Development & Open Source
Sviluppo software e open source segue supply chain, dipendenze, tooling, repository e sicurezza del codice. Il cluster evidenzia vulnerabilità, aggiornamenti e pratiche utili per sviluppatori e maintainer.

Gogs zero-day RCE: CVSS 9.4, nessuna patch dopo 2 mesi
Nuova vulnerabilità critica in Gogs: argument injection in git rebase consente esecuzione remota di codice. Disclosure a marzo 2026, n…

CVE-2026-23111: un carattere basta per il root su Linux
Un inverted check in nf_tables permette escalation locale a root e breakout da container. Exploit pubblici disponibili, patch upstream…

DockSec: l'AI open-source che cura i container, non solo li scansiona
DockSec, progetto OWASP Incubator, usa LLM per correlare tre scanner Docker e generare fix specifiche per riga. Ecco perché il vero co…

C0XMO: variante Gafgyt attacca router DD-WRT con scanner modulare
La variante C0XMO del botnet Gafgyt sfrutta CVE-2021-27137 nel firmware DD-WRT, implementa architettura modulare con scanner separato…

Emphere: $2,1M per patchare vulnerabilità con l'AI
La startup di Seattle Emphere raccoglie 2,1 milioni di dollari per automatizzare la remediation delle vulnerabilità open-source. Il NV…

NPM sotto attacco: malware con SLSA valida, il paradosso della supply chain
Il report Unit 42 documenta attacchi npm che sfruttano GitHub Actions e provenance SLSA per distribuire malware firmato: 520 milioni d…

CVE-2026-8936: Docker Desktop, VM panic via grpcfuse
Un container con codice a basso privilegio può causare VM panic in Docker Desktop tramite ricorsione non controllata nel modulo grpcfu…

SI-CERT: 13 persone, 6.000 incidenti all'anno
Il team nazionale sloveno SI-CERT gestisce 6.000 incidenti all'anno con circa 13 persone. Ecco come funziona il modello di triage a tr…

Red Hat: 32 pacchetti npm compromessi da worm auto-propagante
Worm Miasma infetta 32 pacchetti npm Red Hat: furto credenziali via OIDC, persistenza AI tool, dead-man switch. Chi ha installato dal…

Gitea: 4 anni di bug nascosto, immagini private a rischio di esposizione
CVE-2026-27771: bug nel registry container di Gitea ha lasciato ~31.750 istanze potenzialmente vulnerabili per circa quattro anni. Sco…

Red Hat: 96 versioni npm avvelenate, worm ruba credenziali
Il 1° giugno 2026 pacchetti @redhat-cloud-services sono stati compromessi via CI/CD. Il malware Miasma sfrutta OIDC, si propaga da sol…

DNS-AID: Linux Foundation lancia discovery decentralizzata per agenti AI
Il Linux Foundation ha lanciato DNS-AID il 27 maggio 2026: un protocollo open source che usa il DNS esistente per far scoprire e verif…