Algumas ameaças e riscos cibernéticos são mais comuns do que outros. Na verdade, há tantos que existe uma lista de vulnerabilidades e exposições comuns (CVEs), que os profissionais de TI podem usar para garantir que estão a abordar potenciais vulnerabilidades e manter os seus sistemas seguros.
As CVEs são importantes de conhecer ao gerir vulnerabilidades, lançar patches de segurança e cumprir os requisitos de conformidade de TI. As CVEs são catalogadas pela MITRE, enquanto recursos relacionados como o NVD e o MITRE ATT&CK framework fornecem contexto adicional sobre vulnerabilidades e métodos de ataque e orientação para abordá-los, para que os líderes de TI e equipas de cibersegurança possam proteger eficazmente os seus sistemas.
Com isso em mente, é hora de dar uma olhada nas vulnerabilidades CVE, por que entendê-las é importante e como a Splashtop te ajuda a gerenciá-las para manter os teus endpoints seguros.
O que é CVE (Vulnerabilidades e Exposições Comuns)?
CVE, que significa “Common Vulnerabilities and Exposures”, é uma lista de falhas de segurança conhecidas e divulgadas publicamente. Cada vulnerabilidade CVE é atribuída a um número de ID CVE, como CVE-2025-6428 ou CVE-2025-30259, facilitando o seu reporte e acompanhamento.
O sistema CVE é criado e mantido pela MITRE Corporation, uma empresa de pesquisa e desenvolvimento financiada pelo governo dos EUA. Os IDs CVE são atribuídos por uma Autoridade de Numeração CVE (CNA), que inclui empresas de segurança, organizações de pesquisa e fornecedores de TI como Microsoft, Oracle e IBM. Juntos, eles registaram mais de 288.000 registos CVE, que podem ser encontrados em cve.org. A Agência de Segurança Cibernética e de Infraestrutura (CISA) fornece apoio e financiamento ao sistema CVE.
Embora existam várias listas de riscos e vulnerabilidades de cibersegurança disponíveis, as entradas CVE tendem a ser breves, fornecendo apenas uma descrição concisa da vulnerabilidade. Agentes de TI ou equipas de segurança que procuram mais informações sobre uma vulnerabilidade CVE vão querer cruzar referências com outras bases de dados, como a US National Vulnerability Database (NVD) ou CERT/CC Vulnerability Notes Database, que fornecem detalhes mais extensos sobre os seus riscos, impacto e formas de resolvê-la.
No entanto, os IDs CVE continuam a ser uma ferramenta fiável e útil para identificar vulnerabilidades e desenvolver ferramentas de segurança, soluções e correções que possam resolvê-las.
Por que as Vulnerabilidades CVE são Críticas para Abordar
Ignorar uma vulnerabilidade é como convidar hackers e oferecer os seus dados (e pior, os dados dos seus clientes) numa bandeja de prata.
Por exemplo, em julho de 2025, o McDonald's sofreu uma grande violação de dados quando o seu sistema de contratação com IA foi comprometido devido a uma série de erros de cibersegurança, incluindo a falta de controlos de acesso e a ausência de monitorização (juntamente com um erro humano significativo). Isso permitiu que investigadores de segurança acedessem a dados pessoais ao entrarem numa conta de administrador antiga, colocando em risco as informações pessoais de milhões de candidatos a emprego. Se o McDonald's tivesse trabalhado para identificar e resolver essas falhas de segurança, poderia ter fechado as vulnerabilidades e protegido as informações pessoais.
Na verdade, entender e abordar as vulnerabilidades CVE é um requisito para a maioria das empresas. Por exemplo, muitos frameworks de segurança, como SOC 2, ISO 27001, e conformidade com HIPAA, exigem proteção contra CVEs relevantes. Não considerar as vulnerabilidades comuns significa não cumprir os requisitos regulamentares.
Deixar vulnerabilidades sem correção, especialmente vulnerabilidades comuns, é convidar o desastre. Vulnerabilidades não corrigidas fornecem um ponto de entrada fácil para hackers e outros maus atores, dando-lhes acesso fácil ao seu sistema. Isso pode levar a ransomware, violações de dados e outros ciberataques que podem causar danos significativos ao seu negócio, finanças e reputação (sem mencionar as pesadas multas por não cumprir os requisitos de segurança de TI).
Termos Relacionados a CVE Que Precisas Conhecer
Dito isso, há vários termos (e acrónimos associados) para CVEs que podem ser confusos. Então, vamos descomplicar os termos CVE que vais querer conhecer, o que significam e por que são importantes.
CVSS (Common Vulnerability Scoring System): O Common Vulnerability Scoring System (CVSS) classifica a gravidade dos CVEs numa escala de 0 a 10. Embora todas as vulnerabilidades devam ser tratadas, quanto maior o número CVSS, mais importante é resolver a vulnerabilidade imediatamente.
CWE (Common Weakness Enumeration): CWE é uma lista desenvolvida pela comunidade de fraquezas comuns de hardware e software; estas são as categorias de causas raiz que podem ter implicações de segurança. A lista CWE ajuda a identificar e descrever estas fraquezas para que possam ser resolvidas.
EPSS (Exploit Prediction Scoring System): O EPSS é um sistema de pontuação que classifica a probabilidade de um CVE ser explorado ativamente. É projetado para ajudar as equipas de TI e segurança a priorizar os esforços de remediação, usando vários pontos de dados para estimar a possibilidade de uma vulnerabilidade ser explorada nos próximos 30 dias.
Catálogo de Vulnerabilidades Exploradas Conhecidas (KEV): O catálogo KEV hospeda todas as Vulnerabilidades Exploradas Conhecidas sinalizadas pela CISA. As organizações podem usá-lo para guiar a sua estrutura de priorização de gestão de vulnerabilidades e aprender mais sobre o que são certas vulnerabilidades e como podem ser resolvidas.
Exemplos Reais de Vulnerabilidades CVE
Podemos entender melhor o que são as vulnerabilidades CVE e como são abordadas examinando alguns exemplos de vulnerabilidades comuns. Estas são algumas vulnerabilidades CVE reais e recentes:
CVE-2025-53770 é uma vulnerabilidade de execução remota de código para servidores Microsoft SharePoint. É uma falha crítica de desserialização sob ataque ativo, que permite que atacantes não autorizados executem código através de uma rede, com uma pontuação de gravidade de 9.8, tornando-a uma prioridade alta a ser abordada. Enquanto a Microsoft trabalha numa atualização para resolver a vulnerabilidade, os utilizadores devem tomar medidas para mitigar a ameaça, como definir explicitamente objetos finais para evitar a desserialização.
CVE-2025-6558 é uma vulnerabilidade zero-day no Chrome, onde atacantes remotos podem usar páginas HTML criadas para permitir a execução não autorizada de código num ambiente sandbox (também conhecido como “escape de sandbox”). Tem uma pontuação de severidade de 8.8, por isso é recomendado que os utilizadores instalem a atualização do canal Stable que apresenta um patch de segurança para o CVE.
CVE-2025-48530 é uma vulnerabilidade relativamente nova descoberta em dispositivos que usam Android 16. Esta é uma vulnerabilidade de segurança crítica que pode levar à execução remota de código sem necessidade de privilégios de execução ou interação do utilizador. Recomenda-se que os utilizadores instalem imediatamente o patch de segurança que a resolve, antes que possa ser explorada.
Como Pesquisar, Rastrear e Priorizar CVEs
Existem cerca de 300.000 registos CVE disponíveis, por isso, percorrê-los para encontrar as vulnerabilidades relevantes para o seu negócio e software pode ser uma tarefa hercúlea. Felizmente, existem ferramentas para tornar isso mais fácil, incluindo ferramentas de pesquisa e filtro que podem ajudá-lo a encontrar CVEs relevantes.
Primeiro, existem recursos e bases de dados que contêm informações sobre vulnerabilidades CVE. Estes incluem CVE.org, NVD.nist.gov, CVE Details, e CVE Vault, todos os quais contêm informações como detalhes, pontuações de gravidade e formas recomendadas de mitigar vulnerabilidades.
Ao pesquisar, é importante filtrar as suas pesquisas para encontrar as informações mais relevantes e importantes. As bases de dados geralmente permitem que os utilizadores filtrem pesquisas por fornecedor, produto, data, pontuação CVSS e tipo CWE; quanto mais filtros usar, mais precisos serão os resultados. Sites como o National Vulnerability Database (NVD) também incluem ferramentas de pesquisa avançadas que permitem filtrar por status de lista, tags, plataformas e mais.
Por exemplo, se usar o Microsoft 365 e quiser garantir que está protegido dos CVEs potencialmente mais danosos, pode incluir filtros para “Microsoft” para a empresa, “Microsoft 365” para o produto, e “Crítico” para a gravidade. Isso ajudará a encontrar os CVEs que podem ter o maior impacto, permitindo que priorize a sua abordagem para mitigá-los.
Claro, também ajuda usar uma solução que possa usar automaticamente dados CVE em tempo real para identificar ameaças e remediá-las rapidamente. Splashtop AEM (Gestão autónoma de terminais) é exatamente uma dessas soluções, pois utiliza dados CVE para identificar e priorizar ameaças. Isso ajuda a reduzir o risco, completo com alertas proativos e remediação, juntamente com correção em tempo real para manter os seus sistemas operativos e aplicações atualizados.
Como a Splashtop Ajuda a Gerir CVEs
Dado o vasto número de CVEs a ter em conta, pode parecer avassalador – como é que alguém deve proteger-se contra tantas vulnerabilidades? Felizmente, a maioria dos CVEs pode ser resolvida com patches existentes, e com as ferramentas certas, pode facilmente gerir todos os seus endpoints e apps para mantê-los protegidos.
É aqui que entra o Splashtop AEM. Splashtop AEM pode identificar ameaças usando dados CVE em tempo real e fornece correções em tempo real em sistemas operativos e aplicações de terceiros, ajudando as organizações a manter os seus dispositivos e redes seguros. Como uma solução de gestão de endpoints, Splashtop AEM pode gerir, atualizar e proteger dispositivos remotos em um ambiente distribuído, para que possa apoiar os funcionários de qualquer lugar.
Quando o Splashtop AEM identifica uma ameaça ou vulnerabilidade, envia imediatamente alertas em tempo real para que as equipas de TI possam responder rapidamente. Pode usar o Splashtop AEM para procurar vulnerabilidades por CVE ou filtrar por gravidade para garantir que está a implementar atualizações críticas, e sempre que um novo patch estiver disponível, a gestão de patches do Splashtop AEM pode agendar e implementar automaticamente atualizações em todos os seus endpoints. Pode até definir regras para implementações com base em política, nível de risco ou grupo de dispositivos.
Para ainda mais segurança, o Splashtop AEM integra-se com muitas das principais ferramentas de segurança, como CrowdStrike e Bitdefender. Além disso, o Splashtop AEM fornece registos prontos para auditoria, para que possa demonstrar conformidade com todos os seus padrões e regulamentos de segurança.
Splashtop AEM dá às equipas de TI os recursos de que precisam para monitorizar endpoints, proteger dispositivos e reduzir as suas cargas de trabalho, incluindo:
Patching automatizado para sistemas operativos e aplicações.
Insights de vulnerabilidade baseados em CVE com tecnologia de IA.
Estruturas de políticas personalizáveis que podem ser aplicadas em todos os endpoints.
Acompanha e gere o teu inventário em todos os endpoints.
Alertas e ferramentas de remediação automática para resolver problemas antes que se tornem problemas.
Ações em segundo plano para aceder a ferramentas e gestores de tarefas sem interromper o trabalho.
Quer saber mais ou ver o Splashtop AEM por si mesmo? Comece hoje com um teste gratuito.
