A Mozilla lançou atualizações para corrigir duas falhas críticas no Firefox e alertou que código de exploração dessas vulnerabilidades já foi publicado.
As falhas são:
CVE-2026-15718
, um ponteiro inválido no componente JavaScript: WebAssembly
CVE-2026-15719
, um problema de isolamento de site no componente DOM: Navigation
Em comunicado, a Mozilla informou: “Temos conhecimento de que o código de exploração para este caso é público, mas não temos conhecimento de ataques em ambiente real abusando dessa falha.”
As duas vulnerabilidades foram corrigidas no Firefox 152.0.6.
A atualização da Mozilla foi divulgada no mesmo período em que o Google liberou correções para 15 falhas de segurança, incluindo dois bugs críticos de uso após liberação no Ozone, identificados como
CVE-2026-15764
e
CVE-2026-15765
.
O Ozone é uma camada de abstração multiplataforma que permite ao navegador interagir de forma nativa com diferentes servidores de exibição e sistemas de gerenciamento de janelas.
Ele é compatível com Linux, ChromeOS e Fuchsia.
Segundo a descrição da
CVE-2026-15764
na National Vulnerability Database (NVD), do NIST, o uso após liberação no Ozone no Google Chrome para Linux, em versões anteriores à 150.0.7871.125, permitia que um invasor remoto, ao convencer a vítima a executar gestos específicos na interface, explorasse uma possível corrupção de heap por meio de uma página HTML preparada para isso.
As correções foram disponibilizadas no Chrome 150.0.7871.124/.125 para Windows e Mac, e no 150.0.7871.124 para Linux.
Em outro movimento relevante, a Adobe publicou atualizações de segurança para 88 vulnerabilidades, incluindo múltiplas falhas de severidade crítica no ColdFusion, no Commerce, no Experience Manager e no Illustrator.
Dessas, oito afetam o Adobe ColdFusion:
CVE-2026-48318
, com pontuação CVSS 9,9, uma vulnerabilidade de travessia de caminho que pode levar à execução arbitrária de código
CVE-2026-48322
, com pontuação CVSS 9,6, uma vulnerabilidade de injeção de código que pode levar à execução arbitrária de código
CVE-2026-48284
, com pontuação CVSS 9,6, uma vulnerabilidade de validação de entrada inadequada que pode levar à execução arbitrária de código
CVE-2026-48321
, com pontuação CVSS 9,3, uma vulnerabilidade de autorização incorreta que pode levar à escalada de privilégios
CVE-2026-48325
, com pontuação CVSS 9,3, uma falha de autenticação ausente para uma função crítica que pode levar à execução arbitrária de código
CVE-2026-48319
, com pontuação CVSS 9,1, uma vulnerabilidade de travessia de caminho que pode levar à execução arbitrária de código
CVE-2026-48324
, com pontuação CVSS 9,1, uma vulnerabilidade de injeção SQL que pode levar à execução arbitrária de código
CVE-2026-48327
, com pontuação CVSS 9,0, uma vulnerabilidade de autorização incorreta que pode levar à execução arbitrária de código
As falhas do ColdFusion foram corrigidas nas versões ColdFusion 2025 Update 11 e ColdFusion 2023 Update 22.
A Adobe também resolveu duas falhas críticas em cada uma das plataformas Adobe Commerce, Magento Open Source e Adobe Experience Manager:
CVE-2026-48356
, com pontuação CVSS 9,6, uma vulnerabilidade de upload de arquivo no Adobe Commerce e no Magento Open Source que pode levar à escalada de privilégios
CVE-2026-48358
, com pontuação CVSS 9,1, uma vulnerabilidade de codificação ou escape inadequado da saída no Adobe Commerce e no Magento Open Source que pode levar à execução arbitrária de código
CVE-2026-48259
, com pontuação CVSS 9,6, uma vulnerabilidade de SSRF no Adobe Experience Manager que pode levar à execução arbitrária de código
CVE-2026-48359
, com pontuação CVSS 9,6, uma vulnerabilidade de restrição inadequada de referência a entidade externa XML no Adobe Experience Manager que pode levar à execução arbitrária de código
Em outro caso, a Broadcom lançou uma correção para uma vulnerabilidade crítica de bypass de autenticação no VMware Avi Load Balancer, identificada como CVE-2026-47865 e com pontuação CVSS 9,8.
A falha pode ser explorada por um usuário malicioso com acesso à rede para acessar o plano de controle do Avi.
Filip Waeytens, do Centro de Segurança Cibernética da OTAN (NCSC), foi creditado pela descoberta e pelo reporte da falha.
Embora nenhuma das vulnerabilidades tenha sido classificada como ativamente explorada, é essencial que as organizações instalem as atualizações mais recentes, já que threat actors costumam transformar falhas desses produtos em armas para ataques.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Guardsi: qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...