Vários fornecedores liberaram correções para falhas críticas que permitem desde divulgação de informações até execução de código remoto; entre os destaques estão Ivanti Xtraction, Fortinet, SAP, VMware Fusion e n8n, além de uma lista extensa de outros fabricantes que também publicaram patches.
Chegaram atualizações de segurança importantes de vários fornecedores de software que corrigem falhas críticas capazes de levar à divulgação de informações ou execução de código.
No topo da lista está a falha crítica CVE-2026-8043 (CVSS 9.6) no Ivanti Xtraction, em que o controle externo do nome de arquivo antes da versão 2026.2 pode permitir que um atacante autenticado remoto leia arquivos sensíveis e grave arquivos HTML arbitrários em um diretório web, possibilitando divulgação de dados e ataques do lado do cliente.
A Fortinet publicou correções para duas falhas críticas: CVE-2026-44277 (CVSS 9.1) no FortiAuthenticator, um problema de controle de acesso incorreto que pode permitir execução de código ou comandos via requisições forjadas — corrigido nas versões 6.5.7, 6.6.9 e 8.0.3 — e CVE-2026-26083 (CVSS 9.1), uma falta de autorização na interface web do FortiSandbox e suas variantes que poderia permitir execução de código remoto — corrigido em FortiSandbox 4.4.9 e 5.0.2, FortiSandbox Cloud 5.0.6 e FortiSandbox PaaS 4.4.9 e 5.0.2.
A SAP liberou patches para duas falhas críticas: CVE-2026-34260 (CVSS 9.6), um SQL injection no SAP S/4HANA, e CVE-2026-34263 (CVSS 9.6), uma checagem de autenticação ausente na configuração do SAP Commerce cloud que, devido a uma configuração excessivamente permissiva e ordenação de regras imprópria, permitia uploads maliciosos de configuração e injeção de código no servidor, levando à execução arbitrária de código server-side.
No caso do SQL injection em S/4HANA, análises indicam que o caminho vulnerável permitiria principalmente operações de leitura, impactando confidencialidade e disponibilidade, sem necessariamente permitir alteração dos dados.
A Broadcom/VMware corrigiu o CVE-2026-41702 (CVSS 7.8) no VMware Fusion, uma condição TOCTOU ocorrendo em operações de um binário SETUID que poderia ser explorada para escalonamento local de privilégios até o usuário root.
O projeto n8n tratou cinco vulnerabilidades críticas (CVE-2026-42231, CVE-2026-42232, CVE-2026-44791, CVE-2026-44789 e CVE-2026-44790) com correções aplicadas em versões específicas da ferramenta.
Além desses casos, uma extensa lista de fornecedores também liberou atualizações de segurança, incluindo ABB, Adobe, Amazon Web Services, AMD, Apple, ASUS, Atlassian, Axis Communications, AVEVA, Canon, Cisco, Codesys, ConnectWise, Dell, Devolutions, Drupal, F5, Fortra, Foxit Software, Fujitsu, GitLab, GnuTLS, Google, Huawei, IBM, Intel, Jenkins, Lenovo, distribuições Linux, MediaTek, Meta WhatsApp, Microsoft, Mitel, Mitsubishi Electric, MongoDB, Moxa, Mozilla, NVIDIA, OPPO, Palo Alto Networks, Phoenix Contact, Phoenix Technologies, Progress Software, QNAP, Qualcomm, React, Ricoh, Samsung, Schneider Electric, Siemens, Sophos, Spring Framework, Supermicro, Synology, Tenable, TP-Link, WatchGuard, Zoom, Zyxel e outros.
As versões corrigidas foram disponibilizadas pelos fornecedores e estão detalhadas nas respectivas notas de segurança publicadas por cada um.
