### Falha Crítica no Ivanti Xtraction **Ivanti** corrigiu uma falha crítica no **Ivanti Xtraction** (**CVE-2026-8043**, pontuação CVSS: 9.6). Esta vulnerabilidade poderia ser explorada para obter divulgação de informações ou realizar ataques do lado do cliente. De acordo com a **Ivanti**, "O controle externo de um nome de arquivo no Ivanti Xtraction antes da versão 2026.2 permite que um atacante remoto autenticado leia arquivos sensíveis e grave arquivos HTML arbitrários em um diretório web, levando à divulgação de informações e possíveis ataques do lado do cliente." ### Vulnerabilidades na Fortinet A **Fortinet** lançou avisos para duas vulnerabilidades críticas que afetam **FortiAuthenticator** e **FortiSandbox**, **FortiSandbox Cloud** e **FortiSandbox PaaS**, que poderiam resultar na execução de código: * **CVE-2026-44277** (pontuação CVSS: 9.1): Uma vulnerabilidade de controle de acesso inadequado no **FortiAuthenticator** que pode permitir que um atacante não autenticado execute código ou comandos não autorizados por meio de requisições maliciosas. Isso foi corrigido nas versões 6.5.7, 6.6.9 e 8.0.3 do FortiAuthenticator. * **CVE-2026-26083** (pontuação CVSS: 9.1): Uma vulnerabilidade de falta de autorização na interface WEB do **FortiSandbox**, **FortiSandbox Cloud** e **FortiSandbox PaaS** que pode permitir que um atacante não autenticado execute código ou comandos não autorizados por meio de requisições HTTP. Isso foi corrigido nas versões 4.4.9 e 5.0.2 do FortiSandbox, versão 5.0.6 do FortiSandbox Cloud e versões 4.4.9 e 5.0.2 do FortiSandbox PaaS. ### Patches de Segurança da SAP A **SAP** liberou correções para duas vulnerabilidades críticas: * **CVE-2026-34260** (pontuação CVSS: 9.6): Uma vulnerabilidade de SQL injection no **SAP S/4HANA**. * **CVE-2026-34263** (pontuação CVSS: 9.6): Uma falha na verificação de autenticação na configuração do **SAP Commerce Cloud**. A **Onapsis** declarou que a **CVE-2026-34263** é causada por "uma configuração de segurança excessivamente permissiva com ordenação inadequada de regras, permitindo que um usuário não autenticado realize upload malicioso de configuração e injeção de código, resultando na execução de código arbitrário no lado do servidor." Em relação à **CVE-2026-34260**, um atacante poderia injetar instruções SQL maliciosas, potencialmente impactando a confidencialidade e a disponibilidade da aplicação. A **Pathlock** observou: "Permite que um atacante autenticado de baixo privilégio injete código SQL malicioso através de entrada controlada pelo usuário, potencialmente expondo informações sensíveis do banco de dados e travando a aplicação." ### Escalada de Privilégios no VMware Fusion A **Broadcom** lançou patches para uma falha de alta severidade no **VMware Fusion** (**CVE-2026-41702**, pontuação CVSS: 7.8) que poderia levar à escalada de privilégios local. O problema foi corrigido na versão 26H1. De acordo com a **Broadcom**, "O VMware Fusion contém uma vulnerabilidade TOCTOU (Time-of-check Time-of-use) que ocorre durante uma operação realizada por um binário SETUID. Um ator malicioso com privilégios de usuário local não administrativo pode explorar esta vulnerabilidade para escalar privilégios para root no sistema onde o Fusion está instalado." ### Múltiplas Vulnerabilidades no n8n Um conjunto de cinco vulnerabilidades críticas que afetam o **n8n** foram corrigidas: * **CVE-2026-42231** (pontuação CVSS: 9.4): Uma vulnerabilidade na biblioteca xml2js usada para analisar corpos de requisição XML no manipulador de webhook do n8n que permite poluição de protótipo via um payload XML malicioso, permitindo que um usuário autenticado com permissão para criar ou modificar fluxos de trabalho execute código remotamente no host do n8n. (Corrigido nas versões 1.123.32, 2.17.4 e 2.18.1 do n8n) * **CVE-2026-42232** (pontuação CVSS: 9.4): Um usuário autenticado com permissão para criar ou modificar fluxos de trabalho poderia obter poluição global de protótipo através do Nó XML, levando à execução remota de código quando combinado com outros nós que exploram a poluição de protótipo. (Corrigido nas versões 1.123.32, 2.17.4 e 2.18.1 do n8n) * **CVE-2026-44791** (pontuação CVSS: 9.4): Um bypass para CVE-2026-42232 que poderia resultar na execução remota de código no host do n8n. (Corrigido nas versões 1.123.43, 2.20.7 e 2.22.1 do n8n) * **CVE-2026-44789** (pontuação CVSS: 9.4): Um usuário autenticado com permissão para criar ou modificar fluxos de trabalho poderia obter poluição global de protótipo através de um parâmetro de paginação não validado no nó HTTP Request, levando à execução remota de código no host do n8n. (Corrigido nas versões 1.123.43, 2.20.7 e 2.22.1 do n8n) * **CVE-2026-44790** (pontuação CVSS: 9.4): Um usuário autenticado com permissão para criar ou modificar fluxos de trabalho poderia injetar flags CLI na operação Push do nó Git, permitindo que um atacante lesse arquivos arbitrários do servidor n8n e resultando em comprometimento total. (Corrigido nas versões 1.123.43, 2.20.7 e 2.22.1 do n8n) ### Patches de Software de Outros Fornecedores Atualizações de segurança também foram lançadas por outros fornecedores nas últimas semanas, incluindo: * [ABB](https://www.abb.com/global/en/company/about/cybersecurity/alerts-and-notifications) * [Adobe](https://helpx.adobe.com/security/security-bulletin.html) * [Amazon Web Services](https://aws.amazon.com/security/security-bulletins/) * [AMD](https://www.amd.com/en/resources/product-security.html#security) * [Apple](https://support.apple.com/en-us/HT201222) * [ASUS](https://www.asus.com/security-advisory/) * [Atlassian](https://confluence.atlassian.com/security/security-bulletin-april-21-2026-1770913890.html) * [Axis Communications](https://help.axis.com/en-us/security-advisories) * [AVEVA](https://www.aveva.com/en/support-and-success/cyber-security-updates/) * [Canon](https://psirt.canon/advisory-information/#id_2229656) * [Cisco](https://tools.cisco.com/security/center/publicationListing.x) * [CODESYS](https://www.codesys.com/ecosystem/security/latest-codesys-security-advisories/) * [ConnectWise](https://www.connectwise.com/company/trust/security-bulletins) * [Dell](https://www.dell.com/support/security/) * [Devolutions](https://devolutions.net/security/advisories/) * [Drupal](https://www.drupal.org/security) * [F5](https://my.f5.com/manage/s/new-updated-articles#f-f5_document_type=Security%20Advisory&aq=%40f5_original_published_date%20%3E%3D%20now-7d) * [Fortra](https://www.fortra.com/security/advisories/product-security) * [Foxit Software](https://www.foxit.com/support/security-bulletins.html) * [Fujitsu](https://security.ts.fujitsu.com/IndexProdSecurity.asp) * [GitLab](https://docs.gitlab.com/releases/patches/) * [GnuTLS](https://www.gnutls.org/security-new.html) * Google [Android](https://source.android.com/docs/security/bulletin/2026/2026-05-01) e [Pixel](https://source.android.com/docs/security/bulletin/pixel/2026/2026-05-01) * [Google Chrome](https://chromereleases.googleblog.com/) * [Google Cloud](https://cloud.google.com/support/bulletins) * [Grafana](https://grafana.com/security/security-advisories/) * [Hikvision](https://www.hikvision.com/en/support/cybersecurity/security-advisory/) * [Hitachi Energy](https://www.hitachienergy.com/in/en/products-and-solutions/cybersecurity/alerts-and-notifications) * [Honeywell](https://www.honeywell.com/us/en/product-security#security-notices) * [HP](https://support.hp.com/us-en/security-bulletins) * [HPE](https://support.hpe.com/connect/s/security)