A SonicWall publicou ontem (29 de abril) correções para três vulnerabilidades no SonicOS, sistema operacional de seus firewalls, e classificou uma delas como de alta gravidade. De acordo com o comunicado da empresa, as falhas podem permitir que atacantes contornem controles de segurança, acessem serviços restritos ou causem queda (crash) dos equipamentos. A empresa afirmou que as falhas exigem “atualizações imediatas de firmware para manter a postura de segurança”.
Falhas e impactos
A vulnerabilidade de alta severidade, registrada como CVE-2026-0204 (CVSS ainda não informado), permite que invasores contornem controles de acesso e acessem certas funções da interface de gerenciamento, conforme detalhou a SonicWall em seu aviso. A empresa alertou que um atacante com acesso à interface de gerenciamento poderia modificar configurações do firewall e desabilitar proteções de segurança.
Sobre as duas falhas de gravidade média, a primeira (CVE-2026-0205) é uma fraqueza de path traversal que poderia ser explorada para interagir com serviços restritos. Já a segunda (CVE-2026-0206) permite que atacantes remotos provoquem a queda de firewalls vulneráveis, segundo a SonicWall. A empresa esclareceu que ambas as vulnerabilidades de gravidade média exigem autenticação para serem exploradas com sucesso.
Sistemas afetados e correção
As três vulnerabilidades afetam dezenas de firewalls das gerações 6, 7 e 8 da empresa, que estejam executando versões de firmware até 6.5.5.1-6n, 7.0.1-5169, 7.3.1-7013 e 8.1.0-8017. O comunicado da SonicWall informa que as correções foram incluídas nos firmwares 6.5.5.2-28n, 7.3.2-7010 e 8.2.0-8009.
A empresa recomenda que clientes atualizem seus aparelhos o mais rápido possível ou restrinjam o acesso de gerenciamento apenas a SSH até que o patch seja aplicado, desabilitando o gerenciamento baseado em HTTP/HTTPS e o SSLVPN em todas as interfaces. A SonicWall reforçou que “a aplicação do firmware corrigido é fortemente recomendada” e que as restrições de acesso ao gerenciamento são mitigações temporárias. A empresa não mencionou nenhuma exploração ativa dessas falhas.
