Vulnerabilidades da Semana #014

CVE-2025-21204 | CVSS 7.8

Vulnerabilidade de escalação de privilégios no Windows Update Stack - PoC Disponível

A pesquisadora de segurança Elli Shlomo publicou os detalhes técnicos[1] e um código de exploração para proof-of-concept (PoC)[2] para o CVE-2025-21204[3], uma falha grave de escalonamento de privilégios local no Windows Update Stack, que utiliza links simbólicos e junções de diretórios para bypass dos controles de acesso padrão e executar código arbitrário com privilégios de nível SYSTEM.

O problema reside em como o Windows lida com processos relacionados a atualizações — particularmente aqueles vinculados a executáveis como MoUsoCoreWorker.exe e UsoClient.exe. Esses processos, responsáveis por verificar, baixar e instalar atualizações, são executados como usuário SYSTEM e acessam rotineiramente o diretório: C:\ProgramData\Microsoft\UpdateStack\Tasks. Em condições normais, esse caminho é considerado seguro. Em configurações vulneráveis, esses processos podem executar arquivos desse local sem validar sua origem, integridade ou ACLs.

A Microsfot já tem patch para correção dessa vulnerabilidade, dessa form, é recomendável a aplicação do mesmo bem como aplicar controles para monitoramento de atividades suspeitas.

1 - https://cyberdom.blog/abusing-the-windows-update-stack-to-gain-system-access-cve-2025-21204/

2 - https://raw.githubusercontent.com/eshlomo1/CloudSec/refs/heads/main/Attacking%20the%20Cloud/CVE-2025-21204/Exploit-CVE2025-UpdateStackLPE-NonAdmin.ps1

3 - https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-21204

Vulnerabilidades no Grafana OSS e Enterprise

O Grafana Labs lançou atualizações de segurança[1] abordando uma vulnerabilidade de alta gravidade e duas de média gravidade as quais afetam as edições Grafana OSS e Enterprise. A mais grave — CVE-2025-3260, com classificação CVSS 8.3 — permiti acesso e modificação não autorizados de painéis, mesmo por usuários com permissões mínimas.

CVE-2025-3260: Dashboard Permission Bypass - Essa vulnerabilidade afeta os endpoints /apis/dashboard.grafana.app/* e permite que usuários com funções de Visualizador ou Editor substituam permissões no nível do painel dentro de sua organização.

CVE-2025-2703: DOM XSS no plugin de gráficos XY - Uma vulnerabilidade de Cross-Site Scripting (XSS) baseada em DOM, de média gravidade, foi encontrada no plugin de gráficos XY integrado do Grafana a qual permite Execução de JavaScript arbitrário quando um editor ou usuário com permissões RBAC general.writer insere código malicioso em gráficos XY.

CVE-2025-3454: API Proxy - ulnerabilidade descoberta na API de proxy de fonte de dados do Grafana. Ela permite acesso de leitura não autorizado às fontes de dados do Prometheus e do Alertmanager, adicionando uma barra (/) extra no caminho da API.

As vulnerabilidades afetam as seguintes versões:

• CVE-2025-3260: ≥ Grafana 11.6.0

• CVE-2025-2703: ≥ Grafana 11.1.0

• CVE-2025-3454: ≥ Grafana 8.0

Patches estão disponíveis nestas versões:

• Grafana 11.6.0+security-01 (https://grafana.com/grafana/download/11.6.0+security-01)

• Grafana 11.5.3+security-01 (https://grafana.com/grafana/download/11.5.3+security-01)

• Grafana 11.4.3+security-01 (https://grafana.com/grafana/download/11.4.3+security-01)

• Grafana 11.3.5+security-01 (https://grafana.com/grafana/download/11.3.5+security-01)

• Grafana 11.2.8+security-01 (https://grafana.com/grafana/download/11.2.8+security-01)

• Grafana 10.4.17+security-01 (https://grafana.com/grafana/download/10.4.17+security-01)

1 - https://grafana.com/blog/2025/04/22/grafana-security-release-medium-and-high-severity-fixes-for-cve-2025-3260-cve-2025-2703-cve-2025-3454/?mdm=social&src=x&camp=blog

CVE-2025-21605 | CVSS 7.5 - Vulnerabilidade no Redis

Uma vulnerabilidade de alta gravidade foi descoberta no Redis[1] permitidno a usuários não autenticados esgotem a memória do servidor e causem uma condição de Negação de Serviço (DoS). Notificada como CVE-2025-21605, a falha afeta todas as versões do Redis a partir da 2.6 e recebeu uma pontuação CVSS de 7.5. Esse problema surge devido à configuração padrão do Redis, que não impõe um limite aos buffers de saída para clientes normais (client-output-buffer-limit). Sem esses limites, o buffer de saída pode crescer indefinidamente, resultando em esgotamento da memória ao longo do tempo.

Versões do Redis a partir da versão 2.6 são afetadas por esta vulnerabilidade. O problema foi corrigido nas seguintes versões:

• 6.2.18 (https://github.com/redis/redis/releases/tag/6.2.18)

• 7.2.8 (https://github.com/redis/redis/releases/tag/7.2.8)

• 7.4.3 (https://github.com/redis/redis/releases/tag/7.4.3)

1 - https://github.com/redis/redis/security/advisories/GHSA-r67f-p999-2gff