Falhas de Segurança em SysAid
23 de Julho de 2025

A Agência de Cibersegurança e Segurança de Infraestrutura dos EUA (CISA) incluiu duas falhas de segurança que afetam o software de suporte de TI SysAid em seu catálogo de Vulnerabilidades Conhecidas Exploradas (KEV), com base em evidências de exploração ativa.

As vulnerabilidades em questão estão listadas a seguir:

- CVE-2025-2775 (pontuação CVSS: 9.3) - Uma vulnerabilidade de restrição imprópria de referência de entidade externa XML (XXE) na funcionalidade de processamento de Checkin, permitindo a tomada de conta de administrador e leitura de arquivos;

- CVE-2025-2776 (pontuação CVSS: 9.3) - Uma vulnerabilidade de restrição imprópria de referência de entidade externa XML (XXE) na funcionalidade de processamento de URL do Servidor, permitindo a tomada de conta de administrador e leitura de arquivos.

Ambas as deficiências foram divulgadas pelos pesquisadores da watchTowr Labs, Sina Kheirkhah e Jake Knott, em maio, juntamente com o CVE-2025-2777 (pontuação CVSS: 9.3), um XXE pré-autenticado dentro do endpoint /lshw.

As três vulnerabilidades foram corrigidas pela SysAid na versão on-premise 24.4.60 build 16 lançada no início de março de 2025.

A empresa de cibersegurança observou que as vulnerabilidades poderiam permitir aos atacantes injetar entidades XML inseguras na aplicação web, resultando em um ataque de Server-Side Request Forgery (SSRF) e, em alguns casos, execução remota de código quando combinadas com o CVE-2024-36394 , uma falha de injeção de comando revelada pela CyberArk em junho passado.

Atualmente não se sabe como o CVE-2025-2775 e o CVE-2025-2776 estão sendo explorados em ataques reais.

Também não há informações disponíveis sobre a identidade dos atores de ameaças, seus objetivos finais ou a escala desses esforços.

Para proteger contra a ameaça ativa, as agências do Ramo Executivo Civil Federal (FCEB) são obrigadas a aplicar as correções necessárias até 12 de agosto de 2025.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...