[ Volume 2 (abr. 2026) ]

Ataque de Supply Chain no WordPress: Infostealer é distribuido pelo plugin ShapedPlugin durante 1 mês

A 2 dias atrás (16 de junho de 2026), a Wordfence divulgou que a ShapedPlugin sofreu um comprometimento em seu…

Alerta: Variante Windows da SprySOCKS abusa de drivers do kernel para evitar detecção

FishMonger, um notório grupo nação estado de ameaças relacionado a companhias da área de tecnologia na China, tem, ultimamente, expandido…

FortiBleed: ataque e vazamento massivo a firewalls Fortinet

Pesquisadores de segurança descobriram uma campanha de roubo de credenciais batizada de “FortiBleed“. Invasores conseguiram acesso a cerca de 75.000…

Nova leva de pacotes comprometidos no AUR

Seguindo o recente relato da campanha “Atomic Arch” que tem movimentado a comunidade Linux, surgiu mais uma leva de pacotes…

Container escape em ambientes Kubernetes utilizando vulnerabilidade Copy-Fail

Estamos cientes de uma nova PoC publicamente disponível demonstrando como a vulnerabilidade CVE-2026-31431 pode ser explorada em ambientes Kubernetes para…

Alerta: Novas vulnerabilidades zero-day para o Windows denominadas “RoguePlanet” e “GreatXML” foram publicadas durante a semana

Estamos cientes de duas PoCs publicadas durante essa semana em repositórios públicos no GitHub pelo pesquisador Chaotic Eclipse, já conhecido…

Pass-the-Cookie: Como atacantes estão sequestrando sessões autenticadas e contornando o MFA

Introdução Ataques de Pass-the-Cookie estão se tornando uma das principais armas utilizadas por atacantes responsáveis por campanhas massivas de sequestro…

Campanha Miasma atinge repositórios da Microsoft no GitHub

Uma nova campanha de supply chain atingiu repositórios da Microsoft no GitHub e levou a plataforma a desativar 73 projetos.…

UniFi OS em risco: cadeia de falhas permite RCE sem autenticação e com privilégios de root

Pesquisadores da Bishop Fox demonstraram uma cadeia completa de exploração no UniFi OS Server que transforma uma única requisição em…

Alerta: RCE via clickjacking no Internet Explorer

O navegador legado do Internet Explorer tem, nos últimos dias, sido utilizado para tornar um único clique do usuário na …

HTTP/2 Bomb (CVE-2026-49975): Vetor de Ataque DoS contra NGINX, Apache, IIS e Envoy

Um novo exploit batizado de “HTTP/2 Bomb” emergiu como uma ameaça crítica à infraestrutura web global. O impacto e os…

Alerta: Falha no PAN-OS permite contornar autenticação VPN (CVE-2026-0257)

Publicada em 13 de Maio de 2026, a vulnerabilidade CVE-2026-0257 afeta os componentes Portal e Gateway do GlobalProtect, solução de…