Questo sito utilizza cookie tecnici, analytics e di terze parti.
Proseguendo nella navigazione accetti l’utilizzo dei cookie.
Cookie policy
Rilevate due vulnerabilità di sicurezza con gravità “alta” nel modulo Commerce di Craft CMS, noto strumento per la gestione di siti e-commerce. Tali vulnerabilità, qualora sfruttate, potrebbero consentire ad un utente malintenzionato remoto di eseguire codice arbitrario o di accedere ad informazioni sensibili sui sistemi interessati.
È in corso un'estesa campagna di compromissione della supply chain software di Aqua Security perpetrata dal gruppo criminale TeamPCP. L'attacco portato alla compromissione di strumenti di sicurezza e infrastrutture di sviluppo distribuiti a livello globale, inclusi Aqua Trivy, Checkmarx KICS e BerriAI LiteLLM. L'obiettivo dell'attacco consiste nell’esfiltrazione su larga scala di credenziali cloud, chiavi SSH e token di accesso direttamente dagli ambienti di Continuous Integration e Continuous Deployment (CI/CD).
Adobe ha rilasciato aggiornamenti di sicurezza per risolvere molteplici vulnerabilità, di cui 21 con gravità “alta”, nei prodotti Commerce, Magento, Illustrator, Acrobat, Premiere Pro, Substance 3D Stager, e DNG SDK.
Rilevato lo sfruttamento attivo della una vulnerabilità CVE-2025-64328, con gravità “alta”, in FreePBX, piattaforma open source per la configurazione e la gestione grafica di centralini telefonici basati su Asterisk. Tale vulnerabilità, qualora sfruttata, potrebbe consentire ad un utente malintenzionato remoto di eseguire codice sul sistema interessato.
Rilevate due vulnerabilità di sicurezza con gravità “alta” nel software MOVEit WAF di Progress. Tali vulnerabilità, qualora sfruttate, potrebbero consentire a un utente malintenzionato remoto di eseguire codice arbitrario sui sistemi interessati.
Rilasciati aggiornamenti di sicurezza che risolvono una vulnerabilità con gravità “critica” - denominataReact2Shell- nel protocollo “Flight” delle React Server Components, tipicamente utilizzate anche da framework come Next.js. Tale vulnerabilità, qualora sfruttata, potrebbe consentire ad un utente malintenzionato di ottenere l’esecuzione di codice remoto sulle instanze interessate.
Disponibile un Proof of Concept (PoC) per la CVE-2025-34299 – già sanata dal vendor – presente in Monsta FTP, client FTP per ambienti web. Tale vulnerabilità, qualora sfruttata, potrebbe permettere a utenti malintenzionati remoti di eseguire codice arbitrario sul sistema target tramite un server FTP opportunamente predisposto.
Oracle ha rilasciato il Critical Patch Update di ottobre che mira a correggere numerose vulnerabilità su più prodotti, di cui 16 con gravità “alta” e 4 con gravità “critica”. Tra queste, alcune potrebbero essere sfruttate per eseguire codice arbitrario oppure compromettere la disponibilità del servizio sui sistemi target.
Ricercatori di sicurezza hanno recentemente pubblicato un Proof of Concept (PoC) per la CVE-2025-9242, che interessa i firewall WatchGuard Firebox. Qualora sfruttata, tale vulnerabilità potrebbe consentire a un attaccante remoto non autenticato di eseguire codice arbitrario sui sistemi target.
Ricercatori di sicurezza hanno rilevato lo sfruttamento attivo in rete della CVE-2025-61932, vulnerabilità “critica” che interessa il prodotto Motex Lanscope Endpoint Manager, nella versione on-premise. Tale vulnerabilità, qualora sfruttata, potrebbe consentire a utenti malintenzionati remoti di eseguire codice arbitrario sui sistemi interessati.
Adobe ha rilasciato aggiornamenti di sicurezza per risolvere molteplici vulnerabilità, di cui 10 con gravità “alta” e 2 con gravità “critica”, nei prodotti Acrobat, Coldfusion, Dreamweaver, Experience-Manager, Magento, Premiere Pro, Substance3D-Modeler e Substance3D-Viewer.
Ricercatori di sicurezza hanno recentemente rilasciato un bollettino di sicurezza che descrive una vulnerabilità con gravità “alta” – denominata TARmageddon – presente nella popolare libreria Rust async-tar ed ereditata nelle sue numerose fork. Tale vulnerabilità, dovuta a un’errata desincronizzazione del parser della libreria TAR, consentirebbe — tramite archivi opportunamente annidati — di inserire voci extra non previste durante l’estrazione e di sovrascrivere file arbitrari, potenzialmente indirizzando il processo di build verso l’esecuzione di codice malevolo.
CSIRT Toscana