2026-04-22

Terrarium expõe falha crítica:

Sandbox Python permite RCE com root via JavaScript prototype chain traversal; CVE-2026-5752 , nota 9.3, pode vazar arquivos e escapar do container sem interação.

Leia mais...
2026-04-22

Microsoft corrige falha crítica no ASP.NET Core:

Atualização OOB da Microsoft corrige CVE-2026-40372 , que pode elevar privilégios a SYSTEM via cookies forjados; a empresa recomenda upgrade imediato para 10.0.7 e redeploy.

Leia mais...
2026-04-22

SharePoint expostos:

mais de 1.300 servidores seguem vulneráveis à CVE-2026-32201 , falha de falsificação de identidade já explorada como zero day e ainda abusada em ataques, enquanto a Shadowserver alerta para baixa taxa de patch após atualização da Microsoft.

Leia mais...
2026-04-22

Vulnerabilidade no Apache ActiveMQ:

Shadowserver identificou mais de 6.400 servidores expostos e vulneráveis a ataques que exploram CVE-2026-34197 , falha de code injection já corrigida, mas ainda ativamente explorada por threat actors.

Leia mais...
2026-04-22

FakeWallet na App Store:

26 aplicativos falsos imitam carteiras de criptomoedas e roubam seed phrases, usando phishing e aplicativos trojanizados para drenar criptoativos; a campanha mira a China, mas pode atingir usuários no mundo todo.

Leia mais...
PUB

Proteja sua empresa contra hackers através de um Pentest: Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas.

Leia mais...
2026-04-22

Ex-negociador vira cúmplice do BlackCat:

Angelo Martino, ex-DigitalMint, admitiu ter vazado dados sigilosos de vítimas e ajudado extorsões em ataques ransomware nos EUA, mirando ao menos cinco organizações e impulsionando pagamentos milionários.

Leia mais...
2026-04-20

Mirai mira dispositivos IoT:

falhas em DVRs da TBK e roteadores TP-Link fora de suporte estão sendo exploradas para instalar botnets como Nexcorium e Condi, com ataques de força bruta, persistência e capacidade de DDoS, ampliando o risco em dispositivos sem atualizações de segurança.

Leia mais...
2026-04-20

QEMU vira backdoor:

o Payouts King esconde uma máquina virtual em sistemas comprometidos para driblar soluções de segurança e roubar credenciais, usando túnel SSH reverso, persistência por tarefas agendadas e ferramentas de ataque em Alpine Linux.

Leia mais...
2026-04-20

PoC expõe RCE no protobuf.js:

falha crítica na biblioteca JavaScript permite injeção de código via schema e pode afetar aplicações, servidores e credenciais; a Endor Labs recomenda a atualização para as versões 8.0.1 ou 7.5.5.

Leia mais...
2026-04-20

Apple vira vetor de phishing:

alertas legítimos de mudança de conta estão sendo usados para inserir falsas compras de iPhone e induzir vítimas a ligar para números de golpe, com e-mails que passam pelas verificações SPF, DKIM e DMARC.

Leia mais...
PUB

Anuncie no CaveiraTech e coloque sua marca na frente de milhares de profissionais de cybersecurity: Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui.

Leia mais...
2026-04-20

Grinex suspende operações após ataque de US$ 13,7 milhões:

a corretora do Quirguistão, ligada à Rússia, afirma ter sofrido um ataque atribuído a agências de inteligência estrangeiras, com fundos de usuários russos desviados e convertidos por meio das redes TRON e Ethereum, utilizando o protocolo descentralizado SunSwap.

Leia mais...
2026-04-20

VPNs e privacidade sob escrutínio:

parlamentares dos Estados Unidos pedem esclarecimentos sobre o risco de usuários serem tratados como estrangeiros em leis de vigilância, o que pode reduzir proteções constitucionais contra monitoramento sem mandado judicial.

Leia mais...
2026-04-20

Vercel confirma incidente:

a plataforma investiga acesso não autorizado a sistemas internos após um grupo alegar a venda de dados roubados; os serviços seguem ativos, mas clientes devem revisar variáveis de ambiente e rotacionar credenciais sensíveis.

Leia mais...
2026-04-20

Mercado de cartões comprometidos fica mais rigoroso:

guias no submundo digital indicam que fraudadores passaram a vetar lojas que não adotam boas práticas de OPSEC (segurança operacional), como domínios espelho, uso de escrow (intermediário de garantia) e reputação consolidada em fóruns, com o objetivo de reduzir golpes entre criminosos, evitar a atuação de forças de segurança e garantir a disponibilidade de BINs recentes.

Leia mais...
2026-04-20

Irã ataca infraestrutura dos EUA:

hackers ligados ao governo iraniano miram controladores lógicos programáveis (PLCs) em setores de energia e abastecimento de água, causando interrupções operacionais e prejuízos financeiros, segundo FBI, NSA e CISA; a ação remete à campanha do CyberAv3ngers.

Leia mais...
PUB

Traçamos um caminho para você ir do zero ao avançado em hacking: Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais.

Leia mais...
2026-04-20

Falha no MCP expõe sistemas de IA:

pesquisadores da OX Security alertam que uma vulnerabilidade de design no protocolo pode permitir execução remota de código (RCE), afetando mais de 7.000 servidores e cerca de 150 milhões de downloads, com risco de comprometimento de chaves, dados sensíveis e históricos de conversas.

Leia mais...
2026-04-17

NIST prioriza CVEs críticos:

NVD passa a enriquecer apenas falhas do KEV, softwares federais e sistemas de alto risco; demais casos ficam como "não agendados" após alta de 263% nas submissões.

Leia mais...
2026-04-17

ZionSiphon mira sistemas de água e OT em Israel:

novo malware tenta alterar níveis de cloro e pressão em operações de tratamento e dessalinização, com propagação via USB e foco em sistemas ICS; porém, uma falha na verificação impede a execução, por enquanto.

Leia mais...
2026-04-17

Ataques exploram falhas no Windows:

criminosos usam BlueHammer, RedSun e UnDefend para obter privilégios SYSTEM, elevar privilégios e bloquear atualizações do Microsoft Defender; uma falha já foi corrigida, mas outras seguem sem correção.

Leia mais...
2026-04-17

O Google usa o Gemini para barrar malvertising:

empresa bloqueou 8,3 bilhões de anúncios e suspendeu 24,9 milhões de contas em 2025; a IA analisa sinais de fraude, ocultação de conteúdo e phishing para interromper campanhas maliciosas em tempo real.

Leia mais...

CVEs em destaque

CVE-2026-23918 8.8
CVE-2026-22732 9.1
CVE-2026-29014 9.8
CVE-2026-22679 9.8
CVE-2026-40687 4.8
CVE-2026-40686 3.7
CVE-2026-42511 8.1
CVE-2026-0204 8
CVE-2026-7322 7.3
CVE-2026-42520 7.5
1

...

4

5

6

...

361

CVEs em destaque

CVE-2026-23918 8.8
CVE-2026-22732 9.1
CVE-2026-29014 9.8
CVE-2026-22679 9.8
CVE-2026-40687 4.8
CVE-2026-40686 3.7
CVE-2026-42511 8.1
CVE-2026-0204 8
CVE-2026-7322 7.3
CVE-2026-42520 7.5