SóDA Novidade
Falha no FlexCity/Kiosk dá acesso à funções restritas
Falha crítica em plugin de segurança do WordPress pode abrir caminho para invasões!
Netflix anuncia turnê mundial inspirada no fenômeno KPop Demon Hunters
Fórum de Cultura cobra transparência e execução de políticas culturais em Mato Grosso
Riot enfraquece Neon e reduz precisão das escopetas no Valorant

SodaNews

Portal de notícias independente mais Geek de Mato Grosso, Brasil.

Falha no FlexCity/Kiosk dá acesso à funções restritas

Falha no FlexCity/Kiosk dá acesso à funções restritas
Joesley Santos SODA Root

“A CVE-2026-1619 trata de uma Vulnerabilidade no FlexCity/Kiosk que pode permitir que usuários contornem restrições e acessem funções protegidas em sistemas de quiosques digitais.”

Uma nova falha de segurança de alta gravidade chamou atenção de administradores que utilizam sistemas de quiosques digitais e autoatendimento, comuns em ambientes como prédios públicos, terminais de serviço, recepções, atendimento ao cidadão e totens corporativos.

Pesquisadores registraram o problema como CVE-2026-1619. A vulnerabilidade afeta o FlexCity/Kiosk, da Universal Software Inc., e recebeu nota 8,3/10 em gravidade, considerada alta pelos padrões internacionais de cibersegurança.

Na prática, o problema pode permitir que um usuário burle restrições do sistema e consiga acesso à funções que normalmente não deveria usar, situação conhecida no meio técnico como bypass de autorização (authorization bypass).

O que a falha permite

Segundo os detalhes divulgados, um usuário com algum nível de acesso ao sistema pode explorar uma falha de verificação para assumir permissões indevidas.

Em termos simples, isso significa que o sistema pode confiar em informações fornecidas pelo próprio usuário sem confirmar corretamente se elas são legítimas.

Imagine, por exemplo, um visitante de um prédio usando um terminal digital para consultar informações. Em um cenário vulnerável, alguém poderia manipular dados enviados ao sistema para acessar funções reservadas a funcionários ou administradores.

Especialistas chamam esse tipo de problema de “confiança excessiva em identificadores controlados pelo usuário” (Exploitation of Trusted Identifiers). Em outras palavras, o sistema aceita um identificador enviado pela própria pessoa sem validar corretamente se aquele acesso deveria ser permitido.

Como o ataque funciona

De acordo com a descrição técnica, a vulnerabilidade está relacionada a um mecanismo em que o próprio usuário consegue influenciar uma chave de identificação usada pelo sistema.

Na prática, isso significa que alguém pode alterar ou manipular uma informação usada para definir permissões, tentando assumir um papel diferente dentro da aplicação.

Esse tipo de falha é conhecido como “Authorization Bypass Through User-Controlled Key”, ou seja, quando um usuário consegue contornar verificações de acesso manipulando uma informação controlada por ele mesmo.

Embora o nome técnico pareça complexo, a lógica é simples: o sistema pode acabar acreditando que a pessoa tem autorização para acessar algo que, na verdade, deveria estar bloqueado.

O que um invasor poderia fazer

O impacto exato depende de como cada organização configurou o FlexCity/Kiosk.

Ainda assim, em cenários mais críticos, o invasor poderia:

  • acessar funções administrativas;
  • visualizar informações restritas;
  • alterar configurações do quiosque;
  • interferir no funcionamento do sistema;
  • acessar áreas internas reservadas.

Além disso, criminosos costumam usar esse tipo de vulnerabilidade como primeiro passo para ataques maiores. Primeiro conseguem permissões extras. Depois tentam ampliar o controle do ambiente.

Quem está em risco

A falha afeta todas as versões do FlexCity/Kiosk anteriores à 1.0.36.

Existe uma condição importante: o invasor precisa ter algum nível de acesso inicial ao sistema, mesmo que limitado (privilégio baixo PR:L no CVSS).

Isso significa que a exploração pode depender de acesso físico ao terminal, credenciais simples ou permissões básicas já existentes, dependendo da configuração usada pela organização.

Mesmo assim, o risco permanece relevante, especialmente em ambientes com muitos usuários ou terminais públicos.

O que administradores devem fazer

Especialistas recomendam atualizar imediatamente o sistema para a versão 1.0.36 ou superior.

Além disso, organizações devem:

  • revisar permissões configuradas nos quiosques;
  • limitar acessos administrativos;
  • monitorar alterações incomuns;
  • restringir funcionalidades sensíveis para perfis básicos;
  • revisar registros de acesso do sistema.

Também vale revisar se identificadores usados para autenticação ou autorização podem ser manipulados diretamente por usuários.

Resumo técnico

  • CVE: CVE-2026-1619
  • Severidade: Alta
  • CVSS: 8.3
  • Produto afetado: FlexCity/Kiosk
  • Versões afetadas: anteriores à 1.0.36
  • Impacto: acesso indevido à funções protegidas
  • Pré-requisito: acesso limitado ao sistema
  • CWE: CWE-639 (autorização baseada em identificadores controlados pelo usuário)

VEJA TAMBÉM: https://sodanews.com.br/falha-critica-em-plugin-de-seguranca-do-wordpress-pode-abrir-caminho-para-invasoes/

Deixe comentário

Seu endereço de e-mail não será publicado. Os campos necessários são marcados com *.

Comentários