CISA amplia il KEV mentre Ivanti, SAP e protobuf.js chiudono vulnerabilità critiche

CISA amplia il catalogo Known Exploited Vulnerabilities (KEV) con tre nuove vulnerabilità già sfruttate in attacchi reali, mentre arrivano aggiornamenti urgenti per Ivanti Sentry, SAP NetWeaver, SAP Commerce Cloud e la popolare libreria protobuf.js utilizzata nell’ecosistema Node.js. Il quadro complessivo evidenzia una pressione crescente sulle organizzazioni enterprise, chiamate a gestire simultaneamente vulnerabilità di Remote Code Execution, Command Injection, Memory Corruption, Authentication Bypass, Directory Traversal e Prototype Pollution. Le nuove aggiunte al catalogo KEV obbligano le agenzie federali statunitensi ad accelerare la remediation secondo il Binding Operational Directive 22-01, mentre le patch pubblicate da Ivanti, SAP e dagli sviluppatori di protobuf.js mirano a chiudere falle che potrebbero consentire compromissioni complete di infrastrutture aziendali, ambienti cloud, pipeline CI/CD e workload basati su AI.

CISA amplia il catalogo KEV con tre vulnerabilità sfruttate attivamente

La Cybersecurity and Infrastructure Security Agency (CISA) ha aggiunto tre nuove vulnerabilità al catalogo Known Exploited Vulnerabilities, segnalando che esistono prove concrete di sfruttamento da parte di attori malevoli. Le nuove entry comprendono CVE-2026-7473 in Arista Extensible Operating System, caratterizzata da un problema di incomplete comparison with missing factors, CVE-2026-11645 nel motore V8 di Google Chromium con condizioni di out-of-bounds read and write, e CVE-2026-20245 in Cisco Catalyst SD-WAN Manager, causata da un difetto di improper encoding or escaping of output. L’inclusione nel catalogo KEV rappresenta un segnale di massima priorità per i team di sicurezza poiché indica vulnerabilità che non sono soltanto teoriche ma già utilizzate in scenari di attacco reali.

• CVE-2026-7473 Arista Extensible Operating System Incomplete Comparison with Missing Factors Vulnerability
• CVE-2026-11645 Google Chromium V8 Out-of-Bounds Read and Write Vulnerability
• CVE-2026-20245 Cisco Catalyst SD-WAN Manager Improper Encoding or Escaping of Output Vulnerability

Le agenzie federali appartenenti al perimetro FCEB devono applicare le mitigazioni entro le scadenze previste dalla direttiva BOD 22-01, mentre CISA raccomanda anche alle aziende private di trattare queste CVE come priorità assolute all’interno dei propri programmi di vulnerability management. L’aggiornamento conferma come browser, infrastrutture di rete e piattaforme SD-WAN continuino a rappresentare obiettivi privilegiati per gli attaccanti.

Ivanti corregge una command injection che concede privilegi root

Tra le vulnerabilità più gravi emerse nello stesso periodo figura CVE-2026-10520, una falla di OS Command Injection che interessa Ivanti Sentry, precedentemente conosciuto come MobileIron Sentry. Il difetto consente a un attaccante remoto di eseguire codice arbitrario con privilegi root, ottenendo il controllo completo del sistema senza richiedere particolari interazioni da parte dell’utente. Ivanti ha distribuito aggiornamenti correttivi attraverso le versioni R10.5.2, R10.6.2 e R10.7.1, invitando tutte le organizzazioni ad aggiornare immediatamente i propri ambienti. L’azienda ha dichiarato di non avere evidenze di sfruttamento attivo o exploit pubblici al momento della divulgazione, ma la natura della vulnerabilità rende la finestra temporale tra disclosure e aggiornamento particolarmente critica. Ivanti Sentry viene spesso utilizzato come componente centrale nelle infrastrutture di gestione dei dispositivi mobili e degli endpoint aziendali, motivo per cui un attacco riuscito potrebbe compromettere contemporaneamente numerosi asset aziendali. L’assenza di workaround efficaci rende l’installazione delle nuove versioni l’unica misura realmente in grado di eliminare il rischio.

SAP pubblica quindici correzioni per NetWeaver e Commerce Cloud

Il bollettino di sicurezza di giugno 2026 di SAP introduce correzioni per quindici vulnerabilità distribuite tra SAP NetWeaver, ABAP Platform, Commerce Cloud e Data Hub. Quattro di queste vulnerabilità raggiungono livelli di gravità critica e richiedono interventi immediati. La più severa è CVE-2026-44748, valutata con CVSS 9.9, che permette attacchi di XML Signature Wrapping contro SAP NetWeaver AS ABAP, consentendo a utenti autenticati con privilegi limitati di manipolare documenti XML firmati e aggirare meccanismi di autenticazione SAML. Un’altra vulnerabilità particolarmente pericolosa è CVE-2026-27671, classificata con CVSS 9.8, che introduce condizioni di Memory Corruption nell’Application Server ABAP e può essere sfruttata tramite richieste RFC appositamente costruite senza necessità di autenticazione. Il bollettino include inoltre CVE-2026-22732, collegata a problematiche in Spring Security che interessano Commerce Cloud e Data Hub, e CVE-2026-40128, una vulnerabilità di Directory Traversal nel Web Container di Application Server Java. Completano il quadro ulteriori flaw relativi a SQL Injection, Cross-Site Scripting, Authorization Bypass, Email Spoofing e vulnerabilità nei componenti Apache Tomcat integrati. Per molte organizzazioni che utilizzano SAP come piattaforma ERP centrale, l’aggiornamento rappresenta una priorità assoluta.

Proto6 colpisce protobuf.js e l’ecosistema Node.js

Sul fronte open source, i ricercatori Cyera e Vladimir Tokarev hanno reso pubblica una famiglia di sei vulnerabilità denominata Proto6, che interessa la libreria protobuf.js, una delle implementazioni più diffuse del protocollo Protocol Buffers nell’ecosistema Node.js. Le vulnerabilità coinvolgono la gestione degli schemi e dei metadati, che vengono trattati implicitamente come affidabili, creando condizioni favorevoli per Remote Code Execution, Prototype Pollution, Code Injection e Denial of Service. Le vulnerabilità CVE-2026-44289 e CVE-2026-44290 consentono attacchi DoS tramite ricorsione incontrollata e percorsi di schema non sicuri. CVE-2026-44291 introduce un pericoloso code generation gadget sfruttabile dopo una fase di prototype pollution, mentre CVE-2026-44292 e CVE-2026-44294 permettono ulteriori forme di prototype injection e blocco dei servizi. La vulnerabilità più critica, CVE-2026-44295, consente invece code injection attraverso output generati dal compilatore pbjs utilizzando nomi di schema manipolati. Il rischio non riguarda soltanto singole applicazioni ma intere pipeline software che fanno affidamento su protobuf.js per serializzare e deserializzare dati tra componenti differenti.

CI/CD, cloud e AI tra gli ambienti più esposti a Proto6

L’impatto delle vulnerabilità Proto6 si estende ben oltre le normali applicazioni web Node.js. I ricercatori evidenziano infatti che protobuf.js è utilizzato in numerosi contesti enterprise, tra cui pipeline CI/CD, database distribuiti, SDK cloud, sistemi di orchestrazione e workload legati all’intelligenza artificiale. Un singolo schema protobuf malevolo può essere introdotto in repository, sistemi di build o archivi centralizzati e propagarsi lungo l’intera catena di sviluppo. In scenari avanzati, un attaccante potrebbe ottenere accesso a segreti di build, manipolare processi automatizzati o provocare crash diffusi nei servizi. Anche progetti popolari come Baileys, utilizzato per l’integrazione con WhatsApp Web, risultano potenzialmente vulnerabili. La natura della vulnerabilità rende particolarmente pericolosa la fiducia implicita nei metadati, che vengono trasformati in comportamento eseguibile attraverso meccanismi di generazione dinamica del codice JavaScript. Questo approccio amplia notevolmente la superficie di attacco nelle moderne infrastrutture cloud-native.

Le versioni corrette eliminano i vettori di RCE e DoS

Per mitigare i rischi associati a Proto6, gli sviluppatori di protobuf.js hanno pubblicato le versioni corrette 7.5.6 e 8.0.2, mentre protobufjs-cli viene aggiornato alle release 1.2.1 e 2.0.2. Le versioni vulnerabili comprendono tutte le release fino alla 7.5.5, le versioni 8.0.0 e 8.0.1, oltre alle release precedenti di protobufjs-cli. L’aggiornamento delle dipendenze rappresenta il passaggio fondamentale per eliminare i vettori di Remote Code Execution e Denial of Service identificati dai ricercatori. Le organizzazioni che utilizzano ambienti Node.js dovrebbero inoltre verificare la presenza di librerie dipendenti che incorporano protobuf.js indirettamente, poiché il rischio può propagarsi lungo la catena delle dipendenze senza essere immediatamente evidente. La gestione automatizzata delle dipendenze e l’analisi continua della supply chain software diventano quindi strumenti essenziali per prevenire compromissioni future.

Le priorità operative per aziende e amministratori

Le raccomandazioni operative convergono su un principio semplice: applicare immediatamente gli aggiornamenti disponibili. Gli amministratori di Ivanti Sentry devono aggiornare almeno alle versioni R10.5.2, R10.6.2 o R10.7.1. Gli ambienti SAP devono installare il pacchetto di sicurezza di giugno e verificare l’applicazione delle correzioni su NetWeaver, ABAP Platform, Commerce Cloud e Data Hub. Gli sviluppatori Node.js devono aggiornare protobuf.js e protobufjs-cli, ricompilando applicazioni e componenti che utilizzano la libreria. Sul fronte della gestione delle vulnerabilità, tutte le organizzazioni dovrebbero verificare l’esposizione alle tre nuove CVE aggiunte al catalogo KEV e inserirle immediatamente tra le priorità di remediation. L’aggiornamento coordinato di questi componenti riduce la possibilità che gli attaccanti concatenino vulnerabilità differenti per ottenere compromissioni più profonde e persistenti.

Giugno 2026 conferma la pressione sulle infrastrutture enterprise

Le vulnerabilità emerse mostrano come gli attaccanti continuino a colpire contemporaneamente infrastrutture di rete, piattaforme di gestione, applicazioni ERP e componenti open source fondamentali per lo sviluppo moderno. Arista, Cisco, Ivanti, SAP e l’ecosistema Node.js rappresentano segmenti strategici dell’infrastruttura digitale globale e una compromissione in uno di questi livelli può generare effetti a catena su ambienti cloud, data center e servizi critici. L’aggiornamento del catalogo KEV da parte di CISA evidenzia vulnerabilità già sfruttate sul campo, mentre le patch di Ivanti, SAP e protobuf.js cercano di prevenire campagne future prima che emergano exploit diffusi. Per le organizzazioni, la lezione resta invariata: aggiornamenti tempestivi, monitoraggio continuo, gestione rigorosa delle dipendenze software e processi strutturati di vulnerability management sono gli strumenti più efficaci per contenere il rischio e mantenere resilienza operativa in un panorama di minacce sempre più rapido e aggressivo.