aws cisco vulnerabilita rce clamav catalyst center

Pioggia di vulnerabilità critiche su AWS e Cisco, a rischio cloud e reti aziendali

🛡️ Executive Summary

  • AWS corregge vulnerabilità in Advanced JDBC Wrapper, aws-cdk-lib e AWS CLI con rischi di RCE, command injection e credential exposure.
  • Cisco aggiorna Secure Endpoint per falle ClamAV che possono causare memory corruption e denial of service durante la scansione file.
  • Cisco Catalyst Center è vulnerabile a lettura arbitraria di file tramite richieste HTTP non autenticate verso un container limitato.

AWS e Cisco pubblicano una nuova serie di bollettini di sicurezza che coinvolgono componenti ampiamente utilizzati in ambienti cloud, enterprise, DevOps e gestione infrastrutturale. Le advisory riguardano vulnerabilità con impatti diversi ma tutte rilevanti: esecuzione di codice tramite deserializzazione in AWS Advanced JDBC Wrapper, command injection in aws-cdk-lib, permessi insicuri sui file di configurazione di AWS CLI, molteplici difetti in ClamAV che interessano Cisco Secure Endpoint e una falla di lettura arbitraria di file in Cisco Catalyst Center. Il quadro è significativo perché le vulnerabilità non colpiscono solo applicazioni esposte a Internet, ma anche tool di sviluppo, pipeline infrastrutturali, agenti endpoint e piattaforme di network management. Per le organizzazioni, il rischio principale è la combinazione tra componenti privilegiati, automazione cloud e fiducia implicita nei toolchain operativi. Aggiornare rapidamente diventa quindi essenziale per ridurre esposizione, movimento laterale, furto di credenziali e compromissione dei processi di deployment.

AWS Advanced JDBC Wrapper espone a RCE tramite deserializzazione

Il bollettino 2026-051-aws riguarda CVE-2026-14265, una vulnerabilità di deserializzazione di dati non attendibili nel componente RemoteQueryCachePlugin di AWS Advanced JDBC Wrapper. Il problema interessa le versioni dalla 3.3.0 alla 4.0.0 ed è stato corretto nella 4.0.1. Il vettore richiede che un attaccante disponga di accesso in scrittura alla cache condivisa Redis o Valkey, condizione non sempre banale ma plausibile in ambienti complessi con configurazioni cloud, microservizi o segmentazione insufficiente. Inserendo un oggetto Java serializzato malevolo nella cache, l’attaccante può indurre l’applicazione a deserializzarlo e ottenere esecuzione di codice arbitrario sul server applicativo. La criticità è elevata perché la deserializzazione non sicura resta uno dei pattern più pericolosi nelle applicazioni enterprise: un canale apparentemente ausiliario, come una cache condivisa, può diventare un punto di esecuzione remoto quando i dati vengono trattati come oggetti affidabili. In ambienti AWS, il rischio aumenta se l’applicazione dispone di ruoli IAM, segreti, connessioni database o accesso a sistemi interni.

aws-cdk-lib consente command injection nella toolchain DevOps

Il secondo bollettino, 2026-050-aws, descrive CVE-2026-13760, una vulnerabilità di system command injection in aws-cdk-lib durante il bundling Docker di NodejsFunction. Il problema è stato corretto nella versione 2.260.0. Il vettore richiede il controllo delle stringhe di versione delle dipendenze all’interno del file package.json, elemento particolarmente rilevante nelle pipeline moderne, dove repository, template, pacchetti e dipendenze vengono spesso elaborati automaticamente. Un attaccante che riesce a manipolare questi valori può ottenere l’esecuzione di comandi arbitrari sulla macchina che esegue la toolchain CDK. L’impatto non riguarda direttamente il runtime cloud, ma la fase di build e deployment, spesso dotata di credenziali ad alto privilegio, accesso a registri container, segreti CI/CD e permessi per creare o modificare risorse infrastrutturali. Questa tipologia di falla conferma la centralità della software supply chain: compromettere un tool di infrastruttura-as-code può essere più efficace che attaccare direttamente l’applicazione finale, perché consente di introdurre modifiche malevole nei processi di provisioning.

AWS CLI crea file world-readable su sistemi Unix-like

Il bollettino 2026-049-aws segnala CVE-2026-13769, una vulnerabilità legata a permessi insicuri in AWS CLI. Su sistemi Unix-like, alcune versioni del client creavano file di credenziali e configurazione con permessi world-readable, consentendo ad altri utenti locali di leggere dati sensibili. La falla interessa AWS CLI v1 fino alla 1.44.77 e AWS CLI v2 fino alla 2.34.28, con correzione nelle versioni successive. Il problema non produce esecuzione remota di codice, ma può avere conseguenze gravi in workstation condivise, server multiutente, ambienti di build, runner CI/CD, container persistenti o macchine amministrative usate da più operatori. Le credenziali AWS possono consentire accesso a bucket S3, funzioni Lambda, risorse EC2, database, segreti e log operativi. Anche dopo l’aggiornamento, le organizzazioni dovrebbero verificare manualmente i permessi dei file già creati, perché il fix del client non necessariamente modifica in modo retroattivo tutte le configurazioni presenti sul filesystem.

ClamAV espone Cisco Secure Endpoint a memory corruption e DoS

Annuncio

Sul fronte Cisco, una delle advisory riguarda più vulnerabilità nel motore antivirus ClamAV, utilizzato nei connettori di Cisco Secure Endpoint. Le falle coinvolgono l’elaborazione di diversi formati di file, tra cui PE, FSG, 7z, PESpin, ALZ, DMG e file InstallShield, con impatti che includono corruzione della memoria e Denial of Service durante la scansione. Il punteggio CVSS 7.5 e la classificazione High Severity sono particolarmente rilevanti sui sistemi Windows, dove il processo di scansione può operare con privilegi elevati. Il rischio tipico di queste vulnerabilità è che un file appositamente costruito, inviato via email, scaricato da web, depositato su share o introdotto in un endpoint, venga analizzato dal motore antivirus e causi crash, instabilità o comportamento anomalo del processo di sicurezza. Cisco ha rilasciato aggiornamenti per Cisco Secure Endpoint Connector su Windows 8.6.2, Linux 1.29.0 e Mac 1.27.2. La priorità di patching dovrebbe essere alta soprattutto per endpoint esposti a grandi volumi di allegati, archivi compressi e file provenienti da canali non affidabili.

Cisco Catalyst Center consente lettura arbitraria di file

Un’altra advisory Cisco riguarda CVE-2026-20191, vulnerabilità di Arbitrary File Read in Cisco Catalyst Center. Un attaccante non autenticato può inviare richieste HTTP appositamente costruite per leggere file arbitrari all’interno di un container limitato del dispositivo. La falla è classificata High e interessa sia appliance hardware sia distribuzioni virtuali su AWS, Azure ed ESXi. Anche se la lettura risulta confinata a un container, il rischio non va sottovalutato: file di configurazione, log, token, variabili, dati interni o informazioni operative possono offrire materiale utile per ricognizione, escalation, bypass successivi o attacchi mirati contro l’infrastruttura di rete. Cisco Catalyst Center è una piattaforma centrale per gestione, automazione e assurance delle reti enterprise; qualsiasi esposizione non autenticata merita quindi intervento rapido. Cisco ha rilasciato aggiornamenti correttivi, tra cui 3.1.6 GSMU200 per appliance virtuali, e le organizzazioni dovrebbero verificare con attenzione la versione installata, l’esposizione dell’interfaccia HTTP e le eventuali anomalie nei log di accesso.

Il rischio operativo riguarda cloud, endpoint e piattaforme di gestione

Il denominatore comune delle vulnerabilità pubblicate da AWS e Cisco è la posizione privilegiata dei componenti coinvolti. AWS Advanced JDBC Wrapper opera nel percorso applicativo verso database e cache, aws-cdk-lib interviene nella fase di build e provisioning, AWS CLI custodisce credenziali operative, Cisco Secure Endpoint analizza file potenzialmente ostili con privilegi elevati e Cisco Catalyst Center gestisce infrastrutture di rete critiche. La compromissione di questi componenti può produrre effetti superiori al singolo host vulnerabile, perché consente accesso a credenziali, deployment, configurazioni, workload e segmenti infrastrutturali più ampi. In particolare, le vulnerabilità nella toolchain DevOps e nei sistemi di gestione mostrano come il perimetro di sicurezza enterprise non coincida più con applicazioni e server esposti, ma includa build agent, repository, cache, workstation amministrative, endpoint security e piattaforme di orchestrazione.

Priorità di mitigazione per AWS e Cisco

Le organizzazioni dovrebbero aggiornare AWS Advanced JDBC Wrapper alla versione 4.0.1, aws-cdk-lib alla 2.260.0 e AWS CLI oltre le versioni vulnerabili, verificando contestualmente i permessi dei file di configurazione e credenziali sui sistemi Unix-like. Per mitigare CVE-2026-14265, è opportuno limitare l’accesso in scrittura a Redis e Valkey, segmentare le cache condivise, applicare autenticazione forte e monitorare inserimenti anomali di oggetti serializzati. Per CVE-2026-13760, i team DevOps devono trattare package.json e dipendenze come input non attendibili, soprattutto in repository esterni, template riusati o pipeline automatizzate. Sul fronte Cisco, occorre aggiornare Secure Endpoint Connector alle versioni corrette su Windows, Linux e Mac, oltre a verificare il livello di esposizione di Cisco Catalyst Center e applicare le release correttive indicate. Le difese più efficaci combinano patching, segmentazione, least privilege, controllo dei permessi locali, logging delle pipeline e monitoraggio dei processi di sicurezza. La finestra di rischio è elevata perché le falle colpiscono strumenti fidati e spesso allowlistati, proprio quelli che gli attaccanti cercano di trasformare in punti di accesso silenziosi.

Iscriviti alla Newsletter

Non perdere le analisi settimanali: Entra nella Matrice Digitale.

Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.

Torna in alto