A equipe de engenharia e análise da R-Vision apresenta um panorama das vulnerabilidades mais significativas identificadas em maio de 2026. Este compêndio foca em falhas que representam um risco prático elevado, com exploração confirmada e alta relevância para especialistas em segurança da informação. Foram selecionadas as seguintes vulnerabilidades:
-
CVE-2026-0300 (Palo Alto Networks PAN-OS): Uma vulnerabilidade de buffer overflow no serviço User-ID™ Authentication Portal (anteriormente Captive Portal) do PAN-OS. Permite que um atacante não autenticado, com acesso à rede, execute código arbitrário com privilégios de root remotamente, sem necessidade de interação do usuário. A Palo Alto Networks confirmou exploração limitada contra dispositivos com o Authentication Portal exposto à rede. A CISA incluiu esta vulnerabilidade em seu catálogo KEV. Cenários negativos incluem interceptação de tráfego, roubo de credenciais e criação de túneis para segmentos internos da rede. A recomendação é aplicar o patch de segurança o mais rápido possível.
-
CVE-2026-42945 (Nginx): Uma falha no módulo ngx_http_rewrite_module do Nginx, apelidada de NGINX Rift, que existe há aproximadamente 18 anos. Permite negação de serviço (DoS) ou execução remota de código (RCE) em servidores vulneráveis. A exploração não requer autenticação e pode ser realizada remotamente através de requisições POST especialmente elaboradas. A vulnerabilidade reside no tratamento de caracteres de escape em expressões regulares, levando a um buffer overflow na heap. Tentativas de exploração foram detectadas em honeypots, e um Proof of Concept (PoC) público está disponível. O impacto pode variar de indisponibilidade de serviços a comprometimento total do servidor, especialmente em cenários onde o Nginx atua como balanceador de carga. A recomendação é aplicar as atualizações de segurança mais recentes e seguir as diretrizes do fornecedor para configurações seguras.
-
CVE-2026-31431 (Linux): A vulnerabilidade CopyFail, presente em distribuições Linux desde 2017, reside em um erro lógico no subsistema criptográfico algif_aead. Permite que um atacante local sobrescreva 4 bytes no cache de página de qualquer arquivo legível, possibilitando a modificação do comportamento de arquivos ou processos. A exploração pode levar à elevação de privilégios para root, desativando a verificação de senha no
su, ou à execução de código arbitrário em ambientes de contêineres, como Kubernetes, permitindo escape de contêiner. As alterações ocorrem na memória RAM, dificultando a detecção por ferramentas de segurança tradicionais. A CISA incluiu esta vulnerabilidade em seu catálogo KEV. Recomenda-se a atualização do kernel Linux e, como medida mitigatória, o desativamento do módulo algif_aead. -
CVE-2026-42897 (Microsoft Exchange Server): Uma vulnerabilidade de Cross-Site Scripting (XSS) no lado do cliente, explorável através do Outlook Web Access (OWA). Um atacante pode enviar um e-mail especialmente elaborado que, ao ser aberto pelo usuário no OWA sob certas condições, executa código JavaScript arbitrário no navegador. A Microsoft confirmou a exploração em ataques reais e adicionou a falha ao catálogo KEV. A exploração bem-sucedida pode levar ao roubo de cookies, tokens de sessão e execução de ações em nome do usuário, facilitando a movimentação lateral na rede. Como a Microsoft ainda não havia lançado um patch completo no momento da publicação, recomenda-se a aplicação de mitigações automáticas via Exchange Emergency Mitigation (EM) ou o uso da ferramenta Exchange On-premises Mitigation Tool (EOMT). É importante notar que a mitigação pode não funcionar com o Internet Explorer ou Edge em modo IE.
-
CVE-2026-41091 (Microsoft Defender): Uma vulnerabilidade de elevação de privilégios local no Microsoft Malware Protection Engine, o núcleo de escaneamento do Microsoft Defender Antivirus e outros produtos de segurança da Microsoft. A falha ocorre devido ao tratamento incorreto de symbolic links e junction points durante operações de arquivo. Um usuário com privilégios mínimos pode criar um junction point para um diretório do sistema e, em seguida, enviar uma operação privilegiada ao Defender, resultando na sobrescrita de arquivos protegidos e elevação de privilégios para SYSTEM. A Microsoft confirmou que a vulnerabilidade foi publicamente divulgada e explorada antes do lançamento do patch, e a CISA a incluiu no catálogo KEV. A exploração pode levar ao comprometimento total do host, permitindo a instalação de backdoors, desativação de defesas e acesso a dados confidenciais. Recomenda-se a aplicação imediata da atualização de segurança lançada pela Microsoft.
A gestão eficaz de vulnerabilidades exige não apenas a identificação, mas também o controle contínuo do estado do software e da infraestrutura de TI, com atualizações regulares. Soluções de Vulnerability Management, como a R-Vision VM, que integram scanners de vulnerabilidade próprios, facilitam a detecção, priorização e controle da remediação, garantindo uma abordagem sistemática e resiliente contra ameaças emergentes.
