Recentemente i ricercatori di sicurezza del TIM Red Team Research, il laboratorio che si occupa di attività di Ethical Hacking, Bug Hunting e Ricerca in ambito Offensive all’interno di TIM, hanno scoperto una falla critica sul prodotto Webmin.
Si tratta di un prodotto open source che consente di amministrare server Linux tramite interfaccia grafica via web. La vulnerabilità, catalogata con ID CVE-2026-49103 è stata valutata dal MITRE con CVSS v4 pari a 9.4, quindi severity Critical. Si tratta di una vulnerabilità di tipo CWE-24 – Path Traversal: ‘../filedir’.
Cos’è Webmin e perché è importante
Webmin è un prodotto open source ampiamente diffuso. I dati ufficiali parlano di circa un milione di installazioni annuali e una base complessiva stimata in milioni di istanze. Tale diffusione aumenta drasticamente il rischio di un’esposizione a vulnerabilità su larga scala.
Inoltre, questo software risulta censito nel Technical Reference Model (TRM) del Department of Veterans Affairs (VA) statunitense. Per comprendere l’importanza di questo dato, occorre sapere che il Veterans Affairs è un dipartimento federale del governo degli Stati Uniti responsabile dell’erogazione di alcuni servizi per i veterani.
Si tratta di una organizzazione molto grande e complessa che supporta milioni di utenti attraverso il sistema sanitario dedicato ai veterani (uno dei più grandi sistemi sanitari al mondo), pensioni e invalidità compreso il supporto per le famiglie dei militari, programmi educativi e di agevolazioni abitative. Ciò conferma che il tool è utilizzato da agenzie federali USA, seppur con determinate restrizioni.
Qualche accenno su TIM Red Team Research
Abbiamo parlato spesso di zero-day in questo spazio. Alcune delle vulnerabilità più pericolose non sono ancora note al pubblico, e soprattutto ai vendor e maintainer di prodotto, nel momento in cui vengono scoperte. Sono falle invisibili, che possono essere sfruttate silenziosamente da malintenzionati prima ancora che esista una difesa.
È proprio questo il motivo che ha spinto il TIM Red Team Research, il laboratorio di ricerca di TIM, ad occuparsi della scoperta di vulnerabilità zero-day da diversi anni: errori nel codice che nessuno ha ancora segnalato, e che proprio per questo rappresentano uno dei rischi più critici per aziende, governi e la comunità in generale.
Attraverso attività di analisi avanzata, reverse engineering e testing mirato, il team individua questi “errori” nei prodotti selezionati per l’analisi, contribuendo a mitigare rischi che potrebbero avere un impatto su larga scala. Ma non basta la scoperta: ogni vulnerabilità viene gestita secondo processi strutturati di Coordinated Vulnerability Disclosure, in collaborazione con vendor, maintainer e enti internazionali.
Per dare un’evidenza del grande lavoro svolto, dalla fine del 2019 ad oggi, il TIM RTR ha contribuito alla pubblicazione di oltre 200 CVE, di cui 18 con severity critical.
La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su
bug,
data breach e
minacce globali. Ogni contenuto è validato dalla nostra community di esperti come
Pietro Melillo,
Massimiliano Brolli,
Sandro Sana,
Olivia Terragni e
Stefano Gazzella.
Grazie alla sinergia con i nostri
Partner leader nel settore (tra cui
Accenture,
CrowdStrike,
Trend Micro e
Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa
peer-review tecnica.