Vulnerabilidades da Semana #021
Patch de segurança no Grafana (CVE-2025-3415) corrige exposição de dados de configuração no módulo de alertas. No Linux, falhas em PAM e UDisks (CVE-2025-6018 e CVE-2025-6019) permitem escalonamento de privilégios para root. Veeam corrige falhas críticas de RCE no VBR (CVE-2025-23121, 24286 e 24287). No Apache Tomcat, quatro vulnerabilidades corrigidas em atualizações recentes, incluindo DoS e bypass de restrições de segurança.
Wagner Souza
6/24/20252 min read
CVE-2025-3415 | CVSS 4.3
Vulnerabilidade no Grafana
O Grafana Labs lançou patches de segurança para correção de uma vulnerabilidade notificada na CVE-2025-3415[1] (CVSS 4.3), a qual expõe dados de configuração confidenciais no Grafana Alerting. A vulnerabilidade afeta versões do Grafana até a 12.0.1.
O Grafana Labs lançou versões corrigidas que mitigam essa vulnerabilidade. Recomenda-se que os usuários atualizem para os respectivos níveis de patch de segurança:
Grafana 12.0.1+security-01[2]
Grafana 11.6.2+security-011[3]
Grafana 11.5.5+security-011[4]
Grafana 11.4.5+security-011[5]
Grafana 11.3.7+security-011[6]
Grafana 11.2.10+security-011[7]
Grafana 10.4.19+security-011[8]
Vulnerabilidades nos módulos PAM e UDisks do Linux
A Qualys Threat Research Unit (TRU)[1] divulgou duas vulnerabilidades de escalonamento de privilégios as quais permitem aos atores de ameaças obter acesso root completo em diversas distribuições Linux. A exploração desse ataque é via LPE (Escalonamento de Privilégios Locais), que se aproveita de falhas nas configurações de PAM e na libblockdev/udisks stack.
- CVE-2025-6018 | CVSS 8.8 : Uma falha na configuração do Pluggable Authentication Modules (PAM) no openSUSE Leap 15 e no SUSE Linux Enterprise 15. Devido ao tratamento inadequado da sessão, a pilha PAM concede o status "allow_active" aos usuários SSH remotos, tratando-os como se estivessem fisicamente presentes na máquina.
- CVE-2025-6019 | CVSS 7.8: A falha reside no daemon udisks, que interage com o libblockdev para gerenciar dispositivos de armazenamento. Este serviço é executado por padrão na maioria das distribuições Linux, incluindo Ubuntu, Fedora, Debian e openSUSE. Se um usuário já possui o status "allow_active", ele pode explorar essa falha para obter privilégios de root. A equipe da TRU desenvolveu uma proof-of-concept (PoC)[2] para validação dessas vulnerabilidade.
É recomendável verificar os patches disponíveis nos repositórios das distribuições Linux afetadas pela falha.
Vulnerabilidades no Veeam Backup & Replication
A Veeam lançou atualizações de segurança[1] para corrigir diversas falhas do Veeam Backup & Replication (VBR), incluindo uma vulnerabilidade crítica de execução remota de código (RCE). As vulnerabilidades, identificas como CVE-2025-23121, CVE-2025-24286 e CVE-2025-24287.
Já estão disponibilizados patches para corrigir essas vulnerabilidades. As organizações devem atualizar imediatamente para o Veeam Backup & Replication 12.3.2 (compilação 12.3.2.3617) para resolver os problemas CVE-2025-23121 e CVE-2025-24286. Para a vulnerabilidade do Agente do Windows, os usuários devem atualizar para o Veeam Agent para Microsoft Windows 6.3.2 (compilação 6.3.2.1205).
Vulnerabilidades no Apache Tomcat
A Apache Software Foundation divulgou quatro vulnerabilidades de segurança que afetam diversas versões do Apache Tomcat. Essas falhas — que vão desde condições de negação de serviço (DoS) até desvio de privilégios e abuso do instalador — afetam as versões 9.0.x a 11.0.x.
CVE-2025-48976: Memory Exhaustion via Multipart Header Exploitation [1]
CVE-2025-48988: Multipart Upload Resource Exhaustion [2]
CVE-2025-49124: Windows Installer Side-Loading Risk [3]
CVE-2025-49125: Security Constraint Bypass in Resource Mounting [4]
Todas as quatro vulnerabilidades foram corrigidas nas seguintes versões:
Apache Tomcat 11.0.8[5]
Apache Tomcat 10.1.42[6]
Apache Tomcat 9.0.106[7]
