Vulnerabilidades da Semana #018
Novas falhas de segurança impactam ferramentas amplamente utilizadas. Destaque para XSS no Grafana, múltiplas vulnerabilidades críticas no pfSense, uma 0-day no kernel Linux, falha no ModSecurity ao processar JSON, além de atualizações urgentes para o Chrome e o Firefox. Correções já estão disponíveis para todos os casos.
Wagner Souza
5/25/20252 min read
CVE-2025-4123 | CVSS 7.6
Vulnerabilidade de XSS no Grafana
O Grafana Labs reportou uma vulnerabilidade de XSS, no Grafana OSS e Grafana Enterprise, a qual permite o redirecionamento de usuários para sites externos e a execução de JavaScript malicioso em seus navegadores.
Já estão disponíveis atualizações para as versões atualmente suportadas 10, 11 e 12 do Grafana[1].
Vulnerabilidades no Pfsense Firewall
Pesquisadores de segurança descobriram três vulnerabilidades que afetam o pfSense firewall. Essas falhas, classificadas como CVE-2024-57273[1] (CVSS 5.4) CB Cloud Backup Key Hijack & Stored XSS, CVE-2024-54780[2] (CVSS 8.8) OpenVPN Widget Command Injection e CVE-2024-54779[3] (CVSS 5.4) XML Injection in Dashboard Widgets, afetam as versões do pfSense Community Edition (CE) anteriores à versão beta 2.8.0 e as compilações Plus correspondentes.
A Netgate, mantenedora do pfSense, corrigiu essas falhas nas próximas versões do pfSense Plus 25.03 e CE 2.8.0. Por meio do Pacote de Patches do Sistema, eles também publicaram correções para as versões atuais do pfSense Plus 24.11 e CE 2.7.2.
CVE-2025-37899 | CVSS 7.5
Vulnerabilidade no Kernel Linux
A vulnerabilidade de 0-day foi descoberta no kernel Linux. Identificada como CVE-2025-37899[1], afetando o componente ksmbd do kernel do Linux, um servidor interno que implementa o protocolo SMB3 para compartilhamento de arquivos em redes.
Distribuições Linux como Debian[2] e SuSe[3] já disponibilizaram atualizações para correção dessa falha.
CVE-2025-47947 | CVSS 7.5
Vulnerabilidade no ModSecurity
Uma vulnerabilidade, no módulo Apache da ModSecurity, identificada como CVE-2025-47947[1] (CVSS 7.5), afeta o processamento de payloads JSON pelo popular firewall de aplicativos web de código aberto sob condições específicas. Produtos afetados: ModSecurity (mod_security2) versões 2.x até 2.9.8 (módulo Apache). Não afeta libmodsecurity3 (v3.x).
A equipe de desenvolvimento do ModSecurity corrigiu essa vulnerabilidade lançando a versão 2.9.9, que inclui uma correção completa para essa vulnerabilidade.
Vulnerabilidades no navegador Chrome
O Google lançou uma atualização de segurança[1] urgente para o Chrome após descobrir diversas vulnerabilidades de alta gravidade que podem permitir a atores de ameaças executar códigos maliciosos remotamente nos sistemas dos usuários. Para correção dessas vulnerabilidades, deve-se atualizar o navegador Chrome para a versão 137.0.7151.40/.41.
Vulnerabilidades no Mozilla Firefox
A Mozilla lançou atualizações de segurança[1] para corrigir duas falhas críticas de segurança em seu navegador Firefox que podem ser potencialmente exploradas para acessar dados confidenciais ou executar códigos.
As vulnerabilidades, estão listadas abaixo:
CVE-2025-4918 (CVSS 8.8) - Permite que um invasor execute leitura ou gravação em um objeto Promise JavaScript
CVE-2025-4919 (CVSS 8.8) - Permite que um invasor execute leitura ou gravação em um objeto JavaScript confundindo os tamanhos dos índices da matriz.
As vulnerabilidades afetam as seguintes versões do navegador Firefox -
Todas as versões do Firefox anteriores à 138.0.4 (incluindo o Firefox para Android)
Todas as versões do Firefox Extended Support Release (ESR) anteriores à 128.10.1
Todas as versões do Firefox ESR anteriores a 115.23.1
