Diversos fornecedores de tecnologia anunciaram recentemente atualizações de segurança para corrigir falhas críticas em softwares corporativos, plataformas em nuvem e dispositivos de rede. Essas vulnerabilidades, caso exploradas por invasores, poderiam permitir desde a execução remota de código até escalonamento de privilégios e comprometimento completo de sistemas empresariais.
- Leia também: O que é latência na internet? Entenda como ela afeta a velocidade do site
- Leia também: Como a performance dos dispositivos influencia o carregamento do site
- Leia também: Nova expansão da internet: ICANN prepara rodada histórica de novos domínios
Entre as empresas que divulgaram correções estão SAP, Microsoft, Adobe e Hewlett Packard Enterprise, além de dezenas de outros fabricantes de hardware e software utilizados em ambientes corporativos ao redor do mundo.
SAP corrige vulnerabilidades críticas em aplicações corporativas
A SAP lançou atualizações de segurança para corrigir duas falhas críticas que poderiam ser exploradas para executar código arbitrário em sistemas afetados.
As vulnerabilidades em questão estão listadas abaixo:
- CVE-2019-17571 (pontuação CVSS: 9,8) — Vulnerabilidade de injeção de código no aplicativo SAP Quotation Management Insurance (FS-QUO).
- CVE-2026-27685 (pontuação CVSS: 9,1) — Vulnerabilidade de desserialização insegura no SAP NetWeaver Enterprise Portal Administration.
De acordo com a Onapsis, empresa especializada em segurança para ambientes SAP, o problema está relacionado ao uso de um componente desactualizado da biblioteca Apache Log4j 1.2.17, que contém uma vulnerabilidade conhecida.
“O aplicativo usa um artefato desatualizado do Apache Log4j 1.2.17 que é vulnerável ao CVE-2019-17571”, explicou a Onapsis.
“Isso permite que um invasor sem privilégios execute código arbitrário remotamente no servidor, causando grande impacto na confidencialidade, integridade e disponibilidade do aplicativo.”
Falha de desserialização pode permitir envio de conteúdo malicioso
Por outro lado, a vulnerabilidade CVE-2026-27685 está relacionada à ausência ou à validação insuficiente durante o processo de desserialização de conteúdo carregado pelo sistema.
Na prática, isso significa que um invasor poderia enviar conteúdo manipulado ou malicioso, levando à execução de código não autorizado dentro do ambiente corporativo.
Segundo a Onapsis, a vulnerabilidade não recebeu a pontuação máxima do sistema CVSS apenas porque exige altos privilégios para exploração bem-sucedida.
“Apenas o fato de um atacante precisar de altos privilégios para explorar a vulnerabilidade com sucesso impede que ela receba uma pontuação CVSS de 10”, acrescentou a empresa.
Microsoft e Adobe também lançam grandes pacotes de correção
A divulgação dessas vulnerabilidades ocorre no mesmo período em que outras grandes empresas de tecnologia também lançaram atualizações de segurança.
A Microsoft, por exemplo, libera correções para 84 vulnerabilidades em seus produtos, incluindo diversas falhas relacionadas a:
- escalonamento de privilégios
- execução remota de código
- bypass de mecanismos de segurança
Enquanto isso, a Adobe anunciou correções para 80 vulnerabilidades em seus softwares.
Entre elas, destacam-se quatro falhas críticas que afetam:
- Adobe Commerce
- Magento Open Source
Essas falhas poderiam permitir escalonamento de privilégios e evasão de mecanismos de proteção.
Além disso, a empresa também corrigiu cinco vulnerabilidades críticas no Adobe Illustrator, que poderiam ser exploradas para execução arbitrária de código em sistemas afetados.
Vulnerabilidade crítica afeta dispositivos de rede da HPE Aruba
Em outro comunicado de segurança, a Hewlett Packard Enterprise (HPE) divulgou correções para cinco vulnerabilidades presentes no Aruba Networking AOS-CX, sistema operacional utilizado em switches corporativos.
A mais grave dessas falhas é:
- CVE-2026-23813 (pontuação CVSS: 9,8) — Vulnerabilidade que permite burlar a autenticação na interface de gerenciamento baseada na web.
Segundo a HPE:
“Foi identificada uma vulnerabilidade na interface de gerenciamento baseada na web dos switches AOS-CX que poderia potencialmente permitir que um agente remoto não autenticado burlar os controles de autenticação existentes.”
Em alguns cenários, essa falha poderia inclusive permitir a redefinição da senha de administrador, concedendo acesso privilegiado ao equipamento.
Ross Filipek, CISO da Corsica Technologies, alertou sobre o impacto potencial desse tipo de vulnerabilidade em dispositivos de rede.
“A exploração dessa vulnerabilidade da Aruba potencialmente concede aos invasores controle total dos dispositivos de rede AOS-CX e a capacidade de comprometer um sistema inteiro sem serem detectados.”
Ele acrescentou que uma violação bem-sucedida pode resultar em interrupção das comunicações de rede e comprometimento de serviços essenciais para as operações empresariais.
Além disso, Filipek destacou que falhas em dispositivos de rede estão se tornando cada vez mais frequentes no cenário atual.
“Essa falha serve como um lembrete de que as vulnerabilidades em dispositivos de rede estão se tornando cada vez mais comuns no mundo hiperconectado de hoje.”
Atualizações de segurança liberadas por diversos fornecedores
Além das empresas mencionadas, diversas outras organizações também divulgaram atualizações de segurança nas últimas semanas para corrigir vulnerabilidades em seus produtos e serviços.
Entre os fornecedores afetados estão:
- ABB
- Amazon Web Services
- AMD
- Arm
- Atlassian
- Bosch
- Broadcom (incluindo VMware)
- Canon
- Cisco
- Commvault
- Dassault Systèmes
- Dell
- Drupal
- Elastic
- F5
- Fortinet
- Fortra
- Foxit Software
- GitLab
- Google Android e Pixel
- Google Chrome
- Google Cloud
- Google Pixel Watch
- Google Wear OS
- Grafana
- Hitachi Energy
- Honeywell
- HP
- Hewlett Packard Enterprise (incluindo Aruba Networking e Juniper Networks)
- IBM
- Intel
- Ivanti
- Jenkins
- Lenovo
- Distribuições Linux (AlmaLinux, Alpine Linux, Amazon Linux, Arch Linux, Debian, Gentoo, Oracle Linux, Mageia, Red Hat, Rocky Linux, SUSE e Ubuntu)
- MediaTek
- Mitsubishi Electric
- Moxa
- Mozilla Firefox, Firefox ESR e Thunderbird
- n8n
- NVIDIA
- Palo Alto Networks
- QNAP
- Qualcomm
- Ricoh
- Samsung
- Schneider Electric
- ServiceNow
- Siemens
- SolarWinds
- Splunk
- Synology
- TP-Link
- Trend Micro
- WatchGuard
- Western Digital
- Zoom
- Zyxel
Fonte: The Hacker News —https://thehackernews.com/2026/03/dozens-of-vendors-patch-security-flaws.html
