2N pubblica nuove CVE per 2N Access Commander

Informazioni sulle vulnerabilità rilevate

Le vulnerabilità interessano 2N Access Commander e sono state identificate attraverso un processo di disclosure coordinato.

Alle problematiche riscontrate sono state assegnate le seguenti CVE:

• CVE-2025-59783 – OS Command Injection tramite API
• CVE-2025-59784 – Inquinamento Log - Caratteri di controllo non gestiti correttamente
• CVE-2025-59785 – API - Validazione insufficiente degli input
• CVE-2025-59786 – I cookie non vengono invalidati dopo il logout e il cambio password
• CVE-2025-59787 – Errori interni del server HTTP 5XX

Ogni record CVE contiene una descrizione standardizzata del problema con dei riferimenti ad avvisi e con delle indicazioni su come risolvere la vulnerabilità.

Desideriamo esprimere un sincero ringraziamento al team di Amazon Security per aver segnalato in modo responsabile queste problematiche direttamente a 2N. In particolare, ringraziamo Kevin Schaller e Dominik Schneider di Amazon Security per la collaborazione professionale durante l’intero processo di disclosure.

2N apprezza moltissimo i ricercatori ed i team di sicurezza che collaborano con noi per mantenere i massimi standard di sicurezza nei nostri prodotti, delle nostre soluzioni e dei nostri servizi. La disclosure responsabile e la stretta collaborazione con la comunità della sicurezza sono aspetti fondamentali per poter tutelare i nostri clienti.

Impegno per la sicurezza e la trasparenza

La pubblicazione di queste cinque CVE tramite l’account CNA di 2N rappresenta un passo importante che permette di rafforzare il nostro processo di gestione delle vulnerabilità ed anche di garantire una comunicazione trasparente con i clienti e con i partner.

Ribadiamo il nostro impegno a migliorare costantemente la sicurezza dei prodotti 2N e a rispondere con rapidità alle problematiche segnalate.

Un breve promemoria: cosa sono CVE e CNA?

CVE (Common Vulnerabilities and Exposures o vulnerabilità ed esposizioni comuni) è un sistema riconosciuto a livello globale per identificare e catalogare le vulnerabilità informatiche pubblicamente note. Ogni record CVE fornisce un riferimento standardizzato che aiuta le organizzazioni, i professionisti della sicurezza ed i fornitori a coordinare la gestione e la risoluzione delle vulnerabilità.

Una CNA (CVE Numbering Authority o autorità per la numerazione delle CVE) è un'organizzazione autorizzata ad assegnare identificativi CVE alle vulnerabilità che riguardano i propri prodotti o rientrano nel proprio ambito. Pubblicando direttamente queste CVE tramite il nostro account CNA abbiamo la possibilità di rafforzare il nostro approccio proattivo alla gestione delle vulnerabilità e alla disclosure responsabile.

Scopri di più

Per informazioni tecniche dettagliate, prodotti coinvolti, misure di mitigazione e l’elenco completo delle vulnerabilità scoperte, visita la nostra pagina ‘Security Advisory’.

Oltre a gestire le singole vulnerabilità, investiamo costantemente nella formazione in ambito di cybersecurity e nella diffusione delle best practice in modo da aiutare i nostri clienti a rafforzare la propria resilienza informatica. Per approfondire il nostro approccio generale alla sicurezza dei prodotti, i principi di cybersecurity e per ricevere raccomandazioni pratiche, ti invitiamo anche a visitare la nostra pagina ‘Cybersecurity’ ed a scaricare il nostro eBook sulla cybersecurity su cui troverai molti consigli pratici e le best practice utili per poter rafforzare la sicurezza dei tuoi sistemi.