Vulnerabilidades em Destaque em Maio: Linux, ActiveMQ, SharePoint e Acrobat Reader Sob Ameaça
O boletim de segurança de maio destaca vulnerabilidades críticas em sistemas Linux, Apache ActiveMQ, Microsoft SharePoint e Adobe Acrobat Reader. Especialistas da Positive Technologies analisam os riscos e as formas de mitigação.
MundiX News·22 de maio de 2026·7 min de leitura·👁 1 views
O mês de maio trouxe à tona um conjunto de vulnerabilidades de alto impacto em tecnologias amplamente utilizadas no ambiente corporativo e de infraestrutura. A Positive Technologies, através de seu centro de análise PT Expert Security Center, compilou um boletim detalhado sobre as ameaças mais relevantes, focando em falhas que já estão sendo exploradas ou que representam um risco iminente de exploração. A análise abrange desde o kernel do Linux até aplicações de uso diário como o Adobe Acrobat Reader, passando por plataformas de mensagens e colaboração.
Uma das vulnerabilidades mais preocupantes é a falha no subsistema de criptografia do kernel Linux (CVE-2026-31431), classificada como um exploit de elevação de privilégios local (LPE). Diferente de falhas anteriores como Dirty Cow e Dirty Pipe, esta vulnerabilidade, apelidada de "Copy Fail", é descrita como um erro lógico direto, que não requer condições de corrida ou reinicializações do sistema para ser explorada. Sua simplicidade e portabilidade são alarmantes: um único script em Python, utilizando apenas módulos padrão, pode ser executado em diversas distribuições Linux, incluindo Ubuntu, Amazon Linux, Red Hat Enterprise Linux e SUSE Linux Enterprise. A falha permite que um usuário sem privilégios obtenha acesso root, com capacidade de ler e modificar qualquer arquivo, instalar backdoors e comprometer a integridade do sistema. Além disso, sua capacidade de afetar o cache de páginas compartilhado entre contêineres a torna um vetor de escape de contêineres em ambientes como Kubernetes. A CISA já incluiu esta CVE em seu catálogo de vulnerabilidades conhecidas e exploradas, e estima-se que de 3 a 3,5 bilhões de usuários de Linux possam ser afetados. A correção envolve a atualização do kernel Linux para versões específicas (6.18.22, 6.19.12 ou 7.0) ou a desativação do módulo algif_aead.
Outro ponto de atenção é a vulnerabilidade de execução remota de código (RCE) no Apache ActiveMQ Classic (CVE-2026-34197). Este broker de mensagens, amplamente utilizado em arquiteturas de microsserviços e integração, apresentava uma falha que permaneceu despercebida por 13 anos. Através da API Jolokia, um atacante pode forçar o broker a carregar um arquivo de configuração remoto e executar comandos arbitrários no sistema operacional. Embora a exploração geralmente exija credenciais, muitas instalações ainda utilizam credenciais padrão (admin:admin). Em algumas versões, uma vulnerabilidade adicional (CVE-2024-32114) permite o acesso não autenticado à API Jolokia, tornando a CVE-2026-34197 um RCE sem autenticação. A exploração ativa foi detectada em meados de abril, e mais de 7.000 servidores Apache ActiveMQ foram identificados como vulneráveis. As recomendações incluem a atualização para as versões 5.19.4 ou 6.2.3 do ActiveMQ, além de medidas como desativar o componente Jolokia se não for utilizado, restringir o acesso à porta 8161 e alterar credenciais padrão.
No ecossistema Microsoft, uma vulnerabilidade de spoofing em SharePoint Server (CVE-2026-32201) foi destacada. Embora descrita como uma falha de validação de entrada que permite spoofing em rede, análises posteriores indicam que ela pode ser explorada através de ataques XSS refletidos. Um atacante pode enviar uma requisição HTTP especialmente elaborada para injetar código JavaScript malicioso, que será executado no contexto de segurança do site SharePoint. Isso pode levar ao roubo de dados da sessão, interceptação de tokens de autenticação e execução de ações em nome do usuário. A Microsoft confirmou que a vulnerabilidade já foi utilizada em ataques reais e a incluiu no catálogo KEV da CISA. As organizações que utilizam Microsoft SharePoint Server Subscription Edition, 2019 e 2016, especialmente aquelas com acesso externo, estão sob risco. A correção foi disponibilizada no Patch Tuesday de abril da Microsoft.
Por fim, a vulnerabilidade de execução remota de código (RCE) no Adobe Acrobat Reader (CVE-2026-34621) representa um risco significativo para usuários finais. A falha, classificada como Prototype Pollution (CWE-1321), permite que um atacante execute código arbitrário no sistema da vítima ao abrir um documento PDF especialmente preparado. O exploit pode ser usado para coletar informações sensíveis, roubar dados de arquivos locais e realizar fingerprinting avançado. Há evidências de exploração desde novembro de 2025, com relatórios de documentos maliciosos direcionados a organizações russas. A Adobe já lançou atualizações de segurança emergenciais para corrigir esta falha, e os usuários são aconselhados a atualizar seus softwares imediatamente e a ter cautela com arquivos PDF de fontes desconhecidas. A gestão proativa de vulnerabilidades, como a oferecida pela plataforma MaxPatrol VM, é crucial para identificar e mitigar rapidamente essas ameaças.
O mês de maio trouxe à tona um conjunto de vulnerabilidades de alto impacto em tecnologias amplamente utilizadas no ambiente corporativo e de infraestrutura. A Positive Technologies, através de seu centro de análise PT Expert Security Center, compilou um boletim detalhado sobre as ameaças mais relevantes, focando em falhas que já estão sendo exploradas ou que representam um risco iminente de exploração. A análise abrange desde o kernel do Linux até aplicações de uso diário como o Adobe Acrobat Reader, passando por plataformas de mensagens e colaboração.
Uma das vulnerabilidades mais preocupantes é a falha no subsistema de criptografia do kernel Linux (CVE-2026-31431), classificada como um exploit de elevação de privilégios local (LPE). Diferente de falhas anteriores como Dirty Cow e Dirty Pipe, esta vulnerabilidade, apelidada de "Copy Fail", é descrita como um erro lógico direto, que não requer condições de corrida ou reinicializações do sistema para ser explorada. Sua simplicidade e portabilidade são alarmantes: um único script em Python, utilizando apenas módulos padrão, pode ser executado em diversas distribuições Linux, incluindo Ubuntu, Amazon Linux, Red Hat Enterprise Linux e SUSE Linux Enterprise. A falha permite que um usuário sem privilégios obtenha acesso root, com capacidade de ler e modificar qualquer arquivo, instalar backdoors e comprometer a integridade do sistema. Além disso, sua capacidade de afetar o cache de páginas compartilhado entre contêineres a torna um vetor de escape de contêineres em ambientes como Kubernetes. A CISA já incluiu esta CVE em seu catálogo de vulnerabilidades conhecidas e exploradas, e estima-se que de 3 a 3,5 bilhões de usuários de Linux possam ser afetados. A correção envolve a atualização do kernel Linux para versões específicas (6.18.22, 6.19.12 ou 7.0) ou a desativação do módulo algif_aead.
Outro ponto de atenção é a vulnerabilidade de execução remota de código (RCE) no Apache ActiveMQ Classic (CVE-2026-34197). Este broker de mensagens, amplamente utilizado em arquiteturas de microsserviços e integração, apresentava uma falha que permaneceu despercebida por 13 anos. Através da API Jolokia, um atacante pode forçar o broker a carregar um arquivo de configuração remoto e executar comandos arbitrários no sistema operacional. Embora a exploração geralmente exija credenciais, muitas instalações ainda utilizam credenciais padrão (admin:admin). Em algumas versões, uma vulnerabilidade adicional (CVE-2024-32114) permite o acesso não autenticado à API Jolokia, tornando a CVE-2026-34197 um RCE sem autenticação. A exploração ativa foi detectada em meados de abril, e mais de 7.000 servidores Apache ActiveMQ foram identificados como vulneráveis. As recomendações incluem a atualização para as versões 5.19.4 ou 6.2.3 do ActiveMQ, além de medidas como desativar o componente Jolokia se não for utilizado, restringir o acesso à porta 8161 e alterar credenciais padrão.
No ecossistema Microsoft, uma vulnerabilidade de spoofing em SharePoint Server (CVE-2026-32201) foi destacada. Embora descrita como uma falha de validação de entrada que permite spoofing em rede, análises posteriores indicam que ela pode ser explorada através de ataques XSS refletidos. Um atacante pode enviar uma requisição HTTP especialmente elaborada para injetar código JavaScript malicioso, que será executado no contexto de segurança do site SharePoint. Isso pode levar ao roubo de dados da sessão, interceptação de tokens de autenticação e execução de ações em nome do usuário. A Microsoft confirmou que a vulnerabilidade já foi utilizada em ataques reais e a incluiu no catálogo KEV da CISA. As organizações que utilizam Microsoft SharePoint Server Subscription Edition, 2019 e 2016, especialmente aquelas com acesso externo, estão sob risco. A correção foi disponibilizada no Patch Tuesday de abril da Microsoft.
Por fim, a vulnerabilidade de execução remota de código (RCE) no Adobe Acrobat Reader (CVE-2026-34621) representa um risco significativo para usuários finais. A falha, classificada como Prototype Pollution (CWE-1321), permite que um atacante execute código arbitrário no sistema da vítima ao abrir um documento PDF especialmente preparado. O exploit pode ser usado para coletar informações sensíveis, roubar dados de arquivos locais e realizar fingerprinting avançado. Há evidências de exploração desde novembro de 2025, com relatórios de documentos maliciosos direcionados a organizações russas. A Adobe já lançou atualizações de segurança emergenciais para corrigir esta falha, e os usuários são aconselhados a atualizar seus softwares imediatamente e a ter cautela com arquivos PDF de fontes desconhecidas. A gestão proativa de vulnerabilidades, como a oferecida pela plataforma MaxPatrol VM, é crucial para identificar e mitigar rapidamente essas ameaças.
