Mercado Digital

CISA inclui brechas no Gladinet e no Control Web Panel em catálogo de vulnerabilidades ativamente exploradas

vendasmulti351@gmail.com
vendasmulti351@gmail.com
3 Leitura mínima

A Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos (CISA) acrescentou nesta terça-feira, 11 de novembro de 2025, duas novas falhas ao Known Exploited Vulnerabilities (KEV), lista que reúne vulnerabilidades já exploradas em ataques.

Índice de Conteúdo

Quais são as falhas

CVE-2025-11371 (pontuação CVSS 7,5) – brecha em Gladinet CentreStack e Triofox que deixa arquivos ou diretórios acessíveis a terceiros, possibilitando exposição não autorizada de dados do sistema.

CVE-2025-48703 (pontuação CVSS 9,0) – falha de injeção de comandos no sistema operacional do Control Web Panel (antes CentOS Web Panel); permite execução remota de código sem autenticação por meio do parâmetro t_total em requisições filemanager changePerm.

Exploração em andamento

Segundo a empresa Huntress, agentes desconhecidos já usam a CVE-2025-11371 para executar comandos de reconhecimento – como ipconfig /all – enviados em payloads codificados em Base64.

Para a CVE-2025-48703 ainda não há relatos públicos de ataques, mas o pesquisador Maxime Rinaudo detalhou a falha em junho de 2025, logo após a correção na versão 0.9.8.1205 do CWP. De acordo com ele, basta que o invasor conheça um nome de usuário válido para executar comandos arbitrários no servidor antes do login.

Prazo para correção

Órgãos federais do poder executivo dos EUA devem aplicar os patches até 25 de novembro de 2025 para proteger suas redes, conforme determinação da CISA.

CISA inclui brechas no Gladinet e no Control Web Panel em catálogo de vulnerabilidades ativamente exploradas - Imagem do artigo

Imagem: Internet

Outras falhas sob aviso

A inclusão das duas brechas no KEV ocorre após a Wordfence alertar sobre a exploração de vulnerabilidades críticas em três plugins e temas do WordPress:

  • CVE-2025-11533 (CVSS 9,8) – elevação de privilégio no WP Freeio que permite a invasores não autenticados obter privilégios de administrador ao definir o papel de usuário durante o registro.
  • CVE-2025-5397 (CVSS 9,8) – bypass de autenticação no tema Noo JobMonster que concede acesso a contas administrativas quando o login social está habilitado.
  • CVE-2025-11833 (CVSS 9,8) – ausência de checagem de autorização no Post SMTP, possibilitando visualizar logs de e-mail e redefinir senhas de qualquer usuário, inclusive administradores.

A Wordfence recomenda atualizar imediatamente esses componentes, usar senhas fortes e revisar os sites em busca de indícios de malware ou contas desconhecidas.

Com informações de The Hacker News

CISA inclui cinco falhas exploradas em catálogo; Oracle e Microsoft estão na lista
GitHub lança registro unificado para instalação e gestão de servidores MCP
Webinar gratuito ensina como acelerar a adoção de IA com segurança
Especialistas defendem troca de senhas complexas por frases-senha longas
Plataforma open source Wazuh ganha destaque em defesa contra ataques de ransomware
Compartilhe este artigo
Artigo anterior Apple deve apresentar chip M5 Ultra no Mac Studio em 2026
Próximo Artigo GitHub destaca atuação de Kyle, atual diretor de operações

Esteja Conectado

HTV9 Dispositivo Multimídia Inteligente

Últimas Notícias

Coca-Cola recorre à inteligência artificial novamente para comercial de Natal de 2025
Universo Tech
Neuralink sinaliza integração de chips cerebrais a robôs humanoides em futuro próximo
Universo Tech
Combo de TV Samsung Vision AI 43” QLED 4K e soundbar sai por menos de R$ 2.000 na Amazon
Hardware e Periféricos
GitHub divulga vencedores do Partner Award 2025
Cadeiras Custo-Benefício

Você também pode gostar