A atualização inclui falhas em Zimbra, Versa Concerto, Vite e pacotes npm comprometidos, com prazo de correção em 12 de fevereiro de 2026 para agências federais civis dos Estados Unidos.
| Componente | Synacor Zimbra Collaboration Suite, Versa Concerto SD-WAN, Vite e pacotes npm ligados ao eslint-config-prettier. |
| Vetor | Exploração ativa de falhas já catalogadas; no caso do Zimbra, requisições ao endpoint /h/rest; no caso dos pacotes npm, phishing contra mantenedores para publicação de versões adulteradas. |
| Impacto | Inclusão remota de arquivos, acesso a endpoints administrativos, retorno de arquivos arbitrários ao navegador e execução de código malicioso voltado à entrega de um stealer de informações. |
| Prioridade | Aplicar as correções disponíveis e concluir a remediação até 12 de fevereiro de 2026 nos ambientes sujeitos à BOD 22-01. |
| Versões | Zimbra ZCS corrigido na versão 10.1.13; Versa Concerto corrigido na versão 12.2.1 GA; Vite corrigido nas versões 6.2.4, 6.1.3, 6.0.13, 5.4.16 e 4.5.11. |
| Artefatos | O caso CVE-2025-54313 envolve código malicioso embutido no eslint-config-prettier e a DLL maliciosa denominada Scavenger Loader. |
A atualização do catálogo Known Exploited Vulnerabilities adiciona quatro falhas com evidência de exploração ativa: CVE-2025-68645, CVE-2025-34026, CVE-2025-31125 e CVE-2025-54313. O conjunto cobre superfícies distintas, incluindo colaboração corporativa, orquestração de SD-WAN, ferramenta de desenvolvimento web e cadeia de suprimentos npm. A presença no KEV muda a prioridade operacional porque indica que a vulnerabilidade deixou de ser apenas uma exposição teórica e passou a ter uso observado contra alvos reais.
CVE-2025-68645 afeta o Synacor Zimbra Collaboration Suite e recebeu pontuação CVSS 8.8. A falha é descrita como inclusão remota de arquivo em PHP, acionável por requisições criadas para o endpoint /h/rest, permitindo incluir arquivos arbitrários a partir do diretório WebRoot sem autenticação. A correção foi disponibilizada em novembro de 2025 na versão 10.1.13, e há registro de esforços de exploração desde 14 de janeiro de 2026.
CVE-2025-34026 afeta a plataforma de orquestração Versa Concerto SD-WAN e recebeu CVSS 9.2. O problema é um bypass de autenticação que pode permitir acesso a endpoints administrativos. A correção foi disponibilizada em abril de 2025 na versão 12.2.1 GA. CVE-2025-31125, com CVSS 5.3, afeta o Vite e envolve controle de acesso inadequado, permitindo que conteúdos de arquivos arbitrários sejam retornados ao navegador por meio de combinações de parâmetros como ?inline&import ou ?raw?import.
CVE-2025-54313, com CVSS 7.5, é diferente das demais porque está vinculada a um ataque de cadeia de suprimentos contra eslint-config-prettier e outros pacotes npm: eslint-plugin-prettier, synckit, @pkgr/core, napi-postinstall, got-fetch e is. O ataque veio à tona em julho de 2025 e envolveu uma campanha de phishing contra mantenedores. Os operadores usaram links falsos que coletavam credenciais sob o pretexto de verificação de e-mail, o que permitiu publicar versões trojanizadas.
No Zimbra, o ponto crítico é a combinação de execução remota sem autenticação com inclusão de arquivos a partir de uma área servida pela aplicação. A descrição da falha indica que a requisição manipulada ao endpoint /h/rest pode fazer a aplicação incluir arquivos do WebRoot. Para defesa, isso significa que o risco não deve ser avaliado apenas pela exposição externa do serviço, mas também pela presença de caminhos acessíveis ao mecanismo de inclusão e pelo histórico de requisições anômalas contra esse endpoint.
No Versa Concerto, a condição relevante é o bypass de autenticação em uma plataforma de orquestração SD-WAN. A consequência descrita é acesso a endpoints administrativos. Mesmo sem detalhes públicos no contexto sobre a forma exata de exploração em campo, a superfície é sensível porque consoles de orquestração concentram configuração, administração e controle operacional. A prioridade técnica é confirmar versão, exposição de interfaces administrativas e integridade das alterações recentes realizadas no ambiente.
No Vite, a falha está ligada ao retorno indevido de conteúdo de arquivos ao navegador quando determinados parâmetros de importação são usados. O impacto confirmado é exposição de conteúdo de arquivos por meio da própria resposta da aplicação ou do servidor de desenvolvimento, conforme a condição vulnerável. O dado disponível não sustenta afirmar execução remota de código, movimentação lateral ou vazamento amplo de dados; o impacto deve permanecer restrito ao acesso indevido a conteúdo de arquivos retornado pela aplicação.
Na cadeia npm, o fluxo começa fora do código da aplicação e passa pela identidade dos mantenedores. A campanha de phishing buscou credenciais por meio de links falsos, sob justificativa de manutenção de conta. Com acesso às credenciais, os operadores puderam publicar versões adulteradas de pacotes usados por desenvolvedores. O artefato malicioso associado ao eslint-config-prettier é uma DLL chamada Scavenger Loader, descrita como mecanismo para entregar um stealer de informações. Para organizações que consomem esses pacotes, a investigação precisa considerar dependências diretas, dependências transitivas, caches, artefatos de build e ambientes de CI/CD que instalaram versões afetadas.
A superfície exposta inclui servidores Zimbra ZCS anteriores à correção 10.1.13, instalações Versa Concerto anteriores à versão 12.2.1 GA, aplicações e ambientes que usam ramos vulneráveis do Vite antes das versões corrigidas, além de projetos JavaScript que consumiram os pacotes npm mencionados durante a janela do ataque de cadeia de suprimentos. A criticidade operacional varia conforme exposição à internet, função do sistema e presença de segredos em ambiente de build.
Ambientes de colaboração e orquestração exigem atenção especial porque costumam concentrar autenticação, administração e tráfego sensível. No caso do Vite, a análise deve distinguir ambientes de desenvolvimento, servidores de preview e qualquer uso em que respostas possam revelar arquivos que não deveriam ser entregues ao navegador. Para npm, o foco é reconstruir o caminho de instalação: manifesto de dependências, lockfiles, cache de pacotes, imagens de build e logs de pipeline.
- Zimbra Collaboration Suite vulnerável antes da versão 10.1.13.
- Versa Concerto SD-WAN vulnerável antes da versão 12.2.1 GA.
- Vite vulnerável antes das versões 6.2.4, 6.1.3, 6.0.13, 5.4.16 e 4.5.11.
- Projetos que instalaram
eslint-config-prettier,eslint-plugin-prettier,synckit,@pkgr/core,napi-postinstall,got-fetchouisem versões trojanizadas.
A investigação em Zimbra deve começar por logs HTTP e registros da aplicação envolvendo /h/rest, principalmente requisições incomuns, sequências de erro, acesso sem autenticação e padrões de inclusão de arquivos. Como o contexto confirma exploração ativa desde 14 de janeiro de 2026 para CVE-2025-68645, a janela de análise deve cobrir esse período e ser ampliada conforme retenção disponível. A defesa também deve correlacionar eventos de acesso com alterações de arquivos no WebRoot e falhas de aplicação associadas ao endpoint.
Para Versa Concerto, a telemetria mais útil envolve autenticação, acesso administrativo e chamadas a endpoints de gestão. O objetivo é identificar sessões sem fluxo normal de autenticação, acessos administrativos inesperados e alterações de configuração próximas ao período de exposição. Sem detalhes de exploração adicionais, a caça deve se concentrar em divergências de comportamento administrativo e em mudanças que não tenham vínculo com janelas de manutenção aprovadas.
No Vite, a busca defensiva deve procurar requisições contendo parâmetros associados ao retorno de conteúdo bruto ou importado, especialmente combinações envolvendo inline, raw e import. A análise precisa verificar quais arquivos foram solicitados, quais respostas foram geradas e se algum conteúdo sensível foi retornado ao navegador. Para npm, a telemetria deve abranger registros de instalação de pacotes, lockfiles, artefatos de pipeline, histórico de builds e qualquer execução associada ao Scavenger Loader.
- Requisições incomuns ao endpoint
/h/restem servidores Zimbra. - Acesso administrativo anômalo em Versa Concerto sem trilha de autenticação compatível.
- Parâmetros
inline,raweimportem requisições a aplicações ou servidores Vite. - Instalação de pacotes npm mencionados durante a janela relacionada ao ataque de julho de 2025.
- Execução ou carregamento de DLL associada ao
Scavenger Loaderem estáções de desenvolvimento ou ambientes de build.
A resposta deve priorizar atualização para as versões corrigidas já identificadas. Zimbra deve ser atualizado para 10.1.13 ou versão posterior aplicável; Versa Concerto deve estar em 12.2.1 GA ou versão corrigida posterior; Vite deve ser levado para 6.2.4, 6.1.3, 6.0.13, 5.4.16, 4.5.11 ou versão mais recente do ramo usado. Para organizações sujeitas à BOD 22-01, a data operacional de remediação é 12 de fevereiro de 2026.
Depois da correção, a validação não deve se limitar à presença do pacote ou binário atualizado. É necessário confirmar que instâncias antigas foram removidas, que serviços expostos foram reiniciados com a versão correta e que não há servidores paralelos, imagens antigas ou pipelines ainda consumindo dependências vulneráveis. Em ambientes com Zimbra e Versa, a revisão de logs administrativos e de alterações recentes deve acompanhar a aplicação do patch.
Para o caso npm, a mitigação exige limpeza de dependências e revisão da cadeia de build. Projetos que consumiram os pacotes citados devem verificar lockfiles, versões instaladas, caches locais e caches de CI/CD. Quando houver indício de instalação de versão trojanizada, a resposta deve incluir rotação de credenciais potencialmente expostas no ambiente de desenvolvimento ou pipeline, reconstrução de artefatos a partir de dependências confiáveis e validação de endpoints de publicação usados pelos mantenedores internos.
- Atualizar Zimbra ZCS para 10.1.13 ou versão corrigida posterior.
- Atualizar Versa Concerto para 12.2.1 GA ou versão corrigida posterior.
- Atualizar Vite para um dos ramos corrigidos informados ou versão posterior compatível.
- Revisar dependências npm, lockfiles, caches e artefatos de CI/CD relacionados aos pacotes afetados.
- Rotacionar credenciais de desenvolvimento e pipeline quando houver evidência de instalação de pacote trojanizado ou execução do artefato malicioso.
0 Comentários