Impatto Sistemico

Critico (76.66)

Sintesi

Rilevato lo sfruttamento attivo in rete della vulnerabilità CVE-2026-3502 – già sanata dal vendor a marzo 2026 – che interessa TrueConf Client. Tale vulnerabilità, qualora sfruttata, potrebbe consentire ad un utente malintenzionato di eseguire codice arbitrario sui sistemi interessati.

Tipologia

Arbitrary Code Execution

Descrizione e potenziali impatti

È stato recentemente rilevato lo sfruttamento delle vulnerabilità identificata tramite la CVE-2026-3502 – già sanata dal vendor a marzo 2026 – con score CVSS v3.x pari a 7.8 e di tipo “ Download of Code Without Integrity Check ”, presente in TrueConf Client.

La vulnerabilità è dovuta da una non adeguata verifica dell’integrità e dell’autenticità del codice di aggiornamento prelevato dal client TrueConf. In particolare, il client si fida implicitamente del server TrueConf on‑premises e applica gli aggiornamenti ricevuti senza ulteriori meccanismi di controllo.

Un utente malintenzionato, qualora riesca a compromettere o a ottenere il controllo di un server TrueConf, potrebbe sfruttare tale vulnerabilità per distribuire pacchetti di aggiornamento opportunamente predisposti, al fine di ottenere l’esecuzione di codice arbitrario sui sistemi client connessi.

Prodotti e/o versioni affette

TrueConf Client, versioni dalla 8.1.0 alla 8.5.2 inclusa

Azioni di Mitigazione

Ove non già provveduto, si raccomanda l’applicazione delle patch di sicurezza più recenti fornite dal produttore.