Falhas de Segurança em SysAid
23 de Julho de 2025

A Agência de Cibersegurança e Segurança de Infraestrutura dos EUA (CISA) incluiu duas falhas de segurança que afetam o software de suporte de TI SysAid em seu catálogo de Vulnerabilidades Conhecidas Exploradas (KEV), com base em evidências de exploração ativa.

As vulnerabilidades em questão estão listadas a seguir:

- CVE-2025-2775 (pontuação CVSS: 9.3) - Uma vulnerabilidade de restrição imprópria de referência de entidade externa XML (XXE) na funcionalidade de processamento de Checkin, permitindo a tomada de conta de administrador e leitura de arquivos;

- CVE-2025-2776 (pontuação CVSS: 9.3) - Uma vulnerabilidade de restrição imprópria de referência de entidade externa XML (XXE) na funcionalidade de processamento de URL do Servidor, permitindo a tomada de conta de administrador e leitura de arquivos.

Ambas as deficiências foram divulgadas pelos pesquisadores da watchTowr Labs, Sina Kheirkhah e Jake Knott, em maio, juntamente com o CVE-2025-2777 (pontuação CVSS: 9.3), um XXE pré-autenticado dentro do endpoint /lshw.

As três vulnerabilidades foram corrigidas pela SysAid na versão on-premise 24.4.60 build 16 lançada no início de março de 2025.

A empresa de cibersegurança observou que as vulnerabilidades poderiam permitir aos atacantes injetar entidades XML inseguras na aplicação web, resultando em um ataque de Server-Side Request Forgery (SSRF) e, em alguns casos, execução remota de código quando combinadas com o CVE-2024-36394 , uma falha de injeção de comando revelada pela CyberArk em junho passado.

Atualmente não se sabe como o CVE-2025-2775 e o CVE-2025-2776 estão sendo explorados em ataques reais.

Também não há informações disponíveis sobre a identidade dos atores de ameaças, seus objetivos finais ou a escala desses esforços.

Para proteger contra a ameaça ativa, as agências do Ramo Executivo Civil Federal (FCEB) são obrigadas a aplicar as correções necessárias até 12 de agosto de 2025.

Publicidade

Traçamos um caminho para você ir do zero ao avançado em hacking

Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...