Vulnerabilidades da Semana #022

CVE-2025-36537 | CVSS 7.0

Vulnerabilidade no TeamViewer’s Remote Management

Uma vulnerabilidade na solução TeamViewer’s Remote Management, identificada como CVE-2025-36537[1] CVSS 7.0, permite que atores de ameaças, com acesso local, excluam arquivos com privilégios de SYSTEM, ocasionando escalação de privilégios. O TeamViewer lançou patches e recomenda que os usuários atualizem para as versões mais recentes para mitigar esse risco.

A falha afeta diversas versões do software TeamViewer’s Remote Management, incluindo o TeamViewer Remote Full Client e o TeamViewer Remote Host para Windows, nas versões 11.0, 12.0, 13.2, 14.7 e 15.x anteriores à 15.67. Para sistemas Windows 7/8, as versões anteriores à 15.64.5 são vulneráveis. A equipe de desenvolvimento do TeamViewer lançou patches para todas as versões afetadas.

1 - https://www.teamviewer.com/en/resources/trust-center/security-bulletins/tv-2025-1002/

CVE-2025-6218 | CVSS 7.8

Vulnerabilidade no WinRAR

Uma vulnerabilidade recentemente divulgada no WinRAR da RARLAB, expôs milhões de usuários a uma falha grave de directory traversal que pode levar à execução remota de código (RCE). Notificada como CVE-2025-6218[1], essa vulnerabilidade permite que um invasor execute código arbitrário na máquina da vítima fazendo-a abrir um arquivo compactado especialmente criado.

O RARLAB, desenvolvedora do aplicativo WinRAR, corrigiu a falha disponibilizando a versão do WinRAR 7.12 Beta 1. Os usuários são recomendados a atualizar imediatamente para mitigar o vetor de ataque com base nessa vulnerabilidade.

1 - https://www.zerodayinitiative.com/advisories/ZDI-25-409/

2 - https://www.win-rar.com/singlenewsview.html?&L=0&tx_ttnews%5Btt_news%5D=276&cHash=b5165454d983fc9717bc8748901a64f9

CVE-2025-49144 | CVSS 7.3

Vulnerabilidade no Notepad++ (PoC Disponível)

Uma vulnerabilidade de escalonamento de privilégios foi descoberta no Notepad++ versão 8.8.1, expondo usuários a um comprometimento total do sistema. A falha, identificada na CVE-2025-49144[1], permite que invasores obtenham privilégios de nível de SYSTEM por meio de uma técnica conhecida como binary planting, com uma demonstração de prova de conceito agora disponível publicamente.

Os desenvolvedores do Notepad++ lançaram a versão 8.8.2 para corrigir essa vulnerabilidade. Para mitigação dos riscos associados a vulnerabilidade, recomenda-se a implementação de medidas de proteção adicionais, incluindo a execução de instaladores a partir de diretórios seguros e isolados, e a manutenção de soluções de segurança de endpoint atualizadas, capazes de detectar ataques de plantio binário. As organizações também devem considerar a implementação de listas de permissões de aplicativos e o monitoramento aprimorado dos processos de instalação.

1 - https://github.com/notepad-plus-plus/notepad-plus-plus/security/advisories/GHSA-9vx8-v79m-6m24

CVE-2025-50054 | CVSSv3 5.5

Vulnerabilidade no OpenVPN

Uma vulnerabilidade de buffer overflow, identificada como CVE-2025-50054[1], afeta as versões 1.3.0 e anteriores do driver ovpn-dco-win, bem como a versão 2.5.8 e anteriores, que tem sido o adaptador de rede virtual padrão no OpenVPN desde a versão 2.6.

Pesquisadores de segurança descobriram que a vulnerabilidade permite que processos de usuários locais, sem privilégios, enviem buffers de mensagens de controle para o driver do kernel, acionando uma condição de estouro de buffer que resulta em uma falha completa do sistema. Isso representa um risco significativo de negação de serviço para os sistemas afetados, pois os invasores podem travar repetidamente máquinas Windows executando instalações vulneráveis do OpenVPN.

Usuários do Windows podem baixar a nova versão alfa nos formatos de instalador MSI de 64 bits, ARM64 ou 32 bits, todos incluindo a correção de segurança para a vulnerabilidade de buffer overflow.

1 - https://community.openvpn.net/Security%20Announcements/CVE-2025-50054

Vulnerabilidades no Elastic Kibana

A Elastic publicou um alerta de segurança abordando duas vulnerabilidades no Kibana. As vulnerabilidades são descritas abaixo:

• CVE-2025-2135[1] – Heap Corruption via Reporting (CVSS 9.9): Esta vulnerabilidade de gravidade crítica está vinculada a uma Heap Corruption no Chromium, afetando o mecanismo de relatórios do Kibana.

• CVE-2025-25012[2] – Open Redirect via Short URLs (CVSS 4.3): A segunda vulnerabilidade permite que invasores criem uma URL maliciosa redirecionando usuários para sites externos não confiáveis. Também pode ser usada para falsificação de solicitação do lado do servidor (SSRF) em ambientes onde os recursos de URL curta do Kibana estão ativos nos componentes Discover, Dashboard e Visualization Library.

Ativos com Kibana instalado e expostos à internet:

FOFA -> https://en.fofa.info/result?qbase64=YXBwPSJLaWJhbmEi

1 - https://discuss.elastic.co/t/kibana-7-17-29-8-17-8-8-18-3-9-0-3-security-update-esa-2025-09/379443

2 - https://discuss.elastic.co/t/kibana-7-17-29-8-17-8-8-18-3-9-0-3-security-update-esa-2025-10/379444

CVE-2025-6709 | CVSS 7.5

Vulnerabilidade no MongoDB Server

Uma vulnerabilidade de pré-autenticação, identificada como CVE-2025-6709[1], no MongoDB Server permite que invasores, não autenticados, acionem condições de negação de serviço (DoS) explorando a validação incorreta de entradas na autenticação OIDC. A falha permite que agentes maliciosos bloqueiem servidores de banco de dados enviando payloads JSON contendo valores de data específicos.

Esta vulnerabilidade afeta as versões do MongoDB Server anteriores a 7.0.17, 8.0.5 e 6.0.21 (com autenticação necessária para exploração da versão 6.x).

Os administradores devem atualizar imediatamente para versões corrigidas:

• MongoDB v6.0 → 6.0.21 ou posterior

• MongoDB v7.0 → 7.0.17 ou posterior

• MongoDB v8.0 → 8.0.5 ou posterior

Para ambientes onde a aplicação imediata de patches não é viável, considere desabilitar a autenticação OIDC até que as atualizações sejam aplicadas.

1 - https://jira.mongodb.org/browse/SERVER-106748