Questo sito utilizza cookie tecnici, analytics e di terze parti.
Proseguendo nella navigazione accetti l’utilizzo dei cookie.
Cookie policy
Rilevate due vulnerabilità di sicurezza, di cui una con gravità “critica”, in “sudo”, nota utility per sistemi opertativi Unix-like che permette di delegare i privilegi utente. Tali vulnerabilità, qualora sfruttate, potrebbero consentire a un utente malintenzionato di elevare i propri privilegi ed eseguire codice arbitrario sui sistemi target.
Disponibile un Proof of Concept (PoC) per la CVE-2025-59934, che riguarda Formbricks, piattaforma open-source per sondaggi e gestione dell’esperienza utente. Tale vulnerabilità, qualora sfruttata, potrebbe consentire a un utente malintenzionato di bypassare i normali meccanismi di autenticazione sui sistemi interessati.
Disponibile un Proof of Concept (PoC) per la CVE-2025-56383, che riguarda Notepad++, noto editor di testo avanzato per Windows. Tale vulnerabilità, qualora sfruttata, potrebbe consentire a un utente malintenzionato di eseguire codice arbitrario sui sistemi target.
Ivanti rilascia aggiornamenti di sicurezza che risolvono 12 vulnerabilità, di cui 10 con gravità “critica” e 2 con gravità “alta”, nei prodotti Ivanti EndPoint Manager.
Disponibile un Proof of Concept (PoC) per laCVE-2025-9961– già sanata dal vendor – presente nei router TP-Link delle serie AX10 e AX1500. Tale vulnerabilità riguarda l’implementazione nei router TP-Link del CWMP (Customer Premises Equipment WAN Management Protocol), noto anche come TR-069, e potrebbe consentire l’esecuzione di codice arbitrario remoto sui dispositivi interessati.
Rilasciati aggiornamenti di sicurezza per risolvere una vulnerabilità, con gravità “alta”, nel applicativo open source Greenshot utilizzato per la cattura di istantanee dello schermo su Windows. La vulnerabilità, qualora sfruttata, consentirebbe a un utente malintenzionato di eseguire codice arbitrario.
È stata identificata una vulnerabilità di tipo “path traversal” presente in alcuni modelli di smart TV prodotte da LG che eseguono il sistema operativo LG WebOS. Tale vulnerabilità, qualora sfruttata, potrebbe comportare il bypass dei meccanismi di autenticazione, con conseguente compromissione completa del dispositivo.
Impatto Sistemico Alto (68.71) Descrizione e potenziali impatti Ricercatori di sicurezza hanno recentemente sviluppato un exploit “0-click” che, sfruttando le CVE-2023-52440 e CVE-2023-4130 – già sanate dal vendor – presenti nel modulo KSMBD [1] del Kernel Linux, consentirebbe a un utente malevolo remoto di eseguire codice arbitrario su un sistema target senza alcuna interazione da parte dell’utente.
Disponibile un Proof of Concept (PoC) per laCVE-2025-58434– già sanata dal vendor – presente in Flowise, piattaforma open-source con interfaccia drag & drop per costruire flussi personalizzati basati su modelli linguistici di grandi dimensioni (LLM). Tale vulnerabilità riguarda l’endpointforgot-passworddi Flowise e potrebbe consentire ad un utente malevolo di eludere i meccanismi di autenticazione sui sistemi target.
Risolta una vulnerabilità con gravità “alta” in Axios. Tale vulnerabilità, qualora sfruttata, potrebbe permettere ad un utente malintenzionato remoto di compromettere la disponibilità del sistema target.
Microsoft ha rilasciato gli aggiornamenti di sicurezza mensili che risolvono un totale di 86 nuove vulnerabilità, 1 di tipo 0-day.
Progress Software ha rilasciato aggiornamenti di sicurezza per risolvere una vulnerabilità con gravità “alta” nel prodotto OpenEdge AdminServer, elemento centrale di controllo per la gestione e la configurazione degli strumenti OpenEdge Management e OpenEdge Explorer. Tale vulnerabilità, qualora sfruttata, potrebbe consentire ad un utente malintenzionato l’esecuzione di codice da remoto sui sistemi target.
CSIRT Toscana