Vulnerabilidade na extensão JCE editor para Joomla CVE-2026-48907/EUVD-2026-34789 que permite a criação de novos perfis de editor por utilizadores não autenticados. Após a exploração desta vulnerabilidade é possível realizar o upload de código PHP arbitrário, resultando no possível comprometimento total do servidor [1]. Esta foi adicionada ao catálogo Known Exploited Vulnerabilities (KEV) da CISA [2].

A exploração permite a um atacante remoto não autenticado obter execução de código PHP arbitrário com os privilégios do servidor web, sem qualquer conta no site. Resulta do encadeamento de controlo de autorização em falta, validação de ficheiros insuficiente e desativação dos controlos de upload no fluxo de importação de perfis do editor, permitindo upload e execução de PHP. Classificação CVSS v4 de 10.0 (Crítica).

O acesso obtido é limitado ao contexto do servidor web; não confere privilégios de root. Constitui, no entanto, o ponto de entrada típico para encadeamento com uma vulnerabilidade de escalada de privilégios local (e.g. CVE-2026-31431 / "Copy Fail"), levando ao comprometimento total do sistema.

Vulnerabilidade sob exploração ativa, adicionada à KEV da CISA [2], com exploit público e campanhas de scanning automatizado em curso. Afeta as versões 1.0.0 a 2.9.99.4 da extensão JCE.

• Atualizar imediatamente a extensão JCE para a versão 2.9.99.6 (a 2.9.99.5 corrige a falha; a 2.9.99.6 inclui reforço adicional).
• Dado o estado de exploração ativa, procurar indicadores de comprometimento anteriores ao patch:
  
  • Ficheiros PHP não reconhecidos em /tmp e diretórios de upload
  • Pedidos anómalos aos endpoints de gestão de perfis nos logs do servidor web.
    
    
    

[1]	https://nvd.nist.gov/vuln/detail/CVE-2026-48907
[2]	https://www.cisa.gov/known-exploited-vulnerabilities-catalog
[3]	https://euvd.enisa.europa.eu/vulnerability/EUVD-2026-34789

Foi identificada uma campanha ativa, associada credenciais comprometidas e designada publicamente por FortiBleed, dirigida a firewalls e gateways VPN SSL Fortinet (FortiGate) expostos à Internet [1][2]. Segundo, o fabricante Fortinet, os dados resultam da reutilização de informação de incidentes anteriores e de ataques de força bruta de credenciais, não estando associados a qualquer alerta de segurança recente [3]. Não existe CVE associado.

A origem das credenciais inclui a reutilização de fugas anteriores, ataques de credential stuffing e password spraying contra interfaces de gestão e de VPN, e a exfiltração de ficheiros de configuração [2][4].

É possível consultar o seguinte website para avaliar se poderá ter sido afetado: FortiBleed Checker da Hudson Rock

A posse de credenciais válidas permite a um atacante autenticar-se diretamente nas interfaces de gestão ou de VPN, obtendo acesso administrativo ou acesso remoto à rede interna sem a necessidade de explorar qualquer vulnerabilidade. As organizações cujos equipamentos constem do conjunto de dados devem considerar o risco de interceção de tráfego, recolha de credenciais adicionais, movimento lateral e persistência [1]. 
Recomenda-se às entidades que possam ter sido afetadas [1][5][6]:

• Alterar todas as credenciais administrativas e de VPN, em particular as não alteradas há vários meses;
• Ativar autenticação multifator (MFA) em, pelo menos, contas administrativas e de acesso remoto;
• Remover as interfaces de gestão da exposição direta à Internet, restringindo o acesso a redes de confiança;
• Rever os logs de autenticação e de VPN de forma a identificar de acessos não expectáveis;
• Manter o firmware atualizado;
• Alterar as credenciais de contas de serviço AD/LDAP armazenadas nas configurações dos equipamentos;
• Verificar a configuração e o estado de atualização do FortiCloud SSO, dada a exploração ativa de vulnerabilidades (CVE-2025-59718, CVE-2025-59719 e CVE-2026-24858) [6];
• Efetuar uma avaliação de comprometimento às estações de administração e aos endpoints de acesso VPN, em particular onde existam credenciais guardadas no FortiClient ou no browser, procurando indícios de infostealer antes de proceder à rotação de credenciais.

[1] - https://socradar.io/blog/fortibleed-fortinet-firewalls-compromised/
[2] - https://www.hudsonrock.com/blog/fortibleed-75000-fortinet-firewalls-compromised-global-enterprises-exposed-claim-your-ethical-disclosure
[3] - https://techcrunch.com/2026/06/17/cybercriminals-allegedly-hacked-tens-of-thousands-of-fortinet-firewalls-used-by-major-companies-all-over-the-world/
[4] - https://doublepulsar.com/fortibleed-75k-fortinet-firewalls-have-admin-passwords-cracked-60299faa65f8
[5] - https://docs.fortinet.com/document/fortigate/6.4.0/hardening-your-fortigate/582009/system-administrator-best-practices
[6] - https://www.cisa.gov/news-events/alerts/2026/01/28/fortinet-releases-guidance-address-ongoing-exploitation-authentication-bypass-vulnerability-cve-2026

Foi identificada uma vulnerabilidade, identificada como CVE-2026-50751/EUVD-2026-35047, que permite o contorno da autenticação no processo de validação de certificados associado ao protocolo de troca de chaves IKEv1, que afeta as soluções Remote Access VPN e Mobile Access / SSL VPN da Check Point, bem como os equipamentos Spark Firewall [1][2][3][4].

São afetadas as seguintes versões, quando configuradas para utilizar o IKEv1 [1]:

• R80.20.X (EOS), R80.40 (EOS), R81 (EOS), R81.10 (EOS)
• R81.10.X, R81.20
• R82, R82.00.X, R82.10

Um atacante remoto não autenticado pode explorar a lógica de validação de certificados no IKEv1 para estabelecer uma sessão de VPN de acesso remoto sem possuir uma palavra-passe válida, contornando assim os requisitos de autenticação [1][2]. O acesso a recursos internos ou a escalada de privilégios exige atividade adicional pós-autenticação.

A vulnerabilidade encontra-se a ser explorada ativamente. Recomenda-se a aplicação imediata da atualizações disponibilizadas pela Check Point conforme as instruções do artigo de suporte sk185033 [1][2].

Como medidas adicionais:

• Sempre que possível, desativar o protocolo IKEv1 e impor a utilização exclusiva de IKEv2 nas configurações de acesso remoto;
• Realizar análise forense aos logs e revisão das configurações atuais;
• Verificar os IoCs publicados pelo fabricante e monitorizar ligações VPN não expectáveis [1].

[1] - https://blog.checkpoint.com/security/check-point-releases-important-hotfix-for-vulnerabilities-in-deprecated-ikev1-vpn-protocol/
[2] - https://support.checkpoint.com/results/sk/sk185033
[3] - https://nvd.nist.gov/vuln/detail/CVE-2026-50751
[4] - https://euvd.enisa.europa.eu/vulnerability/EUVD-2026-35047

Foi identificada uma vulnerabilidade, CVE-2026-20223/EUVD-2026-31131, de validação e autenticação insuficientes nos endpoints internos da REST API do Cisco Secure Workload. O problema afeta o software Cisco Secure Workload Cluster, tanto em implementações locais como SaaS. [1][2] 

A exploração remota desta vulnerabilidade permite a um atacante não autenticado aceder a recursos da plataforma com os privilégios totais da função de Administrador do site. Isto permite a leitura de informação sensível e a alteração arbitrária de configurações através das fronteiras lógicas dos tenants. [3] 
Recomenda-se a atualização imediata das versões vulneráveis para as versões corrigidas indicadas pela Cisco [3]. 

[1] - https://nvd.nist.gov/vuln/detail/CVE-2026-20223 
[2] - https://euvd.enisa.europa.eu/vulnerability/EUVD-2026-31131 
[3] - https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-csw-pnbsa-g8WEnuy

Foi identificada uma vulnerabilidade de elevação de privilégios localmente, com o identificador CVE-2026-41091/EUVD-2026-31101, no Microsoft Defender Antimalware [1][2]. O Microsoft Defender, ao remover um ficheiro malicioso, não verifica corretamente a localização de destino da operação, permitindo que esta seja redirecionada para ficheiros críticos do sistema com permissões máximas.

Última versão afetada por esta vulnerabilidade: 1.1.26030.3008
Primeira versão com a vulnerabilidade corrigida: 1.1.26040.8

Um atacante com acesso prévio (mesmo com baixos privilégios) à máquina pode elevação dos privilégios para "SYSTEM", conferindo domínio completo sobre o sistema operativo e as informações lá presentes [3]. A vulnerabilidade encontra-se sob exploração ativa.
Recomenda-se à atualização imediata para a versão 1.1.26040.8 ou superior. Os sistemas com o Microsoft Defender desativado não são vulneráveis, mesmo que os ficheiros da solução permaneçam presentes no disco [3].

[1] - https://nvd.nist.gov/vuln/detail/CVE-2026-41091
[2] - https://euvd.enisa.europa.eu/vulnerability/CVE-2026-41091
[3] - https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-41091

Foi identificada uma vulnerabilidade crítica de controlo de autorizações incorreto, identificada como CVE-2026-26083/EUVD-2026-29550, que afeta os sistemas [1][2][3]:

• FortiSandbox (on-premises): As versões 5.0.0 a 5.0.1 devem ser atualizadas para a versão 5.0.2 ou superior. As versões 4.4.0 a 4.4.8 devem ser atualizadas para a versão 4.4.9 ou superior.
• FortiSandbox Cloud: A versão Cloud 5.0, nas releases 5.0.2 a 5.0.5, deve ser atualizada para a 5.0.6 ou superior. As versões Cloud 24 e Cloud 23, em todas as suas releases, não têm correção disponível e devem ser migradas para uma versão corrigida.
• FortiSandbox PaaS: A versão PaaS 5.0 nas releases 5.0.0 a 5.0.1 deve ser atualizada para a 5.0.2 ou superior. A versão PaaS 4.4 nas releases 4.4.5 a 4.4.8 deve ser atualizada para a 4.4.9 ou superior. As versões PaaS 23.4, 23.3, 23.1, 22.2, 22.1, 21.4 e 21.3, em todas as suas versões, devem ser migradas  para uma versão corrigida, uma vez que não existe correção disponível para estas versões.

Esta vulnerabilidade pode ser explorada por atacantes remotos e não autenticados, permitindo contornar os mecanismos de acesso do sistema base. Consequentemente, poderá ser possível a injeção e execução  de comandos arbitrários ou código malicioso sobre o sistema visado [3].
Recomenda-se a aplicação das correções lançadas pela Fortinet nas instâncias aplicáveis [3].

[1] - https://nvd.nist.gov/vuln/detail/CVE-2026-26083
[2] - https://euvd.enisa.europa.eu/vulnerability/CVE-2026-26083
[3] - https://fortiguard.com/psirt/FG-IR-26-136

Foi identificada uma vulnerabilidade, identificada como CVE-2026-44277/EUVD-2026-29729,  caracterizada por acesso indevido (Improper Access Control) identificada na API do Fortinet FortiAuthenticator, que afeta as versões 8.0, 6.6 e 6.5 [1][2][3]. O FortiAuthenticator Cloud não é afetado por esta anomalia.
Através desta vulnerabilidade, um atacante remoto e sem autenticação poderá enviar pedidos web especialmente manipulados, permitindo assim a execução de código (RCE) ou comandos de administração através da API [3]. 
Recomenda-se a atualização imediata para as versões seguras: FortiAuthenticator 8.0.3, 6.6.9 ou 6.5.7. Na impossibilidade de executar a melhoria de firmware a curto prazo, deve-se desativar o acesso à API em interfaces públicas [3].

[1] - https://nvd.nist.gov/vuln/detail/CVE-2026-44277
[2] - https://euvd.enisa.europa.eu/vulnerability/CVE-2026-44277
[3] - https://www.fortiguard.com/psirt/FG-IR-26-128

Foi identificada uma vulnerabilidade crítica, com o identificador CVE-2026-42945/EUVD-2026-30010 , que afeta os servidores web NGINX Open Source (versões 0.6.27 a 1.30.0), NGINX Plus (R32 P6 a R36 P4) e diversos produtos F5 subjacentes. Esta vulnerabilidade caracteriza-se por um heap buffer overflow presente no módulo de configuração ngx_http_rewrite_module [1][2][3]. Através do envio de pedidos HTTP especificamente manipulados contendo padrões anómalos de regex, um atacante remoto e não autenticado pode explorar esta vulnerabilidade [1]. A consequência imediata desta corrupção de memória é a interrupção do processo e consequente Negação de Serviço (DoS). No entanto, o impacto agrava-se substancialmente se o sistema operativo servidor tiver a funcionalidade ASLR desativada, condição que abre caminho para Execução Remota de Código (RCE) [3].
Recomenda-se a atualização imediata dos componentes vulneráveis para as versões corrigidas indicadas pela F5 Networks [3].

[1] - https://nvd.nist.gov/vuln/detail/CVE-2026-42945
[2] - https://euvd.enisa.europa.eu/vulnerability/CVE-2026-42945
[3] - https://my.f5.com/manage/s/article/K000161019

Vulnerabilidade crítica, identificada como CVE-2026-0300/EUVD-2026-27879, de buffer overflow (CWE-787) no serviço User-ID Authentication Portal (Captive Portal) do software PAN-OS da Palo Alto Networks [1][2].

Esta vulnerabilidade pode permitir a execução remota de código arbitrário com privilégios root através do envio de pacotes especialmente manipulados [1].

A vulnerabilidade afeta dispositivos PA-Series e VM-Series que tenham o serviço User-ID Authentication Portal ativo e acessível a partir de redes não confiáveis ou da Internet [1][2].

As seguintes versões encontram-se afetadas [3]:

• PAN-OS 12.1 - versões anteriores a 12.1.4-h5 e 12.1.7;
• PAN-OS 11.2 - versões anteriores a 11.2.4-h17, 11.2.7-h13, 11.2.10-h6 e 11.2.12;
• PAN-OS 11.1 - versões anteriores a 11.1.4-h33, 11.1.6-h32, 11.1.7-h6, 11.1.10-h25, 11.1.13-h5 e 11.1.15;
• PAN-OS 10.2 - versões anteriores a 10.2.7-h34, 10.2.10-h36, 10.2.13-h21, 10.2.16-h7 e 10.2.18-h6.

Os produtos Prisma Access, Cloud NGFW e Panorama não são afetados por esta vulnerabilidade [3].
A exploração bem-sucedida da vulnerabilidade pode permitir que um atacante não autenticado execute código arbitrário com privilégios root nos dispositivos afetados [3].

Segundo o fabricante, já foram observados casos de exploração ativa desta vulnerabilidade em equipamentos expostos diretamente à Internet [3].

Um atacante poderá explorar esta vulnerabilidade através do envio de pacotes especialmente manipulados para o serviço User-ID Authentication Portal, podendo resultar em [3]:

• Comprometimento total do equipamento afetado;
• Execução remota de código;
• Escalada de privilégios para nível root;
• Interrupção de serviços;
• Comprometimento da confidencialidade, integridade e disponibilidade da infraestrutura de rede.

A Palo Alto Networks disponibilizou atualizações de segurança que corrigem esta vulnerabilidade. Recomenda-se a atualização imediata do PAN-OS para as versões corrigidas indicadas no aviso oficial do fabricante [3]

Enquanto não for possível aplicar as atualizações de segurança, devem ser implementadas as seguintes medidas de mitigação [3]:

• Restringir o acesso ao User-ID Authentication Portal apenas a redes internas confiáveis;
• Bloquear o acesso ao serviço a partir da Internet;
• Desativar o User-ID Authentication Portal caso não seja estritamente necessário;
• Rever regras de firewall e listas de controlo de acesso (ACLs);
• Monitorizar eventos e registos associados ao serviço para deteção de atividades suspeitas;
• Garantir que interfaces de administração e autenticação não se encontram expostas publicamente.

Adicionalmente, recomenda-se a monitorização reforçada de dispositivos expostos a redes não confiáveis ou à Internet.

[1] - https://nvd.nist.gov/vuln/detail/CVE-2026-0300
[2] - https://euvd.enisa.europa.eu/vulnerability/CVE-2026-0300
[3] - https://security.paloaltonetworks.com/CVE-2026-0300

Foi identificada uma vulnerabilidade crítica, identificada como CVE-2026-20182/EUVD-2026-30324 de bypass de autenticação nos produtos Cisco Catalyst SD-WAN Controller (anteriormente SD-WAN vSmart) e no Cisco Catalyst SD-WAN Manager (anteriormente SD-WAN vManage) [1][2][3]. 

A vulnerabilidade afeta estes produtos independentemente da sua configuração, em todos os modelos de implementação: on-premises, Cloud-Pro, Cloud gerida pela Cisco e FedRAMP [3]

As versões afetadas e as primeiras versões corrigidas são as seguintes [1][4]:

• Versões anteriores a 20.9 - migrar para uma versão suportada;
• Versão 20.9 - corrigida na 20.9.9.1;
• Versões 20.10 e 20.11 - corrigidas na 20.12.7.1;
• Versão 20.12 - corrigida nas 20.12.5.4, 20.12.6.2 ou 20.12.7.1;
• Versões 20.13 e 20.14 - corrigidas na 20.15.5.2;
• Versão 20.15 - corrigida nas 20.15.4.4 ou 20.15.5.2;
• Versão 20.16 - corrigida na 20.18.2.2;
• Versão 20.18 - corrigida na 20.18.2.2;
• Versão 26.1 - corrigida na 26.1.1.1.

Existem indícios de exploração ativa da vulnerabilidade.
A exploração bem-sucedida da vulnerabilidade pode permitir que um atacante remoto não autenticado contorne os mecanismos de autenticação e obtenha acesso administrativo aos sistemas afetados.

Um atacante poderá comprometer a infraestrutura SD-WAN, alterar configurações, modificar políticas de rede e comprometer a disponibilidade e integridade das comunicações da organização. A Cisco disponibilizou atualizações de segurança para mitigar a vulnerabilidade, recomendando a sua aplicação com caráter prioritário. Recomenda-se realizar os procedimentos mencionados pelo fabricante [3][4].

Adicionalmente, recomenda-se:

• Restringir o acesso às interfaces de gestão apenas a redes autorizadas;
• Monitorizar atividades suspeitas e tentativas de autenticação anómalas;
• Rever acessos administrativos e configurações SD-WAN;
• Implementar segmentação de rede e mecanismos adicionais de controlo de acesso.

[1] - https://nvd.nist.gov/vuln/detail/CVE-2026-20182
[2] - https://euvd.enisa.europa.eu/vulnerability/CVE-2026-20182
[3] - https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-rpa2-v69WY2SW
[4] - https://www.cisco.com/c/en/us/support/docs/routers/sd-wan/225842-remediate-catalyst-sd-wan-security.html

Vulnerabilidade de elevação de privilégios local (LPE) CVE-2026-31431, conhecida como “Copy Fail”, no módulo algif_aead do kernel Linux, divulgada publicamente a 29 de abril de 2026 [1]. A vulnerabilidade afeta praticamente todas as distribuições Linux mainstream com kernels compilados desde 2017 e foi adicionada ao catálogo Known Exploited Vulnerabilities (KEV) da CISA [2].

A vulnerabilidade é explorável de forma determinística (sem race condition nem dependência de offsets do kernel) e foi demonstrada num PoC público de 732 bytes em Python que funciona sem alterações em todas as distribuições verificadas [1].

Todas as distribuições Linux mainstream que distribuam kernels compilados entre 2017 e a disponibilização do patch upstream. Distribuições verificadas por investigadores [1]:

• Ubuntu 24.04 LTS (kernel 6.17.0-1007-aws)
• Amazon Linux 2023 (kernel 6.18.8-9.213.amzn2023)
• RHEL 10.1 (kernel 6.12.0-124.45.1.el10_1)
• SUSE Linux Enterprise 16 (kernel 6.12.0-160000.9-default)

Outras distribuições afetadas implicitamente: Debian, Fedora, Arch Linux, Rocky Linux, AlmaLinux, Oracle Linux, e distribuições embedded baseadas em kernels na janela 2017–patch. Ubuntu 26.04 (Resolute) e kernels mais recentes não são afetados [5].

Quando explorada com sucesso, a vulnerabilidade permite a um utilizador local não privilegiado escalar privilégios para root. O impacto agrava-se em sistemas que executem código de terceiros (contentores, agentes de CI/CD, plataformas SaaS partilhadas):

• Clusters Kubernetes: a page cache é partilhada entre host e pods, pelo que uma escrita executada dentro de um contentor afeta o kernel do nó, permitindo container escape e comprometimento cross-tenant.
• Runners CI/CD (GitHub Actions self-hosted, GitLab Runners, Jenkins agents): código de PRs não confiáveis pode obter root no runner.
• Hosts multi-utilizador (jump hosts, build servers, shell-as-a-service).
• Plataformas SaaS que executam código de tenants (notebooks, sandboxes, funções serverless).

A vulnerabilidade não é remotamente explorável, no entanto constitui um passo natural de pós-exploração quando encadeada com qualquer vetor de execução de código local (RCE web, credenciais comprometidas, código malicioso em pipelines).

Recomenda-se aplicar a atualização do kernel disponibilizada pelo distribuidor logo que disponível.

Caso não seja possível atualizar imediatamente, recomenda-se aplicar a mitigação temporária, desativando o módulo algif_aead [3][4]:

echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif_aead.conf
rmmod algif_aead 2>/dev/null || true

Em contentores e fluxos de CI/CD que executem cargas de trabalho não confiáveis, recomenda-se adicionalmente bloquear a criação de sockets AF_ALG via política seccomp, independentemente do estado de atualização [4].

[1]	https://copy.fail/
[2]	https://www.cisa.gov/known-exploited-vulnerabilities-catalog
[3]	https://www.microsoft.com/en-us/security/blog/2026/05/01/...
[4]	https://cert.europa.eu/publications/security-advisories/2026-005/
[5]	https://ubuntu.com/blog/copy-fail-vulnerability-fixes-available
[6]	https://nvd.nist.gov/vuln/detail/CVE-2026-31431

Vulnerabilidade crítica CVE-2025-54236/EUVD-2025-27277 de validação incorreta de dados na API REST dos sistemas Adobe Commerce e do Magento Open Source, especificamente no endpoint "/customer/address_file/upload" [1][2][3].

A vulnerabilidade encontra-se presente no componente ServiceInputProcessor, que não valida corretamente os parâmetros fornecidos através da API REST, permitindo a deserialização de objetos PHP arbitrários [1][2].

As seguintes versões são afetadas [1]:

Adobe Commerce:

• 2.4.9-alpha2 e anteriores
• 2.4.8-p2 e anteriores
• 2.4.7-p7 e anteriores
• 2.4.6-p12 e anteriores
• 2.4.5-p14 e anteriores
• 2.4.4-p15 e anteriores

Adobe Commerce B2B:

• 1.5.3-alpha2 e anteriores
• 1.5.2-p2 e anteriores
• 1.4.2-p7 e anteriores
• 1.3.4-p14 e anteriores
• 1.3.3-p15 e anteriores

Magento Open Source:

• 2.4.9-alpha2 e anteriores
• 2.4.8-p2 e anteriores
• 2.4.7-p7 e anteriores
• 2.4.6-p12 e anteriores
• 2.4.5-p14 e anteriores

Quando explorada com sucesso, esta vulnerabilidade permite a um atacante remoto e sem autenticação obter a sessão de contas de clientes através da API REST.

Em determinadas condições (nomeadamente quando os dados de sessão são armazenados no sistema de ficheiros -  configuração adotada pela maioria das instalações), a exploração pode ainda conduzir à execução remota de código (RCE) sem interação do utilizador, podendo permitir o controlo total sobre o servidor [2][3][4].
Recomenda-se a aplicação imediata da atualização de segurança disponibilizada pela Adobe através do boletim APSB25-88 [1].

Medidas adicionais recomendadas [4]:

• Caso não seja possível atualizar imediatamente, implementar regras de Web Application Firewall (WAF) para mitigar tentativas de exploração;
• Rever os logs do servidor de forma a identificar pedidos POST anómalos ao endpoint "/customer/address_file/upload";
• Remover quaisquer ficheiros PHP não autorizados ou webshells eventualmente presentes no servidor;
• Proceder à rotação de credenciais administrativas e de clientes.

Nota:
A atualização APSB25-88 [1] corrige apenas o problema de deserialização insegura, não a possibilidade de fazer uploads arbitrários de ficheiros através da API REST - problema identificado separadamente. Não existe, à data, uma correção oficial para as versões de produção do Adobe Commerce e Magento Open Source para este problema específico. A correção está disponível apenas na versão pré-lançamento 2.4.9 [5]. Neste sentido, recomenda-se adicionalmente também [5]:

• Restringir o acesso público ao diretório pub/media/custom_options/ ao nível do servidor web, de forma a impedir que ficheiros aí presentes sejam executados;
• Implementar regras de WAF para bloquear os endpoints da API REST vulneráveis;
• Auditar o diretório "pub/media/custom_options/" de forma a identificar ficheiros suspeitos e removê-los.

[1] - https://helpx.adobe.com/security/products/magento/apsb25-88.html
[2] - https://nvd.nist.gov/vuln/detail/CVE-2025-54236
[3] - https://euvd.enisa.europa.eu/vulnerability/CVE-2025-54236
[4] - https://www.rescana.com/post/over-250-magento-and-adobe-commerce-stores-compromised-via-cve-2025-54236-sessionreaper-vulnerabilit
[5] - https://sansec.io/research/magento-polyshell

Foi identificada uma vulnerabilidade crítica de controlo de acesso inadequado, designada como CVE-2026-35616/EUVD-2026-18963, no componente API do Fortinet FortiClient Endpoint Management Server (EMS) que afeta as versões 7.4.5 e 7.4.6 [1][2].
Esta vulnerabilidade permite que um atacante remoto e não autenticado envie pedidos especialmente manipulados para executar comandos ou código não autorizado no sistema afetado [3].
Recomenda-se a atualização imediata para a versão 7.4.7 ou superior do FortiClient EMS [3].

Medidas adicionais recomendadas:
- Monitorizar logs para identificar pedidos suspeitos à API;
- Limitar exposição direta à Internet à interface web do FortiClient EMS, permitindo apenas redes de VPN/administração de confianç

[1] - https://nvd.nist.gov/vuln/detail/CVE-2026-35616
[2] - https://euvd.enisa.europa.eu/vulnerability/CVE-2026-35616
[3] - https://fortiguard.fortinet.com/psirt/FG-IR-26-099

Foi identificada uma vulnerabilidade crítica de Injeção de SQL (SQL Injection), designada como CVE-2026-21643/EUVD-2026-5681, no Fortinet FortiClient Endpoint Management Server (EMS) na versão 7.4.4 com multi-tenant ativo [1][2].
Esta vulnerabilidade permite que um atacante remoto e não autenticado envie pedidos HTTP especialmente manipulados para executar comandos ou código não autorizado no sistema afetado [3].
Recomenda-se à atualização imediata para a versão 7.4.5 ou superior do FortiClient EMS [3].

Medidas adicionais recomendadas:
- Monitorizar logs para identificar pedidos HTTP suspeitos (ex.: endpoints como /api/v1/init_consts);
- Limitar exposição direta à Internet à interface web do FortiClient EMS, permitindo apenas redes de VPN/administração de confiança

[1] - https://nvd.nist.gov/vuln/detail/CVE-2026-21643
[2] - https://euvd.enisa.europa.eu/vulnerability/CVE-2026-21643
[3] - https://fortiguard.fortinet.com/psirt/FG-IR-25-1142

Foi identificada uma vulnerabilidade crítica a ser explorada ativamente, designada como CVE-2026-20131/EUVD-2026-9444, no Cisco Secure Firewall Management Center (FMC) [1][2].
A falha deve-se à desserialização insegura de dados (fluxos de bytes Java) fornecidos pelo utilizador, permitindo que um atacante remoto explore o sistema através do envio de objetos Java serializados manipulados [3].

A vulnerabilidade afeta as seguintes versões [1][2]:

Versão	Versões Afetadas
6.4.x	Versões anteriores à 7.0.9
7.0.x	Versões anteriores à 7.0.9
7.1.x	Versões anteriores à 7.2.11
7.2.x	Versões anteriores à 7.2.5.1
7.3.x / 7.4.x	Versões anteriores à 7.4.6
7.6.x	Versões anteriores à 7.6.5
7.7.x	Versões anteriores à 7.7.12

Um atacante remoto e não autenticado, pode explorar esta vulnerabilidade enviando um objeto Java serializado especialmente construído para a interface web do dispositivo afetado. A exploração com sucesso permite ao atacante executar código Java arbitrário com privilégios de root no sistema operativo subjacente, podendo permitir o controlo total do sistema [2]. A Cisco lançou atualizações que corrigem esta vulnerabilidade [3]. Recomenda-se instalar as versões corrigidas disponibilizadas pela Cisco através do portal de suporte.

Medidas adicionais recomendadas:
- Verificar os registos de acesso à interface web por pedidos HTTP invulgares contendo mensagens Java serializadas;
- Limitar exposição direta à Internet da interface de gestão do Cisco Secure FMC, permitindo apenas redes de VPN/administração de confiança.

[1] - https://nvd.nist.gov/vuln/detail/CVE-2026-20131
[2] - https://euvd.enisa.europa.eu/vulnerability/CVE-2026-20131
[3] - https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-fmc-rce-NKhnULJh

Foi identificada uma vulnerabilidade crítica a ser explorada ativamente, designada como CVE-2025-53521/EUVD-2025-34630, no F5 BIG-IP Access Policy Manager (APM). Esta falha, inicialmente classificada em outubro de 2025 como uma vulnerabilidade de Negação de Serviço (DoS), foi reclassificada em março de 2026 como Execução Remota de Código (RCE) após a descoberta de novos métodos de exploração [1][2][3].

A vulnerabilidade ocorre quando uma política de acesso APM está configurada num servidor virtual.

Versões do F5 BIG-IP APM afetadas são [3]:

• 17.5.0 a 17.5.1
• 17.1.0 a 17.1.2
• 16.1.0 a 16.1.6
• 15.1.0 a 15.1.10

Versões que atingiram o fim do suporte técnico (End of Technical Support – EoTS) não foram avaliadas pelo fabricante.

A F5 Networks lançou atualizações de segurança para corrigir esta falha. Recomenda-se a atualização imediata para as seguintes versões (ou superiores)[3]:

• Série 17.5.x: Atualizar para 17.5.1.3 ou superior
• Série 17.1.x: Atualizar para 17.1.3 ou superior
• Série 16.1.x: Atualizar para 16.1.6.1 ou superior
• Série 15.1.x: Atualizar para 15.1.10.8 ou superior

Sistemas instalados de raiz com as versões corrigidas não são vulneráveis. Dispositivos em "Appliance mode" também estão em risco e devem ser atualizados.

Medidas adicionais recomendadas:
- Confirmar se o sistema esteve exposto a uma versão vulnerável; 
- Rever os indicadores de comprometimento (IOCs) publicados pela F5 na referência K000160486 [4]. Caso o equipamento tenha sido atualizado depois de ter estado vulnerável, validar sinais de comprometimento;
- Seguir a orientação complementar da F5 em K11438344, indicada em contexto de suspeita de comprometimento [5].

[1] - https://nvd.nist.gov/vuln/detail/CVE-2025-53521
[2] - https://euvd.enisa.europa.eu/vulnerability/CVE-2025-53521
[3] - https://my.f5.com/manage/s/article/K000156741
[4] - https://my.f5.com/manage/s/article/K000160486
[5] - https://my.f5.com/manage/s/article/K11438344

Vulnerabilidade crítica CVE-2026-20963/EUVD-2026-2114 [1][2], foi identificada no Microsoft Office SharePoint, devido a uma desserialização de dados não confiáveis no Microsoft Office SharePoint, que permite a um atacante não autorizado executar código remotamente pela rede.

A vulnerabilidade afeta os seguintes produtos [3][4]:

Produto	Versões Afetadas
Microsoft SharePoint Server 2019	16.0.0 < 16.0.10417.20083
Microsoft SharePoint Server Subscription Edition	16.0.0 < 16.0.19127.20442
Microsoft SharePoint Enterprise Server 2016	16.0.0 < 16.0.5535.1001

Vulnerabilidade crítica CVE-2025-54068/EUVD-2025-21792 foi identificada no Livewire, uma framework para aplicações Laravel que permite a criação de interfaces dinâmicas diretamente a partir de componentes no servidor [1][2]. Esta vulnerabilidade permite execução remota de código (Remote Code Execution – RCE) sem autenticação, permitindo a um atacante remoto executar código arbitrário no sistema afetado.
A vulnerabilidade afeta apenas a versão 3 do Livewire, tendo sido corrigida a partir da versão v3.6.4.

Vulnerabilidade crítica CVE-2026-20127/EUVD-2026-8675, que se encontra a ser ativamente explorada, de autorização inadequada (CWE-287) que afeta os sistemas Cisco Catalyst SD-WAN Controller (anteriormente SD-WAN vSmart) e o Cisco Catalyst SD-WAN Manager (anteriormente SD-WAN vManage) [1][2][3].

As versões afetadas são:

Versões Afetadas	Versões Corrigidas
<= 20.9	20.9.8.2
20.11	20.12.6.1
20.12.5	20.12.5.3
20.12.6	20.12.6.1
20.13	20.15.4.2
20.14	20.15.4.2
20.15	20.15.4.2
20.16	20.18.2.1
20.18	20.18.2.1

A IceWarp partilhou uma atualização de segurança para mitigar uma vulnerabilidade crítica, ainda sem CVE/EUVD registado, que afeta as seguintes versões [1]:

Produto / Edição	Versão mínima com correção
IceWarp EPOS Update 2	14.2.0.9 ou superior
IceWarp EPOS Update 1	14.1.0.19 ou superior
IceWarp EPOS (1ª geração)	14.0.0.18 ou superior
Deep Castle e versões anteriores	13.0.3.13 ou superior