Vulnerabilidades da Semana #26

Destaque para as falhas CVE-2025-53816 e CVE-2025-53817 no 7-Zip (DoS via arquivos maliciosos), a vulnerabilidade crítica CVE-2025-53770 no Microsoft SharePoint (RCE via desserialização), elevação de privilégios em VMs Windows via VMware Tools (CVE-2025-22230 e CVE-2025-22247), e múltiplas falhas no Sophos Firewall — incluindo RCE e injeção de comandos. Todas as vulnerabilidades já possuem correções disponíveis.

Wagner Souza

7/28/20253 min read

CVE-2025-53816 | CVE-2025-53817

Vulnerabilidades no 7-Zip

Foi descoberta uma vulnerabilidade de memory corruption no 7-Zip, permitindo a atores de ameaças acionem condições de denial of service(DoS) criando arquivos RAR5 maliciosos. A falha, identificada como CVE-2025-53816 CVSSv4 5.5, afeta todas as versões do 7-Zip anteriores à versão 25.00.

O pesquisador de segurança Jaroslav Lobačevski descobriu a vulnerabilidade no GitHub Security Lab e recebeu uma pontuação CVSS de 5,5, o que a coloca na faixa de gravidade média.

Pesquisadores de segurança divulgaram duas vulnerabilidades descobertas no 7-Zip. Ambas as falhas — CVE-2025-53816[1] e CVE-2025-53817[2] com risk score de CVSSv4 5.5 — afetam versões anteriores ao 7-Zip 25.0.0 e representam um risco de memory corruption e denial of service (DoS).

  • CVE-2025-53816: A vulnerabilidade reside no processamento de arquivos RAR5 pelo 7-Zip. Especificamente, o software calcula incorretamente quantos bytes zerar na memória ao extrair arquivos, com base em valores controlados pelo invasor.

  • CVE-2025-53817: A vulnerabilidade afeta o suporte do 7-Zip para extração de arquivos de formatos de Documentos Compostos. Ao criar um arquivo de Documento Composto malformado, um invasor pode fazer com que o aplicativo 7-Zip trave inesperadamente,

As vulnerabilidades foram corrigidas na versão 25.0.0 do 7-Zip[3].

  1. https://securitylab.github.com/advisories/GHSL-2025-058_7-Zip/

  2. https://www.openwall.com/lists/oss-security/2025/07/18/2

  3. https://www.7-zip.org/download.html

CVE-2025-53770 | CVSS 9.8

Vulnerabilidade no Microsoft Sharepoint

No domingo, 20/07/2025, a Microsoft lançou patches de segurança para uma falha de segurança explorada ativamente no SharePoint, e também divulgou detalhes de outra vulnerabilidade que, segundo a empresa, foi corrigida com "proteções mais robustas". A vulnerabilidade foi identificada na CVE-2025-53770[1] CVSS 9.8 e permite ataques de remote code execution (RCE) sendo oriunda pela desserialização de dados não confiáveis em versões on-premisses do Microsoft SharePoint Server.

A Microsoft também observou que as vulnerabilidades CVE-2025-53770 e CVE-2025-53771 estão relacionadas a duas outras vulnerabilidades do SharePoint documentadas pelas vulnerabilidades CVE-2025-49704 e CVE-2025-49706, que podem ser encadeadas para permitir a execução remota de código. A cadeia de exploração, conhecida como ToolShell[2], foi corrigida como parte da atualização Patch Tuesday de julho de 2025 da empresa.

O exploit ToolShell ignora os mecanismos de autenticação tradicionais ao atingir o endpoint vulnerável /_layouts/15/ToolPane.aspx do SharePoint.

O U.S. Cybersecurity and Infrastructure Security Agency (CISA), por sua vez, adicionou CVE-2025-53770 ao seu catálogo de Known Exploited Vulnerabilities (KEV)[3], exigindo que as agências do Poder Executivo Civil Federal (FCEB) apliquem as correções até 21 de julho de 2025.

🔎 Search

Ativos com Sharepoint expostos na internet:

  1. https://msrc.microsoft.com/blog/2025/07/customer-guidance-for-sharepoint-vulnerability-cve-2025-53770/

  2. https://research.eye.security/sharepoint-under-siege/

  3. https://www.cisa.gov/news-events/alerts/2025/07/20/cisa-adds-one-known-exploited-vulnerability-cve-2025-53770-toolshell-catalog

Vulnerabilidades no VMware Tools

Duas vulnerabilidades críticas no componente VMware Guest Authentication Service (VGAuth) do VMware Tools permitem que invasores locais escalem privilégios de qualquer conta de usuário para acesso em nível de SYSTEM em máquinas virtuais Windows. As vulnerabilidades, identificadas como CVE-2025-22230[1] CVSSv3.1 7.8 e CVE-2025-22247 CVSSv3.1 6.1, afetam instalações do VMware Tools em ambientes gerenciados pelo ESXi e implantações autônomas do VMware Workstation.

A primeira vulnerabilidade, CVE-2025-22230, decorre de uma falha crítica na implementação named pipe do VGAuth, permitindo bypass de autenticação por meio de um pre-creation attack. A segunda vulnerabilidade, CVE-2025-22247, explora validação de entrada insuficiente nas funções de gerenciamento de alias store.

Os patches para correação das vulnerabilidades já estão disponíveis no site da Broadcom.

  1. https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/25518

  2. https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/25683

Vulnerabilidades no Sophos Firewall

A Sophos emitiu um comunicado de segurança detalhando a correção de cinco vulnerabilidades no Firewall Sophos, incluindo duas falhas críticas que poderiam permitir que invasores remotos obtivessem o controle dos dispositivos afetados sob condições específicas. A empresa garante aos clientes que as correções foram implantadas automaticamente por meio de hotfixes — desde que a configuração padrão de instalação automática esteja habilitada.

  • CVE-2025-6704: Pre-Auth RCE via SPX and HA Mode

  • CVE-2025-7624: RCE via SQL Injection in Legacy SMTP Proxy

  • CVE-2025-7382: Command Injection in WebAdmin on HA Devices

  • CVE-2024-13974: DNS Hijack via Up2Date Logic Flaw

  • CVE-2024-13973: Post-Auth SQLi in WebAdmin

A Sophos lançou hotfixes para as versões suportadas e recomenda a atualização para pelo menos a versão 21.0 MR1 ou mais recente. Para clientes que ainda utilizam versões mais antigas, atualizações manuais são necessárias para receber os patches. A Sophos enfatizou que nenhuma exploração ativa dessas vulnerabilidades foi observada até o momento.

  1. https://www.sophos.com/en-us/security-advisories/sophos-sa-20250721-sfos-rce

Veja no Youtube