O grupo de hackers russo Gamaredon foi atribuído à exploração contínua da vulnerabilidade CVE-2025-8088 em WinRAR, uma falha de path traversal, para entregar múltiplas famílias de malware (GammaWorm e GammaSteel) direcionadas a roubo de dados e propagação. A campanha envolve a weaponização de um…
Google divulgou em junho de 2026 patches para 124 vulnerabilidades de segurança no sistema operacional Android. Destaca-se a vulnerabilidade CVE-2025-48595 (CVSS 8.4) no componente Framework, classificada como alta severidade e sob exploração ativa. A falha permite escalação de privilégio sem…
Pesquisadores de cibersegurança identificaram vulnerabilidade de negação de serviço remoto (DoS) afetando servidores web amplamente utilizados: NGINX, Apache HTTPD, Microsoft IIS, Envoy e Cloudflare Pingora. A falha, denominada HTTP/2 Bomb, existe nas configurações padrão de HTTP/2 de cada…
Pesquisadores de cibersegurança divulgaram detalhes de uma vulnerabilidade não corrigida no manipulador URI search: do Windows que permite exploração para divulgar hashes NTLMv2 de usuários a atacantes. A questão é análoga ao CVE-2026-33829, que afetou o manipulador URI ms-screensketch: da…
Vulnerabilidade crítica identificada em múltiplos aplicativos Microsoft 365 para Android. Uma flag de desenvolvimento deixada ativa em builds de produção desabilitou o mecanismo de validação que restringe o compartilhamento de tokens de conta apenas para aplicativos Microsoft confiáveis. A falha…
A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou uma vulnerabilidade crítica ao catálogo de Vulnerabilidades Conhecidas Exploradas (KEV) em 3 de junho de 2026. A falha CVE-2026-45247 (CVSS 9.8) afeta a extensão Mirasvit Cache Warmer, amplamente utilizada em…
Redis divulgou correção para vulnerabilidade de use-after-free (CVE-2026-23479) em seu código de cliente bloqueante, permitindo que usuários autenticados executem comandos arbitrários no sistema operacional hospedeiro do banco de dados. A falha foi identificada por ferramenta autônoma de IA…
Pesquisadores de cibersegurança divulgaram vulnerabilidade crítica em Microsoft Visual Studio Code (VS Code) que permite roubo de tokens GitHub através de ataque de um clique. A falha explora o recurso GitHub.dev, permitindo que atacantes obtenham tokens OAuth com permissões de leitura e escrita…
Incidente de segurança envolvendo acesso não autorizado à caixa de correio Outlook de executivo sênior em bolsa de valores global. Atacantes desconhecidos mantiveram acesso por pelo menos cinco meses, realizando cópias incrementais da caixa de entrada e canalizando dados através de serviços…
Pesquisadores de cibersegurança identificaram operação em larga escala de sites fraudulentos que se passam por projetos de código aberto e software livre, utilizando Sistema de Distribuição de Tráfego (TDS) para redirecionar usuários desavisados e entregar famílias de malware, incluindo Remus…
