alerts.gdaverio.it

1em; margin-right: 1em; text-align: center;"> ****************************************************************** Alert ID: GCSA-26103 Data: 4 Giugno 2026 Titolo: Vulnerabilita' in HTTP/2 (Bomb Attack) ****************************************************************** :: Descrizione del problema E' stata riscontrata una vulnerabilita' (CVE-2026-49975) nel protocollo HTTP/2, che potrebbe consentire ad un aggressore di generare attacchi di tipo Denial of Service. Note: La PoC e' già pubblicamente disponibile, la vulnerabilita' è classificata ad alto rischio di sfruttamento. :: Software interessato I software dei web server piu' popolari (inclusi NGINX, Apache, Microsoft IIS, Envoy e Cloudflare Pingora), con una configurazione di default del protocollo HTTP/2, risultano affetti da questa vulnerabilita'. :: Impatto Denial of Service :: Soluzioni Applicare le mitigazioni come da istruzioni dei rispettivi vendor. :: Riferimenti https://blo...

****************************************************************** Alert ID: GCSA-26088 Data: 19 maggio 2026 Titolo: Aggiornamento di sicurezza per il web server NGINX ****************************************************************** :: Descrizione del problema Sono state individuate alcune vulnerabilita' nel server Nginx, la piu' grave delle quali (CVE-2026-42945), puo' essere sfruttata da un aggressore remoto non autenticato, inviando richieste HTTP appositamente create. Tuttavia, lo sfruttamento richiede condizioni particolari al di fuori del controllo dell'attaccante e dipende da una specifica configurazione vulnerabile nel modulo ngx_http_rewrite_module. Pertanto, il livello di rischio e' classificato come Alto. La vulnerabilita' CVE-2026-42945 e' attualmente oggetto di sfruttamento. Maggiori informazioni sono disponibili alla sezione "Riferimenti". :: Software interessato NGINX Plus R32 - R36 ...