deserialização insegura, ausência de autorização e exposição de informações sensíveis. Algumas permitem execução remota de código, leitura de arquivos locais e possível acesso ao tráfego de e-mails processado pelo appliance.
 
Gateways de e-mail ficam em posição estratégica, processando comunicações internas e externas. Se comprometidos, podem expor mensagens sensíveis, credenciais, anexos e ainda servir como ponto de entrada para a rede corporativa.
 

Ações recomendadas:

  • Atualizar imediatamente appliances SEPPMail afetados.
  • Revisar acessos administrativos e endpoints expostos.
  • Verificar logs de autenticação e acesso a anexos.
  • Considerar investigação adicional caso o gateway esteja acessível pela internet.
 

Ivanti, Fortinet, SAP, VMware e n8n: pacote de correções para falhas críticas

Diversos fornecedores publicaram atualizações para vulnerabilidades que podem permitir bypass de autenticação, execução de código, SQL injection, exposição de dados e escalada de privilégios. Entre os destaques estão Ivanti Xtraction, FortiAuthenticator, FortiSandbox, SAP, VMware e n8n. Algumas falhas da Fortinet possuem severidade crítica, com possibilidade de execução não autorizada de comandos por atacantes não autenticados. 
 
Essas tecnologias costumam estar presentes em ambientes corporativos, redes, automações, gestão e infraestrutura. Falhas em produtos de borda ou administração tendem a ter alto impacto, pois podem abrir caminho para movimentação lateral e comprometimento de sistemas internos.
 

Ações recomendadas:

  • Mapear rapidamente se algum desses produtos está em uso.
  • Aplicar patches conforme boletins dos fabricantes.
  • Priorizar sistemas expostos à internet.
  • Revisar contas administrativas e integrações automatizadas.
 

NGINX: vulnerabilidade explorada pode causar queda de serviço e possível RCE

A CVE-2026-42945 afeta NGINX Plus e NGINX Open em versões de 0.6.27 até 1.30.0. A falha é um heap buffer overflow no módulo ngx_http_rewrite_module e já foi observada em exploração ativa. O ataque pode causar crash de workers e, em determinados cenários, permitir execução remota de código. O risco de RCE depende de configuração específica e de proteções como ASLR estarem desativadas.

 NGINX é amplamente usado como proxy reverso, balanceador, gateway de aplicações e servidor web. Mesmo quando a execução remota não é trivial, a possibilidade de derrubar workers pode afetar disponibilidade de aplicações críticas.

Ações recomendadas:

 

  • Atualizar versões afetadas do NGINX.
  • Validar se ASLR está habilitado no sistema operacional.
  • Revisar configurações do módulo rewrite.
  • Monitorar aumento de erros 5xx, crashes de worker e requisições HTTP anômalas.
 

Funnel Builder para WordPress/WooCommerce: exploração ativa rouba dados de pagamento

Uma falha crítica no plugin Funnel Builder, usado em lojas WooCommerce, está sendo explorada para injetar JavaScript malicioso em páginas de checkout. O objetivo dos atacantes é capturar dados de cartão, CVV e informações de cobrança. A vulnerabilidade afeta versões anteriores à 3.15.0.3 e o plugin é usado em mais de 40 mil lojas.
 

Ambientes de e-commerce são alvos diretos para roubo financeiro e vazamento de dados pessoais. Como o código malicioso pode se parecer com scripts legítimos de analytics, a detecção pode ser difícil sem revisão técnica.

Ações recomendadas:

 

  • Atualizar o Funnel Builder para a versão 3.15.0.3 ou superior.
  • Revisar scripts adicionados ao checkout.
  • Verificar integrações com Google Tag Manager e scripts externos.
  • Monitorar reclamações de clientes sobre transações suspeitas após compras.
 

Microsoft Exchange On-Premises: falha explorada por e-mail malicioso

A Microsoft alertou sobre a CVE-2026-42897, uma vulnerabilidade em Exchange Server on-premises explorada em ambiente real. A falha envolve spoofing associado a XSS e pode ser acionada por um e-mail especialmente criado, quando aberto no Outlook Web Access sob determinadas condições. Exchange Online não é afetado, mas Exchange Server 2016, 2019 e Subscription Edition on-premises estão no escopo.
 
 Servidores Exchange locais continuam sendo ativos sensíveis e historicamente visados. Uma falha explorada por e-mail pode aumentar o risco de comprometimento sem depender de exploração direta de porta administrativa.
 

Ações recomendadas:

  • Garantir que o Exchange Emergency Mitigation Service esteja ativo.
  • Aplicar as mitigações recomendadas pela Microsoft.
  • Revisar logs de OWA e mensagens suspeitas.
  • Priorizar ambientes Exchange expostos à internet.
 

Cisco Catalyst SD-WAN Controller: bypass crítico permite acesso administrativo

A Cisco corrigiu a CVE-2026-20182, uma vulnerabilidade crítica com CVSS 10.0 no Catalyst SD-WAN Controller. A falha permite que um atacante remoto e não autenticado burle a autenticação e obtenha privilégios administrativos. A Cisco informou exploração limitada em maio de 2026 e alertou que sistemas acessíveis pela internet estão sob maior risco.
 

Controladores SD-WAN administram conectividade entre filiais, datacenters e nuvem. Um acesso administrativo indevido pode permitir alteração de rotas, manipulação de configuração e impacto direto na disponibilidade da rede.

Ações recomendadas:

 

  • Aplicar atualizações da Cisco imediatamente.
  • Restringir exposição de portas e interfaces administrativas.
  • Auditar logs como /var/log/auth.log.
  • Investigar conexões de peering inesperadas ou vindas de IPs desconhecidos.
 
Diante do volume de falhas críticas divulgadas semanalmente, corrigir vulnerabilidades não deve depender apenas da aplicação manual de patches. É necessário ter visibilidade, priorização por risco e acompanhamento técnico para garantir que os ativos mais expostos sejam tratados primeiro.
 

A MITM apoia empresas nesse processo por meio de serviços especializados de:

  • Gestão de Vulnerabilidades: identificação, classificação e priorização de falhas em servidores, aplicações, endpoints, firewalls, ambientes cloud e ativos expostos à internet.
  • Pentest e Validação Técnica: simulação controlada de ataques para confirmar se uma vulnerabilidade é realmente explorável no ambiente do cliente.
  • Hardening de Ambientes: revisão e aplicação de boas práticas de segurança em sistemas operacionais, aplicações, serviços web, e-mail, rede e cloud.
  • Monitoramento e Resposta a Incidentes: acompanhamento de indicadores de exploração, análise de logs e apoio na contenção de ameaças.
  • Plano de Correção Assistida: suporte técnico para orientar times internos na aplicação de patches, mitigação temporária e redução de exposição.

 

Com uma abordagem prática e orientada a risco, a MITM ajuda sua empresa a sair do modelo reativo e construir um processo contínuo de proteção, reduzindo a janela de exposição e aumentando a maturidade de segurança.

Entre em contato com a MITM e descubra como fortalecer seu ambiente contra vulnerabilidades críticas antes que elas sejam exploradas.