Falhas de segurança CISA: quatro novas ameaças ativas

Falhas de segurança CISA ganharam destaque após o órgão norte-americano incluir quatro vulnerabilidades no catálogo Known Exploited Vulnerabilities (KEV), indicando exploração ativa e exigindo correções até 12 de fevereiro de 2026.

Quais CVEs entraram na lista

A CISA colocou em alerta administradores de servidores, desenvolvedores web e times de TI ao registrar os seguintes CVEs:

• CVE-2025-68645 (nota CVSS 8,8) – inclusão remota de arquivos em Synacor Zimbra Collaboration Suite pelo endpoint “/h/rest”, sem necessidade de autenticação. Patching disponível desde a versão 10.1.13 (nov/2025).
• CVE-2025-34026 (CVSS 9,2) – bypass de autenticação na plataforma SD-WAN Versa Concerto, permitindo acesso a endpoints administrativos. Corrigido na versão 12.2.1 GA (abr/2025).
• CVE-2025-31125 (CVSS 5,3) – falha de controle de acesso no framework JavaScript Vite que devolve conteúdo de arquivos arbitrários ao navegador via parâmetros “?inline&import” ou “?raw?import”. Patch liberado em múltiplas versões (mar/2025).
• CVE-2025-54313 (CVSS 7,5) – código malicioso embutido no pacote eslint-config-prettier, parte de um ataque à cadeia de suprimentos que também afetou outros seis módulos npm, entregando o loader Scavenger para roubo de informações.

Por que isso impacta gamers e profissionais de TI

Serviços de e-mail corporativo, orquestração de redes e bibliotecas JavaScript estão presentes em back-ends de jogos online, lojas digitais e ferramentas de colaboração usadas em home office. Se um servidor comprometido entregar código injetado ou arquivos adulterados, o resultado pode ser queda de FPS em partidas, vazamento de dados de login ou instalação de malware em máquinas dos jogadores.

Segundo a empresa de segurança CrowdSec, ataques contra o CVE-2025-68645 ocorrem desde 14 de janeiro de 2026. Já o CVE-2025-54313 surgiu após uma campanha de phishing que roubou credenciais de mantenedores do npm, permitindo publicar versões trojanizadas dos pacotes.

Imagem: Internet

Para quem administra servidores de jogos, repositórios Git ou ambientes de nuvem, a recomendação é aplicar imediatamente os patches oficiais e revisar logs em busca de atividades suspeitas. A própria CISA reforça que falhas listadas no KEV são priorizadas por agentes mal-intencionados, pois possuem prova de conceito e superfície ampla de ataque. Mais detalhes podem ser consultados no relatório publicado pela agência e repercutido por portais especializados como o The Verge.

Você também pode gostar

Por que a Stripes Nude é a Melhor Cadeira Diretor em Termos de Design e Ergonomia

Cadeira Diretor Kopenhagen Couro Branco Cromada: O Símbolo de Status no Escritório

Cadeira Diretor Gomos Branca Home Office Giratória: Estilo e Conforto

Manter softwares atualizados é parte essencial de um setup de alta performance e seguro. Se você quer outras dicas para reforçar seu ambiente de trabalho ou jogo, visite nossa editoria de tecnologia e continue aprimorando seu ecossistema.

Crédito da imagem: The Hacker News Fonte: The Hacker News