Rilevate 2 vulnerabilità di sicurezza entrambe di gravità “alta” che riguardano Memcached, software open source per la gestione della cache in memoria. Tali vulnerabilità, qualora sfruttate, potrebbero consentire ad un utente malintenzionato l'accesso ad informazioni sensibili sui sistemi interessati.
Mozilla ha rilasciato aggiornamenti di sicurezza che risolvono nuove vulnerabilità, di cui 12 con gravità “alta” e 8 con gravità “critica”, in Firefox, Firefox ESR, Thunderbird e Thunderbird ESR.
Sanata una vulnerabilità in Ruby che interessava il meccanismo di gestione dei timeout della funzionerb_getaddrinfo, utilizzata daAddrinfo.getaddrinfo(..., timeout:)eSocket.tcp(..., resolv_timeout). In particolari condizioni temporali, un oggetto in memoria poteva essere liberato mentre un altro thread cercava di accedervi, causando un dereferenziamento di memoria libera già liberata. Tale vulnerabilità, qualora sfruttata, potrebbe consentire a un utente malintenzionato remoto di compromettere la disponibilità del servizio sui sistemi interessati.
Rilevata vulnerabilità con gravità “alta” in MongoDB Server. Tale vulnerabilità è legata alla gestione impropria degli indici “2dsphere_bucket” e “queryable_encrypted_range” e, qualora sfruttata, potrebbe consentire ad un utente malintenzionato di compromettere la disponibilità del servizio sui sistemi interessati.
Rilevata vulnerabilità, con gravità “alta”, che interessa il modulo di backup di FreePBX, dovuta a una gestione non sicura della deserializzazione dei dati durante le operazioni di restore. Un attaccante autenticato può sfruttare backup appositamente manipolati per ottenere l’esecuzione di codice arbitrario sul server con i privilegi del servizio web.
Rilevata vulnerabilità, con gravità “critica”, che interessa la piattaforma open source per l’automazione dei workflow n8n. Tali vulnerabilità, qualora sfruttata, consentirebbe a un utente autenticato di manipolare i prototipi globali JavaScript tramite input non validato, creando le condizioni per l’esecuzione di codice arbitrario e la completa compromissione del sistema.
Aggiornamenti di sicurezza risolvono molteplici vulnerabilità, di cui 19 con gravità “alta”, nei prodotti di F5. Tra queste si evidenzia laCVE-2026-42945, di tipo “Buffer Overflow”, per la quale risulta disponibile un Proof of Concept (PoC) in rete.
Rilevata una vulnerabilità di tipo “zero-day” nei sistemi operativi Microsoft Windows, - probabilmente riconducibile ad una non corretta risoluzione della CVE-2020-17103 - per la quale è stato rilasciato un Proof of Concept (PoC). Tale vulnerabilità, qualora sfruttata, potrebbe consentire a un utente malintenzionato di elevare i propri privilegi sui sistemi interessati.
Rilasciati aggiornamenti di sicurezza per correggere due vulnerabilità di sicurezza, tra cui una di gravità “alta”, che interessano la libreriaCrypt::OpenSSL::PKCS12per Perl, utilizzata per la gestione dei file PKCS#12. Più nello specifico, tali vulnerabilità, qualora sfruttate, potrebbero consentire a un utente malintenzionato l’esecuzione di codice arbitrario e determinare una gestione errata delle password dovuta alla loro troncatura al primo carattere NULL, con conseguente perdita di entropia e indebolimento dei meccanismi di autenticazione, compromettendo la sicurezza dei sistemi interessati.
Rilasciati aggiornamenti di sicurezza per risolvere 11 vulnerabilità in PostgreSQL, di cui 6 con gravità “alta”.
Rilevate alcune vulnerabilità di sicurezza, di cui due con gravità “alta”, nel noto CMS Joomla!. Tali vulnerabilità, qualora sfruttate, potrebbero permettere a un utente malintenzionato di eliminare file arbitrari sul filesystem e di eludere i meccanismi di sicurezza sui sistemi interessati.
Microsoft ha rilasciato aggiornamenti di sicurezza per risolvere due nuove vulnerabilità, una con gravità ”critica” e una con gravità “alta”, che riguardano i prodotti Microsoft Authenticator e Microsoft Exchange Server. Tra queste si evidenzia laCVE-2026-42897, di tipo “Cross-site Scripting (XSS)”, che risulta essere sfruttata attivamente in rete.
CSIRT Toscana