Libraesva ESG emite correção emergencial para bug explorado por hackers do estado

Relatório Picus Blue 2025

A Libraesva lançou uma atualização de emergência para sua solução Email Security Gateway (ESG) para corrigir uma vulnerabilidade explorada por agentes de ameaças que se acredita serem patrocinados pelo Estado.

O produto de segurança de e-mail protege os sistemas de e-mail contra phishing, malware, spam, comprometimento de e-mail comercial e falsificação, usando uma arquitetura de proteção multicamadas.

De acordo com o fornecedor, o Libraesva ESG é usado por milhares de pequenas e médias empresas, bem como grandes empresas em todo o mundo, atendendo mais de 200.000 usuários.

O problema de segurança, rastreado em CVE-2025-59689, receberam escore de gravidade média. Ele é acionado pelo envio de um anexo de e-mail criado com códigos maliciosos e permite a execução de comandos shell arbitrários de uma conta de usuário sem privilégios.

“O Libraesva ESG é afetado por uma falha de injeção de comando que pode ser acionada por um e-mail malicioso contendo um anexo compactado especialmente criado, permitindo a execução potencial de comandos arbitrários como um usuário sem privilégios”, diz o Boletim de segurança.

“Isso ocorre devido a uma higienização inadequada durante a remoção do código ativo dos arquivos contidos em alguns formatos de arquivo compactados”, explica Libraesva.

De acordo com o fornecedor, houve pelo menos um incidente confirmado de um invasor “que se acredita ser uma entidade estatal hostil estrangeira” aproveitando a falha nos ataques.

CVE-2025-59689 afeta todas as versões do Libraesva ESG a partir de 4.5 e posteriores, mas as correções estão disponíveis no seguinte:

  • 5.0.31
  • 5.1.20
  • 5.2.31
  • 5.3.16
  • 5.4.8
  • 5.5.7

Os clientes que usam versões abaixo da 5.0 devem atualizar manualmente para uma versão compatível, pois atingiram o fim da vida útil e não receberão um patch para CVE-2025-59689.

Libraesva diz que o patch foi lançado como uma atualização de emergência 17 horas após a descoberta da exploração. A correção foi implantada automaticamente em implantações na nuvem e no local.

O patch inclui uma correção de sanitização para resolver a causa raiz da falha, uma verificação automatizada de indicadores de comprometimento para determinar se o ambiente já foi violado e um módulo de autoavaliação que verifica a aplicação correta da atualização de segurança.

O fornecedor também comentou sobre o ataque, dizendo que o agente da ameaça com foco em um único dispositivo indica precisão, destacando a importância de uma ação rápida de correção.


Relatório Picus Blue 2025

azaeo.com – datalake

File fishes formats available in:

TextoJSONJSON-LDXMLHTMLHTML SourcePDFMarkdown

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.