Rilevate due vulnerabilità con gravità “alta” nei prodotti Cortex XSOAR, Cortex XSIAM e Autonomous Digital Experience Manager. Tali vulnerabilità, qualora sfruttate, potrebbero consentire a un utente malintenzionato non autenticato di eludere i meccanismi di sicurezza e di eseguire codice arbitrario sui sistemi interessati.
Rilevate alcune vulnerabilità, di cui una con gravità “alta”, nei prodotti Secure Mobile Access (SMA) della serie 1000 di SonicWall. Tali vulnerabilità, qualora sfruttate, potrebbero consentire a un utente malintenzionato remoto l’ottenimento di privilegi più elevati sui dispositivi interessati.
Questo CSIRT ha recentemente rilevato una campagna di phishing veicolata tramite email che simula una notifica da parte dell'ente finanziario “Klarna”, volta a carpire le credenziali di accesso al conto delle potenziali vittime.
Rilevata una vulnerabilità di sicurezza con gravità “alta” in IBM Langflow Desktop, nota piattaforma per lo sviluppo e la distribuzione di applicazioni e agenti basati su intelligenza artificiale. Tale vulnerabilità, qualora sfruttata, potrebbe consentire a un utente remoto malintenzionato autenticato di eseguire codice arbitrario sui sistemi interessati.
Disponibili Proof of Concept (PoC) per le vulnerabilità CVE‑2026‑35604 e CVE‑2026‑35607, entrambe di gravita “alta” – già sanate dal vendor, presenti in File Browser, applicazione open‑source e self‑hosted che fornisce un’interfaccia web per la gestione di file e cartelle su un server o su vari tipi di storage. Tali vulnerabilità, qualora sfruttate, potrebbero permettere di ottenere privilegi elevati sull’applicativo e/o accesso libero a file condivisi per utenti non autenticati.
Disponibile un Proof of Concept (PoC) per le vulnerabilità CVE-2026-23696 e CVE-2026-22683 – gia già sanate dal vendor – con gravità “critica” in Windmil, nota piattaforma open source di workflow automation.
Rilevata vulnerabilità con gravità “alta” nel componente Nextcloud Flow, noto motore di automazione dei workflow che consente di eseguire azioni automatiche in risposta a eventi all’interno della piattaforma. Tale vulnerabilità, qualora sfruttata, potrebbe consentire a un attaccante remoto di eseguire codice arbitrario e accedere a informazioni sensibili sui sistemi interessati.
Rilevato lo sfruttamento attivo in rete della vulnerabilitàCVE-2025-59528– già sanata dal vendor – presente in Flowise, piattaforma open-source con interfaccia drag & drop per costruire flussi personalizzati basati su modelli linguistici di grandi dimensioni (LLM).
Rilasciati aggiornamenti di sicurezza che risolvono due vulnerabilità, di cui una con gravità “alta”, in Django, noto framework open source per lo sviluppo di applicazioni web. Tale vulnerabilità, qualora sfruttata, potrebbe consentire a un utente malintenzionato di compromettere la disponibilità del servizio sui sistemi interessati nonché eludere i meccanismi di autenticazione sui sistemi interessati.
Rilevate 4 vulnerabilità in prodotti MediaTek, di cui 3 con gravità “alta”. Tali vulnerabilità, qualora sfruttate, potrebbero consentire a un utente malintenzionato la possibilità di elevare i propri privilegi e/o di compromettere la disponibilità del servizio sui sistemi interessati.
Rilasciati aggiornamenti di sicurezza per correggere alcune vulnerabilità di sicurezza, tra cui una di gravità “alta“, che interessano OpenSSL, nota libreria per l’implementazione degli standard crittografici e i protocolli TLS/SSL. Tali vulnerabilità, qualora sfruttate, potrebbero consentire a un utente malintenzionato remoto di eludere le funzionalità di sicurezza sui sistemi interessati.
Apache ha rilasciato aggiornamenti di sicurezza per correggere due vulnerabilità di gravità alta che interessano Apache Traffic Server (ATS), noto proxy/cache HTTP ad alte prestazioni. Tali vulnerabilità, qualora sfruttate, potrebbero consentire a un attaccante di effettuare attacchi di tipo “HTTP request smuggling” mediante richieste HTTP opportunamente predisposte, nonché di compromettere la disponibilità del servizio sui sistemi interessati.
CSIRT Toscana