A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) adicionou, na segunda-feira, duas falhas de segurança críticas que afetam o Erlang/Open Telecom Platform (OTP) SSH e Roundcube ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), com base em evidências de exploração ativa.
As vulnerabilidades em questão são listadas a seguir:
CVE-2025-32433
(pontuação CVSS: 10.0) - Uma vulnerabilidade de falta de autenticação para uma função crítica no servidor Erlang/OTP SSH, que poderia permitir a um atacante executar comandos arbitrários sem credenciais válidas, levando potencialmente a execução de código remoto sem autenticação.
(Corrigida em abril de 2025 nas versões OTP-27.3.3, OTP-26.2.5.11 e OTP-25.3.2.20)
CVE-2024-42009
(pontuação CVSS: 9.3) - Uma vulnerabilidade de Cross-Site Scripting (XSS) no RoundCube Webmail, que poderia permitir a um atacante remoto roubar e enviar e-mails de uma vítima por meio de uma mensagem de e-mail elaborada, aproveitando-se de um problema de desanitização em program/actions/mail/show.php.
(Corrigida em agosto de 2024 nas versões 1.6.8 e 1.5.8)
Atualmente, não há detalhes sobre como as duas vulnerabilidades estão sendo exploradas no campo, e por quem.
No mês passado, a ESET revelou que o ator de ameaça ligado à Rússia conhecido como APT28 explorou várias falhas de XSS no Roundcube, Horde, MDaemon e Zimbra para mirar em entidades governamentais e empresas de defesa na Europa Oriental.
Não está claro se o abuso da
CVE-2024-42009
está relacionado a essa atividade ou algo mais.
Conforme dados da Censys, existem 340 servidores Erlang expostos, embora seja importante notar que nem todas as instâncias são necessariamente suscetíveis à falha.
A divulgação pública da
CVE-2025-32433
foi rapidamente seguida pelo lançamento de várias provas de conceito (PoC) para exploração.
Diante da exploração ativa, as agências do Ramo Executivo Civil Federal (FCEB) são obrigadas a aplicar os reparos necessários até 30 de junho de 2025, para proteção ideal.
O desenvolvimento ocorre enquanto a Patchstack sinalizou uma vulnerabilidade não corrigida de tomada de conta no plugin PayU CommercePro para WordPress (
CVE-2025-31022
, pontuação CVSS: 9.8) que permite a um atacante assumir o controle de qualquer usuário do site sem qualquer autenticação.
Isso pode ter consequências graves quando o atacante consegue sequestrar uma conta de administrador, permitindo-lhes assumir o controle do site e realizar ações maliciosas.
A vulnerabilidade afeta as versões até a 3.8.5.
O plugin tem mais de 5.000 instalações ativas.
O problema está relacionado a uma função chamada "update_cart_data()", que, por sua vez, é invocada a partir de um endpoint chamado "/payu/v1/get-shipping-cost", que verifica se um endereço de e-mail fornecido existe e, em caso afirmativo, processa o pedido de e-commerce para checkout.
Mas, como o endpoint verifica um token válido vinculado a um endereço de e-mail codificado ("commerce.pro@payu[.]in") e existe outro API REST para gerar um token de autenticação para um determinado e-mail ("/payu/v1/generate-user-token"), um atacante poderia explorar esse comportamento para obter o token correspondente a "commerce.pro@payu[.]in" e enviar um pedido a "/payu/v1/get-shipping-cost" para sequestrar qualquer conta.
Aconselha-se aos usuários desativar e excluir o plugin até que uma correção para a vulnerabilidade esteja disponível.
"É necessário garantir que os endpoints da REST API não autenticados não sejam excessivamente permissivos e forneçam mais acesso aos usuários", disse a Patchstack.
Além disso, não é recomendado codificar informações sensíveis ou dinâmicas, como endereços de e-mail, para usá-las para outros casos dentro do código.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...