=

Bollettini di sicurezza

Oracle Java CVE-2025-21502

Data: 21/01/2025

Descrizione: Questa vulnerabilità, sebbene difficile da sfruttare, consente a un attaccante non autenticato con accesso di rete tramite vari protocolli di compromettere i prodotti interessati. Un attacco riuscito potrebbe comportare:

- Aggiornamento, inserimento o eliminazione non autorizzata di alcuni dati accessibili.

- Accesso in lettura non autorizzato a una parte dei dati accessibili.

È importante notare che questa vulnerabilità può essere sfruttata utilizzando le API nel componente specificato, ad esempio tramite un servizio web che fornisce dati alle API. Inoltre, si applica anche alle distribuzioni Java, tipicamente in client che eseguono applicazioni Java Web Start o applet Java in sandbox, che caricano ed eseguono codice non attendibile (ad esempio, proveniente da internet) e si affidano alla sandbox Java per la sicurezza.

Azioni consigliate: Si raccomanda di aggiornare immediatamente alle versioni più recenti dei prodotti interessati per mitigare questa vulnerabilità. Per ulteriori dettagli sugli aggiornamenti disponibili, consultare l'Advisory di Oracle relativo all'aggiornamento critico di gennaio 2025.

Maggiori informazioni:
https://nvd.nist.gov/vuln/detail/CVE-2025-21502

Apache Tomcat CVE-2024-56337

Data: 20/12/2024

Descrizione: Una vulnerabilità in Apache Tomcat, legata a una patch incompleta del CVE-2024-50379, può consentire l'esecuzione di codice remoto su sistemi con file system case-insensitive, come Windows, in specifiche configurazioni.

Azioni consigliate: Aggiornare Tomcat alle versioni fisse:

- Versione 11.0.2

- Versione 10.1.34

- Versione 9.0.98 Inoltre, modificare le configurazioni di sicurezza impostando readOnly nel file conf/web.xml su true, disabilitare il metodo PUT e riavviare Tomcat.

Maggior informazioni: https://nvd.nist.gov/vuln/detail/CVE-2024-56337

Apache Struts CVE-2024-53677

Data: 11/12/2024

Descrizione: Una vulnerabilità critica in Apache Struts consente l'esecuzione di codice remoto (RCE) non autenticato. Questa falla potrebbe permettere a un attaccante di compromettere completamente il sistema.

Azioni consigliate: Aggiornare immediatamente Apache Struts alla versione 6.4.0 o successiva, dove il problema è stato risolto

Maggiori informazioni: https://nvd.nist.gov/vuln/detail/CVE-2024-53677