A SAP lançou atualizações de segurança para corrigir duas vulnerabilidades críticas que podem ser exploradas para a execução remota de código em sistemas afetados.
As falhas identificadas são:
-
CVE-2019-17571
(pontuação CVSS: 9,8) – vulnerabilidade de code injection no SAP Quotation Management Insurance (FS-QUO);
-
CVE-2026-27685
(pontuação CVSS: 9,1) – vulnerabilidade de insecure deserialization no SAP NetWeaver Enterprise Portal Administration.
Segundo a empresa de segurança Onapsis, “a aplicação utiliza uma versão desatualizada do Apache Log4j 1.2.17, vulnerável à
CVE-2019-17571
”.
Isso permite que um invasor sem privilégios execute código arbitrário remotamente no servidor, comprometendo a confidencialidade, integridade e disponibilidade do sistema.
Já a
CVE-2026-27685
ocorre devido à ausência ou validação insuficiente durante o processo de deserialização de conteúdo enviado, o que pode permitir o upload de arquivos maliciosos.
“O fato de o invasor precisar de privilégios elevados para explorar a falha impede que a pontuação CVSS alcance 10”, explicou a Onapsis.
A divulgação acontece na mesma semana em que a Microsoft liberou patches para 84 vulnerabilidades em seus produtos, incluindo falhas de escalonamento de privilégios e execução remota de código.
Na terça-feira, a Adobe anunciou correções para 80 vulnerabilidades, sendo quatro críticas no Adobe Commerce e Magento Open Source que podem resultar em escalonamento de privilégios e bypass de mecanismos de segurança.
Além disso, cinco vulnerabilidades críticas no Adobe Illustrator foram corrigidas para evitar execução arbitrária de código.
Outro destaque é a Hewlett Packard Enterprise, que lançou atualizações para cinco falhas no Aruba Networking AOS-CX.
A mais grave é a CVE-2026-23813 (pontuação CVSS: 9,8), que permite bypass de autenticação na interface de gerenciamento.
“Essa vulnerabilidade pode permitir que atores não autenticados contornem controles de acesso existentes e, em alguns casos, redefinam a senha do administrador”, informou a HPE.
Ross Filipek, CISO da Corsica Technologies, afirmou que essa falha pode dar controle total dos dispositivos de rede Aruba a invasores, comprometendo todo o ambiente sem ser detectado.
Ele alertou que “a exploração bem-sucedida pode interromper comunicações de rede ou comprometer a integridade de serviços críticos, evidenciando como vulnerabilidades em dispositivos de rede são cada vez mais comuns no mundo hiperconectado”.
Nos últimos dias, diversos outros fornecedores também liberaram patches para corrigir múltiplas vulnerabilidades, entre eles ABB, Amazon Web Services, AMD, Arm, Atlassian, Bosch, Broadcom, Canon, Cisco, Dell, Google (Android, Chrome, Cloud, Pixel), IBM, Intel, Lenovo, várias distribuições Linux, NVIDIA, Palo Alto Networks, Qualcomm, Samsung, Siemens, SolarWinds, Trend Micro, Zoom, entre outros.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...