Bollettini di sicurezza
Next.js CVE-2025-29891
Data: 02/04/2025
Descrizione: È stata identificata una vulnerabilità critica nel framework Next.js, nota come CVE-2025-29927. Questa falla consente a un attaccante di bypassare i controlli di autorizzazione implementati nel middleware dell'applicazione, permettendo potenzialmente l'accesso non autorizzato a risorse protette. Questa vulnerabilità può essere sfruttata anche tramite parametri HTTP, non solo intestazioni
Versioni interessate:
‣ Apache Camel 4.10.0–4.10.1
‣ Apache Camel 4.8.0–4.8.4
‣ Apache Camel 3.10.0–3.22.3
Azioni consigliate:
‣ Si raccomanda di aggiornare immediatamente alle versioni corrette:
- 4.10.2
- 4.8.5
- 3.22.4
Maggiori informazioni:
https://nvd.nist.gov/vuln/detail/CVE-2025-29927
Next.js CVE-2025-29927
Data: 28/03/2025
Descrizione: È stata identificata una vulnerabilità critica nel framework Next.js, nota come CVE-2025-29927. Questa falla consente a un attaccante di bypassare i controlli di autorizzazione implementati nel middleware dell'applicazione, permettendo potenzialmente l'accesso non autorizzato a risorse protette.Agenzia delle Entrate+1IlSoftware.it+1
Versioni interessate:
‣ Next.js 15.x: versioni precedenti alla 15.2.3The Hacker News+5Agenzia delle Entrate+5Next.js by Vercel - The React Framework+5
‣ Next.js 14.x: versioni precedenti alla 14.2.25Next.js by Vercel - The React Framework+7Agenzia delle Entrate+7CVE Database+7
‣ Next.js 13.x: versioni precedenti alla 13.5.9GitHub
‣ Next.js 12.x: versioni precedenti alla 12.3.5
‣ Next.js 11.x: versioni dalla 11.1.4 fino alla 12.3.5 (senza patch disponibili)
Azioni consigliate:
‣ Aggiornamento: Si raccomanda di aggiornare immediatamente Next.js alle versioni corrette:
- 15.x: aggiornare alla 15.2.3
- 14.x: aggiornare alla 14.2.25
- 13.x: aggiornare alla 13.5.9
- 12.x: aggiornare alla 12.3.5
‣ Mitigazione temporanea: Per le versioni 11.x, dove non sono disponibili patch, è consigliato configurare il server o il load balancer per bloccare le richieste esterne contenenti l'intestazione HTTP x-middleware-subrequest.
Maggiori informazioni:
https://nvd.nist.gov/vuln/detail/CVE-2025-29927
Apache Camel CVE-2025-27636
Data: 09/03/2025
Descrizione: È stata recentemente individuata una vulnerabilità nel framework Apache Camel, ampiamente utilizzato per l'integrazione e l'orchestrazione di servizi in ambienti Java.
La falla riguarda la gestione di specifici componenti/protocolli e, in condizioni particolari di configurazione, potrebbe consentire a un attaccante remoto di:
- Eseguire codice arbitrario attraverso endpoint non adeguatamente filtrati;
- Accedere a risorse non autorizzate o esporre dati sensibili.
Sebbene inizialmente classificata come critica, la vulnerabilità è stata successivamente ridimensionata a gravità moderata, in quanto richiede la presenza di endpoint esposti pubblicamente e configurazioni deboli per essere sfruttata.
Azioni consigliate:
Tutte le organizzazioni che utilizzano Apache Camel sono invitate a:
1. Verificare la versione attualmente in uso del framework Camel.
2. Aggiornare alle versioni corrette, che includono la mitigazione ufficiale:
‣ Apache Camel 4.10.2
‣ Apache Camel 4.8.5
‣ Apache Camel 3.22.4
3. Valutare la configurazione degli endpoint esposti, in particolare quelli accessibili tramite protocolli come HTTP, REST, JMS, FTP, ecc., e assicurarsi che siano adeguatamente protetti e soggetti a controllo degli accessi.
4. Effettuare una scansione delle dipendenze tramite strumenti di analisi come OWASP Dependency-Check, Snyk o simili per identificare automaticamente eventuali versioni vulnerabili.
5.Monitorare i log di accesso e rete per intercettare eventuali attività anomale o riconducibili a pattern di exploit.
Maggiori informazioni:
https://nvd.nist.gov/vuln/detail/CVE-2025-27636
Oracle Java CVE-2025-21502
Data: 21/01/2025
Descrizione: Questa vulnerabilità, sebbene difficile da sfruttare, consente a un attaccante non autenticato con accesso di rete tramite vari protocolli di compromettere i prodotti interessati. Un attacco riuscito potrebbe comportare:
- Aggiornamento, inserimento o eliminazione non autorizzata di alcuni dati accessibili.
- Accesso in lettura non autorizzato a una parte dei dati accessibili.
È importante notare che questa vulnerabilità può essere sfruttata utilizzando le API nel componente specificato, ad esempio tramite un servizio web che fornisce dati alle API. Inoltre, si applica anche alle distribuzioni Java, tipicamente in client che eseguono applicazioni Java Web Start o applet Java in sandbox, che caricano ed eseguono codice non attendibile (ad esempio, proveniente da internet) e si affidano alla sandbox Java per la sicurezza.
Azioni consigliate: Si raccomanda di aggiornare immediatamente alle versioni più recenti dei prodotti interessati per mitigare questa vulnerabilità. Per ulteriori dettagli sugli aggiornamenti disponibili, consultare l'Advisory di Oracle relativo all'aggiornamento critico di gennaio 2025.
Maggiori informazioni:
https://nvd.nist.gov/vuln/detail/CVE-2025-21502
Apache Tomcat CVE-2024-56337
Data: 20/12/2024
Descrizione: Una vulnerabilità in Apache Tomcat, legata a una patch incompleta del CVE-2024-50379, può consentire l'esecuzione di codice remoto su sistemi con file system case-insensitive, come Windows, in specifiche configurazioni.
Azioni consigliate: Aggiornare Tomcat alle versioni fisse:
- Versione 11.0.2
- Versione 10.1.34
- Versione 9.0.98 Inoltre, modificare le configurazioni di sicurezza impostando readOnly nel file conf/web.xml su true, disabilitare il metodo PUT e riavviare Tomcat.
Maggior informazioni: https://nvd.nist.gov/vuln/detail/CVE-2024-56337
Apache Struts CVE-2024-53677
Data: 11/12/2024
Descrizione: Una vulnerabilità critica in Apache Struts consente l'esecuzione di codice remoto (RCE) non autenticato. Questa falla potrebbe permettere a un attaccante di compromettere completamente il sistema.
Azioni consigliate: Aggiornare immediatamente Apache Struts alla versione 6.4.0 o successiva, dove il problema è stato risolto
Maggiori informazioni: https://nvd.nist.gov/vuln/detail/CVE-2024-53677