Salta al contenuto
PL Consulting
IT DE
Parla con un consulente

← Tutte le novità

Novità ACN/CSIRT

Risolte Vulnerabilità Critiche (DoS) in Prodotti Spring: Azioni Immediate Necessarie

8 giugno 2026

Fonte ACN / CSIRT Italia ↗

In sintesi

L’ACN / CSIRT Italia ha emesso un allarme (AL07/260608/CSIRT-ITA) segnalando la risoluzione di due vulnerabilità di sicurezza con gravità “alta” nei prodotti Spring, specificamente nella libreria Micrometer. Pubblicata l’8 giugno 2026, la notifica evidenzia l’importanza di applicare gli aggiornamenti forniti per mitigare rischi significativi associati a queste criticità.

Le vulnerabilità riguardano Micrometer, una libreria di raccolta metriche utilizzata nel framework open-source Java Spring, e sono di tipo Denial of Service (DoS). Le versioni affette includono diverse iterazioni di Micrometer (1.16.x, 1.15.x, 1.14.x, 1.13.x, 1.9.x), micrometer-core, micrometer-jetty11 e micrometer-jetty12, tutte precedenti a specifiche patch (es. 1.16.6, 1.15.12). Sono state identificate con i codici CVE-2026-40983 e CVE-2026-40984, con i bollettini di sicurezza disponibili sul sito di Spring.

La risoluzione di vulnerabilità di “alta” gravità, specialmente quelle DoS, è cruciale per tutte le organizzazioni che impiegano i prodotti Spring e Micrometer. Un attacco DoS può paralizzare le operazioni, rendendo inaccessibili servizi essenziali, siti web o applicazioni critiche, con conseguenti perdite finanziarie, danni reputazionali e violazioni degli SLA. Per le aziende che trattano dati personali, l’indisponibilità dei sistemi può compromettere l’erogazione dei servizi e, indirettamente, la protezione dei dati e i diritti degli interessati, anche se non si tratta di una violazione diretta della riservatezza.

Sebbene il testo non citi GDPR o NIS2, la gestione proattiva delle vulnerabilità software è un requisito fondamentale per la compliance in privacy e cybersecurity. Le organizzazioni devono implementare misure tecniche e organizzative adeguate per garantire la sicurezza dei trattamenti e la resilienza dei sistemi. La mancata applicazione tempestiva delle patch a vulnerabilità note e di alta gravità può essere considerata una mancanza di dovuta diligenza, con possibili ripercussioni in termini di responsabilità e sanzioni, specialmente per le entità ricadenti nel perimetro NIS2.

ACN / CSIRT Italia raccomanda l’aggiornamento immediato dei prodotti Micrometer e Spring vulnerabili, seguendo le indicazioni dei bollettini di sicurezza ufficiali di Spring.

  • Identificare le istanze vulnerabili nell’ambiente.
  • Pianificare e applicare gli aggiornamenti secondo le linee guida del vendor.
  • Verificare l’effettiva risoluzione post-aggiornamento.
  • Mantenere un processo di monitoraggio continuo per nuove vulnerabilità e patch.

Leggi l'articolo originale su ACN / CSIRT Italia ↗