A Agência de Segurança da Infraestrutura e Cibersegurança dos EUA (CISA) adicionou na segunda-feira quatro falhas de segurança ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), citando evidências de exploração ativa no meio digital.
A lista de falhas é a seguinte:
CVE-2014-3931
(pontuação CVSS: 9.8) - Uma vulnerabilidade de estouro de buffer no Multi-Router Looking Glass (MRLG) que poderia permitir a atacantes remotos causar uma escrita de memória arbitrária e corrupção de memória.
CVE-2016-10033
(pontuação CVSS: 9.8) - Uma vulnerabilidade de injeção de comando no PHPMailer que poderia permitir a um atacante executar código arbitrário no contexto da aplicação ou resultar em uma condição de negação de serviço (DoS).
CVE-2019-5418
(pontuação CVSS: 7.5) - Uma vulnerabilidade de travessia de caminho no Action View do Ruby on Rails que poderia expor o conteúdo de arquivos arbitrários no sistema de arquivos do sistema alvo.
CVE-2019-9621
(pontuação CVSS: 7.5) - Uma vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF) no Zimbra Collaboration Suite que poderia resultar em acesso não autorizado a recursos internos e execução remota de código.
Atualmente, não há relatórios públicos sobre como as três primeiras vulnerabilidades estão sendo exploradas em ataques reais.
Por outro lado, o abuso do
CVE-2019-9621
foi atribuído pela Trend Micro a um ator de ameaça vinculado à China conhecido como Earth Lusca em setembro de 2023 para implantar web shells e Cobalt Strike.
Diante da exploração ativa, recomenda-se que as agências do Ramo Executivo Civil Federal (FCEB) apliquem as atualizações necessárias até 28 de julho de 2025 para proteger suas redes.
Detalhes Técnicos do Citrix Bleed 2 Revelados:
O desenvolvimento ocorre à medida que watchTowr Labs e Horizon3.ai divulgaram análises técnicas para uma falha de segurança crítica no Citrix NetScaler ADC (
CVE-2025-5777
conhecido como Citrix Bleed 2), que se acredita estar sob exploração ativa.
"Estamos vendo a exploração ativa tanto do
CVE-2025-5777
quanto do
CVE-2025-6543
no meio digital," disse o CEO da watchTowr, Benjamin Harris.
"Esta vulnerabilidade permite a leitura de memória, que acreditamos que os atacantes estão usando para ler informações sensíveis (por exemplo, informações enviadas dentro de solicitações HTTP que são então processadas na memória), credenciais, tokens de sessão Citrix válidos e mais."
Os achados mostram que é possível enviar uma solicitação de login para o endpoint "/p/u/doAuthentication.do" e fazer com que este (e outros endpoints suscetíveis à falha) reflitam o valor de login fornecido pelo usuário na resposta, independentemente de sucesso ou falha.
A Horizon3.ai observou que a vulnerabilidade poderia ser usada para vazar aproximadamente 127 bytes de dados por meio de uma solicitação HTTP especialmente elaborada com um "login=" modificado sem um sinal de igual ou valor, tornando assim possível extrair tokens de sessão ou outras informações sensíveis.
A falha, segundo explicou a watchTowr, decorre do uso da função snprintf junto com uma string de formato contendo o formato "%.*s".
"O formato %.*s diz ao snprintf: 'Imprima até N caracteres ou pare no primeiro byte nulo (\\0) - o que ocorrer primeiro.' Esse byte nulo eventualmente aparece em algum lugar na memória, então, enquanto o vazamento não corre indefinidamente, você ainda recebe um punhado de bytes a cada invocação," disse a empresa.
"Então, toda vez que você acessa esse endpoint sem o =, você puxa mais dados não inicializados da pilha para a resposta. Repita isso o suficiente, e eventualmente, você pode encontrar algo valioso."
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...