Sanata una vulnerabilità con gravità “critica” in Grafana, nota applicazione web per la visualizzazione e l’analisi interattiva di dati. Tale vulnerabilità, qualora sfruttata, potrebbe consentire a un utente malintenzionato di elevare i propri privilegi o di impersonificare altri utenti sui sistemi interessati, qualora configurati come indicato nel bollettino di sicurezza del vendor.
Rilasciati aggiornamenti di sicurezza che risolvono due vulnerabilità, di cui una con gravità “critica” e una con gravità “alta”, in Django, noto framework open source per lo sviluppo di applicazioni web. Tali vulnerabilità, qualora sfruttate, potrebbero consentire ad un utente malintenzionato di rivelare informazioni sensibili, alterare dati o compromettere la disponibitlià del servizio sul sistema target.
Disponibili Proof of Concept (PoC) per lo sfruttamento delleCVE-2025-64720eCVE-2025-65018– corrette nei commit presenti nella sezione Riferimenti – relative a libpng, libreria open source utilizzata per la lettura e scrittura di file PNG (Portable Network Graphics). Tali vulnerabilità, qualora sfruttate, potrebbero consentire a un utente malevolo di eseguire codice arbitrario, di accedere ad informazioni sensibili o di causare un’interruzione del servizio sui sistemi target.
Aggiornamenti di sicurezza sanano una vulnerabilità con gravità "alta" presente nel prodotto DiskStation Manager (DSM) di Synology. Tale vulnerabilità potrebbe consentire ad un utente malintenzionato di eludere i meccanismi di autenticazione sui sistemi target.
Oracle ha rilasciato il Critical Patch Update di ottobre che mira a correggere numerose vulnerabilità su più prodotti, di cui 16 con gravità “alta” e 4 con gravità “critica”. Tra queste, alcune potrebbero essere sfruttate per eseguire codice arbitrario oppure compromettere la disponibilità del servizio sui sistemi target.
Disponibile un Proof of Concept (PoC) per la CVE-2025-63207, che riguarda la Web GUI nei prodotti TEX di R.V.R Elettronica, trasmettitori FM compatti. Tale vulnerabilità, qualora sfruttata, potrebbe consentire ad un utente malintenzionato di effettuare richieste non autenticate per la modifica delle credenziali sui sistemi interessati.
Disponibile un Proof of Concept (PoC) per lo sfruttamento delle vulnerabilità CVE-2025-9316 e CVE-2025-11700 – già sanate dal vendor il 5 novembre 2025 – presenti in N-able N-central, piattaforma avanzata di Remote Monitoring and Management (RMM) progettata con l’obiettivo di gestire, proteggere e automatizzare infrastrutture IT complesse su larga scala. Tali vulnerabilità, qualora sfruttate, potrebbero permettere a un utente malintenzionato di bypassare i meccanismi di autenticazione e/o di accedere a file sensibili sui sistemi interessati.
SonicWall ha rilasciato aggiornamenti di sicurezza per sanare tre vulnerabilità, di cui due con gravità “alta”, che interessano i dispositivi Email Security e i firewall Gen7 e Gen8. Tali vulnerabilità, qualora sfruttate, potrebbero consentire a un utente malintenzionato remoto di eseguire codice arbitrario e/o compromettere la disponibilità del servizio sui sistemi target.
Risolte due vulnerabilità con gravità “alta” presenti in 7-Zip, noto software open source per la compressione e decompressione di file. Tali vulnerabilità, qualora sfruttate, potrebbero consentire ad un utente malintenzionato di eseguire codice arbitrario sui dispositivi target.
Disponibili Proof of Concept (PoC) per lo sfruttamento di varie vulnerabilità presenti nel modello D-Link DIR-878. Specificamente riguardo alle CVE-2025-60672, CVE-2025-60673, CVE-2025-60674 e CVE-2025-60676.
Risolte tre vulnerabilità di sicurezza, con gravità “critica”, nel prodotto Serv-U di SolarWinds. Tali vulnerabilità, qualora sfruttate, potrebbe consentire a un utente malintenzionato con privilegi di amministratore di eseguire codice arbitrario sul sistema interessato.
Google ha rilasciato aggiornamenti di sicurezza per il browser Chrome al fine di correggere due vulnerabilità di sicurezza con gravità “alta”, una delle quali risulta sfruttata attivamente in rete. Tali vulnerabilità, qualora sfruttate, potrebbero consentire a un utente malintenzionato remoto di eseguire codice arbitrario sui sistemi target.
CSIRT Toscana