Rilevate due vulnerabilità di sicurezza con gravità “alta” in Apache Tomcat, noto server web open source sviluppato da Apache Software Foundation. Tali vulnerabilità, qualora sfruttate, potrebbero consentire a un utente malintenzionato l’accesso a informazioni sensibili sui sistemi interessati.
Rilevato lo sfruttamento attivo della CVE-2026-0740, con gravità “critica”, che interessa l’add-on File Uploads per il plugin WordPress Ninja Forms.
Rilevate due vulnerabilità di sicurezza, di cui una con gravità “alta”, in Synology SSL VPN Client. Tale vulnerabilità, qualora sfruttata, potrebbe consentire ad un utente remoto malintenzionato l’accesso a informazioni riservate sui sistemi interessati.
GitLab ha rilasciato aggiornamenti di sicurezza che risolvono diverse nuove vulnerabilità, di cui 3 con gravità “alta”, in GitLab Community Edition (CE) ed Enterprise Edition (EE). Tra queste, si evidenzia laCVE-2026-5173, per la quale un Proof of Concept (PoC) risulterebbe disponibile in rete.
Juniper Networks rilascia aggiornamenti di sicurezza per sanare alcune vulnerabilità, di cui una con gravità “critica” e otto con gravità “alta”, in diversi prodotti. Le vulnerabilità, qualora sfruttate, potrebbero consentire ad un attaccante di eseguire codice arbitrario, l'ottenimento di privilegi più elevati e la compromissione della disponibilità del servizio sui sistemi interessati.
Rilasciati aggiornamenti di sicurezza che risolvono 9 vulnerabilità, di cui 3 con gravità “critica” e 6 con gravità “alta”, in Chamilo LMS, sistema di e-learning e gestione dei contenuti.
Questo CSIRT ha recentemente rilevato una presunta compromissione dell’infrastruttura di distribuzione del portale CPUID.com, noto produttore di software ampiamente utilizzati in ambiente Windows per attività di diagnostica, monitoraggio e benchmark hardware.
Rilevata vulnerabilità in MISP (Malware Information Sharing Platform), nota piattaforma open source per lo scambio delle informazioni, arricchimento e correlazione dei dati esterni. Tale vulnerabilità, qualora sfruttata, potrebbe permettere l’elusione dei meccanismi di autententicazione.
Sintesi Disponibile un Proof of Concept (PoC) per lo sfruttamento della CVE-2025-62718 che interessa Axios, nota libreria client http per l’interoperabilità tra ambienti browser e Node.
Rilasciati aggiornamenti di sicurezza che risolvono una vulnerabilità con gravità “alta” inerente a prodotti GL.iNet KVM. Tale vulnerabilità, qualora sfruttata, potrebbe consentire a un utente malintenzionato di eludere i meccanismi di autenticazione e accedere ai sistemi interessati.
Rilasciati aggiornamenti di sicurezza che risolvono due vulnerabilità, di cui una con gravità “critica”, in Mitel MiCollab, nota suite di comunicazione unificata e collaborazione aziendale. Tale vulnerabilità, qualora sfruttata, potrebbe consentire ad un utente malintenzionato remoto di eseguire codice arbitrario sui sistemi interessati.
Disponibili Proof of Concept (PoC) per le vulnerabilità CVE-2026-34980 e CVE-2026-34990, di gravita “media” ed “alta”, presenti in CUPS, noto spooler di stampa open source per Linux e altri sistemi Unix-like mantenuto da OpenPrinting. Tali vulnerabilità, qualora sfruttate, potrebbero permettere di ottenere privilegi elevati sul sistema target e/o consentire ad un utente malintenzionato remoto non autenticato di eseguire codice arbitrario sui sistemi interessati.
CSIRT Toscana