CSIRT Toscana Risolte vulnerabilità su GitLab CE/EE (AL06/260514/CSIRT-ITA)
Rilasciati aggiornamenti di sicurezza che risolvono 25 vulnerabilità, di cui 7 con gravità “alta”, in GitLab Community Edition (CE) ed Enterprise Edition (EE).
Anno: 2026
Pagina 15 di 52
Vulnerabilità in prodotti VMware (AL05/260514/CSIRT-ITA)
Broadcom ha rilasciato aggiornamenti di sicurezza per risolvere una nuova vulnerabilità, con gravità “alta”, presente nel prodotto VMware Fusion, software di virtualizzazione per macOS. Tale vulnerabilità, qualora sfruttata, potrebbe consentire ad un utente malintenzionato di elevare i propri privilegi sui sistemi interessati.
Categorie
AlertArgomenti
Craft CMS: disponibili PoC per lo sfruttamento delle CVE-2026-44010 e CVE-2026-44011 (AL04/260514/CSIRT-ITA)
Disponibili Proof of Concept (PoC) per le vulnerabilitàCVE-2026-44010eCVE-2026-44011- già sanate dal vendor - presenti in Craft CMS. Tali vulnerabilità, qualora sfruttate, potrebbe consentire ad un utente malintenzionato remoto di eseguire codice arbitrario o di accedere ad informazioni sensibili sui sistemi interessati.
Categorie
AlertLangflow: PoC pubblico per lo sfruttamento della CVE-2026-42048 (AL02/260514/CSIRT-ITA)
Disponibile un Proof of Concept (PoC) per lo sfruttamento dellaCVE-2026-42048– già sanata dal vendor - presente in Langflow, nota piattaforma open-source per lo sviluppo di agent e chatbot basati su intelligenza artificiale.
Categorie
AlertAggiornamenti di sicurezza per prodotti HPE Aruba Networking (AL01/260514/CSIRT-ITA)
Hewlett Packard Enterprise ha rilasciato aggiornamenti di sicurezza per sanare molteplici vulnerabilità, di cui 29 con gravità “alta”, che interessano prodotti Aruba Networking.
Categorie
AlertArgomenti
Aggiornamenti di sicurezza per Mozilla Firefox (AL07/260513/CSIRT-ITA)
Mozilla ha rilasciato aggiornamenti di sicurezza che risolvono cinque nuove vulnerabilità in Firefox.
Categorie
AlertExim: PoC pubblico per lo sfruttamento della CVE-2026-45185 (AL06/260513/CSIRT-ITA)
Disponibile un Proof of Concept (PoC) per lo sfruttamento dellaCVE-2026-45185– già sanata dal vendor – presente in Exim, noto mail transfer agent (MTA) open-source.
Categorie
AlertRilevata vulnerabilità in MongoDB (AL05/260513/CSIRT-ITA)
Rilevata vulnerabilità con gravità “alta” in MongoDB Server. Tale vulnerabilità, qualora sfruttata, potrebbe consentire ad un utente malintenzionato di eseguire codice arbitrario sui sistemi interessati.
Categorie
AlertArgomenti
Vulnerabilità in prodotti Fortinet (AL04/260513/CSIRT-ITA)
Rilevate nuove vulnerabilità in prodotti Fortinet, tra cui due con gravità “critica” e una con gravità “alta”, in FortiSandbox, FortiOS, e FortiAuthenticator. Tali vulnerabilità, qualora sfruttate, potrebbero consentire ad un utente malintenzionato remoto di elevare i propri privilegi ed eseguire codice arbitrario sui sistemi target.
Categorie
AlertRilevata vulnerabilità in prodotti JetBrains (AL03/260513/CSIRT-ITA)
Rilevata una vulnerabilità di sicurezza con gravità “alta” in JetBrains TeamCity, noto server di Integrazione Continua e Consegna Continua (CI/CD). Tale vulnerabilità, qualora sfruttata, potrebbe consentire ad un utente malintenzionato di esporre alcune parti dell'API del server TeamCity a utenti non autorizzati
Categorie
AlertAdobe: aggiornamenti di sicurezza (AL01/260513/CSIRT-ITA)
Adobe ha rilasciato aggiornamenti di sicurezza per risolvere molteplici vulnerabilità, di cui due con gravità “critica” e 25 con gravità “alta”, nei prodotti Premiere, Media Encoder, After Effects, Commerce, Magento, Connect, Illustrator, Substance 3D e Content Authenticity SDK.
Categorie
AlertSupply Chain Attack: rilevata nuova ondata di compromissione pacchetti NPM (BL01/260512/CSIRT-ITA)
Rilevata una campagna su larga scala di compromissione della supply chain nell'ecosistema npm, denominata "Mini Shai-Hulud". L'attacco sfrutta un malware di tipowormper infiltrarsi negli ambienti di sviluppo e nelle pipeline di Continuous Integration/Continuous Deployment (CI/CD). L'obiettivo primario è l'esfiltrazione di credenziali sensibili e la successiva propagazione automatizzata attraverso la pubblicazione di versioni malevole di pacchetti legittimi. Tra i soggetti colpiti figurano framework ad ampia diffusione come TanStack e SDK ufficiali di Mistral AI.