Rilasciati aggiornamenti di sicurezza che risolvono due vulnerabilità, di cui una con gravità “alta”, in Django, noto framework open source per lo sviluppo di applicazioni web. Tale vulnerabilità, qualora sfruttata, potrebbe consentire a un utente malintenzionato di compromettere la disponibilità del servizio sui sistemi interessati nonché eludere i meccanismi di autenticazione sui sistemi interessati.
Rilevate 4 vulnerabilità in prodotti MediaTek, di cui 3 con gravità “alta”. Tali vulnerabilità, qualora sfruttate, potrebbero consentire a un utente malintenzionato la possibilità di elevare i propri privilegi e/o di compromettere la disponibilità del servizio sui sistemi interessati.
Rilasciati aggiornamenti di sicurezza per correggere alcune vulnerabilità di sicurezza, tra cui una di gravità “alta“, che interessano OpenSSL, nota libreria per l’implementazione degli standard crittografici e i protocolli TLS/SSL. Tali vulnerabilità, qualora sfruttate, potrebbero consentire a un utente malintenzionato remoto di eludere le funzionalità di sicurezza sui sistemi interessati.
È stata recentemente rilevata una campagna di phishing di tipo “Device Code Grant” volta all’ottenimento di token OAuth delle potenziali vittime esortandole, tramite tecniche di ingegneria sociale, a visionare un documento e seguire una presunta procedura di verifica del proprio account.
Apache ha rilasciato aggiornamenti di sicurezza per correggere due vulnerabilità di gravità alta che interessano Apache Traffic Server (ATS), noto proxy/cache HTTP ad alte prestazioni. Tali vulnerabilità, qualora sfruttate, potrebbero consentire a un attaccante di effettuare attacchi di tipo “HTTP request smuggling” mediante richieste HTTP opportunamente predisposte, nonché di compromettere la disponibilità del servizio sui sistemi interessati.
Aggiornamenti di sicurezza sanano 15 vulnerabilità con gravità “alta” nei microprocessori SoC (System on a Chip) Qualcomm
Google ha rilasciato gli aggiornamenti di sicurezza di aprile per sanare una vulnerabilità con gravità “critica” e una con gravità “alta” che interessano il sistema operativo Android.
Disponibili Proof of Concept (PoC) per le CVE-2026-2699 e CVE-2026-2701 – già sanate dal vendor a marzo 2026 – presenti negli Storage Zone Controller di Progress ShareFile, software enterprise usato per condividere, archiviare e gestire file in modo sicuro nel cloud.
Rilevato lo sfruttamento attivo in rete della vulnerabilità CVE-2026-35616 – già sanata dal vendor – che interessa FortiClient EMS.Tale vulnerabilità, qualora sfruttata, potrebbe consentire ad un utente malintenzionato di elevare i propri privilegi ed eseguire codice arbitrario da remoto sui dispositivi interessati.
Aggiornamenti di sicurezza sanano 8 vulnerabilità in Roundcube Webmail, noto gestore di posta elettronica open source.
Aggiornamenti di sicurezza sanano 5 vulnerabilità, di cui una con gravità “alta”, in OpenSSH. Tale vulnerabilità, qualora sfruttata, potrebbe consentire ad un utente malintenzionato di elevare i propri privilegi sui sistemi interessati.
Rilevato lo sfruttamento attivo in rete della vulnerabilitàCVE-2026-3502– già sanata dal vendor a marzo 2026 – che interessa TrueConf Client.Tale vulnerabilità, qualora sfruttata, potrebbe consentire ad un utente malintenzionato di eseguire codice arbitrario sui sistemi interessati.
CSIRT Toscana