Boletim diário · 23 de junho de 2026
FOSSBilling com falha CVSS 10 lidera dia de múltiplas críticas em sistemas de billing, roteadores e ferramentas open source
O dia 23 de junho de 2026 trouxe 68 novas vulnerabilidades, com 9 classificadas como críticas e nenhuma ainda em exploração ativa confirmada pelo KEV. O destaque máximo vai para o FOSSBilling, que acumula duas falhas graves — incluindo um bypass de autorização com CVSS 10.0 que permite acesso irrestrito à API administrativa sem qualquer credencial. Roteadores domésticos e empresariais, ferramentas de segurança de ML e plugins WordPress completam um cenário de ampla superfície de ataque.
Resumo do dia
- FOSSBilling tem CVSS 10.0: qualquer pessoa pode chamar endpoints administrativos sem login, sessão ou token CSRF.
- Dois roteadores (Totolink EX1200L e NetComm NF20MESH) têm falhas críticas de RCE e bypass por chave AES hardcoded, respectivamente.
- picklescan, ferramenta usada para bloquear arquivos pickle maliciosos, pode ser completamente contornada via módulos Python não bloqueados.
- ManageEngine ADSelfService Plus e produtos relacionados têm SSO tickets previsíveis, abrindo caminho para account takeover.
68 novas9 críticas0 em exploração ativa
Destaques críticos
1
Bypass de autorização total no FOSSBilling permite que qualquer atacante não autenticado invoque métodos de API administrativa via endpoints `/api/system/*`, pois o papel `system` é resolvido como identidade de administrador cron sem exigir credenciais, sessão ou CSRF. Instâncias expostas à internet estão completamente comprometidas até a atualização para a versão 0.8.0.
2
Server-Side Template Injection no mecanismo Twig do FOSSBilling permite que administradores com acesso a templates de e-mail, campanhas ou ao endpoint `string_render` injetem expressões arbitrárias e obtenham execução de código no servidor. Embora exija acesso administrativo prévio, combinada com CVE-2026-27604, a cadeia de exploração torna-se trivial e devastadora.
3
Buffer overflow na funcionalidade de login do roteador Totolink EX1200L permite execução remota de código como root, além de crash e potencial brick do dispositivo. O vendor não respondeu aos contatos de divulgação, indicando ausência de patch e exigindo mitigação imediata por isolamento de rede.
4
O picklescan, ferramenta amplamente usada para validar segurança de arquivos pickle em pipelines de ML, falha em bloquear pelo menos sete módulos da biblioteca padrão do Python, expondo oito funções que permitem execução arbitrária de comandos. Arquivos pickle maliciosos podem contornar completamente a validação de segurança, colocando em risco pipelines de IA/ML que dependem dessa ferramenta como controle de segurança.
5
Todas as versões do pacote expr-eval permitem execução de código JavaScript arbitrário via `toJSFunction()`, pois expressões controladas pelo usuário são compiladas diretamente com `new Function()` sem isolamento adequado. Aplicações que expõem essa API a entradas não confiáveis devem considerar o uso como crítico e migrar imediatamente.
6
O roteador NetComm NF20MESH usa uma chave AES-256 hardcoded para criptografar cookies de sessão da interface web, permitindo que qualquer atacante forje um cookie válido e obtenha acesso administrativo sem credenciais. A existência de chave compartilhada em firmware torna o bypass reproduzível em qualquer dispositivo vulnerável.
7
O Crawl4AI antes da versão 0.8.8 permite que atacantes não autenticados escrevam arquivos fora do diretório esperado via ataques de symlink e TOCTOU no parâmetro `output_path`, com potencial para escalonamento a RCE. Instâncias expostas publicamente sem autenticação são especialmente críticas.
8
O plugin Perl Mojolicious::Plugin::Web::Auth::OAuth2 gera parâmetros de estado OAuth previsíveis quando nenhum gerador customizado é definido, usando fontes de baixa entropia como epoch time (vazado via header HTTP Date) e `rand`. Isso viabiliza ataques de CSRF no fluxo OAuth2 e sequestro de sessão de autenticação.
9
SSO tickets previsíveis em ManageEngine ADSelfService Plus, RecoveryManager Plus, M365 Manager Plus e ADAudit Plus permitem que um atacante não autenticado adivinhe tokens de sessão válidos e realize account takeover. A abrangência de produtos afetados amplia significativamente a superfície de risco em ambientes corporativos que utilizam a suíte ManageEngine.
10
SQL Injection no plugin WordPress Infility Global pode ser explorado por usuários autenticados com nível Subscriber ou superior, com PoC pública disponível. A baixa barreira de entrada — qualquer conta registrada no site — combinada com exploit público exige aplicação urgente do patch ou desativação do plugin.
Recomendação do dia: Priorize imediatamente a atualização do FOSSBilling para 0.8.0 e do picklescan para 1.0.4 ou superior, e isole roteadores Totolink EX1200L e NetComm NF20MESH sem patch disponível via segmentação de rede. Para ambientes ManageEngine, revise configurações de SSO e monitore acessos anômalos enquanto patches são aplicados.
Diante de tantas falhas críticas em produtos distintos publicadas em um único dia, validar ativamente quais desses componentes existem na sua superfície de ataque — incluindo dependências indiretas como bibliotecas npm e módulos Perl — é o passo essencial para transformar inteligência de vulnerabilidade em proteção real.Descubra em minutos, com uma avaliação gratuita de exposição, onde sua organização está realmente vulnerável.Conheça o Agente de Pentest Autônomo com IA →Boletins anteriores
24 de junho de 2026 — Dez vulnerabilidades em exploração ativa dominam o radar: de Joomla a Splunk, passando por Android e Cisco SD-WAN23 de junho de 2026 — FOSSBilling com falha CVSS 10 lidera dia de múltiplas críticas em sistemas de billing, roteadores e ferramentas open sourcever arquivo completo →