Aggiornamenti di sicurezza risolvono due vulnerabilità, con gravità “alta”, in Spring Framework e Spring Security. Tali vulnerabilità potrebbero consentire ad un utente malintenzionato il bypass dei meccanismi di sicurezza.
Disponibile un Proof of Concept (PoC) per laCVE-2025-58434– già sanata dal vendor – presente in Flowise, piattaforma open-source con interfaccia drag & drop per costruire flussi personalizzati basati su modelli linguistici di grandi dimensioni (LLM). Tale vulnerabilità riguarda l’endpointforgot-passworddi Flowise e potrebbe consentire ad un utente malevolo di eludere i meccanismi di autenticazione sui sistemi target.
Rilevate alcune nuove vulnerabilità, di cui una con gravità “alta”, in Zabbix, noto prodotto open source per il monitoraggio di reti e sistemi informatici.
Rilasciati aggiornamenti di sicurezza che risolvono due vulnerabilità, di cui una con gravità “alta”, in cURL, noto tool a linea di comando e libreria per il trasferimento dati.
Samsung ha rilasciato aggiornamenti di sicurezza per sanare molteplici vulnerabilità. Tra queste, una con gravità “critica” per la quale è stato rilevato lo sfruttamento attivo in rete.
Risolta una vulnerabilità con gravità “alta” in Axios. Tale vulnerabilità, qualora sfruttata, potrebbe permettere ad un utente malintenzionato remoto di compromettere la disponibilità del sistema target.
Rilevate due vulnerabilità, di cui una con gravità “alta”, nei prodotti Liferay Portal e Liferay DXP. Tali vulnerabilità, qualora sfruttate, potrebbero permettere ad un utente malintenzionato remoto di compromettere la disponibilità dei sistemi target.
Risolte due vulnerabilità, di cui una con gravità “alta”, in CUPS, noto sistema di stampa open source per Linux e altri sistemi Unix-like mantenuto da OpenPrinting. Tale vulnerabilità, qualora sfruttata, potrebbe consentire a un utente malintenzionato di aggirare i meccanismi di autenticazione sul sistema interessato.
Questo CSIRT ha recentemente rilevato una campagna di phishing a tema “Facebook” volta a carpire le informazioni personali delle potenziali vittime, compresi i codici di accesso alla piattaforma del noto Social Network.
Rilevate 3 nuove vulnerabilità, con gravità “alta”, che riguardano il prodotto NVIDIA NVDebug.
Rilevate 3 nuove vulnerabilità, di cui una con gravità “alta” che riguarda i prodotti Cisco IOS XR.
ISC ha rilasciato aggiornamenti di sicurezza per sanare una vulnerabilità con gravità “alta” in Stork, dashboard web per il monitoraggio e la gestione di server Kea DHCP e BIND DNS. Tale vulnerabilità, qualora sfruttata, potrebbe consentire a utenti malintenzionati di compromettere la disponibilità dei sistemi interessati.
CSIRT Toscana