Risolta una vulnerabilità di sicurezza con gravità “critica” nel prodotto Web Help Desk di SolarWinds. Tale vulnerabilità riguarda la deserializzazione non autenticata tramite AjaxProxy e, qualora sfruttata, potrebbe consentire a un utente malintenzionato remoto di eseguire codice arbitrario sul sistema interessato.
Rilevata una vulnerabilità di tipo “Cross-Site Scripting” (XSS) che interessa il prodotto Lectora, una piattaforma di sviluppo per corsi e-learning di proprietà di ELB learning. Tale vulnerabilità potrebbe consentire a un utente malintenzionato di eseguire codice JavaScript malevolo nell’istanza interessata.
Rilevata una vulnerabilità con gravità “alta” in Mattermost, piattaforma di collaborazione open-source progettata per la comunicazione interna di organizzazioni e aziende. Tale vulnerabilità, qualora sfruttata, potrebbe consentire a un utente malintenzionato l’esecuzione di codice arbitrario sul sistema target.
Ivanti rilascia aggiornamenti di sicurezza che risolvono 12 vulnerabilità, di cui 10 con gravità “critica” e 2 con gravità “alta”, nei prodotti Ivanti EndPoint Manager.
Rilevate due vulnerabilità di sicurezza, di cui una con gravità “critica” e una con gravità “alta”, nel prodotto XWiki Platform, piattaforma collaborativa open source scritta in Java. Tali vulnerabilità, qualora sfruttate, potrebbero consentire a un utente malevolo remoto di bypassare i meccanismi di sicurezza e accedere a informazioni sensibili sui sistemi interessati.
SonicWall ha recentemente confermato un incidente di sicurezza relativo al servizio di backup cloud per i propri firewall, gestiti tramite MySonicWall. Dalle analisi è stato rilevato che attori malevoli sarebbero riusciti ad accedere ad alcuni file di configurazione archiviati nel cloud.
Mozilla ha rilasciato aggiornamenti di sicurezza per sanare diverse vulnerabilità, di cui 7 con gravità “alta”, nei prodotti Firefox, Firefox ESR, Thunderbird e Thunderbird ESR.
Descrizione e potenziali impatti È stata recentemente osservata una campagna malspam, con l’obiettivo di indurre la potenziale vittima ad aprire un archivio – scaricato automaticamente- utilizzato successivamente per raccogliere informazioni sensibili dagli host compromessi.
Disponibile un Proof of Concept (PoC) per laCVE-2025-9961– già sanata dal vendor – presente nei router TP-Link delle serie AX10 e AX1500. Tale vulnerabilità riguarda l’implementazione nei router TP-Link del CWMP (Customer Premises Equipment WAN Management Protocol), noto anche come TR-069, e potrebbe consentire l’esecuzione di codice arbitrario remoto sui dispositivi interessati.
Rilasciati aggiornamenti di sicurezza per risolvere una vulnerabilità, con gravità “alta”, nel applicativo open source Greenshot utilizzato per la cattura di istantanee dello schermo su Windows. La vulnerabilità, qualora sfruttata, consentirebbe a un utente malintenzionato di eseguire codice arbitrario.
Google ha rilasciato un aggiornamento per il browser Chrome al fine di correggere quattro vulnerabilità di sicurezza con gravità “alta”. Nel dettaglio la CVE-2025-10585, di tipo zero-day, consentirebbe a un utente malintenzionato remoto di indurre l’utente a visitare una pagina Web malevola opportunamente predisposta.
WatchGuard rilascia aggiornamenti di sicurezza per una vulnerabilità con gravità “critica” nel prodotto Firebox. La vulnerabilità, qualora sfruttata, potrebbe consentire a un utente malintenzionato remoto non autenticato di eseguire codice arbitrario su dispositivi vulnerabili.
CSIRT Toscana