Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
TIM Red Team Research scopre una RCE su Webmin con CVSSv4 da 9,4 su 10

TIM Red Team Research scopre una RCE su Webmin con CVSSv4 da 9,4 su 10

1 Luglio 2026 07:58
In sintesi

Il TIM Red Team Research ha scoperto una vulnerabilità critica in Webmin, un prodotto open source per l'amministrazione di server Linux. La falla, con punteggio CVSS 9.4, può esporre milioni di utenti a rischi di sicurezza.

Recentemente i ricercatori di sicurezza del TIM Red Team Research, il laboratorio che si occupa di attività di Ethical Hacking, Bug Hunting e Ricerca in ambito Offensive all’interno di TIM, hanno scoperto una falla critica sul prodotto Webmin.

Si tratta di un prodotto open source che consente di amministrare server Linux tramite interfaccia grafica via web. La vulnerabilità, catalogata con ID CVE-2026-49103 è stata valutata dal MITRE con CVSS v4 pari a 9.4, quindi severity Critical. Si tratta di una vulnerabilità di tipo CWE-24 – Path Traversal: ‘../filedir’.

Cos’è Webmin e perché è importante

Webmin è un prodotto open source ampiamente diffuso. I dati ufficiali parlano di circa un milione di installazioni annuali e una base complessiva stimata in milioni di istanze. Tale diffusione aumenta drasticamente il rischio di un’esposizione a vulnerabilità su larga scala.

Advertising

Inoltre, questo software risulta censito nel Technical Reference Model (TRM) del Department of Veterans Affairs (VA) statunitense. Per comprendere l’importanza di questo dato, occorre sapere che il Veterans Affairs è un dipartimento federale del governo degli Stati Uniti responsabile dell’erogazione di alcuni servizi per i veterani.

Si tratta di una organizzazione molto grande e complessa che supporta milioni di utenti attraverso il sistema sanitario dedicato ai veterani (uno dei più grandi sistemi sanitari al mondo), pensioni e invalidità compreso il supporto per le famiglie dei militari, programmi educativi e di agevolazioni abitative. Ciò conferma che il tool è utilizzato da agenzie federali USA, seppur con determinate restrizioni.

Qualche accenno su TIM Red Team Research

Abbiamo parlato spesso di zero-day in questo spazio. Alcune delle vulnerabilità più pericolose non sono ancora note al pubblico, e soprattutto ai vendor e maintainer di prodotto, nel momento in cui vengono scoperte. Sono falle invisibili, che possono essere sfruttate silenziosamente da malintenzionati prima ancora che esista una difesa.

È proprio questo il motivo che ha spinto il TIM Red Team Research, il laboratorio di ricerca di TIM, ad occuparsi della scoperta di vulnerabilità zero-day da diversi anni: errori nel codice che nessuno ha ancora segnalato, e che proprio per questo rappresentano uno dei rischi più critici per aziende, governi e la comunità in generale.

Attraverso attività di analisi avanzata, reverse engineering e testing mirato, il team individua questi “errori” nei prodotti selezionati per l’analisi, contribuendo a mitigare rischi che potrebbero avere un impatto su larga scala. Ma non basta la scoperta: ogni vulnerabilità viene gestita secondo processi strutturati di Coordinated Vulnerability Disclosure, in collaborazione con vendor, maintainer e enti internazionali.

Advertising

Per dare un’evidenza del grande lavoro svolto, dalla fine del 2019 ad oggi, il TIM RTR ha contribuito alla pubblicazione di oltre 200 CVE, di cui 18 con severity critical.


📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su 🔔 Google News.
Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram.
Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici


Cropped RHC 3d Transp2 1766828557 300x300
La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella. Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.