Il framework open-source Next.JS ha una CVE con severità 9.1 che permette il bypass dell’autenticazione

by Patrick Di Fazio on 3 Aprile 2025

Recentemente, è stata scoperta una grave vulnerabilità nel framework Next.JS, sviluppato da Vercel, identificata come CVE-2025-29927, con un punteggio di severità CVSS di 9.1. Questa falla consente agli aggressori di bypassare i controlli di autenticazione implementati tramite middleware, permettendo l’accesso non autorizzato a risorse protette.La scoperta di questa vulnerabilità ha suscitato preoccupazione nella comunità di...

Leggi il contenuto originale su Mia mamma usa Linux!

Continua a leggere

aggregato, linux, sicurezza

CVE, Framework, Next.JS, Notizie, Open source, vulnerabilità, web

Quei CVE dubbiosi utili solamente a portare gli sviluppatori open-source a dover archiviare i propri progetti GitHub

by Raoul Scarazzini on 5 Luglio 2024

È da parecchio che affrontiamo la questione relativa ai CVE “dubbiosi” o quantomeno sovrastimati con cui i maintainer dei progetti open-source devono combattere. Un esempio di cui spesso abbiamo raccontato è quello di curl, il cui sviluppatore Daniel Stenberg ha da sempre denunciato i CVE con severity insensate relative ai bug che creano allarmismi inutili...

Leggi il contenuto originale su Mia mamma usa Linux!

Continua a leggere

aggregato, linux

Controversia, CVE, github, Notizie, Open source

Dopo curl, anche il progetto Linux diventa CNA, ossia CVE Numbering Authority. Il vento è cambiato!

by Raoul Scarazzini on 15 Febbraio 2024

Anche se l’articolo “curl diventa CVE Numbering Authority e, finalmente, le segnalazioni di bug avranno un senso” non sembra aver riscontrato un successo di pubblico esagerato, grazie alla notizia che stiamo per dare è possibile sottolinearne l’importanza. Già, perché dopo curl anche il progetto Linux è stato accettato come autorità CNA, CVE Numbering Authority. Lo...

Leggi il contenuto originale su Mia mamma usa Linux!

Continua a leggere

aggregato, linux

CNA, cURL, CVE, CVE Numbering Authority, Notizie

curl diventa CVE Numbering Authority e, finalmente, le segnalazioni di bug avranno un senso

by Raoul Scarazzini on 30 Gennaio 2024

Della battaglia in merito alle segnalazioni di CVE insensate che il progetto curl, per mezzo del suo creatore e principale maintainer Daniel Stenberg, sta portando avanti da molto tempo abbiamo parlato parecchio nel recente passato. Tra il programma di bug bounty pieno di segnalazioni fatte da intelligenze artificiali e la gestione di CVE come la…
Segui il link per leggere l'articolo

Leggi il contenuto originale su Mia mamma usa Linux!

Continua a leggere

aggregato, linux

bug, CNA, cURL, CVE, Notizie

Come la gestione della CVE-2023-38545 di curl insegna il corretto modo di valutare e gestire le vulnerabilità

by Raoul Scarazzini on 19 Ottobre 2023

Di quanto il creatore di curl, Daniel Stenberg, abbia cercato di contrastare l’uso malsano che viene fatto delle CVE abbiamo parlato a lungo. Poco più di un mese fa l’ultima volta, a proposito di come il National Vulnerability Database (NVD) avesse assegnato ad una vulnerabilità ininfluente un valore pazzesco. Il messaggio che si voleva passare…
Segui il link per leggere l'articolo

Leggi il contenuto originale su Mia mamma usa Linux!

Continua a leggere

aggregato, linux

cURL, CVE, CVE-2023-38545, Notizie, vulnerabilità

curl e i CVE, e quelle severity insensate relative ai bug che creano allarmismi inutili

by Raoul Scarazzini on 4 Settembre 2023

Lo scorso giugno abbiamo raccontato delle perplessità di Daniel Stenberg, creatore di curl, sul National Vulnerability Database (NVD) ed i valori delle CVE e di come in quel caso specifico la CVE-2023-27536, inizialmente inserita con severità 9.8, ossia CRITICAL, ossia Apocalypse now, fosse stata riclassificata, dopo una estenuante serie di azioni, a 5.9, ossia MEDIUM,…
Segui il link per leggere l'articolo

Leggi il contenuto originale su Mia mamma usa Linux!

Continua a leggere

aggregato, linux

bug, Controversia, cURL, CVE, Notizie, severity

Tutte le perplessità del creatore di CURL sul National Vulnerability Database (NVD) ed i valori delle CVE

by Raoul Scarazzini on 15 Giugno 2023

L’insistenza con cui solitamente affrontiamo le questioni di sicurezza informatica non è mai casuale. Come ripetiamo sempre, una cosa che emerge in maniera decisa a quanti svolgono il mestiere dell’informatico oggi è che non è più minimamente trascurabile la considerazione degli aspetti di sicurezza già in fase di sviluppo. In questo senso la metodologia DevSecOps…
Segui il link per leggere l'articolo

Leggi il contenuto originale su Mia mamma usa Linux!

Continua a leggere

aggregato, linux

cURL, CVE, DevSecOps, Notizie, NVD

C’è una nuova versione di OpenSSL (3.0.7, uscita l’1 novembre) che fareste bene tutti ad installare perché risolve una CVE critica

by Raoul Scarazzini on 3 Novembre 2022

Annunciata con largo anticipo da Mark Cox, sviluppatore Red Hat e VP security della Apache Software Foundation, la versione 3.0.7 di OpenSSL è una di quelle a cui tutti noi dovremmo prestare particolare attenzione. Il motivo risiede nell’entità dell’annuncio: OpenSSL 3.0.7 update to fix Critical CVE out next Tuesday 1300-1700UTC. Does not affect versions before…
Read more

Leggi il contenuto originale su Mia mamma usa Linux!

Continua a leggere

aggregato, linux

critica, CVE, Notizie, OpenSSL

Perché è una brutta idea fare girare workload Windows su Kubernetes? Ad esempio perché esiste un CVE che bypassa runAsNonRoot

by Raoul Scarazzini on 19 Ottobre 2022

Una delle prerogative del nostro container orchestrator prediletto, che per chi non lo sapesse è Kubernetes, è il fatto che di default nessun container viene fatto girare con privilegi amministrativi, nella fattispecie non ci sono container che girano come root. Per far sì che questo avvenga è necessario applicare determinate impostazioni ai deployment Kubernetes, ed…
Read more

Leggi il contenuto originale su Mia mamma usa Linux!

Continua a leggere

aggregato, linux

CVE, kubernetes, Notizie, runAsNonRoot, Windows, workload

Sicurezza: cinque miti da sfatare in merito ai CVE

by Raoul Scarazzini on 30 Settembre 2022

Diamo sempre per scontato, per via del fatto che pubblichiamo costantemente notizie di nuovi CVE, che tutti sappiano di cosa si stia parlando. Vero o no, intanto chiariamo. L’acronimo CVE sta per Common Vulnerabilities and Exposures ed è un’indicizzazione per le problematiche di sicurezza informatica, pubblicate presso il sito https://www.cve.org/ (ed in origine su https://cve.mitre.org/)…
Read more

Leggi il contenuto originale su Mia mamma usa Linux!

Continua a leggere

aggregato, linux, sicurezza

CVE, Notizie

CVE

Il framework open-source Next.JS ha una CVE con severità 9.1 che permette il bypass dell’autenticazione

Quei CVE dubbiosi utili solamente a portare gli sviluppatori open-source a dover archiviare i propri progetti GitHub

Dopo curl, anche il progetto Linux diventa CNA, ossia CVE Numbering Authority. Il vento è cambiato!

curl diventa CVE Numbering Authority e, finalmente, le segnalazioni di bug avranno un senso

Come la gestione della CVE-2023-38545 di curl insegna il corretto modo di valutare e gestire le vulnerabilità

curl e i CVE, e quelle severity insensate relative ai bug che creano allarmismi inutili

Tutte le perplessità del creatore di CURL sul National Vulnerability Database (NVD) ed i valori delle CVE

C’è una nuova versione di OpenSSL (3.0.7, uscita l’1 novembre) che fareste bene tutti ad installare perché risolve una CVE critica

Perché è una brutta idea fare girare workload Windows su Kubernetes? Ad esempio perché esiste un CVE che bypassa runAsNonRoot

Sicurezza: cinque miti da sfatare in merito ai CVE

Tutorial

Meta

CVE

Tutorial

Tag

Meta