Vulnerabilidades da Semana #25
Nos últimos dias, novas falhas foram identificadas em ferramentas amplamente utilizadas por profissionais de tecnologia e segurança. Se sua operação utiliza Node.js, Vim, BIND ou Grafana, é hora de atualizar e revisar seus ambientes!
Wagner Souza
7/19/20253 min read
Vulnerabilidades no Node.js
A OpenJS Foundation lançou atualizações importantes para as versões 24.x, 22.x e 20.x do Node.js, abordando duas vulnerabilidades de alta gravidade — CVE-2025-27210 CVSS 9.1[1] e CVE-2025-27209 CVSS 9.1— as quaisrepresentam riscos para aplicativos e serviços web baseados em Windows que dependem do mecanismo V8 do JavaScript.
CVE-2025-27210 Path Traversal Bypass Using Windows Device Names: Os aplicativos Node.js, em plataformas Windows, são vulneráveis a uma falha de normalização de caminho que permite que invasores ignorem as proteções de Path Traversal usando nomes de dispositivos especiais como CON, PRN ou AUX.
CVE-2025-27209 HashDoS Reintroduced via rapidhash in V8: A segunda vulnerabilidade, afeta usuários do Node.js 24.x, surge de alterações recentes no algoritmo de hash de strings no mecanismo JavaScript V8.
Versões de patch disponíveis:
Node.js v20.19.4 [2]
Node.js v22.17.1 [3]
Node.js v24.4.1 [4]
🔗 FOFA - https://en.fofa.info/result?qbase64=YXBwPSJOb2RlLmpzIg%3D%3D
🔗 ZoomEyE - https://www.zoomeye.ai/searchResult?q=YXBwPSJOb2RlLmpzIg%3D%3D&from=25071601
1 - https://nodejs.org/en/blog/vulnerability/july-2025-security-releases
2 - https://nodejs.org/en/blog/release/v20.19.4/
3 - https://nodejs.org/en/blog/release/v22.17.1/
4 - https://nodejs.org/en/blog/release/v24.4.1/
CVE-2025-53906 | CVSS 4.1
Vulnerabilidade no Vim
Uma falha identificada como CVE-2025-53906, afeta o plugin zip.vim do editor de textos Vim, ocasionando a ataques de path traversal por meio de arquivos zip maliciosos, permitindo substituições arbitrárias desse tipo arquivo. Todas as versões do Vim abaixo de 9.1.1551 são afetadas.
A vulnerabilidade foi corrigida no Vim versão 9.1.1551, lançada após a divulgação do report de segurança[2].
1 - https://github.com/vim/vim/security/advisories/GHSA-r2fw-9cw4-mj86
2 - https://github.com/vim/vim/commit/586294a04179d855c3d1d4ee5ea83931963680b8
Vulnerabilidades no Bind
O Internet Systems Consortium (ISC) emitiu dois alertas de segurança abordando duas vulnerabilidades de alto impacto no BIND. As vulnerabilidades, identificadas como CVE-2025-40776[1] e CVE-2025-40777[2], afetam edições de pré-visualização específicas do BIND e expõem as organizações a riscos de cache poisoning e denial-of-service (DoS).
A primeira vulnerabilidade, CVE-2025-40776 (CVSS 8.6), explora o recurso EDNS Client Subnet (ECS) em resolvedores BIND. Esse recurso — projetado para aprimorar a resolução de DNS com base geográfica — pode realizar bypass em controles de defesa contra ataque de cache poisoning.
Versões Afetadas:
9.11.3-S1 a 9.16.50-S1
9.18.11-S1 a 9.18.37-S1
9.20.9-S1 a 9.20.10-S1
Versões que corrigem essa vulnerabilidade:
BIND 9.18.38-S1
BIND 9.20.11-S1
A segunda vulnerabilidade, CVE-2025-40777 (CVSS 7.5), envolve um conjunto de configuração que pode desencadear uma falha do named daemon ao fornecer dados obsoletos sob condições específicas.
Versões Afetadas
BIND 9.20.0 a 9.20.10
BIND 9.21.0 a 9.21.9
Edições de Pré-visualização Suportadas pelo BIND 9.20.9-S1 a 9.20.10-S1
Versões que corrigem essa vulnerabilidade:
BIND 9.20.11
BIND 9.21.10
BIND 9.20.11-S1 (Preview Edition)
🔗 FOFA -> https://en.fofa.info/result?qbase64=YXBwPSJJU0MtQklORC1ETlMi
🔗 Netlas.io -> https://app.netlas.io/responses/?q=dns.banner%3A%22BIND%22%20OR%20dns_tcp.banner%3A%22BIND%22&page=1&indices=
1 - https://kb.isc.org/docs/cve-2025-40776
2 - https://kb.isc.org/docs/cve-2025-40777
CVE-2025-6023 | CVE-2025-6197
Vulnerabilidades no Grafana
O Grafana Labs lançou importantes patches de segurança para diversas versões de sua plataforma de observabilidade, abordando duas vulnerabilidades: uma vulnerabilidade de Cross-Site Scripting (XSS) de alta gravidade, identificada como CVE-2025-6023, e um problema de open redirect de média gravidade, identificado como CVE-2025-6197. Os usuários do Grafana Cloud foram afetados devido à ausência de uma diretiva connect-src na Política de Segurança de Conteúdo (CSP), possibilitando que um invasor carregue scripts externos maliciosos mesmo que não tenha acesso direto à instância do Grafana.
CVE-2025-6023 (CVSS 7.6): é uma vulnerabilidade de script entre sites causada por uma combinação de client-side path traversal e open redirect. A falha permite que invasores injetem e executem código JavaScript arbitrário no contexto do navegador da vítima por meio de links especialmente criados para o painel.
CVE-2025-6197 (CVSS 4.2): essa vulnerabilidade decorre da funcionalidade de troca de organização no Grafana. Um ator de ameaças pode explorar o mecanismo de redirecionamento para conduzir usuários autenticados para sites maliciosos.
Ambas as vulnerabilidades afetam o Grafana 11.5.0 e versões posteriores. As versões corrigidas disponíveis incluem:
Grafana 12.0.2+security-01
Grafana 11.6.3+security-01
Grafana 11.5.6+security-01
Grafana 11.4.6+security-01
Grafana 11.3.8+security-01
