Boletim diário · 24 de junho de 2026
Dez falhas em exploração ativa dominam o cenário: Joomla, Splunk, Oracle e mais sob ataque
As últimas 24 horas não registraram novas entradas no banco de vulnerabilidades, mas o acumulado recente concentra dez falhas confirmadas em exploração ativa, várias com CVSS máximo e prova de conceito pública disponível. O destaque vai para uma falha crítica no Joomla JCE com CVSS 10.0 e taxa EPSS de 80%, seguida de brechas igualmente graves no Splunk Enterprise e no Oracle PeopleSoft. O cenário exige atenção imediata de equipes de segurança que operam qualquer um desses produtos.
Resumo do dia
- Joomla JCE com CVSS 10.0 em exploração ativa: permite upload e execução de PHP sem autenticação
- Splunk Enterprise e Oracle PeopleSoft com CVSS 9.8 sob ataque: tomada de controle remoto sem credenciais
- Quantum Security Gateway permite bypass de VPN sem senha válida via falha de lógica em IKEv1
- Chrome, Android, Magento e infraestrutura de hospedagem também figuram na lista, todos com exploração confirmada
Destaques críticos
1
A extensão JCE para Joomla permite que usuários não autenticados criem perfis de editor e façam upload de código PHP arbitrário, resultando em execução remota completa. Com CVSS 10.0, EPSS de 80% e PoC pública, esta é a falha de maior risco imediato para sites Joomla que utilizam o plugin.
2
Um endpoint do serviço auxiliar PostgreSQL no Splunk Enterprise opera sem qualquer controle de autenticação, permitindo que qualquer usuário na rede crie ou trunque arquivos arbitrários. Versões 10.2 abaixo de 10.2.4 e 10.0 abaixo de 10.0.7 estão expostas, e o EPSS de 92% indica probabilidade extremamente alta de exploração ativa em larga escala.
3
A falha no componente Updates Environment Management do Oracle PeopleSoft (versões 8.61 e 8.62) possibilita a tomada total do sistema por atacantes não autenticados via HTTP. A combinação de CVSS 9.8, EPSS de 90% e PoC pública torna esta vulnerabilidade prioritária para ambientes corporativos Oracle.
4
Uma falha de lógica na validação de certificados IKEv1 do Quantum Security Gateway permite que um atacante remoto não autenticado estabeleça conexões VPN sem senha válida, contornando completamente o controle de acesso. Gateways de acesso remoto expostos à internet são o alvo direto.
5
O plugin Mirasvit Full Page Cache Warmer para Magento 2 (anterior à versão 1.11.12) desserializa objetos PHP fornecidos pelo usuário sem restrições via cookie CacheWarmer, abrindo caminho para execução remota de código sem autenticação. Lojas Magento 2 com esse plugin instalado devem ser tratadas como comprometidas até que a atualização seja aplicada.
6
Uma versão maliciosa do Nx Console (18.95.0) foi publicada no Visual Studio Marketplace e no OpenVSX por até 36 minutos em maio de 2026, expondo desenvolvedores que instalaram a extensão nesse intervalo a código malicioso em seu ambiente de desenvolvimento. Qualquer desenvolvedor que instalou o Nx Console nesse período deve considerar o ambiente potencialmente comprometido e auditar credenciais e segredos.
7
Uma falha de leitura e escrita fora dos limites no motor V8 do Google Chrome (anterior à versão 149.0.7827.103) permite execução de código arbitrário dentro do sandbox do navegador através de uma página HTML maliciosa. A exploração é remota e não requer interação além da visita à página, tornando a atualização imediata essencial.
8
O plugin cPanel do LiteSpeed (anterior à versão 2.4.8) manipula symlinks de forma insegura em servidores de hospedagem compartilhada com CloudLinux/CageFS, permitindo que um usuário com acesso FTP ou web shell eleve privilégios ou acesse dados de outros clientes no mesmo servidor. A exploração ativa foi confirmada em maio de 2026.
9
Um overflow de inteiro em múltiplos componentes do Android permite escalada local de privilégios sem necessidade de permissões adicionais ou interação do usuário. Dispositivos Android sem o patch recente estão vulneráveis a aplicativos maliciosos que exploram essa falha para obter controle total do sistema.
10
A falha no CLI do Cisco Catalyst SD-WAN Controller (incluindo Manager e Validator) permite que um atacante autenticado localmente execute comandos arbitrários como root ao fornecer um arquivo especialmente criado. Embora exija acesso local autenticado, o impacto em infraestrutura crítica de SD-WAN justifica priorização imediata do patch.
Recomendação do dia: Aplique imediatamente os patches disponíveis para Joomla JCE, Splunk Enterprise e Oracle PeopleSoft, priorizando sistemas expostos à internet; em paralelo, revise controles de acesso em gateways VPN Quantum e atualize instâncias do Chrome e Android para eliminar vetores de exploração remota. Ambientes Magento com o plugin Mirasvit e servidores de hospedagem com LiteSpeed cPanel devem ser verificados com urgência.
Diante de dez falhas confirmadas em exploração ativa abrangendo categorias tão distintas — de CMSs e navegadores a VPNs e infraestrutura SD-WAN — é essencial validar continuamente quais desses vetores estão presentes e expostos na sua própria superfície de ataque antes que os atacantes o façam.Antes que um atacante encontre, encontre primeiro: faça uma avaliação inicial de exposição sem custo e veja se sua infraestrutura está vulnerável a falhas como estas.Conheça o Agente de Pentest Autônomo com IA →