New SonicWALL vuln. CVE-2025-40600

https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2025-0013

Use of Externally-Controlled Format String vulnerability in the SonicOS SSL VPN interface allows a remote unauthenticated attacker to cause service disruption.

F5 has multiple products vulnerable to D(HE)at, which is a DoS via the DH key exchange protocol.

https://ieeexplore.ieee.org/document/10374117

https://my.f5.com/manage/s/article/K000148343

Validating the order of the public keys in the Diffie-Hellman Key Agreement Protocol, when an approved safe prime is used, allows remote attackers (from the client side) to trigger unnecessarily expensive server-side DHE modular-exponentiation calculations. The client may cause asymmetric resource consumption. The basic attack scenario is that the client must claim that it can only communicate with DHE, and the server must be configured to allow DHE and validate the order of the public key. (CVE-2024-41996)

https://www.cve.org/CVERecord?id=CVE-2024-41996

A cyberespionage campaign tied to China-nexus threat group UNC3886 is using old VMware vulnerabilities like CVE-2023-34048 to compromise organizations' virtual environments. Additionally, the campaign -- dubbed Fire Ant by Sygnia researchers -- is bypassing network segmentation to reach isolated areas. https://www.darkreading.com/vulnerabilities-threats/fire-ant-cyber-spies-siloed-vmware-systems

Il tuo smart TV ti sta spiando? La mancata sicurezza e le vulnerabilità critiche nei dispositivi IoT

I dispositivi intelligenti in rete non sono più semplici aiutanti, ma potenziali nemici. Con ogni nuovo termostato o TV connesso a Internet, si apre una nuova falla nell’infrastruttura digitale delle nostre case.

Questo ci ricorda una nuova minaccia scoperta nei termostati WiFi Network Thermostat X-Series, ampiamente diffusi. La vulnerabilità è considerata critica: sulla scala CVSS, ha ricevuto 9,8 punti su 10 ed è monitorata con il CVE-2025-7742. Se un dispositivo di questo tipo è connesso a Internet, è indifeso. Ma anche dietro un firewall, può essere utilizzato come punto di accesso a una rete aziendale o industriale.

La CISA ha sottolineato che le telecamere vulnerabili vengono utilizzate in tutto il mondo, anche nelle infrastrutture critiche di numerose strutture commerciali.

Secondo il ricercatore di sicurezza informatica Sovik Kandar di MicroSec, il server web integrato in questi termostati non richiede autenticazione. Un aggressore deve solo essere connesso alla stessa rete o ottenere l’accesso tramite Port Forwarding per cancellare le credenziali e assumere il pieno controllo del dispositivo. Questo scenario è del tutto possibile, soprattutto in un ambiente in cui i dispositivi IoT raramente ricevono aggiornamenti e vengono spesso lasciati incustoditi.

Questo non è certo il primo attacco ai termostati. L’anno scorso, i dispositivi Bosch avevano una minaccia simile : consentivano il caricamento e la completa compromissione di firmware arbitrari. Il problema risiede nell’architettura complessiva dell’IoT. Tali dispositivi non sono protetti di default e la loro distribuzione in aree critiche, dagli uffici alla produzione, li rende un comodo trampolino di lancio per gli attacchi.

Ma non è tutto. Nello stesso rapporto, un rappresentante di MicroSec ha rivelato un’altra pericolosa vulnerabilità, questa volta nei sistemi di videosorveglianza LG Innotek. Il modello obsoleto LNV5110R è ancora attivamente utilizzato in strutture commerciali, nonostante sia già stato rimosso dal supporto. La vulnerabilità consente l’esecuzione remota di codice arbitrario a livello di amministratore. Questo bug è sufficiente per caricare una speciale richiesta HTTP POST nella memoria non volatile della telecamera. Il bug apre la strada al controllo totale del sistema di videosorveglianza, con la possibilità di installare trojan, videosorveglianza nascosta o accedere ad altri segmenti di rete.

Ma non sono questi i punti deboli, secondo Kandar. Sostiene che la Smart TV sia il principale tallone d’Achille di qualsiasi infrastruttura moderna. Quasi tutti i modelli Android dispongono di un debug aperto tramite la porta ADB, che non è protetta da password o da un avviso. Queste TV sono ovunque: dalle sale conferenze ai reparti ospedalieri, dagli aeroporti alle sale server. Il controllo può essere assunto da remoto, e questa non è più una teoria: una dimostrazione pratica è disponibile pubblicamente su YouTube. Attraverso la TV, è possibile non solo accedere alla visualizzazione dello schermo, ma anche lanciare un attacco su larga scala all’intera rete locale.

Kandar, che ha al suo attivo 21 vulnerabilità CVE, traccia una linea inquietante: i dispositivi IoT non sono solo rischi, ma vettori di attacco attivi, invisibili e familiari. Molti di essi sono inizialmente considerati affidabili dal sistema, raramente ricevono aggiornamenti e il loro hackeraggio non desta sospetti finché non è troppo tardi.

Bitdefender, un’altra azienda di monitoraggio delle minacce, raccomanda di isolare completamente tutti i dispositivi IoT dalla rete principale, limitandone l’accesso tramite una VLAN o un router separato. È particolarmente importante eliminare qualsiasi accesso diretto a Internet. Anche le VPN, spesso utilizzate per l’accesso sicuro, possono diventare vulnerabili se non aggiornate e configurate correttamente. Come osserva CISA, la sicurezza delle VPN non è determinata tanto dalla crittografia, quanto dallo stato delle apparecchiature connesse.

La CISA non ha ancora registrato tentativi di sfruttamento delle nuove vulnerabilità ma ha emesso dei bollettini a riguardo. Ma è solo questione di tempo. L’agenzia chiede di limitare urgentemente la visibilità di rete di tutti i dispositivi industriali e IoT, eliminando l’accesso esterno e utilizzando metodi di comunicazione sicuri solo quando assolutamente necessario. Queste non sono raccomandazioni, ma istruzioni di sopravvivenza.

L'articolo Il tuo smart TV ti sta spiando? La mancata sicurezza e le vulnerabilità critiche nei dispositivi IoT proviene da il blog della sicurezza informatica.

Un nuovo bug su macOS consente il bypass del TCC per rubare i dati utenti

Microsoft ha affermato che gli aggressori potrebbero aver sfruttato una vulnerabilità di bypass di Transparency, Consent, and Control (TCC) recentemente corretta per rubare informazioni sensibili dagli utenti macOS, inclusi i dati Apple Intelligence memorizzati nella cache.

TCC è un meccanismo e framework di sicurezza di macOS che impedisce alle app di accedere ai dati personali degli utenti, consentendo a macOS di controllare le modalità di accesso e utilizzo delle informazioni da parte delle app su tutti i dispositivi Apple. TCC ha il compito di richiedere l’autorizzazione per avviare nuove app e di visualizzare avvisi se un’app tenta di accedere a dati sensibili (inclusi contatti, foto, webcam e così via).

La vulnerabilità, identificata come CVE-2025-31199 scoperta da Microsoft, è stata risolta a marzo 2025, con il rilascio delle patch per macOS Sequoia 15.4.

Il problema era che, mentre Apple limita l’accesso TCC alle app con accesso completo al disco e blocca automaticamente l’esecuzione di codice non autorizzato, i ricercatori Microsoft hanno scoperto che gli aggressori potevano sfruttare l’accesso privilegiato dei plugin Spotlight per ottenere l’accesso a file sensibili e rubarne il contenuto.

In un rapporto appena pubblicato, i ricercatori Microsoft hanno dimostrato che la vulnerabilità (da loro denominata Sploitlight) potrebbe essere utilizzata per raccogliere dati, tra cui informazioni di Apple Intelligence e informazioni remote su altri dispositivi associati a un account iCloud.

In questo modo, gli aggressori potrebbero mettere le mani sui metadati di foto e video, sui dati di geolocalizzazione, sui dati sul riconoscimento facciale e delle persone, sulle informazioni sull’attività degli utenti, sugli album fotografici e sulle librerie condivise, sulla cronologia delle ricerche e sulle preferenze degli utenti, nonché su foto e video eliminati.

L'articolo Un nuovo bug su macOS consente il bypass del TCC per rubare i dati utenti proviene da il blog della sicurezza informatica.

🔒 CVE-2025-53080: HIGH severity path traversal in Samsung DMS (2.0.0/2.5.0.17/2.7.0.15) lets authenticated users create files anywhere on the system. Patch not yet available—apply strict access controls & monitor logs! https://radar.offseq.com/threat/cve-2025-53080-cwe-22-improper-limitation-of-a-pat-1436dcf9 #OffSeq #Vuln #Samsung #PathTraversal

🚨 CRITICAL: CVE-2025-54426 in polkadot-evm Frontier (<36f70d1) lets invalid Ristretto points silently pass, risking asset integrity & smart contract trust. Patch to 36f70d1+ ASAP! https://radar.offseq.com/threat/cve-2025-54426-cwe-327-use-of-a-broken-or-risky-cr-3ff1c747 #OffSeq #Blockchain #CryptoVuln

@sleepfreeparent

Couldn't say for git log specifically, but in general client side hooks may be committed and be run as part of certain git commands. A malicious script could just wipe your home directory.

https://git-scm.com/book/en/v2/Customizing-Git-Git-Hooks

Or, even worse, it seems: https://github.blog/open-source/git/git-security-vulnerability-announced/#cve-2022-24765

CodeIgniter4 Faces Critical Zero-Day: Command Injection Flaw Threatens Thousands of PHP Applications

Developers Urged to Act Fast as CVE-2025-54418 Gets Maximum Severity Rating CodeIgniter4, a widely used PHP framework powering thousands of web applications globally, is facing a severe security crisis. On July 26, 2025, security researchers publicly disclosed a high-impact vulnerability—CVE-2025-54418—that could allow remote attackers to execute arbitrary system…

https://undercodenews.com/codeigniter4-faces-critical-zero-day-command-injection-flaw-threatens-thousands-of-php-applications/

🚨 CRITICAL SQL Injection: z-push/z-push-dev <2.7.6 is vulnerable if IMAP_FROM_SQL_QUERY is enabled. Attackers can exploit the username field to access/modify DB data. Audit configs & switch to default/LDAP backend now. CVE-2025-8264 details: https://radar.offseq.com/threat/cve-2025-8264-sql-injection-in-z-pushz-push-dev-7a3ed000 #OffSeq #SQLi #ZPush