Archivio
Tutti gli articoli, dal più recente. Pagina 2.
Gitea: 4 anni di bug nascosto, immagini private a rischio di esposizione
CVE-2026-27771: bug nel registry container di Gitea ha lasciato ~31.750 istanze potenzialmente vulnerabili per circa quattro anni. Sco…
Red Hat: 96 versioni npm avvelenate, worm ruba credenziali
Il 1° giugno 2026 pacchetti @redhat-cloud-services sono stati compromessi via CI/CD. Il malware Miasma sfrutta OIDC, si propaga da sol…
ENISA ottiene accesso a Mythos: Anthropic apre all'Europa
Anthropic concede a ENISA accesso al modello Mythos per scoperta vulnerabilità. Termini in negoziazione, prima entità UE in Project Gl…
DriveSurge: migliaia di siti legittimi diventano vettori di malware
Un threat actor ha trasformato migliaia di siti web in distribuzione automatica di malware via ClickFix e Fake Update, vendendo l'acce…
Red Hat, 32 pacchetti npm compromessi: il paradosso del "trusted publishing"
Il 1° giugno 2026, Aikido e OX Security hanno scoperto che più di 30 pacchetti npm del namespace @redhat-cloud-services distribuivano…
OpenAI rende obbligatorio il passkey per l'accesso ai modelli AI più potenti
Dal 1 giugno 2026 i membri del programma Trusted Access for Cyber di OpenAI devono usare passkey hardware-backed. Un precedente per l'…
Tina Peters libera: insider threat elettorale diventa caso politico
Commutata la condanna dell'ex clerk del Colorado. CyberScoop e The Independent ricostruiscono il rilascio, l'intervista a Bannon e le…
Insight lancia Managed Exposure Defense: sicurezza unificata contro exploit AI
Insight unifica CTEM, patch, supply chain, surge engineering e XDR in un servizio gestito end-to-end. Il modello 'single throat to cho…
NIST NVD audit: 27.000 CVE in backlog, $200.000 sprecati
L'audit OIG del Department of Commerce documenta il collasso del pipeline di enrichment del National Vulnerability Database: backlog d…
DNS-AID: Linux Foundation lancia discovery decentralizzata per agenti AI
Il Linux Foundation ha lanciato DNS-AID il 27 maggio 2026: un protocollo open source che usa il DNS esistente per far scoprire e verif…
Shadow AI, primo 8-K depositato: la governance passa dalla policy alla
Il primo 8-K per uso non autorizzato di AI da un dipendente segna il passaggio da rischio interno a obbligo di disclosure. Framework o…
Microsoft ha patchato un RCE SharePoint ma ha nascosto il CVE
CVE-2026-45659: RCE SharePoint Server con CVSS 8.8 omesso dall'elenco ufficiale Microsoft di maggio 2026. Chi ha aggiornato è protetto…
CERT-IN: patch entro 12 ore contro gli attacchi AI
L'agenzia indiana CERT-In impone un nuovo standard: patch entro 12 ore per sistemi esposti, rispondendo alla compressione dei tempi di…
AI chatbot avvelenati: nuovo vettore per il cryptojacking GPU
Microsoft ha identificato una campagna che usa le raccomandazioni dei chatbot AI per distribuire malware miner GPU, abusando ScreenCon…
World Cup 2026: il PLC di una città e il biglietto di un tifoso
Unit 42 mappa l'attack surface del Mondiale 2026: 16 città, 3 nazioni, PLC municipali esposti, e la convergenza di minacce Iran, Russi…
Flowise RCE: exploit pubblicato per CVE-2026-40933, CVSS 9.9
Obsidian Security ha pubblicato il codice exploit per CVE-2026-40933 in Flowise: RCE via stdio MCP con CVSS 9.9. Le istanze self-hoste…
CIFSwitch: Bug Kernel Linux Da Root Su CentOS/Rocky
CIFSwitch permette escalation locale a root su multiple distribuzioni Linux. Il PoC è pubblico, la patch upstream disponibile, ma le p…
Cyber maggio: AI attacca, ma i vettori banali fanno più danno
Nel roundup di maggio, ESET documenta attacchi a infrastrutture critiche con password deboli, il primo zero-day AI-generato secondo Go…
Attacchi AI e ICS: Anscombe (ESET) su zero-day, DynoWiper e fallimenti OT
Tony Anscombe (ESET) nel maggio 2026: attacchi AI in Messico falliti su IT-OT, password deboli in Polonia, primo zero-day AI-generated…
CVE-2026-0257: bypass autenticazione GlobalProtect, exploitation attiva
Palo Alto Networks conferma exploitation attiva di CVE-2026-0257 su PAN-OS GlobalProtect. Rapid7 ha tracciato due ondate il 17 e 21 ma…
Mondiale 2026: l'attack surface che inghiotte tre nazioni
Unit 42 mappa il perimetro cyber del Mondiale USA-Messico-Canada: 16 città, infrastrutture municipali OT/IT, tre driver di minaccia ad…
AG California cita 23andMe: riscatto e menzogne su 6,9M dati genetici
Il procuratore Bonta accusa l'ex 23andMe di aver pagato un riscatto mentre minimizzava pubblicamente un breach da credential stuffing…
ChatGPhish: il riassunto di ChatGPT diventa trappola phishing
La vulnerabilità ChatGPhish sfrutta il renderer di ChatGPT per iniettare link malevoli e QR code durante il riassunto di pagine web. O…
Cyber, 29 maggio: Trump Mobile, FIFA e CISA KEV
Tre incidenti convergono pre-World Cup 2026: breach Trump Mobile, 4.300 domini FIFA fraudolenti e CISA che eleva tre CVE supply chain…