Duas vulnerabilidades significativas foram identificadas no Sistema de Reservas Online da **SpiceJet**, impactando potencialmente a privacidade dos passageiros. Essas vulnerabilidades, detalhadas abaixo, poderiam permitir que atacantes acessassem informações sensíveis sem a devida autorização. ### Resumo das Vulnerabilidades De acordo com um relatório da CISA, a exploração bem-sucedida dessas vulnerabilidades poderia permitir que um atacante divulgasse informações sensíveis. As seguintes versões do Sistema de Reservas Online da SpiceJet são afetadas: * Sistema de Reservas Online vers:all/* (**CVE-2026-6375**, **CVE-2026-6376**) | CVSS | Vendor | Equipment | Vulnerabilidades | | :----- | :-------- | :---------------------------- | :---------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | v3 7.5 | SpiceJet | SpiceJet Online Booking System | Bypass de Autorização Através de Chave Controlada pelo Usuário, Falta de Autenticação para Função Crítica | * **Setores de Infraestrutura Crítica:** Sistemas de Transporte * **Países/Áreas Implantadas:** Mundialmente * **Localização da Sede da Empresa:** Índia ### CVE-2026-6375: Bypass de Autorização Através de Chave Controlada pelo Usuário Esta vulnerabilidade permite que usuários não autenticados consultem registros de nomes de passageiros (PNRs) sem controles de acesso. Como os identificadores de PNR seguem um padrão previsível, um atacante poderia enumerar sistematicamente registros válidos e obter os nomes dos passageiros associados. Essa falha decorre da falta de verificações de autorização em um endpoint destinado ao acesso de perfil autenticado. [Ver Detalhes da CVE](https://www.cve.org/CVERecord?id=CVE-2026-6375) **Produtos Afetados:** * **Fornecedor:** SpiceJet * **Versão do Produto:** Sistema de Reservas Online da SpiceJet: vers:all/* * **Status do Produto:** known_affected * **CWE Relevante:** [CWE-639 Bypass de Autorização Através de Chave Controlada pelo Usuário](https://cwe.mitre.org/data/definitions/639.html) ### CVE-2026-6376: Falta de Autenticação para Função Crítica Esta fraqueza permite o acesso a detalhes completos de reserva de passageiros usando apenas um PNR e o sobrenome, sem mecanismos de autenticação ou verificação. Isso resulta na exposição de extensos metadados pessoais, de viagem e de reserva para qualquer usuário não autenticado que possa obter ou adivinhar essas entradas básicas. O problema surge do controle de acesso inadequado em uma função de recuperação de dados sensíveis. [Ver Detalhes da CVE](https://www.cve.org/CVERecord?id=CVE-2026-6376) **Produtos Afetados:** * **Fornecedor:** SpiceJet * **Versão do Produto:** Sistema de Reservas Online da SpiceJet: vers:all/* * **Status do Produto:** known_affected * **CWE Relevante:** [CWE-306 Falta de Autenticação para Função Crítica](https://cwe.mitre.org/data/definitions/306.html) ### Remediação A CISA recomenda que os usuários tomem medidas defensivas para minimizar o risco de exploração dessas vulnerabilidades: * Minimize a exposição de rede para todos os dispositivos e/ou sistemas de controle, garantindo que não sejam acessíveis pela internet. * Localize redes de sistemas de controle e dispositivos remotos atrás de firewalls e isole-os de redes corporativas. * Quando o acesso remoto for necessário, utilize métodos mais seguros, como Redes Privadas Virtuais (VPNs), reconhecendo que as VPNs podem ter vulnerabilidades e devem ser atualizadas para a versão mais recente disponível. Reconheça também que VPN é tão segura quanto os dispositivos conectados. A CISA lembra às organizações que realizem a devida análise de impacto e avaliação de risco antes de implementar medidas defensivas. Organizações que observarem atividades maliciosas suspeitas devem seguir os procedimentos internos estabelecidos e relatar as descobertas à CISA para rastreamento e correlação com outros incidentes. A CISA também recomenda que os usuários tomem as seguintes medidas para se protegerem de ataques de engenharia social: * Não clique em links da web ou abra anexos em mensagens de e-mail não solicitadas. * Consulte Reconhecendo e Evitando Golpes de E-mail para mais informações sobre como evitar golpes de e-mail. * Consulte Evitando Ataques de Engenharia Social e Phishing para mais informações sobre ataques de engenharia social.