Segurança & Risco
50 análises
Falha na policy SetIntegrationRequest do Apigee recebeu 9,2 no CVSS e permite exfiltrar tokens de conta de serviço, mas depende de uma configuração insegura prévia no proxy de API.
Requisição forjada permite execução remota de código sem autenticação no Web Server Plug-ins do WebSphere 8.5 e 9.0. No mesmo dia, a IBM publicou outra falha 9,8 no Engineering Lifecycle Management.
Brecha no virt-handler do KubeVirt permite que um usuário com edição em um único namespace sequestre o socket do CRI-O e comprometa o nó inteiro. Red Hat publicou erratas para as linhas a partir da 4.12.
Falha sem autenticação no GitHub Enterprise Server recebeu 9,2 no CVSS e permite redirecionar chamadas internas para vazar credenciais. Correções estão nas builds 3.16.20, 3.17.17, 3.18.11 e 3.19.8.
Na madrugada de 22 de maio, um agente com acesso organizacional ao GitHub reescreveu 502 tags históricas de quatro pacotes PHP, injetando um backdoor que exfiltra credenciais de cloud, tokens CI/CD e secrets de Kubernetes sem alertas visíveis.
O grupo de extorsão CoinbaseCartel reivindicou acesso ao domínio panasonic.aero em 22 de maio de 2026. A Panasonic Avionics atende mais de 200 companhias aéreas e cobre cerca de 70% da frota global de aeronaves equipadas com sistemas IFE.
O CISO da GitHub atribuiu nesta quinta-feira a invasão de 3.800 repositórios internos a uma versão maliciosa da extensão Nx Console para VS Code, ligada ao ataque de cadeia de suprimentos contra pacotes npm do TanStack em 11 de maio.
O grupo TeamPCP comprometeu um dispositivo de funcionário do GitHub com uma extensão adulterada do VS Code para exfiltrar cerca de 3.800 repositórios internos. A empresa confirma que dados de clientes não foram afetados.
Sem exigir autenticação, a CVE-2026-9082 recebeu pontuação 20/25 no sistema de risco do Drupal e pode levar a execução remota de código em instalações com PostgreSQL. Patch disponível nesta quinta-feira.
Grupo Nitrogen reivindica exfiltração de 8 TB em 11 milhões de arquivos da Foxconn, incluindo desenhos técnicos de projetos da Apple, Google e Nvidia. AppleInsider confirmou hoje a presença de esquemáticos de servidores Apple no material vazado.
Vulnerabilidade crítica CVE-2026-42945, presente no NGINX desde 2008, foi explorada ativamente três dias após publicação de prova de conceito. Afeta todas as versões entre 0.6.27 e 1.30.0, responsáveis por 32,8% dos servidores web globais.
SAP S/4HANA recebe correção para SQL injection com CVSS 9.6 no mesmo mês em que mais da metade dos clientes globais conclui migração para a versão. FortiAuthenticator e FortiSandbox são atualizados contra falhas de controle de acesso, e n8n acumula cinco CVEs 9.4.