CISA ha inserito la vulnerabilità SQL injection CVE-2026-9082 nel catalogo Known Exploited Vulnerabilities mentre Drupal conferma attacchi attivi contro il core del CMS e Trend Micro avverte di uno zero-day sfruttato su Apex One. Nello stesso giorno emergono anche la vulnerabilità CVE-2026-48172 nel plugin LiteSpeed cPanel, che permette esecuzione di script come root, e due falle AWS che coinvolgono Amazon Braket SDK e Kiro CLI. Queste minacce colpiscono piattaforme enterprise, ambienti di sviluppo web e infrastrutture cloud molto diffuse e richiedono aggiornamenti immediati. Drupal rileva oltre 15.000 tentativi di sfruttamento contro quasi 6.000 siti distribuiti in 65 paesi, mentre Trend Micro conferma almeno un tentativo reale di abuso sul proprio prodotto enterprise. La SQL injection di Drupal consente privilege escalation e remote code execution senza autenticazione in configurazioni PostgreSQL. Il problema su Apex One permette invece a un attaccante locale con privilegi amministrativi di iniettare codice malevolo negli agenti distribuiti. LiteSpeed raggiunge il massimo livello di gravità con CVSS 10.0, mentre le vulnerabilità AWS riguardano deserializzazione insicura ed esecuzione di tool non autorizzati. Le organizzazioni devono applicare le patch entro le finestre indicate da CISA e dai vendor per evitare compromissioni su larga scala.
Cosa leggere
CISA aggiunge CVE-2026-9082 di Drupal al catalogo KEV
Il 22 maggio 2026 CISA ha aggiunto CVE-2026-9082 al catalogo Known Exploited Vulnerabilities. La vulnerabilità interessa il database abstraction API di Drupal Core e permette a un attaccante di inviare richieste appositamente costruite per eseguire comandi arbitrari attraverso una SQL injection. L’agenzia americana conferma l’esistenza di prove di sfruttamento attivo in ambiente reale e impone alle agenzie federali civili di applicare le mitigazioni entro il 27 maggio 2026 secondo la direttiva Binding Operational Directive 22-01.
CVE-2026-9082 Drupal Core SQL Injection Vulnerability
CISA invita tutte le organizzazioni a dare priorità assoluta alla remediation della falla all’interno dei processi di vulnerability management. Il problema interessa tutte le versioni supportate di Drupal e risulta particolarmente pericoloso per le installazioni che utilizzano PostgreSQL come backend database.
Drupal conferma attacchi in corso contro il core del CMS
Drupal aggiorna il proprio advisory il 22 maggio 2026 dichiarando che i “tentativi di exploit sono ora rilevati in the wild”. La vulnerabilità CVE-2026-9082, scoperta da Michael Maturi di Google Mandiant, viene classificata come altamente critica con punteggio interno 23/25. La falla permette privilege escalation, remote code execution e disclosure di informazioni senza necessità di autenticazione. Le versioni vulnerabili comprendono Drupal 8.9.x, 10.4.x prima della 10.4.10, 10.5.x prima della 10.5.10, 10.6.x prima della 10.6.9, 11.0.x/11.1.x prima della 11.1.10, 11.2.x prima della 11.2.12 e 11.3.x prima della 11.3.10. Le versioni Drupal 8 e 9, ormai end-of-life, ricevono patch soltanto su base best-effort.
Secondo Imperva, oltre 15.000 attacchi hanno già colpito quasi 6.000 siti in 65 paesi, con target principali nei settori gaming e servizi finanziari. La maggior parte delle attività consiste ancora in probing automatizzati, ma la natura della vulnerabilità consente escalation rapide verso furto dati o esecuzione remota di codice.
Trend Micro segnala uno zero-day attivo su Apex One
Trend Micro ha pubblicato un avviso relativo allo zero-day CVE-2026-34926 che interessa Apex One on-premises server. La vulnerabilità directory traversal permette a un attaccante locale pre-autenticato con privilegi amministrativi di modificare una tabella chiave e iniettare codice malevolo da distribuire successivamente agli agenti installati sugli endpoint. Trend Micro conferma almeno un tentativo reale osservato tramite il sistema TrendAI. L’azienda ha rilasciato aggiornamenti di sicurezza dedicati e CISA ha imposto alle agenzie federali di applicare la patch entro il 4 giugno 2026. Contestualmente, Trend Micro corregge anche sette vulnerabilità aggiuntive di local privilege escalation presenti nell’agent Standard Endpoint Protection. Gli amministratori devono aggiornare immediatamente le installazioni di Apex One per evitare che payload malevoli vengano propagati automaticamente agli endpoint gestiti.
LiteSpeed raggiunge CVSS 10.0 con CVE-2026-48172
La vulnerabilità CVE-2026-48172 nel LiteSpeed User-End cPanel Plugin permette esecuzione di script arbitrari come root attraverso la funzione lsws.redisAble. Il problema colpisce le versioni 2.3 fino alla 2.4.4 del plugin cPanel, mentre il plugin WHM non risulta interessato. Il punteggio CVSS 10.0 colloca la falla al massimo livello di gravità possibile. Secondo i report, gli attaccanti stanno già sfruttando attivamente il problema in ambiente reale. LiteSpeed ha rilasciato la versione 5.3.1.0 del plugin WHM che integra il plugin cPanel aggiornato alla versione 2.4.7. Le organizzazioni che non possono aggiornare immediatamente possono rimuovere temporaneamente il plugin utente tramite il comando /usr/local/lsws/admin/misc/lscmctl cpanelplugin --uninstall. Per individuare possibili compromissioni, LiteSpeed consiglia di cercare stringhe come cpanel_jsonapi_func=redisAble nei log cPanel e di bloccare gli IP sospetti.
AWS corregge una deserializzazione insicura nel Braket SDK
AWS pubblica il security bulletin 2026-036 relativo alla vulnerabilità CVE-2026-9291 che interessa Amazon Braket SDK. Il problema nasce dalla funzione deserialize_values() che si fida del campo dataFormat proveniente da file JSON non attendibili e richiama pickle.loads() sul payload ricevuto. Un utente remoto autenticato con accesso in scrittura al bucket S3 utilizzato dal job può modificare il formato e inserire payload arbitrari ottenendo remote code execution sulla macchina che processa i risultati. AWS classifica la vulnerabilità come Important e rende disponibile la correzione nella versione 1.117.0 o successiva del pacchetto amazon-braket-sdk. Come mitigazione temporanea, AWS suggerisce di limitare le policy S3 ai soli soggetti attendibili e validare il campo dataFormat prima di elaborare i risultati.
AWS risolve anche CVE-2026-9255 nel Kiro CLI
Il bulletin 2026-035 di AWS riguarda invece CVE-2026-9255 nel Kiro CLI. La vulnerabilità deriva dall’assenza di validazione della sorgente di input nel prompt di autorizzazione e permette a un attore locale di eseguire tool arbitrari, inclusi comandi shell, senza approvazione utente semplicemente pipando contenuti via stdin. AWS classifica anche questa vulnerabilità come Important. La soluzione consiste nell’aggiornamento a kiro-cli 1.28.0 o successivo. In alternativa, AWS consiglia di utilizzare il flag --no-interactive quando si pipeano dati provenienti da sorgenti non attendibili. Il problema evidenzia ancora una volta quanto strumenti CLI moderni possano diventare vettori di esecuzione involontaria se il controllo sugli input non viene implementato correttamente.
Le vulnerabilità mostrano la velocità delle campagne attive
Le vulnerabilità pubblicate il 22 maggio 2026 mostrano quanto rapidamente gruppi criminali e attaccanti opportunistici riescano a sfruttare falle critiche non appena diventano pubbliche. Drupal e LiteSpeed colpiscono ambienti web e hosting largamente diffusi, mentre Trend Micro Apex One e i prodotti AWS riguardano infrastrutture enterprise e ambienti cloud avanzati. Le campagne osservate dimostrano che la finestra temporale tra disclosure e sfruttamento reale continua a ridursi. Le organizzazioni non possono più considerare patch management e vulnerability management come processi lenti o periodici. L’inserimento nel catalogo KEV da parte di CISA indica infatti che lo sfruttamento attivo è già in corso e che il rischio di compromissione concreta è elevato.
CISA spinge le organizzazioni verso remediation immediate
CISA ribadisce che le voci inserite nel catalogo Known Exploited Vulnerabilities devono ricevere priorità assoluta nei processi di remediation. Le organizzazioni che utilizzano Drupal, Apex One, LiteSpeed o strumenti AWS vulnerabili devono verificare immediatamente la presenza delle versioni interessate e applicare gli aggiornamenti disponibili. Gli amministratori dovrebbero inoltre monitorare log e sistemi per individuare indicatori di compromissione, soprattutto nel caso di probing SQL injection su Drupal o attività anomale sui server Apex One. Le installazioni Drupal basate su PostgreSQL richiedono particolare attenzione perché risultano più esposte alla remote code execution senza autenticazione. Il coordinamento tra CISA, vendor e ricercatori continua a fornire strumenti tempestivi per la difesa, ma la rapidità della remediation resta responsabilità diretta delle singole organizzazioni.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
