A CISA adicionou três vulnerabilidades com exploração ativa ao seu catálogo KEV na segunda-feira (9): uma falha no motor V8 do Chrome que permite execução remota de código, um bug no sistema operacional da Arista Networks e uma vulnerabilidade no Cisco SD-WAN Manager sem patch disponível. As três falhas exigem correção imediata por parte de administradores de TI.
Chrome V8 sob ataque ativo
A mais crítica das três é a CVE-2026-11645, uma vulnerabilidade de leitura e escrita fora dos limites no motor JavaScript V8 do Google Chrome. Com score CVSS 8,8, a falha permite que um invasor remoto execute código arbitrário dentro do sandbox do navegador por meio de uma página HTML especialmente criada. O pesquisador “303f06e3” reportou a falha em 27 de abril e recebeu US$ 55 mil de recompensa. O Google confirmou exploração ativa e lançou correções nas versões 149.0.7827.102 e 149.0.7827.103. Este é o quinto zero-day do Chrome explorado em 2026.
Arista EOS e Cisco SD-WAN
A CVE-2026-7473 afeta o Arista Extensible Operating System (EOS) com uma falha de comparação incompleta que pode permitir acesso não autorizado em switches de data center. A Arista publicou boletim de segurança com versões corrigidas disponíveis no site oficial. Já a CVE-2026-20245 (CVSS 7,8) no Cisco Catalyst SD-WAN Manager permite que invasores autenticados executem comandos como root por upload de arquivos maliciosos. A Cisco confirmou exploração ativa, mas não possui patch ou workaround. O fabricante recomenda aplicar correções da CVE-2026-20182 (CVSS 10,0), bypass de autenticação no mesmo componente, lançadas em 14 de maio. É o sétimo zero-day do Cisco SD-WAN com exploração ativa em 2026.
Contexto das explorações
As três vulnerabilidades compartilham um traço preocupante: todas já estão sendo exploradas por atacantes no mundo real. No caso do Chrome, o Google identificou exploits circulando antes mesmo da correção, o que indica uso provável em campanhas de phishing ou watering-hole. No Cisco SD-WAN, pesquisadores da Google Mandiant descobriram que a exploração da CVE-2026-20245 resultou em alterações de configuração empurradas para dispositivos de borda, o que pode comprometer redes inteiras de uma organização. A falha do Arista EOS afeta infraestrutura crítica de data centers e redes corporativas de grande porte. A CISA reforça que essas falhas representam risco significativo não apenas para agências federais americanas, mas para qualquer organização que utilize esses produtos.
O que fazer agora
A CISA exige que agências federais americanas apliquem as correções dentro dos prazos estabelecidos pelo BOD 22-01, mas recomenda que todas as organizações tratem as três falhas como prioridade máxima. Administradores devem atualizar o Chrome imediatamente navegando em Mais > Ajuda > Sobre o Google Chrome. Para switches Arista EOS, consultar o boletim de segurança da Arista e aplicar as versões corrigidas. Em ambientes Cisco SD-WAN, analisar logs em /var/log/scripts.log buscando entradas suspeitas como uploads de CSVs inusuais e verificar se as correções para CVE-2026-20182 já foram aplicadas.
| CVE | Produto | CVSS | Patch disponível |
|---|---|---|---|
| CVE-2026-11645 | Google Chrome V8 | 8,8 | Sim (149.0.7827.102+) |
| CVE-2026-7473 | Arista EOS | — | Sim (consultar boletim) |
| CVE-2026-20245 | Cisco SD-WAN Manager | 7,8 | Não |