Questo sito utilizza cookie tecnici, analytics e di terze parti.
Proseguendo nella navigazione accetti l’utilizzo dei cookie.
Cookie policy
Rilasciati aggiornamenti per sanare una vulnerabilità di sicurezza, con gravità "critica", che interessa alcune versioni del software OneView di HPE. Tale vulnerabilità, qualora sfruttata, potrebbe consentire ad un utente malintenzionato remoto, non autenticato, di eseguire codice arbitrario sui sistemi interessati.
Il team di sviluppo n8n-io ha rilasciato aggiornamenti di sicurezza per risolvere due vulnerabilità con gravità “critica” che interessano la piattaforma open source per l’automazione dei workflow n8n. Tali vulnerabilità potrebbero permettere ad un utente malintenzionato di eseguire codice arbitrario con i privilegi del processo n8n.
Rilasciati aggiornamenti di sicurezza che risolvono 5 nuove vulnerabilità in Craft CMS, di cui 3 con gravità “alta” e 2 per le quali risulta disponibile un PoC in rete.
Disponibile PoC per lo sfruttamento della vulnerabilità con gravità “alta” CVE-2025-14847, relativa a MongoDB e già sanata dal vendor, che riguarda l’implementazione della funzionalità zlib. Tale vulnerabilità potrebbe permettere l’accesso non controllato a zone di memoria riservate.
Ricercatori di sicurezza hanno recentemente osservato una nuova campagna di diffusione malware denominata “ShadowV2”. Tale campagna è volta a sfruttare vulnerabilità note presenti in dispositivi IoT, al fine di ottenerne il controllo e integrarli in botnet, da utilizzare in successivi attacchi di tipoDistributed Denial of Service(DDoS).
Apple ha rilasciato aggiornamenti di sicurezza per sanare molteplici vulenrabilità. Tra queste si evidenziano 2 zero-day - CVE-2025-14174 e CVE-2025-43529 - che interessano la componente WebKit, il motore del browser Safari, che potrebbero permettere l’esecuzione di codice da remoto sui dispositivi interessati.
Rilevata vulnerabilità di sicurezza, con gravità "alta", che interessa la libreria open-source ‘systeminformation’ per Node.js in esecuzione su ambienti Windows. La libreria, utilizzata per raccogliere informazioni dettagliate sul sistema operativo e sull’hardware del sistema ospitante, presenta una vulnerabilità dovuta a una mancata sanitizzazione dell’input che, se sfruttata, potrebbe consentire l’esecuzione di codice arbitrario.
Sintesi Microsoft ha rilasciato gli aggiornamenti di sicurezza mensili che risolvono un totale di 57 nuove vulnerabilità, una di tipo 0-day e 2 per le quali risulta disponibile un PoC in rete.
Rilasciati aggiornamenti di sicurezza che risolvono una vulnerabilità con gravità “critica” - denominataReact2Shell- nel protocollo “Flight” delle React Server Components, tipicamente utilizzate anche da framework come Next.js. Tale vulnerabilità, qualora sfruttata, potrebbe consentire ad un utente malintenzionato di ottenere l’esecuzione di codice remoto sulle instanze interessate.
Disponibile un Proof of Concept (PoC) per lo sfruttamento della vulnerabilità CVE-2025-59840 – già sanata dal vendor – presente in Kibana, nota piattaforma di visualizzazione dati. Tale vulnerabilità, qualora sfruttata, potrebbe consentire ad un utente malintenzionato di eseguire codice arbitrario sui sistemi interessati.
Google ha rilasciato gli aggiornamenti di sicurezza di dicembre per sanare diverse vulnerabilità, tra cui due 0-day, che interessano il sistema operativo Android.
Disponibile un Proof of Concept (PoC) per la CVE-2025-34299 – già sanata dal vendor – presente in Monsta FTP, client FTP per ambienti web. Tale vulnerabilità, qualora sfruttata, potrebbe permettere a utenti malintenzionati remoti di eseguire codice arbitrario sul sistema target tramite un server FTP opportunamente predisposto.
CSIRT Toscana