Una vulnerabilità che colpisce il Cisco Catalyst SD-WAN Controller ha attirato un’attenzione urgente dopo che Cisco, Rapid7 e CISA hanno confermato lo sfruttamento attivo. CVE-2026-20182 è un grave difetto di bypass dell’autenticazione nel Cisco Catalyst SD-WAN Controller e nel Cisco Catalyst SD-WAN Manager che possiede un punteggio CVSS di 10.0 e può consentire a un […]
CVE-2026-42897: Vulnerabilità di Spoofing di Exchange Server OWA Sfruttata tramite Email Elaborata
Microsoft ha divulgato una vulnerabilità che impatta sulle versioni on-premise di Exchange Server che è già in fase di sfruttamento attivo. Tracciata come CVE-2026-42897, la questione ha un punteggio CVSS di 8.1 e riguarda Exchange Server 2016, Exchange Server 2019 e Exchange Server Subscription Edition, mentre Exchange Online non è impattato. Microsoft la descrive come […]
CVE-2026-42945: Vulnerabilità storica di NGINX di 18 anni potrebbe consentire RCE non autenticato
I bug nell’infrastruttura web rimangono particolarmente pericolosi quando rimangono nella logica di gestione delle richieste ampiamente implementata per anni senza rilevamento. Tra le ultime vulnerabilità che impattano NGINX Plus e NGINX Open, la vulnerabilità CVE-2026-42945 si distingue come un overflow del buffer di heap vecchio di 18 anni nel modulo ngx_http_rewrite_module raggiungibile da un aggressore […]
CVE-2026-46300: Flaw nel Kernel Linux di Fragnesia Consente l’Elevazione a Root tramite Corruzione della Cache delle Pagine
Le vulnerabilità di escalation dei privilegi locali rimangono particolarmente pericolose quando trasformano un accesso utente ordinario in accesso immediato come root. La vulnerabilità CVE-2026-46300, soprannominata Fragnesia, è un grave difetto del kernel Linux nel sottosistema XFRM ESP-in-TCP che consente a un attaccante locale senza privilegi di scrivere byte arbitrari nella cache delle pagine di file […]
CVE-2026-43500 e CVE-2026-43284: La Vulnerabilità di Escalation dei Privilegi ‘Dirty Frag’ Su Linux Aumenta i Rischi Dopo la Compromissione
I bug di escalation dei privilegi locali su Linux rimangono particolarmente pericolosi quando trasformano un accesso limitato in pieno accesso root. La vulnerabilità CVE-2026-43500 è la metà RxRPC della catena di exploit Dirty Frag, che Microsoft afferma essere già collegata a un abuso limitato post-compromesso in-the-wild, mentre Qualys la descrive come un problema di scrittura […]
CVE-2026-23918: Grave vulnerabilità in Apache HTTP/2 può causare DoS e possibile RCE
Apache ha corretto CVE-2026-23918, un difetto critico nella gestione HTTP/2 del server Apache HTTP che Apache descrive come un “double free e possibile RCE”. Il problema riguarda Apache HTTP Server 2.4.66 ed è stato risolto nella versione 2.4.67, rilasciata il 4 maggio 2026. La vulnerabilità CVE-2026-23918 è importante perché può essere sfruttata in remoto e […]
CVE-2026-0300: Vulnerabilità Zero-Day di Palo Alto PAN-OS Consente RCE su Firewalls Esposti
Gli appliance di sicurezza perimetrale rimangono obiettivi di alto valore, specialmente quando una vulnerabilità può essere sfruttata prima che una patch sia ampiamente disponibile. La vulnerabilità CVE-2026-0300 è un overflow del buffer critico nel Portale di Autenticazione User-ID, noto anche come Portale Captive, in Palo Alto Networks PAN-OS. Palo Alto lo valuta 9.3/10 quando il […]
CVE-2026-41940: Grave Vulnerabilità nei cPanel & WHM Espone i Server di Hosting a una Compromissione Amministrativa
Una nuova vulnerabilità CVE-2026-41940 divulgata in cPanel & WHM ha messo sotto urgente attenzione le infrastrutture di hosting esposte a internet. Il difetto ha un punteggio CVSS di 9.8 e può permettere a un attaccante remoto non autenticato di bypassare l’autenticazione e ottenere accesso amministrativo, mentre l’avviso di cPanel indica che il problema interessa il […]
CVE-2026-28950: Apple corregge il difetto di iOS che conservava i dati delle notifiche eliminate
Apple ha rilasciato aggiornamenti di sicurezza per affrontare un problema nei Servizi di Notifica in iOS e iPadOS che potrebbe causare la permanenza di avvisi contrassegnati per l’eliminazione su un dispositivo. La correzione è stata distribuita in iOS 26.4.2 / iPadOS 26.4.2 e iOS 18.7.8 / iPadOS 18.7.8, dove Apple afferma che il problema è […]
CVE-2026-40372: Critica Vulnerabilità in ASP.NET Core Potrebbe Consentire agli Attaccanti di Ottenere Privilegi di SISTEMA
Microsoft ha rilasciato aggiornamenti fuori dal ciclo per CVE-2026-40372, una vulnerabilità di escalation dei privilegi ad alto impatto in ASP.NET Core legata alle API crittografiche di protezione dei dati della piattaforma. I rapporti pubblici dicono che la falla ha un punteggio CVSS di 9.1 e potrebbe permettere a un attaccante non autenticato di falsificare il […]