Rilevate nuove vulnerabilità, tra cui una con gravità “critica” e due con gravità “alta” in Spring, noto framework open‑source per lo sviluppo di applicazioni Java, molto usato in ambito enterprise.
Rilevata vulnerabilità con gravità “alta” nel prodotto Kubernetes “ingress-nginx”. Tale vulnerabilità, qualora sfruttata, potrebbe consentire ad un utente malintenzionato di eseguire codice arbitrario e accedere a informazioni sensibili sui sistemi interessati.
A seguito di una serie di attacchi informatici che hanno interessato organizzazioni di rilievo internazionale - in particolare nel settore sanitario - si segnala una recrudescenza di campagne volte alla compromissione di piattaforme diEndpoint Management(comeMicrosoft Intune). Gli attori malevoli non utilizzano malware tradizionali, ma sfruttano delle funzionalità di amministrazione legittime per eseguire la cancellazione massiva dei dati (wiping) e l'esfiltrazione di informazioni sensibili.
Rilasciati aggiornamenti di sicurezza per risolvere nuove vulnerabilità, tra cui due con gravità “alta”, in Apache Airflow. Tali vulnerabilità, qualora sfruttatate, potrebbero consentire ad un utente malintenzionato l'elusione dei meccanismi di sicurezza e l'accesso ad informazioni sensibili sui sistemi interessati.
Rilevato lo sfruttamento attivo in rete della vulnerabilitàCVE-2025-66376– già sanata dal vendor a novembre 2025 – che interessa Zimbra Collaboration Suite (ZCS). Tale vulnerabilità, qualora sfruttata, potrebbe consentire ad un utente malintenzionato l'elusione dei meccanismi di sicurezza sui sistemi interessati.
Rilevate 2 nuove vulnerabilità con gravità “alta” che interessano il prodotto Spring AI. Tali vulnerabilità, qualora sfruttate, potrebbero permettere ad un utente malintenzionato di eludere le funzionalità di sicurezza ed eseguire codice arbitrario.
Rilevate nuove vulnerabilità, tra cui due con gravità “alta”, in Jenkins, noto server di automazione open source.
Rilasciati aggiornamenti di sicurezza per risolvere una vulnerabilità con gravità “alta” presente in Grafana Tempo, componente open‑source dello stack LGTM (Loki, Grafana, Tempo, Mimir) che consente di tracciare il percorso delle richieste interne ai microservizi per individuare rapidamente problemi e analizzare e ottimizzare sistemi distribuiti.
Sintesi Microsoft ha rilasciato gli aggiornamenti di sicurezza mensili che risolvono un totale di 112 nuove vulnerabilità, 2 di tipo 0-day.
Cisco ha rilasciato aggiornamenti di sicurezza che risolvono diverse nuove vulnerabilità, di cui due con gravità “critica” e 15 con gravità “alta”, riguardanti vari prodotti Secure Firewall.
Disponibile un Proof of Concept (PoC) per la vulnerabilità CVE-2025-14500, con gravità “critica”, che riguarda diverse componenti presenti nella piattaforma IceWarp. Tale vulnerabilità, qualora sfruttata, potrebbe consentire ad un utente malintenzionato remoto l'elusione dei meccanismi di autenticazione e l'esecuzione di codice arbitrario sui sistemi interessati.
Disponibili Proof of Concept (PoC) per leCVE-2025-47812eCVE-2025-47813– già sanate dal vendor a maggio 2025 – presenti in Wing FTP Server, software enterprise per la gestione di server FTP, progettato per offrire trasferimenti di file sicuri, flessibili e multi-protocollo.
CSIRT Toscana