Pesquisador de Segurança Divulga Exploits para Dezenas de Vulnerabilidades Zero-Day no Exploitarium
Um pesquisador anônimo, conhecido como Bikini, lançou o repositório Exploitarium no GitHub, contendo Proofs-of-Concept (PoCs) e descrições de vulnerabilidades zero-day em softwares populares. A divulgação ocorre sem notificação prévia aos desenvolvedores, levantando debates na comunidade de cibersegurança.
MundiX News·03 de julho de 2026·6 min de leitura·👁 2 views
Um pesquisador de segurança anônimo, operando sob o pseudônimo Bikini, estabeleceu um repositório no GitHub intitulado Exploitarium. Este espaço tem sido utilizado para a publicação de Proofs-of-Concept (PoCs) de exploits e descrições detalhadas de vulnerabilidades zero-day descobertas em projetos de software amplamente utilizados. Uma característica notável da abordagem de Bikini é a ausência de notificação prévia aos desenvolvedores sobre as falhas encontradas antes de sua divulgação pública. Atualmente, o Exploitarium abriga 31 diretórios, cada um contendo PoCs e descrições de vulnerabilidades, com doze dessas descobertas já tendo recebido identificadores CVE (Common Vulnerabilities and Exposures) formais.
De acordo com Bikini, a identificação dessas falhas foi realizada através de técnicas de fuzzing, empregando o modelo GPT-5.3 e um fluxo de trabalho automatizado rigorosamente definido. O pesquisador afirma que os exploits em si foram desenvolvidos manualmente, embora tenha admitido o uso de assistência de IA no processo de escrita de código para o RustDesk. Adicionalmente, a IA foi responsável pela geração de todos os arquivos README do repositório, cujo conteúdo foi posteriormente revisado pelo autor. Bikini enfatiza que modelos de IA caros e avançados oferecem apenas uma vantagem marginal se o especialista não possuir uma infraestrutura de testes de fuzzing bem configurada, um processo de trabalho otimizado e a capacidade de validar os resultados manualmente. A lista de projetos vulneráveis detalhados no repositório inclui nomes proeminentes como 7-Zip, AnyDesk, curl, Docker, Firefox, FFmpeg, Ghidra, Gitea, Gogs, ImageMagick, libssh2, MyBB, Nmap, OpenVPN, PHP, QEMU, RustDesk e VLC. Bikini não demonstra intenção de parar, prometendo continuar suas publicações com a meta de adicionar aproximadamente um novo PoC por dia.
Um ponto de atenção é que, antes de divulgar as vulnerabilidades e publicar os exploits, o pesquisador não contatou os fabricantes ou mantenedores dos softwares afetados. Na descrição do repositório, Bikini explicitamente convida qualquer pessoa interessada a notificar os desenvolvedores sobre os problemas de forma independente e a reivindicar os créditos, incluindo a menção em futuras entradas CVE. No entanto, a mídia tem observado que nem todo o conteúdo presente no Exploitarium pode ser classificado estritamente como vulnerabilidades zero-day ou como descobertas originais de Bikini. Um exemplo citado é uma vulnerabilidade crítica em libssh2, identificada como CVE-2026-55200, que foi previamente descoberta pelo pesquisador de segurança Tristan Madani. O patch para essa falha foi aceito em 12 de junho, os dados do CVE foram publicados em 17 de junho, e o PoC-exploit apareceu no Exploitarium apenas em 23 de junho. O bug em questão afeta o libssh2 nas versões 1.11.1 e anteriores, recebendo uma pontuação de 9.2 na escala CVSS. A falha permite que um servidor SSH malicioso envie um valor excessivamente grande de packet_length para o cliente, o que resulta em um integer overflow e uma escrita fora dos limites na memória alocada (heap). Em cenários extremos, isso pode levar à execução de código arbitrário no cliente conectado. É importante notar que ainda não existe uma versão estável do libssh2 com a correção para esta vulnerabilidade. O PoC publicado por Bikini não é um exploit genérico para execução remota de código; o próprio autor o descreve como um gatilho testado localmente e um harness de RCE (Remote Code Execution) controlável. Para uma exploração real, o código precisaria ser adaptado considerando o binário alvo, o alocador de memória, os mecanismos de defesa e o método de integração do libssh2. Outra vulnerabilidade significativa listada no Exploitarium, com identificador CVE-2026-58053 e pontuação CVSS de 9.4, afeta o act_runner do Gitea com backend Docker. Um usuário com a capacidade de executar fluxos de CI/CD pode injetar parâmetros perigosos no contêiner, contornar a configuração privileged: false, realizar um container escape e obter acesso root ao host. Ethan Andrews, analista da Federal Signal, alega que agentes maliciosos já estão explorando vulnerabilidades em libssh2 e Gitea em ataques reais. Como medida de proteção, ele sugere o uso de um conjunto de regras KQL (Kusto Query Language) que cubram todo o repositório Exploitarium. Contudo, até o momento, não há outras evidências de ataques em andamento. Diferentemente do pesquisador Nightmare Eclipse, que parece estar em conflito direto com a Microsoft e divulga vulnerabilidades zero-day nesse contexto, Bikini não demonstra a intenção de prejudicar uma organização específica. Segundo ele, o objetivo de suas publicações é atrair novos talentos para a área de segurança da informação: "Por favor, não usem este material para fins maliciosos. Estou fazendo isso para atrair pessoas para esta área e sempre considerei essa abordagem a mais eficaz", declarou o pesquisador.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Um pesquisador de segurança anônimo, operando sob o pseudônimo Bikini, estabeleceu um repositório no GitHub intitulado Exploitarium. Este espaço tem sido utilizado para a publicação de Proofs-of-Concept (PoCs) de exploits e descrições detalhadas de vulnerabilidades zero-day descobertas em projetos de software amplamente utilizados. Uma característica notável da abordagem de Bikini é a ausência de notificação prévia aos desenvolvedores sobre as falhas encontradas antes de sua divulgação pública. Atualmente, o Exploitarium abriga 31 diretórios, cada um contendo PoCs e descrições de vulnerabilidades, com doze dessas descobertas já tendo recebido identificadores CVE (Common Vulnerabilities and Exposures) formais.
De acordo com Bikini, a identificação dessas falhas foi realizada através de técnicas de fuzzing, empregando o modelo GPT-5.3 e um fluxo de trabalho automatizado rigorosamente definido. O pesquisador afirma que os exploits em si foram desenvolvidos manualmente, embora tenha admitido o uso de assistência de IA no processo de escrita de código para o RustDesk. Adicionalmente, a IA foi responsável pela geração de todos os arquivos README do repositório, cujo conteúdo foi posteriormente revisado pelo autor. Bikini enfatiza que modelos de IA caros e avançados oferecem apenas uma vantagem marginal se o especialista não possuir uma infraestrutura de testes de fuzzing bem configurada, um processo de trabalho otimizado e a capacidade de validar os resultados manualmente. A lista de projetos vulneráveis detalhados no repositório inclui nomes proeminentes como 7-Zip, AnyDesk, curl, Docker, Firefox, FFmpeg, Ghidra, Gitea, Gogs, ImageMagick, libssh2, MyBB, Nmap, OpenVPN, PHP, QEMU, RustDesk e VLC. Bikini não demonstra intenção de parar, prometendo continuar suas publicações com a meta de adicionar aproximadamente um novo PoC por dia.
Um ponto de atenção é que, antes de divulgar as vulnerabilidades e publicar os exploits, o pesquisador não contatou os fabricantes ou mantenedores dos softwares afetados. Na descrição do repositório, Bikini explicitamente convida qualquer pessoa interessada a notificar os desenvolvedores sobre os problemas de forma independente e a reivindicar os créditos, incluindo a menção em futuras entradas CVE. No entanto, a mídia tem observado que nem todo o conteúdo presente no Exploitarium pode ser classificado estritamente como vulnerabilidades zero-day ou como descobertas originais de Bikini. Um exemplo citado é uma vulnerabilidade crítica em libssh2, identificada como CVE-2026-55200, que foi previamente descoberta pelo pesquisador de segurança Tristan Madani. O patch para essa falha foi aceito em 12 de junho, os dados do CVE foram publicados em 17 de junho, e o PoC-exploit apareceu no Exploitarium apenas em 23 de junho. O bug em questão afeta o libssh2 nas versões 1.11.1 e anteriores, recebendo uma pontuação de 9.2 na escala CVSS. A falha permite que um servidor SSH malicioso envie um valor excessivamente grande de packet_length para o cliente, o que resulta em um integer overflow e uma escrita fora dos limites na memória alocada (heap). Em cenários extremos, isso pode levar à execução de código arbitrário no cliente conectado. É importante notar que ainda não existe uma versão estável do libssh2 com a correção para esta vulnerabilidade. O PoC publicado por Bikini não é um exploit genérico para execução remota de código; o próprio autor o descreve como um gatilho testado localmente e um harness de RCE (Remote Code Execution) controlável. Para uma exploração real, o código precisaria ser adaptado considerando o binário alvo, o alocador de memória, os mecanismos de defesa e o método de integração do libssh2. Outra vulnerabilidade significativa listada no Exploitarium, com identificador CVE-2026-58053 e pontuação CVSS de 9.4, afeta o act_runner do Gitea com backend Docker. Um usuário com a capacidade de executar fluxos de CI/CD pode injetar parâmetros perigosos no contêiner, contornar a configuração privileged: false, realizar um container escape e obter acesso root ao host. Ethan Andrews, analista da Federal Signal, alega que agentes maliciosos já estão explorando vulnerabilidades em libssh2 e Gitea em ataques reais. Como medida de proteção, ele sugere o uso de um conjunto de regras KQL (Kusto Query Language) que cubram todo o repositório Exploitarium. Contudo, até o momento, não há outras evidências de ataques em andamento. Diferentemente do pesquisador Nightmare Eclipse, que parece estar em conflito direto com a Microsoft e divulga vulnerabilidades zero-day nesse contexto, Bikini não demonstra a intenção de prejudicar uma organização específica. Segundo ele, o objetivo de suas publicações é atrair novos talentos para a área de segurança da informação: "Por favor, não usem este material para fins maliciosos. Estou fazendo isso para atrair pessoas para esta área e sempre considerei essa abordagem a mais eficaz", declarou o pesquisador.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.