Mortem

**Nome do Software Vulnerável e Versões Afetadas** Versões do Microsoft Windows PowerShell anteriores a 17 de dezembro de 2025 **Descrição** O problema é uma falha de injeção de comando no Windows PowerShell que permite que um atacante não autorizado execute código localmente. A falha decorre da neutralização inadequada de elementos especiais durante a execução do comando. A vulnerabilidade impacta principalmente ambientes corporativos ou gerenciados por TI que utilizam scripts PowerShell para automação. A vulnerabilidade permite que atacantes remotos executem código arbitrário e afetem o sistema. O Microsoft PowerShell 5.1 agora exibe um prompt de confirmação de segurança ao executar o comando `Invoke-WebRequest` para mitigar o risco. **Endpoints da API:** `/api/v1/login` (exemplo, não mencionado explicitamente na entrada) **Parâmetros ou Variáveis Vulneráveis:** `username`, `password` (exemplos, não mencionados explicitamente na entrada) **Nomes de Função:** `Invoke-WebRequest` **Recomendações** Versões anteriores a 17 de dezembro de 2025: Instale as atualizações de segurança mais recentes lançadas pela Microsoft. Versões anteriores a 17 de dezembro de 2025: Considere desabilitar temporariamente ou restringir o uso da função `Invoke-WebRequest` até que um patch seja aplicado.

Nome do Software Vulnerável e Versões Afetadas: Versões 0.5.0 e anteriores do content-security-policy-parser Descrição: O software content-security-policy-parser analisa diretivas de política de segurança de conteúdo. Existe uma vulnerabilidade de poluição de protótipo nas versões 0.5.0 e anteriores, onde chamar um nome de política como ` proto ` permite sobrescrever o protótipo Object. Este problema foi corrigido na versão 0.6.0. Uma solução alternativa envolve desativar o método de protótipo no NodeJS para neutralizar ataques de poluição de protótipo. Recomendações: Versões do content-security-policy-parser anteriores à 0.6.0: Atualize para a versão 0.6.0 ou posterior. Versões do content-security-policy-parser anteriores à 0.6.0: Use o argumento `--disable-proto=delete` ou `--disable-proto=throw` ao executar o NodeJS.

**Nome do Software Vulnerável e Versões Afetadas** CrushFTP versões 10.0.0 até 10.8.3 CrushFTP versões 11.0.0 até 11.3.0 **Descrição** Existe um bypass de autenticação no componente HTTP do servidor FTP, especificamente no método de autorização AWS4-HMAC (compatível com S3). O problema decorre de uma condição de corrida (race condition) onde o servidor verifica a existência do usuário através da função `login user pass()` sem exigir senha, o que pode autenticar uma sessão antes que a verificação do usuário seja checada novamente. Isso pode ser estabilizado enviando um cabeçalho AWS4-HMAC manipulado contendo apenas o nome de usuário e uma barra (/); isso ativa um processo de autenticação anypass, mas causa um erro de índice fora dos limites (index-out-of-bounds) quando o servidor não encontra a entrada `SignedHeaders`, impedindo a limpeza da sessão. Essas falhas permitem que invasores remotos se autentiquem como qualquer usuário conhecido ou previsível, como o `crushadmin`, levando ao comprometimento total do sistema e acesso administrativo. O problema tem sido explorado ativamente desde 30 de março de 2025, afetando setores como varejo, marketing e semicondutores, com aproximadamente 130.000 instâncias estimadas como expostas online. Ataques observados envolveram a criação de contas administrativas de backdoor usando a função `setUserItem` e a implantação de malwares como MeshCentral, AnyDesk e DLLs vinculadas ao Telegram para persistência. **Recomendações** Atualizar o CrushFTP versão 10 para 10.8.4. Atualizar o CrushFTP versão 11 para 11.3.1. Utilizar uma instância de proxy DMZ como um buffer temporário para mitigar o risco de bypass de autenticação.

**Nome do software vulnerável e versões afetadas** Versões do kernel Linux anteriores à 6.6.58 **Descrição** O problema está relacionado a uma condição de corrida na função `move page tables()`, especificamente entre `move normal pmd()` e `retract page tables()` no código THP. Isso pode levar à criação de entradas PMD inválidas, permitindo potencialmente a escalada de privilégios de usuário para kernel em determinadas arquiteturas, como x86. A vulnerabilidade pode ser explorada criando mapeamentos THP de shmem/arquivo e provocando uma condição de corrida entre as funções `move normal pmd()` e `retract page tables()`. A função `move page tables()` analisa o tipo da entrada PMD e o intervalo de endereços especificado para determinar como mover o próximo bloco de entradas da tabela de páginas. O `mmap lock` é mantido no modo de gravação, mas ainda não há bloqueios rmap. Para entradas PMD que apontam para tabelas de páginas e são totalmente cobertas pelo intervalo de endereços de origem, `move pgt entry(NORMAL PMD, ...)` é chamada, o que primeiro obtém bloqueios rmap e, em seguida, executa `move normal pmd()`. A função `move normal pmd()` obtém os bloqueios de tabela de páginas necessários na origem e no destino e, em seguida, move uma tabela de páginas inteira da origem para o destino. O problema é que os bloqueios rmap, que protegem contra a remoção simultânea de tabelas de páginas por `retract page tables()` no código THP, só são obtidos após a leitura da entrada PMD e a decisão sobre como movê-la. **Recomendações** Para resolver o problema, atualize o kernel do Linux para a versão 6.6.58 ou posterior. Como

**Nome do software vulnerável e versões afetadas** Versões do 7-Zip anteriores à 24.09 **Descrição** O 7-Zip está sujeito a uma vulnerabilidade de contorno do Mark-of-the-Web (MoTW) (CVE-2025-0411). Essa falha permite que invasores contornem o recurso de segurança do Windows, o que pode levar à execução de código malicioso. A vulnerabilidade ocorre porque o 7-Zip não propaga o Mark-of-the-Web para arquivos extraídos de arquivos compactados criados para esse fim. Isso permite que invasores distribuam malware, como o SmokeLoader, por meio de campanhas de spear-phishing direcionadas a organizações ucranianas. A vulnerabilidade tem sido ativamente explorada na natureza. Uma exploração de prova de conceito (PoC) está disponível publicamente. Os invasores estão utilizando técnicas de dupla compactação e ataques de homógrafos para contornar as medidas de segurança. **Recomendações** Atualize o 7-Zip para a versão 24.09 ou posterior para corrigir essa vulnerabilidade.