Cisco e TP-Link correggono vulnerabilità critiche tra router, switch e cloud AWS

Cisco, Talos, TP-Link, AWS e CISA pubblicano una nuova ondata di advisory che coinvolge router consumer, switch datacenter, piattaforme cloud e software VPN esposti a vulnerabilità critiche. Gli aggiornamenti del 20 maggio 2026 riguardano prodotti largamente distribuiti negli ambienti enterprise e nelle infrastrutture di rete ibride, con rischi che spaziano dal denial of service all’esecuzione di codice remoto fino all’accesso non autorizzato a risorse tenant e segreti cloud. La situazione obbliga amministratori di rete, team DevOps e responsabili della sicurezza ad accelerare i processi di patching per evitare sfruttamenti attivi. Le vulnerabilità colpiscono ambienti molto differenti tra loro ma condividono problematiche ricorrenti come validazione insufficiente degli input, parsing errato dei protocolli e gestione non sicura di configurazioni e certificati. Nel frattempo CISA aggiorna il catalogo Known Exploited Vulnerabilities aggiungendo sette nuove CVE sfruttate attivamente in-the-wild, rafforzando la pressione sulle organizzazioni affinché prioritarizzino gli aggiornamenti. Il quadro mostra ancora una volta quanto la superficie di attacco moderna dipenda dalla sicurezza della supply chain software, dai tool cloud e dai dispositivi di rete periferici.

Talos scopre vulnerabilità critiche nei router TP-Link Archer AX53

I ricercatori di Talos identificano otto vulnerabilità differenti nel router TP-Link Archer AX53 versione 1.0 build 20241120 rel.54901. Una delle falle più pericolose riguarda un buffer overflow nello stack collegato alla funzionalità tmpServer tramite opcode 0x436. Un attaccante che invia pacchetti di rete costruiti appositamente può ottenere esecuzione di codice arbitrario direttamente sul dispositivo. Altre vulnerabilità coinvolgono iniezioni di comandi OS nel processo di ripristino delle configurazioni OpenVPN. Le funzioni script_security, client_disconnect, client_connect e route_up permettono infatti di eseguire comandi arbitrari caricando configurazioni VPN malevole. Due ulteriori falle consentono lettura arbitraria di file attraverso la gestione di crt.sed e della funzione route_up, mentre un’altra command injection colpisce la funzionalità dhcpscript di dnsmasq. Queste vulnerabilità richiedono soltanto accesso alla rete locale o caricamento di file di configurazione modificati. TP-Link ha già distribuito patch correttive e gli amministratori devono aggiornare immediatamente il firmware per evitare compromissioni complete del router e della rete interna.

Adobe Photoshop e Norton VPN espongono escalation di privilegi locali

Talos rileva anche una vulnerabilità di escalation di privilegi nell’installer Microsoft Store di Adobe Photoshop versione 2.11.0.30. Un utente con privilegi limitati riesce a sostituire file durante il processo di installazione e ottenere privilegi elevati sul sistema operativo. Una vulnerabilità simile interessa anche Norton VPN di Gen Digital, distribuito attraverso Microsoft Store. In questo caso un utente con accesso limitato può sostituire file e cancellare file arbitrari con possibili scenari di privilege escalation. Le vulnerabilità vengono tracciate rispettivamente come CVE-2026-34632 per Photoshop e CVE-2025-58074 per Norton VPN. Entrambi i vendor hanno rilasciato aggiornamenti correttivi. Le organizzazioni enterprise che gestiscono deployment centralizzati devono verificare immediatamente gli installer distribuiti agli endpoint aziendali per evitare compromissioni locali dei sistemi Windows.

OpenVPN presenta una vulnerabilità DoS nella gestione TLS

Una nuova vulnerabilità interessa anche OpenVPN nelle versioni 2.6.x e 2.8_git. Il problema riguarda una assertion raggiungibile nella funzionalità di estrazione della chiave client TLS Crypt v2. Un attaccante remoto può inviare una sequenza di pacchetti appositamente costruiti che causano il crash del servizio VPN e generano un denial of service completo. La vulnerabilità viene classificata come CVE-2026-35058. Gli sviluppatori di OpenVPN rilasciano rapidamente patch correttive per mitigare il problema. Gli amministratori che espongono gateway VPN su Internet devono aggiornare immediatamente i server per evitare interruzioni della connettività remota e impatti operativi su utenti e workforce distribuita.

Cisco Nexus 3000 e 9000 vulnerabili a denial of service BGP

Cisco pubblica un advisory dedicato agli switch Nexus 3000 e Nexus 9000 che utilizzano NX-OS standalone con protocollo BGP attivo. La vulnerabilità CVE-2026-20171 permette a un attaccante remoto non autenticato di causare flapping dei peer BGP e denial of service della rete. Il problema deriva dal parsing errato di un attributo BGP transitivo quando è abilitata la funzione enforce-first-as. Attraverso update BGP crafted inviati su sessioni peer esistenti, l’attaccante provoca la chiusura delle sessioni BGP e la perdita temporanea di routing. Il punteggio CVSS 6.8 classifica la vulnerabilità come media ma l’impatto operativo può essere significativo in ambienti datacenter e provider backbone. Cisco suggerisce workaround temporanei come il discard dell’attributo 128 oppure la disattivazione della funzione enforce-first-as. Gli amministratori devono verificare le release vulnerabili tramite il Cisco Software Checker e applicare le nuove versioni NX-OS corrette.

Cisco Secure Workload espone accesso API cross-tenant

Una delle vulnerabilità più gravi riguarda Cisco Secure Workload nelle versioni 3.9 e precedenti sia in deployment SaaS sia on-prem. CVE-2026-20223 riceve un punteggio CVSS 10.0, il massimo possibile. La falla deriva da validazione insufficiente delle API REST interne e permette a un attaccante remoto non autenticato di accedere a risorse tenant differenti con privilegi equivalenti a quelli di un Site Admin. L’attaccante può leggere informazioni sensibili e modificare configurazioni attraversando i confini tenant della piattaforma. Cisco corregge il problema nelle release 3.10.8.3 e 4.0.3.17. I deployment SaaS risultano già mitigati dal vendor ma gli ambienti on-prem richiedono aggiornamento immediato. Non esistono workaround alternativi. La vulnerabilità evidenzia ancora una volta quanto le API interne rappresentino uno dei vettori più critici nelle piattaforme cloud-native moderne.

Cisco ThousandEyes espone RCE e command injection

Cisco corregge anche una vulnerabilità di esecuzione di codice remoto autenticata nella Cisco ThousandEyes Virtual Appliance. CVE-2026-20199 permette a un amministratore autenticato di caricare certificati SSL appositamente costruiti ed eseguire comandi come root sul sistema operativo sottostante. Il problema deriva da validazione insufficiente dell’input utente nella gestione dei certificati. La vulnerabilità interessa tutte le release precedenti alla 0.262.0. Parallelamente Cisco risolve anche una falla di command injection nel componente ThousandEyes Enterprise Agent BrowserBot identificata come CVE-2026-20206. In questo caso un utente autenticato con permessi di gestione test può eseguire comandi arbitrari all’interno del container BrowserBot attraverso input crafted. La mitigazione del BrowserBot viene applicata direttamente lato cloud senza necessità di aggiornamenti locali. Gli amministratori di ThousandEyes devono comunque aggiornare immediatamente le appliance virtuali per evitare possibili compromissioni privilegiate.

AWS corregge vulnerabilità in RabbitMQ e driver Redshift Python

Anche AWS pubblica due security bulletin importanti. Il primo riguarda il plugin rabbitmq-aws tramite advisory 2026-034. La vulnerabilità CVE-2026-9133 deriva dalla presenza di codice di debug attivo nell’ARN resolver e permette a utenti remoti autenticati di leggere file arbitrari accessibili dal processo RabbitMQ. Attraverso lo schema arn:aws-debug:file l’attaccante può ottenere accesso a certificati TLS, chiavi private e password memorizzate sul server. AWS raccomanda l’aggiornamento immediato alla versione 0.2.1 oppure la disattivazione completa del plugin tramite rabbitmq-plugins disable aws. Il secondo advisory, identificato come 2026-033, riguarda il driver amazon-redshift-python-driver. CVE-2026-8838 permette a server rogue o attaccanti man-in-the-middle di eseguire codice arbitrario sui client Python attraverso una vulnerabilità di code injection. Gli sviluppatori che utilizzano il connettore ufficiale per Amazon Redshift devono aggiornare alla versione 2.1.14 per eliminare il vettore di esecuzione remota.

CISA aggiorna il catalogo KEV con sette vulnerabilità sfruttate

Nel frattempo CISA aggiorna il catalogo Known Exploited Vulnerabilities aggiungendo sette nuove CVE già sfruttate attivamente dagli attaccanti. Le vulnerabilità includono vecchi buffer overflow di Microsoft Windows, falle DirectX, heap-based overflow in Adobe Acrobat e vulnerabilità use-after-free in Internet Explorer. Due delle nuove aggiunte riguardano anche Microsoft Defender con scenari di elevation of privilege e denial of service.

• CVE-2008-4250 Microsoft Windows Buffer Overflow Vulnerability
• CVE-2009-1537 Microsoft DirectX NULL Byte Overwrite Vulnerability
• CVE-2009-3459 Adobe Acrobat and Reader Heap-Based Buffer Overflow Vulnerability
• CVE-2010-0249 Microsoft Internet Explorer Use-After-Free Vulnerability
• CVE-2010-0806 Microsoft Internet Explorer Use-After-Free Vulnerability
• CVE-2026-41091 Microsoft Defender Elevation of Privilege Vulnerability
• CVE-2026-45498 Microsoft Defender Denial of Service Vulnerability

Le agenzie federali civili statunitensi devono completare la remediation entro le scadenze previste dalla direttiva Binding Operational Directive 22-01. CISA invita comunque tutte le organizzazioni private a trattare le vulnerabilità KEV come priorità assoluta all’interno dei processi di patch management. L’aggiornamento conferma che molte campagne offensive continuano a sfruttare vulnerabilità note e già documentate anziché zero-day sofisticati.

Le aziende devono accelerare patching e monitoraggio continuo

La nuova ondata di advisory dimostra come dispositivi di rete, piattaforme cloud, VPN e strumenti developer continuino a rappresentare bersagli privilegiati per gli attaccanti. Gli amministratori devono aggiornare rapidamente router TP-Link, switch Cisco Nexus, appliance ThousandEyes, server OpenVPN, plugin RabbitMQ e driver Redshift per evitare scenari di compromissione o interruzione dei servizi. Le organizzazioni più mature stanno adottando approcci zero-trust anche nella gestione della rete interna e delle pipeline cloud, limitando privilegi, monitorando continuamente configurazioni BGP e validando attentamente file OpenVPN e certificati SSL caricati dagli utenti. L’aggiornamento del catalogo KEV da parte di CISA rafforza ulteriormente il messaggio: la velocità di remediation diventa ormai uno degli elementi più importanti per la resilienza operativa delle infrastrutture moderne.