Threats
A CISA adicionou novas vulnerabilidades exploradas ao catálogo KEV. Falhas em Windows e Adobe permitem escalada de privilégios e execução de código
15/04/2026
|
A Cybersecurity and Infrastructure Security Agency (CISA) atualizou o seu catálogo Known Exploited Vulnerabilities (KEV), adicionando sete vulnerabilidades, incluindo falhas em sistemas Windows e no Adobe Acrobat e Reader. Entre as vulnerabilidades destacam-se duas falhas em Windows. A CVE-2023-36424 afeta o Common Log File System e pode permitir escalada de privilégios. Já a CVE-2025-60710 envolve um problema de link-following no processo de tarefas do Windows, igualmente explorável para obter privilégios elevados. Ambas as vulnerabilidades já tinham correções disponíveis (em novembro de 2023 e novembro de 2025, respetivamente) tendo sido posteriormente divulgados detalhes técnicos e código de prova de conceito (PoC). A lista inclui também a CVE-2020-9715, uma falha use-after-free no Adobe Acrobat e Reader que permite execução remota de código. Apesar de ter sido corrigida em 2020, continua a ser relevante devido à disponibilidade pública de exploits. Entre os casos mais recentes, a CISA destaca a CVE-2026-34621, uma vulnerabilidade zero-day no Adobe Acrobat e Reader, e a CVE-2026-21643, que afeta o Fortinet FortiClient EMS. Ambas permitem execução arbitrária de código e já foram exploradas em ataques. Foi ainda adicionada a CVE-2023-21529, uma vulnerabilidade no Microsoft Exchange recentemente associada a atividades do grupo de ransomware Medusa, segundo informações divulgadas pela Microsoft. Outro caso relevante é a CVE-2012-1854, uma falha antiga no Microsoft Visual Basic for Applications relacionada com carregamento inseguro de bibliotecas, que permite execução remota de código e já tinha sido explorada como zero-day. A CISA recomenda que as agências federais apliquem as correções num prazo máximo de duas semanas, com exceção da vulnerabilidade da Fortinet, que deverá ser mitigada até 16 de abril. A atualização do catálogo KEV reforça a importância da gestão contínua de vulnerabilidades, especialmente em ambientes empresariais, onde falhas antigas continuam a ser exploradas juntamente com novas vulnerabilidades para maximizar o impacto dos ataques. |
Receba todas as novidades na sua caixa de correio!
COMPLIANCE
CNCS lança simulador para ajudar a avaliar enquadramento no novo regime
COMPLIANCE
NIS2: Licença para atuar
EXPERT
Na cibersegurança, o exemplo também vem de cima
NEWS
CIIWA lança curso prático que ajuda empresas a implementar NIS2
S.LABS
4 considerações de segurança à medida que a utilização da IA se expande pelas equipas
THREATS
OpenSSL corrige falha de fuga de dados
THREATS
Falha crítica explorada para roubo de credenciais
THREATS
Ataques à cadeia de valor lideram ameaças
THREATS
Medusa explora falhas em horas para ataques
THREATS
Comissão Europeia confirma ataque à supply chain
