📰 Informação fresquinha chegando para você!
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
A SAP lançou atualizações de segurança para solucionar duas falhas críticas de segurança que poderiam ser exploradas para obter execução arbitrária de código nos sistemas afetados.
As vulnerabilidades em questão listadas abaixo -
CVE-2019-17571 (pontuação CVSS: 9,8) – Uma vulnerabilidade de injeção de código no aplicativo SAP Quotation Management Insurance (FS-QUO)
CVE-2026-27685 (pontuação CVSS: 9.1) – Uma vulnerabilidade de desserialização insegura no SAP NetWeaver Enterprise Portal Administration
“O aplicativo usa um artefato desatualizado do Apache Log4j 1.2.17 que é vulnerável ao CVE-2019-17571”, disse a empresa de segurança SAP Onapsis. “Ele permite que um invasor sem privilégios execute código arbitrário remotamente no servidor, causando alto impacto na confidencialidade, integridade e disponibilidade do aplicativo”.
O CVE-2026-27685, por outro lado, decorre da validação ausente ou insuficiente durante a desserialização do conteúdo carregado, o que pode permitir que um invasor carregue conteúdo não confiável ou malicioso.
“Somente o fato de um invasor exigir altos privilégios para uma exploração bem-sucedida impede que a vulnerabilidade seja marcada com uma pontuação CVSS de 10”, acrescentou Onapsis.
A divulgação ocorre no momento em que a Microsoft envia patches para 84 vulnerabilidades em produtos, incluindo dezenas de escalonamento de privilégios e falhas de execução remota de código.
Na terça-feira, a Adobe também anunciou patches para 80 vulnerabilidades, quatro das quais são falhas críticas que afetam o AdobeCommerce e o Magento Open Source, que podem resultar em escalonamento de privilégios e desvio de recursos de segurança. Separadamente, corrigiu cinco vulnerabilidades críticas no Adobe Illustrator que poderiam abrir caminho para a execução arbitrária de código.
Em outro lugar, a Hewlett Packard Enterprise lançou soluções para cinco deficiências no Aruba Networking AOS-CX. A falha mais grave é a CVE-2026-23813 (pontuação CVSS: 9,8), um desvio de autenticação que afeta a interface de gerenciamento.
“Uma vulnerabilidade foi identificada na interface de gerenciamento baseada na web dos switches AOS-CX que poderia permitir que um ator remoto não autenticado contornasse os controles de autenticação existentes”, disse a HPE. "Em alguns casos, isso pode permitir a redefinição da senha do administrador."
“A exploração desta vulnerabilidade da Aruba dá potencialmente aos invasores controle total dos dispositivos de rede AOS-CX e a capacidade de comprometer um sistema inteiro sem ser detectado”, disse Ross Filipek, CISO da Corsica Technologies, em um comunicado.
"Um compromisso bem sucedido poderia levar à interrupção das comunicações de rede ou à erosão da integridade dos principais serviços empresariais. Esta falha é um lembrete de que as vulnerabilidades nos dispositivos de rede estão a tornar-se mais comuns no mundo hiperconectado de hoje. Quando os atacantes obtêm acesso privilegiado a estes dispositivos, isso coloca as organizações em risco significativo".
Patches de software de outros fornecedores
Atualizações de segurança também foram lançadas por outros fornecedores nas últimas semanas para corrigir várias vulnerabilidades, incluindo –
ABB
Amazon Web Services
AMD
Braço
Atlassiano
Bosch
Broadcom (incluindo VMware)
Cânone
Cisco
Commvault
Dassault Sistemas
Dell
Devoluções
Drupal
Elástico
F5
Fortuna
Fortra
Software Foxit
GitLab
Google Android e Pixel
Google Chrome
Google Nuvem
Relógio Google Pixel
SO Google Wear
Grafana
Energia Hitachi
Honeywell
HP
HP Enterprise (incluindo Aruba Networking e Juniper Networks)
IBM
Informações
Ivanti
Jenkins
Lenovo
Distribuições Linux AlmaLinux, Alpine Linux, Amazon Linux, Arch Linux, Debian, Gentoo, Oracle Linux, Mageia, Red Hat, Rocky Linux, SUSE e Ubuntu
MediaTek
Mitsubishi Elétrica
Moxa
Mozilla Firefox, Firefox ESR e Thunderbird
n8n
NVIDIA
Redes Palo Alto
QNAP
Qualcomm
Ricoh
Samsung
Schneider Elétrica
Serviço agora
Siemens
SolarWinds
Splunk
Sinologia
Link TP
Tendência Micro
WatchGuard
Digital ocidental
Zoom e
Zixel
As vulnerabilidades em questão listadas abaixo -
CVE-2019-17571 (pontuação CVSS: 9,8) – Uma vulnerabilidade de injeção de código no aplicativo SAP Quotation Management Insurance (FS-QUO)
CVE-2026-27685 (pontuação CVSS: 9.1) – Uma vulnerabilidade de desserialização insegura no SAP NetWeaver Enterprise Portal Administration
“O aplicativo usa um artefato desatualizado do Apache Log4j 1.2.17 que é vulnerável ao CVE-2019-17571”, disse a empresa de segurança SAP Onapsis. “Ele permite que um invasor sem privilégios execute código arbitrário remotamente no servidor, causando alto impacto na confidencialidade, integridade e disponibilidade do aplicativo”.
O CVE-2026-27685, por outro lado, decorre da validação ausente ou insuficiente durante a desserialização do conteúdo carregado, o que pode permitir que um invasor carregue conteúdo não confiável ou malicioso.
“Somente o fato de um invasor exigir altos privilégios para uma exploração bem-sucedida impede que a vulnerabilidade seja marcada com uma pontuação CVSS de 10”, acrescentou Onapsis.
A divulgação ocorre no momento em que a Microsoft envia patches para 84 vulnerabilidades em produtos, incluindo dezenas de escalonamento de privilégios e falhas de execução remota de código.
Na terça-feira, a Adobe também anunciou patches para 80 vulnerabilidades, quatro das quais são falhas críticas que afetam o AdobeCommerce e o Magento Open Source, que podem resultar em escalonamento de privilégios e desvio de recursos de segurança. Separadamente, corrigiu cinco vulnerabilidades críticas no Adobe Illustrator que poderiam abrir caminho para a execução arbitrária de código.
Em outro lugar, a Hewlett Packard Enterprise lançou soluções para cinco deficiências no Aruba Networking AOS-CX. A falha mais grave é a CVE-2026-23813 (pontuação CVSS: 9,8), um desvio de autenticação que afeta a interface de gerenciamento.
“Uma vulnerabilidade foi identificada na interface de gerenciamento baseada na web dos switches AOS-CX que poderia permitir que um ator remoto não autenticado contornasse os controles de autenticação existentes”, disse a HPE. "Em alguns casos, isso pode permitir a redefinição da senha do administrador."
“A exploração desta vulnerabilidade da Aruba dá potencialmente aos invasores controle total dos dispositivos de rede AOS-CX e a capacidade de comprometer um sistema inteiro sem ser detectado”, disse Ross Filipek, CISO da Corsica Technologies, em um comunicado.
"Um compromisso bem sucedido poderia levar à interrupção das comunicações de rede ou à erosão da integridade dos principais serviços empresariais. Esta falha é um lembrete de que as vulnerabilidades nos dispositivos de rede estão a tornar-se mais comuns no mundo hiperconectado de hoje. Quando os atacantes obtêm acesso privilegiado a estes dispositivos, isso coloca as organizações em risco significativo".
Patches de software de outros fornecedores
Atualizações de segurança também foram lançadas por outros fornecedores nas últimas semanas para corrigir várias vulnerabilidades, incluindo –
ABB
Amazon Web Services
AMD
Braço
Atlassiano
Bosch
Broadcom (incluindo VMware)
Cânone
Cisco
Commvault
Dassault Sistemas
Dell
Devoluções
Drupal
Elástico
F5
Fortuna
Fortra
Software Foxit
GitLab
Google Android e Pixel
Google Chrome
Google Nuvem
Relógio Google Pixel
SO Google Wear
Grafana
Energia Hitachi
Honeywell
HP
HP Enterprise (incluindo Aruba Networking e Juniper Networks)
IBM
Informações
Ivanti
Jenkins
Lenovo
Distribuições Linux AlmaLinux, Alpine Linux, Amazon Linux, Arch Linux, Debian, Gentoo, Oracle Linux, Mageia, Red Hat, Rocky Linux, SUSE e Ubuntu
MediaTek
Mitsubishi Elétrica
Moxa
Mozilla Firefox, Firefox ESR e Thunderbird
n8n
NVIDIA
Redes Palo Alto
QNAP
Qualcomm
Ricoh
Samsung
Schneider Elétrica
Serviço agora
Siemens
SolarWinds
Splunk
Sinologia
Link TP
Tendência Micro
WatchGuard
Digital ocidental
Zoom e
Zixel
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #dezenas #de #fornecedores #corrigem #falhas #de #segurança #em #softwares #empresariais #e #dispositivos #de #rede
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário