Boletim diário · 24 de junho de 2026

Dez vulnerabilidades em exploração ativa dominam o radar: de Joomla a Splunk, passando por Android e Cisco SD-WAN

Resumo automatizado Vexday · fontes: NVD, CISA KEV, EPSS

O boletim desta quarta-feira não registrou novos CVEs publicados no dia civil, mas o acumulado recente exige atenção máxima: todas as dez vulnerabilidades em destaque estão confirmadas em exploração ativa (KEV), com CVSS variando de 7.8 a 10.0 e PoC pública disponível na maioria dos casos. O conjunto cobre desde plataformas corporativas de missão crítica — Splunk, PeopleSoft, Cisco SD-WAN — até superfícies voltadas ao consumidor final, como Chrome e Android, além de ataques à cadeia de suprimentos via extensão de IDE.

Resumo do dia
  • 10 de 10 destaques estão em exploração ativa (KEV), com PoC pública na maioria — janela de remediação é mínima
  • Joomla JCE e Splunk Enterprise lideram em criticidade (CVSS 10.0 e 9.8): execução de código e manipulação de arquivos sem autenticação
  • Extensão Nx Console foi comprometida por supply chain attack e ficou disponível em marketplaces por até 36 minutos
  • Android, Chrome, Cisco SD-WAN e cPanel ampliam a superfície afetada para endpoints, browsers e infraestrutura de rede
Destaques críticos
1
CVE-2026-48907KEVCVSS 10PoCafeta Joomla Content Editor (JCE) extension for Joomla
Falha de CVSS 10.0 no plugin JCE para Joomla permite que qualquer usuário não autenticado crie perfis de editor e faça upload de código PHP arbitrário — equivale a controle total do servidor web sem qualquer credencial.
2
CVE-2026-20253KEVCVSS 9.8PoCafeta Splunk Enterprise
Endpoint do serviço sidecar PostgreSQL no Splunk Enterprise 10.x expõe operações de arquivo sem autenticação, permitindo criar ou truncar arquivos arbitrários; em ambientes de produção isso pode comprometer logs, configurações e pipelines de dados inteiros.
3
CVE-2026-35273KEVCVSS 9.8PoCafeta PeopleSoft Enterprise PeopleTools
Vulnerabilidade no componente Updates Environment Management do Oracle PeopleSoft PeopleTools 8.61 e 8.62 permite a um atacante remoto não autenticado, via HTTP, tomar controle completo do sistema — alto risco para empresas que usam PeopleSoft em RH ou finanças.
4
CVE-2026-50751KEVCVSS 9.3PoCafeta Quantum Security Gateway
Falha de lógica na validação de certificados IKEv1 no Quantum Security Gateway permite contornar autenticação de usuário e estabelecer conexão VPN sem senha válida — qualquer ator na rede pode obter acesso remoto privilegiado.
5
CVE-2026-45247KEVCVSS 9.3PoCafeta Full Page Cache Warmer for Magento 2
Injeção de objeto PHP via cookie CacheWarmer no módulo Mirasvit Full Page Cache Warmer para Magento 2 (antes de 1.11.12) viabiliza RCE sem autenticação em lojas de e-commerce, expondo dados de clientes e transações.
6
CVE-2026-48027KEVCVSS 9.3afeta nx-console
Uma versão maliciosa do Nx Console (18.95.0) foi publicada no Visual Studio Marketplace e no OpenVSX por até 36 minutos — desenvolvedores que instalaram a extensão nesse intervalo devem assumir comprometimento do ambiente de desenvolvimento.
7
CVE-2026-11645KEVHIGH 8.8PoCafeta Chrome
Leitura e escrita fora dos limites no motor V8 do Google Chrome (versões anteriores a 149.0.7827.103) permitem execução de código arbitrário dentro do sandbox via página HTML maliciosa, bastando que a vítima acesse o conteúdo.
8
CVE-2026-54420KEVHIGH 8.5PoCafeta cPanel Plugin
O plugin cPanel do LiteSpeed (antes de 2.4.8) manipula symlinks de forma insegura em servidores de hospedagem compartilhada com CloudLinux/CageFS, permitindo a usuários com acesso FTP ou web shell escapar do ambiente isolado e comprometer outros sites no mesmo servidor.
9
CVE-2025-48595KEVHIGH 8.4PoCafeta Android
Overflow de inteiro em múltiplos componentes do Android possibilita escalada local de privilégios sem interação do usuário e sem necessidade de permissões adicionais — impacto direto em qualquer dispositivo Android sem o patch aplicado.
10
CVE-2026-20245KEVHIGH 7.8PoCafeta Cisco Catalyst SD-WAN Controller
Validação insuficiente de entrada na CLI do Cisco Catalyst SD-WAN Controller (vSmart, vManage e vBond) permite a um atacante local autenticado executar comandos arbitrários como root via arquivo manipulado, comprometendo a infraestrutura de roteamento e política de rede.
Recomendação do dia: Priorize imediatamente a aplicação de patches para os CVEs com CVSS ≥ 9.8 e confirme que os sistemas Joomla JCE, Splunk Enterprise e PeopleSoft estão isolados ou atualizados; para o Nx Console, revogue e reconstrua ambientes de desenvolvimento que instalaram versões entre 18.95.0 e 18.100.0 no dia 19 de maio de 2026.
Diante de um cenário em que todas as dez falhas já estão sendo exploradas ativamente, é essencial validar continuamente a própria superfície de ataque para identificar quais desses vetores estão realmente expostos no seu ambiente antes que os atacantes o façam.Antes que um atacante encontre, encontre primeiro: faça uma avaliação inicial de exposição sem custo e veja se sua infraestrutura está vulnerável a falhas como estas.Conheça o Agente de Pentest Autônomo com IA →
Boletins anteriores
24 de junho de 2026Dez vulnerabilidades em exploração ativa dominam o radar: de Joomla a Splunk, passando por Android e Cisco SD-WAN23 de junho de 2026FOSSBilling com falha CVSS 10 lidera dia de múltiplas críticas em sistemas de billing, roteadores e ferramentas open sourcever arquivo completo →