Un triplo allarme scuote gli amministratori IT: sono emerse tre vulnerabilità critiche, di cui due già attivamente sfruttate dagli hacker per prendere il controllo totale dei server. Le minacce più gravi (con punteggio CVSS 9.8) colpiscono i siti basati su MetInfo CMS (CVE-2026-29014) e la piattaforma aziendale Weaver E-cology (CVE-2026-22679), permettendo la pericolosa esecuzione di codice remoto (RCE) senza alcuna necessità di autenticazione. A queste si aggiunge una insidiosa falla di privilege escalation nell’agente di Amazon WorkSpaces per Windows (CVE-2026-7791), che consente agli aggressori di elevare i propri permessi fino al livello SYSTEM. L’urgenza è massima: le organizzazioni devono applicare immediatamente le patch di sicurezza rilasciate dai vendor per bloccare i takeover e impedire il furto di dati aziendali.
Cosa leggere
MetInfo CMS espone RCE non autenticata tramite endpoint Weixin
La vulnerabilità CVE-2026-29014 in MetInfo CMS consente esecuzione di codice remoto senza autenticazione nelle versioni 7.9, 8.0 e 8.1. Il problema deriva da una mancata sanitizzazione degli input nello script weixinreply.class.php, utilizzato nell’integrazione con API WeChat. Gli attaccanti inviano richieste craftate all’endpoint Weixin per iniettare codice PHP arbitrario, ottenendo controllo completo del server. L’exploit richiede la presenza della directory cache/weixin, configurazione comune in installazioni standard. Questo rende il vettore altamente sfruttabile su larga scala, soprattutto in ambienti Linux dove il CMS è ampiamente diffuso secondo quanto scoperto da Egidio Romano.
Attacchi attivi su MetInfo aumentano il rischio di compromissione massiva
Gli exploit contro MetInfo CMS sono attivi dalla fine di aprile 2026 e hanno registrato un aumento significativo a inizio maggio. Gli attaccanti automatizzano le scansioni per individuare istanze vulnerabili, con un focus su infrastrutture asiatiche. Le circa duemila installazioni esposte rappresentano un target facilmente scalabile. Una volta compromesso il sistema, gli aggressori possono installare backdoor, esfiltrare dati o utilizzare il server come punto di pivot verso reti interne. La patch rilasciata dal vendor corregge la sanificazione degli input e blocca l’iniezione, ma molte installazioni restano non aggiornate. Il rischio principale è la compromissione silenziosa senza interazione utente.
Weaver E-cology consente RCE via API debug non autenticata
La vulnerabilità CVE-2026-22679 colpisce Weaver E-cology 10.0 nelle versioni precedenti al 12 marzo 2026. Il problema risiede nell’endpoint /papi/esearch/data/devops/dubboApi/debug/method, che consente esecuzione di comandi arbitrari tramite parametri controllati dall’attaccante come interfaceName e methodName. L’assenza di autenticazione trasforma questa API in un punto di accesso diretto al sistema. Gli attaccanti possono eseguire comandi, scaricare payload e installare malware senza credenziali. Il vendor ha corretto la falla nella release 20260312, ma il breve intervallo tra patch e exploit attivo dimostra quanto rapidamente gli aggressori sfruttino vulnerabilità pubbliche.
Exploit su Weaver E-cology abilitano attacchi enterprise completi
Le attività malevole su Weaver E-cology mostrano catene di attacco strutturate. Dopo l’accesso iniziale tramite RCE, gli aggressori eseguono comandi di ricognizione come whoami, ipconfig e tasklist, quindi tentano download di payload e installazioni tramite script PowerShell. La piattaforma è ampiamente utilizzata in ambienti aziendali per flussi di lavoro e gestione documentale, rendendo l’impatto particolarmente elevato. Un sistema compromesso può esporre dati sensibili, interrompere operazioni e facilitare movimenti laterali. L’aggiornamento alla versione corretta elimina l’accesso non autenticato all’endpoint debug e riduce drasticamente la superficie di attacco.
AWS WorkSpaces permette escalation a SYSTEM tramite race condition
La vulnerabilità CVE-2026-7791 interessa Amazon WorkSpaces su Windows e coinvolge il servizio Amazon Skylight Workspace Config Service. Il problema è una race condition TOCTOU durante la gestione dei log, che consente a un utente locale non privilegiato di ottenere accesso a livello SYSTEM. Questo tipo di escalation risulta particolarmente critico in ambienti multiutente o desktop virtuali condivisi. L’attaccante, una volta ottenuto accesso base, può sfruttare la vulnerabilità per controllare completamente il sistema. AWS ha risolto il problema con la versione 2.6.2034.0 dell’agente, correggendo il meccanismo di sincronizzazione.
Impatto della vulnerabilità AWS in ambienti cloud e virtual desktop
Amazon WorkSpaces è utilizzato da migliaia di organizzazioni per ambienti di desktop virtuale, spesso con utenti multipli e accessi distribuiti. In questo contesto, una vulnerabilità di privilege escalation rappresenta un rischio sistemico, perché consente a un singolo utente compromesso di assumere controllo completo della macchina. Questo può portare a furto di dati, installazione di malware o compromissione dell’intero ambiente virtuale. L’aggiornamento dell’agente Skylight è quindi essenziale per mantenere la sicurezza del workspace. La natura locale della vulnerabilità non ne riduce la gravità, soprattutto in ambienti enterprise con accessi condivisi.
Azioni immediate per mitigare le vulnerabilità critiche
Gli amministratori devono adottare un piano di patching immediato e coordinato su tutti i sistemi coinvolti. Le installazioni di MetInfo CMS devono essere aggiornate per eliminare la RCE non autenticata, verificando anche la presenza della directory cache/weixin. I sistemi Weaver E-cology devono essere portati almeno alla versione 20260312 per chiudere l’endpoint debug vulnerabile. Gli ambienti Amazon WorkSpaces devono aggiornare l’agente alla versione 2.6.2034.0 per bloccare la privilege escalation. Oltre agli aggiornamenti, è fondamentale monitorare log, traffico di rete e accessi sospetti per identificare eventuali compromissioni già avvenute.
Impatti sulla sicurezza enterprise tra web piattaforme e cloud
Queste tre vulnerabilità evidenziano come attacchi diversi possano convergere in scenari di compromissione completa. Le RCE critiche su MetInfo e Weaver consentono accesso remoto diretto, mentre la vulnerabilità AWS facilita l’escalation interna. Gli attaccanti possono combinare questi vettori per costruire catene di attacco complesse, passando da un punto di ingresso web a un controllo totale del sistema. Il panorama del 2026 conferma che le vulnerabilità vengono sfruttate rapidamente dopo la disclosure, riducendo drasticamente la finestra di risposta. Il patching tempestivo e la riduzione della superficie esposta restano le difese più efficaci.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
