A série de vulnerabilidades críticas que afetam produtos da **Adobe**, **Fortinet**, **Microsoft** e **SAP** tomou o centro das atenções nos lançamentos do Patch Tuesday de abril. ## Vulnerabilidade de SQL Injection na SAP No topo da lista está uma vulnerabilidade de SQL injection que afeta o **SAP Business Planning and Consolidation** e o **SAP Business Warehouse** (**CVE-2026-27681**, pontuação CVSS: 9.9), que poderia resultar na execução de comandos arbitrários no banco de dados. "O programa ABAP vulnerável permite que um usuário com privilégios baixos faça upload de um arquivo com instruções SQL arbitrárias que serão então executadas", disse a **Onapsis** em um aviso. Em um cenário de ataque potencial, um ator malicioso poderia abusar da funcionalidade afetada relacionada ao upload para executar SQL malicioso contra os bancos de dados do BW/BPC, extrair dados sensíveis e excluir ou corromper o conteúdo do banco de dados. A **Pathlock** declarou que figuras de planejamento manipuladas, relatórios corrompidos ou dados de consolidação excluídos podem minar processos de fechamento, relatórios executivos e planejamento operacional. Eles alertaram ainda que o problema cria um caminho crível tanto para roubo de dados furtivo quanto para interrupção explícita dos negócios. ## Falha Explorada Ativamente no Adobe Acrobat Reader Outra vulnerabilidade de segurança que merece menção é uma falha crítica de execução remota de código no **Adobe Acrobat Reader** (**CVE-2026-34621**, pontuação CVSS: 8.6) que está sendo ativamente explorada na natureza. Atualmente, os detalhes sobre a exploração são escassos, incluindo o escopo dos usuários afetados, a identidade dos atores de ameaça, seus alvos e seus motivos. ## Vulnerabilidades no Adobe ColdFusion Também corrigidas pela **Adobe** estão cinco falhas críticas nas versões 2025 e 2023 do **ColdFusion** que, se exploradas com sucesso, poderiam levar à execução de código arbitrário, negação de serviço da aplicação, leitura arbitrária do sistema de arquivos e bypass de recursos de segurança. As vulnerabilidades são listadas abaixo: * **CVE-2026-34619** (pontuação CVSS: 7.7) - Uma vulnerabilidade de path traversal levando a bypass de recursos de segurança * **CVE-2026-27304** (pontuação CVSS: 9.3) - Uma vulnerabilidade de validação de entrada inadequada levando à execução de código arbitrário * **CVE-2026-27305** (pontuação CVSS: 8.6) - Uma vulnerabilidade de path traversal levando à leitura arbitrária do sistema de arquivos * **CVE-2026-27282** (pontuação CVSS: 7.5) - Uma vulnerabilidade de validação de entrada inadequada levando a bypass de recursos de segurança * **CVE-2026-27306** (pontuação CVSS: 8.4) - Uma vulnerabilidade de validação de entrada inadequada levando à execução de código arbitrário ## Vulnerabilidades no Fortinet FortiSandbox Correções também foram lançadas para duas vulnerabilidades críticas no **FortiSandbox** que poderiam resultar em bypass de autenticação e execução de código: * **CVE-2026-39813** (pontuação CVSS: 9.1) - Uma vulnerabilidade de path traversal na API JRPC do **FortiSandbox** que poderia permitir que um atacante não autenticado contornasse a autenticação por meio de requisições HTTP especialmente criadas. (Corrigido nas versões 4.4.9 e 5.0.6) * **CVE-2026-39808** (pontuação CVSS: 9.1) - Uma vulnerabilidade de injeção de comandos do sistema operacional no **FortiSandbox** que poderia permitir que um atacante não autenticado executasse código ou comandos não autorizados por meio de requisições HTTP criadas. (Corrigido na versão 4.4.9) ## Extensa Liberação de Patches da Microsoft A **Microsoft** abordou impressionantes 169 defeitos de segurança, incluindo uma vulnerabilidade de spoofing que afeta o **Microsoft SharePoint Server** (**CVE-2026-32201**, pontuação CVSS: 6.5) que poderia permitir que um atacante visualizasse informações confidenciais. A empresa informou que está sendo ativamente explorada, embora não haja insights sobre a exploração em campo associada à falha. Kev Breen, diretor sênior de pesquisa de ameaças na **Immersive**, observou que os serviços do **SharePoint**, especialmente aqueles usados como repositórios internos de documentos, podem ser um tesouro para atores de ameaça que buscam roubar dados, especialmente dados que podem ser usados para forçar pagamentos de resgate usando técnicas de dupla extorsão. Ele acrescentou que atores de ameaça com acesso aos serviços do **SharePoint** poderiam implantar documentos armadilhados ou substituir documentos legítimos por versões infectadas para se espalhar lateralmente pela organização. ## Patches de Software de Outros Fornecedores Além da **Microsoft**, atualizações de segurança também foram lançadas por outros fornecedores nas últimas semanas para corrigir várias vulnerabilidades, incluindo — * [ABB](https://www.abb.com/global/en/company/about/cybersecurity/alerts-and-notifications) * [Amazon Web Services](https://aws.amazon.com/security/security-bulletins/) * [AMD](https://www.amd.com/en/resources/product-security.html#security) * [Apple](https://support.apple.com/en-us/HT201222) * [ASUS](https://www.asus.com/security-advisory/) * [AVEVA](https://www.aveva.com/en/support-and-success/cyber-security-updates/) * [Broadcom](https://support.broadcom.com/web/ecx/security-advisory) (incluindo VMware) * [Canon](https://psirt.canon/advisory-information/#id_2229656) * [Cisco](https://tools.cisco.com/security/center/publicationListing.x) * [Citrix](https://support.citrix.com/support-home/topic-article-list?trendingCategory=20&trendingTopicName=Latest%20Security%20Bulletin) * [CODESYS](https://www.codesys.com/ecosystem/security/latest-codesys-security-advisories/) * [D-Link](https://supportannouncement.us.dlink.com/) * [Dassault Systèmes](https://www.3ds.com/trust-center/security/security-advisories) * [Dell](https://www.dell.com/support/security/) * [Devolutions](https://devolutions.net/security/advisories/) * [dormakaba](https://www.dormakabagroup.com/en/security-advisories) * [Drupal](https://www.drupal.org/security) * [Elastic](https://discuss.elastic.co/c/announcements/security-announcements/31) * [F5](https://my.f5.com/manage/s/new-updated-articles#f-f5_document_type=Security%20Advisory&aq=%40f5_original_published_date%20%3E%3D%20now-7d) * [Fortinet](https://www.fortiguard.com/psirt) * [Foxit Software](https://www.foxit.com/support/security-bulletins.html) * [FUJIFILM](https://www.fujifilm.com/fbglobal/eng/company/news/notice) * [Gigabyte](https://www.gigabyte.com/us/Support/Security) * [GitLab](https://docs.gitlab.com/releases/18/patch-release-gitlab-18-10-3-released/) * Google [Android](https://source.android.com/docs/security/bulletin/2026/2026-04-01) e [Pixel](https://source.android.com/docs/security/bulletin/pixel/2026/2026-04-01) * [Google Chrome](https://chromereleases.googleblog.com/) * [Google Cloud](https://cloud.google.com/support/bulletins) * [Grafana](https://grafana.com/security/security-advisories/) * [Hitachi Energy](https://www.hitachienergy.com/in/en/products-and-solutions/cybersecurity/alerts-and-notifications) * [HP](https://support.hp.com/us-en/security-bulletins) * [HP Enterprise](https://support.hpe.com/connect/s/securitybulletinlibrary?language=en_US#sort=%40hpescuniversaldate%20descending&layout=table&numberOfResults=25&f:@kmdoclanguagecode=[cv1871440]&hpe=1) (incluindo Aruba Networking e [Juniper Networks](https://supportportal.juniper.net/s/global-search/%40uri?language=en_US#sort=date%20descending&f:ctype=[Security%20Advisories])) * [Huawei](https://www.huawei.com/en/psirt/all-bulletins) * [IBM](https://www.ibm.com/support/pages/bulletin/) * [Ivanti](https://hub.ivanti.com/s/searchallcontent?language=en_US#q=CVE&sortCriteria=date%20descending&f-sfkbknowledgearticletypec=Security%20Advisory&f-commonlanguage=English) * [Jenkins](https://www.jenkins.io/security/advisories/) * [Lenovo](https://support.lenovo.com/us/en/product_security/ps500001-lenovo-product-security-advisories) * Distribuições Linux