.png)
há 6 dias
13
Fortinet e Ivanti anunciaram a publicação das atualizações de Patch Tuesday de outubro de 2025, corrigindo diversas vulnerabilidades potencialmente graves em seus produtos. A Fortinet divulgou 29 novos alertas cobrindo mais de 30 falhas, com destaque para vulnerabilidades classificadas como de alta gravidade, como a CVE-2025-54988, que afeta o FortiDLP por conta de uma falha crítica no Apache Tika capaz de expor dados sensíveis ou permitir o envio de requisições maliciosas a recursos internos ou servidores externos.
Leia também
Isca usando o nome “Amazon Prime Day” em 727 domínios
Pacote PyPi malicioso rouba credenciais de devs
O FortiDLP também foi afetado pelas CVE-2025-53951 e CVE-2025-54658, que possibilitam a escalada de privilégios por usuários autenticados. Outra vulnerabilidade séria, a CVE-2025-58325, foi corrigida no FortiOS e permite a execução de comandos de sistema por meio de um ataque autenticado. O FortiIsolator foi corrigido após a CVE-2024-33507 possibilitar que invasores desautentiquem administradores ou obtenham privilégios de escrita a partir de cookies forjados.
Falhas semelhantes de privilégio elevado e bypasses de autenticação (CVE-2025-49201) também foram corrigidos no FortiPAM e FortiSwitchManager. Outros produtos receberam atualizações de segurança para corrigir vulnerabilidades de execução de código arbitrário, hijacking de DLLs, acesso a dados confidenciais e outras falhas.
Já a Ivanti lançou correções para falhas críticas no Endpoint Manager Mobile (EPMM) e Neurons for MDM. Nos dois casos, vulnerabilidades permitiam que atacantes autenticados com privilégios de administrador executassem código à vontade, desinscrevessem dispositivos ou mesmo burlassem a autenticação multifator. Embora não haja relatos de exploração ativa, a recomendação é a aplicação imediata dos patches devido ao histórico de ataques direcionando produtos das duas empresas.
English (US) · 
Portuguese (BR) ·