Vulnerabilità
Copertura e analisi curate in questa area editoriale.
Gemini hijackato via notifiche WhatsApp: il trucco della dual illusion
Ricercatori SafeBreach hanno dimostrato come l'assistente vocale Google Gemini su Android possa essere hijackato tramite indirect prom…
CVE-2026-20230: PoC Cisco Unified CM, rischio root remoto
Cisco ha divulgato il 3 giugno 2026 che codice proof-of-concept è disponibile per la vulnerabilità SSRF CVE-2026-20230 in Unified Comm…
CVSS in fabbrica: perché il punteggio non basta
Un praticioner OT propone un framework a 5 passi per valutare l'exploitabilità reale delle vulnerabilità in ambienti manifatturieri, d…
AI autonoma trova RCE in Redis: CVE-2026-23479
Xint Code, tool AI autonomo, ha scoperto CVE-2026-23479, RCE use-after-free in Redis persistita per oltre due anni. Patch disponibili,…
CVE-2026-48095: 7-Zip, l'estensione non conta più
Heap overflow nel gestore NTFS di 7-Zip: un file craftato con qualsiasi estensione attiva RCE. Patch 26.01 disponibile, PoC pubblico.
Acer Wave 7: due zero-day massimali, patch a fine giugno
Acer conferma due vulnerabilità CVSS 10.0 e 9.8 nel router Wave 7: credenziali in chiaro e backdoor via backup cifrato. Fix previsto p…
Windows Search URI: Microsoft rifiuta di patchare furto hash NTLM
Huntress ha divulgato una falla nel gestore URI search: di Windows che ruba hash NTLMv2 via UNC path SMB. Microsoft ha rifiutato il fi…
VS Code zero-day: furto token GitHub con un solo click
Una vulnerabilità zero-day nella webview di VS Code consente il furto di token OAuth GitHub e RCE su desktop con un singolo click, sen…
Kemp LoadMaster: RCE autenticata in addcountry, CVSS 8.8
CVE-2026-3517 in Kemp LoadMaster: command injection nel parametro customLocation consente esecuzione di codice arbitrario a utenti aut…
CVE-2026-0826: RCE root su telefoni HP Poly VoIP enterprise
Buffer overflow stack-based nel parsing SDP di HP Poly Voice permette esecuzione remota con privilegi root via SIP INVITE. Patch dispo…
Tuskira lancia Quell: AI agent per mitigare zero-day senza patch
Tuskira presenta Quell, agente AI che mappa attack path e orchestra controlli compensativi prima della patch del vendor. Promessa ambi…
Google, 124 patch Android a giugno: la zero-day CVE-2025-48595 è già attiva
L'aggiornamento Android del 2 giugno 2026 corregge 124 vulnerabilità. La zero-day CVE-2025-48595 è già sfruttata in attacchi mirati. C…