PostgreSQL — CVE-2025-8714

Data: 14/08/2025

Descrizione: pg_dump/pg_dumpall/pg_restore: inclusione di comandi non fidati può eseguire codice sul client durante il restore (plain format).

Versioni interessate: prima di

- 17.6

- 16.10

- 15.14

- 14.19

- 13.22

Azioni consigliate: Aggiornare alle minor indicate; evitare restore da dump non fidati; preferire custom format + pg_restore aggiornato.

Maggiori informazioni: advisory PostgreSQL

https://nvd.nist.gov/vuln/detail/CVE-2025-8714

Apache Tomcat — CVE-2025-55668

Data: 10/08/2025

Descrizione: Session fixation: in particolari condizioni un attaccante può riutilizzare un ID di sessione.

Versioni interessate:

- 11.0.0-M1–11.0.8

- 10.1.0-M1–10.1.42

- 9.0.0.M1–9.0.106.

Azioni consigliate: Aggiornare a 11.0.9 / 10.1.43 / 9.0.107 o successivi.

Maggiori informazioni:

https://nvd.nist.gov/vuln/detail/CVE-2025-55668

Apache Tomcat — CVE-2025-52434

Data: 07/08/2025

Descrizione: Race condition con connettore APR/Native (chiusure client su HTTP/2) che può causare instabilità/DoS.

Versioni interessate: 9.0.0.M1–9.0.106.

Azioni consigliate: Aggiornare a 9.0.107 o successivi.

Maggiori informazioni:

https://nvd.nist.gov/vuln/detail/CVE-2025-52434

Apache Tomcat — CVE-2025-52520

Data: 07/08/2025

Descrizione: Integer overflow nel parsing di upload multipart che può aggirare i limiti di dimensione e causare DoS.

Versioni interessate:

- 11.0.0-M1–11.0.8

- 10.1.0-M1–10.1.42

- 9.0.0.M1–9.0.106 (EOL 8.5.x pure affette).

Azioni consigliate: Aggiornare a 11.0.9 / 10.1.43 / 9.0.107 o successivi.

Maggiori informazioni:
https://nvd.nist.gov/vuln/detail/CVE-2025-52520

Apache Tomcat — CVE-2025-53506

Data: 06/08/2025

Descrizione: HTTP/2 resource consumption: un client può causare consumo eccessivo di risorse portando a DoS.

Versioni interessate:

- 11.0.0-M1–11.0.8

- 10.1.0-M1–10.1.42

- 9.0.0.M1–9.0.106

Azioni consigliate: Aggiornare a 11.0.9 / 10.1.43 / 9.0.107 o successivi.

Maggiori informazioni:
https://nvd.nist.gov/vuln/detail/CVE-2025-53506

Jakarta Mail — CVE-2025-7962

Data: 21/07/2025

Descrizione: SMTP Injection tramite terminatori di riga può portare a manipolazioni del messaggio invio.

Versioni interessate: Jakarta Mail 2.0.2 (alcune note iniziali citano 2.2); prodotti correlati Angus Mail < 2.0.4.

Azioni consigliate: Aggiornare a 2.0.4 o successiva; validare gli header lato applicazione.

Maggiori informazioni:
https://nvd.nist.gov/vuln/detail/CVE-2025-7962

OpenJDK / Oracle Java

Titolo/CVE: CVE-2025-50106

Data: 15/07/2025

Descrizione: Può portare a compromissione completa di Java SE/GraalVM via API.

Versioni interessate: build pre-CPU 07/2025.

Azioni consigliate: Applicare CPU 2025-07.

Maggiori informazioni:
https://nvd.nist.gov/vuln/detail/CVE-2025-50106

OpenJDK / Oracle Java

Titolo/CVE: CVE-2025-30754 (TLS)

Data: 15/07/2025

Descrizione: Vulnerabilità nel componente TLS che può portare a compromissione del runtime.

Versioni interessate (Oracle): 8u451, 11.0.27, 17.0.15, 21.0.7, 24.0.1 (pre-fix).

Azioni consigliate: Applicare CPU 2025-07.

Maggiori informazioni:
https://nvd.nist.gov/vuln/detail/CVE-2025-30754

OpenJDK / Oracle Java

Titolo/CVE: CVE-2025-30761

Data: 15/07/2025

Descrizione: Può consentire accessi non autorizzati/modifica dati su Java SE/GraalVM.

Versioni interessate: build pre-CPU 07/2025 dei rami supportati.

Azioni consigliate: Applicare CPU 2025-07.

Maggiori informazioni:
https://nvd.nist.gov/vuln/detail/CVE-2025-30761

OpenJDK / Oracle Java

Titolo/CVE: CVE-2025-30749

Data: 15/07/2025

Descrizione: Vulnerabilità difficile da sfruttare ma con impatto alto (possibile “takeover”) su Java SE/GraalVM.

Versioni interessate: rami 8/11/17/21/24 nelle build pre-CPU 07/2025.

Azioni consigliate: Applicare CPU 2025-07 (aggiornare a 17.0.16, 21.0.8, 24.0.2 o successive, in base al ramo).

Maggiori informazioni:
https://nvd.nist.gov/vuln/detail/CVE-2025-30749

Jackson Core — CVE-2025-52999

Data: 25/06/2025

Descrizione: Con versioni precedenti, il parsing di input molto annidati può causare StackOverflowError → possibile DoS. La fix introduce un limite configurabile alla profondità (StreamReadConstraints.maxNestingDepth, default 1000). nvd.nist.govGitHub

Versioni interessate: com.fasterxml.jackson.core:jackson-core < 2.15.0 (corretto in 2.15.0). GitHub

Azioni consigliate: Aggiornare ad almeno 2.15.0; evitare parsing di input non fidati e, se opportuno, ridurre il limite di profondità predefinito. GitHub

Maggiori informazioni:
https://nvd.nist.gov/vuln/detail/CVE-2025-52999

Apache Commons FileUpload — CVE-2025-48976

Data: 16/06/2025

Descrizione: Allocazione risorse insufficiente nei multipart header → possibile DoS.

Versioni interessate: ramo 1.x < 1.6; ramo 2.x < 2.0.0-M4.

Azioni consigliate: Aggiornare a 1.6 (o 2.0.0-M4+ se si usa 2.x).

Maggiori informazioni:
https://nvd.nist.gov/vuln/detail/CVE-2025-48976

PostgreSQL — CVE-2025-4207

Data: 08/05/2025

Descrizione: Buffer over-read nella validazione GB18030 che può causare DoS temporaneo (server/libpq).

Versioni interessate: prima di 17.5, 16.9, 15.13, 14.18, 13.21.

Azioni consigliate: Aggiornare almeno a tali minor o successive.

Maggiori informazioni:
https://nvd.nist.gov/vuln/detail/CVE-2025-4207

Apache Tomcat — CVE-2025-31650

Data: 28/04/2025

Descrizione: Possibile bypass di restrizioni dovuto a gestione impropria dei segmenti di percorso; può consentire accessi inattesi a risorse o confusione sul nome file in alcuni contesti.

Versioni interessate:

- 11.0.0-M1–11.0.7

- 10.1.0-M1–10.1.40

- 9.0.0.M1–9.0.105 (EOL 8.5.x pure affette).

Azioni consigliate: Aggiornare almeno a 11.0.8 / 10.1.41 / 9.0.106 o successivi.

Maggiori informazioni:
https://nvd.nist.gov/vuln/detail/CVE-2025-31650

Apache HttpClient 5 — CVE-2025-27820

Data: 24/04/2025

Descrizione: PSL validation bypass: disabilita controlli di dominio → rischi su cookie/Hostname verification.

Versioni interessate: 5.4.x (≥5.4-alpha1 e < 5.4.3).

Azioni consigliate: Aggiornare a 5.4.3 o superiori; verificare policy cookie e HostnameVerifier custom.

Maggiori informazioni:
https://nvd.nist.gov/vuln/detail/CVE-2025-27820

OpenJDK / Oracle Java

Titolo/CVE: CVE-2025-30698

Data: 15/04/2025

Descrizione: Vulnerabilità che può portare a compromissione di Java SE/GraalVM via più protocolli.

Versioni interessate (Oracle):
- Java SE 8u441

- 11.0.26, 17.0.14

- 21.0.6, 24 (e build corrispondenti)

- OpenJDK: release correlate 8/11/17/21/24.

Azioni consigliate: Applicare CPU 2025-04 / aggiornare all’ultima GA del ramo LTS usato.

Maggiori informazioni:
https://nvd.nist.gov/vuln/detail/CVE-2025-30698

OpenJDK / Oracle Java

Titolo/CVE: CVE-2025-21587 (JSSE)

Data: 15/04/2025

Descrizione: Vulnerabilità che, se sfruttata, può consentire compromissione dei prodotti Java SE/GraalVM.

Versioni interessate (Oracle):
- Java SE 8u441

- 11.0.26, 17.0.14

- 21.0.6, 24 (e build corrispondenti)

- OpenJDK: release correlate 8/11/17/21/24.

Azioni consigliate: Aggiornare alle build CPU 2025-04 (es. 17.0.15, 21.0.7, 24.0.1 o superiori a seconda del ramo in uso).

Maggiori informazioni:
https://nvd.nist.gov/vuln/detail/CVE-2025-21587

Apache Tomcat — CVE-2025-24813

Data: 11/04/2025

Descrizione: Bypass di restrizioni tramite equivalenza di nomi file (gestione del carattere ‘.’ su Windows).

Versioni interessate:

- 11.0.0-M1–11.0.2

- 10.1.0-M1–10.1.34

- 9.0.0.M1–9.0.98 (EOL 8.5.x pure affette).

Azioni consigliate: Aggiornare a 11.0.3 / 10.1.35 / 9.0.99 o successivi.

Maggiori informazioni: pagina sicurezza Tomcat 10.1
https://nvd.nist.gov/vuln/detail/CVE-2025-24813

Apache POI — CVE-2025-31672

Data: 08/04/2025

Descrizione: Vulnerabilità di validazione input nel parsing dei file OOXML (xlsx/docx/pptx): un file appositamente creato può contenere voci ZIP duplicate con lo stesso nome/percorso, provocando letture incoerenti dei dati tra prodotti diversi. nvd.nist.govpoi.apache.org

Versioni interessate: poi-ooxml < 5.4.0. nvd.nist.gov

Azioni consigliate: Aggiornare a Apache POI 5.4.0 o superiore (il controllo blocca i duplicati e solleva eccezione). poi.apache.org

Maggiori informazioni: https://nvd.nist.gov/vuln/detail/CVE-2025-31672

Next.js CVE-2025-29891

Data: 02/04/2025

Descrizione: È stata identificata una vulnerabilità critica nel framework Next.js, nota come CVE-2025-29927. Questa falla consente a un attaccante di bypassare i controlli di autorizzazione implementati nel middleware dell'applicazione, permettendo potenzialmente l'accesso non autorizzato a risorse protette.​ Questa vulnerabilità può essere sfruttata anche tramite parametri HTTP, non solo intestazioni

Versioni interessate:

‣ Apache Camel 4.10.0–4.10.1

‣ Apache Camel 4.8.0–4.8.4

‣ Apache Camel 3.10.0–3.22.3

Azioni consigliate:

‣ Si raccomanda di aggiornare immediatamente alle versioni corrette:​

- 4.10.2

- 4.8.5

- 3.22.4

Maggiori informazioni:
https://nvd.nist.gov/vuln/detail/CVE-2025-29927

Next.js CVE-2025-29927

Data: 28/03/2025

Descrizione: È stata identificata una vulnerabilità critica nel framework Next.js, nota come CVE-2025-29927. Questa falla consente a un attaccante di bypassare i controlli di autorizzazione implementati nel middleware dell'applicazione, permettendo potenzialmente l'accesso non autorizzato a risorse protette.​Agenzia delle Entrate+1IlSoftware.it+1

Versioni interessate:

‣ Next.js 15.x: versioni precedenti alla 15.2.3​The Hacker News+5Agenzia delle Entrate+5Next.js by Vercel - The React Framework+5

‣ Next.js 14.x: versioni precedenti alla 14.2.25​Next.js by Vercel - The React Framework+7Agenzia delle Entrate+7CVE Database+7

‣ Next.js 13.x: versioni precedenti alla 13.5.9​GitHub

‣ Next.js 12.x: versioni precedenti alla 12.3.5​

‣ Next.js 11.x: versioni dalla 11.1.4 fino alla 12.3.5 (senza patch disponibili)​

Azioni consigliate:

‣ Aggiornamento: Si raccomanda di aggiornare immediatamente Next.js alle versioni corrette:​

- 15.x: aggiornare alla 15.2.3

- 14.x: aggiornare alla 14.2.25

- 13.x: aggiornare alla 13.5.9

- 12.x: aggiornare alla 12.3.5

‣ Mitigazione temporanea: Per le versioni 11.x, dove non sono disponibili patch, è consigliato configurare il server o il load balancer per bloccare le richieste esterne contenenti l'intestazione HTTP x-middleware-subrequest.

Maggiori informazioni:
https://nvd.nist.gov/vuln/detail/CVE-2025-29927

Apache Camel CVE-2025-27636

Data: 09/03/2025

Descrizione: È stata recentemente individuata una vulnerabilità nel framework Apache Camel, ampiamente utilizzato per l'integrazione e l'orchestrazione di servizi in ambienti Java.
La falla riguarda la gestione di specifici componenti/protocolli e, in condizioni particolari di configurazione, potrebbe consentire a un attaccante remoto di:

- Eseguire codice arbitrario attraverso endpoint non adeguatamente filtrati;

- Accedere a risorse non autorizzate o esporre dati sensibili.

Sebbene inizialmente classificata come critica, la vulnerabilità è stata successivamente ridimensionata a gravità moderata, in quanto richiede la presenza di endpoint esposti pubblicamente e configurazioni deboli per essere sfruttata.

Azioni consigliate:

Tutte le organizzazioni che utilizzano Apache Camel sono invitate a:

1. Verificare la versione attualmente in uso del framework Camel.

2. Aggiornare alle versioni corrette, che includono la mitigazione ufficiale:

‣ Apache Camel 4.10.2

‣ Apache Camel 4.8.5

‣ Apache Camel 3.22.4

3. Valutare la configurazione degli endpoint esposti, in particolare quelli accessibili tramite protocolli come HTTP, REST, JMS, FTP, ecc., e assicurarsi che siano adeguatamente protetti e soggetti a controllo degli accessi.

4. Effettuare una scansione delle dipendenze tramite strumenti di analisi come OWASP Dependency-Check, Snyk o simili per identificare automaticamente eventuali versioni vulnerabili.

5.Monitorare i log di accesso e rete per intercettare eventuali attività anomale o riconducibili a pattern di exploit.

Maggiori informazioni:
https://nvd.nist.gov/vuln/detail/CVE-2025-27636

PostgreSQL — CVE-2025-1094

Data: 13/02/2025

Descrizione: Problemi di quoting in libpq/psql possono portare a SQL injection in pattern d’uso specifici.

Versioni interessate:

- prima di 17.3

- 16.7

- 15.11

- 14.16

- 13.19

Azioni consigliate: Aggiornare a tali minor o successive.

Maggiori informazioni:
https://nvd.nist.gov/vuln/detail/CVE-2025-1094

Oracle Java CVE-2025-21502

Data: 21/01/2025

Descrizione: Questa vulnerabilità, sebbene difficile da sfruttare, consente a un attaccante non autenticato con accesso di rete tramite vari protocolli di compromettere i prodotti interessati. Un attacco riuscito potrebbe comportare:

- Aggiornamento, inserimento o eliminazione non autorizzata di alcuni dati accessibili.

- Accesso in lettura non autorizzato a una parte dei dati accessibili.

È importante notare che questa vulnerabilità può essere sfruttata utilizzando le API nel componente specificato, ad esempio tramite un servizio web che fornisce dati alle API. Inoltre, si applica anche alle distribuzioni Java, tipicamente in client che eseguono applicazioni Java Web Start o applet Java in sandbox, che caricano ed eseguono codice non attendibile (ad esempio, proveniente da internet) e si affidano alla sandbox Java per la sicurezza.

Azioni consigliate: Si raccomanda di aggiornare immediatamente alle versioni più recenti dei prodotti interessati per mitigare questa vulnerabilità. Per ulteriori dettagli sugli aggiornamenti disponibili, consultare l'Advisory di Oracle relativo all'aggiornamento critico di gennaio 2025.

Maggiori informazioni:
https://nvd.nist.gov/vuln/detail/CVE-2025-21502