0xFF).
Conferências: DVRTC em 3 Eventos
A temporada de conferências SIP está a todo vapor. O laboratório Damn Vulnerable Real-Time Communications (DVRTC), um ambiente intencionalmente vulnerável para treinamento em segurança VoIP/WebRTC, será apresentado em três eventos: OpenSIPS Summit (28 de abril, Bucareste), Kamailio World (7-8 de maio, Berlim) e CommCon (9-11 de junho, Düsseldorf). Serão três ângulos diferentes: extensão com OpenSIPS/FreeSWITCH, o stack original Kamailio/Asterisk/rtpengine, e um novo cenário focado em ataques a WebRTC conferencing.
A tendência é clara: a IA está sendo apontada para codebases C/C++ de RTC em escala industrial, e as descobertas estão se acelerando. Para mantenedores de projetos e equipes de segurança, o momento de revisar dependências e versões é agora.
Análise baseada no RTCSec news — April 2026, por Sandro Gauci e Enable Security. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
Chrome WebRTC Use-After-Free (CVE-2026-5860): Chrome 147 corrige um UAF de alta severidade no WebRTC que permite RCE dentro do sandbox do navegador via uma página HTML maliciosa. Bounty de $11k.Grandstream MFA Obrigatório: A partir de 7 de abril, o GDMS (Grandstream Device Management System) passou a exigir MFA para todos os usuários.Neko Privilege Escalation (CVE-2026-39386): Neko, um navegador virtual self-hosted que streama desktop remoto via WebRTC, permite que qualquer usuário autenticado ganhe controle admin total. Corrigido nas versões 3.0.11 e 3.1.2.FreePBX Command Injection (CVE-2026-40520): Injeção de comandos no módulo API do FreePBX (versões 17.0.8 e anteriores) via mutações GraphQL não sanitizadas. CVSS 8.6.Mitel MiCollab AWV SQLi + PrivEsc: Duas falhas encadeáveis no componente Audio, Web, Video Conferencing: SQL injection não autenticada (CVSS 9.8) e escalação de privilégio autenticada (CVSS 6.7). Corrigido no MiCollab 10.2 SP1.ZLMediaKit VP9 Heap Overflow (CVE-2026-35203): Heap buffer overflow no parser de payload RTP VP9, acionável com um payload de 1 byte (0xFF).
Conferências: DVRTC em 3 Eventos
A temporada de conferências SIP está a todo vapor. O laboratório Damn Vulnerable Real-Time Communications (DVRTC), um ambiente intencionalmente vulnerável para treinamento em segurança VoIP/WebRTC, será apresentado em três eventos: OpenSIPS Summit (28 de abril, Bucareste), Kamailio World (7-8 de maio, Berlim) e CommCon (9-11 de junho, Düsseldorf). Serão três ângulos diferentes: extensão com OpenSIPS/FreeSWITCH, o stack original Kamailio/Asterisk/rtpengine, e um novo cenário focado em ataques a WebRTC conferencing.
A tendência é clara: a IA está sendo apontada para codebases C/C++ de RTC em escala industrial, e as descobertas estão se acelerando. Para mantenedores de projetos e equipes de segurança, o momento de revisar dependências e versões é agora.
Análise baseada no RTCSec news — April 2026, por Sandro Gauci e Enable Security. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
- Chrome WebRTC Use-After-Free (CVE-2026-5860): Chrome 147 corrige um UAF de alta severidade no WebRTC que permite RCE dentro do sandbox do navegador via uma página HTML maliciosa. Bounty de $11k.Grandstream MFA Obrigatório: A partir de 7 de abril, o GDMS (Grandstream Device Management System) passou a exigir MFA para todos os usuários.Neko Privilege Escalation (CVE-2026-39386): Neko, um navegador virtual self-hosted que streama desktop remoto via WebRTC, permite que qualquer usuário autenticado ganhe controle admin total. Corrigido nas versões 3.0.11 e 3.1.2.FreePBX Command Injection (CVE-2026-40520): Injeção de comandos no módulo API do FreePBX (versões 17.0.8 e anteriores) via mutações GraphQL não sanitizadas. CVSS 8.6.Mitel MiCollab AWV SQLi + PrivEsc: Duas falhas encadeáveis no componente Audio, Web, Video Conferencing: SQL injection não autenticada (CVSS 9.8) e escalação de privilégio autenticada (CVSS 6.7). Corrigido no MiCollab 10.2 SP1.ZLMediaKit VP9 Heap Overflow (CVE-2026-35203): Heap buffer overflow no parser de payload RTP VP9, acionável com um payload de 1 byte (
0xFF).Conferências: DVRTC em 3 Eventos
A temporada de conferências SIP está a todo vapor. O laboratório Damn Vulnerable Real-Time Communications (DVRTC), um ambiente intencionalmente vulnerável para treinamento em segurança VoIP/WebRTC, será apresentado em três eventos: OpenSIPS Summit (28 de abril, Bucareste), Kamailio World (7-8 de maio, Berlim) e CommCon (9-11 de junho, Düsseldorf). Serão três ângulos diferentes: extensão com OpenSIPS/FreeSWITCH, o stack original Kamailio/Asterisk/rtpengine, e um novo cenário focado em ataques a WebRTC conferencing.
A tendência é clara: a IA está sendo apontada para codebases C/C++ de RTC em escala industrial, e as descobertas estão se acelerando. Para mantenedores de projetos e equipes de segurança, o momento de revisar dependências e versões é agora.
Análise baseada no RTCSec news — April 2026, por Sandro Gauci e Enable Security. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
- Chrome WebRTC Use-After-Free (CVE-2026-5860): Chrome 147 corrige um UAF de alta severidade no WebRTC que permite RCE dentro do sandbox do navegador via uma página HTML maliciosa. Bounty de $11k.Grandstream MFA Obrigatório: A partir de 7 de abril, o GDMS (Grandstream Device Management System) passou a exigir MFA para todos os usuários.Neko Privilege Escalation (CVE-2026-39386): Neko, um navegador virtual self-hosted que streama desktop remoto via WebRTC, permite que qualquer usuário autenticado ganhe controle admin total. Corrigido nas versões 3.0.11 e 3.1.2.FreePBX Command Injection (CVE-2026-40520): Injeção de comandos no módulo API do FreePBX (versões 17.0.8 e anteriores) via mutações GraphQL não sanitizadas. CVSS 8.6.Mitel MiCollab AWV SQLi + PrivEsc: Duas falhas encadeáveis no componente Audio, Web, Video Conferencing: SQL injection não autenticada (CVSS 9.8) e escalação de privilégio autenticada (CVSS 6.7). Corrigido no MiCollab 10.2 SP1.ZLMediaKit VP9 Heap Overflow (CVE-2026-35203): Heap buffer overflow no parser de payload RTP VP9, acionável com um payload de 1 byte (
0xFF).Conferências: DVRTC em 3 Eventos
A temporada de conferências SIP está a todo vapor. O laboratório Damn Vulnerable Real-Time Communications (DVRTC), um ambiente intencionalmente vulnerável para treinamento em segurança VoIP/WebRTC, será apresentado em três eventos: OpenSIPS Summit (28 de abril, Bucareste), Kamailio World (7-8 de maio, Berlim) e CommCon (9-11 de junho, Düsseldorf). Serão três ângulos diferentes: extensão com OpenSIPS/FreeSWITCH, o stack original Kamailio/Asterisk/rtpengine, e um novo cenário focado em ataques a WebRTC conferencing.
A tendência é clara: a IA está sendo apontada para codebases C/C++ de RTC em escala industrial, e as descobertas estão se acelerando. Para mantenedores de projetos e equipes de segurança, o momento de revisar dependências e versões é agora.
Análise baseada no RTCSec news — April 2026, por Sandro Gauci e Enable Security. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
Neko Privilege Escalation (CVE-2026-39386): Neko, um navegador virtual self-hosted que streama desktop remoto via WebRTC, permite que qualquer usuário autenticado ganhe controle admin total. Corrigido nas versões 3.0.11 e 3.1.2.FreePBX Command Injection (CVE-2026-40520): Injeção de comandos no módulo API do FreePBX (versões 17.0.8 e anteriores) via mutações GraphQL não sanitizadas. CVSS 8.6.Mitel MiCollab AWV SQLi + PrivEsc: Duas falhas encadeáveis no componente Audio, Web, Video Conferencing: SQL injection não autenticada (CVSS 9.8) e escalação de privilégio autenticada (CVSS 6.7). Corrigido no MiCollab 10.2 SP1.ZLMediaKit VP9 Heap Overflow (CVE-2026-35203): Heap buffer overflow no parser de payload RTP VP9, acionável com um payload de 1 byte (0xFF).
Conferências: DVRTC em 3 Eventos
A temporada de conferências SIP está a todo vapor. O laboratório Damn Vulnerable Real-Time Communications (DVRTC), um ambiente intencionalmente vulnerável para treinamento em segurança VoIP/WebRTC, será apresentado em três eventos: OpenSIPS Summit (28 de abril, Bucareste), Kamailio World (7-8 de maio, Berlim) e CommCon (9-11 de junho, Düsseldorf). Serão três ângulos diferentes: extensão com OpenSIPS/FreeSWITCH, o stack original Kamailio/Asterisk/rtpengine, e um novo cenário focado em ataques a WebRTC conferencing.
A tendência é clara: a IA está sendo apontada para codebases C/C++ de RTC em escala industrial, e as descobertas estão se acelerando. Para mantenedores de projetos e equipes de segurança, o momento de revisar dependências e versões é agora.
Análise baseada no RTCSec news — April 2026, por Sandro Gauci e Enable Security. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
- Chrome WebRTC Use-After-Free (CVE-2026-5860): Chrome 147 corrige um UAF de alta severidade no WebRTC que permite RCE dentro do sandbox do navegador via uma página HTML maliciosa. Bounty de $11k.Grandstream MFA Obrigatório: A partir de 7 de abril, o GDMS (Grandstream Device Management System) passou a exigir MFA para todos os usuários.Neko Privilege Escalation (CVE-2026-39386): Neko, um navegador virtual self-hosted que streama desktop remoto via WebRTC, permite que qualquer usuário autenticado ganhe controle admin total. Corrigido nas versões 3.0.11 e 3.1.2.FreePBX Command Injection (CVE-2026-40520): Injeção de comandos no módulo API do FreePBX (versões 17.0.8 e anteriores) via mutações GraphQL não sanitizadas. CVSS 8.6.Mitel MiCollab AWV SQLi + PrivEsc: Duas falhas encadeáveis no componente Audio, Web, Video Conferencing: SQL injection não autenticada (CVSS 9.8) e escalação de privilégio autenticada (CVSS 6.7). Corrigido no MiCollab 10.2 SP1.ZLMediaKit VP9 Heap Overflow (CVE-2026-35203): Heap buffer overflow no parser de payload RTP VP9, acionável com um payload de 1 byte (
0xFF).Conferências: DVRTC em 3 Eventos
A temporada de conferências SIP está a todo vapor. O laboratório Damn Vulnerable Real-Time Communications (DVRTC), um ambiente intencionalmente vulnerável para treinamento em segurança VoIP/WebRTC, será apresentado em três eventos: OpenSIPS Summit (28 de abril, Bucareste), Kamailio World (7-8 de maio, Berlim) e CommCon (9-11 de junho, Düsseldorf). Serão três ângulos diferentes: extensão com OpenSIPS/FreeSWITCH, o stack original Kamailio/Asterisk/rtpengine, e um novo cenário focado em ataques a WebRTC conferencing.
A tendência é clara: a IA está sendo apontada para codebases C/C++ de RTC em escala industrial, e as descobertas estão se acelerando. Para mantenedores de projetos e equipes de segurança, o momento de revisar dependências e versões é agora.
Análise baseada no RTCSec news — April 2026, por Sandro Gauci e Enable Security. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
Grandstream MFA Obrigatório: A partir de 7 de abril, o GDMS (Grandstream Device Management System) passou a exigir MFA para todos os usuários.Neko Privilege Escalation (CVE-2026-39386): Neko, um navegador virtual self-hosted que streama desktop remoto via WebRTC, permite que qualquer usuário autenticado ganhe controle admin total. Corrigido nas versões 3.0.11 e 3.1.2.FreePBX Command Injection (CVE-2026-40520): Injeção de comandos no módulo API do FreePBX (versões 17.0.8 e anteriores) via mutações GraphQL não sanitizadas. CVSS 8.6.Mitel MiCollab AWV SQLi + PrivEsc: Duas falhas encadeáveis no componente Audio, Web, Video Conferencing: SQL injection não autenticada (CVSS 9.8) e escalação de privilégio autenticada (CVSS 6.7). Corrigido no MiCollab 10.2 SP1.ZLMediaKit VP9 Heap Overflow (CVE-2026-35203): Heap buffer overflow no parser de payload RTP VP9, acionável com um payload de 1 byte (0xFF).
Conferências: DVRTC em 3 Eventos
A temporada de conferências SIP está a todo vapor. O laboratório Damn Vulnerable Real-Time Communications (DVRTC), um ambiente intencionalmente vulnerável para treinamento em segurança VoIP/WebRTC, será apresentado em três eventos: OpenSIPS Summit (28 de abril, Bucareste), Kamailio World (7-8 de maio, Berlim) e CommCon (9-11 de junho, Düsseldorf). Serão três ângulos diferentes: extensão com OpenSIPS/FreeSWITCH, o stack original Kamailio/Asterisk/rtpengine, e um novo cenário focado em ataques a WebRTC conferencing.
A tendência é clara: a IA está sendo apontada para codebases C/C++ de RTC em escala industrial, e as descobertas estão se acelerando. Para mantenedores de projetos e equipes de segurança, o momento de revisar dependências e versões é agora.
Análise baseada no RTCSec news — April 2026, por Sandro Gauci e Enable Security. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
- Chrome WebRTC Use-After-Free (CVE-2026-5860): Chrome 147 corrige um UAF de alta severidade no WebRTC que permite RCE dentro do sandbox do navegador via uma página HTML maliciosa. Bounty de $11k.Grandstream MFA Obrigatório: A partir de 7 de abril, o GDMS (Grandstream Device Management System) passou a exigir MFA para todos os usuários.Neko Privilege Escalation (CVE-2026-39386): Neko, um navegador virtual self-hosted que streama desktop remoto via WebRTC, permite que qualquer usuário autenticado ganhe controle admin total. Corrigido nas versões 3.0.11 e 3.1.2.FreePBX Command Injection (CVE-2026-40520): Injeção de comandos no módulo API do FreePBX (versões 17.0.8 e anteriores) via mutações GraphQL não sanitizadas. CVSS 8.6.Mitel MiCollab AWV SQLi + PrivEsc: Duas falhas encadeáveis no componente Audio, Web, Video Conferencing: SQL injection não autenticada (CVSS 9.8) e escalação de privilégio autenticada (CVSS 6.7). Corrigido no MiCollab 10.2 SP1.ZLMediaKit VP9 Heap Overflow (CVE-2026-35203): Heap buffer overflow no parser de payload RTP VP9, acionável com um payload de 1 byte (
0xFF).Conferências: DVRTC em 3 Eventos
A temporada de conferências SIP está a todo vapor. O laboratório Damn Vulnerable Real-Time Communications (DVRTC), um ambiente intencionalmente vulnerável para treinamento em segurança VoIP/WebRTC, será apresentado em três eventos: OpenSIPS Summit (28 de abril, Bucareste), Kamailio World (7-8 de maio, Berlim) e CommCon (9-11 de junho, Düsseldorf). Serão três ângulos diferentes: extensão com OpenSIPS/FreeSWITCH, o stack original Kamailio/Asterisk/rtpengine, e um novo cenário focado em ataques a WebRTC conferencing.
A tendência é clara: a IA está sendo apontada para codebases C/C++ de RTC em escala industrial, e as descobertas estão se acelerando. Para mantenedores de projetos e equipes de segurança, o momento de revisar dependências e versões é agora.
Análise baseada no RTCSec news — April 2026, por Sandro Gauci e Enable Security. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
Chrome WebRTC Use-After-Free (CVE-2026-5860): Chrome 147 corrige um UAF de alta severidade no WebRTC que permite RCE dentro do sandbox do navegador via uma página HTML maliciosa. Bounty de $11k.Grandstream MFA Obrigatório: A partir de 7 de abril, o GDMS (Grandstream Device Management System) passou a exigir MFA para todos os usuários.Neko Privilege Escalation (CVE-2026-39386): Neko, um navegador virtual self-hosted que streama desktop remoto via WebRTC, permite que qualquer usuário autenticado ganhe controle admin total. Corrigido nas versões 3.0.11 e 3.1.2.FreePBX Command Injection (CVE-2026-40520): Injeção de comandos no módulo API do FreePBX (versões 17.0.8 e anteriores) via mutações GraphQL não sanitizadas. CVSS 8.6.Mitel MiCollab AWV SQLi + PrivEsc: Duas falhas encadeáveis no componente Audio, Web, Video Conferencing: SQL injection não autenticada (CVSS 9.8) e escalação de privilégio autenticada (CVSS 6.7). Corrigido no MiCollab 10.2 SP1.ZLMediaKit VP9 Heap Overflow (CVE-2026-35203): Heap buffer overflow no parser de payload RTP VP9, acionável com um payload de 1 byte (0xFF).
Conferências: DVRTC em 3 Eventos
A temporada de conferências SIP está a todo vapor. O laboratório Damn Vulnerable Real-Time Communications (DVRTC), um ambiente intencionalmente vulnerável para treinamento em segurança VoIP/WebRTC, será apresentado em três eventos: OpenSIPS Summit (28 de abril, Bucareste), Kamailio World (7-8 de maio, Berlim) e CommCon (9-11 de junho, Düsseldorf). Serão três ângulos diferentes: extensão com OpenSIPS/FreeSWITCH, o stack original Kamailio/Asterisk/rtpengine, e um novo cenário focado em ataques a WebRTC conferencing.
A tendência é clara: a IA está sendo apontada para codebases C/C++ de RTC em escala industrial, e as descobertas estão se acelerando. Para mantenedores de projetos e equipes de segurança, o momento de revisar dependências e versões é agora.
Análise baseada no RTCSec news — April 2026, por Sandro Gauci e Enable Security. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
- Chrome WebRTC Use-After-Free (CVE-2026-5860): Chrome 147 corrige um UAF de alta severidade no WebRTC que permite RCE dentro do sandbox do navegador via uma página HTML maliciosa. Bounty de $11k.Grandstream MFA Obrigatório: A partir de 7 de abril, o GDMS (Grandstream Device Management System) passou a exigir MFA para todos os usuários.Neko Privilege Escalation (CVE-2026-39386): Neko, um navegador virtual self-hosted que streama desktop remoto via WebRTC, permite que qualquer usuário autenticado ganhe controle admin total. Corrigido nas versões 3.0.11 e 3.1.2.FreePBX Command Injection (CVE-2026-40520): Injeção de comandos no módulo API do FreePBX (versões 17.0.8 e anteriores) via mutações GraphQL não sanitizadas. CVSS 8.6.Mitel MiCollab AWV SQLi + PrivEsc: Duas falhas encadeáveis no componente Audio, Web, Video Conferencing: SQL injection não autenticada (CVSS 9.8) e escalação de privilégio autenticada (CVSS 6.7). Corrigido no MiCollab 10.2 SP1.ZLMediaKit VP9 Heap Overflow (CVE-2026-35203): Heap buffer overflow no parser de payload RTP VP9, acionável com um payload de 1 byte (
0xFF).Conferências: DVRTC em 3 Eventos
A temporada de conferências SIP está a todo vapor. O laboratório Damn Vulnerable Real-Time Communications (DVRTC), um ambiente intencionalmente vulnerável para treinamento em segurança VoIP/WebRTC, será apresentado em três eventos: OpenSIPS Summit (28 de abril, Bucareste), Kamailio World (7-8 de maio, Berlim) e CommCon (9-11 de junho, Düsseldorf). Serão três ângulos diferentes: extensão com OpenSIPS/FreeSWITCH, o stack original Kamailio/Asterisk/rtpengine, e um novo cenário focado em ataques a WebRTC conferencing.
A tendência é clara: a IA está sendo apontada para codebases C/C++ de RTC em escala industrial, e as descobertas estão se acelerando. Para mantenedores de projetos e equipes de segurança, o momento de revisar dependências e versões é agora.
Análise baseada no RTCSec news — April 2026, por Sandro Gauci e Enable Security. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
- Chrome WebRTC Use-After-Free (CVE-2026-5860): Chrome 147 corrige um UAF de alta severidade no WebRTC que permite RCE dentro do sandbox do navegador via uma página HTML maliciosa. Bounty de $11k.Grandstream MFA Obrigatório: A partir de 7 de abril, o GDMS (Grandstream Device Management System) passou a exigir MFA para todos os usuários.Neko Privilege Escalation (CVE-2026-39386): Neko, um navegador virtual self-hosted que streama desktop remoto via WebRTC, permite que qualquer usuário autenticado ganhe controle admin total. Corrigido nas versões 3.0.11 e 3.1.2.FreePBX Command Injection (CVE-2026-40520): Injeção de comandos no módulo API do FreePBX (versões 17.0.8 e anteriores) via mutações GraphQL não sanitizadas. CVSS 8.6.Mitel MiCollab AWV SQLi + PrivEsc: Duas falhas encadeáveis no componente Audio, Web, Video Conferencing: SQL injection não autenticada (CVSS 9.8) e escalação de privilégio autenticada (CVSS 6.7). Corrigido no MiCollab 10.2 SP1.ZLMediaKit VP9 Heap Overflow (CVE-2026-35203): Heap buffer overflow no parser de payload RTP VP9, acionável com um payload de 1 byte (
0xFF).Conferências: DVRTC em 3 Eventos
A temporada de conferências SIP está a todo vapor. O laboratório Damn Vulnerable Real-Time Communications (DVRTC), um ambiente intencionalmente vulnerável para treinamento em segurança VoIP/WebRTC, será apresentado em três eventos: OpenSIPS Summit (28 de abril, Bucareste), Kamailio World (7-8 de maio, Berlim) e CommCon (9-11 de junho, Düsseldorf). Serão três ângulos diferentes: extensão com OpenSIPS/FreeSWITCH, o stack original Kamailio/Asterisk/rtpengine, e um novo cenário focado em ataques a WebRTC conferencing.
A tendência é clara: a IA está sendo apontada para codebases C/C++ de RTC em escala industrial, e as descobertas estão se acelerando. Para mantenedores de projetos e equipes de segurança, o momento de revisar dependências e versões é agora.
Análise baseada no RTCSec news — April 2026, por Sandro Gauci e Enable Security. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
- Chrome WebRTC Use-After-Free (CVE-2026-5860): Chrome 147 corrige um UAF de alta severidade no WebRTC que permite RCE dentro do sandbox do navegador via uma página HTML maliciosa. Bounty de $11k.Grandstream MFA Obrigatório: A partir de 7 de abril, o GDMS (Grandstream Device Management System) passou a exigir MFA para todos os usuários.Neko Privilege Escalation (CVE-2026-39386): Neko, um navegador virtual self-hosted que streama desktop remoto via WebRTC, permite que qualquer usuário autenticado ganhe controle admin total. Corrigido nas versões 3.0.11 e 3.1.2.FreePBX Command Injection (CVE-2026-40520): Injeção de comandos no módulo API do FreePBX (versões 17.0.8 e anteriores) via mutações GraphQL não sanitizadas. CVSS 8.6.Mitel MiCollab AWV SQLi + PrivEsc: Duas falhas encadeáveis no componente Audio, Web, Video Conferencing: SQL injection não autenticada (CVSS 9.8) e escalação de privilégio autenticada (CVSS 6.7). Corrigido no MiCollab 10.2 SP1.ZLMediaKit VP9 Heap Overflow (CVE-2026-35203): Heap buffer overflow no parser de payload RTP VP9, acionável com um payload de 1 byte (
0xFF).Conferências: DVRTC em 3 Eventos
A temporada de conferências SIP está a todo vapor. O laboratório Damn Vulnerable Real-Time Communications (DVRTC), um ambiente intencionalmente vulnerável para treinamento em segurança VoIP/WebRTC, será apresentado em três eventos: OpenSIPS Summit (28 de abril, Bucareste), Kamailio World (7-8 de maio, Berlim) e CommCon (9-11 de junho, Düsseldorf). Serão três ângulos diferentes: extensão com OpenSIPS/FreeSWITCH, o stack original Kamailio/Asterisk/rtpengine, e um novo cenário focado em ataques a WebRTC conferencing.
A tendência é clara: a IA está sendo apontada para codebases C/C++ de RTC em escala industrial, e as descobertas estão se acelerando. Para mantenedores de projetos e equipes de segurança, o momento de revisar dependências e versões é agora.
Análise baseada no RTCSec news — April 2026, por Sandro Gauci e Enable Security. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
Neko Privilege Escalation (CVE-2026-39386): Neko, um navegador virtual self-hosted que streama desktop remoto via WebRTC, permite que qualquer usuário autenticado ganhe controle admin total. Corrigido nas versões 3.0.11 e 3.1.2.FreePBX Command Injection (CVE-2026-40520): Injeção de comandos no módulo API do FreePBX (versões 17.0.8 e anteriores) via mutações GraphQL não sanitizadas. CVSS 8.6.Mitel MiCollab AWV SQLi + PrivEsc: Duas falhas encadeáveis no componente Audio, Web, Video Conferencing: SQL injection não autenticada (CVSS 9.8) e escalação de privilégio autenticada (CVSS 6.7). Corrigido no MiCollab 10.2 SP1.ZLMediaKit VP9 Heap Overflow (CVE-2026-35203): Heap buffer overflow no parser de payload RTP VP9, acionável com um payload de 1 byte (0xFF).
Conferências: DVRTC em 3 Eventos
A temporada de conferências SIP está a todo vapor. O laboratório Damn Vulnerable Real-Time Communications (DVRTC), um ambiente intencionalmente vulnerável para treinamento em segurança VoIP/WebRTC, será apresentado em três eventos: OpenSIPS Summit (28 de abril, Bucareste), Kamailio World (7-8 de maio, Berlim) e CommCon (9-11 de junho, Düsseldorf). Serão três ângulos diferentes: extensão com OpenSIPS/FreeSWITCH, o stack original Kamailio/Asterisk/rtpengine, e um novo cenário focado em ataques a WebRTC conferencing.
A tendência é clara: a IA está sendo apontada para codebases C/C++ de RTC em escala industrial, e as descobertas estão se acelerando. Para mantenedores de projetos e equipes de segurança, o momento de revisar dependências e versões é agora.
Análise baseada no RTCSec news — April 2026, por Sandro Gauci e Enable Security. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
- Chrome WebRTC Use-After-Free (CVE-2026-5860): Chrome 147 corrige um UAF de alta severidade no WebRTC que permite RCE dentro do sandbox do navegador via uma página HTML maliciosa. Bounty de $11k.Grandstream MFA Obrigatório: A partir de 7 de abril, o GDMS (Grandstream Device Management System) passou a exigir MFA para todos os usuários.Neko Privilege Escalation (CVE-2026-39386): Neko, um navegador virtual self-hosted que streama desktop remoto via WebRTC, permite que qualquer usuário autenticado ganhe controle admin total. Corrigido nas versões 3.0.11 e 3.1.2.FreePBX Command Injection (CVE-2026-40520): Injeção de comandos no módulo API do FreePBX (versões 17.0.8 e anteriores) via mutações GraphQL não sanitizadas. CVSS 8.6.Mitel MiCollab AWV SQLi + PrivEsc: Duas falhas encadeáveis no componente Audio, Web, Video Conferencing: SQL injection não autenticada (CVSS 9.8) e escalação de privilégio autenticada (CVSS 6.7). Corrigido no MiCollab 10.2 SP1.ZLMediaKit VP9 Heap Overflow (CVE-2026-35203): Heap buffer overflow no parser de payload RTP VP9, acionável com um payload de 1 byte (
0xFF).Conferências: DVRTC em 3 Eventos
A temporada de conferências SIP está a todo vapor. O laboratório Damn Vulnerable Real-Time Communications (DVRTC), um ambiente intencionalmente vulnerável para treinamento em segurança VoIP/WebRTC, será apresentado em três eventos: OpenSIPS Summit (28 de abril, Bucareste), Kamailio World (7-8 de maio, Berlim) e CommCon (9-11 de junho, Düsseldorf). Serão três ângulos diferentes: extensão com OpenSIPS/FreeSWITCH, o stack original Kamailio/Asterisk/rtpengine, e um novo cenário focado em ataques a WebRTC conferencing.
A tendência é clara: a IA está sendo apontada para codebases C/C++ de RTC em escala industrial, e as descobertas estão se acelerando. Para mantenedores de projetos e equipes de segurança, o momento de revisar dependências e versões é agora.
Análise baseada no RTCSec news — April 2026, por Sandro Gauci e Enable Security. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
- Chrome WebRTC Use-After-Free (CVE-2026-5860): Chrome 147 corrige um UAF de alta severidade no WebRTC que permite RCE dentro do sandbox do navegador via uma página HTML maliciosa. Bounty de $11k.Grandstream MFA Obrigatório: A partir de 7 de abril, o GDMS (Grandstream Device Management System) passou a exigir MFA para todos os usuários.Neko Privilege Escalation (CVE-2026-39386): Neko, um navegador virtual self-hosted que streama desktop remoto via WebRTC, permite que qualquer usuário autenticado ganhe controle admin total. Corrigido nas versões 3.0.11 e 3.1.2.FreePBX Command Injection (CVE-2026-40520): Injeção de comandos no módulo API do FreePBX (versões 17.0.8 e anteriores) via mutações GraphQL não sanitizadas. CVSS 8.6.Mitel MiCollab AWV SQLi + PrivEsc: Duas falhas encadeáveis no componente Audio, Web, Video Conferencing: SQL injection não autenticada (CVSS 9.8) e escalação de privilégio autenticada (CVSS 6.7). Corrigido no MiCollab 10.2 SP1.ZLMediaKit VP9 Heap Overflow (CVE-2026-35203): Heap buffer overflow no parser de payload RTP VP9, acionável com um payload de 1 byte (
0xFF).Conferências: DVRTC em 3 Eventos
A temporada de conferências SIP está a todo vapor. O laboratório Damn Vulnerable Real-Time Communications (DVRTC), um ambiente intencionalmente vulnerável para treinamento em segurança VoIP/WebRTC, será apresentado em três eventos: OpenSIPS Summit (28 de abril, Bucareste), Kamailio World (7-8 de maio, Berlim) e CommCon (9-11 de junho, Düsseldorf). Serão três ângulos diferentes: extensão com OpenSIPS/FreeSWITCH, o stack original Kamailio/Asterisk/rtpengine, e um novo cenário focado em ataques a WebRTC conferencing.
A tendência é clara: a IA está sendo apontada para codebases C/C++ de RTC em escala industrial, e as descobertas estão se acelerando. Para mantenedores de projetos e equipes de segurança, o momento de revisar dependências e versões é agora.
Análise baseada no RTCSec news — April 2026, por Sandro Gauci e Enable Security. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
Grandstream MFA Obrigatório: A partir de 7 de abril, o GDMS (Grandstream Device Management System) passou a exigir MFA para todos os usuários.Neko Privilege Escalation (CVE-2026-39386): Neko, um navegador virtual self-hosted que streama desktop remoto via WebRTC, permite que qualquer usuário autenticado ganhe controle admin total. Corrigido nas versões 3.0.11 e 3.1.2.FreePBX Command Injection (CVE-2026-40520): Injeção de comandos no módulo API do FreePBX (versões 17.0.8 e anteriores) via mutações GraphQL não sanitizadas. CVSS 8.6.Mitel MiCollab AWV SQLi + PrivEsc: Duas falhas encadeáveis no componente Audio, Web, Video Conferencing: SQL injection não autenticada (CVSS 9.8) e escalação de privilégio autenticada (CVSS 6.7). Corrigido no MiCollab 10.2 SP1.ZLMediaKit VP9 Heap Overflow (CVE-2026-35203): Heap buffer overflow no parser de payload RTP VP9, acionável com um payload de 1 byte (0xFF).
Conferências: DVRTC em 3 Eventos
A temporada de conferências SIP está a todo vapor. O laboratório Damn Vulnerable Real-Time Communications (DVRTC), um ambiente intencionalmente vulnerável para treinamento em segurança VoIP/WebRTC, será apresentado em três eventos: OpenSIPS Summit (28 de abril, Bucareste), Kamailio World (7-8 de maio, Berlim) e CommCon (9-11 de junho, Düsseldorf). Serão três ângulos diferentes: extensão com OpenSIPS/FreeSWITCH, o stack original Kamailio/Asterisk/rtpengine, e um novo cenário focado em ataques a WebRTC conferencing.
A tendência é clara: a IA está sendo apontada para codebases C/C++ de RTC em escala industrial, e as descobertas estão se acelerando. Para mantenedores de projetos e equipes de segurança, o momento de revisar dependências e versões é agora.
Análise baseada no RTCSec news — April 2026, por Sandro Gauci e Enable Security. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
- Chrome WebRTC Use-After-Free (CVE-2026-5860): Chrome 147 corrige um UAF de alta severidade no WebRTC que permite RCE dentro do sandbox do navegador via uma página HTML maliciosa. Bounty de $11k.Grandstream MFA Obrigatório: A partir de 7 de abril, o GDMS (Grandstream Device Management System) passou a exigir MFA para todos os usuários.Neko Privilege Escalation (CVE-2026-39386): Neko, um navegador virtual self-hosted que streama desktop remoto via WebRTC, permite que qualquer usuário autenticado ganhe controle admin total. Corrigido nas versões 3.0.11 e 3.1.2.FreePBX Command Injection (CVE-2026-40520): Injeção de comandos no módulo API do FreePBX (versões 17.0.8 e anteriores) via mutações GraphQL não sanitizadas. CVSS 8.6.Mitel MiCollab AWV SQLi + PrivEsc: Duas falhas encadeáveis no componente Audio, Web, Video Conferencing: SQL injection não autenticada (CVSS 9.8) e escalação de privilégio autenticada (CVSS 6.7). Corrigido no MiCollab 10.2 SP1.ZLMediaKit VP9 Heap Overflow (CVE-2026-35203): Heap buffer overflow no parser de payload RTP VP9, acionável com um payload de 1 byte (
0xFF).Conferências: DVRTC em 3 Eventos
A temporada de conferências SIP está a todo vapor. O laboratório Damn Vulnerable Real-Time Communications (DVRTC), um ambiente intencionalmente vulnerável para treinamento em segurança VoIP/WebRTC, será apresentado em três eventos: OpenSIPS Summit (28 de abril, Bucareste), Kamailio World (7-8 de maio, Berlim) e CommCon (9-11 de junho, Düsseldorf). Serão três ângulos diferentes: extensão com OpenSIPS/FreeSWITCH, o stack original Kamailio/Asterisk/rtpengine, e um novo cenário focado em ataques a WebRTC conferencing.
A tendência é clara: a IA está sendo apontada para codebases C/C++ de RTC em escala industrial, e as descobertas estão se acelerando. Para mantenedores de projetos e equipes de segurança, o momento de revisar dependências e versões é agora.
Análise baseada no RTCSec news — April 2026, por Sandro Gauci e Enable Security. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
- Chrome WebRTC Use-After-Free (CVE-2026-5860): Chrome 147 corrige um UAF de alta severidade no WebRTC que permite RCE dentro do sandbox do navegador via uma página HTML maliciosa. Bounty de $11k.Grandstream MFA Obrigatório: A partir de 7 de abril, o GDMS (Grandstream Device Management System) passou a exigir MFA para todos os usuários.Neko Privilege Escalation (CVE-2026-39386): Neko, um navegador virtual self-hosted que streama desktop remoto via WebRTC, permite que qualquer usuário autenticado ganhe controle admin total. Corrigido nas versões 3.0.11 e 3.1.2.FreePBX Command Injection (CVE-2026-40520): Injeção de comandos no módulo API do FreePBX (versões 17.0.8 e anteriores) via mutações GraphQL não sanitizadas. CVSS 8.6.Mitel MiCollab AWV SQLi + PrivEsc: Duas falhas encadeáveis no componente Audio, Web, Video Conferencing: SQL injection não autenticada (CVSS 9.8) e escalação de privilégio autenticada (CVSS 6.7). Corrigido no MiCollab 10.2 SP1.ZLMediaKit VP9 Heap Overflow (CVE-2026-35203): Heap buffer overflow no parser de payload RTP VP9, acionável com um payload de 1 byte (
0xFF).Conferências: DVRTC em 3 Eventos
A temporada de conferências SIP está a todo vapor. O laboratório Damn Vulnerable Real-Time Communications (DVRTC), um ambiente intencionalmente vulnerável para treinamento em segurança VoIP/WebRTC, será apresentado em três eventos: OpenSIPS Summit (28 de abril, Bucareste), Kamailio World (7-8 de maio, Berlim) e CommCon (9-11 de junho, Düsseldorf). Serão três ângulos diferentes: extensão com OpenSIPS/FreeSWITCH, o stack original Kamailio/Asterisk/rtpengine, e um novo cenário focado em ataques a WebRTC conferencing.
A tendência é clara: a IA está sendo apontada para codebases C/C++ de RTC em escala industrial, e as descobertas estão se acelerando. Para mantenedores de projetos e equipes de segurança, o momento de revisar dependências e versões é agora.
Análise baseada no RTCSec news — April 2026, por Sandro Gauci e Enable Security. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
Chrome WebRTC Use-After-Free (CVE-2026-5860): Chrome 147 corrige um UAF de alta severidade no WebRTC que permite RCE dentro do sandbox do navegador via uma página HTML maliciosa. Bounty de $11k.Grandstream MFA Obrigatório: A partir de 7 de abril, o GDMS (Grandstream Device Management System) passou a exigir MFA para todos os usuários.Neko Privilege Escalation (CVE-2026-39386): Neko, um navegador virtual self-hosted que streama desktop remoto via WebRTC, permite que qualquer usuário autenticado ganhe controle admin total. Corrigido nas versões 3.0.11 e 3.1.2.FreePBX Command Injection (CVE-2026-40520): Injeção de comandos no módulo API do FreePBX (versões 17.0.8 e anteriores) via mutações GraphQL não sanitizadas. CVSS 8.6.Mitel MiCollab AWV SQLi + PrivEsc: Duas falhas encadeáveis no componente Audio, Web, Video Conferencing: SQL injection não autenticada (CVSS 9.8) e escalação de privilégio autenticada (CVSS 6.7). Corrigido no MiCollab 10.2 SP1.ZLMediaKit VP9 Heap Overflow (CVE-2026-35203): Heap buffer overflow no parser de payload RTP VP9, acionável com um payload de 1 byte (0xFF).
Conferências: DVRTC em 3 Eventos
A temporada de conferências SIP está a todo vapor. O laboratório Damn Vulnerable Real-Time Communications (DVRTC), um ambiente intencionalmente vulnerável para treinamento em segurança VoIP/WebRTC, será apresentado em três eventos: OpenSIPS Summit (28 de abril, Bucareste), Kamailio World (7-8 de maio, Berlim) e CommCon (9-11 de junho, Düsseldorf). Serão três ângulos diferentes: extensão com OpenSIPS/FreeSWITCH, o stack original Kamailio/Asterisk/rtpengine, e um novo cenário focado em ataques a WebRTC conferencing.
A tendência é clara: a IA está sendo apontada para codebases C/C++ de RTC em escala industrial, e as descobertas estão se acelerando. Para mantenedores de projetos e equipes de segurança, o momento de revisar dependências e versões é agora.
Análise baseada no RTCSec news — April 2026, por Sandro Gauci e Enable Security. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
- Chrome WebRTC Use-After-Free (CVE-2026-5860): Chrome 147 corrige um UAF de alta severidade no WebRTC que permite RCE dentro do sandbox do navegador via uma página HTML maliciosa. Bounty de $11k.Grandstream MFA Obrigatório: A partir de 7 de abril, o GDMS (Grandstream Device Management System) passou a exigir MFA para todos os usuários.Neko Privilege Escalation (CVE-2026-39386): Neko, um navegador virtual self-hosted que streama desktop remoto via WebRTC, permite que qualquer usuário autenticado ganhe controle admin total. Corrigido nas versões 3.0.11 e 3.1.2.FreePBX Command Injection (CVE-2026-40520): Injeção de comandos no módulo API do FreePBX (versões 17.0.8 e anteriores) via mutações GraphQL não sanitizadas. CVSS 8.6.Mitel MiCollab AWV SQLi + PrivEsc: Duas falhas encadeáveis no componente Audio, Web, Video Conferencing: SQL injection não autenticada (CVSS 9.8) e escalação de privilégio autenticada (CVSS 6.7). Corrigido no MiCollab 10.2 SP1.ZLMediaKit VP9 Heap Overflow (CVE-2026-35203): Heap buffer overflow no parser de payload RTP VP9, acionável com um payload de 1 byte (
0xFF).Conferências: DVRTC em 3 Eventos
A temporada de conferências SIP está a todo vapor. O laboratório Damn Vulnerable Real-Time Communications (DVRTC), um ambiente intencionalmente vulnerável para treinamento em segurança VoIP/WebRTC, será apresentado em três eventos: OpenSIPS Summit (28 de abril, Bucareste), Kamailio World (7-8 de maio, Berlim) e CommCon (9-11 de junho, Düsseldorf). Serão três ângulos diferentes: extensão com OpenSIPS/FreeSWITCH, o stack original Kamailio/Asterisk/rtpengine, e um novo cenário focado em ataques a WebRTC conferencing.
A tendência é clara: a IA está sendo apontada para codebases C/C++ de RTC em escala industrial, e as descobertas estão se acelerando. Para mantenedores de projetos e equipes de segurança, o momento de revisar dependências e versões é agora.
Análise baseada no RTCSec news — April 2026, por Sandro Gauci e Enable Security. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
- Chrome WebRTC Use-After-Free (CVE-2026-5860): Chrome 147 corrige um UAF de alta severidade no WebRTC que permite RCE dentro do sandbox do navegador via uma página HTML maliciosa. Bounty de $11k.Grandstream MFA Obrigatório: A partir de 7 de abril, o GDMS (Grandstream Device Management System) passou a exigir MFA para todos os usuários.Neko Privilege Escalation (CVE-2026-39386): Neko, um navegador virtual self-hosted que streama desktop remoto via WebRTC, permite que qualquer usuário autenticado ganhe controle admin total. Corrigido nas versões 3.0.11 e 3.1.2.FreePBX Command Injection (CVE-2026-40520): Injeção de comandos no módulo API do FreePBX (versões 17.0.8 e anteriores) via mutações GraphQL não sanitizadas. CVSS 8.6.Mitel MiCollab AWV SQLi + PrivEsc: Duas falhas encadeáveis no componente Audio, Web, Video Conferencing: SQL injection não autenticada (CVSS 9.8) e escalação de privilégio autenticada (CVSS 6.7). Corrigido no MiCollab 10.2 SP1.ZLMediaKit VP9 Heap Overflow (CVE-2026-35203): Heap buffer overflow no parser de payload RTP VP9, acionável com um payload de 1 byte (
0xFF).Conferências: DVRTC em 3 Eventos
A temporada de conferências SIP está a todo vapor. O laboratório Damn Vulnerable Real-Time Communications (DVRTC), um ambiente intencionalmente vulnerável para treinamento em segurança VoIP/WebRTC, será apresentado em três eventos: OpenSIPS Summit (28 de abril, Bucareste), Kamailio World (7-8 de maio, Berlim) e CommCon (9-11 de junho, Düsseldorf). Serão três ângulos diferentes: extensão com OpenSIPS/FreeSWITCH, o stack original Kamailio/Asterisk/rtpengine, e um novo cenário focado em ataques a WebRTC conferencing.
A tendência é clara: a IA está sendo apontada para codebases C/C++ de RTC em escala industrial, e as descobertas estão se acelerando. Para mantenedores de projetos e equipes de segurança, o momento de revisar dependências e versões é agora.
Análise baseada no RTCSec news — April 2026, por Sandro Gauci e Enable Security. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
Neko Privilege Escalation (CVE-2026-39386): Neko, um navegador virtual self-hosted que streama desktop remoto via WebRTC, permite que qualquer usuário autenticado ganhe controle admin total. Corrigido nas versões 3.0.11 e 3.1.2.FreePBX Command Injection (CVE-2026-40520): Injeção de comandos no módulo API do FreePBX (versões 17.0.8 e anteriores) via mutações GraphQL não sanitizadas. CVSS 8.6.Mitel MiCollab AWV SQLi + PrivEsc: Duas falhas encadeáveis no componente Audio, Web, Video Conferencing: SQL injection não autenticada (CVSS 9.8) e escalação de privilégio autenticada (CVSS 6.7). Corrigido no MiCollab 10.2 SP1.ZLMediaKit VP9 Heap Overflow (CVE-2026-35203): Heap buffer overflow no parser de payload RTP VP9, acionável com um payload de 1 byte (0xFF).
Conferências: DVRTC em 3 Eventos
A temporada de conferências SIP está a todo vapor. O laboratório Damn Vulnerable Real-Time Communications (DVRTC), um ambiente intencionalmente vulnerável para treinamento em segurança VoIP/WebRTC, será apresentado em três eventos: OpenSIPS Summit (28 de abril, Bucareste), Kamailio World (7-8 de maio, Berlim) e CommCon (9-11 de junho, Düsseldorf). Serão três ângulos diferentes: extensão com OpenSIPS/FreeSWITCH, o stack original Kamailio/Asterisk/rtpengine, e um novo cenário focado em ataques a WebRTC conferencing.
A tendência é clara: a IA está sendo apontada para codebases C/C++ de RTC em escala industrial, e as descobertas estão se acelerando. Para mantenedores de projetos e equipes de segurança, o momento de revisar dependências e versões é agora.
Análise baseada no RTCSec news — April 2026, por Sandro Gauci e Enable Security. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
Chrome WebRTC Use-After-Free (CVE-2026-5860): Chrome 147 corrige um UAF de alta severidade no WebRTC que permite RCE dentro do sandbox do navegador via uma página HTML maliciosa. Bounty de $11k.Grandstream MFA Obrigatório: A partir de 7 de abril, o GDMS (Grandstream Device Management System) passou a exigir MFA para todos os usuários.Neko Privilege Escalation (CVE-2026-39386): Neko, um navegador virtual self-hosted que streama desktop remoto via WebRTC, permite que qualquer usuário autenticado ganhe controle admin total. Corrigido nas versões 3.0.11 e 3.1.2.FreePBX Command Injection (CVE-2026-40520): Injeção de comandos no módulo API do FreePBX (versões 17.0.8 e anteriores) via mutações GraphQL não sanitizadas. CVSS 8.6.Mitel MiCollab AWV SQLi + PrivEsc: Duas falhas encadeáveis no componente Audio, Web, Video Conferencing: SQL injection não autenticada (CVSS 9.8) e escalação de privilégio autenticada (CVSS 6.7). Corrigido no MiCollab 10.2 SP1.ZLMediaKit VP9 Heap Overflow (CVE-2026-35203): Heap buffer overflow no parser de payload RTP VP9, acionável com um payload de 1 byte (0xFF).
Conferências: DVRTC em 3 Eventos
A temporada de conferências SIP está a todo vapor. O laboratório Damn Vulnerable Real-Time Communications (DVRTC), um ambiente intencionalmente vulnerável para treinamento em segurança VoIP/WebRTC, será apresentado em três eventos: OpenSIPS Summit (28 de abril, Bucareste), Kamailio World (7-8 de maio, Berlim) e CommCon (9-11 de junho, Düsseldorf). Serão três ângulos diferentes: extensão com OpenSIPS/FreeSWITCH, o stack original Kamailio/Asterisk/rtpengine, e um novo cenário focado em ataques a WebRTC conferencing.
A tendência é clara: a IA está sendo apontada para codebases C/C++ de RTC em escala industrial, e as descobertas estão se acelerando. Para mantenedores de projetos e equipes de segurança, o momento de revisar dependências e versões é agora.
Análise baseada no RTCSec news — April 2026, por Sandro Gauci e Enable Security. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
- Chrome WebRTC Use-After-Free (CVE-2026-5860): Chrome 147 corrige um UAF de alta severidade no WebRTC que permite RCE dentro do sandbox do navegador via uma página HTML maliciosa. Bounty de $11k.Grandstream MFA Obrigatório: A partir de 7 de abril, o GDMS (Grandstream Device Management System) passou a exigir MFA para todos os usuários.Neko Privilege Escalation (CVE-2026-39386): Neko, um navegador virtual self-hosted que streama desktop remoto via WebRTC, permite que qualquer usuário autenticado ganhe controle admin total. Corrigido nas versões 3.0.11 e 3.1.2.FreePBX Command Injection (CVE-2026-40520): Injeção de comandos no módulo API do FreePBX (versões 17.0.8 e anteriores) via mutações GraphQL não sanitizadas. CVSS 8.6.Mitel MiCollab AWV SQLi + PrivEsc: Duas falhas encadeáveis no componente Audio, Web, Video Conferencing: SQL injection não autenticada (CVSS 9.8) e escalação de privilégio autenticada (CVSS 6.7). Corrigido no MiCollab 10.2 SP1.ZLMediaKit VP9 Heap Overflow (CVE-2026-35203): Heap buffer overflow no parser de payload RTP VP9, acionável com um payload de 1 byte (
0xFF).Conferências: DVRTC em 3 Eventos
A temporada de conferências SIP está a todo vapor. O laboratório Damn Vulnerable Real-Time Communications (DVRTC), um ambiente intencionalmente vulnerável para treinamento em segurança VoIP/WebRTC, será apresentado em três eventos: OpenSIPS Summit (28 de abril, Bucareste), Kamailio World (7-8 de maio, Berlim) e CommCon (9-11 de junho, Düsseldorf). Serão três ângulos diferentes: extensão com OpenSIPS/FreeSWITCH, o stack original Kamailio/Asterisk/rtpengine, e um novo cenário focado em ataques a WebRTC conferencing.
A tendência é clara: a IA está sendo apontada para codebases C/C++ de RTC em escala industrial, e as descobertas estão se acelerando. Para mantenedores de projetos e equipes de segurança, o momento de revisar dependências e versões é agora.
Análise baseada no RTCSec news — April 2026, por Sandro Gauci e Enable Security. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
- Chrome WebRTC Use-After-Free (CVE-2026-5860): Chrome 147 corrige um UAF de alta severidade no WebRTC que permite RCE dentro do sandbox do navegador via uma página HTML maliciosa. Bounty de $11k.Grandstream MFA Obrigatório: A partir de 7 de abril, o GDMS (Grandstream Device Management System) passou a exigir MFA para todos os usuários.Neko Privilege Escalation (CVE-2026-39386): Neko, um navegador virtual self-hosted que streama desktop remoto via WebRTC, permite que qualquer usuário autenticado ganhe controle admin total. Corrigido nas versões 3.0.11 e 3.1.2.FreePBX Command Injection (CVE-2026-40520): Injeção de comandos no módulo API do FreePBX (versões 17.0.8 e anteriores) via mutações GraphQL não sanitizadas. CVSS 8.6.Mitel MiCollab AWV SQLi + PrivEsc: Duas falhas encadeáveis no componente Audio, Web, Video Conferencing: SQL injection não autenticada (CVSS 9.8) e escalação de privilégio autenticada (CVSS 6.7). Corrigido no MiCollab 10.2 SP1.ZLMediaKit VP9 Heap Overflow (CVE-2026-35203): Heap buffer overflow no parser de payload RTP VP9, acionável com um payload de 1 byte (
0xFF).Conferências: DVRTC em 3 Eventos
A temporada de conferências SIP está a todo vapor. O laboratório Damn Vulnerable Real-Time Communications (DVRTC), um ambiente intencionalmente vulnerável para treinamento em segurança VoIP/WebRTC, será apresentado em três eventos: OpenSIPS Summit (28 de abril, Bucareste), Kamailio World (7-8 de maio, Berlim) e CommCon (9-11 de junho, Düsseldorf). Serão três ângulos diferentes: extensão com OpenSIPS/FreeSWITCH, o stack original Kamailio/Asterisk/rtpengine, e um novo cenário focado em ataques a WebRTC conferencing.
A tendência é clara: a IA está sendo apontada para codebases C/C++ de RTC em escala industrial, e as descobertas estão se acelerando. Para mantenedores de projetos e equipes de segurança, o momento de revisar dependências e versões é agora.
Análise baseada no RTCSec news — April 2026, por Sandro Gauci e Enable Security. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
Grandstream MFA Obrigatório: A partir de 7 de abril, o GDMS (Grandstream Device Management System) passou a exigir MFA para todos os usuários.Neko Privilege Escalation (CVE-2026-39386): Neko, um navegador virtual self-hosted que streama desktop remoto via WebRTC, permite que qualquer usuário autenticado ganhe controle admin total. Corrigido nas versões 3.0.11 e 3.1.2.FreePBX Command Injection (CVE-2026-40520): Injeção de comandos no módulo API do FreePBX (versões 17.0.8 e anteriores) via mutações GraphQL não sanitizadas. CVSS 8.6.Mitel MiCollab AWV SQLi + PrivEsc: Duas falhas encadeáveis no componente Audio, Web, Video Conferencing: SQL injection não autenticada (CVSS 9.8) e escalação de privilégio autenticada (CVSS 6.7). Corrigido no MiCollab 10.2 SP1.ZLMediaKit VP9 Heap Overflow (CVE-2026-35203): Heap buffer overflow no parser de payload RTP VP9, acionável com um payload de 1 byte (0xFF).
Conferências: DVRTC em 3 Eventos
A temporada de conferências SIP está a todo vapor. O laboratório Damn Vulnerable Real-Time Communications (DVRTC), um ambiente intencionalmente vulnerável para treinamento em segurança VoIP/WebRTC, será apresentado em três eventos: OpenSIPS Summit (28 de abril, Bucareste), Kamailio World (7-8 de maio, Berlim) e CommCon (9-11 de junho, Düsseldorf). Serão três ângulos diferentes: extensão com OpenSIPS/FreeSWITCH, o stack original Kamailio/Asterisk/rtpengine, e um novo cenário focado em ataques a WebRTC conferencing.
A tendência é clara: a IA está sendo apontada para codebases C/C++ de RTC em escala industrial, e as descobertas estão se acelerando. Para mantenedores de projetos e equipes de segurança, o momento de revisar dependências e versões é agora.
Análise baseada no RTCSec news — April 2026, por Sandro Gauci e Enable Security. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
Chrome WebRTC Use-After-Free (CVE-2026-5860): Chrome 147 corrige um UAF de alta severidade no WebRTC que permite RCE dentro do sandbox do navegador via uma página HTML maliciosa. Bounty de $11k.Grandstream MFA Obrigatório: A partir de 7 de abril, o GDMS (Grandstream Device Management System) passou a exigir MFA para todos os usuários.Neko Privilege Escalation (CVE-2026-39386): Neko, um navegador virtual self-hosted que streama desktop remoto via WebRTC, permite que qualquer usuário autenticado ganhe controle admin total. Corrigido nas versões 3.0.11 e 3.1.2.FreePBX Command Injection (CVE-2026-40520): Injeção de comandos no módulo API do FreePBX (versões 17.0.8 e anteriores) via mutações GraphQL não sanitizadas. CVSS 8.6.Mitel MiCollab AWV SQLi + PrivEsc: Duas falhas encadeáveis no componente Audio, Web, Video Conferencing: SQL injection não autenticada (CVSS 9.8) e escalação de privilégio autenticada (CVSS 6.7). Corrigido no MiCollab 10.2 SP1.ZLMediaKit VP9 Heap Overflow (CVE-2026-35203): Heap buffer overflow no parser de payload RTP VP9, acionável com um payload de 1 byte (0xFF).
Conferências: DVRTC em 3 Eventos
A temporada de conferências SIP está a todo vapor. O laboratório Damn Vulnerable Real-Time Communications (DVRTC), um ambiente intencionalmente vulnerável para treinamento em segurança VoIP/WebRTC, será apresentado em três eventos: OpenSIPS Summit (28 de abril, Bucareste), Kamailio World (7-8 de maio, Berlim) e CommCon (9-11 de junho, Düsseldorf). Serão três ângulos diferentes: extensão com OpenSIPS/FreeSWITCH, o stack original Kamailio/Asterisk/rtpengine, e um novo cenário focado em ataques a WebRTC conferencing.
A tendência é clara: a IA está sendo apontada para codebases C/C++ de RTC em escala industrial, e as descobertas estão se acelerando. Para mantenedores de projetos e equipes de segurança, o momento de revisar dependências e versões é agora.
Análise baseada no RTCSec news — April 2026, por Sandro Gauci e Enable Security. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
- Chrome WebRTC Use-After-Free (CVE-2026-5860): Chrome 147 corrige um UAF de alta severidade no WebRTC que permite RCE dentro do sandbox do navegador via uma página HTML maliciosa. Bounty de $11k.Grandstream MFA Obrigatório: A partir de 7 de abril, o GDMS (Grandstream Device Management System) passou a exigir MFA para todos os usuários.Neko Privilege Escalation (CVE-2026-39386): Neko, um navegador virtual self-hosted que streama desktop remoto via WebRTC, permite que qualquer usuário autenticado ganhe controle admin total. Corrigido nas versões 3.0.11 e 3.1.2.FreePBX Command Injection (CVE-2026-40520): Injeção de comandos no módulo API do FreePBX (versões 17.0.8 e anteriores) via mutações GraphQL não sanitizadas. CVSS 8.6.Mitel MiCollab AWV SQLi + PrivEsc: Duas falhas encadeáveis no componente Audio, Web, Video Conferencing: SQL injection não autenticada (CVSS 9.8) e escalação de privilégio autenticada (CVSS 6.7). Corrigido no MiCollab 10.2 SP1.ZLMediaKit VP9 Heap Overflow (CVE-2026-35203): Heap buffer overflow no parser de payload RTP VP9, acionável com um payload de 1 byte (
0xFF).Conferências: DVRTC em 3 Eventos
A temporada de conferências SIP está a todo vapor. O laboratório Damn Vulnerable Real-Time Communications (DVRTC), um ambiente intencionalmente vulnerável para treinamento em segurança VoIP/WebRTC, será apresentado em três eventos: OpenSIPS Summit (28 de abril, Bucareste), Kamailio World (7-8 de maio, Berlim) e CommCon (9-11 de junho, Düsseldorf). Serão três ângulos diferentes: extensão com OpenSIPS/FreeSWITCH, o stack original Kamailio/Asterisk/rtpengine, e um novo cenário focado em ataques a WebRTC conferencing.
A tendência é clara: a IA está sendo apontada para codebases C/C++ de RTC em escala industrial, e as descobertas estão se acelerando. Para mantenedores de projetos e equipes de segurança, o momento de revisar dependências e versões é agora.
Análise baseada no RTCSec news — April 2026, por Sandro Gauci e Enable Security. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
- Chrome WebRTC Use-After-Free (CVE-2026-5860): Chrome 147 corrige um UAF de alta severidade no WebRTC que permite RCE dentro do sandbox do navegador via uma página HTML maliciosa. Bounty de $11k.Grandstream MFA Obrigatório: A partir de 7 de abril, o GDMS (Grandstream Device Management System) passou a exigir MFA para todos os usuários.Neko Privilege Escalation (CVE-2026-39386): Neko, um navegador virtual self-hosted que streama desktop remoto via WebRTC, permite que qualquer usuário autenticado ganhe controle admin total. Corrigido nas versões 3.0.11 e 3.1.2.FreePBX Command Injection (CVE-2026-40520): Injeção de comandos no módulo API do FreePBX (versões 17.0.8 e anteriores) via mutações GraphQL não sanitizadas. CVSS 8.6.Mitel MiCollab AWV SQLi + PrivEsc: Duas falhas encadeáveis no componente Audio, Web, Video Conferencing: SQL injection não autenticada (CVSS 9.8) e escalação de privilégio autenticada (CVSS 6.7). Corrigido no MiCollab 10.2 SP1.ZLMediaKit VP9 Heap Overflow (CVE-2026-35203): Heap buffer overflow no parser de payload RTP VP9, acionável com um payload de 1 byte (
0xFF).Conferências: DVRTC em 3 Eventos
A temporada de conferências SIP está a todo vapor. O laboratório Damn Vulnerable Real-Time Communications (DVRTC), um ambiente intencionalmente vulnerável para treinamento em segurança VoIP/WebRTC, será apresentado em três eventos: OpenSIPS Summit (28 de abril, Bucareste), Kamailio World (7-8 de maio, Berlim) e CommCon (9-11 de junho, Düsseldorf). Serão três ângulos diferentes: extensão com OpenSIPS/FreeSWITCH, o stack original Kamailio/Asterisk/rtpengine, e um novo cenário focado em ataques a WebRTC conferencing.
A tendência é clara: a IA está sendo apontada para codebases C/C++ de RTC em escala industrial, e as descobertas estão se acelerando. Para mantenedores de projetos e equipes de segurança, o momento de revisar dependências e versões é agora.
Análise baseada no RTCSec news — April 2026, por Sandro Gauci e Enable Security. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
Neko Privilege Escalation (CVE-2026-39386): Neko, um navegador virtual self-hosted que streama desktop remoto via WebRTC, permite que qualquer usuário autenticado ganhe controle admin total. Corrigido nas versões 3.0.11 e 3.1.2.FreePBX Command Injection (CVE-2026-40520): Injeção de comandos no módulo API do FreePBX (versões 17.0.8 e anteriores) via mutações GraphQL não sanitizadas. CVSS 8.6.Mitel MiCollab AWV SQLi + PrivEsc: Duas falhas encadeáveis no componente Audio, Web, Video Conferencing: SQL injection não autenticada (CVSS 9.8) e escalação de privilégio autenticada (CVSS 6.7). Corrigido no MiCollab 10.2 SP1.ZLMediaKit VP9 Heap Overflow (CVE-2026-35203): Heap buffer overflow no parser de payload RTP VP9, acionável com um payload de 1 byte (0xFF).
Conferências: DVRTC em 3 Eventos
A temporada de conferências SIP está a todo vapor. O laboratório Damn Vulnerable Real-Time Communications (DVRTC), um ambiente intencionalmente vulnerável para treinamento em segurança VoIP/WebRTC, será apresentado em três eventos: OpenSIPS Summit (28 de abril, Bucareste), Kamailio World (7-8 de maio, Berlim) e CommCon (9-11 de junho, Düsseldorf). Serão três ângulos diferentes: extensão com OpenSIPS/FreeSWITCH, o stack original Kamailio/Asterisk/rtpengine, e um novo cenário focado em ataques a WebRTC conferencing.
A tendência é clara: a IA está sendo apontada para codebases C/C++ de RTC em escala industrial, e as descobertas estão se acelerando. Para mantenedores de projetos e equipes de segurança, o momento de revisar dependências e versões é agora.
Análise baseada no RTCSec news — April 2026, por Sandro Gauci e Enable Security. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
Grandstream MFA Obrigatório: A partir de 7 de abril, o GDMS (Grandstream Device Management System) passou a exigir MFA para todos os usuários.Neko Privilege Escalation (CVE-2026-39386): Neko, um navegador virtual self-hosted que streama desktop remoto via WebRTC, permite que qualquer usuário autenticado ganhe controle admin total. Corrigido nas versões 3.0.11 e 3.1.2.FreePBX Command Injection (CVE-2026-40520): Injeção de comandos no módulo API do FreePBX (versões 17.0.8 e anteriores) via mutações GraphQL não sanitizadas. CVSS 8.6.Mitel MiCollab AWV SQLi + PrivEsc: Duas falhas encadeáveis no componente Audio, Web, Video Conferencing: SQL injection não autenticada (CVSS 9.8) e escalação de privilégio autenticada (CVSS 6.7). Corrigido no MiCollab 10.2 SP1.ZLMediaKit VP9 Heap Overflow (CVE-2026-35203): Heap buffer overflow no parser de payload RTP VP9, acionável com um payload de 1 byte (0xFF).
Conferências: DVRTC em 3 Eventos
A temporada de conferências SIP está a todo vapor. O laboratório Damn Vulnerable Real-Time Communications (DVRTC), um ambiente intencionalmente vulnerável para treinamento em segurança VoIP/WebRTC, será apresentado em três eventos: OpenSIPS Summit (28 de abril, Bucareste), Kamailio World (7-8 de maio, Berlim) e CommCon (9-11 de junho, Düsseldorf). Serão três ângulos diferentes: extensão com OpenSIPS/FreeSWITCH, o stack original Kamailio/Asterisk/rtpengine, e um novo cenário focado em ataques a WebRTC conferencing.
A tendência é clara: a IA está sendo apontada para codebases C/C++ de RTC em escala industrial, e as descobertas estão se acelerando. Para mantenedores de projetos e equipes de segurança, o momento de revisar dependências e versões é agora.
Análise baseada no RTCSec news — April 2026, por Sandro Gauci e Enable Security. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
Chrome WebRTC Use-After-Free (CVE-2026-5860): Chrome 147 corrige um UAF de alta severidade no WebRTC que permite RCE dentro do sandbox do navegador via uma página HTML maliciosa. Bounty de $11k.Grandstream MFA Obrigatório: A partir de 7 de abril, o GDMS (Grandstream Device Management System) passou a exigir MFA para todos os usuários.Neko Privilege Escalation (CVE-2026-39386): Neko, um navegador virtual self-hosted que streama desktop remoto via WebRTC, permite que qualquer usuário autenticado ganhe controle admin total. Corrigido nas versões 3.0.11 e 3.1.2.FreePBX Command Injection (CVE-2026-40520): Injeção de comandos no módulo API do FreePBX (versões 17.0.8 e anteriores) via mutações GraphQL não sanitizadas. CVSS 8.6.Mitel MiCollab AWV SQLi + PrivEsc: Duas falhas encadeáveis no componente Audio, Web, Video Conferencing: SQL injection não autenticada (CVSS 9.8) e escalação de privilégio autenticada (CVSS 6.7). Corrigido no MiCollab 10.2 SP1.ZLMediaKit VP9 Heap Overflow (CVE-2026-35203): Heap buffer overflow no parser de payload RTP VP9, acionável com um payload de 1 byte (0xFF).
Conferências: DVRTC em 3 Eventos
A temporada de conferências SIP está a todo vapor. O laboratório Damn Vulnerable Real-Time Communications (DVRTC), um ambiente intencionalmente vulnerável para treinamento em segurança VoIP/WebRTC, será apresentado em três eventos: OpenSIPS Summit (28 de abril, Bucareste), Kamailio World (7-8 de maio, Berlim) e CommCon (9-11 de junho, Düsseldorf). Serão três ângulos diferentes: extensão com OpenSIPS/FreeSWITCH, o stack original Kamailio/Asterisk/rtpengine, e um novo cenário focado em ataques a WebRTC conferencing.
A tendência é clara: a IA está sendo apontada para codebases C/C++ de RTC em escala industrial, e as descobertas estão se acelerando. Para mantenedores de projetos e equipes de segurança, o momento de revisar dependências e versões é agora.
Análise baseada no RTCSec news — April 2026, por Sandro Gauci e Enable Security. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
- Chrome WebRTC Use-After-Free (CVE-2026-5860): Chrome 147 corrige um UAF de alta severidade no WebRTC que permite RCE dentro do sandbox do navegador via uma página HTML maliciosa. Bounty de $11k.Grandstream MFA Obrigatório: A partir de 7 de abril, o GDMS (Grandstream Device Management System) passou a exigir MFA para todos os usuários.Neko Privilege Escalation (CVE-2026-39386): Neko, um navegador virtual self-hosted que streama desktop remoto via WebRTC, permite que qualquer usuário autenticado ganhe controle admin total. Corrigido nas versões 3.0.11 e 3.1.2.FreePBX Command Injection (CVE-2026-40520): Injeção de comandos no módulo API do FreePBX (versões 17.0.8 e anteriores) via mutações GraphQL não sanitizadas. CVSS 8.6.Mitel MiCollab AWV SQLi + PrivEsc: Duas falhas encadeáveis no componente Audio, Web, Video Conferencing: SQL injection não autenticada (CVSS 9.8) e escalação de privilégio autenticada (CVSS 6.7). Corrigido no MiCollab 10.2 SP1.ZLMediaKit VP9 Heap Overflow (CVE-2026-35203): Heap buffer overflow no parser de payload RTP VP9, acionável com um payload de 1 byte (
0xFF).Conferências: DVRTC em 3 Eventos
A temporada de conferências SIP está a todo vapor. O laboratório Damn Vulnerable Real-Time Communications (DVRTC), um ambiente intencionalmente vulnerável para treinamento em segurança VoIP/WebRTC, será apresentado em três eventos: OpenSIPS Summit (28 de abril, Bucareste), Kamailio World (7-8 de maio, Berlim) e CommCon (9-11 de junho, Düsseldorf). Serão três ângulos diferentes: extensão com OpenSIPS/FreeSWITCH, o stack original Kamailio/Asterisk/rtpengine, e um novo cenário focado em ataques a WebRTC conferencing.
A tendência é clara: a IA está sendo apontada para codebases C/C++ de RTC em escala industrial, e as descobertas estão se acelerando. Para mantenedores de projetos e equipes de segurança, o momento de revisar dependências e versões é agora.
Análise baseada no RTCSec news — April 2026, por Sandro Gauci e Enable Security. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
- Chrome WebRTC Use-After-Free (CVE-2026-5860): Chrome 147 corrige um UAF de alta severidade no WebRTC que permite RCE dentro do sandbox do navegador via uma página HTML maliciosa. Bounty de $11k.Grandstream MFA Obrigatório: A partir de 7 de abril, o GDMS (Grandstream Device Management System) passou a exigir MFA para todos os usuários.Neko Privilege Escalation (CVE-2026-39386): Neko, um navegador virtual self-hosted que streama desktop remoto via WebRTC, permite que qualquer usuário autenticado ganhe controle admin total. Corrigido nas versões 3.0.11 e 3.1.2.FreePBX Command Injection (CVE-2026-40520): Injeção de comandos no módulo API do FreePBX (versões 17.0.8 e anteriores) via mutações GraphQL não sanitizadas. CVSS 8.6.Mitel MiCollab AWV SQLi + PrivEsc: Duas falhas encadeáveis no componente Audio, Web, Video Conferencing: SQL injection não autenticada (CVSS 9.8) e escalação de privilégio autenticada (CVSS 6.7). Corrigido no MiCollab 10.2 SP1.ZLMediaKit VP9 Heap Overflow (CVE-2026-35203): Heap buffer overflow no parser de payload RTP VP9, acionável com um payload de 1 byte (
0xFF).Conferências: DVRTC em 3 Eventos
A temporada de conferências SIP está a todo vapor. O laboratório Damn Vulnerable Real-Time Communications (DVRTC), um ambiente intencionalmente vulnerável para treinamento em segurança VoIP/WebRTC, será apresentado em três eventos: OpenSIPS Summit (28 de abril, Bucareste), Kamailio World (7-8 de maio, Berlim) e CommCon (9-11 de junho, Düsseldorf). Serão três ângulos diferentes: extensão com OpenSIPS/FreeSWITCH, o stack original Kamailio/Asterisk/rtpengine, e um novo cenário focado em ataques a WebRTC conferencing.
A tendência é clara: a IA está sendo apontada para codebases C/C++ de RTC em escala industrial, e as descobertas estão se acelerando. Para mantenedores de projetos e equipes de segurança, o momento de revisar dependências e versões é agora.
Análise baseada no RTCSec news — April 2026, por Sandro Gauci e Enable Security. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
Abril de 2026 foi um mês movimentado para a segurança de comunicações em tempo real (RTC). De exploits em DTLS e SIP a descobertas massivas de vulnerabilidades impulsionadas por IA, o cenário de ameaças para VoIP, WebRTC e infraestrutura de mídia continua se intensificando. Abaixo, os destaques técnicos mais relevantes do mês.
wolfSSL 5.9.1: Heap Overflow em DTLS 1.3 e Forgery de Certificados
O wolfSSL 5.9.1 corrige 22 CVEs, com pelo menos duas de altíssimo impacto para o ecossistema RTC. O CVE-2026-5264 é um heap buffer overflow remoto no processamento de ACK do DTLS 1.3, afetando stacks WebRTC customizados, endpoints embarcados e gateways de mídia que utilizam a flag --enable-dtls13. Já o CVE-2026-5194 (CVSS 9.3) é uma vulnerabilidade de certificate forgery onde o wolfSSL aceita digests subdimensionados durante verificação de assinatura ECDSA, DSA, Ed25519 e Ed448, permitindo que um atacante forje certificados que passam na validação. Isso impacta diretamente SIP/TLS, WSS, TURN/TLS e qualquer TLS serviço-a-serviço. Tanto OpenSIPS quanto Kamailio possuem módulos tls_wolfssl — verifique a versão em uso.
A certificação falsa foi descoberta por Nicholas Carlini (Anthropic), e a Calif.io (fundada por Thai Duong, do BEAST/CRIME/POODLE) creditou Claude em 8 dos 22 CVEs. O wolfSSL alega mais de 5 bilhões de deployments de dispositivos, muitos dos quais (telefones VoIP embarcados, endpoints SIP) podem nunca receber o patch.
Kamailio: DoS no Core TCP — CVE-2026-39863
Duas vulnerabilidades foram corrigidas no Kamailio. O CVE-2026-39863 (CVSS 7.5) é um out-of-bounds access no processamento TCP do core. Um atacante remoto não autenticado pode derrubar o servidor com um único pacote TCP malicioso. Como o bug está no core (não em um módulo), qualquer instância com listeners TCP ou TLS habilitados é afetada — ou seja, a maioria dos deployments em produção. Corrigido nas versões 6.1.1, 6.0.6 e 5.8.8. O CVE-2026-39864 é um out-of-bounds read no módulo auth, de escopo mais limitado, corrigido em 6.0.5 e 5.8.7.
Mozilla: 271 Vulnerabilidades no Firefox Encontradas por Claude
O CTO do Firefox, Bobby Holley, anunciou que a Mozilla vem utilizando modelos de IA (Claude Opus 4.6 e Claude Mythos Preview) para encontrar proativamente vulnerabilidades de segurança desde fevereiro. O Firefox 148 corrigiu 22 bugs encontrados via IA, e o Firefox 150 corrige 271 vulnerabilidades. Cinco CVEs do Firefox 150 estão em componentes WebRTC, incluindo um use-after-free de alta severidade (CVE-2026-6747). Holley enquadra isso como a defesa finalmente tendo uma chance de vencer, com IA encontrando bugs antes dos atacantes. Para projetos RTC que compartilham a mesma superfície de ataque C/C++, esse é um sinal de alerta relevante.
coturn 4.10.0: Alinhamento, OAuth e Framing
O coturn 4.10.0 chega com múltiplas correções. O CVE-2026-40613 é um bug de acesso à memória desalinhado no parser de atributos STUN, descrito como DoS remoto pré-autenticação em ARM64/AArch64 (embora o crash dependa de fault estrito de alinhamento, não padrão na maioria dos sistemas ARM64). Duas issues adicionais (ainda sem CVE formal) incluem um stack buffer overflow pré-autenticação na decodificação de tokens OAuth (decode_oauth_token_gcm() faz memcpy() para buffer de 256 bytes sem bounds check) e um integer overflow em uint16_t no message framing para conexões TCP/TLS, que pode deixar bytes controlados por atacante no buffer para serem processados como nova mensagem.
PJSIP 2.17: 13 Advisories e Bypass de Certificado GnuTLS
O total de advisories do PJSIP chega a 13 entre março e abril. Destaques do mês incluem: um stack buffer overflow na autenticação digest (CVE-2026-40892), dois issues no codec H.264 (heap overflow no unpacketizer CVE-2026-26967 e heap underflow no packetizer CVE-2026-26203), um segundo overflow no codec Opus em buffers FEC (CVE-2026-40614), e — mais crítico — um bypass de verificação de certificado GnuTLS no transporte SIP TLS que aceita certificados inválidos/expirados/auto-assinados mesmo com configurações explícitas de verificação, permitindo ataques MITM em conexões SIPS. Isso afeta apenas builds com GnuTLS (OpenSSL e SecureTransport não são impactados). Se você roda Asterisk ou qualquer coisa que empacota pjproject, verifique se a versão inclui os patches 2.17.
OpenSIPS: Hardening do Módulo httpd
O OpenSIPS aplicou um hardening patch no módulo httpd (interface MI/HTTP). O parâmetro ip agora faz bind em 127.0.0.1 por padrão (em vez de 0.0.0.0), e o patch adiciona HTTP Basic Auth via três novos modparams. A mudança fecha a issue #2939, reportada em outubro de 2022, onde deixar httpd.so sem configuração expunha um endpoint JSON-RPC MI não autenticado na porta 8888.
Linux Kernel: Vulnerabilidades nos Helpers SIP e H.323
Três CVEs no netfilter do kernel Linux. O CVE-2026-23457 é um integer truncation no campo Content-Length do nf_conntrack_sip em TCP, onde um valor estourado faz o parser computar o limite de mensagem incorretamente, permitindo manipular NAT pinholes. Os outros dois (CVE-2026-31427 e CVE-2026-23456) são de menor impacto, mas reforçam a recomendação de sempre evitar ALGs SIP no kernel: eles manipulam SDP de forma imprevisível e continuam produzindo bugs. O H.323 helper é ainda mais um artefato histórico.
Short News em RTC Security
FreePBX Command Injection (CVE-2026-40520): Injeção de comandos no módulo API do FreePBX (versões 17.0.8 e anteriores) via mutações GraphQL não sanitizadas. CVSS 8.6.Mitel MiCollab AWV SQLi + PrivEsc: Duas falhas encadeáveis no componente Audio, Web, Video Conferencing: SQL injection não autenticada (CVSS 9.8) e escalação de privilégio autenticada (CVSS 6.7). Corrigido no MiCollab 10.2 SP1.ZLMediaKit VP9 Heap Overflow (CVE-2026-35203): Heap buffer overflow no parser de payload RTP VP9, acionável com um payload de 1 byte (0xFF).
Conferências: DVRTC em 3 Eventos
A temporada de conferências SIP está a todo vapor. O laboratório Damn Vulnerable Real-Time Communications (DVRTC), um ambiente intencionalmente vulnerável para treinamento em segurança VoIP/WebRTC, será apresentado em três eventos: OpenSIPS Summit (28 de abril, Bucareste), Kamailio World (7-8 de maio, Berlim) e CommCon (9-11 de junho, Düsseldorf). Serão três ângulos diferentes: extensão com OpenSIPS/FreeSWITCH, o stack original Kamailio/Asterisk/rtpengine, e um novo cenário focado em ataques a WebRTC conferencing.
A tendência é clara: a IA está sendo apontada para codebases C/C++ de RTC em escala industrial, e as descobertas estão se acelerando. Para mantenedores de projetos e equipes de segurança, o momento de revisar dependências e versões é agora.
Análise baseada no RTCSec news — April 2026, por Sandro Gauci e Enable Security. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
Neko Privilege Escalation (CVE-2026-39386): Neko, um navegador virtual self-hosted que streama desktop remoto via WebRTC, permite que qualquer usuário autenticado ganhe controle admin total. Corrigido nas versões 3.0.11 e 3.1.2.FreePBX Command Injection (CVE-2026-40520): Injeção de comandos no módulo API do FreePBX (versões 17.0.8 e anteriores) via mutações GraphQL não sanitizadas. CVSS 8.6.Mitel MiCollab AWV SQLi + PrivEsc: Duas falhas encadeáveis no componente Audio, Web, Video Conferencing: SQL injection não autenticada (CVSS 9.8) e escalação de privilégio autenticada (CVSS 6.7). Corrigido no MiCollab 10.2 SP1.ZLMediaKit VP9 Heap Overflow (CVE-2026-35203): Heap buffer overflow no parser de payload RTP VP9, acionável com um payload de 1 byte (0xFF).
Conferências: DVRTC em 3 Eventos
A temporada de conferências SIP está a todo vapor. O laboratório Damn Vulnerable Real-Time Communications (DVRTC), um ambiente intencionalmente vulnerável para treinamento em segurança VoIP/WebRTC, será apresentado em três eventos: OpenSIPS Summit (28 de abril, Bucareste), Kamailio World (7-8 de maio, Berlim) e CommCon (9-11 de junho, Düsseldorf). Serão três ângulos diferentes: extensão com OpenSIPS/FreeSWITCH, o stack original Kamailio/Asterisk/rtpengine, e um novo cenário focado em ataques a WebRTC conferencing.
A tendência é clara: a IA está sendo apontada para codebases C/C++ de RTC em escala industrial, e as descobertas estão se acelerando. Para mantenedores de projetos e equipes de segurança, o momento de revisar dependências e versões é agora.
Análise baseada no RTCSec news — April 2026, por Sandro Gauci e Enable Security. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
Grandstream MFA Obrigatório: A partir de 7 de abril, o GDMS (Grandstream Device Management System) passou a exigir MFA para todos os usuários.Neko Privilege Escalation (CVE-2026-39386): Neko, um navegador virtual self-hosted que streama desktop remoto via WebRTC, permite que qualquer usuário autenticado ganhe controle admin total. Corrigido nas versões 3.0.11 e 3.1.2.FreePBX Command Injection (CVE-2026-40520): Injeção de comandos no módulo API do FreePBX (versões 17.0.8 e anteriores) via mutações GraphQL não sanitizadas. CVSS 8.6.Mitel MiCollab AWV SQLi + PrivEsc: Duas falhas encadeáveis no componente Audio, Web, Video Conferencing: SQL injection não autenticada (CVSS 9.8) e escalação de privilégio autenticada (CVSS 6.7). Corrigido no MiCollab 10.2 SP1.ZLMediaKit VP9 Heap Overflow (CVE-2026-35203): Heap buffer overflow no parser de payload RTP VP9, acionável com um payload de 1 byte (0xFF).
Conferências: DVRTC em 3 Eventos
A temporada de conferências SIP está a todo vapor. O laboratório Damn Vulnerable Real-Time Communications (DVRTC), um ambiente intencionalmente vulnerável para treinamento em segurança VoIP/WebRTC, será apresentado em três eventos: OpenSIPS Summit (28 de abril, Bucareste), Kamailio World (7-8 de maio, Berlim) e CommCon (9-11 de junho, Düsseldorf). Serão três ângulos diferentes: extensão com OpenSIPS/FreeSWITCH, o stack original Kamailio/Asterisk/rtpengine, e um novo cenário focado em ataques a WebRTC conferencing.
A tendência é clara: a IA está sendo apontada para codebases C/C++ de RTC em escala industrial, e as descobertas estão se acelerando. Para mantenedores de projetos e equipes de segurança, o momento de revisar dependências e versões é agora.
Análise baseada no RTCSec news — April 2026, por Sandro Gauci e Enable Security. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
Chrome WebRTC Use-After-Free (CVE-2026-5860): Chrome 147 corrige um UAF de alta severidade no WebRTC que permite RCE dentro do sandbox do navegador via uma página HTML maliciosa. Bounty de $11k.Grandstream MFA Obrigatório: A partir de 7 de abril, o GDMS (Grandstream Device Management System) passou a exigir MFA para todos os usuários.Neko Privilege Escalation (CVE-2026-39386): Neko, um navegador virtual self-hosted que streama desktop remoto via WebRTC, permite que qualquer usuário autenticado ganhe controle admin total. Corrigido nas versões 3.0.11 e 3.1.2.FreePBX Command Injection (CVE-2026-40520): Injeção de comandos no módulo API do FreePBX (versões 17.0.8 e anteriores) via mutações GraphQL não sanitizadas. CVSS 8.6.Mitel MiCollab AWV SQLi + PrivEsc: Duas falhas encadeáveis no componente Audio, Web, Video Conferencing: SQL injection não autenticada (CVSS 9.8) e escalação de privilégio autenticada (CVSS 6.7). Corrigido no MiCollab 10.2 SP1.ZLMediaKit VP9 Heap Overflow (CVE-2026-35203): Heap buffer overflow no parser de payload RTP VP9, acionável com um payload de 1 byte (0xFF).
Conferências: DVRTC em 3 Eventos
A temporada de conferências SIP está a todo vapor. O laboratório Damn Vulnerable Real-Time Communications (DVRTC), um ambiente intencionalmente vulnerável para treinamento em segurança VoIP/WebRTC, será apresentado em três eventos: OpenSIPS Summit (28 de abril, Bucareste), Kamailio World (7-8 de maio, Berlim) e CommCon (9-11 de junho, Düsseldorf). Serão três ângulos diferentes: extensão com OpenSIPS/FreeSWITCH, o stack original Kamailio/Asterisk/rtpengine, e um novo cenário focado em ataques a WebRTC conferencing.
A tendência é clara: a IA está sendo apontada para codebases C/C++ de RTC em escala industrial, e as descobertas estão se acelerando. Para mantenedores de projetos e equipes de segurança, o momento de revisar dependências e versões é agora.
Análise baseada no RTCSec news — April 2026, por Sandro Gauci e Enable Security. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
- Chrome WebRTC Use-After-Free (CVE-2026-5860): Chrome 147 corrige um UAF de alta severidade no WebRTC que permite RCE dentro do sandbox do navegador via uma página HTML maliciosa. Bounty de $11k.Grandstream MFA Obrigatório: A partir de 7 de abril, o GDMS (Grandstream Device Management System) passou a exigir MFA para todos os usuários.Neko Privilege Escalation (CVE-2026-39386): Neko, um navegador virtual self-hosted que streama desktop remoto via WebRTC, permite que qualquer usuário autenticado ganhe controle admin total. Corrigido nas versões 3.0.11 e 3.1.2.FreePBX Command Injection (CVE-2026-40520): Injeção de comandos no módulo API do FreePBX (versões 17.0.8 e anteriores) via mutações GraphQL não sanitizadas. CVSS 8.6.Mitel MiCollab AWV SQLi + PrivEsc: Duas falhas encadeáveis no componente Audio, Web, Video Conferencing: SQL injection não autenticada (CVSS 9.8) e escalação de privilégio autenticada (CVSS 6.7). Corrigido no MiCollab 10.2 SP1.ZLMediaKit VP9 Heap Overflow (CVE-2026-35203): Heap buffer overflow no parser de payload RTP VP9, acionável com um payload de 1 byte (
0xFF).Conferências: DVRTC em 3 Eventos
A temporada de conferências SIP está a todo vapor. O laboratório Damn Vulnerable Real-Time Communications (DVRTC), um ambiente intencionalmente vulnerável para treinamento em segurança VoIP/WebRTC, será apresentado em três eventos: OpenSIPS Summit (28 de abril, Bucareste), Kamailio World (7-8 de maio, Berlim) e CommCon (9-11 de junho, Düsseldorf). Serão três ângulos diferentes: extensão com OpenSIPS/FreeSWITCH, o stack original Kamailio/Asterisk/rtpengine, e um novo cenário focado em ataques a WebRTC conferencing.
A tendência é clara: a IA está sendo apontada para codebases C/C++ de RTC em escala industrial, e as descobertas estão se acelerando. Para mantenedores de projetos e equipes de segurança, o momento de revisar dependências e versões é agora.
Análise baseada no RTCSec news — April 2026, por Sandro Gauci e Enable Security. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
- Chrome WebRTC Use-After-Free (CVE-2026-5860): Chrome 147 corrige um UAF de alta severidade no WebRTC que permite RCE dentro do sandbox do navegador via uma página HTML maliciosa. Bounty de $11k.Grandstream MFA Obrigatório: A partir de 7 de abril, o GDMS (Grandstream Device Management System) passou a exigir MFA para todos os usuários.Neko Privilege Escalation (CVE-2026-39386): Neko, um navegador virtual self-hosted que streama desktop remoto via WebRTC, permite que qualquer usuário autenticado ganhe controle admin total. Corrigido nas versões 3.0.11 e 3.1.2.FreePBX Command Injection (CVE-2026-40520): Injeção de comandos no módulo API do FreePBX (versões 17.0.8 e anteriores) via mutações GraphQL não sanitizadas. CVSS 8.6.Mitel MiCollab AWV SQLi + PrivEsc: Duas falhas encadeáveis no componente Audio, Web, Video Conferencing: SQL injection não autenticada (CVSS 9.8) e escalação de privilégio autenticada (CVSS 6.7). Corrigido no MiCollab 10.2 SP1.ZLMediaKit VP9 Heap Overflow (CVE-2026-35203): Heap buffer overflow no parser de payload RTP VP9, acionável com um payload de 1 byte (
0xFF).Conferências: DVRTC em 3 Eventos
A temporada de conferências SIP está a todo vapor. O laboratório Damn Vulnerable Real-Time Communications (DVRTC), um ambiente intencionalmente vulnerável para treinamento em segurança VoIP/WebRTC, será apresentado em três eventos: OpenSIPS Summit (28 de abril, Bucareste), Kamailio World (7-8 de maio, Berlim) e CommCon (9-11 de junho, Düsseldorf). Serão três ângulos diferentes: extensão com OpenSIPS/FreeSWITCH, o stack original Kamailio/Asterisk/rtpengine, e um novo cenário focado em ataques a WebRTC conferencing.
A tendência é clara: a IA está sendo apontada para codebases C/C++ de RTC em escala industrial, e as descobertas estão se acelerando. Para mantenedores de projetos e equipes de segurança, o momento de revisar dependências e versões é agora.
Análise baseada no RTCSec news — April 2026, por Sandro Gauci e Enable Security. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
Deixe um comentário