Development & Open Source
Sviluppo software e open source segue supply chain, dipendenze, tooling, repository e sicurezza del codice. Il cluster evidenzia vulnerabilità, aggiornamenti e pratiche utili per sviluppatori e maintainer.

X.Org Server: bug GLX permette escalation locale a root su sistemi Linux
Una vulnerabilità use-after-free in CommonMakeCurrent consente a un attaccante locale di elevare i privilegi a root. Il meccanismo è s…

7-Zip, scoperta vulnerabilità RCE nel parser XZ: basta aprire un archivio
Una falla heap-based buffer overflow nel parser XZ di 7-Zip permette esecuzione di codice remoto. L'interazione utente richiesta non a…

Microsoft revoca 11 shim UEFI storici: il Secure Boot si aggirava con firme
Undici bootloader UEFI shim firmati da Microsoft permettevano di bypassare Secure Boot su qualsiasi sistema. La revoca è arrivata con…

Operazione Muck and Load: 222 repository GitHub per distribuire malware Windows
Un attore di minaccia ha creato 222 repository GitHub per distribuire malware Windows via moduli Go. L'operazione sfrutta pseudo-versi…

CISA impone patch in 3 giorni per CVE-2026-55255 su Langflow
Un IDOR nel endpoint /api/v1/responses di Langflow consente il furto di credenziali LLM e cloud da flow altrui. CISA ha ordinato il pa…

GhostLock: bug Linux nascosto 15 anni, ora exploit pubblico e root garantito
CVE-2026-43499 consente escalation a root e escape da container su quasi ogni distribuzione Linux dal 2011. Nebula Security ha pubblic…

X.Org Server, un bug dimenticato torna privilege escalation: il caso ZDI-26-395
Una falla use-after-free in SyncChangeCounter permette escalation locale a root su X.Org Server. Il bug replica un pattern già corrett…

Exploitarium, il paradosso della velocità: exploit già patchabili ma pubblici
Il ricercatore 'bikini' ha pubblicato oltre 30 proof-of-concept senza CVD. CVE-2026-55200 in libssh2 ha patch precedente al dump ma ex…

Januscape: bug KVM da 16 anni permette escape da guest a host su Intel e AMD
CVE-2026-53359 colpisce il codice shadow MMU di Linux KVM condiviso tra Intel e AMD. Il bug è attivo dal 2010 e richiede nested virtua…

Cisco Talos ha rilasciato ClamAV 1.5.3 e 1.4.5: sette vulnerabilità storiche
ClamAV 1.5.3 e 1.4.5 chiudono vulnerabilità nel parser di file PE, archivi e immagini disco. Due bug sopravvissuti vent'anni nel codic…

Bad Epoll: bug Linux roota Android e bypassa sandbox Chrome
CVE-2026-46242 è una race condition nel kernel Linux che permette escalation a root da utente non privilegiato, sfruttabile anche da C…

ZDI-26-396: bug operatore invertito in X.Org Server espone a lettura arbitraria
Un errore di programmazione elementare in X.Org Server permette lettura out-of-bounds con potenziale escalation: il dettaglio di ZDI-2…