Keane Okelley

Nome do Software Vulnerável e Versões Afetadas Cisco Secure Firewall ASA Software e Secure FTD Software (versões afetadas não especificadas) Descrição Há uma falha no recurso CLI do Cisco FXOS Software que pode permitir que um atacante local com acesso administrativo execute comandos arbitrários no sistema operacional subjacente com privilégios de nível root. Isso ocorre devido à validação inadequada dos argumentos de comandos fornecidos pelo usuário. Um atacante poderia explorar isso submetendo entradas especialmente criadas para comandos CLI específicos. Recomendações No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Cisco Secure Firewall Management Center (FMC) (versões afetadas não especificadas) Cisco Security Cloud Control (SCC) Firewall Management (versões afetadas não especificadas) **Description** Uma falha na interface de gerenciamento baseada na web do Cisco Secure Firewall Management Center (FMC) e do Cisco Security Cloud Control (SCC) Firewall Management permite que um invasor remoto não autenticado execute código Java arbitrário com privilégios de root. O problema é causado por desserialização insegura, que ocorre quando o software não valida adequadamente um fluxo de bytes Java fornecido pelo usuário. Um invasor pode explorar isso enviando um objeto Java serializado especialmente elaborado para a interface de gerenciamento. Este problema foi explorado como um zero-day pelo grupo de ransomware Interlock a partir de 26 de janeiro de 2026, aproximadamente 36 dias antes da divulgação pública. Após a exploração, os invasores implantaram o ScreenConnect para acesso persistente e usaram scripts PowerShell para coletar inventários de software, serviços em execução, credenciais de navegador e conexões de rede antes de exfiltrar os dados. **Recommendations** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Cisco Secure Firewall Adaptive Security Appliance (ASA) Software e Secure Firewall Threat Defense (FTD) Software (versões afetadas não especificadas) **Descrição** Existe uma vulnerabilidade no interpretador LUA do recurso Remote Access SSL VPN. Este problema pode permitir que um atacante remoto com uma conexão VPN válida dispare uma reinicialização inesperada do dispositivo, resultando em uma condição de negação de serviço (DoS). A causa raiz é a falta de validação de entrada no interpretador LUA. Um atacante pode explorar isso enviando pacotes HTTP especialmente elaborados ao servidor Remote Access SSL VPN. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Versões 2.5.1 e 2.8.2 do Entr'ouvert Lasso **Descrição** Existe um problema de negação de serviço na funcionalidade `g assert not reached`. Uma resposta de asserção SAML especialmente elaborada pode causar uma negação de serviço. Um atacante pode desencadear isso enviando uma resposta SAML malformada. **Recomendações** Atualize para uma versão mais recente do Entr'ouvert Lasso que corrija este problema.

**Nome do Software Vulnerável e Versões Afetadas** Entr'ouvert Lasso versão 2.5.1 **Descrição** Existe uma vulnerabilidade de negação de serviço na funcionalidade `lasso provider verify saml signature`. Uma resposta SAML especialmente criada pode causar uma negação de serviço. Um atacante pode explorar isso enviando uma resposta SAML malformada. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Entr'ouvert Lasso versões 2.5.1 e 2.8.2 **Descrição** Existe um problema de confusão de tipos na função `lasso node impl init from xml`. Uma resposta SAML especialmente elaborada pode desencadear esse problema, potencialmente levando à execução arbitrária de código. Um invasor pode explorar isso enviando uma resposta SAML malformada. A vulnerabilidade reside na biblioteca de implementação SAML e impacta a infraestrutura de Single Sign-On (SSO), potencialmente permitindo movimento lateral entre ambientes federados. **Recomendações** Versões anteriores à 2.5.1 e versões posteriores à 2.8.2 devem ser consideradas para uso. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Entr'ouvert Lasso versão 2.5.1 **Descrição** Existe uma falha de negação de serviço na funcionalidade `lasso node init from message with format`. Uma resposta SAML especialmente construída pode causar esgotamento de memória, levando a uma negação de serviço. Um atacante pode acionar isso enviando uma resposta SAML malformada. **Recomendações** Atualize para uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Software Cisco Secure Firewall Adaptive Security Appliance (ASA) Software Cisco Secure Firewall Threat Defense (FTD) Software Cisco IOS Software Cisco IOS XE Software Cisco IOS XR **Descrição** Existe uma falha nos serviços web dos produtos Cisco listados que poderia permitir que um atacante remoto executasse código arbitrário em um dispositivo afetado. Para os softwares Cisco ASA e FTD, o atacante não precisa estar autenticado. Para os softwares Cisco IOS, IOS XE e IOS XR, o atacante precisa estar autenticado com privilégios baixos de usuário. Este problema decorre da validação inadequada de entrada fornecida pelo usuário em solicitações HTTP. Um atacante poderia explorar isso enviando solicitações HTTP elaboradas para um serviço web alvo, potencialmente obtendo acesso root e comprometendo completamente o dispositivo. Relatos indicam que esta vulnerabilidade (CVE-2025-20363) está sendo ativamente explorada em ataques por um ator de ameaça conhecido como ArcaneDoor, potencialmente ligado a um grupo de hacking chinês, implantando malware como RayInitiator e LINE VIPER. A vulnerabilidade é um overflow de buffer heap na memória dinâmica dos produtos afetados. **Recomendações** Aplique o patch de segurança disponível no ASA 9.12 e 9.14. Atualize o Software Cisco Secure Firewall Adaptive Security Appliance e o Software Secure Firewall Threat Defense para uma versão corrigida. Atualize o Software Cisco IOS para uma versão corrigida. Atualize o Software Cisco IOS XE para uma versão corrigida. Atualize o Software Cisco IOS XR para uma versão corrigida.

Name of the Vulnerable Software and Affected Versions: Cisco Secure Firewall ASA Software and Secure FTD Software (affected versions not specified) Description: A vulnerability exists in the management and VPN web servers that could allow an unauthenticated, remote attacker to cause the device to reload unexpectedly, resulting in a denial-of-service (DoS) condition. This issue is due to improper validation of user-supplied input on an interface with VPN web services. An attacker could exploit this by sending crafted HTTP requests to a targeted web server on an affected device. Recommendations: At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do software vulnerável e versões afetadas** Dispositivos Cisco Meraki MX e Cisco Meraki Z Series Teleworker Gateway (versões afetadas não especificadas) **Descrição** Uma vulnerabilidade no servidor VPN Cisco AnyConnect poderia permitir que um invasor remoto não autenticado causasse uma condição de DoS (Denial of Service) para usuários específicos do serviço AnyConnect em um dispositivo afetado. Esse problema se deve à entropia insuficiente dos manipuladores usados durante o estabelecimento da sessão SSL VPN. Um invasor poderia explorar isso por meio de força bruta em manipuladores de sessão válidos ou, se autenticado, conectando-se ao serviço VPN AnyConnect para recuperar e prever manipuladores de sessão válidos. O invasor enviaria então uma solicitação HTTPS maliciosa ao servidor VPN AnyConnect, potencialmente encerrando sessões SSL VPN específicas e forçando os usuários a se reautenticarem. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Dispositivos Cisco Meraki MX e Cisco Meraki Z Series Teleworker Gateway (versões afetadas não especificadas) **Descrição** Uma vulnerabilidade no servidor VPN Cisco AnyConnect pode permitir que um invasor remoto não autenticado sequestre uma sessão VPN AnyConnect ou cause uma condição de negação de serviço (DoS) para usuários individuais do serviço VPN AnyConnect em um dispositivo afetado. Esse problema se deve à baixa entropia dos manipuladores usados durante o processo de autenticação VPN e a uma condição de corrida no mesmo processo. Um invasor poderia explorar isso adivinhando corretamente um manipulador de autenticação e enviando solicitações HTTPS maliciosas a um dispositivo afetado, potencialmente assumindo o controle da sessão VPN AnyConnect de um usuário alvo ou impedindo que o usuário alvo estabeleça uma sessão. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Dispositivos Cisco Meraki MX e Cisco Meraki Z Series Teleworker Gateway (versões afetadas não especificadas) **Descrição** O problema se deve à validação insuficiente dos parâmetros fornecidos pelo cliente durante o estabelecimento de uma sessão SSL VPN. Um invasor poderia explorar essa vulnerabilidade enviando uma solicitação HTTPS maliciosa ao servidor VPN de um dispositivo afetado, fazendo com que o servidor Cisco AnyConnect VPN reinicie. Isso resulta na falha das conexões SSL VPN estabelecidas, forçando os usuários remotos a iniciar uma nova conexão VPN e se reautenticar. Um ataque prolongado poderia impedir que novas conexões SSL VPN fossem estabelecidas. Quando o tráfego de ataque cessa, o servidor VPN Cisco AnyConnect se recupera sem a necessidade de intervenção manual. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Dispositivos Cisco Meraki MX e Cisco Meraki Z Series Teleworker Gateway (versões afetadas não especificadas) **Descrição** Uma vulnerabilidade no servidor VPN Cisco AnyConnect poderia permitir que um invasor remoto não autenticado causasse uma condição de DoS no serviço AnyConnect em um dispositivo afetado. Este problema se deve a um gerenciamento insuficiente de recursos ao estabelecer sessões TLS/SSL. Um invasor poderia explorar essa vulnerabilidade enviando uma série de mensagens TLS/SSL maliciosas ao servidor VPN de um dispositivo afetado, fazendo com que o servidor VPN Cisco AnyConnect pare de aceitar novas conexões e impedindo que novas conexões SSL VPN sejam estabelecidas. As sessões SSL VPN existentes não são afetadas. O servidor se recupera normalmente, sem necessidade de intervenção manual, quando o tráfego de ataque cessa. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Dispositivos Cisco Meraki MX e Cisco Meraki Z Series Teleworker Gateway (versões afetadas não especificadas) **Descrição** O problema se deve à validação insuficiente dos parâmetros fornecidos pelo cliente durante o estabelecimento de uma sessão SSL VPN. Um invasor poderia explorar essa vulnerabilidade enviando uma solicitação HTTPS maliciosa ao servidor VPN de um dispositivo afetado, fazendo com que o servidor Cisco AnyConnect VPN reinicie. Isso resulta na falha das conexões SSL VPN estabelecidas, forçando os usuários remotos a iniciar uma nova conexão VPN e se reautenticar. Um ataque prolongado poderia impedir que novas conexões SSL VPN fossem estabelecidas. O servidor se recupera sem intervenção manual assim que o tráfego de ataque cessa. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** SNIProxy versions 0.6.0-2 through the master branch (commit: 822bb80df9b7b345cc9eba55df74a07b498819ba) **Description** A buffer overflow vulnerability exists in the handling of wildcard backend hosts of SNIProxy. A specially crafted HTTP or TLS packet can lead to arbitrary code execution. An attacker could send a malicious packet to trigger this vulnerability. **Recommendations** For SNIProxy versions 0.6.0-2, consider disabling the handling of wildcard backend hosts until a patch is available. For the master branch (commit: 822bb80df9b7b345cc9eba55df74a07b498819ba), restrict access to the vulnerable code path to minimize the risk of exploitation. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do software vulnerável e versões afetadas** Versões do OpenStack anteriores ao git master 05194e7618 **Descrição** Existe uma vulnerabilidade de escalonamento de privilégios na funcionalidade oslo.privsep do OpenStack. Isso se deve a uma funcionalidade excessivamente permissiva nas ferramentas que utilizam essa biblioteca dentro de um contêiner, o que pode levar ao aumento de privilégios. A vulnerabilidade está relacionada ao gerenciamento inseguro de privilégios. **Recomendações** Para versões anteriores ao git master 05194e7618, considere restringir o acesso à funcionalidade oslo.privsep para minimizar o risco de exploração até que um patch esteja disponível. Como solução temporária, revise e ajuste as permissões e os controles de acesso dentro dos contêineres que utilizam a biblioteca oslo.privsep para impedir a escalada de privilégios não autorizada. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** OpenStack Kolla git master 05194e7618 **Descrição** Existe uma falha de escalonamento de privilégios na funcionalidade do sudo. Uma configuração incorreta no arquivo `/etc/sudoers` dentro de um contêiner pode levar ao aumento de privilégios. **Recomendações** Para o OpenStack Kolla git master 05194e7618, certifique-se de que o arquivo `/etc/sudoers` esteja configurado corretamente dentro dos contêineres para evitar a escalada de privilégios. Como solução temporária, considere restringir o acesso à funcionalidade sudo até que uma configuração adequada possa ser implementada.