CSIRT Toscana IngressNightmare: rilevate 0-day nel controller Ingress NGINX per Kubernetes (BL01/250325/CSIRT-ITA)
Impatto Sistemico Alto (66.41) Sintesi Rilevate 5 vulnerabilità critiche che interessano il controller Ingress NGINX per Kubernetes.
Ultime notizie
Pagina 10 di 81
Rilevata vulnerabilità in Next.js (AL01/250324/CSIRT-ITA)
Aggiornamenti di sicurezza risolvono una vulnerabilità di gravità “critica” in Next.js, noto framework javascript per la creazione di applicazioni web. Tale vulnerabilità potrebbe consentire, a un utente malintenzionato, il bypass dei controlli di sicurezza del middleware di Next.js tramite un'intestazione HTTP"x-middleware-subrequest"opportunamente predisposta.
Categorie
AlertArgomenti
Aggiornamenti Mensili Microsoft (AL07/240409/CSIRT-ITA) – Aggiornamento
Microsoft ha rilasciato gli aggiornamenti di sicurezza mensili che risolvono un totale di150nuove vulnerabilità.
Categorie
AlertArgomenti
Rilevato sfruttamento di prodotti Cleo (AL04/241210/CSIRT-ITA) – Aggiornamento
Impatto Sistemico Alto (73.33) Sintesi – (aggiornamento del 13/12/2024) Rilevato lo sfruttamento attivo in rete di 2 vulnerabilità di tipo “Remote Code Execution” presenti nei prodotti Harmony, VLTrader e LexiCom della suite Cleo, soluzioni software utilizzate principalmente per la gestione dei trasferimenti di file.
Categorie
AlertFortinet: rilevato sfruttamento in rete della CVE-2024-47575 (AL01/241024/CSIRT-ITA)
Rilevato lo sfruttamento attivo in rete della vulnerabilitàCVE-2024-47575– già sanata dal vendor – che interessa i prodotti FortiManager e FortiAnalyzer. Tale vulnerabilità può consentire a un utente malintenzionato remoto non autenticato l’esecuzione di codice arbitrario.
Categorie
AlertRilevato sfruttamento in rete della CVE-2024-37383 relativa a Roundcube Webmail (AL01/241025/CSIRT-ITA)
Rilevato lo sfruttamento attivo in rete della vulnerabilitàCVE-2024-37383– già sanata dal vendor – che interessa il prodotto Roundcube Webmail, noto gestore di posta elettronica open source.
Categorie
AlertRisolte vulnerabilità in Google Chrome (AL03/240822/CSIRT-ITA) – Aggiornamento
Google ha rilasciato un aggiornamento per il browser Chrome al fine di correggere 37 vulnerabilità di sicurezza, di cui 6 con gravità “alta”.
Categorie
AlertTenable: sanata vulnerabilità in Nessus (AL01/250321/CSIRT-ITA)
Tenable ha rilasciato aggiornamenti di sicurezza che risolvono una vulnerabilità con gravità “alta” nel noto vulnerability scannerNessus. Tale vulnerabilità, qualora sfruttata, potrebbe consentire a un utente malintenzionato di elevare i propri privilegi sui sistemi interessati.
Categorie
AlertRisolta vulnerabilità in prodotti Cisco (AL02/240905/CSIRT-ITA)
Aggiornamenti di sicurezza Cisco sanano diverse vulnerabilità, di cui una con gravità “critica” e due con gravità “alta”, presenti in diversi prodotti.
Categorie
AlertRilevata vulnerabilità in MongoDB (AL05/250320/CSIRT-ITA)
MongoDB Inc. ha rilasciato aggiornamenti di sicurezza per una vulnerabilità che interessa le varie funzioni “bson_append” nella libreria “libbson” del driver C di MongoDB. Tale vulnerabilità potrebbe portare a un crash dell’applicazione nel caso in cui vengano effettuate operazioni che potrebbero risultare in un documento BSON finale che supera la dimensione massima consentita (INT32_MAX).
Categorie
AlertArgomenti
Aggiornamenti Drupal (AL04/250320/CSIRT-ITA)
Impatto Sistemico Medio (59.1) Sintesi Aggiornamenti di sicurezza risolvono una vulnerabilità presente in Drupal Core qualora il modulo “Link” sia abilitato.
Categorie
AlertArgomenti
NAKIVO: PoC pubblico per lo sfruttamento della CVE-2024-48248 (AL03/250227/CSIRT-ITA)
Impatto Sistemico Alto (66.02) Sintesi Disponibile un Proof of Concept (PoC) per la CVE-2024-48248 – già sanata dal vendor – presente in NAKIVO Backup & Replication, soluzione di backup e ripristino dati progettata per proteggere e gestire ambienti virtualizzati.