As CVEs Mais Interessantes de Maio de 2026: Um Panorama de Vulnerabilidades Críticas
Maio de 2026 trouxe um aumento significativo em vulnerabilidades críticas, afetando desde sistemas corporativos até tecnologias de consumo. Este artigo detalha as falhas mais notáveis em produtos Microsoft, Google Chrome, WordPress, Palo Alto Networks, Cisco, Linux e SAP, com foco em suas explorações e mitigação.
MundiX News·10 de junho de 2026·15 min de leitura·👁 4 views
Maio de 2026 foi marcado por um surto de vulnerabilidades críticas que impactaram tanto tecnologias corporativas quanto de consumo. As falhas em sistemas de segurança de rede, plataformas web e ferramentas de gerenciamento de dispositivos móveis destacaram o interesse contínuo dos atacantes em explorar pontos fracos na infraestrutura de perímetro e na cadeia de suprimentos de software. Vamos analisar os destaques do quinto mês do ano.
Microsoft: Três Vulnerabilidades Críticas em SSO, Azure AD B2C e Edge
Três vulnerabilidades significativas foram identificadas em produtos Microsoft, relacionadas a autenticação e execução remota de código. A CVE-2026-41103 (CVSS 9.3 CRITICAL) afeta o plugin Microsoft SSO para Atlassian Jira e Confluence. Uma falha na validação de asserções SAML permite que um atacante não autenticado falsifique uma resposta SSO e obtenha privilégios de administrador. A CVE-2026-33843 (CVSS 9.3 CRITICAL) impacta o Microsoft Azure Active Directory B2C, onde um bypass de autenticação por um caminho ou canal alternativo também leva à escalada de privilégios. Por fim, a CVE-2026-45495 (CVSS 8.7 HIGH) é uma vulnerabilidade de execução remota de código arbitrário no Microsoft Edge baseado em Chromium. A probabilidade de exploração (EPSS) para as duas primeiras CVEs é de cerca de 0.2%, e para a CVE-2026-45495, aproximadamente 0.1%.
Exploração e Consequências: A CVE-2026-41103 permite que um atacante envie uma resposta especialmente elaborada para o plugin Microsoft SSO, falsificando uma asserção SAML para obter acesso administrativo. Isso pode levar ao controle total dos dados do projeto, configurações de acesso e comprometimento de integrações. A CVE-2026-33843 permite que um atacante contorne a autenticação no Azure AD B2C, acessando contas de usuários e explorando-as para atacar aplicações e APIs na nuvem. A CVE-2026-45495 é explorada quando um usuário visita uma página web maliciosa, permitindo a execução de código arbitrário no navegador, roubo de dados e instalação de malware.
Recomendações: Atualizar o plugin Microsoft SSO para Jira e Confluence para a versão corrigida (1.3.3 ou superior). Para Azure AD B2C, a Microsoft já corrigiu a falha no lado do serviço; recomenda-se verificar os logs de autenticação. Atualizar o Microsoft Edge para a versão 148.0.3967.70 ou superior e habilitar atualizações automáticas.
Google Chrome: Uso de Memória Liberada (Use-After-Free)
A CVE-2026-7910 (CVSS 9.3 CRITICAL) reside no componente Views do Google Chrome e está relacionada ao CWE-416 (Use-After-Free). Afeta todas as versões do Chrome anteriores à 148.0.7778.96. A exploração requer que o atacante já tenha comprometido o processo de renderização, permitindo que um documento HTML especialmente elaborado contorne a proteção de isolamento de sites. A manipulação incorreta de objetos liberados no processo de renderização permite o acesso à memória de outros sites.
Exploração e Consequências: Com controle sobre o processo de renderização, um atacante pode usar um documento HTML malicioso para acessar memória já liberada, lendo ou escrevendo dados de outros sites. As consequências incluem acesso a dados confidenciais (cookies, tokens de sessão), execução de código arbitrário em outros sites e comprometimento do navegador.
Recomendações: Atualizar o Google Chrome para a versão 148.0.7778.96 ou superior, e verificar atualizações para outros navegadores baseados em Chromium. Utilizar políticas de grupo para atualizações automáticas e implementar medidas como Content Security Policy (CSP) e o atributo SameSite para cookies.
WordPress: Três Vulnerabilidades Críticas em Plugins
Três vulnerabilidades críticas foram descobertas em plugins populares do WordPress: CVE-2026-8181 (CVSS 9.3 CRITICAL, CWE-287) no plugin "Burst Statistics", CVE-2026-6279 (CVSS 9.3 CRITICAL, CWE-94) no "Avada Builder", e CVE-2026-4882 (CVSS 9.3 CRITICAL, CWE-434) no "User Registration Advanced Fields". A CVE-2026-8181 está sendo ativamente explorada, com mais de 7.400 tentativas bloqueadas em 24 horas. A probabilidade de exploração para esta CVE é de cerca de 3.6%.
Exploração e Consequências: A CVE-2026-8181 permite bypass de autenticação se o nome de usuário administrador for conhecido. A CVE-2026-6279 permite execução remota de código PHP através de um endpoint específico. A CVE-2026-4882 possibilita o upload arbitrário de arquivos, incluindo arquivos PHP, levando à instalação de web shells ou backdoors.
Recomendações: Atualizar os plugins "Burst Statistics" para 3.4.2+, "Avada Builder" para 3.15.3+, e "User Registration Advanced Fields" para 1.6.21+. Auditar endpoints AJAX não autenticados e configurar o servidor web e o WordPress para bloquear uploads de arquivos executáveis.
Palo Alto Networks: Buffer Overflow no PAN-OS
A CVE-2026-0300 (CVSS 9.3 CRITICAL, CWE-787) é uma vulnerabilidade de buffer overflow no serviço User-ID™ Authentication Portal do PAN-OS. Permite que um atacante remoto não autenticado execute código arbitrário com privilégios de root. A vulnerabilidade está sendo ativamente explorada e foi adicionada ao catálogo CISA KEV. A probabilidade de exploração é de cerca de 4.5%.
Exploração e Consequências: Um atacante envia pacotes de rede especialmente elaborados para o portal, causando um buffer overflow e obtendo acesso root ao firewall. Isso pode levar à instalação de malware, interceptação de tráfego e comprometimento da infraestrutura.
Recomendações: Atualizar o PAN-OS para a versão corrigida. Restringir o acesso ao User-ID™ Authentication Portal apenas a IPs confiáveis ou desativá-lo se não for usado. Auditar logs em busca de acesso não autorizado.
Cisco: Bypass de Autenticação no REST API do Secure Workload
A CVE-2026-20223 (CVSS 10.0 CRITICAL) é uma vulnerabilidade de validação de acesso no REST API interno do Cisco Secure Workload. Permite que um atacante remoto não autenticado acesse recursos com privilégios de Site Admin. A falha ocorre devido à falta de verificação adequada de autenticação e autorização.
Exploração e Consequências: Um atacante envia uma requisição malformada para o endpoint da API sem credenciais, obtendo acesso a dados confidenciais e configurações com privilégios elevados, violando o isolamento entre tenants.
Recomendações: Atualizar o Cisco Secure Workload Cluster Software para a versão corrigida (3.10.8.3 ou 4.0.3.17). Implementar regras rigorosas de acesso à API e auditar logs.
Linux Kernel: Três Vulnerabilidades Críticas
Três vulnerabilidades foram corrigidas no kernel Linux em maio de 2026: CVE-2026-43049 (CVSS 8.5 HIGH, CWE-416), CVE-2026-43015 (CVSS 8.5 HIGH, CWE-416) e CVE-2026-31747 (CVSS 7.3 HIGH, CWE-787). Essas falhas locais podem ser usadas por atacantes com privilégios limitados para escalada de privilégios, divulgação de informações ou negação de serviço.
Exploração e Consequências: As vulnerabilidades envolvem Use-After-Free em drivers específicos (logitech-hidpp, macb) e buffer overflow no driver me4000. A exploração pode levar a travamentos do kernel, vazamentos de memória ou execução de código.
Recomendações: Atualizar o kernel Linux para a versão corrigida ou aplicar patches do distribuidor. Verificar e desativar drivers não utilizados. Limitar o acesso a chamadas de sistema de carregamento de firmware.
SAP: SQL Injection no S/4HANA
A CVE-2026-34260 (CVSS 8.5 HIGH, CWE-89) é uma vulnerabilidade de SQL Injection no módulo SAP Enterprise Search for ABAP do SAP S/4HANA. Um atacante autenticado com baixos privilégios pode injetar comandos SQL no banco de dados.
Exploração e Consequências: Um atacante insere código SQL em parâmetros de busca ou filtro, permitindo a extração de dados confidenciais, negação de serviço ou corrupção de dados.
Recomendações: Instalar as correções de maio da SAP (SAP Security Note 3724838). Utilizar queries SQL parametrizadas e validar rigorosamente os dados de entrada. Limitar o acesso ao módulo SAP Enterprise Search.
Ivanti: Três Vulnerabilidades no Endpoint Manager Mobile (EPMM)
Três vulnerabilidades foram divulgadas no Ivanti Endpoint Manager Mobile (EPMM): CVE-2026-5787 (CVSS 9.3 CRITICAL, CWE-295), CVE-2026-7821 (CVSS 9.1 CRITICAL) e CVE-2026-5788 (CVSS 9.3 CRITICAL, CWE-284). Essas falhas afetam implantações on-premise de versões anteriores à 12.6.1.1.
Exploração e Consequências: A CVE-2026-5787 permite que um atacante se passe por um nó gateway Ivanti Sentry. A CVE-2026-7821 permite o registro de dispositivos não autorizados, levando à divulgação de informações de configuração. A CVE-2026-5788 permite a execução de métodos arbitrários através da interface remota do EPMM.
Recomendações: Atualizar o Ivanti Endpoint Manager Mobile para as versões corrigidas (12.6.1.1, 12.7.0.1 ou 12.8.0.1). Auditar dispositivos conectados e implementar mecanismos adicionais de autenticação e autorização.
Maio de 2026 foi marcado por um surto de vulnerabilidades críticas que impactaram tanto tecnologias corporativas quanto de consumo. As falhas em sistemas de segurança de rede, plataformas web e ferramentas de gerenciamento de dispositivos móveis destacaram o interesse contínuo dos atacantes em explorar pontos fracos na infraestrutura de perímetro e na cadeia de suprimentos de software. Vamos analisar os destaques do quinto mês do ano.
Microsoft: Três Vulnerabilidades Críticas em SSO, Azure AD B2C e Edge
Três vulnerabilidades significativas foram identificadas em produtos Microsoft, relacionadas a autenticação e execução remota de código. A CVE-2026-41103 (CVSS 9.3 CRITICAL) afeta o plugin Microsoft SSO para Atlassian Jira e Confluence. Uma falha na validação de asserções SAML permite que um atacante não autenticado falsifique uma resposta SSO e obtenha privilégios de administrador. A CVE-2026-33843 (CVSS 9.3 CRITICAL) impacta o Microsoft Azure Active Directory B2C, onde um bypass de autenticação por um caminho ou canal alternativo também leva à escalada de privilégios. Por fim, a CVE-2026-45495 (CVSS 8.7 HIGH) é uma vulnerabilidade de execução remota de código arbitrário no Microsoft Edge baseado em Chromium. A probabilidade de exploração (EPSS) para as duas primeiras CVEs é de cerca de 0.2%, e para a CVE-2026-45495, aproximadamente 0.1%.
Exploração e Consequências: A CVE-2026-41103 permite que um atacante envie uma resposta especialmente elaborada para o plugin Microsoft SSO, falsificando uma asserção SAML para obter acesso administrativo. Isso pode levar ao controle total dos dados do projeto, configurações de acesso e comprometimento de integrações. A CVE-2026-33843 permite que um atacante contorne a autenticação no Azure AD B2C, acessando contas de usuários e explorando-as para atacar aplicações e APIs na nuvem. A CVE-2026-45495 é explorada quando um usuário visita uma página web maliciosa, permitindo a execução de código arbitrário no navegador, roubo de dados e instalação de malware.
Recomendações: Atualizar o plugin Microsoft SSO para Jira e Confluence para a versão corrigida (1.3.3 ou superior). Para Azure AD B2C, a Microsoft já corrigiu a falha no lado do serviço; recomenda-se verificar os logs de autenticação. Atualizar o Microsoft Edge para a versão 148.0.3967.70 ou superior e habilitar atualizações automáticas.
Google Chrome: Uso de Memória Liberada (Use-After-Free)
A CVE-2026-7910 (CVSS 9.3 CRITICAL) reside no componente Views do Google Chrome e está relacionada ao CWE-416 (Use-After-Free). Afeta todas as versões do Chrome anteriores à 148.0.7778.96. A exploração requer que o atacante já tenha comprometido o processo de renderização, permitindo que um documento HTML especialmente elaborado contorne a proteção de isolamento de sites. A manipulação incorreta de objetos liberados no processo de renderização permite o acesso à memória de outros sites.
Exploração e Consequências: Com controle sobre o processo de renderização, um atacante pode usar um documento HTML malicioso para acessar memória já liberada, lendo ou escrevendo dados de outros sites. As consequências incluem acesso a dados confidenciais (cookies, tokens de sessão), execução de código arbitrário em outros sites e comprometimento do navegador.
Recomendações: Atualizar o Google Chrome para a versão 148.0.7778.96 ou superior, e verificar atualizações para outros navegadores baseados em Chromium. Utilizar políticas de grupo para atualizações automáticas e implementar medidas como Content Security Policy (CSP) e o atributo SameSite para cookies.
WordPress: Três Vulnerabilidades Críticas em Plugins
Três vulnerabilidades críticas foram descobertas em plugins populares do WordPress: CVE-2026-8181 (CVSS 9.3 CRITICAL, CWE-287) no plugin "Burst Statistics", CVE-2026-6279 (CVSS 9.3 CRITICAL, CWE-94) no "Avada Builder", e CVE-2026-4882 (CVSS 9.3 CRITICAL, CWE-434) no "User Registration Advanced Fields". A CVE-2026-8181 está sendo ativamente explorada, com mais de 7.400 tentativas bloqueadas em 24 horas. A probabilidade de exploração para esta CVE é de cerca de 3.6%.
Exploração e Consequências: A CVE-2026-8181 permite bypass de autenticação se o nome de usuário administrador for conhecido. A CVE-2026-6279 permite execução remota de código PHP através de um endpoint específico. A CVE-2026-4882 possibilita o upload arbitrário de arquivos, incluindo arquivos PHP, levando à instalação de web shells ou backdoors.
Recomendações: Atualizar os plugins "Burst Statistics" para 3.4.2+, "Avada Builder" para 3.15.3+, e "User Registration Advanced Fields" para 1.6.21+. Auditar endpoints AJAX não autenticados e configurar o servidor web e o WordPress para bloquear uploads de arquivos executáveis.
Palo Alto Networks: Buffer Overflow no PAN-OS
A CVE-2026-0300 (CVSS 9.3 CRITICAL, CWE-787) é uma vulnerabilidade de buffer overflow no serviço User-ID™ Authentication Portal do PAN-OS. Permite que um atacante remoto não autenticado execute código arbitrário com privilégios de root. A vulnerabilidade está sendo ativamente explorada e foi adicionada ao catálogo CISA KEV. A probabilidade de exploração é de cerca de 4.5%.
Exploração e Consequências: Um atacante envia pacotes de rede especialmente elaborados para o portal, causando um buffer overflow e obtendo acesso root ao firewall. Isso pode levar à instalação de malware, interceptação de tráfego e comprometimento da infraestrutura.
Recomendações: Atualizar o PAN-OS para a versão corrigida. Restringir o acesso ao User-ID™ Authentication Portal apenas a IPs confiáveis ou desativá-lo se não for usado. Auditar logs em busca de acesso não autorizado.
Cisco: Bypass de Autenticação no REST API do Secure Workload
A CVE-2026-20223 (CVSS 10.0 CRITICAL) é uma vulnerabilidade de validação de acesso no REST API interno do Cisco Secure Workload. Permite que um atacante remoto não autenticado acesse recursos com privilégios de Site Admin. A falha ocorre devido à falta de verificação adequada de autenticação e autorização.
Exploração e Consequências: Um atacante envia uma requisição malformada para o endpoint da API sem credenciais, obtendo acesso a dados confidenciais e configurações com privilégios elevados, violando o isolamento entre tenants.
Recomendações: Atualizar o Cisco Secure Workload Cluster Software para a versão corrigida (3.10.8.3 ou 4.0.3.17). Implementar regras rigorosas de acesso à API e auditar logs.
Linux Kernel: Três Vulnerabilidades Críticas
Três vulnerabilidades foram corrigidas no kernel Linux em maio de 2026: CVE-2026-43049 (CVSS 8.5 HIGH, CWE-416), CVE-2026-43015 (CVSS 8.5 HIGH, CWE-416) e CVE-2026-31747 (CVSS 7.3 HIGH, CWE-787). Essas falhas locais podem ser usadas por atacantes com privilégios limitados para escalada de privilégios, divulgação de informações ou negação de serviço.
Exploração e Consequências: As vulnerabilidades envolvem Use-After-Free em drivers específicos (logitech-hidpp, macb) e buffer overflow no driver me4000. A exploração pode levar a travamentos do kernel, vazamentos de memória ou execução de código.
Recomendações: Atualizar o kernel Linux para a versão corrigida ou aplicar patches do distribuidor. Verificar e desativar drivers não utilizados. Limitar o acesso a chamadas de sistema de carregamento de firmware.
SAP: SQL Injection no S/4HANA
A CVE-2026-34260 (CVSS 8.5 HIGH, CWE-89) é uma vulnerabilidade de SQL Injection no módulo SAP Enterprise Search for ABAP do SAP S/4HANA. Um atacante autenticado com baixos privilégios pode injetar comandos SQL no banco de dados.
Exploração e Consequências: Um atacante insere código SQL em parâmetros de busca ou filtro, permitindo a extração de dados confidenciais, negação de serviço ou corrupção de dados.
Recomendações: Instalar as correções de maio da SAP (SAP Security Note 3724838). Utilizar queries SQL parametrizadas e validar rigorosamente os dados de entrada. Limitar o acesso ao módulo SAP Enterprise Search.
Ivanti: Três Vulnerabilidades no Endpoint Manager Mobile (EPMM)
Três vulnerabilidades foram divulgadas no Ivanti Endpoint Manager Mobile (EPMM): CVE-2026-5787 (CVSS 9.3 CRITICAL, CWE-295), CVE-2026-7821 (CVSS 9.1 CRITICAL) e CVE-2026-5788 (CVSS 9.3 CRITICAL, CWE-284). Essas falhas afetam implantações on-premise de versões anteriores à 12.6.1.1.
Exploração e Consequências: A CVE-2026-5787 permite que um atacante se passe por um nó gateway Ivanti Sentry. A CVE-2026-7821 permite o registro de dispositivos não autorizados, levando à divulgação de informações de configuração. A CVE-2026-5788 permite a execução de métodos arbitrários através da interface remota do EPMM.
Recomendações: Atualizar o Ivanti Endpoint Manager Mobile para as versões corrigidas (12.6.1.1, 12.7.0.1 ou 12.8.0.1). Auditar dispositivos conectados e implementar mecanismos adicionais de autenticação e autorização.
