Rilevato lo sfruttamento attivo in rete della vulnerabilitàCVE-2025-66376– già sanata dal vendor a novembre 2025 – che interessa Zimbra Collaboration Suite (ZCS). Tale vulnerabilità, qualora sfruttata, potrebbe consentire ad un utente malintenzionato l'elusione dei meccanismi di sicurezza sui sistemi interessati.
Rilevate 2 nuove vulnerabilità con gravità “alta” che interessano il prodotto Spring AI. Tali vulnerabilità, qualora sfruttate, potrebbero permettere ad un utente malintenzionato di eludere le funzionalità di sicurezza ed eseguire codice arbitrario.
Rilevate nuove vulnerabilità, tra cui due con gravità “alta”, in Jenkins, noto server di automazione open source.
Rilasciati aggiornamenti di sicurezza per risolvere una vulnerabilità con gravità “alta” presente in Grafana Tempo, componente open‑source dello stack LGTM (Loki, Grafana, Tempo, Mimir) che consente di tracciare il percorso delle richieste interne ai microservizi per individuare rapidamente problemi e analizzare e ottimizzare sistemi distribuiti.
Sintesi Microsoft ha rilasciato gli aggiornamenti di sicurezza mensili che risolvono un totale di 112 nuove vulnerabilità, 2 di tipo 0-day.
Cisco ha rilasciato aggiornamenti di sicurezza che risolvono diverse nuove vulnerabilità, di cui due con gravità “critica” e 15 con gravità “alta”, riguardanti vari prodotti Secure Firewall.
Disponibile un Proof of Concept (PoC) per la vulnerabilità CVE-2025-14500, con gravità “critica”, che riguarda diverse componenti presenti nella piattaforma IceWarp. Tale vulnerabilità, qualora sfruttata, potrebbe consentire ad un utente malintenzionato remoto l'elusione dei meccanismi di autenticazione e l'esecuzione di codice arbitrario sui sistemi interessati.
Disponibili Proof of Concept (PoC) per leCVE-2025-47812eCVE-2025-47813– già sanate dal vendor a maggio 2025 – presenti in Wing FTP Server, software enterprise per la gestione di server FTP, progettato per offrire trasferimenti di file sicuri, flessibili e multi-protocollo.
Disponibile un Proof of Concept (PoC) per la CVE-2026-32760 di gravita “critica” – già sanata dal vendor – presente in File Browser applicazioneopen‑source e self‑hosted che fornisce un’interfaccia web per la gestione difile e cartelle su un server o su vari tipi di storage. Tale vulnerabilità, qualora sfruttata, potrebbe permettere di ottenere privilegi elevati sull’applicativo.
Rilevate due nuove vulnerabilità di sicurezza, di cui una con gravità “critica”, nel prodotto XenServer di Citrix. Tale vulnerabilità, qualora sfruttata, potrebbe consentire a un utente privilegiato in una VM guest di accedere a porzioni di memoria dell’host, portando potenzialmente all’elevamento dei propri privilegi, ad accedere a informazioni sensibili o a compromettere la disponibilità del sistema target.
Disponibile unProof of Concept(PoC) per la vulnerabilità CVE-2026-32746, di gravità "critica", che interessa il demonetelnetdappartenente alla suite di utility di rete GNU Inetutils. Tale vulnerabilità, qualora sfruttata, potrebbe consentire a un utente malintenzionato remoto non autenticato di eseguire codice arbitrario sui sistemi target.
Rilevata vulnerabilità con gravità “alta” in MongoDB Server. Tale vulnerabilità, qualora sfruttata, potrebbe consentire ad un utente malintenzionato di compromettere la disponibilità del servizio o di accedere ad informazioni sensibili sui sistemi interessati.
CSIRT Toscana