Risolte vulnerabilità in Google Chrome
(AL01/230614/CSIRT-ITA)
Google ha rilasciato un aggiornamento per il browser Chrome al fine di correggere 5 vulnerabilità di sicurezza, di cui una con gravità “critica”.

by CSIRT - https://www.csirt.gov.it/contenuti/risolte-vulnerabilita-in-google-chrome-al01-230614-csirt-ita

Adobe rilascia aggiornamenti per sanare diverse vulnerabilità
(AL02/230614/CSIRT-ITA)
Adobe ha rilasciato aggiornamenti di sicurezza per risolvere alcune vulnerabilità nei prodotti Experience Manager, Commerce, Animate, Substance 3D Designer, di cui una con gravità “critica”.

by CSIRT - https://www.csirt.gov.it/contenuti/adobe-rilascia-aggiornamenti-per-sanare-diverse-vulnerabilita-al02-230614-csirt-ita

Vulnerabilità Zoom
(AL03/230614/CSIRT-ITA)
Rilevate alcune vulnerabilità con gravità “alta” nel noto software di videoconferenza Zoom.

by CSIRT - https://www.csirt.gov.it/contenuti/vulnerabilita-zoom-al03-230614-csirt-ita

Vulnerabilità in JetBrains YouTrack
(AL04/230613/CSIRT-ITA)
Risolte 2 vulnerabilità nel prodotto YouTrack, software di bug tracking di JetBrains, di cui una con gravità “alta”. Tale vulnerabilità potrebbe consentire, ad un utente malintenzionato, la compromissione della disponibilità del servizio tramite richieste al form di Helpdesk opportunamente predisposte.

by CSIRT - https://www.csirt.gov.it/contenuti/vulnerabilita-in-jetbrains-youtrack-al04-230613-csirt-ita

Sanata vulnerabilità in Apache Struts
(AL05/230614/CSIRT-ITA)
Apache Software Foundation ha rilasciato un aggiornamento di sicurezza per il prodotto Struts che sana 2 vulnerabilità con gravità “alta”.

by CSIRT - https://www.csirt.gov.it/contenuti/sanata-vulnerabilita-in-apache-struts-al05-230614-csirt-ita

The Power of DORA - Digital Operations Resilience ACT

Rilevato sfruttamento in rete della CVE-2023-20867 relativa a VMWare Tools
(AL06/230614/CSIRT-ITA)
Rilevato lo sfruttamento attivo in rete della vulnerabilità CVE-2023-20867 – già sanata dal vendor – in VMWare Tools, set di utility che potenzia le prestazioni e migliora la gestione del sistema operativo guest della macchina virtuale.

by CSIRT - https://www.csirt.gov.it/contenuti/rilevato-sfruttamento-in-rete-della-cve-2023-20867-vmware-tools-al06-230614-csirt-ita

Aggiornamenti di sicurezza per Jenkins Core
(AL01/230615/CSIRT-ITA)
Rilasciato il Jenkins Security Advisory di giugno che risolve alcune vulnerabilità in Jenkins (Core) weekly e LTS.

by CSIRT - https://www.csirt.gov.it/contenuti/aggiornamenti-di-sicurezza-per-jenkins-core-al01-230615-csirt-ita

PoC pubblico per lo sfruttamento della CVE-2023-3224 relativa a Nuxt
(AL02/230615/CSIRT-ITA)
Disponibile un Proof of Concept (PoC) per la vulnerabilità CVE-2023-3224 – già sanata dal vendor – presente nel framework Nuxt. Tale vulnerabilità, qualora sfruttata, potrebbe permettere ad un utente malintenzionato di eseguire codice arbitrario sulle istanze interessate.

by CSIRT - https://www.csirt.gov.it/contenuti/poc-pubblico-per-la-cve-2023-3224-nuxt-al02-230615-csirt-ita

VMWare vRealize Network Insight 未授权 RCE(CVE-2023-20887)
VMWare vRealize Network Insight 未授权 RCE(CVE-2023-20887)

by SeeBug - http://www.seebug.org/vuldb/ssvid-99699

Sanata vulnerabilità nel plugin WooCommerce Stripe Payment Gateway plugin per Wordpress
(AL03/230615/CSIRT-ITA)
Risolta vulnerabilità di sicurezza in WooCommerce Stripe Payment Gateway plugin per WordPress, estensione che consente di accettare pagamenti sui siti di e-commerce tramite l’utilizzo delle API Stripe.

by CSIRT - https://www.csirt.gov.it/contenuti/sanata-vulnerabilita-nel-plugin-woocommerce-stripe-payment-gateway-plugin

Vulnerabilità in MOVEit Transfer
(AL01/230616/CSIRT-ITA)
Rilevata una nuova vulnerabilità di sicurezza, con gravità “critica”, nel software MOVEit Transfer di Progress. Tale vulnerabilità, qualora sfruttata, potrebbe consentire a un utente malintenzionato remoto l’escalation dei privilegi e potenziali accessi non autorizzati sui sistemi interessati.

by CSIRT - https://www.csirt.gov.it/contenuti/vulnerabilita-in-moveit-transfer-al01-230616-csirt-ita

Aggiornamenti per prodotti Eset
(AL02/230616/CSIRT-ITA)
Eset corregge una vulnerabilità di sicurezza con gravità “alta” che interessa i propri prodotti di sicurezza per macOS e Linux.

by CSIRT - https://www.csirt.gov.it/contenuti/aggiornamenti-per-prodotti-eset-al02-230616-csirt-ita

Rilevato sfruttamento in rete della CVE-2015-4050 relativa al framework Symfony
(AL03/230616/CSIRT-ITA)
Rilevato lo sfruttamento attivo in rete della vulnerabilità CVE-2015-4050 – già sanata dal vendor – relativa al software Symfony, noto framework open source per lo sviluppo di applicazioni web. Tale vulnerabilità permette il bypass dei meccanismi di sicurezza e la possibilità di eseguire codice arbitrario sui dispositivi interessati.

by CSIRT - https://www.csirt.gov.it/contenuti/rilevato-sfruttamento-della-cve-2015-4050-symfony

Sintesi riepilogativa delle campagne malevole nella settimana del 10 – 16 giugno 2023
In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 47 campagne malevole, di cui 46 con obiettivi italiani ed una generica che ha comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 666 indicatori di compromissione (IOC) individuati

by CERT-AgID - https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-10-16-giugno-2023/

Aggiornamenti Microsoft
(AL04/230616/CSIRT-ITA)
Microsoft ha rilasciato aggiornamenti di sicurezza al fine di correggere 6 vulnerabilità con gravità “alta” in ODBC Driver, SQL Server e OLE DB Driver.

by CSIRT - https://www.csirt.gov.it/contenuti/aggiornamenti-microsoft-al04-230616-csirt-ita