Boletim diário · 25 de junho de 2026

Dia crítico: CVSS 10 em Apache Kvrocks, Flowise e WordPress ameaçam execução remota de código

Resumo automatizado Vexday · fontes: NVD, CISA KEV, EPSS

O dia 25 de junho de 2026 registrou 434 novas vulnerabilidades, com 21 classificadas como críticas — nenhuma ainda com exploração ativa confirmada (KEV), mas o cenário exige atenção imediata. Três CVEs com pontuação máxima CVSS 10.0 foram divulgados, atingindo o banco de dados Apache Kvrocks, a plataforma de automação Flowise e o plugin WordPress OMGF Pro. O acumulado de falhas críticas em Flowise — quatro CVEs em um único dia — representa o destaque mais preocupante do período.

Resumo do dia
  • Três vulnerabilidades com CVSS 10.0 publicadas hoje: Apache Kvrocks, Flowise e OMGF Pro (WordPress).
  • Flowise concentra quatro CVEs críticos simultâneos, incluindo RCE não autenticado, path traversal e upload arbitrário de arquivos.
  • Dell Wyse Management Suite, ToolJet e Widget Options também recebem correções urgentes por falhas de execução remota de código.
  • Nenhuma exploração ativa confirmada (KEV) no dia, mas o alto volume crítico eleva o risco de exploração em breve.
434 novas21 críticas0 em exploração ativa
Destaques críticos
1
CVE-2026-46752CVSS 10afeta Apache Kvrocks
Heap overflow na biblioteca cjson do Apache Kvrocks afeta todas as versões entre 2.0.4 e 2.15.0, com CVSS 10.0. Um atacante pode explorar a falha via comandos Lua/Redis para corromper memória e potencialmente executar código arbitrário no servidor de banco de dados.
2
CVE-2025-71338CVSS 10afeta Flowise
Path traversal no endpoint de processamento de documentos do Flowise permite que atacantes não autenticados gravem arquivos arbitrários no sistema de arquivos, incluindo a sobrescrita de package.json para acionar execução remota de código na próxima reinicialização da aplicação. CVSS 10.0 e sem necessidade de credenciais tornam esta falha extremamente perigosa.
3
CVE-2026-57700CVSS 10afeta OMGF Pro
O plugin WordPress OMGF Pro (até a versão 5.2.6) permite upload irrestrito de arquivos com tipos perigosos, possibilitando que atacantes publiquem scripts maliciosos no servidor. Com CVSS 10.0, qualquer instalação desatualizada representa risco imediato de comprometimento completo do site.
4
CVE-2026-54823CVSS 9.9afeta Widget Options
O plugin Widget Options para WordPress (até 4.2.3) permite que usuários com papel de Contributor executem código remoto no servidor. A falha é especialmente crítica em sites que permitem cadastro público, onde o atacante pode obter a permissão mínima necessária para exploração.
5
CVE-2026-41120CVSS 9.8afeta Wyse Management Suite
O Dell Wyse Management Suite (anterior à versão 5.5 HF1) aceita dados não confiáveis misturados a dados confiáveis, permitindo que um atacante com acesso remoto e baixos privilégios alcance execução remota de código. Ambientes corporativos com gerenciamento centralizado de endpoints thin client devem priorizar a atualização.
6
CVE-2026-41566CVSS 9.4afeta Apache Kvrocks
Falha de tratamento inadequado de permissões no Apache Kvrocks 2.8.0 pode ser explorada para escalonamento de privilégios ou acesso indevido a recursos protegidos. Embora de alcance mais restrito que o heap overflow companheiro, o CVSS 9.4 justifica atualização imediata para a versão 2.16.0.
7
CVE-2026-55413CVSS 9.4afeta ToolJet
No ToolJet (antes da versão 3.20.178-lts), qualquer usuário autenticado com papel de Builder pode substituir plugins de marketplace compartilhados por JavaScript malicioso executado no servidor com acesso irrestrito ao Node.js. O código é acionado para todos os usuários da plataforma, tornando o impacto potencialmente global dentro da organização.
8
CVE-2025-71336CVSS 9.3afeta Flowise
O recurso Custom MCP do Flowise (até a versão 2.2.7-patch.1) executa comandos do sistema operacional sem sandbox e sem controle de acesso baseado em papéis. Em instalações sem autenticação habilitada — que é o padrão — qualquer pessoa com acesso à rede pode acionar execução de comandos arbitrários no servidor.
9
CVE-2025-71334CVSS 9.3afeta Flowise
Path traversal nos parâmetros chatflowId e chatId do Flowise (até 2.2.8) permite que atacantes não autenticados leiam arquivos arbitrários do servidor via endpoint de chatflows. Dados sensíveis de configuração, credenciais e arquivos internos podem ser exfiltrados sem qualquer autenticação.
10
CVE-2025-71333CVSS 9.3afeta Flowise
Upload arbitrário de arquivos não autenticado no endpoint /api/v1/attachments do Flowise (até 2.2.4) em instalações com armazenamento local permite que atacantes publiquem webshells ou outros payloads em diretórios arbitrários do servidor, abrindo caminho direto para comprometimento total do host.
Recomendação do dia: Atualize imediatamente o Apache Kvrocks para 2.16.0, o Flowise para 3.0.6 ou superior, e aplique os patches disponíveis para Dell Wyse Management Suite (5.5 HF1), ToolJet (3.20.178-lts), Widget Options e OMGF Pro. Priorize o isolamento de rede de interfaces administrativas expostas publicamente enquanto os patches não forem aplicados.
Diante de tantas falhas críticas publicadas simultaneamente em plataformas amplamente utilizadas, é essencial mapear sua superfície de ataque e validar ativamente quais desses componentes estão presentes em seu ambiente antes que agentes maliciosos o façam primeiro.Cada CVE acima é uma porta possível — descubra quais estão abertas no seu ambiente com um diagnóstico gratuito de superfície de ataque.Conheça o Agente de Pentest Autônomo com IA →
Boletins anteriores
25 de junho de 2026Dia crítico: CVSS 10 em Apache Kvrocks, Flowise e WordPress ameaçam execução remota de código24 de junho de 2026Dez vulnerabilidades em exploração ativa dominam o radar: de Joomla a Splunk, passando por Android e Cisco SD-WAN23 de junho de 2026FOSSBilling com falha CVSS 10 lidera dia de múltiplas críticas em sistemas de billing, roteadores e ferramentas open sourcever arquivo completo →