CISA alerta exploração ativa em falhas do Office e HPE
8 de Janeiro de 2026

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) anunciou, na última quarta-feira, a inclusão de duas vulnerabilidades críticas em seu catálogo Known Exploited Vulnerabilities (KEV).

As falhas afetam o Microsoft Office e o Hewlett Packard Enterprise (HPE) OneView, com evidências de exploração ativa.

As vulnerabilidades destacadas são:

- CVE-2009-0556 (pontuação CVSS: 8,8): falha de injeção de código no Microsoft Office PowerPoint que permite a atacantes remotos executar código arbitrário por meio de corrupção de memória.
- CVE-2025-37164 (pontuação CVSS: 10,0): falha de injeção de código no HPE OneView que possibilita que usuários remotos não autenticados executem código remotamente.

Os detalhes sobre a CVE-2025-37164 foram divulgados no mês passado, quando a HPE confirmou que a vulnerabilidade afeta todas as versões do software anteriores à 11.0.

A empresa também lançou hotfixes para as versões 5.20 até 10 do OneView. Embora a origem e o alcance dos ataques relacionados a essas falhas ainda não estejam totalmente claros, não há relatos públicos de exploração em ambientes reais até o momento.

Entretanto, um relatório da eSentire, publicado em 23 de dezembro de 2025, revelou o lançamento de um proof-of-concept (PoC) detalhado para a CVE-2025-37164 .

“A disponibilização pública do código PoC aumenta significativamente o risco para organizações que utilizam versões afetadas do software”, alertou a eSentire.

“Como a vulnerabilidade abrange todas as versões anteriores à 11.0, é fortemente recomendada a aplicação imediata dos patches disponíveis para mitigar possíveis ataques.”

De acordo com a Binding Operational Directive (BOD) 22-01, órgãos do Federal Civilian Executive Branch (FCEB) dos EUA têm até 28 de janeiro de 2026 para aplicar as correções necessárias e proteger suas redes contra essas ameaças.

Publicidade

Traçamos um caminho para você ir do zero ao avançado em hacking

Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...