Pesquisadores miraram em produtos totalmente corrigidos em uma ampla gama de categorias, incluindo navegadores web, aplicações corporativas, escalonamento de privilégios local, servidores, inferência local, ambientes cloud-native/container, virtualização e Large Language Models (LLMs). ### Detalhamento dos Pagamentos A competição durou três dias, com pagamentos significativos concedidos a cada dia: * Dia 1: US$ 523.000 por 24 zero-days únicos. * Dia 2: US$ 385.750 por 15 zero-days. * Dia 3: US$ 389.500 por 8 zero-days. ### Principais Desempenhos **DEVCORE** emergiu como o vencedor do **Pwn2Own Berlin** deste ano, conquistando 50,5 pontos Master of Pwn e substanciais US$ 505.000 em recompensas. Seu sucesso derivou da exploração de vulnerabilidades em **Microsoft SharePoint**, **Microsoft Exchange**, **Microsoft Edge** e **Windows 11**. **STARLabs SG** ficou em segundo lugar com US$ 242.500 (25 pontos), e **Out Of Bounds** garantiu o terceiro lugar com US$ 95.750 (12,75 pontos).  *Classificação do Pwn2Own Berlin 2026* ### Exploits Notáveis A maior recompensa individual de US$ 200.000 foi concedida a **Cheng-Da Tsai** (também conhecido como **Orange Tsai**) da **DEVCORE** Research Team por encadear três bugs para alcançar execução remota de código com privilégios SYSTEM no **Microsoft Exchange**. No primeiro dia, **Orange Tsai** também ganhou US$ 175.000 por um escape de sandbox no **Microsoft Edge** utilizando quatro bugs lógicos. Adicionalmente, **Valentina Palmiotti** (chompie) da **IBM X-Force** Offensive Research coletou US$ 70.000 por obter acesso root no **Red Hat Linux** for Workstations e explorar um zero-day no NVIDIA Container Toolkit. Outros exploits incluíram um escalonamento de privilégios local no **Windows 11**, um escalonamento de privilégios root no **Red Hat Enterprise Linux** for Workstations e zero-days em vários agentes de codificação de IA. Um bug de corrupção de memória também foi utilizado para explorar o **VMware ESXi**. ### Cronograma de Divulgação Após o **Pwn2Own**, os fornecedores recebem um período de 90 dias para desenvolver e lançar patches de segurança. Após este período, a **Zero Day Initiative (ZDI)** da TrendMicro divulgará publicamente os detalhes das vulnerabilidades. O **Pwn2Own Berlin** do ano passado viu a **STAR Labs SG** vencer, com a **ZDI** concedendo US$ 1.078.750 por 29 falhas zero-day e algumas colisões de bugs. [article image](https://www.bleepstatic.com/c/p/validation-gap.jpg) ## O Gap de Validação: Pentest Automatizado Responde Uma Pergunta. Você Precisa de Seis. Ferramentas de pentest automatizadas entregam valor real, mas foram criadas para responder a uma pergunta: um atacante pode se mover pela rede? Elas não foram criadas para testar se seus controles bloqueiam ameaças, se suas regras de detecção disparam ou se suas configurações de nuvem se sustentam. Este guia cobre as 6 superfícies que você realmente precisa validar. [Download Now](https://hubs.li/Q048zztN0)