Notícias
ALERTA 15/2025
[TLP:CLEAR]
1. Foi publicada uma atualização de segurança para resolver uma vulnerabilidade de cross site scripting (XSS) existe no Classic Web Client devido à sanitização insuficiente do conteúdo HTML em arquivos ICS. Quando um usuário visualiza uma mensagem de e-mail contendo uma entrada ICS maliciosa, o JavaScript incorporado é executado por meio de um evento ontoggle dentro de uma tag <details>. Isso permite que um invasor execute JavaScript arbitrário na sessão da vítima, potencialmente levando a ações não autorizadas, como configurar filtros de e-mail para redirecionar mensagens para um endereço controlado pelo invasor. Como resultado, um invasor pode executar ações não autorizadas na conta da vítima, incluindo redirecionamento de e-mail e exfiltração de dados. A falha é descrita na Common Vulnerabilities and Exposures (CVE), nos endereços abaixo relacionados:
https://nvd.nist.gov/vuln/detail/CVE-2025-27915
https://www.cve.org/CVERecord?id=CVE-2025-27915
2. O Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov) solicita às instituições aderentes à Rede Federal de Gestão de Incidentes Cibernéticos (ReGIC) e demais entidades/instituições que identifiquem em seus inventários de ativos a utilização das soluções vulneráveis e apliquem, no mais curto prazo, as atualizações disponibilizadas pelo desenvolvedor, conforme link abaixo:
https://wiki.zimbra.com/wiki/Security_Center
https://wiki.zimbra.com/wiki/Zimbra_Releases/10.1.5#Security_Fixes
https://wiki.zimbra.com/wiki/Zimbra_Releases/10.0.13#Security_Fixes
https://wiki.zimbra.com/wiki/Zimbra_Releases/9.0.0/P44#Security_Fixes
3. Há evidências de que a vulnerabilidade está sendo explorada por atores maliciosos. Conforme atualização realizada nos últimos dias pela Cybersecurity and Infrastructure Security Agency (CISA) em seu catálogo de vulnerabilidades.
4. Resumo sobre a criticidade da vulnerabilidade:
|
Listada no CISA KEV? |
SIM |
|
|
CVSS |
5.4 |
|
|
EPSS |
0,065% |
|
a) O que é Cybersecurity and Infrastructure Security Agency (CISA) Know Exploited Vulnerabilities Catalog (KEV)?
- Catálogo de vulnerabilidade mantida pela agência CISA. Os requisitos para uma vulnerabilidade ser listada no catálogo são: (1) A vulnerabilidade possui um ID CVE (Common Vulnerabilities and Exposures) atribuído; (2) Há evidências confiáveis de que a vulnerabilidade foi ativamente explorada em ambientes reais; (3) Existe uma ação de correção clara para a vulnerabilidade, como uma atualização fornecida pelo fabricante. Fonte: https://www.cisa.gov/known-exploited-vulnerabilities
b) O que é Common Vulnerability Scoring System (CVSS)?
- Metodologia aberta para comunicar as características e a gravidade de vulnerabilidades em softwares. É composto por três grupos de métricas: Base, Temporal e Ambiental. Quanto mais próximo do 10 maior a criticidade da vulnerabilidade. Fonte: https://www.first.org/cvss/v3-1/specification-document
c) O que é o Exploit Prediction Scoring System (EPSS)?
- Estimativa diária global da probabilidade de que uma atividade de exploração seja observada nos próximos 30 dias. Fonte: https://www.first.org/epss/model
5. O CTIR Gov ressalta que, de acordo com o artigo 12, inciso IX, do Decreto Nº 10.748, de 16 de julho de 2021, os órgãos pertencentes à ReGIC devem "sanar, com urgência, as vulnerabilidades cibernéticas, em especial aquelas identificadas nos alertas e nas recomendações", conforme publicado em: https://www.planalto.gov.br/ccivil_03/_ato2019-2022/2021/decreto/d10748.htm
6. Informações sobre a Rede Federal de Gestão de Incidentes Cibernéticos (ReGIC): https://www.gov.br/ctir/regic
7. Informações sobre o Traffic Light Protocol (TLP), conforme definido pelo Forum of Incident Response and Security Teams (FIRST): https://www.gov.br/ctir/tlp
Equipe CTIR Gov.
[TLP:CLEAR]