Vulnerabilidades da Semana #017

Relatório destaca falhas críticas em soluções amplamente usadas: acesso não autenticado no Bitnami Pgpool, elevação de privilégios no Zoom Workplace, e bypass de autenticação em produtos Fortinet. Também há vulnerabilidades moderadas no VMware Tools e o Patch Tuesday de maio da Microsoft com 72 correções, incluindo 5 zero-days. Recomendada atualização imediata para todas as plataformas afetadas.

Wagner Souza

5/18/20253 min read

CVE-2025-22248 | CVSSv4 9.4

Configuração incorreta no Bitnami Pgpool permite acesso não autenticado ao PostgreSQL

Uma vulnerabilidade crítica de segurança foi identificada na imagem do Docker Bitnami Pgpool-II e no bitnami/postgres-ha Kubernetes Helm chart. A vulnerabilidade, Identificada como CVE-2025-22248 (CVSSv4 9.4)[1], permite acesso não autenticado a bancos de dados PostgreSQL.

“A imag-em Docker bitnami/pgpool e o bitnami/postgres-ha k8s, nas configurações padrão, vêm com um usuário ‘repmgr’ que permite acesso não autenticado ao banco de dados dentro do cluster”, revelou a Bitnami[2].

  • A vulnerabilidade afeta:

  • Versões do Bitnami Pgpool-II anteriores a 4.6.0-1 (incluindo imagem de contêiner 4.6.0-debian-12-r8)

  • Bitnami PostgreSQL HA Helm chart anteriores à versão 16.0.0

  • A Bitnami recomenda que os usuários:

  • Atualize o Pgpool-II para a versão 4.6.0-1 ou mais recente

  • Atualizar o PostgreSQL HA Helm chart para a versão 16.0.0 ou mais recente

  1. https://nvd.nist.gov/vuln/detail/CVE-2025-22248

  2. https://github.com/bitnami/charts/security/advisories/GHSA-mx38-x658-5fwj

CVE-2025-30663 | CVSS 8.8

Vulnerabilidade no Zoom Workplace

A equipe de segurança do Zoom lançou um boletim de segurança abordando diversas vulnerabilidades em seu pacote de aplicativos Workplace. O boletim detalha uma série de problemas, desde escalonamento de privilégios até riscos de negação de serviço, afetando vários aplicativos e SDKs do Zoom.

Uma das vulnerabilidades mais críticas, identificada como CVE-2025-30663 (CVSS 8.8)[1], é uma “time-of-check time-of-use race condition”. Essa falha permite que um usuário autenticado aumente seus privilégios por meio de acesso local em sistemas afetados.

O Zoom recomenda que os usuários atualizem todos os produtos Zoom Workplace para a versão 6.4.0 ou mais recente, ou compilações corrigidas aplicáveis em variantes de VDI e SDK. As atualizações estão disponíveis para download em https://zoom.us/download.

  1. https://www.zoom.com/en/trust/security-bulletin/zsb-25016/

CVE-2025-22247 | CVSS 6.1

Vulnerabilidades no VMware Tools

Uma vulnerabilidade de gravidade moderada, no VMware Tools, pode permite a atores de ameaças, com privilégios limitados, manipulem arquivos e executem operações inseguras em máquinas virtuais. A falha, identificada como CVE-2025-22247 (CVSSv3 6.1)[1], afeta as versões 11.x.x e 12.x.x do VMware Tools para Windows e Linux, com versões do macOS confirmadas como não afetadas.

A Broadcom lançou o VMware Tools versão 12.5.2 para corrigir a vulnerabilidade em sistemas Windows e Linux. Especificamente para sistemas Windows de 32 bits, o VMware Tools 12.4.7, incluído na versão 12.5.2, corrige o problema.

  1. https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/25683

CVE-2025-22252 | CVSS 9.0

Vulnerabilidades nos produtos Fortinet

A Fortinet divulgou uma vulnerabilidade de segurança significativa que afeta vários produtos Fortinet, permitindo que invasores ignorem a autenticação e obtenham acesso administrativo aos sistemas afetados. Identificada como CVE-2025-22252, a falha afeta os produtos FortiOS, FortiProxy e FortiSwitchManager configurados para usar TACACS+ com autenticação ASCII.

De acordo com o aviso de segurança da Fortinet, as seguintes versões do produto são vulneráveis:

  • FortiOS 7.6.0

  • FortiOS 7.4.4 a 7.4.6

  • FortiProxy 7.6.0 a 7.6.1

  • FortiSwitchManager 7.2.5

Versões anteriores desses produtos, incluindo FortiOS 7.2, 7.0, 6.4, FortiProxy 7.4, 7.2, 7.0, 2.0 e FortiSwitchManager 7.0, não são afetadas por essa vulnerabilidade.

A Fortinet recomenda que as organizações que atualizem imediatamente para as versões corrigidas:

  • FortiOS 7.6.1 ou superior

  • FortiOS 7.4.7 ou superior

  • FortiProxy 7.6.2 ou superior

  • FortiSwitchManager 7.2.6 ou superior

  1. https://www.fortiguard.com/psirt/FG-IR-24-472

Microsoft Patch Tuesday - maio/2025

A Microsoft disponibilizou o seu Patch Tuesday[1] de maio de 2025, o qual inclui atualizações de segurança para 72 falhas, incluindo cinco vulnerabilidades de zero-day, exploradas ativamente, e duas divulgadas publicamente. Este Patch Tuesday também corrige seis vulnerabilidades "críticas", cinco delas sendo vulnerabilidades de execução remota de código e outra um bug de divulgação de informações.

O número de bugs em cada categoria de vulnerabilidade está listado abaixo:

  • 17 Vulnerabilidades de Elevação de Privilégios

  • 2 Vulnerabilidades de desvio de recursos de segurança

  • 28 Vulnerabilidades de Execução Remota de Código

  • 15 Vulnerabilidades de Divulgação de Informações

  • 7 Vulnerabilidades de Negação de Serviço

  • 2 Vulnerabilidades de Spoofing

  1. https://msrc.microsoft.com/update-guide/

Veja no Youtube