Markus Wulftange

**Nome do Software Vulnerável e Versões Afetadas** Versões do SmarterTools SmarterMail anteriores ao build 9511 **Descrição** O SmarterTools SmarterMail contém uma falha de execução remota de código sem autenticação no método API ConnectToHub. Essa falha permite que atacantes direcionem o servidor SmarterMail para um servidor HTTP malicioso, que então disponibiliza um comando malicioso do sistema operacional que é executado pela aplicação vulnerável. Esta vulnerabilidade, rastreada como CVE-2026-24423, possui uma pontuação CVSS de 9.3 e está sendo ativamente explorada por atores de ransomware, incluindo o grupo de ransomware Warlock. A vulnerabilidade afeta versões anteriores ao build 9511 e permite que atacantes executem código arbitrário sem autenticação via o **Endpoint da API** `/api/v1/settings/sysadmin/connect-to-hub`. A vulnerabilidade foi descoberta pela WatchTowr Labs e corrigida em 15 de janeiro de 2026. Relatos indicam que mais de 6.000 instâncias estão expostas globalmente. O grupo de ransomware Warlock foi observado explorando esta vulnerabilidade, e a CISA a adicionou ao catálogo de Vulnerabilidades Exploradas Conhecidas, estabelecendo um prazo de remediação até 26 de fevereiro de 2026 para agências federais. Os atacantes são conhecidos por estabelecer acesso antecipadamente por vários dias antes de implantar ransomware e utilizar ferramentas como o Velociraptor para movimento lateral e criptografia. **Recomendações** Atualize o SmarterMail para a versão 9511 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** SmarterTools SmarterMail versões anteriores à build 9511 **Descrição** O SmarterTools SmarterMail contém uma vulnerabilidade de bypass de autenticação na API de redefinição de senha. O endpoint `force-reset-password` permite solicitações anônimas e não verifica a senha existente nem um token de redefinição ao redefinir contas de administrador do sistema. Um atacante não autenticado pode fornecer um nome de usuário administrador alvo e uma nova senha para redefinir a conta, resultando em um comprometimento administrativo completo da instância do SmarterMail. Os privilégios de administrador do sistema do SmarterMail permitem executar comandos do sistema operacional, possivelmente concedendo acesso administrativo ao host subjacente. Cerca de 6.000 instâncias expostas à internet foram identificadas como potencialmente vulneráveis, e exploração ativa foi observada no ambiente real, inclusive pelo grupo de ransomware Warlock. Atacantes foram observados explorando essa vulnerabilidade para obter acesso inicial, mover-se lateralmente por redes e implantar ransomware. A vulnerabilidade está presente no endpoint de API `/api/v1/auth/force-reset-password`. O parâmetro vulnerável é `IsSysAdmin`, que, quando definido como 'true', permite redefinir senhas de administradores sem autenticação. **Recomendações** Atualize para a build 9511 ou posterior imediatamente. Restrinja o acesso à API do endpoint `/api/v1/auth/force-reset-password` por meio de lista de permissões de IP. Implante um Web Application Firewall (WAF) para filtrar solicitações ao endpoint `/force-reset-password`. Implemente bloqueio geográfico para interfaces administrativas. Revise os logs de acesso em busca de solicitações POST externas ao endpoint `/api/v1/auth/force-reset-password`, alterações administrativas não autorizadas e criações de novas contas. Rotacione as credenciais expostas.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Progress® Telerik® Reporting anteriores a 2025 Q1 (19.0.25.211) **Descrição** A divulgação de informações é possível por um agente de ameaça local através de uma vulnerabilidade de caminho absoluto. Este problema permite que um agente de ameaça local potencialmente divulgue informações sensíveis. **Recomendações** Para versões anteriores a 2025 Q1 (19.0.25.211), atualize para uma versão lançada após 2025 Q1 (19.0.25.211) para resolver o problema. Como medida de contorno temporária, considere restringir o acesso a informações sensíveis e implementar medidas de segurança adicionais para minimizar o risco de exploração.

Nome do software vulnerável e versões afetadas: Microsoft SharePoint Server (versões afetadas não especificadas) Microsoft SharePoint Server Subscription Edition (versões afetadas não especificadas) Microsoft SharePoint Enterprise Server (versões afetadas não especificadas) Descrição: O problema está relacionado a erros no tratamento de caminhos de diretórios relativos, que podem ser explorados por um invasor remoto para divulgar informações protegidas. Não há informações disponíveis sobre o número estimado de dispositivos potencialmente afetados em todo o mundo ou sobre incidentes reais em que essa vulnerabilidade tenha sido explorada. Recomendações: No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle WebLogic Server versões 12.2.1.4.0 e 14.1.1.0.0 **Descrição** O problema está relacionado a uma vulnerabilidade no produto Oracle WebLogic Server do Oracle Fusion Middleware, especificamente no componente Core. Essa vulnerabilidade permite que um invasor não autenticado com acesso à rede via T3, IIOP comprometa o Oracle WebLogic Server. Ataques bem-sucedidos podem resultar na tomada de controle do Oracle WebLogic Server. Estima-se que mais de 18.000 serviços estejam potencialmente afetados. A vulnerabilidade pode ser explorada pelo envio de pacotes de rede especialmente criados, permitindo que um invasor obtenha acesso total ao software vulnerável. **Recomendações** Para o Oracle WebLogic Server versão 12.2.1.4.0, atualize para uma versão mais recente para mitigar o risco. Para o Oracle WebLogic Server versão 14.1.1.0.0, atualize para uma versão mais recente para mitigar o risco. Como solução alternativa temporária, considere restringir o acesso aos protocolos T3 e IIOP para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do Progress Telerik Reporting anteriores ao terceiro trimestre de 2024 (18.2.24.924) **Descrição** O problema está relacionado à vulnerabilidade de resolução de tipos insegura no Progress Telerik Reporting, permitindo a injeção de objetos e possibilitando que um invasor remoto execute código arbitrário. Essa vulnerabilidade pode ser explorada por meio da injeção de entradas externas em determinadas classes. **Recomendações** Para versões anteriores ao 3º trimestre de 2024 (18.2.24.924), atualize para a versão 3º trimestre de 2024 (18.2.24.924) ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à funcionalidade de resolução de tipos vulnerável até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Versões do Telerik Report Server anteriores ao 3º trimestre de 2024 (10.2.24.924) **Descrição** O problema está relacionado a uma vulnerabilidade de resolução de tipos insegura, permitindo um ataque de execução remota de código por meio de injeção de objetos. Essa vulnerabilidade pode ser explorada fornecendo-se uma entrada que permita a seleção de classes, levando potencialmente à execução de código arbitrário. **Recomendações** Para versões anteriores ao 3º trimestre de 2024 (10.2.24.924), atualize para a versão 3º trimestre de 2024 (10.2.24.924) ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao componente vulnerável até que um patch seja aplicado.

**Nome do software vulnerável e versões afetadas** Versões do Progress Telerik Reporting anteriores ao terceiro trimestre de 2024 (18.2.24.924) **Descrição** O problema está relacionado à avaliação insegura de expressões, permitindo a injeção de objetos e levando potencialmente a ataques de execução de código. Isso pode ser explorado fornecendo uma entrada que permita o controle externo sobre a seleção de classes, o que pode permitir que um invasor execute código arbitrário. **Recomendações** Para versões anteriores ao 3º trimestre de 2024 (18.2.24.924), atualize para a versão 3º trimestre de 2024 (18.2.24.924) ou posterior para resolver o problema. Como solução temporária, considere restringir o uso da avaliação de expressões inseguras até que um patch seja aplicado. Evite usar funções ou parâmetros vulneráveis que possam facilitar ataques de injeção de objetos.

Nome do software vulnerável e versões afetadas: Versões do In Progress Telerik Reporting anteriores à 18.1.24.709 Descrição: O problema está relacionado a uma vulnerabilidade de resolução de tipos insegura, que permite a injeção de objetos e, potencialmente, um ataque de execução de código. Isso pode ser explorado através da manipulação de dados de entrada para selecionar classes, o que pode permitir que um invasor remoto execute código arbitrário. A vulnerabilidade pode levar a acesso não autorizado, roubo de dados e comprometimento do sistema. Recomendações: Para versões anteriores à 18.1.24.709, atualize o componente afetado para a versão 18.1.24.709 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao componente de relatórios para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do Microsoft .NET Framework anteriores à 4.8.4682.0/4.8.9206.0 **Descrição** A vulnerabilidade está relacionada à proteção insuficiente dos dados de serviço durante o processamento de objetos ObjRef, o que pode permitir que um invasor remoto obtenha acesso não autorizado a informações protegidas. Uma exploração bem-sucedida pode permitir que um invasor divulgue informações confidenciais. A vulnerabilidade já foi explorada na prática e é monitorada pela CISA como uma Vulnerabilidade Explorada Conhecida. **Recomendações** Atualize o .NET o mais rápido possível para a versão mais recente a fim de mitigar o risco de exploração. Como solução alternativa temporária, considere restringir o acesso ao HTTP .NET Remoting para minimizar o risco de exploração. Evite usar objetos ObjRef no HTTP .NET Remoting até que o problema seja resolvido.

**Name of the Vulnerable Software and Affected Versions** Hitachi Vantara Pentaho Data Integration & Analytics versions prior to 9.5.0.1 Hitachi Vantara Pentaho Data Integration & Analytics versions prior to 9.3.0.5 Hitachi Vantara Pentaho Data Integration & Analytics version 8.3.x **Description** The issue allows control of system level data sources due to the lack of restriction on JNDI identifiers during the creation of XActions. **Recommendations** For versions prior to 9.5.0.1, update to version 9.5.0.1 or later. For versions prior to 9.3.0.5, update to version 9.3.0.5 or later. For version 8.3.x, consider restricting the creation of XActions or disabling the feature until a patch is available.

**Name of the Vulnerable Software and Affected Versions** ASP.NET (affected versions not specified) **Description** The issue is related to errors in security settings of the Microsoft .NET Framework platform. It allows a remote attacker to access a closed part of a web application by sending a specially formed request. This is a security-feature bypass issue that can affect the system. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** Microsoft SharePoint Server (affected versions not specified) **Description** The issue is related to an elevation of privilege vulnerability in Microsoft SharePoint Server, which can be exploited by creating a specially crafted ASP.NET page. This could allow a remote attacker to gain administrator privileges. The vulnerability is associated with insufficient access restrictions. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** Microsoft SharePoint Server (affected versions not specified) Microsoft SharePoint Server Subscription Edition (affected versions not specified) Microsoft SharePoint Enterprise Server (affected versions not specified) **Description** The issue is related to insufficient input validation in Microsoft SharePoint Server, allowing a remote attacker to execute arbitrary code. This can affect the system. The vulnerability involves the `TemplateParser` and can be exploited to gain remote code execution (RCE) in SharePoint Online and On-Premise. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do software vulnerável e versões afetadas** Versões do Orckestra C1 CMS anteriores à 6.13 **Descrição** Uma vulnerabilidade no Orckestra C1 CMS permite que invasores remotos executem código arbitrário nas instalações afetadas. É necessária autenticação para explorar essa vulnerabilidade. O usuário autenticado pode realizar as ações sem saber, ao acessar um site especialmente criado para esse fim. **Recomendações** Para versões anteriores à 6.13, atualize para o C1 CMS v6.13 ou mais recente para resolver a vulnerabilidade. Como solução temporária, considere restringir o acesso ao sistema para minimizar o risco de exploração até que a atualização possa ser aplicada.

**Nome do software vulnerável e versões afetadas** BMC Track-It! versão 20.21.2.109 **Descrição** Esta vulnerabilidade permite que invasores remotos executem código arbitrário nas instalações afetadas. Não é necessária autenticação para explorar esta vulnerabilidade. A falha específica está relacionada à autorização de solicitações HTTP, resultante da falta de autenticação antes de permitir o acesso à funcionalidade. Um invasor pode aproveitar esta vulnerabilidade para executar código no contexto da conta de serviço. **Recomendações** Para a versão 20.21.2.109, considere restringir o acesso ao módulo HTTP para minimizar o risco de exploração até que um patch esteja disponível. Como solução alternativa temporária, certifique-se de que mecanismos de autenticação adequados estejam em vigor antes de permitir o acesso às funcionalidades. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** DevExpress (versões afetadas não especificadas) **Descrição** Esta vulnerabilidade permite que invasores remotos executem código arbitrário nas instalações afetadas. É necessária autenticação para explorar esta vulnerabilidade. A falha existe na biblioteca SafeBinaryFormatter devido à falta de validação adequada dos dados fornecidos pelo usuário, resultando na desserialização de dados não confiáveis. Um invasor pode aproveitar esta vulnerabilidade para executar código no contexto da conta de serviço. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões 8.6.4.1, 9.0.1.2, 9.5.1.3, 9.6.0.1 e 9.6.1 do ZK Framework **Descrição** A vulnerabilidade está relacionada ao componente AuUploader do ZK Framework, que permite que invasores acessem informações confidenciais por meio de uma solicitação POST maliciosa. Isso pode permitir que um invasor remoto obtenha acesso não autorizado a informações protegidas. Aproximadamente 5.600 instâncias estão potencialmente afetadas. **Recomendações** Para as versões 8.6.4.1, 9.0.1.2, 9.5.1.3, 9.6.0.1 e 9.6.1 do ZK Framework, considere desativar o componente AuUploader até que um patch esteja disponível para impedir a exploração. Restrinja o acesso ao componente AuUploader para minimizar o risco de acesso não autorizado. Evite usar o componente AuUploader nas versões afetadas do ZK Framework até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Microsoft Exchange Server (versões afetadas não especificadas) **Descrição** O problema está relacionado a erros no gerenciamento da geração de código. Isso permite que um invasor remoto execute código arbitrário. A vulnerabilidade pode ser explorada por um invasor agindo remotamente. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** BMC Track-It! versão 20.21.01.102 **Descrição** Esta vulnerabilidade permite que invasores remotos contornem a autenticação nas instalações afetadas. A falha está relacionada à autorização de solicitações HTTP, devido à falta de autenticação antes de permitir o acesso às funcionalidades. Um invasor pode explorar isso para contornar a autenticação no sistema. **Recomendações** Para a versão 20.21.01.102, considere restringir o acesso ao módulo HTTP para minimizar o risco de exploração até que uma correção esteja disponível. Como solução alternativa temporária, revise e reforce a autorização de solicitações HTTP para garantir que a autenticação adequada seja exigida antes de permitir o acesso às funcionalidades.