Falha crítica no AnyDesk (CVE-2024-12754) permite escalada de privilégios no Windows
O pesquisador descobriu a vulnerabilidade CVE-2024-12754 no AnyDesk, permitindo que usuários sem privilégios elevados obtenham controle total do sistema. O problema ocorre devido à forma como o software gerencia a cópia de arquivos no Windows, explorando permissões do NT AUTHORITY\SYSTEM para substituir arquivos críticos.
A falha foi corrigida na versão 9.0.1, e usuários devem atualizar imediatamente para evitar ataques. Um exploit de prova de conceito (PoC) já está disponível no GitHub, aumentando a urgência da correção. Administradores de sistemas devem agir rápido para mitigar o risco.
Falha 0-Day no PAN-OS da Palo Alto permite invasão na interface web
A Palo Alto Networks identificou a vulnerabilidade CVE-2025-0108 no PAN-OS, permitindo que hackers burlem a autenticação na interface de gerenciamento. Com pontuação CVSS 8.8, a falha compromete a segurança do sistema, mas não permite a execução remota de código.
A empresa recomenda atualização imediata para versões corrigidas e sugere mitigações, como restringir acessos administrativos e usar sistemas intermediários.
Falha Crítica no PHP Permite SQL Injection
A vulnerabilidade CVE-2022-31631 no PHP afeta a função PDO::quote() com SQLite, causando falha no escape de strings longas devido a um estouro de inteiro. Isso pode permitir a injeção de SQL, expondo dados e comprometendo o banco e o servidor, especialmente em sistemas 64 bits. Para mitigar riscos, é essencial atualizar o PHP para as versões 8.0.27, 8.1.15 ou 8.2.2+ e reforçar a sanitização de dados.
Veeam Apaga Dados do Fórum Após Erro em Restauração de Backup
A Veeam acidentalmente restaurou um backup desnecessário de seu fórum, apagando postagens e comentários recentes. O erro ocorreu em 11 de fevereiro, quando a equipe de DevOps sobrescreveu a base de produção com um backup de 10 de fevereiro, sem problemas prévios, resultando na perda irreversível dos conteúdos mais recentes.
Embora a falha não tenha afetado dados críticos ou a segurança dos produtos, destacou falhas no gerenciamento de backups. A Veeam reconheceu o erro, pediu desculpas e mencionou o caso como “Melhor Postagem da Semana”.