A CISA adicionou em 16 de julho de 2026 três vulnerabilidades ao catálogo de falhas conhecidas e exploradas. A CVE-2026-58644 afeta o Microsoft SharePoint e permite desserialização de dados não confiáveis pela rede. A descrição publicada no NVD atribui à falha pontuação CVSS 9,8 e indica que o ataque não exige autenticação nem interação do usuário.

As outras duas entradas atingem o Fortinet FortiSandbox. A CVE-2026-25089 permite que um invasor não autenticado execute comandos por meio de requisições HTTP especialmente preparadas. A CVE-2026-39808 também permite execução de comandos sem autenticação por chamadas de API manipuladas e afeta a linha FortiSandbox 4.4 até a versão 4.4.8; o boletim orienta a atualização para 4.4.9 ou posterior. A Fortinet classificou as duas falhas como críticas, com pontuação CVSS 9,1.

A inclusão no KEV confirma evidência de exploração e definiu 19 de julho como prazo de mitigação para os órgãos federais dos Estados Unidos. Organizações devem inventariar instâncias de SharePoint e FortiSandbox, aplicar as versões corrigidas indicadas pelos fornecedores e priorizar a investigação de sinais de comprometimento, especialmente em sistemas expostos à internet.

Fonte e transparência

Fonte original: CISA

Data de publicação original: 16/07/2026

O IPSecure Hub resume e contextualiza em português do Brasil. Detalhes ofensivos, PoCs e instruções de exploração não são reproduzidos.