Bem-vindo à primeira edição do Boletim Semanal de Vulnerabilidades.
Toda semana, vamos reunir os principais incidentes, falhas críticas, explorações ativas e atualizações de segurança que movimentaram o cenário de cibersegurança. A proposta é trazer um resumo direto, em linguagem acessível, mas com foco técnico suficiente para apoiar profissionais de TI, segurança da informação, gestores e empresas que precisam acompanhar os riscos mais relevantes.
Nesta edição destacamos falhas críticas em produtos amplamente usados, exploração ativa de vulnerabilidades recém-divulgadas e novos alertas envolvendo ambientes de IA, Linux, Windows, servidores web, e-mail e painéis de hospedagem. O destaque fica para falhas com exploração em poucas horas após a divulgação pública, reforçando a necessidade de correção rápida e monitoramento contínuo.
Cisco Catalyst SD-WAN: falha crítica explorada em ataques limitados
A Cisco corrigiu uma vulnerabilidade crítica de bypass de autenticação no Catalyst SD-WAN Controller, identificada como CVE-2026-20182, com pontuação CVSS 10.0. A falha permite que um atacante remoto e não autenticado obtenha privilégios administrativos em sistemas afetados, explorando problemas no mecanismo de autenticação entre peers. A Cisco confirmou exploração limitada em maio de 2026 e recomendou atualização imediata, além de auditoria de logs para conexões suspeitas.
PraisonAI: exploração começou poucas horas após divulgação
A vulnerabilidade CVE-2026-44338, no PraisonAI, chamou atenção pela velocidade de exploração. Segundo o The Hacker News, tentativas de exploração foram observadas em menos de quatro horas após a divulgação pública. A falha ocorre porque um servidor Flask legado do PraisonAI vinha com autenticação desabilitada por padrão, permitindo acesso não autenticado a endpoints sensíveis como /agents e /chat. A correção está disponível na versão 4.6.34.
Windows: novos zero-days envolvendo BitLocker e CTFMON
Foram divulgados dois novos zero-days no Windows, apelidados de YellowKey e GreenPlasma. O YellowKey envolve um bypass de BitLocker no ambiente de recuperação do Windows, enquanto o GreenPlasma está relacionado a uma possível elevação de privilégio no Windows Collaborative Translation Framework, conhecido como CTFMON. O caso é sensível porque envolve falhas com potencial de abuso local e segue uma sequência recente de divulgações envolvendo vulnerabilidades no ecossistema Microsoft.
Linux Kernel: Fragnesia permite elevação local para root
nova falha CVE-2026-46300, chamada Fragnesia, afeta o kernel Linux e permite que atacantes locais sem privilégios modifiquem conteúdos somente leitura no cache de páginas do kernel para obter privilégios de root. A vulnerabilidade está relacionada ao subsistema XFRM ESP-in-TCP e já possui proof-of-concept público. Distribuições como Debian, Ubuntu, Red Hat, SUSE, Gentoo, AlmaLinux e Amazon Linux publicaram alertas ou correções.
NGINX: falha de 18 anos pode permitir RCE
Pesquisadores divulgaram a vulnerabilidade CVE-2026-42945, também chamada de NGINX Rift, um heap buffer overflow no módulo ngx_http_rewrite_module. A falha afeta NGINX Plus e NGINX Open Source e pode permitir negação de serviço ou, em determinadas condições, execução remota de código. O problema existe há cerca de 18 anos e foi corrigido em versões recentes, incluindo NGINX Open Source 1.30.1 e 1.31.0.
Microsoft Patch Tuesday: 138 vulnerabilidades corrigidas
A Microsoft lançou correções para 138 vulnerabilidades em seu Patch Tuesday de maio de 2026. Entre elas, 30 foram classificadas como críticas. O destaque foi a CVE-2026-41096, uma falha de heap buffer overflow no Windows DNS que pode permitir execução remota de código sem autenticação em determinadas configurações. Também foram corrigidas falhas críticas em Windows Netlogon, Azure, Dynamics 365, Hyper-V, Office Word e outros componentes.
Exim: falha crítica em servidores de e-mail com GnuTLS
O Exim corrigiu a vulnerabilidade CVE-2026-45185, chamada Dead.Letter, com pontuação CVSS 9.8. A falha é um use-after-free no processamento BDAT quando conexões TLS usam GnuTLS, podendo causar corrupção de memória e potencial execução de código. Ela afeta versões do Exim de 4.97 até 4.99.2 quando compiladas com USE_GNUTLS=yes. A correção foi disponibilizada na versão 4.99.3, sem mitigação completa alternativa.
Instructure/Canvas: invasão, extorsão e vazamento evitado por acordo
A Instructure, empresa responsável pela plataforma Canvas, informou ter chegado a um acordo com o grupo de extorsão ShinyHunters após uma invasão que teria resultado no roubo de 3,65 TB de dados. O incidente afetou milhares de organizações e teria envolvido uma vulnerabilidade não especificada relacionada a tickets de suporte no ambiente Free-for-Teacher. A empresa afirmou que revogou credenciais privilegiadas, rotacionou chaves internas e restringiu caminhos de criação de tokens.
cPanel/WHM: exploração ativa e novas correções
A falha CVE-2026-41940 no cPanel/WHM segue sendo explorada ativamente por atores maliciosos. Segundo a QiAnXin XLab, a exploração tem sido usada para instalar backdoors, mineradores, ransomware e botnets. Mais de 2.000 IPs de origem foram observados em ataques automatizados contra essa vulnerabilidade, com atividade distribuída em vários países, incluindo Brasil.
Além disso, o cPanel publicou correções para três novas vulnerabilidades: CVE-2026-29201, CVE-2026-29202 e CVE-2026-29203, que podem permitir leitura arbitrária de arquivos, execução de código Perl por usuário autenticado e possível elevação de privilégio ou negação de serviço. Não há evidência de exploração ativa dessas três novas falhas, mas a atualização é recomendada com urgência.
Ollama: falha pode expor memória de servidores de IA
Pesquisadores divulgaram a CVE-2026-7482, chamada Bleeding Llama, uma vulnerabilidade crítica no Ollama que pode permitir vazamento remoto de memória do processo. A falha afeta versões anteriores à 0.17.1 e envolve o processamento de arquivos GGUF maliciosos no endpoint /api/create. Dados como variáveis de ambiente, chaves de API, prompts de sistema e conversas de usuários podem ser expostos se o servidor estiver acessível pela rede.
Microsoft Exchange: empresa de energia atingida em campanha de espionagem
Uma empresa de energia do Azerbaijão foi alvo de uma campanha de múltiplas ondas atribuída ao grupo FamousSparrow, associado à China. Os atacantes exploraram repetidamente a mesma porta de entrada em servidores Microsoft Exchange, usando a cadeia ProxyNotShell para acesso inicial e implantando backdoors como Deed RAT e TernDoor. O caso reforça que corrigir a vulnerabilidade inicial, rotacionar credenciais e remover persistências são etapas indispensáveis após uma invasão.
Recomendações rápidas
- Atualize imediatamente Cisco Catalyst SD-WAN, Exim, NGINX, cPanel/WHM, Ollama e sistemas Microsoft afetados.
- Revise exposição pública de painéis administrativos, APIs, servidores de IA e serviços de e-mail.
- Monitore logs por autenticações anômalas, criação de usuários, execução remota de comandos e conexões de IPs desconhecidos.
- Rotacione credenciais, tokens e chaves internas após qualquer suspeita de exploração.
- Priorize correções de vulnerabilidades com exploração ativa ou proof-of-concept público.
