MongoDB Inc. ha rilasciato aggiornamenti di sicurezza per risolvere una vulnerabilità, con gravità “alta”, che interessa il prodotto MongoDB Server. Tale vulnerabilità, qualora sfruttata, potrebbe consentire a un utente malintenzionato locale di introdurre codice arbitrario eseguibile nel processo di MongoDB tramite DLL hijacking.
Rilevate due vulnerabilità, di cui una con gravità “critica”, nei dispositivi NVR (Network Video Recorder) prodotti da Digiever. Tali vulnerabilità, qualora sfruttate, potrebbero permettere l’accesso a informazioni sensibili o l’esecuzione di codice arbitrario sui dispositivi interessati.
Rilevate nuove vulnerabilità, di cui una con gravità “critica” e tre con gravità “alta”, che riguardano il prodotto NVIDIA Triton Inference Server, piattaforma open-source progettata per servire modelli di intelligenza artificiale e machine learning in produzione.
È stata identificata una vulnerabilità di tipo “path traversal” presente in alcuni modelli di smart TV prodotte da LG che eseguono il sistema operativo LG WebOS. Tale vulnerabilità, qualora sfruttata, potrebbe comportare il bypass dei meccanismi di autenticazione, con conseguente compromissione completa del dispositivo.
Omnissa rilascia aggiornamenti di sicurezza per due vulnerabilità, di cui una con gravità “alta”, nel prodotto Workspace ONE UEM, piattaforma di gestione unificata dei dispositivi finali (Unified Endpoint Management), utilizzata per la gestione di dispositivi mobili, desktop e applicazioni aziendali.
Proseguono le campagne di compromissione di pacchetti NPM largamente diffusi, al fine di distribuire codice malevolo. Ricercatori di sicurezza hanno rilevato la compromissione di numerosi pacchetti NPM Crowdstrike e affermano che tali attacchi sembrano essere una prosecuzione della campagna malevola denominata “Shai-Halud”, già nota in precedenti compromissioni ai danni di Tinycolor, libreria JavaScript leggera e potente per la manipolazione dei colori.
Aggiornamenti di sicurezza sanano quattro vulnerabilità, di cui 3 con gravità “critica”, in Chaos Mesh, piattaforma di chaos engineering per Kubernetes.
Impatto Sistemico Alto (68.71) Descrizione e potenziali impatti Ricercatori di sicurezza hanno recentemente sviluppato un exploit “0-click” che, sfruttando le CVE-2023-52440 e CVE-2023-4130 – già sanate dal vendor – presenti nel modulo KSMBD [1] del Kernel Linux, consentirebbe a un utente malevolo remoto di eseguire codice arbitrario su un sistema target senza alcuna interazione da parte dell’utente.
Apple ha rilasciato aggiornamenti di sicurezza per sanare diverse vulnerabilità presenti nei propri prodotti.
Aggiornamenti di sicurezza risolvono due vulnerabilità, con gravità “alta”, in Spring Framework e Spring Security. Tali vulnerabilità potrebbero consentire ad un utente malintenzionato il bypass dei meccanismi di sicurezza.
Disponibile un Proof of Concept (PoC) per laCVE-2025-58434– già sanata dal vendor – presente in Flowise, piattaforma open-source con interfaccia drag & drop per costruire flussi personalizzati basati su modelli linguistici di grandi dimensioni (LLM). Tale vulnerabilità riguarda l’endpointforgot-passworddi Flowise e potrebbe consentire ad un utente malevolo di eludere i meccanismi di autenticazione sui sistemi target.
Rilevate alcune nuove vulnerabilità, di cui una con gravità “alta”, in Zabbix, noto prodotto open source per il monitoraggio di reti e sistemi informatici.
CSIRT Toscana