Nel giro di pochi giorni il panorama della sicurezza informatica è stato attraversato da una nuova ondata di vulnerabilità critiche che coinvolgono infrastrutture cloud, piattaforme di rete, siti WordPress e server per il trasferimento file. I casi riguardano Amazon Aurora PostgreSQL, Cisco Catalyst SD-WAN Manager, il plugin Everest Forms Pro per WordPress e SolarWinds Serv-U, prodotti ampiamente utilizzati in contesti enterprise e professionali. Le vulnerabilità presentano scenari di rischio differenti, che spaziano dalla privilege escalation all’esecuzione di codice arbitrario, fino al denial of service e al completo takeover di sistemi esposti su Internet. In alcuni casi sono già stati osservati tentativi di sfruttamento in ambiente reale, mentre in altri i vendor hanno confermato la presenza di campagne attive e la necessità di applicare aggiornamenti immediati. L’elemento comune è la rapidità con cui amministratori e team di sicurezza devono reagire per ridurre la superficie di attacco e prevenire compromissioni potenzialmente gravi.
Cosa leggere
AWS corregge due vulnerabilità di privilege escalation in Aurora PostgreSQL
Amazon ha pubblicato il security bulletin relativo alle vulnerabilità CVE-2026-11400 e CVE-2026-11401, entrambe capaci di consentire una escalation dei privilegi all’interno degli ambienti Aurora PostgreSQL che utilizzano i wrapper avanzati forniti da AWS. Il problema interessa in particolare AWS Advanced JDBC Wrapper e AWS Advanced Go Wrapper, strumenti impiegati per ottimizzare la gestione delle connessioni ai database. Un utente autenticato con privilegi limitati può creare una funzione appositamente costruita che viene eseguita con i permessi di altri utenti del database, arrivando in alcuni scenari a ottenere il ruolo rds_superuser. La vulnerabilità nasce da una gestione errata dei permessi associati ai wrapper e non coinvolge le installazioni Aurora PostgreSQL che non utilizzano tali componenti. L’impatto è particolarmente significativo nei contesti enterprise dove applicazioni Java e Go utilizzano i wrapper per migliorare disponibilità e resilienza delle connessioni. In presenza di un attaccante interno o di credenziali compromesse, la vulnerabilità può trasformarsi in un vettore efficace per ottenere privilegi elevati e compromettere l’integrità del database.
Amazon distribuisce aggiornamenti e workaround temporanei
Per mitigare il rischio Amazon ha corretto CVE-2026-11400 attraverso la versione 4.0.1 di AWS Advanced JDBC Wrapper, mentre CVE-2026-11401 è stata risolta nella release del 26 maggio 2026 di AWS Advanced Go Wrapper. L’azienda invita tutti gli utenti a verificare immediatamente le versioni installate e ad aggiornare gli ambienti interessati. Nei casi in cui l’aggiornamento non sia immediatamente possibile, AWS suggerisce un workaround che consiste nella rimozione dello schema public dal search_path, limitando così la possibilità di eseguire funzioni arbitrarie attraverso il meccanismo sfruttato dalla vulnerabilità. Sebbene il rischio sia limitato agli ambienti che adottano i wrapper avanzati, la presenza di una vulnerabilità capace di concedere privilegi assimilabili a quelli di amministrazione rende prioritario l’intervento soprattutto nelle infrastrutture cloud che gestiscono dati sensibili o applicazioni mission critical.
Cisco Catalyst SD-WAN Manager espone comandi root tramite file malevoli
Cisco ha aggiornato il proprio advisory relativo alla vulnerabilità CVE-2026-20245, una falla che interessa Cisco Catalyst SD-WAN Manager e che può consentire l’esecuzione di comandi arbitrari come utente root. La vulnerabilità interessa tutte le modalità di distribuzione supportate dalla piattaforma, comprese installazioni on-premise, ambienti cloud gestiti e versioni dedicate agli enti governativi. L’attacco richiede un account autenticato con privilegi netadmin, ma una volta ottenuto l’accesso l’attaccante può caricare file opportunamente costruiti che sfruttano una validazione insufficiente degli input per eseguire comandi con privilegi massimi. Cisco ha confermato l’esistenza di casi limitati di sfruttamento in ambiente reale, rendendo la vulnerabilità particolarmente rilevante per le organizzazioni che espongono componenti SD-WAN verso Internet. Il punteggio CVSS 7.8 riflette un rischio elevato, soprattutto considerando la possibilità di modificare configurazioni distribuite ai dispositivi edge e di compromettere l’infrastruttura di gestione della rete.
Nessun workaround disponibile per la falla Cisco
Cisco ha precisato che non esistono workaround efficaci per mitigare CVE-2026-20245 e che la protezione richiede necessariamente l’installazione degli aggiornamenti software indicati nell’advisory. Prima di procedere all’upgrade il vendor raccomanda di eseguire il comando request admin-tech su ogni componente di controllo per preservare eventuali indicatori di compromissione utili alle attività di analisi forense. Una volta completato l’aggiornamento, gli amministratori devono esaminare il file scripts.log presente nel percorso /var/log/ alla ricerca di script sospetti e riferimenti a file CSV malevoli utilizzati durante eventuali tentativi di exploit. Cisco evidenzia inoltre che l’aggiornamento software non rimuove automaticamente eventuali backdoor già installate da un attaccante, motivo per cui un’attività di verifica approfondita resta fondamentale anche dopo l’applicazione delle patch.
Everest Forms Pro permette il takeover completo dei siti WordPress
Tra le vulnerabilità più pericolose emerse nelle ultime settimane figura CVE-2026-3300, una falla critica presente nel plugin Everest Forms Pro per WordPress. Il problema risiede nella funzione Complex Calculation, che utilizza la funzione PHP eval() per elaborare dati provenienti dai moduli senza una corretta sanitizzazione degli input. Un attaccante remoto non autenticato può inviare un payload opportunamente costruito che interrompe la stringa prevista dal sistema e inietta codice PHP arbitrario. Gli attacchi osservati in natura utilizzano questo meccanismo per richiamare la funzione wp_insert_user e creare account amministrativi non autorizzati, consentendo il completo takeover del sito. Secondo i dati raccolti da Wordfence, sono stati registrati oltre 29.300 tentativi di exploit a partire dal 13 aprile 2026. Una volta ottenuto l’accesso amministrativo, gli aggressori possono installare plugin malevoli, creare backdoor persistenti, manipolare contenuti e accedere all’intero database WordPress.
Wordfence osserva campagne attive contro Everest Forms Pro
La vulnerabilità interessa tutte le versioni di Everest Forms Pro fino alla 1.9.12 ed è stata corretta attraverso un aggiornamento distribuito il 18 marzo 2026. La scoperta è attribuita al ricercatore h0xilo, che aveva segnalato il problema agli sviluppatori nelle settimane precedenti. Wordfence ha identificato diversi indirizzi IP coinvolti nelle campagne di attacco e invita gli amministratori a verificare la presenza di account sospetti, in particolare utenti amministrativi creati senza autorizzazione. Considerando la diffusione del plugin all’interno dell’ecosistema WordPress, la vulnerabilità rappresenta una minaccia concreta per migliaia di siti web che utilizzano moduli di contatto, registrazione o pagamento basati su Everest Forms. L’aggiornamento immediato resta la misura più efficace per prevenire compromissioni.
CISA aggiunge SolarWinds Serv-U al catalogo KEV
Anche SolarWinds Serv-U entra ufficialmente nel catalogo Known Exploited Vulnerabilities della CISA attraverso l’inserimento della vulnerabilità CVE-2026-28318. Il problema consiste in una vulnerabilità di denial of service che può essere sfruttata senza autenticazione inviando richieste POST appositamente costruite contenenti l’header Content-Encoding: deflate. In determinate condizioni il server consuma quantità eccessive di risorse fino al blocco completo del servizio. Sebbene non consenta l’esecuzione di codice o l’accesso ai dati, la vulnerabilità può causare interruzioni operative significative soprattutto nelle organizzazioni che utilizzano Serv-U per il trasferimento di file critici. Il punteggio CVSS 7.5 evidenzia la gravità dell’impatto potenziale in ambienti esposti su Internet.
SolarWinds distribuisce fix e CISA impone scadenze
SolarWinds ha corretto il problema nella versione 15.5.4 HF1 di Serv-U, invitando tutti gli utenti ad aggiornare immediatamente le installazioni vulnerabili. La CISA ha imposto alle agenzie federali statunitensi una scadenza fissata al 19 giugno 2026 per la risoluzione del problema, segnale che conferma la presenza di attività di sfruttamento attivo osservate in ambiente reale. Tra le misure temporanee suggerite figurano la limitazione dell’accesso ai soli indirizzi IP autorizzati e il filtraggio delle richieste che utilizzano l’header Content-Encoding associato all’exploit. La storia recente di Serv-U, già bersaglio in passato di campagne attribuite a gruppi criminali come Cl0p, contribuisce ad aumentare l’attenzione degli operatori verso qualsiasi nuova vulnerabilità che coinvolga la piattaforma.
Database, reti, siti web e server file sotto pressione
Le vulnerabilità emerse in questi giorni mostrano come l’intera superficie tecnologica aziendale continui a essere sotto pressione. Le falle che colpiscono AWS Aurora PostgreSQL e Cisco Catalyst SD-WAN Manager richiedono credenziali valide per essere sfruttate, ma possono portare a privilegi amministrativi completi. Al contrario, Everest Forms Pro e SolarWinds Serv-U risultano attaccabili senza autenticazione, ampliando notevolmente il numero di potenziali bersagli. In tutti i casi i vendor hanno distribuito aggiornamenti correttivi e indicazioni operative precise, rendendo difficile giustificare ritardi nell’applicazione delle patch. Per i team di sicurezza il momento richiede verifiche immediate delle versioni installate, analisi dei log, ricerca di indicatori di compromissione e accelerazione dei processi di patch management. La concentrazione di vulnerabilità attivamente sfruttate in settori così diversi dell’infrastruttura digitale dimostra ancora una volta come la rapidità di risposta sia diventata uno degli elementi più importanti nella difesa delle organizzazioni moderne.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
