CVE-2026-45247 Mirasvit e CVE-2026-23479 Redis: aggiornamento CISA KEV e RCE

Il 3 giugno 2026 ha messo in evidenza due fenomeni che stanno ridefinendo il panorama della sicurezza informatica contemporanea. Da una parte la Cybersecurity and Infrastructure Security Agency ha aggiunto la vulnerabilità CVE-2026-45247 nel prodotto Mirasvit Full Page Cache Warmer al catalogo delle Known Exploited Vulnerabilities (KEV), confermando l’esistenza di attività di sfruttamento reali. Dall’altra, il tool autonomo Xint Code sviluppato da Theori ha individuato la CVE-2026-23479, una vulnerabilità Remote Code Execution in Redis rimasta invisibile per oltre due anni nonostante revisioni, audit e utilizzo diffuso in ambienti cloud. Le due notizie raccontano due facce della stessa realtà. La prima dimostra come vulnerabilità note continuino a essere sfruttate attivamente dagli attaccanti. La seconda mostra come l’intelligenza artificiale stia iniziando a individuare difetti complessi che per anni sono sfuggiti agli analisti umani. In entrambi i casi il risultato è identico: organizzazioni pubbliche e private devono intervenire rapidamente per ridurre la superficie d’attacco e proteggere infrastrutture critiche.

CISA inserisce CVE-2026-45247 nel catalogo delle vulnerabilità sfruttate

L’aggiornamento del catalogo Known Exploited Vulnerabilities rappresenta sempre un segnale importante per il settore della sicurezza. Quando CISA aggiunge una vulnerabilità al KEV significa che esistono prove concrete di sfruttamento attivo e che la minaccia non è più teorica. Nel caso della CVE-2026-45247, il problema interessa Mirasvit Full Page Cache Warmer, componente utilizzato per ottimizzare le prestazioni e la gestione della cache in ambienti web e piattaforme e-commerce. La vulnerabilità viene classificata come una deserializzazione di dati non attendibili, una categoria che negli ultimi anni ha generato numerosi incidenti di sicurezza ad alto impatto. Questo tipo di difetto consente agli attaccanti di manipolare oggetti serializzati e di influenzare il comportamento dell’applicazione durante la fase di elaborazione dei dati. Il rischio non riguarda soltanto l’accesso non autorizzato alle informazioni, ma può estendersi fino all’esecuzione di codice arbitrario e alla compromissione dell’intero sistema. L’inserimento nel catalogo KEV trasforma quindi la vulnerabilità in una priorità operativa per tutte le organizzazioni che utilizzano il componente interessato.

La deserializzazione continua a essere una minaccia sottovalutata

La vulnerabilità che colpisce Mirasvit Full Page Cache Warmer conferma come la deserializzazione continui a rappresentare una delle categorie più insidiose della sicurezza applicativa moderna. Sebbene sia nota da anni, continua a comparire regolarmente in software commerciali e componenti largamente distribuiti. Il problema nasce quando dati provenienti da fonti non affidabili vengono trasformati in oggetti applicativi senza adeguati controlli di sicurezza.

CVE-2026-45247 Mirasvit Full Page Cache Warmer Deserialization of Untrusted Data Vulnerability

Un attaccante può sfruttare questa fase per introdurre strutture manipolate in grado di alterare il flusso dell’applicazione. Nei casi più gravi il risultato è l’esecuzione di codice remoto o l’acquisizione di privilegi elevati. La decisione di CISA di inserire la vulnerabilità nel catalogo KEV indica che questi scenari non sono soltanto possibili, ma si stanno già verificando nel mondo reale. Le organizzazioni che utilizzano il componente devono verificare immediatamente la propria esposizione, applicare gli aggiornamenti disponibili e monitorare eventuali attività sospette nei sistemi interessati.

Il catalogo KEV resta il principale indicatore di priorità

Negli ultimi anni il catalogo Known Exploited Vulnerabilities si è trasformato in uno degli strumenti più importanti per la gestione del rischio informatico. A differenza dei tradizionali database CVE, che possono contenere migliaia di vulnerabilità teoricamente sfruttabili, il KEV evidenzia soltanto quelle per cui esistono prove di attacchi effettivi. Questo approccio consente alle organizzazioni di concentrare risorse e attività di remediation sulle minacce che rappresentano un rischio concreto e immediato. L’aggiunta della CVE-2026-45247 indica che gli attaccanti hanno già individuato un valore operativo nella vulnerabilità e che il suo sfruttamento produce risultati sufficientemente interessanti da giustificare campagne attive. Per questo motivo le aziende non possono trattarla come un aggiornamento ordinario ma come una priorità di sicurezza ad alta criticità.

Xint Code scopre una vulnerabilità Redis rimasta nascosta per due anni

Se il caso Mirasvit riguarda una vulnerabilità già sfruttata, la scoperta della CVE-2026-23479 mostra invece la crescente capacità dell’intelligenza artificiale di individuare bug estremamente complessi. Lo strumento Xint Code sviluppato da Theori ha identificato una vulnerabilità use-after-free all’interno di Redis, uno dei database in-memory più utilizzati negli ambienti cloud moderni. Il dato più sorprendente non riguarda soltanto la gravità della falla, ma il fatto che sia rimasta nascosta per oltre due anni. La vulnerabilità nasce infatti da modifiche introdotte nel codice durante il 2023 e ha attraversato numerosi cicli di revisione senza essere rilevata. Redis viene utilizzato in migliaia di applicazioni, piattaforme cloud e infrastrutture enterprise. Il fatto che una falla di questo livello sia sopravvissuta così a lungo dimostra quanto possano essere difficili da individuare le interazioni impreviste tra componenti software complessi e per fortuna c’è una patch.

Come funziona la CVE-2026-23479 in Redis

La vulnerabilità individuata da Xint Code interessa la funzione unblockClientOnKey() presente nel file src/blocked.c di Redis. Il problema nasce quando il software continua a utilizzare un riferimento a una struttura client che potrebbe essere già stata liberata dalla memoria. Questa condizione, nota come use-after-free, permette agli attaccanti di manipolare il comportamento del programma e di ottenere risultati imprevedibili. Nel caso della CVE-2026-23479, la catena di exploit può portare fino all’esecuzione di comandi arbitrari sul sistema operativo ospitante.

L’attacco richiede un utente autenticato e combina diverse funzionalità del database, incluse operazioni di configurazione, script Lua e gestione degli stream. Attraverso una serie di passaggi estremamente sofisticati, l’aggressore riesce a manipolare la memoria del processo Redis e a reindirizzare l’esecuzione verso funzioni controllate. Il risultato finale è la possibilità di eseguire comandi di sistema direttamente dal database.

Una vulnerabilità nata da due modifiche apparentemente innocue

Uno degli aspetti più interessanti della scoperta riguarda l’origine del bug. Secondo l’analisi di Theori, la vulnerabilità non deriva da un singolo errore evidente ma dalla combinazione di due commit distinti introdotti nel gennaio e nel marzo del 2023. Presi singolarmente, i due cambiamenti non apparivano particolarmente pericolosi. Tuttavia, la loro interazione ha creato una situazione che consentiva l’accesso a strutture già liberate dalla memoria. Questo fenomeno rappresenta uno dei problemi più complessi della sicurezza software moderna. Le applicazioni di grandi dimensioni vengono sviluppate da team numerosi attraverso migliaia di modifiche incrementali. Individuare tutte le possibili interazioni tra componenti differenti è spesso impossibile anche per analisti esperti. Xint Code ha dimostrato di poter identificare proprio questo tipo di difetti, evidenziando relazioni che le revisioni manuali non erano riuscite a cogliere.

L’intelligenza artificiale entra nella ricerca avanzata delle vulnerabilità

La scoperta della CVE-2026-23479 rappresenta anche una dimostrazione concreta dell’evoluzione degli strumenti AI applicati alla cybersecurity. Negli ultimi anni si è parlato molto dell’utilizzo dell’intelligenza artificiale per generare codice, automatizzare attività operative o assistere gli analisti. Il caso di Xint Code mostra invece un’applicazione differente e potenzialmente ancora più significativa. L’AI viene utilizzata per analizzare grandi basi di codice, individuare pattern anomali e identificare condizioni che potrebbero sfuggire all’attenzione umana. Durante la competizione ZeroDay.Cloud 2025 organizzata da Wiz, lo strumento ha dimostrato di poter operare in modo autonomo su progetti software complessi. Non si tratta più semplicemente di supportare i ricercatori, ma di estendere concretamente la capacità di individuare vulnerabilità latenti prima che possano essere sfruttate da attori malevoli.

Redis resta un bersaglio strategico negli ambienti cloud

La vulnerabilità assume una rilevanza ancora maggiore considerando la diffusione di Redis nel panorama tecnologico globale. Il database viene utilizzato come sistema di caching, broker di messaggi, archivio temporaneo e componente critico in numerose architetture cloud-native. Molte implementazioni operano con configurazioni permissive o con livelli di autenticazione limitati, soprattutto negli ambienti di sviluppo e test. Anche se Redis ha dichiarato di non avere evidenza di sfruttamento attivo della CVE-2026-23479, la natura della vulnerabilità rende necessario intervenire rapidamente. Le patch sono già disponibili nelle versioni corrette del software e rappresentano l’unica soluzione definitiva. Le organizzazioni che utilizzano Redis devono inoltre verificare le configurazioni di accesso, limitare l’esposizione dei servizi e monitorare eventuali comportamenti anomali associati alle funzionalità coinvolte nell’exploit.

Due vulnerabilità mostrano il nuovo volto della cybersecurity

Le vicende di Mirasvit e Redis raccontano molto dell’evoluzione attuale della sicurezza informatica. Nel primo caso assistiamo al ciclo tradizionale di una vulnerabilità che passa dalla scoperta allo sfruttamento reale fino all’inserimento nel catalogo KEV da parte di CISA. Nel secondo osserviamo invece l’emergere di una nuova generazione di strumenti capaci di individuare difetti complessi che rimangono invisibili per anni. Le due storie convergono nello stesso punto: la superficie d’attacco continua a crescere e le organizzazioni non possono più affidarsi esclusivamente a controlli periodici o revisioni tradizionali. La velocità con cui vengono scoperte e sfruttate le vulnerabilità richiede processi di aggiornamento continui, monitoraggio costante e una capacità sempre maggiore di identificare tempestivamente i rischi.

CISA e l’AI indicano la direzione futura della difesa

L’inserimento della CVE-2026-45247 nel catalogo KEV e la scoperta della CVE-2026-23479 da parte di Xint Code rappresentano due segnali complementari. Da una parte le agenzie governative continuano a svolgere un ruolo fondamentale nell’identificazione delle minacce attivamente sfruttate. Dall’altra l’intelligenza artificiale sta diventando uno strumento sempre più efficace nella ricerca preventiva delle vulnerabilità. Il futuro della cybersecurity probabilmente nascerà proprio dall’integrazione di questi due approcci. Le organizzazioni dovranno essere in grado di reagire rapidamente agli avvisi provenienti da enti come CISA e allo stesso tempo adottare strumenti avanzati capaci di individuare vulnerabilità prima che entrino nelle campagne di attacco. Le notizie del 3 giugno 2026 mostrano che il confine tra difesa umana e analisi automatizzata sta diventando sempre più sottile e che la capacità di anticipare le minacce sarà il principale fattore distintivo della sicurezza nei prossimi anni.