Maggio 2026 segna un periodo critico per la sicurezza di Linux, server web e infrastrutture enterprise. Un nuovo exploit pubblico chiamato DirtyDecrypt permette l’escalation a root su sistemi Linux con CONFIG_RXGK abilitato mentre NGINX CVE-2026-42945 viene sfruttato attivamente in-the-wild con attacchi che causano crash dei worker e possibili esecuzioni di codice remoto. Nello stesso periodo Ivanti, Fortinet, SAP, VMware e n8n rilasciano patch per vulnerabilità ad alto rischio tra cui RCE, SQL injection e privilege escalation. Anche AWS corregge CVE-2026-8686 nella libreria coreMQTT per evitare denial-of-service in ambienti IoT. Gli aggiornamenti riguardano kernel Linux, server NGINX, piattaforme enterprise, container e sistemi cloud. Gli amministratori devono applicare le correzioni immediatamente per evitare compromissioni complete dei sistemi e possibili attacchi remoti.
Cosa leggere
DirtyDecrypt concede privilegi root sui kernel Linux moderni
I ricercatori del team V12 Security rendono pubblico un proof-of-concept per DirtyDecrypt, conosciuta anche come DirtyCBC. La vulnerabilità colpisce il modulo rxgk del kernel Linux a causa di una mancata protezione Copy-On-Write nella funzione rxgk_decrypt_skb. Questo difetto consente una scrittura arbitraria nella pagecache del kernel e permette l’escalation di privilegi fino a root. L’exploit funziona su kernel recenti con CONFIG_RXGK abilitato, inclusi sistemi Fedora, Arch Linux e openSUSE Tumbleweed. Il PoC pubblicato su GitHub risulta affidabile nei sistemi testati e aumenta significativamente il rischio di sfruttamento reale. Il bug era già stato corretto nel kernel mainline il 25 aprile 2026 come CVE-2026-31635, ma numerosi sistemi risultano ancora vulnerabili perché non aggiornati. Gli amministratori devono verificare immediatamente la presenza di CONFIG_RXGK e installare kernel aggiornati per bloccare escalation locali a root che potrebbero compromettere interamente host Linux enterprise e workstation.
NGINX CVE-2026-42945 viene sfruttato attivamente in-the-wild
NGINX Plus e NGINX Open Source risultano vulnerabili a CVE-2026-42945, un heap buffer overflow presente nel modulo ngx_http_rewrite_module dalle versioni 0.6.27 fino a 1.30.0. Gli attaccanti inviano richieste HTTP appositamente costruite per causare il crash dei processi worker o, in configurazioni con ASLR disabilitato, ottenere esecuzione di codice remoto. I ricercatori di VulnCheck confermano attività di sfruttamento reale contro honeypot pubblici, segnalando che la vulnerabilità viene già utilizzata in attacchi in-the-wild. F5 ha rilasciato aggiornamenti di sicurezza per correggere il problema e invita gli amministratori ad applicare immediatamente le patch disponibili. Il bug, introdotto originariamente nel 2008, dimostra come vulnerabilità storiche possano restare nascoste per anni e diventare improvvisamente pericolose quando vengono riscoperte e sfruttate attivamente. Per le infrastrutture web enterprise che utilizzano NGINX come reverse proxy o web server, il rischio di denial-of-service e compromissione completa è estremamente elevato.
Ivanti, Fortinet, SAP e VMware rilasciano aggiornamenti critici
Il 18 maggio 2026 diversi vendor enterprise pubblicano contemporaneamente patch di sicurezza ad alta priorità. Ivanti Xtraction corregge CVE-2026-8043 con punteggio CVSS 9.6, vulnerabilità che permette ad attaccanti autenticati di leggere file sensibili e scrivere codice HTML arbitrario. Fortinet corregge invece due vulnerabilità RCE con CVSS 9.1 che colpiscono FortiAuthenticator e FortiSandbox. Anche SAP distribuisce aggiornamenti per CVE-2026-34260, una SQL injection su S/4HANA, e CVE-2026-34263, un bypass di autenticazione su Commerce Cloud che porta a code injection. VMware Fusion elimina invece CVE-2026-41702, una vulnerabilità TOCTOU che consente escalation locale a root. La concentrazione simultanea di patch critiche dimostra quanto l’ecosistema enterprise resti esposto a vulnerabilità severe che possono compromettere ambienti di autenticazione, ERP, virtualizzazione e sicurezza aziendale.
n8n corregge vulnerabilità RCE e prototype pollution
La piattaforma di automazione workflow n8n corregge cinque vulnerabilità ad alto rischio con punteggio fino a CVSS 9.4. I bug includono problemi di prototype pollution, remote code execution e CLI flag injection che potrebbero consentire a un attaccante di compromettere completamente istanze esposte pubblicamente. n8n viene sempre più utilizzata in ambienti DevOps, integrazione API e orchestrazione automatizzata di workflow enterprise, rendendo queste vulnerabilità particolarmente sensibili. Le patch sono già disponibili e gli amministratori devono aggiornare immediatamente tutte le installazioni esposte su internet o integrate con sistemi critici aziendali. La crescente popolarità delle piattaforme low-code e automation rende infatti queste tecnologie bersagli sempre più appetibili per attaccanti interessati a ottenere accesso laterale a reti enterprise e infrastrutture cloud collegate.
AWS corregge CVE-2026-8686 nella libreria coreMQTT
AWS pubblica il security bulletin 2026-032 per correggere CVE-2026-8686, vulnerabilità classificata come Important nella libreria coreMQTT. Il problema consiste in un heap out-of-bounds read durante il parsing delle proprietà MQTT v5.0. Un broker MQTT malevolo può sfruttare il bug inviando pacchetti crafted capaci di causare crash dell’applicazione e denial-of-service. La vulnerabilità colpisce la versione 5.0.0 della libreria mentre la correzione arriva con coreMQTT 5.0.1. AWS raccomanda l’aggiornamento immediato su dispositivi embedded, firmware IoT e fork personalizzati che utilizzano la libreria vulnerabile. L’importanza di MQTT negli ambienti IoT industriali e nelle comunicazioni machine-to-machine rende questo tipo di vulnerabilità particolarmente delicato. Un semplice crash ripetuto potrebbe infatti compromettere stabilità e disponibilità di reti industriali o dispositivi smart distribuiti su larga scala.
Linux, container e cloud restano bersagli prioritari
Le vulnerabilità pubblicate nel maggio 2026 mostrano chiaramente come kernel Linux, infrastrutture cloud e piattaforme container continuino a rappresentare target privilegiati per la ricerca offensiva e per gli attaccanti reali. DirtyDecrypt dimostra che bug a livello kernel possono ancora portare a compromissioni complete tramite escalation locali mentre NGINX CVE-2026-42945 evidenzia il rischio associato a software storicamente presenti nell’infrastruttura internet globale. La presenza simultanea di vulnerabilità in VMware, Fortinet, SAP, Ivanti e ambienti MQTT indica inoltre quanto la superficie d’attacco enterprise sia ormai distribuita tra cloud, networking, automazione e sistemi industriali. Gli amministratori devono quindi adottare un approccio di patch management molto più rapido rispetto al passato, soprattutto quando exploit pubblici o attività in-the-wild vengono confermati dai ricercatori di sicurezza.
DirtyDecrypt e NGINX rappresentano minacce immediate
Tra tutte le vulnerabilità emerse, DirtyDecrypt e NGINX CVE-2026-42945 rappresentano le minacce più urgenti. Nel primo caso esiste già un exploit pubblico disponibile su GitHub che permette escalation a root su diversi sistemi Linux moderni. Nel secondo caso sono stati osservati tentativi di sfruttamento reali contro server esposti pubblicamente. Questo significa che le organizzazioni vulnerabili potrebbero essere compromesse già nelle prossime ore. Gli amministratori di sistemi Linux, server web enterprise e ambienti cloud devono quindi verificare immediatamente i propri asset, identificare versioni vulnerabili e distribuire aggiornamenti prioritari. Ritardare le patch significa esporsi concretamente a root access, esecuzione di codice remoto, denial-of-service e compromissioni complete di sistemi critici.
Le patch rapide diventano fondamentali per la sicurezza enterprise
L’ondata di vulnerabilità del maggio 2026 conferma che il tempo medio tra disclosure pubblica ed exploitation reale continua a ridursi drasticamente. La disponibilità immediata di exploit pubblici, proof-of-concept e scanner automatici consente agli attaccanti di colpire sistemi vulnerabili entro poche ore dalla pubblicazione delle CVE. Per questo motivo le aziende non possono più permettersi cicli di patching lenti o processi di aggiornamento mensili tradizionali. Vulnerabilità come DirtyDecrypt, NGINX CVE-2026-42945 e le RCE corrette da Fortinet, SAP e Ivanti dimostrano che infrastrutture enterprise, cloud e Linux richiedono aggiornamenti continui e monitoraggio costante. Le organizzazioni che gestiscono workload critici devono integrare vulnerability management, threat intelligence e automazione delle patch per ridurre la finestra di esposizione e limitare il rischio di compromissioni su larga scala.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
