Falhas críticas permitem execução remota de código

Foram divulgados patches críticos para corrigir três vulnerabilidades graves que afetam uma plataforma de gestão centralizada on-premises amplamente utilizada em ambientes empresariais. As falhas podem ser exploradas remotamente por atacantes não autenticados, permitindo execução de código ou ataques de negação de serviço.

A vulnerabilidade mais severa, identificada como CVE-2025-69258, apresenta uma pontuação CVSS de 9,8 e está associada a um problema do tipo LoadLibraryEX. Um atacante remoto pode carregar ficheiros DLL maliciosos em executáveis críticos, possibilitando a execução de código com privilégios de SYSTEM, sem necessidade de interação do utilizador.

As outras duas falhas, CVE-2025-69259 e CVE-2025-69260, têm um CVSS de 7,5 e resultam de tratamento inadequado de mensagens. Estas vulnerabilidades podem ser exploradas para provocar condições de denial-of-service (DoS), o que afeta a disponibilidade dos sistemas vulneráveis.

Nenhuma das vulnerabilidades requer autenticação para exploração, o que aumenta significativamente o risco em ambientes expostos à rede. Os problemas afetam versões da plataforma on-premises anteriores ao Build 7190, em sistemas Windows.

Para mitigar os riscos, foi disponibilizado o Critical Patch Build 7190, que corrige todas as falhas identificadas. A atualização encontra-se disponível nos canais oficiais do fabricante, acompanhada de notas técnicas para apoiar a implementação.

É recomendada a aplicação imediata do patch, bem como a revisão das políticas de acesso remoto a sistemas críticos. Medidas adicionais incluem a restrição do acesso de rede às instâncias afetadas e o reforço dos controlos de autenticação e da segurança perimetral.