GitHub ha risolto una vulnerabilità critica, catalogata come CVE-2026-3854, che interessa sia l’infrastruttura cloud sia le installazioni on-premise di GitHub Enterprise Server (GHES). La falla risiede in una gestione impropria delle push options durante le operazioni di git push. Tali parametri opzionali, forniti dal client, venivano incorporati in un flusso di metadati interno senza una sanitizzazione adeguata del carattere delimitatore (;).

L’impatto è elevato perché deriva da un errore di fiducia tra componenti interni e può portare alla compromissione dei repository, soprattutto in ambienti GitHub Enterprise Server.

In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 130 campagne malevole, di cui 96 con obiettivi italiani e 34 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 1088 indicatori di compromissione (IoC) individuati.

In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 128 campagne malevole, di cui 96 con obiettivi italiani e 32 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 1337 indicatori di compromissione (IoC) individuati.

In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 117 campagne malevole, di cui 90 con obiettivi italiani e 27 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 2313 indicatori di compromissione (IoC) individuati.

Il CERT-AGID ha rilevato una campagna di phishing ai danni dell’Agenzia delle Entrate che mira a carpire le credenziali di accesso degli utenti. Ciò che distingue questa campagna da altre precedenti è che è particolarmente mirata a Pubbliche Amministrazioni, oltre che ad aziende private.

Due giorni fa, Microsoft ha diramato un’allerta globale su una nuova e sofisticata campagna di phishing che sfrutta l’intelligenza artificiale per colpire gli account aziendali. Come CERT-AgID, abbiamo già raccolto prove che confermano come questa minaccia stia prendendo di mira anche la Pubblica Amministrazione italiana.

In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 114 campagne malevole, di cui 83 con obiettivi italiani e 31 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 1170 indicatori di compromissione (IoC) individuati.

È stato rilasciato un archivio RAR contenente documenti di identità di cittadini italiani attraverso un canale Telegram attivo dal novembre 2025 che si firma con il nome “Anonymous Algeria“. Al momento non è possibile attribuire con certezza tale attività al noto collettivo, né escludere che si tratti di un soggetto terzo che ne utilizzi il […]

Il rischio non deriva da un exploit tradizionale, ma dall’esposizione di un canale di comunicazione privilegiato senza autenticazione obbligatoria e senza valori di default sicuri.

L’esposizione non autenticata del servizio in rete deve quindi essere considerata una configurazione ad alto rischio e non coerente con un utilizzo sicuro del componente.

In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 127 campagne malevole, di cui 91 con obiettivi italiani e 36 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 1018 indicatori di compromissione (IoC) individuati.