Vulnerabilità cyber colpiscono Cisco, HPE e Microsoft tra exploit attivi e patch urgenti

Le vulnerabilità cyber emerse tra la fine del 2025 e l’inizio del 2026 mostrano con chiarezza come software enterprise, strumenti di sicurezza e applicazioni di uso quotidiano restino esposti a exploit attivi e proof-of-concept pubblici, costringendo organizzazioni pubbliche e private a una corsa contro il tempo per mitigare i rischi. La CISA ha incluso nuove falle critiche nel catalogo Known Exploited Vulnerabilities, coinvolgendo Hewlett-Packard Enterprise, Microsoft e, indirettamente, l’ecosistema Cisco, già impegnato nella gestione di vulnerabilità multiple su ISE e Snort 3.

Il quadro che emerge è quello di una superficie di attacco eterogenea, che va dal software di gestione infrastrutturale ai motori di ispezione di rete, fino a librerie JavaScript e app desktop, con impatti che spaziano dall’esecuzione di codice remoto non autenticata al furto di informazioni sensibili, fino a interruzioni operative.

La vulnerabilità XML entity in Cisco ISE

Cisco ha confermato una vulnerabilità di information disclosure in Identity Services Engine (ISE) e ISE-PIC, legata a un parsing improprio di XML nell’interfaccia di web management. La flaw, identificata come CVE-2026-20029, consente a attaccanti remoti autenticati con privilegi amministrativi di caricare file XML malevoli e ottenere la lettura arbitraria di file dal sistema operativo sottostante.

Tutte le configurazioni Cisco ISE e ISE-PIC risultano affette fino all’applicazione delle patch corrette. Le release precedenti alla 3.2 sono vulnerabili, mentre le 3.2 e 3.3 restano esposte fino alla Patch 8, la 3.4 fino alla Patch 4. Solo la 3.5 risulta immune nativamente. La severità è classificata media, con CVSS 4.9, ma l’impatto è significativo perché consente la lettura di dati sensibili oltre i limiti previsti, amplificando i rischi di abuso interno o compromissione post-breach.

La presenza di proof-of-concept pubblici aumenta l’urgenza, nonostante Cisco non abbia rilevato sfruttamenti attivi al momento della disclosure. In assenza di workaround, l’unica mitigazione resta l’upgrade alle versioni corrette, confermando quanto il parsing XML continui a rappresentare una classe di vulnerabilità persistente nei prodotti enterprise.

I problemi DCE/RPC in Snort 3 e l’impatto sugli ambienti di rete

Un secondo fronte critico riguarda Snort 3, il motore di ispezione utilizzato in numerosi prodotti Cisco. Due vulnerabilità distinte, CVE-2026-20026 e CVE-2026-20027, colpiscono la gestione del protocollo DCE/RPC, permettendo a attaccanti remoti non autenticati di causare denial-of-service o leak di informazioni.

La CVE-2026-20026 sfrutta un use-after-free nel buffer DCE/RPC, inducendo il restart del Detection Engine e interrompendo l’ispezione del traffico. La CVE-2026-20027 consente invece una lettura out-of-bounds, esponendo dati sensibili dal flusso di elaborazione. Entrambe hanno severità media, con CVSS 5.8 e 5.3, ma colpiscono componenti centrali della sicurezza di rete.

I prodotti interessati includono Open Source Snort 3, Cisco Secure Firewall Threat Defense, Cisco IOS XE con UTD Snort IPS Engine, e piattaforme Meraki MX e vMX. In particolare, le nuove installazioni FTD 7.0.0 utilizzano Snort 3 di default, aumentando l’esposizione. Le patch sono state distribuite in Snort 3.9.6.0, Cisco IOS XE 26.1.1 e aggiornamenti pianificati per Meraki a febbraio 2026.

Queste vulnerabilità dimostrano come protocolli legacy come DCE/RPC continuino a rappresentare un punto debole strutturale, soprattutto quando integrati in ambienti moderni ad alta complessità.

HPE OneView e l’exploit attivo da CVSS 10.0

La situazione più critica riguarda HPE OneView, piattaforma di infrastructure management largamente utilizzata in contesti enterprise. La CISA ha inserito la CVE-2025-37164 nel catalogo KEV, confermando la presenza di exploit attivi in the wild.

La vulnerabilità consente esecuzione di codice remoto non autenticata con complessità bassa, ottenendo un CVSS 10.0, il massimo livello di severità. Tutte le versioni precedenti alla 11.00 risultano affette. HPE ha rilasciato le patch a metà dicembre 2025, raccomandando l’upgrade immediato alla 11.00 o successive, senza possibilità di workaround alternativi.

Per le agenzie federali statunitensi, l’obbligo di patch è fissato al 28 gennaio 2026 in base alla BOD 22-01, ma CISA invita anche le organizzazioni private ad agire con la stessa urgenza. L’impatto potenziale è enorme: il controllo di OneView equivale l’accesso completo alla gestione dell’infrastruttura fisica, trasformando la vulnerabilità in un moltiplicatore di compromissione.

jsPDF e il rischio di esposizione del filesystem

Nel mondo dello sviluppo applicativo, una vulnerabilità critica ha colpito jsPDF, libreria JavaScript utilizzata per la generazione di PDF, con oltre 3,5 milioni di download settimanali su npm. La CVE-2025-68428 consente local file inclusion e path traversal, permettendo a un attaccante di includere file locali sensibili all’interno dei PDF generati.

La flaw interessa le build Node.js precedenti alla 4.0.0, dove funzioni come addImage, html e addFont richiamano loadFile senza adeguata sanitizzazione dell’input. Il CVSS 9.2 riflette l’elevata gravità, soprattutto in contesti in cui input utente non affidabile viene utilizzato per generare documenti.

Il fix è stato introdotto nella versione 4.0.0, con l’adozione di Node.js permission mode per limitare l’accesso al filesystem. In ambienti legacy, la mitigazione richiede sanitizzazione rigorosa dei path, confermando quanto le librerie di uso comune possano diventare vettori critici se integrate senza controlli adeguati.

Microsoft Office PowerPoint e la persistenza delle vulnerabilità legacy

Un segnale allarmante arriva dall’inclusione della CVE-2009-0556 nel catalogo KEV di CISA, nonostante si tratti di una vulnerabilità storica di Microsoft Office PowerPoint. La flaw consente code injection remota tramite memory corruption, con CVSS 8.8, ed è stata originariamente documentata nel bulletin MS09-017.

La sua presenza nel catalogo KEV indica che sistemi non patchati continuano a essere sfruttabili, evidenziando la persistenza del rischio legacy in ambienti dove aggiornamenti incompleti o configurazioni obsolete restano operative. Le agenzie federali devono applicare le mitigazioni entro il 28 gennaio 2026, ma il messaggio è più ampio: le vulnerabilità non scompaiono con il tempo, se i sistemi non vengono aggiornati.

Il caso Logitech su macOS e la dipendenza dai certificati

Sul fronte consumer, Logitech Options+ e Logitech G HUB hanno subito un blocco improvviso su macOS a causa di un certificato di code-signing scaduto. L’evento ha impedito l’avvio delle applicazioni, rendendo inaccessibili gesture, mapping dei pulsanti, profili DPI e personalizzazioni.

Options+ Just Spins and Spins – Mac
byu/DeliciousCut4854 inlogitech

Pur non trattandosi di una vulnerabilità sfruttabile da attaccanti, l’incidente mostra come dipendenze critiche come i certificati possano generare interruzioni operative diffuse, con impatti immediati sugli utenti. Logitech ha annunciato un nuovo installer macOS senza bump di versione, ma senza fornire una timeline precisa, evidenziando un’altra dimensione del rischio software: la fragilità operativa.

Un quadro sistemico di rischio cyber nel 2026

Nel loro insieme, queste vulnerabilità mostrano un ecosistema software sotto pressione, in cui exploit attivi, proof-of-concept pubblici e dipendenze legacy convivono con infrastrutture moderne. CISA, attraverso il catalogo KEV, si conferma un barometro delle priorità di rischio, mentre vendor come Cisco, HPE e Microsoft rilasciano patch in tempi sempre più stretti. La lezione è chiara: patch management continuo, visibilità sulle superfici di attacco e valutazione critica delle dipendenze software non sono più opzioni, ma requisiti minimi per la resilienza. Nel 2026, la distinzione tra software legacy e moderno si fa sempre più sottile, e ogni componente non aggiornato diventa un potenziale punto di ingresso.

Domande frequenti sulle vulnerabilità Cisco, HPE e Microsoft