Splunk e Zoom publicaram nesta semana um lote combinado de correções que inclui vulnerabilidades críticas e de alta severidade em produtos usados por praticamente todo grande ambiente corporativo. O destaque é o CVE-2026-53412, com CVSS 9.8, que afeta o Zoom Workplace e o Workplace VDI Client para Windows e permite account takeover remoto por atacante não autenticado. No lado Splunk, três CVEs específicas — CVE-2026-20296, CVE-2026-20297 e CVE-2026-20298 — cobrem bypass de safeguards de comando, path traversal e disclosure de informação, e podem levar a leitura de credenciais e escrita de arquivos fora do diretório da aplicação. Nenhum dos fornecedores relatou exploração ativa in the wild, mas o time to weaponize para bugs desse perfil costuma ser curto.
Em atualizações coordenadas com o ciclo de patches de julho, Splunk publicou cinco advisories — três cobrindo defeitos próprios e dois consolidando dezenas de correções em componentes de terceiros embarcados no produto. Zoom, por sua vez, publicou quatro advisories: um crítico e três de alta severidade, todos aplicáveis à sua linha Windows.
O timing importa. Splunk é o SIEM de referência em boa parte do mercado corporativo global e ficou ainda mais central desde a aquisição pela Cisco em 2024, o que amplia o alcance dos advisories para clientes que integraram o produto ao stack XDR e à observabilidade. Zoom Workplace, herdeiro direto do Zoom Client tradicional após o rebranding, é onipresente no ambiente Windows corporativo, especialmente em setores financeiro, jurídico e de consultoria.
No lado Splunk, o mais relevante é o CVE-2026-20296, classificado como alto, um bypass de command safeguards que permite a atacantes contornar validações internas destinadas a proibir comandos com potencial destrutivo em searches e pipelines. Combinado com privilégios legítimos comprometidos, o bug abre caminho para exfiltração e movimentação lateral a partir do SIEM — cenário particularmente ruim, já que o Splunk costuma ter acesso privilegiado a logs de todo o ambiente.
O CVE-2026-20297 é um path traversal, também alto, que permite a um atacante gravar arquivos fora do diretório previsto pela aplicação — vetor clássico de RCE em produtos Java-based quando combinado com escrita em locais de execução do próprio servidor. O CVE-2026-20298, de severidade média, expõe hashes de credenciais armazenadas, dado que reduz o custo de crack offline.
As correções foram consolidadas em Splunk Enterprise 10.4.1, 10.2.5, 10.0.8 e 9.4.13. Os mesmos releases também endereçam bugs críticos e de alta severidade em dependências de terceiros — atualizar apenas o núcleo não é suficiente; o inventário de componentes upstream precisa ser revisado.
“As falhas poderiam permitir a atacantes acessar credenciais e dados, assumir contas e escalar privilégios.”
Ionut Arghire, SecurityWeek
No lado Zoom, o CVE-2026-53412 é o único crítico do lote, com CVSS 9.8. Afeta o Workplace Client e a variante VDI para Windows, e permite que atacantes remotos e não autenticados montem ataques de account takeover — o vetor mais valioso em ambientes corporativos, porque uma sessão Zoom comprometida vira porta de entrada para spoofing de reuniões e reset de MFA via canais legítimos. Os outros três avisos cobrem alta severidade: uma race condition do tipo TOCTOU (time-of-check-to-time-of-use) e duas vulnerabilidades de elevação de privilégio.
Vulnerabilidades críticas em SIEM e em clients de colaboração são categorias distintas de risco, mas o padrão de exploração converge em uma coisa: ambos abrem caminho para movimentação lateral silenciosa. Um bypass no Splunk mina a capacidade forense do time azul — os mesmos logs que deveriam denunciar o comportamento anômalo podem ser suprimidos ou reescritos por um adversário com acesso à console. Um account takeover no Zoom transforma uma reunião legítima em canal de comando: manipulação de calendário, spoofing de diretório de contatos, exfiltração via chats persistentes.
O CVE-2026-53412 chama atenção especial porque ataques a Zoom ganharam maturidade nos últimos dois anos. A geração LegacyHive do Windows zero-day mostrou que operadores conseguem transformar clientes de colaboração em beachhead persistente. Somando isso à onda recente de bugs no F5 NGINX/BIG-IP, o quadro do mês é claro: adversários seguem apostando em infra de trânsito e aplicações onipresentes, não em plataformas exóticas.
Vale lembrar que nem Splunk nem Zoom mencionam exploração ativa, mas o histórico é instrutivo: bugs de CVSS acima de 9.0 em produtos com essa base instalada tendem a receber PoCs públicos em dias, semanas para ser incorporados a kits de commodity malware. Quem esperar o próximo patch cycle para agir vai começar o próximo mês defendendo contra exploits já rodando em cargas oportunistas.
Fonte: SecurityWeek
Thalha Jubair (20) e Owen Flowers (18) receberam 5 anos e 6 meses cada pelo…
Group-IB identifica ClickLock, infostealer inedito para macOS que mata apps a cada 210 ms via…
Microsoft lanca a Frontier Company: US$ 2,5 bi, 6.000 engenheiros e clientes como LSEG, Unilever…
Google DeepMind publica metodo para medir a saliencia de valores geoculturais em alinhamento - e…
Meta acelera Prometheus (1GW em 2026) e Hyperion (5GW na Louisiana, +US$ 50 bi). Zuckerberg…
Sysdig registra o JADEPUFFER: primeiro caso de ransomware totalmente conduzido por agente LLM, via CVE-2025-3248…