GitLab ha rilasciato aggiornamenti di sicurezza critici per la sua Community Edition (CE) e Enterprise Edition (EE) per correggere diverse vulnerabilità di elevata gravità .

Le patch 18.6.1, 18.5.3 e 18.4.5 appena rilasciate risolvono falle di sicurezza che potrebbero consentire agli aggressori di bypassare l’autenticazione, rubare le credenziali utente o lanciare attacchi denial-of-service (DoS) su server compromessi. Gli esperti di sicurezza e gli amministratori di GitLab sono invitati ad aggiornare immediatamente le proprie istanze self-hosted . GitLab.com ha completato la distribuzione delle patch per proteggere gli utenti.

Rischi di furto di credenziali e crash del sistema

La vulnerabilità più preoccupante di questo aggiornamento è CVE-2024-9183 , un problema di elevata gravità contrassegnato come “race condition” nella cache CI/CD. Questa falla consente a un aggressore autenticato di rubare le credenziali di un utente con privilegi più elevati e un utente malintenzionato potrebbe sfruttare questo intervallo di tempo per assumere il controllo di un account amministratore o eseguire azioni non autorizzate.

Un’altra importante correzione riguarda il CVE-2025-12571 , una pericolosa vulnerabilità DoS. Questa vulnerabilità consente a un aggressore non autenticato (senza nome utente e password) di bloccare un’istanza GitLab inviando una richiesta JSON dannosa, potenzialmente portando offline il repository di codice di un’organizzazione e interrompendo i flussi di lavoro di sviluppo.

Vulnerabilità di bypass dell’autenticazione

L’aggiornamento risolve anche la vulnerabilità CVE-2025-12653, un problema di media gravità: gli utenti non autenticati potevano aggirare i controlli di sicurezza e unirsi a organizzazioni arbitrarie manipolando gli header delle richieste di rete . Sebbene meno grave di una vulnerabilità di crash, questo aggiramento rappresenta un rischio significativo per la privacy e i controlli di accesso delle organizzazioni.

GitLab consiglia vivamente a tutti i clienti che utilizzano le versioni interessate di eseguire immediatamente l’aggiornamento alla versione più recente della patch (18.6.1, 18.5.3 o 18.4.5). Impatto dell’aggiornamento: le istanze a nodo singolo subiranno tempi di inattività a causa della migrazione del database, mentre le istanze multi-nodo possono eseguire un aggiornamento senza tempi di inattività.

Se non vengono aggiornati tempestivamente, gli aggressori possono analizzare le patch disponibili al pubblico e sottoporre a reverse engineering i metodi di sfruttamento delle vulnerabilità, esponendo così continuamente l’istanza a rischi.

L'articolo GitLab rilascia aggiornamenti di sicurezza critici per vulnerabilità elevate proviene da Red Hot Cyber.

Di recente è stata scoperta una vulnerabilità in Apache SkyWalking, un popolare strumento di monitoraggio delle prestazioni delle applicazioni, che gli aggressori potrebbero sfruttare per eseguire script dannosi e lanciare attacchi cross-site scripting (XSS) .

La vulnerabilità, identificata come CVE-2025-54057 , riguarda tutte le versioni di SkyWalking, fino alla versione 10.2.0. Questa vulnerabilità rientra nella categoria degli ” XSS (cross-site scripting) stored“. Ciò significa che un aggressore può iniettare codice dannoso in una pagina web e, quando altri utenti visualizzano tale pagina web, il codice verrà eseguito nei loro browser.

Ciò potrebbe comportare una serie di problemi di sicurezza, tra cui il furto di credenziali di accesso e di informazioni sensibili come i dati personali. La vulnerabilità deriva dall’incapacità della pagina web di filtrare correttamente i tag HTML correlati agli script , consentendo agli aggressori di iniettare e memorizzare script dannosi.

Questa falla di sicurezza è classificata con severity media in quanto è necessaria una operazione da parte dell’utente per poter accedere ai suoi dati. Se sfruttata, gli aggressori potrebbero ottenere l’accesso non autorizzato agli account utente, impersonare altri utenti o manomettere il sito web . Per le organizzazioni che utilizzano Apache SkyWalking per monitorare le proprie applicazioni, il potenziale furto di dati rappresenta un problema significativo. Un attacco riuscito potrebbe compromettere l’intera applicazione e i relativi dati.

Questa vulnerabilità riguarda tutte le versioni di Apache SkyWalking dalla 10.2.0 alle precedenti . Il team di sviluppo di SkyWalking ha rilasciato una patch per la versione 10.3.0. Si consiglia vivamente a tutti gli utenti di Apache SkyWalking di aggiornare immediatamente alla versione più recente per proteggere i propri sistemi da potenziali attacchi. L’aggiornamento alla nuova versione è l’unico modo per mitigare il rischio di questa vulnerabilità.

La vulnerabilità è stata scoperta e segnalata dal ricercatore di sicurezza Vinh Nguyễn Quang. Dopo la segnalazione, l’Apache Software Foundation ha sviluppato e rilasciato una correzione. La divulgazione di questa vulnerabilità evidenzia l’importanza della comunità open source nell’identificare e risolvere i problemi di sicurezza.

L'articolo Vulnerabilità Apache SkyWalking: rischio di attacchi XSS proviene da Red Hot Cyber.

Giovedì scorso, la multinazionale giapponese Asahi, leader nel settore della birra, ha comunicato che a settembre un attacco informatico di tipo ransomware ha portato al furto dei dati personali di all’incirca 2 milioni di individui, con un impatto considerevole.

All’inizio di ottobre, il gruppo ransomware Qilin ha aggiunto Asahi al suo sito di fuga di notizie basato su Tor, sostenendo di aver rubato 27 gigabyte di dati. Pochi giorni prima, Asahi aveva annunciato che degli hacker avevano sottratto dati dai suoi sistemi. Ora ha confermato che nell’attacco sono state compromesse informazioni personali.

Secondo l’azienda, sono stati rubati nomi, indirizzi, numeri di telefono e indirizzi e-mail di 1.525.000 persone che hanno contattato il servizio clienti. Gli hacker hanno anche esfiltrato i nomi, gli indirizzi e i numeri di telefono di 114.000 persone a cui Asahi aveva inviato messaggi in precedenza.

Inoltre, sono stati rubati nomi, indirizzi, numeri di telefono, indirizzi email, date di nascita e informazioni sul genere di 107.000 dipendenti Asahi. Gli hacker hanno anche rubato nomi, date di nascita e informazioni sul genere di 168.000 familiari di dipendenti attuali ed ex dipendenti.

Asahi ha sottolineato che le informazioni compromesse variano da persona a persona e che non sono state rubate informazioni relative alla carta di credito. L’azienda ha spiegato che gli autori della minaccia hanno hackerato le apparecchiature di rete e le hanno utilizzate per compromettere la rete del suo data center.

“Il ransomware è stato distribuito simultaneamente, crittografando i dati su più server attivi e su alcuni dispositivi PC connessi alla rete”, ha affermato l’azienda. Ha inoltre spiegato che si sta adoperando per contenere il ransomware e che ripristinerà gradualmente solo i sistemi e i dispositivi la cui protezione è stata confermata.

“Stiamo facendo tutto il possibile per ottenere il ripristino completo del sistema il più rapidamente possibile, implementando al contempo misure per prevenire il ripetersi di tali problemi e rafforzando la sicurezza delle informazioni in tutto il Gruppo”, ha affermato Atsushi Katsuki, presidente e CEO di Asahi Group.

In un commento inviato via e-mail, il senior manager di Immersive, Kevin Marriott, ha sottolineato che Qilin è nota per aver fatto trapelare dati rubati ad aziende che non pagano il riscatto e che i clienti di Asahi dovrebbero continuare a monitorare gli aggiornamenti.

L'articolo Asahi subisce attacco ransomware: 2 milioni di persone colpite proviene da Red Hot Cyber.

[Metal Massacre Fab Shop] has a review of a portable plasma cutter that ends up being a very good demonstration of exactly what these tools are capable of. If you’re unfamiliar with this kind of work, you might find the short video (about ten minutes, embedded below) to be just the right level of educational.
The rust removal function has an effect not unlike sandblasting.
Plasma cutters work by forcing compressed air through a small nozzle, and ionizing it with a high voltage. This process converts the gas into a very maneuverable stream of electrically-conductive, high-temperature plasma which can do useful work, like cutting through metal. The particular unit demonstrated also has a rust removal function. By operating at a much lower level, the same plasma stream can be used to give an effect not unlike sandblasting.

Of course, an economical way to cut metal is to just wield a grinder. But grinders are slow and not very maneuverable. That’s where a plasma cutter shines, as [Metal Massacre Fab Shop] demonstrates by cutting troublesome locations and shapes. He seems a lot more satisfied with this unit than he was with the cheapest possible (and misspelled!) plasma cutter he tried last year.

And should you want a plasma cutter, and aren’t afraid to salvage components? Consider building your own.

youtube.com/embed/otEipzDEdsw?…

hackaday.com/2025/11/29/portab…

These days, everyone’s got a million different devices that can take a passable photo. That’s not special anymore. A camera that draws what it sees, though? That’s kind of fun. That’s precisely what [Jens] has built—an instant sketch camera!

The sketch camera looks like a miniature drawing easel, holding a rectangular slip of paper not dissimilar in size to the Polaroid film of old. The 3D-printed frame rocks a Raspberry Pi controlling a simple pen plotter, using SG90 servos to position the drawing implement and trace out a drawing. So far, so simple. The real magic is in the image processing, which takes any old photo with the Pi camera and turns it into a sketch in the first place. This is achieved with the OpenCV image processing library, using an edge detection algorithm along with some additional filtering to do the job.

If you’ve ever wanted to take Polaroids that looked like sketches when you’re out on the go, this is a great way to do it. We’ve featured some other great plotter builds before, too, just few that are as compact and portable as this one. Video after the break.

youtube.com/embed/hyQ5MCFUv7M?…

hackaday.com/2025/11/28/instan…

Trovate qui la traduzione del post che Patrick Breyer ha pubblicato oggi L’attuale pressione del Consiglio dell’UE per rendere permanente il Chat Control 1.0 (Regolamento (UE) 2021/1232) è giuridicamente ed eticamente sconsiderata. La stessa relazione di valutazione del 2025 della Commissione ammette un fallimento totale nella raccolta dei dati, l’incapacità di collegare la sorveglianza di…

Source

The Pirate Party of the Netherlands has launched a humanitarian campaign to help Ukraine. You can read more about it in detail here: piratenpartij.nl/help-mee-nett…

They are collecting and delivering used fishing nets to Ukraine. The nets are used to protect civilians from drone attacks. Please amplify their message and make a donation. Local volunteers and European partners will help install the nets over streets and public areas. This simple method saves lives. Click on this link to make a donation.

Their first trip leaves in two weeks. They will regularly update their activities so you can see what we do with the donations. They also welcome volunteers to join the transport team. Interested supporters can email info@piratenpartij.nl.

Please help them spread the word across about this project.

pp-international.net/2025/11/n…