Em 22 de janeiro de 2026, a Agência de Segurança de Infraestruturas e Cibersegurança dos Estados Unidos ( CISA) acrescentou quatro falhas críticas ao seu catálogo de Vulnerabilidades Conhecidas e Exploradas ( KEV). Essa inclusão não é meramente informativa: significa que existe evidência de exploração ativa na natureza e que as organizações devem priorizar mitigações. Quando a CISA etiqueta uma vulnerabilidade como “explotada”, destaca um risco imediato para redes e aplicações.
O primeiro problema que motivou o alerta afeta Synacor Zimbra Collaboration Suite e figura como CVE-2025-68645. Trata-se de uma variante de inclusão remota de arquivos que permite a um atacante construir pedidos ao endpoint "/h/rest" para trazer arquivos arbitrários da pasta WebRoot, sem necessidade de autenticação. Em termos práticos, isso pode expor dados sensíveis ou permitir a execução de código em servidores de e-mail e colaboração se não for adesivo. Synacor corrigiu a falha em novembro de 2025 com a publicação Zimbra 10.1.13, e CISA indica que a exploração dessa vulnerabilidade já está ocorrendo segundo análise de atores de ameaças e sinais de telemetria.
Outro achado grave corresponde a CVE-2025-34026, um bypass de autenticação descoberto na plataforma de orquestração SD-WAN de Versa, Concerto. Um intruso que aproveite esta falha pode acessar endpoints administrativos sem credenciais adequadas, o que facilita movimentos laterais, modificação de configurações ou implantação de código malicioso. Versa lançou correcções em abril de 2025 com a versão 12.2.1 GA; os operadores de redes SD-WAN devem validar suas atualizações e rever acessos administrativos expostos. Sobre este problema você pode ler uma análise técnica no blog ProjectDiscovery.
O ecossistema frontend não ficou isento. A biblioteca Vite, muito utilizada para construir aplicativos da web modernas, fechou em março de 2025 uma falha de controle de acesso ( CVE-2025-31125) que poderia devolver o conteúdo de arquivos arbitrários ao navegador através de parâmetros como ?inline&import ou ?raw?import. Embora o escore CVSS seja moderado, a exposição de arquivos internos pode revelar segredos ou permitir exfiltração de dados. As correcções estão nas versões 6.2.4, 6.1.3, 6.0.13, 5.4.16 e 4.5.11, portanto, as equipes de desenvolvimento e DevOps devem atualizar os pacotes e revisar pipelines de integração contínua para eliminar dependências vulneráveis.
Talvez o caso que melhor exemplifica a ameaça ao fornecimento de software seja CVE-2025-54313, relacionado com uma campanha de sabotagem contra vários pacotes npm, entre eles eslint-config-prettier. Os atacantes enganaram mantenedores com e-mails de phishing que simulavam tarefas administrativas — na verdade links falsos que roubaram credenciais — e publicaram versões troceadas que incluíam um carregador malicioso apodado "Scavenger Loader", destinado a implantar um furtivo info-stealer. Este incidente, detectado publicamente em julho de 2025, é um lembrete de que a cadeia de fornecimento de software é um vetor crítico: não só o código que escrevemos, mas quem o publica e como as contas dos mantenedores são validadas tanto quanto as dependências.
No caso de CVE-2025-68645, relatórios de inteligência e sistemas de detecção como os de CrowdSec Eles mostram atividade exploratória desde meados de janeiro de 2026, o que confirma que não se trata de uma ameaça teórica. Para as outras vulnerabilidades, a CISA indicou que havia indícios de exploração ativa ou potencial, embora nem sempre tenham sido publicados detalhes técnicos de cada campanha. Essa falta de detalhe público não reduz a urgência: quando a agência federal central assinala uma falha no seu catálogo KEV, é porque há risco demonstrado para infraestruturas críticas e serviços governamentais.
As obrigações regulamentares complicam o calendário: sob a Binding Operational Directive (BOD) 22-01, as agências do Poder Executivo Federal dos EUA. Os EUA devem aplicar adesivos para vulnerabilidades exploradas dentro de prazos rigorosos. Para estes quatro erros, a data limite de mitigação foi em 12 de fevereiro de 2026, o que aplica uma pressão adicional sobre equipamentos de segurança e operações para priorizar inventário, testes e implantação de atualizações sem comprometer a continuidade do serviço.
Para organizações fora do âmbito federal, a recomendação prática é a mesma: assumir que a exploração é real e priorizar a ação. Actualizar as versões corrigidas, auditar exposições de rede, rotar credenciais ligadas a repositórios e monitorizar registos de acesso São passos imprescindíveis. Em particular, os mantenedores e equipamentos que confiam em pacotes npm devem reforçar a segurança das suas contas - uma análise multifator, revisões de acesso e alertas por atividade suspeita - e aplicar controlos de verificação de integridade em pipelines automatizados.
Além de adesivos e regras de firewall, este episódio coloca o foco em uma lição cultural: a segurança já não é responsabilidade apenas de uma equipe; é uma prática transversal que abrange desenvolvedores, operadores, responsáveis por produto e administradores de sistema. Rever as dependências, as suas cadeias de publicação e as contas com permissões de publicação são tão relevantes quanto o sistema transdérmico de um servidor exposto.
Se você lidar com sistemas afetados por Zimbra, Versa, Vite ou depende de algum dos pacotes npm envolvidos, ele atua rapidamente. Consulte as correções oficiais e as notas de segurança associadas nos recursos de cada fornecedor, verifique sua exposição e documenta cada mudança. A transparência na resposta e uma auditoria pós-incidente ajudarão a reduzir o impacto e a prevenir reaberturas da mesma falha no futuro.
Para aprofundar, a página de CISA com o alerta e o catálogo KEV oferecem o ponto de partida oficial ( alerta e catálogo KEV), os registros CVE fornecem detalhes de cada entrada e avisos dos projetos e análises independentes fornecem contexto técnico e recomendações práticas.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...
PinTheft o exploit público que pode ser root no Arch Linux
Um novo exploit público levou à superfície novamente a fragilidade do modelo de privilégios no Linux: a equipe de V12 Security baniu a falha como PinTheft e publicou um teste de...