alerts.gdaverio.it

****************************************************************** Alert ID: GCSA-25059 Data: 30 Aprile 2025 Titolo: Aggiornamento di sicurezza per prodotti Mozilla ****************************************************************** :: Descrizione del problema Mozilla ha rilasciato nuove versioni del browser Firefox, Firefox ESR e del client di posta Thunderbird, Thunderbird ESR con le quali risolve vulnerabilita' multiple. Maggiori informazioni sono disponibili alla sezione "Riferimenti". :: Software interessato Firefox versioni precedenti alla 138 Firefox ESR versioni precedenti alla 128.10 Firefox ESR versioni precedenti alla 115.23 Thunderbird versioni precedenti alla 138 Thunderbird ESR versioni precedenti alla 128.10 :: Impatto Elevation of Privilege Remote Code Execution Information Disclosure Security Restriction Bypass Cross-Site Scripting :: Soluzioni Aggiornare Firefox all'ultima versione https://support.mozilla.org/en-US/kb/update-firefox-lat...

****************************************************************** Alert ID: GCSA-25058 Data: 30 Aprile 2025 Titolo: Aggiornamento di sicurezza per Google Chrome ****************************************************************** :: Descrizione del problema Sono state riscontrate vulnerabilita' multiple in Google Chrome, che potrebbero essere sfruttate da un attaccante remoto per eludere restrizioni di sicurezza e rivelare informazioni sensibili, su un sistema che sia affetto. Maggiori informazioni sono disponibili alla sezione "Riferimenti". :: Software interessato Google Chrome versioni precedenti alla 136.0.7103.48/49 per Mac e Windows Google Chrome versioni precedenti alla 136.0.7103.59 per Linux :: Impatto Security Restriction Bypass Information Disclosure :: Soluzioni Aggiornare alla versione piu' recente. L'aggiornamento sara' automatico per tutte le installazioni in cui non sia stata disattivata l'opzione "aggiornamento automati...

****************************************************************** Alert ID: GCSA-25057 Data: 30 Aprile 2025 Titolo: Aggiornamento di sicurezza per Apache Tomcat ****************************************************************** :: Descrizione del problema Sono state identificate vulnerabilita' multiple nel server web Apache Tomcat che potrebbero essere sfruttate da un attaccante remoto per eludere restrizioni di sicurezza ed innescare condizioni di denial of service, su un sistema che ne sia affetto. :: Software interessato Apache Tomcat versioni dalla 9.0.76 alla 9.0.102 Apache Tomcat versioni dalla 10.1.10 alla 10.1.39 Apache Tomcat versioni dalla 11.0.0-M2 alla 11.0.5 :: Impatto Security Restriction Bypass Denial of Service :: Soluzioni Aggiornare il software alle versioni piu' recenti: https://tomcat.apache.org/security-9.html https://tomcat.apache.org/security-10.html https://tomcat.apache.org/security-11.html :: Riferimenti Apache.org https://tomcat.a...

****************************************************************** Alert ID: GCSA-25056 data: 24 aprile 2025 titolo: Aggiornamento di sicurezza per GitLab ****************************************************************** :: Descrizione del problema GitLab ha rilasciato nuove versioni della propria piattaforma con le quali risolve 5 vulnerabilita' di sicurezza, delle quali 3 hanno un livello di gravita' "alto". Maggiori informazioni sono disponibili alla sezione "Riferimenti". :: Software interessato GitLab Community Edition (CE) GitLab Enterprise Edition (EE) versioni precedenti alla 17.11.1, 17.10.5, 17.9.7 :: Impatto Cross-site Scripting (XSS) Denial of Service (DoS) Bypass delle funzionalita' di sicurezza (SFB) Accesso a dati riservati (ID) :: Soluzioni Aggiornare alle ultime versioni https://about.gitlab.com/update https://docs.gitlab.com/ee/update/ :: Riferimenti GitLab S...

****************************************************************** Alert ID: GCSA-25055 data: 23 aprile 2025 titolo: Aggiornamento di sicurezza per Moodle ****************************************************************** :: Descrizione del problema Sono state rilasciate nuove versioni della piattaforma di e-learning Moodle con le quali vengono risolte varie vulnerabilita' di sicurezza. MSA-25-0013: Remote code execution risk via MimeTeX command (upstream) MSA-25-0014: User DoS and name disclosure risks via IDOR in MFA email factor revoke action MSA-25-0015: Some user data available before completing second factor with MFA enabled MSA-25-0016: Assignment submissions search on anonymous submissions reveals student identities MSA-25-0017: Self enrolment available before completing second factor with MFA enabled MSA-25-0018: CSRF risk in user tours manager allows tour duplication MSA-25-0019: IDOR in RSS block allows access to additional RSS...

****************************************************************** Alert ID: GCSA-25054 Data: 14 Aprile 2025 Titolo: Sfruttamento critico di vecchie vulnerabilita' Fortinet ****************************************************************** :: Descrizione del problema Fortinet ha pubblicato nel proprio blog una nuova tecnica di sfruttamento di vulnerabilita' gia' note, ma che mettono a rischio "critico" apparati che ne siano affetti Le vulnerabilita' in questione sono: FG-IR-22-398: A heap-based buffer overflow vulnerability in SSL-VPN FG-IR-23-097: A heap-based buffer overflow vulnerability in SSL-VPN FG-IR-24-015: A out-of-bounds write vulnerability in FortiOS and FortiProxy Quando un attaccante guadagna un accesso attraverso le vulnerabilita' suddette, puo' creare un link simbolico fra il filesystem utente e quello di sistema in una directory utilizzata da SSL-VPN. In questo modo ottiene un accesso in lettura a tutto il filesystem, anche le c...

****************************************************************** Alert ID: GCSA-25053 Data: 11 Aprile 2025 Titolo: Aggiornamento di sicurezza per GitLab ****************************************************************** :: Descrizione del problema GitLab ha rilasciamo nuove versioni della propria piattaforma con le quali risolve alcune vulnerabilita'. Il produttore consiglia di aggiornare immediatamente tutte le installazioni. Maggiori informazioni sono disponibili alla sezione "Riferimenti". :: Software interessato versioni precedenti alle 17.10.4, 17.9.6 e 17.8.7 di GitLab Community Edition (CE) GitLab Enterprise Edition (EE) :: Impatto Denial of Service (DoS) Elusione delle restrizioni di sicurezza (SRB) Rivelazione di informazioni sensibili (ID) Provide Misleading Information (Spoofing) :: Soluzioni Aggiornare il software alle ultime versioni: GitLab CE e EE 17.10.4, 17.9.6 e 17.8.7 https://about.gitlab.com/update :: Riferimenti Git...

****************************************************************** Alert ID: GCSA-25052 Data: 09 Aprile 2025 Titolo: Vulnerabilita' multiple nei prodotti Fortinet ****************************************************************** :: Descrizione del problema Fortinet ha rilasciato degli aggiornamenti per risolvere varie vulnerabilita' presenti nei suoi prodotti: FG-IR-23-165 Use of uninitialized resource in SSLVPN websocket FG-IR-24-392 OS command injection on gen-ca-cert command FG-IR-24-435 Unverified password change via set_password endpoint FG-IR-24-046 No certificate name verification for fgfm connection FG-IR-24-397 OS command injection on diagnose feature (GUI) FG-IR-24-453 Log Pollution via login page FG-IR-24-111 LDAP Clear-text credentials retrievable with IP modification FG-IR-24-184 Incorrect user management in widgets dashboard FG-IR-23-344 EMS can send javascript code to client through messages FG-IR-24-474 Directory Traversal Maggiori informazioni sono disp...

****************************************************************** Alert ID: GCSA-25051 Data: 09 Aprile 2025 Titolo: Microsoft Monthly Security Update - Aprile 2025 ****************************************************************** :: Descrizione del problema Microsoft ha pubblicato il security update per il mese di Aprile 2025, con questa release vengono risolte 134 vulnerabilita', delle quali 11 classificate come critiche e uno Zero_Day (CVE-2025-29824) in corso di sfruttamento. Maggiori dettagli sono disponibili alla sezione "Riferimenti". :: Software / Tecnologie interessate Windows Extended Security Updates (ESU) Microsoft Office System Center Browser Microsoft Dynamics Azure Developer Tools SQL Server Apps :: Impatto Esecuzione remota di codice arbitrario (RCE) Acquisizione di privilegi piu' elevati (EoP) Elusione delle restrizioni di sicurezza (SRB) Denial of Service (DoS) Rivelazione di informazioni (ID) Provide Misleading Information (Spoofing) ...

****************************************************************** Alert ID: GCSA-25050 Data: 09 Aprile 2025 Titolo: Vulnerabilita' in Google Chrome ****************************************************************** :: Descrizione del problema E' stata riscontrata una vulnerabilita' in Google Chrome, che potrebbe essere sfruttata da un attaccante remoto per eseguire codice arbitrario su un sistema che sia affetto. Maggiori informazioni sono disponibili alla sezione "Riferimenti". :: Software interessato Google Chrome versioni precedenti alla 135.0.7049.84/.85 per Mac e Windows Google Chrome versioni precedenti alla 135.0.7049.84 per Linux :: Impatto Remote Code Execution :: Soluzioni Aggiornare alla versione piu' recente. L'aggiornamento sara' automatico per tutte le installazioni in cui non sia stata disattivata l'opzione "aggiornamento automatico". Gli utenti desktop possono verificare l'avvenuto aggiornamento scegl...

****************************************************************** Alert ID: GCSA-25049 Data: 09 Aprile 2025 Titolo: Adobe Security Bulletin - Aprile 2025 ****************************************************************** :: Descrizione del problema Adobe ha rilasciato i seguenti aggiornamenti di sicurezza: APSB25-15 : Security update available for Adobe ColdFusion APSB25-23 : Security update available for Adobe After Effects APSB25-24 : Security update available for Adobe Media Encoder APSB25-25 : Security update available for Adobe Bridge APSB25-26 : Security update available for Adobe Commerce APSB25-27 : Security update available for Adobe Experience Manager Forms APSB25-28 : Security update available for Adobe Premiere Pro APSB25-30 : Security update available for Adobe Photoshop APSB25-31 : Security update available for Adobe Animate APSB25-32 : Security update available for Adobe Experience Manager Screens APSB25-33 : Security update available for Adobe FrameMaker APSB25-34...

****************************************************************** Alert ID: GCSA-25048 Data: 7 Aprile 2025 Titolo: Vulnerabilita' in Microsoft Edge ****************************************************************** :: Descrizione del problema Sono state identificate vulnerabilita' multiple in Microsoft Edge che potrebbero essere sfruttate da un attaccante remoto per innescare spoofing, condizioni di Denial of Service, rivelare informazioni sensibili ed eseguire codice arbitrario su un sistema che sia affetto. Maggiori informazioni sono disponibili alla sezione "Riferimenti". :: Software interessato Microsoft Edge versioni precedenti alla 135.0.3179.54 Microsoft Edge (IOS) versioni priori alla 132.0.2957.118 :: Impatto Remote Code Execution Denial of Service Information Disclosure Spoofing :: Soluzioni Aggiornare il software all'ultima versione disponibile L'aggiornamento avviene in modo automatico. E' possibile verificare la versione attual...

****************************************************************** Alert ID: GCSA-25047 Data: 7 Aprile 2025 Titolo: Vulnerabilita' critica in prodotti Ivanti ****************************************************************** :: Descrizione del problema E' stato recentemente rilevato lo sfruttamento della vulnerabilita' CVE-2025-22457 per i prodotti Ivanti Connect Secure (ICS) e Pulse Connect Secure (PCS), che potrebbe consentire ad un attaccante remoto di eseguire codice arbitrario su un sistema che ne sia affetto. NOTA: Allo stato attuale, per i prodotti Policy Secure e ZTA Gateways, interessati dalla vulnerabilita', non risultano evidenze di sfruttamento attivo in rete. Maggiori informazioni sono disponibili alla sezione "Riferimenti". :: Software interessato Pulse Connect Secure (EoS) versione 9.1R18.9 e precedenti Ivanti Connect Secure versione 22.7R2.5 e precedenti Ivanti Policy Secure versione 22.7R1.3 e precedenti ZTA Gateways versione 22.8R2 e...

****************************************************************** Alert ID: GCSA-25046 data: 03 aprile 2025 titolo: Aggiornamento di sicurezza per Google Chrome ****************************************************************** :: Descrizione del problema Google ha rilasciato nuove versioni del browser Chrome con le quali risolve 14 vulnerabilita' di sicurezza. L'accesso completo alle informazioni relative ai bug sara' limitato, fino a quando la maggior parte dei sistemi non saranno stati aggiornati. Maggiori informazioni sono disponibili alla sezione "Riferimenti". :: Software interessato Google Chrome versioni precedenti alla 135.0.7049.52 per Linux Google Chrome versioni precedenti alla 135.0.7049.41/42 per Windows Google Chrome versioni precedenti alla 135.0.7049.41/42 per Mac Google Chrome versioni precedenti alla 135.0.7049.38 per Android Google Chrome versioni precedenti alla 135.0.7049.53 per iOS :: Imp...

****************************************************************** Alert ID: GCSA-25045 data: 02 aprile 2025 titolo: Aggiornamento di sicurezza per Mozilla Firefox e Thunderbird ****************************************************************** :: Descrizione del problema Mozilla ha rilasciato nuove versioni del browser Firefox e del client di posta Thunderbird con le quali risolve varie vulnerabilita', alcune di livello critico. Maggiori informazioni sono disponibili alla sezione "Riferimenti". :: Software interessato Firefox versioni precedenti alla 137 Firefox versioni precedenti alla ESR 128.9 Firefox versioni precedenti alla ESR 115.22 Thunderbird versioni precedenti alla 137 Thunderbird versioni precedenti alla ESR 128.9 :: Impatto Denial of Service (DoS) Acquisizione di privilegi piu' elevati (EoP) Esecuzione remota di codice arbitrario (RCE) Provide Misleading Information (spoofing) Accesso a da...

****************************************************************** Alert ID: GCSA-25044 data: 01 aprile 2025 titolo: Apple Security Updates APPLE-SA-03-31-2025 ****************************************************************** :: Descrizione del problema Apple ha rilasciato i seguenti aggiornamenti software per risolvere 145 vulnerabilita' che interessano i propri prodotti. APPLE-SA-03-31-2025-1 Safari 18.4 APPLE-SA-03-31-2025-2 Xcode 16.3 APPLE-SA-03-31-2025-3 iOS 18.4 and iPadOS 18.4 APPLE-SA-03-31-2025-4 iPadOS 17.7.6 APPLE-SA-03-31-2025-5 iOS 16.7.11 and iPadOS 16.7.11 APPLE-SA-03-31-2025-6 iOS 15.8.4 and iPadOS 15.8.4 APPLE-SA-03-31-2025-7 macOS Sequoia 15.4 APPLE-SA-03-31-2025-8 macOS Sonoma 14.7.5 APPLE-SA-03-31-2025-9 macOS Ventura 13.7.5 APPLE-SA-03-31-2025-10 tvOS 18.4 APPLE-SA-03-31-2025-11 visionOS 2.4 Con questo update vengono risolte tre recenti vulnerabilita' zero-day, che interessano vecchie versioni...