CISA alerta para vulnerabilidades exploradas na Apple e Microsoft

A CISA adicionou esta semana vulnerabilidades recentemente divulgadas pela Microsoft e pela Kentico à sua lista de vulnerabilidades exploradas conhecidas. A agência também adicionou uma vulnerabilidade de 2022 em produtos Apple à mesma lista.

A falha no Windows SMB Client (CVE-2025-33073) tem uma severidade de 8.8 e foi corrigida em junho. Na altura, a Microsoft alertou para a existência de um código de exploração de proof-of-concept. A vulnerabilidade é explorável através da rede e é descrita como um problema no controlo de acesso que pode permitir a um atacante autenticado elevar os seus privilégios no System.

Para além da vulnerabilidade do Windows, a CISA adicionou, também, duas vulnerabilidades em produtos da Kentico que impactam o Staging Sync Server (CVE-2025-2746 e CVE-2025-2747, com impacto de 9.6) e podem permitir que um atacante possa controlar objetos administrativos. Estas vulnerabilidades ficaram corrigidas nas versões 13.0.173 e 13.0.178 do Xperience.

Também esta semana, a CISA adicionou uma vulnerabilidade de 2022 à mesma lista. Trata-se de um problema de execução de código arbitrário em produtos Apple (CVE-2022-48503, severidade de 8.8) que tem sido explorado por atacantes. Esta falha foi corrigida em julho de 2022 na componente JavaScriptCore no MacOS Monterey 12.5, iOS 15.6, iPadOS 15.6, Safari 15.6, tvOS 15.6 e watchOS 8.7.