A SonicWall publicou atualizações para o cliente VPN NetExtender no Windows, corrigindo três vulnerabilidades de segurança, incluindo uma falha classificada como de alta gravidade. O bug mais sério, identificado como CVE-2025-23008 e com pontuação CVSS de 7,2, envolve gerenciamento inadequado de privilégios e pode ser explorado por usuários autenticados para alterar configurações do aplicativo.
Leia também
Falhas até com CVSS 9.9 em sistemas industriais
Eficácia de phishing: IA supera os de Red Teams em 24%
A falha afeta tanto as versões de 32 quanto de 64 bits do NetExtender e foi resolvida na versão 10.3.2 do cliente para Windows. A atualização também corrige duas vulnerabilidades de gravidade média: uma que permite manipulação de caminhos de arquivos (CVE-2025-23010) e outra que pode levar à exclusão arbitrária de arquivos (CVE-2025-23009).
Segundo a SonicWall, não há indícios de exploração ativa dessas vulnerabilidades. Ainda assim, a empresa recomenda que os usuários atualizem imediatamente para a versão corrigida. O cliente NetExtender para Linux não é afetado pelos problemas.
Historicamente, produtos da SonicWall têm sido alvo de ataques. Em 2025, duas falhas da empresa já foram exploradas: um bug de execução remota de código no Secure Mobile Access (CVE-2025-23006) e um desvio de autenticação em firewalls (CVE-2024-53704).
