### CISA Sinaliza Falhas Críticas para Ação Imediata A **CISA** atualizou recentemente seu catálogo **KEV**, sinalizando a exploração ativa de três vulnerabilidades significativas. Isso exige que as agências federais implementem correções ou mitigações prontamente, destacando a ameaça imediata que essas falhas representam para a infraestrutura de segurança cibernética. Aqui está um resumo das vulnerabilidades adicionadas: * **CVE-2026-20245** (pontuação CVSS: 7.8): Uma vulnerabilidade de codificação ou escape inadequado no **Cisco Catalyst SD-WAN Manager**. Essa falha poderia permitir que um atacante local autenticado executasse comandos arbitrários como root, fornecendo um arquivo manipulado ao sistema. * **CVE-2026-11645** (pontuação CVSS: 8.8): Uma vulnerabilidade de leitura e escrita fora dos limites no **Google Chrome V8**. Essa falha crítica poderia permitir que um atacante remoto executasse código arbitrário dentro de um sandbox por meio de uma página HTML especialmente criada. * **CVE-2026-7473** (pontuação CVSS: 6.9): Uma vulnerabilidade de comparação incompleta com fatores ausentes no **Arista Extensible Operating System (EOS)**. Isso poderia levar ao processamento de tráfego de túnel não configurado. ### Falha no Arista EOS: Explorada, Mas Sem Correção Planejada A vulnerabilidade no **Arista EOS**, **CVE-2026-7473**, apresenta um desafio único. A **Arista** confirmou que essa falha está sendo ativamente explorada em campo. O problema surge em plataformas afetadas executando **Arista EOS**, onde uma configuração de decapsulação de túnel (como **VXLAN**, grupos de decapsulação ou uma interface de túnel **GRE**) está presente. O switch pode decapsular e encaminhar incorretamente pacotes tunelados inesperados se o seu IP de destino corresponder ao seu IP de decapsulação configurado, falhando em verificar o tipo de protocolo do túnel. Os produtos impactados incluem as séries 7020R, 7280R/R2 e 7500R/R2. A exploração requer que o dispositivo esteja configurado como um endpoint de túnel com um IP de decapsulação. Apesar da exploração ativa, a **Arista** declarou que não há patches planejados para a **CVE-2026-7473**. A empresa cita o risco de quebrar configurações existentes em implantações como motivo. Em vez disso, a **Arista** forneceu estratégias de mitigação, focando na aplicação de **Listas de Controle de Acesso (ACLs)** em dispositivos upstream ou nos dispositivos onde a decapsulação inesperada está ocorrendo. O objetivo é permitir seletivamente o tráfego de túnel legítimo ou bloquear o tráfego de túnel malicioso. **Scott Christiansen, Lukas Peitz, Rich Compton e Jonathan Davis, da Comcast**, foram creditados pela divulgação responsável desta vulnerabilidade. ### Prazo Urgente para Agências Federais As agências do **Ramo Executivo Civil Federal (FCEB)** foram obrigadas a aplicar as correções ou mitigações necessárias para todas as três vulnerabilidades até 23 de junho de 2026. Essa diretiva ressalta a urgência para profissionais de segurança de TI e usuários preocupados com a privacidade avaliarem seus sistemas e implementarem salvaguardas recomendadas para se protegerem contra essas ameaças ativamente exploradas.