Vulnerabilità Apache SkyWalking: rischio di attacchi XSS
Di recente è stata scoperta una vulnerabilità in Apache SkyWalking, un popolare strumento di monitoraggio delle prestazioni delle applicazioni, che gli aggressori potrebbero sfruttare per eseguire script dannosi e lanciare attacchi cross-site scripting (XSS) .
La vulnerabilità, identificata come CVE-2025-54057 , riguarda tutte le versioni di SkyWalking, fino alla versione 10.2.0. Questa vulnerabilità rientra nella categoria degli ” XSS (cross-site scripting) stored“. Ciò significa che un aggressore può iniettare codice dannoso in una pagina web e, quando altri utenti visualizzano tale pagina web, il codice verrà eseguito nei loro browser.
Ciò potrebbe comportare una serie di problemi di sicurezza, tra cui il furto di credenziali di accesso e di informazioni sensibili come i dati personali. La vulnerabilità deriva dall’incapacità della pagina web di filtrare correttamente i tag HTML correlati agli script , consentendo agli aggressori di iniettare e memorizzare script dannosi.
Questa falla di sicurezza è classificata con severity media in quanto è necessaria una operazione da parte dell’utente per poter accedere ai suoi dati. Se sfruttata, gli aggressori potrebbero ottenere l’accesso non autorizzato agli account utente, impersonare altri utenti o manomettere il sito web . Per le organizzazioni che utilizzano Apache SkyWalking per monitorare le proprie applicazioni, il potenziale furto di dati rappresenta un problema significativo. Un attacco riuscito potrebbe compromettere l’intera applicazione e i relativi dati.
Questa vulnerabilità riguarda tutte le versioni di Apache SkyWalking dalla 10.2.0 alle precedenti . Il team di sviluppo di SkyWalking ha rilasciato una patch per la versione 10.3.0. Si consiglia vivamente a tutti gli utenti di Apache SkyWalking di aggiornare immediatamente alla versione più recente per proteggere i propri sistemi da potenziali attacchi. L’aggiornamento alla nuova versione è l’unico modo per mitigare il rischio di questa vulnerabilità.
La vulnerabilità è stata scoperta e segnalata dal ricercatore di sicurezza Vinh Nguyễn Quang. Dopo la segnalazione, l’Apache Software Foundation ha sviluppato e rilasciato una correzione. La divulgazione di questa vulnerabilità evidenzia l’importanza della comunità open source nell’identificare e risolvere i problemi di sicurezza.
L'articolo Vulnerabilità Apache SkyWalking: rischio di attacchi XSS proviene da Red Hot Cyber.
Ministero dell'Istruzione
#JobOrienta, alle ore 11.00 il Ministro Giuseppe Valditara interverrà al convegno "Conoscere la Filiera formativa tecnologico-professionale (4+2): un nuovo percorso di studi per il futuro dei giovani" presso il Centro Congressi di Veronafiere.Telegram
Asahi subisce attacco ransomware: 2 milioni di persone colpite
Giovedì scorso, la multinazionale giapponese Asahi, leader nel settore della birra, ha comunicato che a settembre un attacco informatico di tipo ransomware ha portato al furto dei dati personali di all’incirca 2 milioni di individui, con un impatto considerevole.
All’inizio di ottobre, il gruppo ransomware Qilin ha aggiunto Asahi al suo sito di fuga di notizie basato su Tor, sostenendo di aver rubato 27 gigabyte di dati. Pochi giorni prima, Asahi aveva annunciato che degli hacker avevano sottratto dati dai suoi sistemi. Ora ha confermato che nell’attacco sono state compromesse informazioni personali.
Secondo l’azienda, sono stati rubati nomi, indirizzi, numeri di telefono e indirizzi e-mail di 1.525.000 persone che hanno contattato il servizio clienti. Gli hacker hanno anche esfiltrato i nomi, gli indirizzi e i numeri di telefono di 114.000 persone a cui Asahi aveva inviato messaggi in precedenza.
Inoltre, sono stati rubati nomi, indirizzi, numeri di telefono, indirizzi email, date di nascita e informazioni sul genere di 107.000 dipendenti Asahi. Gli hacker hanno anche rubato nomi, date di nascita e informazioni sul genere di 168.000 familiari di dipendenti attuali ed ex dipendenti.
Asahi ha sottolineato che le informazioni compromesse variano da persona a persona e che non sono state rubate informazioni relative alla carta di credito. L’azienda ha spiegato che gli autori della minaccia hanno hackerato le apparecchiature di rete e le hanno utilizzate per compromettere la rete del suo data center.
“Il ransomware è stato distribuito simultaneamente, crittografando i dati su più server attivi e su alcuni dispositivi PC connessi alla rete”, ha affermato l’azienda. Ha inoltre spiegato che si sta adoperando per contenere il ransomware e che ripristinerà gradualmente solo i sistemi e i dispositivi la cui protezione è stata confermata.
“Stiamo facendo tutto il possibile per ottenere il ripristino completo del sistema il più rapidamente possibile, implementando al contempo misure per prevenire il ripetersi di tali problemi e rafforzando la sicurezza delle informazioni in tutto il Gruppo”, ha affermato Atsushi Katsuki, presidente e CEO di Asahi Group.
In un commento inviato via e-mail, il senior manager di Immersive, Kevin Marriott, ha sottolineato che Qilin è nota per aver fatto trapelare dati rubati ad aziende che non pagano il riscatto e che i clienti di Asahi dovrebbero continuare a monitorare gli aggiornamenti.
L'articolo Asahi subisce attacco ransomware: 2 milioni di persone colpite proviene da Red Hot Cyber.
Portable Plasma Cutter Removes Rust, Packs a (Reasonable) Punch
[Metal Massacre Fab Shop] has a review of a portable plasma cutter that ends up being a very good demonstration of exactly what these tools are capable of. If you’re unfamiliar with this kind of work, you might find the short video (about ten minutes, embedded below) to be just the right level of educational.
Plasma cutters work by forcing compressed air through a small nozzle, and ionizing it with a high voltage. This process converts the gas into a very maneuverable stream of electrically-conductive, high-temperature plasma which can do useful work, like cutting through metal. The particular unit demonstrated also has a rust removal function. By operating at a much lower level, the same plasma stream can be used to give an effect not unlike sandblasting.
Of course, an economical way to cut metal is to just wield a grinder. But grinders are slow and not very maneuverable. That’s where a plasma cutter shines, as [Metal Massacre Fab Shop] demonstrates by cutting troublesome locations and shapes. He seems a lot more satisfied with this unit than he was with the cheapest possible (and misspelled!) plasma cutter he tried last year.
And should you want a plasma cutter, and aren’t afraid to salvage components? Consider building your own.
youtube.com/embed/otEipzDEdsw?…
Airbus ferma oltre seimila aerei, possibili danni ai computer di bordo: migliaia di voli a rischio
L'inconveniente su un velivolo del tipo A320 ha permesso di scoprire che intense radiazioni solari possono danneggiare il funzionamento del software di voloTgcom24
Assalto al quotidiano “La Stampa”. Articolo21: “Un attacco gravissimo all’informazione”
@Giornalismo e disordine informativo
articolo21.org/2025/11/assalto…
Ieri a Torino l’irruzione di un centinaio di manifestanti all’interno della redazione centrale del quotiduano “La Stampa” e
reshared this
Un Paese provvisorio
@Politica interna, europea e internazionale
L'articolo Un Paese provvisorio proviene da Fondazione Luigi Einaudi.
Politica interna, europea e internazionale reshared this.
Instant Sketch Camera Is Like A Polaroid That Draws
These days, everyone’s got a million different devices that can take a passable photo. That’s not special anymore. A camera that draws what it sees, though? That’s kind of fun. That’s precisely what [Jens] has built—an instant sketch camera!
The sketch camera looks like a miniature drawing easel, holding a rectangular slip of paper not dissimilar in size to the Polaroid film of old. The 3D-printed frame rocks a Raspberry Pi controlling a simple pen plotter, using SG90 servos to position the drawing implement and trace out a drawing. So far, so simple. The real magic is in the image processing, which takes any old photo with the Pi camera and turns it into a sketch in the first place. This is achieved with the OpenCV image processing library, using an edge detection algorithm along with some additional filtering to do the job.
If you’ve ever wanted to take Polaroids that looked like sketches when you’re out on the go, this is a great way to do it. We’ve featured some other great plotter builds before, too, just few that are as compact and portable as this one. Video after the break.
youtube.com/embed/hyQ5MCFUv7M?…
Nuovi attacchi del gruppo hacker Bloody Wolf in Asia centrale
Gli specialisti di Group-IB hanno registrato nuovi attacchi da parte del gruppo hacker Bloody Wolf, che ha preso di mira il Kirghizistan da giugno 2025 e ha esteso le sue attività all’Uzbekistan da ottobre. Il settore finanziario, le agenzie governative e le aziende IT sono a rischio.
Secondo i ricercatori, gli aggressori si spacciano per il Ministero della Giustizia del Kirghizistan, utilizzando documenti PDF falsi e domini che sembrano legittimi, ma che in realtà distribuiscono archivi Java (JAR) contenenti il malware NetSupport RAT.
Bloody Wolf è attivo almeno dalla fine del 2023. In precedenza, il gruppo aveva attaccato il Kazakistan e la Russia, distribuendo STRRAT e NetSupport tramite phishing. Ora, la portata geografica del gruppo si è estesa all’Asia centrale, ma le tattiche rimangono le stesse: nelle e-mail, il gruppo si spaccia per funzionari governativi, cercando di indurre le vittime ad aprire allegati dannosi.
Lo schema di attacco è semplice. La vittima riceve un’e-mail contenente un collegamento a un documento apparentemente importante. Cliccando sul collegamento, viene scaricato un file JAR insieme alle istruzioni per l’installazione di Java Runtime. L’e-mail afferma che Java è necessario per visualizzare i file, ma in realtà il downloader scarica NetSupport RAT dal server degli hacker e si installa sul sistema in tre modi: tramite un’attività pianificata, una voce di registro nel registro di Windows e un file BAT nella cartella di avvio.
Gli esperti scrivono che durante gli attacchi alle organizzazioni uzbeke, gli hacker hanno utilizzato il geofencing: se una richiesta proveniva dall’esterno dell’Uzbekistan, la vittima veniva reindirizzata al sito web legittimo data.egov.uz. Tuttavia, le richieste provenienti dall’interno del Paese attivavano il download di un file JAR da un link incorporato in un PDF.
Si noti che tutti i downloader JAR del gruppo sono compilati utilizzando una versione precedente di Java 8 (rilasciata a marzo 2014). Gli esperti ritengono che il gruppo disponga di un proprio generatore o modello per la creazione di tali file. Inoltre, anche la versione del malware NetSupport è tutt’altro che recente, risalendo a ottobre 2013.
I ricercatori concludono che Bloody Wolf dimostra che anche strumenti commerciali economici possono trasformarsi in armi efficaci per attacchi mirati e sofisticati.
L'articolo Nuovi attacchi del gruppo hacker Bloody Wolf in Asia centrale proviene da Red Hot Cyber.
KW 48: Die Woche, in der NRW es erlaubte, mit unseren Daten Überwachungs-KI zu trainieren
netzpolitik.org/2025/kw-48-die…
Israele all’attacco in Cisgiordania e Siria: morti e feriti
@Notizie dall'Italia e dal mondo
Condanne diffuse per l'esecuzione sommaria di due palestinesi che si erano arresi. Incursione con 13 morti in Siria
L'articolo Israele all’attacco in Cisgiordania e Siria: morti e pagineesteri.it/2025/11/29/med…
Notizie dall'Italia e dal mondo reshared this.
HONDURAS. Elezioni: Rixi Moncada: democratizzare l’economia
@Notizie dall'Italia e dal mondo
Il programma della candidata progressista prevede la continuazione del processo di trasformazione economica e sociale iniziato da Xiomara Castro
L'articolo HONDURAS. Elezioni: Rixi pagineesteri.it/2025/11/29/ame…
Notizie dall'Italia e dal mondo reshared this.
3D Printing for the Hospital Setting
Surgery is hard, there is a reason why school is so long for the profession. Making the job easier and smoother for both patients and surgeons is valuable for all parties, which is why [Mayo Clinic] is now working on including 3D printing into its more regular medicine pipeline.
Prepping for surgery often requires examining CT scans of patients to figure out, well, what they’re even going to be doing. Every body is different, and complex surgical procedures require checking to see where certain organs or features are located. This can be made much easier with a physical model of where the bones, organs, or nerves are specifically located in a patient. While this isn’t true in every case of treatment, there are even cancerous cases where custom equipment can be used to decrease side effects, such as mini-beam collimator adapters.
What if you could use the same pipeline to print what was lost from certain procedures? In a mastectomy, the breast tissue is removed, which can cause negative attention from curious gazes. So why not 3D print a custom breast? Cases like these are generally considered poor commercial investments from industry, but are relatively easy for an existing medical facility to add to treatment.
[Mayo Clinic] is far from the first to consider 3D printing in the medical setting, but seeing the technology see actual applied use rather than future seeking is exciting. Medical hacking is always exciting, and if you want to see more examples, keep sure to check out this commercially available simulator (with some free models).
Live Train Departure Screens Keep You Abreast of Transit Developments
If you want to know when the train is coming, you could pull up a webpage on your phone, or walk all the way to the station to look at the displays there. Or, like [eastfamilyreddish], you could build a neat little train info display to decorate your desktop instead.
The build is based on the work of [gadec-uk]—who developed a train information display some time ago. It’s based around an ESP32 D1 Mini, paired with a 256 x 64 OLED screen to display relevant train information. It accesses a National Rail API for train status information—known as the Darwin LDBWS (Live Departure Board Webservice). Configuration is via a web GUI hosted by the ESP32 itself.
[eastfamilyreddish] took the concept further by adapting this hardware into a more pleasing form. The ESP32 and OLED screen are built into a neat little hanging sign setup that apes one you might expect to see at a real railway station. You might expect that 3D printing was involved, but instead, this was achieved with lasercut parts and resin casting to create something with a beautiful finish. They even went so far as to include a wireless phone charging module in the base, making the device extra useful to really earn its place on the desktop.
The fact is, around these parts we love both trains and the displays you find around them. If you’ve got a railway-adjacent project, or you’ve just built your own awesome railway, don’t hesitate to let us know on the tipsline!
Proteste gegen AfD-Jugend: Verwaltungsgerichtshof bestätigt Demoverbotszone in Gießen
netzpolitik.org/2025/proteste-…
Build Your Own Compact Temp Gun
Sometimes you need to know what temperature something is, but you don’t quite want to touch it. At times like these, you might want a temp gun on hand to get a good reading, like the one [Arnov Sharma] built.
The build is a relatively simple one, and is based around an Waveshare ESP32 C6 development module that comes with a small LCD screen out of the box. The microcontroller is set up to read an MLX90614 infrared temperature sensor. This device picks up the infrared energy that is emitted by objects relative to their temperature. The sensor has a great range—from -70 C to 380 C. The readouts from this sensor are then displayed on the screen. Battery power is from a small 600 mAh LiPo cell, which is managed by a IP5306 charge module.
It’s worth noting that these infrared temperature sensors aren’t infallible devices. The temperature they perceive is based on certain assumptions about factors like an objects emissivity. Thus, they don’t always give accurate readings on metallic or shiny objects, for example. It’s also important to understand the sensor’s field of view. Despite many commercial versions featuring a laser pointer for aiming, many of these infrared temperature sensors tend to average their reading over a small spot that gets larger the farther away they are from the object being measured.
Tools like portable temp guns are pretty cheap, but sometimes it’s just fun to build your own. Plus, you usually learn something along the way. Video after the break.
youtube.com/embed/WrRs6STve8M?…
Ministero dell'Istruzione
#NoiSiamoLeScuole questa settimana è dedicato all’Istituto di Istruzione Superiore “Alfonso Casanova” di Napoli che, con i fondi #PNRR, ha avviato attività laboratoriali teatrali contro la dispersione scolastica e corsi per migliorare le competenze l…Telegram
Il nuovo video di Pasta Grannies: youtube.com/watch?v=5SrkEGf0_o…
@Cucina e ricette
(HASHTAG)
Cucina e ricette reshared this.
La Russia sta deteriorando la connettività WhatsApp e si prevede che presto verrà bloccato
Il Roskomnadzor della Federazione Russa ha annunciato che continua a imporre restrizioni sistematiche all’app di messaggistica WhatsApp a causa di violazioni della legge russa. Secondo l’agenzia, il servizio viene utilizzato per organizzare e compiere attacchi terroristici in Russia, reclutare terroristi e commettere frodi e altri reati contro i cittadini.
Il rapporto afferma che WhatsApp non rispetta i requisiti volti a prevenire e combattere la criminalità in Russia. L’autorità di regolamentazione ha sottolineato che, in tali circostanze, le restrizioni al servizio di messaggistica saranno estese e, se continuerà a non rispettare la legge russa, il servizio potrebbe essere completamente bloccato nel Paese.
Il Roskomnadzor ha ricordato agli utenti che il graduale deterioramento delle chiamate vocali e video di WhatsApp è iniziato ad agosto. Le restrizioni vengono introdotte gradualmente per consentire agli utenti di passare ad altri servizi. L’agenzia raccomanda di scegliere app di messaggistica nazionali e afferma esplicitamente che, se la situazione attuale dovesse persistere, il blocco potrebbe diventare la misura definitiva.
Andrey Svintsov, vicepresidente della Commissione per la politica dell’informazione, le tecnologie dell’informazione e le comunicazioni della Duma di Stato, ha dichiarato a NEWS.ru che prevede che WhatsApp verrà completamente bloccato in Russia nei prossimi mesi.
Stima che ciò potrebbe accadere entro quattro-sei mesi. Ritiene che questo non rappresenterà un problema critico per gli utenti, osservando che Viber, un tempo popolare, è di fatto scomparso dalla scena pubblica dopo il suo fallimento, e suggerisce che una situazione simile potrebbe verificarsi anche per WhatsApp.
Svintsov ha sottolineato che, a suo avviso, il blocco è dovuto al rifiuto dei creatori del servizio di messaggistica di collaborare con le autorità russe.
Ha sottolineato che WhatsApp è di proprietà di Meta (considerata un’organizzazione estremista in Russia, le cui attività sono vietate) e che i dati dei cittadini russi sono archiviati all’estero. Il deputato afferma che il servizio trasmette informazioni personali, aziendali e talvolta critiche, e sostiene che questi dati vengano utilizzati dalle agenzie di intelligence occidentali, anche nel contesto della lotta alla Russia.
Alla luce di ciò, conclude che, a suo avviso, “saranno necessarie ulteriori restrizioni al servizio di messaggistica”.
L'articolo La Russia sta deteriorando la connettività WhatsApp e si prevede che presto verrà bloccato proviene da Red Hot Cyber.
USB DAC Comes With Graphic EQ
[shiura] had a problem — they wanted a nice high-quality audio output for their computer, but they didn’t fancy any of the DACs that were readily available on the market. They specifically wanted one that was affordable, capable, and included a graphic equalizer so they could simply hook it up to a regular amplifier and dial in the perfect sound. When they couldn’t find such a device, they decided to build their own.
The build is based around a Raspberry Pi Pico, chosen for its feature set that makes it easy to configure as a USB audio device. It’s paired with a Waveshare Pico Audio module, which is based on the PCM5101A stereo DAC and slots neatly on top of the microcontroller board. An SPI-controlled LCD screen was also fitted in order to display the graphic equalizer interface that [shiura] whipped up. The project write-up explains the code required to implement the equalizer in detail. A four-channel equalizer was possible on the original Pi Pico (RP2040), while upgrading to a more powerful Pi Pico 2 (RP2350) allowed implementing eight channels in total.
If you’re looking to build a digital audio system with the ability to do some equalization to suit your listening room, this might be a project of interest to you. We’ve featured other projects in this realm before, too.
youtube.com/embed/eDUhabNW9hQ?…
Hackaday Podcast Episode 347: Breaking Kindles, Baby’s First Synth, and Barcodes!
This week, Hackaday’s Elliot Williams and Kristina Panos met up over coffee to bring you the latest news, mystery sound, and of course, a big bunch of hacks from the previous seven days or so.
On What’s That Sound, Kristina got sort of close, but of course failed spectacularly. Will you fare better and perhaps win a Hackaday Podcast t-shirt? Mayhap you will.
After that, it’s on to the hacks and such, beginning with an interesting tack to take with a flat-Earther that involves two gyroscopes. And we take a look at the design requirements when it comes to building synths for three-year-olds.
Then we discuss several awesome hacks such as a vehicle retrofit to add physical heated seat controls, an assistive radio that speaks the frequencies, and an acoustic radiometer build. Finally, we look at the joys of hacking an old Kindle, and get a handle on disappearing door handles.
Check out the links below if you want to follow along, and as always, tell us what you think about this episode in the comments!
html5-player.libsyn.com/embed/…
Download in DRM-free MP3 and savor at your leisure.
Where to Follow Hackaday Podcast
Places to follow Hackaday podcasts:
Episode 347 Show Notes:
News:
- No news is good news! So we talk about Thanksgiving and what we’ve learned recently.
What’s that Sound?
Interesting Hacks of the Week:
- Measuring Earth’s Rotation With Two Gyroscopes
- Baby’s First Synth Was Daddy’s First Project
- Barcodes, “Lasers”, And Fourier Transforms
- Retrofits Done Right: Physical Controls For Heated Seats
- Expensive Batteries Hide Cheap Tricks
- Assistive Radio Tells You What You Can’t See
Quick Hacks:
- Elliot’s Picks:
- A PCB Can Be A Hydrofoil, If It Really Wants To
- There’s Nothing Backwards About This Laser Cut Retrograde Clock
- Building An Acoustic Radiometer
- Kristina’s Picks:
- DIY TENS Machine Is A Pain-Relief PCB
- DIY Polyphonic Synth Sings In 8-Part Harmony
- Handling Human Waste In The Sky
Can’t-Miss Articles:
- The Unexpected Joys Of Hacking An Old Kindle
- Chinese Regulators May Kill Retractable Car Door Handles That Never Should Have Existed
hackaday.com/2025/11/28/hackad…
Rapporto di valutazione di chatcontrol: la Commissione UE non riesce ancora una volta a dimostrare l’efficacia della sorveglianza di massa di foto e video personali intimi
Trovate qui la traduzione del post che Patrick Breyer ha pubblicato oggi L’attuale pressione del Consiglio dell’UE per rendere permanente il Chat Control 1.0 (Regolamento (UE) 2021/1232) è giuridicamente ed eticamente sconsiderata. La stessa relazione di valutazione del 2025 della Commissione ammette un fallimento totale nella raccolta dei dati, l’incapacità di collegare la sorveglianza di…
Bosnia: un paese sospeso tra fratture etniche, disillusione politica e nuove lotte ambientali
@Notizie dall'Italia e dal mondo
Dopo decenni di paralisi politica e separazioni istituzionali, comitati e comunità locali guidano una nuova stagione di mobilitazioni contro le mini-centrali e la svendita del territorio.
L'articolo Bosnia: un paese
Notizie dall'Italia e dal mondo reshared this.
"In vacanza fino al 20”: come una nota WhatsApp può rovinarti la vita
Negli anni ’80 ci insegnavano che il pericolo arrivava dalle cabine telefoniche e dai punk con il coltellino. Oggi, invece, arriva da un dettaglio messo nello stato di WhatsApp. Una nota. Una frase. Una data. Un indizio per chi sa leggerlo.
Con le nuove Activity Notes di WhatsApp — micro-frasi che restano visibili per 24 ore e diventano parte del profilo — si apre una nuova superficie di attacco. Nulla di “drammatico” in sé, ma tutto diventa significativo quando lo guardi con gli occhi dell’OSINT, della social engineering e della deception analysis
reshared this
La nuova piattaforma di Fincantieri punta su flessibilità e missioni subacquee
@Notizie dall'Italia e dal mondo
Fincantieri ha annunciato che fornirà alla Marina militare una nuova unità di supporto che dovrà incrementare notevolmente la versatilità operativa della flotta. L’iniziativa è volta a rafforzare la capacità italiana di intervenire in ambienti marittimi complessi
Notizie dall'Italia e dal mondo reshared this.
simona
in reply to simona • •