SegInfo – Portal, Podcast e Evento sobre Segurança da Informação
Notícias, Artigos e Inovação em Tecnologia e Segurança da Informação
Foram relatadas duas vulnerabilidades sendo exploradas no SharePoint on-premise recentemente que permitiriam a atacantes executar código arbitrário em dispositivos vulneráveis (RCE). CVE-2025-49706 (CVSS: 6.3) e CVE-2025-49704 (CVSS: 8.8), uma cadeia intitulada “ToolShell”, têm sido exploradas em conjunto para tal finalidade, podendo atingir cerca de 8000 instâncias do SharePoint segundo pesquisadores, formando as vulnerabilidades CVE-2025-53770 (CVSS: 9.8) e… Read More
Foi identificada uma vulnerabilidade no Cisco Unified Communications Manager (Unified CM) e no Cisco Unified Communications Manager Session Management Edition (Unified CM SME). Denominada CVE-2025-20309 (CVSS 10.0), ela pode permitir que um invasor remoto não autenticado efetue login em um dispositivo vulnerável com a conta root, a qual possui credenciais padrão que não podem ser… Read More
Foi identificada uma vulnerabilidade crítica na biblioteca samlify, uma biblioteca de software, geralmente para Node.js, projetada para simplificar a implementação do protocolo SAML (Security Assertion Markup Language) em aplicações. Esta vulnerabilidade, denominada CVE-2025-47949 (CVSS4.0: 9.9), permite que um atacante burle a autenticação e obtenha acesso não autorizado a sistemas e aplicações, inclusive com privilégios de… Read More
Foi lançada uma atualização do Google Chrome que corrige uma falha de aplicação insuficiente de políticas de segurança em um componente chamado Loader. Denominada CVE-2025-4664 (CVSS score: 4.3), ela pode permitir que um invasor remoto vazasse dados de cross-origin por meio de uma página HTML criada especialmente para esta finalidade, ou seja, sem a necessidade… Read More
Foram divulgados, pela Microsoft, patches de segurança para corrigir um conjunto de 126 vulnerabilidades, incluindo uma que, segundo a empresa, vem sendo explorada por atacantes. Das 126 vulnerabilidades, 11 são classificadas como críticas, 112 como alta severidade e 2 como baixa severidade. Entre elas, destaca-se a CVE-2025-29824 (CVSS score: 7.8), uma falha de elevação de… Read More
Foi divulgada, pela Ivanti, uma vulnerabilidade crítica que tem sido explorada ativamente por atacantes desde meados de março de 2025. Denominada CVE-2025-22457 (CVSS score: 9.0), ela se trata de um caso de buffer overflow que, caso explorada com sucesso, permitiria a execução remota de código arbirtário em sistemas afetados sem necessidade de autenticação ou interação por… Read More
No dia 4 de fevereiro de 2025, a CISA divulgou nove avisos sobre Sistemas de Controle Industrial (ICS). Esses avisos fornecem informações oportunas sobre problemas de segurança atuais, vulnerabilidades e explorações relacionadas aos ICS. Vejam abaixo: ICSA-25-035-01 Western Telematic Inc NPS Series, DSM Series, CPM Series A exploração bem-sucedida dessa vulnerabilidade pode permitir que um invasor… Read More
O teste de segurança de aplicativos é um componente crítico do desenvolvimento de software moderno, garantindo que os aplicativos sejam robustos e resilientes contra ataques maliciosos. À medida que as ameaças cibernéticas continuam a evoluir em complexidade e frequência, a necessidade de integrar medidas de segurança abrangentes em todo o SDLC nunca foi tão essencial.… Read More
O crescimento do comércio online gerou uma evolução nas políticas de segurança do setor de varejo, com foco na segurança das plataformas de comércio eletrônico, proteção dos pagamentos online, privacidade do cliente e segurança da cadeia de suprimentos. Isso reflete a necessidade de adaptação a um ambiente digital em constante mudança, assim como proteger tanto… Read More
Confira essas ferramentas de software gratuitas e destacadas que tornarão o seu trabalho diário de segurança mais fácil, seja pen-testing, OSINT, avaliação de vulnerabilidades e muito mais. Como um profissional de segurança da informação, você já deve estar familiarizado com o monitoramento de rede e ferramentas de segurança clássicas, como Nmap, Wireshark ou Snort, e… Read More