Sobre a LVA
A Lista de Vulnerabilidades em Alta (LVA) é uma compilação das dez vulnerabilidades de segurança mais relevantes dos últimos 15 dias. Ela é elaborada a partir da análise de fóruns hackers, redes sociais, canais especializados, honeypots e exploit kits.
O propósito da LVA é manter os clientes informados sobre as vulnerabilidades mais comentadas e que estão sofrendo mais tentativas de exploração, para que possam incorporá-las em seu gerenciamento de riscos, permitindo a adoção de medidas preventivas e corretivas antes que elas sejam exploradas.
10 CVEs dos Últimos Quinze Dias
1
Vulnerabilidade crítica de estouro de memória no Citrix NetScaler ADC e Gateway que permite execução remota de código sem autenticação. A vulnerabilidade está sendo ativamente explorada na natureza e afeta dispositivos configurados como Gateway (VPN, ICA Proxy) ou servidores virtuais AAA. Mais de 28.000 instâncias permanecem vulneráveis após divulgação dos patches. CVSS 9.2.
2
Vulnerabilidade de path traversal na versão Windows do WinRAR que permite execução de código arbitrário através de arquivos maliciosos. Explorada ativamente pelo grupo RomCom em campanhas de spear-phishing direcionadas contra empresas financeiras, manufatura, defesa e logística na Europa e Canadá. Afeta versões até 7.12, corrigida na versão 7.13. CVSS 8.4.
3
Vulnerabilidade zero-day de escrita fora dos limites no framework ImageIO da Apple que pode resultar em corrupção de memória ao processar arquivos de imagem maliciosos. Apple confirmou exploração ativa em "ataques extremamente sofisticados contra indivíduos específicos". Usada em conjunto com CVE-2025-55177 do WhatsApp. CVSS 8.8.
4
Vulnerabilidade zero-click no WhatsApp que permite autorização insuficiente de mensagens de sincronização de dispositivos vinculados. Explorada em campanhas de spyware direcionadas, permitindo que atacantes forcem dispositivos alvo a processar conteúdo de URLs arbitrárias. Cerca de 200 pessoas foram direcionadas nos últimos 3 meses. CVSS 8.0.
5
Vulnerabilidade de canal alternativo desprotegido no CrushFTP que permite bypass de autenticação através do protocolo AS2. Atacantes remotos não autenticados podem obter acesso administrativo. Descoberta sendo explorada ativamente desde 18 de julho de 2025. Afeta versões anteriores a 10.8.5 e 11.3.4_23.
6
Vulnerabilidade de SQL injection em FreePBX que permite acesso não autenticado ao administrador, resultando em manipulação arbitrária de banco de dados e execução remota de código. Afeta versões 15, 16 e 17. Corrigida nas versões 15.0.66, 16.0.89 e 17.0.3. Exploração ativa confirmada. CVSS 10.0.
7
Vulnerabilidade de escrita arbitrária de arquivos no Git que permite execução de código em sistemas Linux e macOS quando usando "git clone --recursive" em repositórios maliciosos. Exploits proof-of-concept estão publicamente disponíveis. Afeta versões anteriores às corrigidas em julho de 2025. CVSS 8.1.
8
Vulnerabilidade de deserialização de dados não confiáveis no SharePoint Server on-premises que permite execução remota de código não autenticada. Parte da cadeia de exploração "ToolShell", sendo ativamente explorada para implantação de ransomware. Afeta apenas instalações on-premises. CVSS 9.8.
9
Vulnerabilidade de deserialização de dados não confiáveis no Microsoft Web Deploy que permite que atacante autorizado execute código pela rede. A falha ocorre no processamento de cabeçalhos HTTP através dos endpoints msdeployagentservice e msdeploy.axd após decodificação GZip e Base64.
10
Vulnerabilidade de SQL injection no Fortinet FortiWeb que permite execução de código não autorizada via requisições HTTP/HTTPS maliciosas. Exploração ativa confirmada horas após publicação do proof-of-concept. Mais de 77 instâncias comprometidas com webshells identificadas. Afeta versões 7.6.0-7.6.3, 7.4.0-7.4.7, 7.2.0-7.2.10 e abaixo de 7.0.10. CVSS 9.6.
🛡️
Suporte SEK
Estamos aqui para fornecer todo o suporte necessário. Não hesite em buscar nossa assistência caso se depare com essas vulnerabilidades ou necessite de esclarecimentos adicionais.
⚠️ IMPORTÂNCIA CRÍTICA: É de extrema importância que nossos clientes adotem as medidas necessárias para corrigir as vulnerabilidades listadas acima. A prevenção é fundamental para garantir a segurança de seus dados e sistemas.
✅ ATIVOS GERENCIADOS: Quanto aos ativos gerenciados pela SEK, estamos atuando na correção, bem como no monitoramento de possíveis atualizações sobre novas ameaças.
Agradecemos sinceramente pela confiança que depositam em nossos serviços e estamos à disposição para responder a quaisquer questionamentos que possam surgir. Sua segurança é a nossa prioridade máxima.
About HVL
The High-Priority Vulnerabilities List (HVL) is a compilation of the ten most relevant security vulnerabilities from the last 15 days. It is developed from analysis of hacker forums, social networks, specialized channels, honeypots, and exploit kits.
The purpose of the HVL is to keep clients informed about the most discussed vulnerabilities that are suffering the most exploitation attempts, so they can incorporate them into their risk management, allowing the adoption of preventive and corrective measures before they are exploited.
10 CVEs from the Last Fifteen Days
1
Critical memory overflow vulnerability in Citrix NetScaler ADC and Gateway allowing unauthenticated remote code execution. Actively exploited in the wild, affects devices configured as Gateway (VPN, ICA Proxy) or AAA virtual servers. Over 28,000 instances remain vulnerable after patch disclosure. CVSS 9.2.
2
Path traversal vulnerability in Windows version of WinRAR allowing arbitrary code execution through malicious archive files. Actively exploited by RomCom group in targeted spear-phishing campaigns against financial, manufacturing, defense and logistics companies in Europe and Canada. Affects versions up to 7.12, fixed in 7.13. CVSS 8.4.
3
Zero-day out-of-bounds write vulnerability in Apple's ImageIO framework that can result in memory corruption when processing malicious image files. Apple confirmed active exploitation in "extremely sophisticated attacks against specific targeted individuals." Used in conjunction with CVE-2025-55177. CVSS 8.8.
4
Zero-click vulnerability in WhatsApp allowing insufficient authorization of linked device synchronization messages. Exploited in targeted spyware campaigns, enabling attackers to force target devices to process content from arbitrary URLs. Approximately 200 people targeted in last 3 months. CVSS 8.0.
5
Unprotected alternate channel vulnerability in CrushFTP allowing authentication bypass through AS2 protocol. Remote unauthenticated attackers can gain administrative access. Discovered under active exploitation since July 18, 2025. Affects versions below 10.8.5 and 11.3.4_23.
6
SQL injection vulnerability in FreePBX allowing unauthenticated access to administrator, leading to arbitrary database manipulation and remote code execution. Affects versions 15, 16, and 17. Fixed in versions 15.0.66, 16.0.89, and 17.0.3. Active exploitation confirmed. CVSS 10.0.
7
Arbitrary file write vulnerability in Git allowing code execution on Linux and macOS systems when using "git clone --recursive" on weaponized repositories. Public proof-of-concept exploits available. Affects versions prior to patches released in July 2025. CVSS 8.1.
8
Unsafe deserialization vulnerability in on-premises SharePoint Server allowing unauthenticated remote code execution. Part of "ToolShell" exploit chain, actively exploited for ransomware deployment. Affects only on-premises installations. CVSS 9.8.
9
Deserialization of untrusted data vulnerability in Microsoft Web Deploy allowing authorized attackers to execute code over network. Flaw occurs in processing of HTTP headers through msdeployagentservice and msdeploy.axd endpoints after GZip and Base64 decoding.
10
SQL injection vulnerability in Fortinet FortiWeb allowing unauthenticated code execution via malicious HTTP/HTTPS requests. Active exploitation confirmed hours after proof-of-concept publication. Over 77 instances compromised with webshells identified. Affects versions 7.6.0-7.6.3, 7.4.0-7.4.7, 7.2.0-7.2.10 and below 7.0.10. CVSS 9.6.
🛡️
SEK Support
We are here to provide all necessary support. Do not hesitate to seek our assistance if you encounter these vulnerabilities or need additional clarifications.
⚠️ CRITICAL IMPORTANCE: It is extremely important that our clients adopt the necessary measures to fix the vulnerabilities listed above. Prevention is fundamental to ensure the security of your data and systems.
✅ MANAGED ASSETS: Regarding assets managed by SEK, we are working on corrections, as well as monitoring possible updates about new threats.
We sincerely thank you for the trust you place in our services and we are available to answer any questions that may arise. Your security is our top priority.
Acerca de LVA
La Lista de Vulnerabilidades en Alza (LVA) es una recopilación de las diez vulnerabilidades de seguridad más relevantes de los últimos 15 días. Se elabora a partir del análisis de foros de hackers, redes sociales, canales especializados, honeypots y exploit kits.
El propósito de la LVA es mantener a los clientes informados sobre las vulnerabilidades más comentadas y que están sufriendo más intentos de explotación, para que puedan incorporarlas en su gestión de riesgos, permitiendo la adopción de medidas preventivas y correctivas antes de que sean explotadas.
10 CVEs de los Últimos Quince Días
1
Vulnerabilidad crítica de desbordamiento de memoria en Citrix NetScaler ADC y Gateway que permite ejecución remota de código sin autenticación. Está siendo explotada activamente en la naturaleza y afecta dispositivos configurados como Gateway (VPN, ICA Proxy) o servidores virtuales AAA. Más de 28,000 instancias permanecen vulnerables después de la divulgación de los parches. CVSS 9.2.
2
Vulnerabilidad de path traversal en la versión Windows de WinRAR que permite ejecución de código arbitrario mediante archivos maliciosos. Explotada activamente por el grupo RomCom en campañas de spear-phishing dirigidas contra empresas financieras, manufactureras, de defensa y logística en Europa y Canadá. Afecta versiones hasta 7.12, corregida en 7.13. CVSS 8.4.
3
Vulnerabilidad zero-day de escritura fuera de los límites en el framework ImageIO de Apple que puede resultar en corrupción de memoria al procesar archivos de imagen maliciosos. Apple confirmó explotación activa en "ataques extremadamente sofisticados contra individuos específicos". Usada junto con CVE-2025-55177. CVSS 8.8.
4
Vulnerabilidad zero-click en WhatsApp que permite autorización insuficiente de mensajes de sincronización de dispositivos vinculados. Explotada en campañas de spyware dirigidas, permitiendo que atacantes fuercen dispositivos objetivo a procesar contenido de URLs arbitrarias. Aproximadamente 200 personas fueron objetivo en los últimos 3 meses. CVSS 8.0.
5
Vulnerabilidad de canal alternativo desprotegido en CrushFTP que permite bypass de autenticación a través del protocolo AS2. Atacantes remotos no autenticados pueden obtener acceso administrativo. Descubierta bajo explotación activa desde el 18 de julio de 2025. Afecta versiones anteriores a 10.8.5 y 11.3.4_23.
6
FreePBX es una interfaz gráfica web de código abierto. Los endpoints FreePBX 15, 16 y 17 son vulnerables debido a datos suministrados por el usuario insuficientemente sanitizados que permiten acceso no autenticado al Administrador FreePBX, llevando a manipulación arbitraria de base de datos y ejecución remota de código. Este problema ha sido parcheado en las versiones de endpoint 15.0.66, 16.0.89 y 17.0.3.
7
Vulnerabilidad de escritura arbitraria de archivos en Git que permite ejecución de código en sistemas Linux y macOS cuando se usa "git clone --recursive" en repositorios maliciosos. Exploits proof-of-concept están públicamente disponibles. Afecta versiones anteriores a las corregidas en julio de 2025. CVSS 8.1.
8
Vulnerabilidad de deserialización de datos no confiables en SharePoint Server on-premises que permite ejecución remota de código no autenticada. Parte de la cadena de explotación "ToolShell", siendo activamente explotada para implementación de ransomware. Afecta solo instalaciones on-premises. CVSS 9.8.
9
Vulnerabilidad de deserialización de datos no confiables en Microsoft Web Deploy que permite que atacante autorizado ejecute código por la red. La falla ocurre en el procesamiento de encabezados HTTP a través de los endpoints msdeployagentservice y msdeploy.axd tras decodificación GZip y Base64.
10
Vulnerabilidad de inyección SQL en Fortinet FortiWeb que permite ejecución de código no autorizada vía peticiones HTTP/HTTPS maliciosas. Explotación activa confirmada horas después de la publicación del proof-of-concept. Más de 77 instancias comprometidas con webshells identificadas. Afecta versiones 7.6.0-7.6.3, 7.4.0-7.4.7, 7.2.0-7.2.10 y por debajo de 7.0.10. CVSS 9.6.
🛡️
Soporte SEK
Estamos aquí para brindar todo el soporte necesario. No dude en buscar nuestra asistencia si se encuentra con estas vulnerabilidades o necesita aclaraciones adicionales.
⚠️ IMPORTANCIA CRÍTICA: Es de extrema importancia que nuestros clientes adopten las medidas necesarias para corregir las vulnerabilidades listadas arriba. La prevención es fundamental para garantizar la seguridad de sus datos y sistemas.
✅ ACTIVOS GESTIONADOS: En cuanto a los activos gestionados por SEK, estamos actuando en la corrección, así como en el monitoreo de posibles actualizaciones sobre nuevas amenazas.
Agradecemos sinceramente por la confianza que depositan en nuestros servicios y estamos a disposición para responder cualquier pregunta que pueda surgir. Su seguridad es nuestra máxima prioridad.
