Splunk e Zoom anunciaram nesta semana correções (patches) para múltiplas vulnerabilidades em seus produtos, incluindo diversos defeitos de segurança críticos e de alta severidade.
Splunk
Apenas três dos cinco avisos publicados pela Splunk tratam de falhas específicas de seus produtos, enquanto os outros dois resolvem dezenas de bugs em componentes de terceiros.
As falhas específicas da Splunk incluem a CVE-2026-20296 (CVE — Common Vulnerabilities and Exposures, ou Vulnerabilidades e Exposições Comuns; um bypass de proteções de comando de alta severidade), a CVE-2026-20297 (um problema de path traversal, ou travessia de diretórios, de alta severidade) e a CVE-2026-20298 (uma divulgação de informações de média severidade).
A exploração bem-sucedida dessas vulnerabilidades pode permitir que invasores acessem credenciais e dados, gravem arquivos fora do diretório pretendido da aplicação e visualizem hashes de credenciais armazenadas.
As correções para as três falhas foram incluídas nas versões 10.4.1, 10.2.5, 10.0.8 e 9.4.13 do Splunk Enterprise, que também corrigem vulnerabilidades críticas e de alta severidade no Golang, no compilador Go, no OpenSSL e em outras bibliotecas de terceiros.
Zoom
A Zoom publicou quatro avisos que resolvem outras tantas vulnerabilidades em seus clientes e ferramentas para Windows.
A mais severa é a CVE-2026-53412 (pontuação CVSS — Common Vulnerability Scoring System, ou Sistema Comum de Pontuação de Vulnerabilidades — de 9,8), um bug crítico no Zoom Workplace e no Workplace VDI Client (cliente de Infraestrutura de Desktop Virtual) para Windows, que pode permitir que invasores remotos e não autenticados realizem ataques de tomada de conta (account takeover).
As atualizações da empresa também corrigem três falhas de alta severidade: uma condição de corrida TOCTOU (Time-of-Check to Time-of-Use, ou "tempo de verificação para tempo de uso") e dois problemas de elevação de privilégios.
Nem a Splunk nem a Zoom mencionam que essas vulnerabilidades estejam sendo exploradas em ambiente real.