Aggiornamenti di sicurezza risolvono una vulnerabilità di gravità “critica” in Next.js, noto framework javascript per la creazione di applicazioni web. Tale vulnerabilità potrebbe consentire, a un utente malintenzionato, il bypass dei controlli di sicurezza del middleware di Next.js tramite un'intestazione HTTP"x-middleware-subrequest"opportunamente predisposta.
Microsoft ha rilasciato gli aggiornamenti di sicurezza mensili che risolvono un totale di150nuove vulnerabilità.
Impatto Sistemico Alto (73.33) Sintesi – (aggiornamento del 13/12/2024) Rilevato lo sfruttamento attivo in rete di 2 vulnerabilità di tipo “Remote Code Execution” presenti nei prodotti Harmony, VLTrader e LexiCom della suite Cleo, soluzioni software utilizzate principalmente per la gestione dei trasferimenti di file.
Rilevato lo sfruttamento attivo in rete della vulnerabilitàCVE-2024-47575– già sanata dal vendor – che interessa i prodotti FortiManager e FortiAnalyzer. Tale vulnerabilità può consentire a un utente malintenzionato remoto non autenticato l’esecuzione di codice arbitrario.
Rilevato lo sfruttamento attivo in rete della vulnerabilitàCVE-2024-37383– già sanata dal vendor – che interessa il prodotto Roundcube Webmail, noto gestore di posta elettronica open source.
Google ha rilasciato un aggiornamento per il browser Chrome al fine di correggere 37 vulnerabilità di sicurezza, di cui 6 con gravità “alta”.
Tenable ha rilasciato aggiornamenti di sicurezza che risolvono una vulnerabilità con gravità “alta” nel noto vulnerability scannerNessus. Tale vulnerabilità, qualora sfruttata, potrebbe consentire a un utente malintenzionato di elevare i propri privilegi sui sistemi interessati.
Aggiornamenti di sicurezza Cisco sanano diverse vulnerabilità, di cui una con gravità “critica” e due con gravità “alta”, presenti in diversi prodotti.
MongoDB Inc. ha rilasciato aggiornamenti di sicurezza per una vulnerabilità che interessa le varie funzioni “bson_append” nella libreria “libbson” del driver C di MongoDB. Tale vulnerabilità potrebbe portare a un crash dell’applicazione nel caso in cui vengano effettuate operazioni che potrebbero risultare in un documento BSON finale che supera la dimensione massima consentita (INT32_MAX).
Impatto Sistemico Medio (59.1) Sintesi Aggiornamenti di sicurezza risolvono una vulnerabilità presente in Drupal Core qualora il modulo “Link” sia abilitato.
CSIRT Toscana