Scoperte relative al CVE

Sfoglia l'elenco degli avvisi sulla sicurezza delle identità individuati dal Semperis Identity Security Research Team, composto da esperti di ricerca sulle minacce riconosciuti a livello mondiale. Per ulteriori informazioni sul nostro programma di ricerca, consulta la Libreria di ricerca sulla sicurezza dell'identità.

Tutti i livelli di gravità
  • Tutti i livelli di gravità
  • Importante
  • Alto
  • Critico
Le ultime notizie per prime
  • Le ultime notizie per prime
  • I più vecchi per primi
ID CVE Descrizione Prodotto interessato Tipo di vulnerabilità CWE Punteggio CVSS
Gravità
  • Tutti
  • Importante
  • Alto
  • Critico
Pubblicato
  • Le ultime notizie per prime
  • I più vecchi per primi
Aggiornato da
CVE-2022-37994 Vulnerabilità relativa all'elevazione dei privilegi nel client delle preferenze dei criteri di gruppo di Windows — correlata alla vulnerabilità CVE-2022-37993, che consente l'elevazione dei privilegi in locale tramite lo stesso componente del client delle preferenze dei criteri di gruppo. Windows 10/11, Windows Server 2008–2022 Elevazione dei privilegi CWE-264 / CWE-284 (Autorizzazioni, privilegi e controlli di accesso). 7.8 Alto 11 ottobre 2022 Microsoft (Patch Tuesday di ottobre 2022)
CVE-2022-37993 Vulnerabilità relativa all'elevazione dei privilegi nel client delle preferenze dei criteri di gruppo di Windows — consente a un aggressore locale autenticato di ottenere privilegi elevati sfruttando le vulnerabilità del client delle preferenze dei criteri di gruppo. Windows 10/11, Windows Server 2008–2022 Elevazione dei privilegi CWE-264 / CWE-284 (Autorizzazioni, privilegi e controlli di accesso). 7.8 Alto 11 ottobre 2022 Microsoft (Patch Tuesday di ottobre 2022)
CVE-2024-38100 Vulnerabilità di elevazione dei privilegi in Esplora file di Windows — sfrutta l'oggetto DCOM ShellWindows ({9BA05972-F6A8-11CF-A442-00A0C90A8F39}) per elevare i privilegi e sottrarre gli hash NetNTLM da qualsiasi sessione (tecnica FakePotato). Windows Server 2016/2019/2022 Elevazione dei privilegi CWE-284 (Controllo degli accessi inadeguato). 7.8 Alto 9 luglio 2024 Microsoft (Patch Tuesday di luglio 2024, KB5040434)
CVE-2023-21746 Vulnerabilità di elevazione dei privilegi NTLM di Windows (LocalPotato) — sfrutta una falla nell'autenticazione locale NTLM (attacco di riflessione NTLM), consentendo la lettura e la scrittura arbitraria di file e l'elevazione dei privilegi. Windows 10/11, Windows Server 2012–2022 Elevazione dei privilegi CWE-284 / CWE-269 (Controllo degli accessi inadeguato / Gestione dei privilegi). 7.8 Alto 10 gennaio 2023 Microsoft (Patch Tuesday di gennaio 2023)
CVE-2022-37975 Vulnerabilità relativa all’elevazione dei privilegi nei Criteri di gruppo di Windows — consente a un aggressore autenticato di elevare i propri privilegi sfruttando una falla nell’elaborazione dei Criteri di gruppo di Windows; il punteggio CVSS è più elevato rispetto alle varianti di Preference Client. Windows 10 v1809 e versioni successive, Windows Server 2019/2022 Elevazione dei privilegi CWE-269 (Gestione impropria dei privilegi). 8.8 Alto 10 novembre 2022 Microsoft (Patch Tuesday di novembre 2022)
CVE-2022-37992 Vulnerabilità relativa all'elevazione dei privilegi nei Criteri di gruppo di Windows — un utente malintenzionato locale autenticato può sfruttare le vulnerabilità nell'elaborazione dei Criteri di gruppo per passare da un utente con privilegi limitati a un accesso di alto livello. Windows 10/11 (multiple versions)<br>Windows Server 2012–2022 Elevazione dei privilegi CWE-264 / CWE-284 (Autorizzazioni, privilegi e controlli di accesso). 7.8 Importante 8 novembre 2022 Microsoft (Patch Tuesday di novembre 2022)
CVE-2025-58726 Vulnerabilità relativa all'elevazione dei privilegi nel server SMB di Windows — un controllo degli accessi non corretto nel componente server SMB consente a un aggressore di rete autorizzato con privilegi limitati di elevare i propri privilegi da remoto senza l'intervento dell'utente. Windows 10 v1507 (e versioni successive) Elevazione dei privilegi CWE-284 (Controllo degli accessi inadeguato). 7.5 Alto 14 ottobre 2025 Microsoft (Patch Tuesday di ottobre 2025)
CVE-2025-64669 Vulnerabilità di elevazione dei privilegi in Windows Admin Center — permessi di directory non sicuri in Windows Admin Center (fino alla versione 2.4.2.1 / WAC 2411) consentono a un utente locale con privilegi limitati di elevare i propri privilegi al livello SYSTEM. Windows Admin Center ≤ 2.4.2.1 (WAC 2411) Elevazione dei privilegi CWE-284 (Controllo degli accessi inadeguato). 7.8 Alto 11 dicembre 2025 Microsoft (Patch Tuesday di dicembre 2025)
CVE-2026-20929 Vulnerabilità relativa all'elevazione dei privilegi in HTTP.sys di Windows — un controllo degli accessi non corretto in HTTP.sys di Windows consente a un malintenzionato autorizzato in rete di elevare i propri privilegi; correzione fondamentale che ha retroapplicato i requisiti EPA (Extended Protection for Authentication). Windows (varie versioni) Elevazione dei privilegi CWE-284 (Controllo degli accessi inadeguato). 7.6 Alto 13 gennaio 2026 Microsoft (Patch Tuesday di gennaio 2026)
CVE-2026-21529 Vulnerabilità di spoofing in Azure HDInsight – Una neutralizzazione non corretta dei dati in ingresso durante la generazione delle pagine web (“cross-site scripting”) in Azure HDInsight consente a un malintenzionato autorizzato di eseguire operazioni di spoofing su una rete. Azure HDInsight Spoofing CWE-79 (Neutralizzazione impropria dei dati in ingresso durante la generazione di pagine web / Cross-Site Scripting). 5.7 Importante 10 febbraio 2026 Microsoft (Patch Tuesday di febbraio 2026)
CVE-2026-26119 Vulnerabilità relativa all'elevazione dei privilegi in Windows Admin Center — bug di escalation dei privilegi di tipo network-based in Windows Admin Center; risolto con una patch fuori banda dopo la correzione del kernel HTTP.SYS di gennaio 2026; introdotta la funzione SetProperty(HttpServerChannelBindProperty) per l'applicazione del CBT. Windows Admin Center Elevazione dei privilegi CWE-287 (Autenticazione non corretta) 8.8 Critico 17 febbraio 2026 Microsoft (aggiornamento OOB di febbraio 2026)
CVE-2026-25177 Vulnerabilità di elevazione dei privilegi in Active Directory Domain Services – Una limitazione non corretta dei nomi dei file e di altre risorse in Active Directory Domain Services consente a un malintenzionato autorizzato di elevare i propri privilegi sulla rete. Windows 10/11, Windows Server 2012–2025 Elevazione dei privilegi CWE-641 (Restrizione impropria dei nomi dei file e di altre risorse). 8.8 Importante 10 marzo 2026 Microsoft (Patch Tuesday di marzo 2026)
CVE-2026-23669 Vulnerabilità nell'esecuzione di codice remoto nel runtime RPC di Windows — Una vulnerabilità di tipo "use-after-free" nel runtime RPC consente a un malintenzionato autorizzato di eseguire codice arbitrario tramite la rete. Windows (varie versioni) Esecuzione remota di codice CWE-416 (Utilizzo dopo liberazione). 8.8 Alto 10 marzo 2026 Microsoft (Patch Tuesday di marzo 2026)
CVE-2026-27912 Vulnerabilità di elevazione dei privilegi in Windows Kerberos – Un’autorizzazione non corretta in Windows Kerberos consente a un aggressore autorizzato di elevare i propri privilegi su una rete adiacente. Windows Server 2012–2025 Elevazione dei privilegi CWE-285 (Autorizzazione non corretta) 8.0 Importante 13 aprile 2026 Microsoft (Patch Tuesday di aprile 2026)