A CISA (Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos) adicionou uma falha de cross-site scripting (XSS) ao seu Catálogo de Vulnerabilidades Exploradas Conhecidas, confirmando que o bug está sendo ativamente utilizado por cibercriminosos em ataques reais. A vulnerabilidade afeta aplicações web que não validam corretamente entradas de usuários, permitindo que invasores injetem scripts maliciosos diretamente em páginas legítimas.
Quando um usuário acessa essas páginas, o script é executado em seu navegador como se fosse parte do site original, abrindo espaço para roubo de credenciais, sequestro de sessões e disseminação de conteúdo malicioso. A CISA não especificou publicamente qual software ou sistema está diretamente associado à falha recém-adicionada, mas sua inclusão na lista KEV significa que agências federais dos EUA são obrigadas a aplicar correções em até 21 dias. Essa exigência reforça a gravidade do problema e serve de alerta também para organizações privadas e internacionais.
Falhas XSS são consideradas comuns, mas extremamente perigosas quando exploradas em aplicações amplamente acessadas, como portais corporativos, plataformas de e-commerce e interfaces administrativas. O fato de estar sendo usada em ataques reais eleva seu risco a um novo patamar. A recomendação para desenvolvedores e administradores de sistemas é revisar urgentemente suas aplicações web, validar corretamente toda entrada de usuário, escapar saídas exibidas em HTML e implementar políticas de segurança como Content Security Policy (CSP) para mitigar o impacto de eventuais explorações.
