A equipe de descoberta e pesquisa de vulnerabilidades do Cisco Talos divulgou um total de 12 vulnerabilidades críticas de segurança em três plataformas de software populares, destacando riscos de segurança significativos que podem afetar milhões de usuários em todo o mundo.
O divulgação inclui sete vulnerabilidades no WWBN AVideo, quatro no MedDream PACS Premium e uma no Eclipse ThreadX FileX, todas corrigidas por seus respectivos fornecedores de acordo com a política de divulgação de vulnerabilidades de terceiros da Cisco.
A plataforma WWBN AVideo enfrenta vários vetores de ataque
O WWBN AVideo, uma plataforma de streaming de vídeo amplamente utilizada que oferece recursos de hospedagem, gerenciamento e monetização, contém sete vulnerabilidades distintas descobertas por Claudio Bozzato, do Cisco Talos.
| Produto | CVE | Tipo de vulnerabilidade | Impacto |
| WWBN AVideo | CVE-2025-46410 | XSS | Execução de JavaScript |
| WWBN AVideo | CVE-2025-53084 | XSS | Execução de JavaScript |
| WWBN AVideo | CVE-2025-50128 | XSS | Execução de JavaScript |
| WWBN AVideo | CVE-2025-36548 | XSS | Execução de JavaScript |
| WWBN AVideo | CVE-2025-41420 | XSS | Execução de JavaScript |
| WWBN AVideo | CVE-2025-25214 | Condição de corrida | Execução de código |
| WWBN AVideo | CVE-2025-48732 | Lista negra incompleta | Execução de código |
| Sonho Médico | CVE-2025-26469 | Permissões incorretas | Exposição de credenciais |
| Sonho Médico | CVE-2025-27724 | Escalonamento de privilégios | Capacidades elevadas |
| Sonho Médico | CVE-2025-32731 | XSS refletido | Execução de JavaScript |
| Sonho Médico | CVE-2025-24485 | SSRF | Falsificação de solicitação do lado do servidor |
| Eclipse ThreadX | CVE-2024-2088 | Estouro de buffer | Execução de código |
Cinco deles envolvem cross-site scripting (XSS) que podem permitir que invasores executem código JavaScript arbitrário por meio de solicitações HTTP especialmente criadas para usuários que visitam páginas da Web maliciosas.
As descobertas mais preocupantes envolvem duas vulnerabilidades que, quando encadeadas, permitem o comprometimento completo do sistema por meio da execução arbitrária de código.
Isso inclui uma vulnerabilidade de condição de corrida na funcionalidade de descompactação do aVideoEncoder.json.php e uma lista negra incompleta na configuração .htaccess que permite solicitações perigosas de arquivos .phar.
Preocupações de segurança do MedDream PACS Premium
O setor de imagens médicas enfrenta riscos significativos, pois o MedDream PACS Premium, um sistema de comunicação e arquivamento de imagens compatível com DICOM 3.0, contém quatro vulnerabilidades críticas descobertas por Emmanuel Tacheau e Marcin Noga da Cisco Talos.
Essas vulnerabilidades variam de permissões padrão incorretas que podem expor credenciais criptografadas a falhas de escalonamento de privilégios e ataques de falsificação de solicitação do lado do servidor.
Impacto do Eclipse ThreadX em sistemas embarcados
O Eclipse ThreadX, um pacote de desenvolvimento incorporado para sistemas operacionais em tempo real usado em dispositivos com recursos limitados, contém uma vulnerabilidade de estouro de buffer em seu driver de disco RAM FileX.
Descoberto por Kelly Patterson, este vulnerabilidade pode permitir a execução de código por meio de pacotes de rede especialmente criados.
As organizações que usam essas plataformas devem aplicar imediatamente os patches disponíveis e atualizar para as versões mais recentes.
Para proteção adicional, os administradores podem baixar os conjuntos de regras mais recentes do Snort do Snort.org para detectar possíveis tentativas de exploração. O Cisco Talos continua monitorando essas vulnerabilidades e fornece avisos atualizados por meio do site da Talos Intelligence.
The Ultimate SOC-as-a-Service Pricing Guide for 2025–Baixe de graça