Development & Open Source
Sviluppo software e open source segue supply chain, dipendenze, tooling, repository e sicurezza del codice. Il cluster evidenzia vulnerabilità, aggiornamenti e pratiche utili per sviluppatori e maintainer.
SI-CERT: 13 persone, 6.000 incidenti all'anno
Il team nazionale sloveno SI-CERT gestisce 6.000 incidenti all'anno con circa 13 persone. Ecco come funziona il modello di triage a tr…
Red Hat: 32 pacchetti npm compromessi da worm auto-propagante
Worm Miasma infetta 32 pacchetti npm Red Hat: furto credenziali via OIDC, persistenza AI tool, dead-man switch. Chi ha installato dal…
Gitea: 4 anni di bug nascosto, immagini private a rischio di esposizione
CVE-2026-27771: bug nel registry container di Gitea ha lasciato ~31.750 istanze potenzialmente vulnerabili per circa quattro anni. Sco…
Red Hat: 96 versioni npm avvelenate, worm ruba credenziali
Il 1° giugno 2026 pacchetti @redhat-cloud-services sono stati compromessi via CI/CD. Il malware Miasma sfrutta OIDC, si propaga da sol…
DNS-AID: Linux Foundation lancia discovery decentralizzata per agenti AI
Il Linux Foundation ha lanciato DNS-AID il 27 maggio 2026: un protocollo open source che usa il DNS esistente per far scoprire e verif…
Flowise RCE: exploit pubblicato per CVE-2026-40933, CVSS 9.9
Obsidian Security ha pubblicato il codice exploit per CVE-2026-40933 in Flowise: RCE via stdio MCP con CVSS 9.9. Le istanze self-hoste…
CIFSwitch: Bug Kernel Linux Da Root Su CentOS/Rocky
CIFSwitch permette escalation locale a root su multiple distribuzioni Linux. Il PoC è pubblico, la patch upstream disponibile, ma le p…
7-Zip: 8 bug memory access, il pericolo nasconde nelle build 32-bit
GitHub Security Lab svela otto vulnerabilità di memory access in 7-Zip 26.00. Un bug di 15 anni nel parser SquashFS diventa esploitabl…
7-Zip CVE-2026-48095: il parser NTFS apre la strada al vtable hijacking
Heap buffer overflow in 7-Zip 26.00 permette RCE via file NTFS craftato con qualsiasi estensione. Il fix 26.01 è uscito ad aprile, dis…
Docker Desktop ECI: LPE 8.8 consente escape dai container
Una falla nel componente Enhanced Container Isolation di Docker Desktop permette escalation locale con CVSS 8.8. La patch è nella vers…
TrapDoor: 34+ pacchetti malevoli colpiscono sviluppatori crypto e AI
La campagna TrapDoor ha diffuso malware ruba-credenziali su npm, PyPI e Crates.io con oltre 384 versioni, esfiltrando wallet crypto e…
GitLab 19.0: secrets nativi e AI air-gapped
GitLab 19.0 introduce secrets management nativo, agentic merge request e modelli AI self-hosted. La scommessa della piattaforma unific…