Segurança & Risco
50 análises
CVE-2026-20182 permite bypass de autenticação no Catalyst SD-WAN Controller e escalada para root. Grupo identificado como UAT-8616 já modificava configurações NETCONF nos sistemas comprometidos. CISA exigiu correção em três dias.
CVE-2026-42897 permite execução de JavaScript via email aberto no Outlook Web Access. CISA exigiu correção até 29 de maio. Falha afeta Exchange Server 2016, 2019 e Subscription Edition, mas não atinge Exchange Online.
Um ataque ao pipeline de release do projeto TanStack comprometeu 84 artefatos em 42 pacotes npm e respingou na OpenAI, que confirmou comprometimento das chaves de assinatura de aplicativos para Windows, macOS, iOS e Android e iniciou o re-lançamento de todos os apps com novos certificados.
A Grafana Labs confirmou em 17 de maio que um terceiro obteve um token de acesso ao GitHub corporativo da empresa e baixou parte do código-fonte. A companhia recusou o pedido de resgate do grupo CoinbaseCartel e citou orientação do FBI para justificar a postura.
Um buffer overflow no módulo de reescrita do NGINX, presente no código desde 2008, levou a F5 a publicar correção emergencial após a VulnCheck registrar tentativas de exploração contra honeypots. A falha recebeu pontuação CVSS de 9.2 e afeta versões 0.6.27 até 1.30.0.
Relatório analisou mais de 22 mil incidentes e registra dobramento do envolvimento de fornecedores e parceiros como vetor de comprometimento em um ano.
Lançada em 12 de maio, a plataforma usa GPT-5.5 para identificar vulnerabilidades, validar correções e acelerar o ciclo de patch em ambientes corporativos. Cisco, CrowdStrike e Palo Alto ja integram o produto.
O primeiro trimestre de 2026 registrou 2.122 organizações vítimas de ransomware, o segundo maior Q1 da história. A grande mudança: os dez maiores grupos concentraram 71% dos ataques, sinalizando consolidação do ecossistema criminoso e ataques mais sofisticados.
Incidentes de supply chain de software mais que dobraram globalmente em 2025, expondo lacunas críticas de preparo empresarial. O ataque ao tj-actions em março de 2025 comprometeu pipelines CI/CD em milhares de repositórios. O caso XZ Utils de 2024, onde atacante passou dois anos construindo confiança antes de inserir um backdoor, definiu o padrão da ameaça moderna.
A administração Trump autorizou a venda de chips Nvidia H200 para a China, uma reversão da política de restrições construída bipartidariamente desde 2022. O Congresso reage com projetos de lei para reverter a decisão. Para executivos de tecnologia, o cenário redesenha o mapa de risco geopolítico da cadeia de IA.
63% das organizações mundiais implementaram Zero Trust pelo menos parcialmente. Mas 35% das iniciativas relataram falhas que prejudicaram a organização. O Gartner projeta que 75% das agências federais americanas não conseguirão implementar políticas Zero Trust até o final de 2026. Organizações com programas maduros registram 50% menos violações e reduzem o custo médio de uma violação em 43%.
Os prêmios de seguro cibernético caíram 22% em relação ao pico de 2022 e recuaram 6% adicionais em 2025. Em 2024, as apólices globais registraram queda no prêmio total pela primeira vez. Para 2026, as seguradoras projetam reversão com alta de 15% a 20%, pressionadas pela aceleração de ataques a infraestrutura crítica e pela sofisticação crescente das fraudes com IA.