Meu Universo Digital Segurança — Vulnerabilidades

Vulnerabilidades críticas — Histórico

Registro histórico de CVEs relevantes com exploração ativa ou impacto crítico, organizadas por mês.

Março 2026

CVE-2026-3909 · Chrome/Skia

CVSS 8.8

Out-of-bounds write na biblioteca gráfica Skia do Chrome. Explorada ativamente via páginas HTML maliciosas que permitem acesso arbitrário a memória.

Mitigação: Atualizar Chrome para versão 134.0.6998.88+. Afeta todos os navegadores Chromium.

CVE-2026-3910 · Chrome/V8

CVSS 8.8

Execução de código arbitrário no motor JavaScript V8 do Chrome. Explorada ativamente. Google corrigiu em 13/mar/2026.

Mitigação: Atualizar Chrome imediatamente. Vulnerabilidade permite RCE via página web maliciosa.

CVE-2026-21858 · n8n

CVSS 10.0

"Ni8mare" — Execução remota de código não autenticado no n8n. Impacta ~100.000 servidores com instâncias expostas à internet. Permite controle total sem credenciais.

Mitigação: Atualizar n8n e nunca expor instâncias diretamente à internet. Usar VPN (Tailscale, WireGuard) para acesso.

CVE-2026-21666 · Veeam Backup

CVSS 9.9

Execução remota de código por usuário de domínio autenticado no Veeam Backup & Replication. Qualquer usuário de domínio pode comprometer o servidor de backup.

Mitigação: Aplicar patch Veeam imediatamente. Isolar servidor de backup em rede separada com acesso restrito.

CVE-2026-21513 · MSHTML (Windows)

CVSS 8.8+

Zero-day no componente MSHTML do Windows explorado pelo grupo APT28 (Fancy Bear) antes do Patch Tuesday de fevereiro 2026. Usado para espionagem contra alvos governamentais europeus.

Mitigação: Aplicar Patch Tuesday de março 2026. Monitorar IOCs associados ao APT28.

CVE-2026-21643 · FortiClient EMS

CVSS 9.1

Primeira falha crítica no FortiClient EMS 7.4.4. Bypass de autenticação permite execução de comandos não autorizados. Exploração ativa detectada em março.

Mitigação: Atualizar FortiClient EMS para versão 7.4.5+ (que, por sua vez, tem a CVE-2026-35616 — requer hotfix adicional).

Abril 2026

CVE-2026-35616 · FortiClient EMS

CVSS 9.1

Bypass de API pré-autenticação no FortiClient EMS 7.4.5-7.4.6. Permite execução de código/comandos sem autenticação via requisições crafted. Exploração ativa desde 31/mar. CISA KEV em 06/abr.

Mitigação: Aplicar hotfix Fortinet imediatamente. Tratar como emergência — atacantes já exploraram durante feriado da Páscoa.

CVE-2026-34621 · Adobe Acrobat Reader

CVSS 9.6

Prototype pollution permite execução de código arbitrário via PDFs maliciosos. Explorada por meses antes da detecção. Usa util.readFileIntoStream() para roubar arquivos locais e RSS.addFeed() para exfiltrar dados. Apenas 13/64 detecções no VirusTotal.

Mitigação: Aplicar patch emergencial APSB26-43 (11/abr). Usar visualizadores alternativos para PDFs suspeitos.

CVE-2026-5281 · Chrome/WebGPU (Dawn)

CVSS 8.8

Use-after-free na implementação WebGPU Dawn do Chrome. Explorada ativamente. CISA adicionou ao KEV em 01/abr com prazo de correção até 15/abr. Afeta todos os navegadores Chromium (Edge, Brave, Opera, Vivaldi).

Mitigação: Atualizar Chrome/Chromium. Verificar via chrome://settings/help.

CVE-2026-34040 · Docker Engine

CVSS 8.8

Bypass de plugins AuthZ via requisições HTTP com body >1MB que resultam em body vazio enviado ao plugin. Permite escape de container e acesso ao host. Fix incompleto do CVE-2024-41110. Afeta ambientes com OPA, Prisma Cloud ou políticas custom.

Mitigação: Atualizar Docker Engine para 29.3.1+. Limitar tamanho de requests na camada de rede.

CVE-2026-23760 · SmarterMail

CVSS 9.8

Zero-day explorada pelo grupo Storm-1175 uma semana antes do disclosure público. Usada como vetor inicial para deploy rápido de ransomware Medusa contra alvos nos EUA, UK e Austrália.

Mitigação: Aplicar patch SmarterMail. Monitorar IOCs do Storm-1175. Servidores de e-mail web-facing são alvos prioritários.

CVE-2025-55182 · Next.js

CVSS 8.6

Falha explorada para comprometer 766 hosts Next.js e roubar credenciais. Atacantes exploram middleware de autenticação para bypass de controle de acesso.

Mitigação: Atualizar Next.js para versão corrigida. Revisar middleware de autenticação e implementar validação server-side.

← Voltar para Segurança