CISA impone patch Ivanti in 4 giorni mentre cPanel e AWS correggono RCE

Le autorità americane impongono patch immediate per una vulnerabilità zero-day in Ivanti Endpoint Manager Mobile, mentre cPanel, WHM e AWS rilasciano fix urgenti contro rischi di esecuzione codice remoto, lettura di file arbitrari ed escalation di privilegi. A maggio 2026 gli amministratori di sistemi hosting, gestione endpoint e database cloud affrontano una raffica di aggiornamenti critici. La CISA concede solo quattro giorni alle agenzie federali per correggere CVE-2026-6973 in Ivanti EPMM, già sfruttata in attacchi limitati. Nello stesso periodo cPanel e WHM chiudono tre vulnerabilità che colpiscono server di hosting e pannelli di controllo, mentre Amazon corregge CVE-2026-8178 nel driver JDBC di Redshift, impedendo l’esecuzione di classi arbitrarie. Le iniziative arrivano in un momento di elevata attenzione alle supply chain digitali e alle infrastrutture critiche. Ritardi nel patching possono esporre organizzazioni a compromissioni, furto di dati, interruzioni operative e propagazione di malware. Il settore IT reagisce con urgenza perché gli attaccanti continuano a sfruttare configurazioni non aggiornate, componenti legacy e credenziali amministrative esposte.

cPanel e WHM correggono tre vulnerabilità nei server hosting

cPanel e Web Host Manager rilasciano aggiornamenti che correggono tre nuove vulnerabilità scoperte di recente nei pannelli di gestione hosting. La prima, identificata come CVE-2026-29201 con punteggio CVSS 4.3, deriva da una validazione insufficiente del nome del file di feature durante la chiamata adminbin feature::LOADFEATUREFILE. Un attaccante autenticato può sfruttarla per leggere file arbitrari sul sistema. La seconda vulnerabilità, CVE-2026-29202 con CVSS 8.8, nasce da una validazione errata del parametro plugin nella chiamata create_user API. In questo caso l’attaccante può eseguire codice Perl arbitrario con i privilegi dell’utente di sistema già autenticato. La terza falla, CVE-2026-29203 con CVSS 8.8, riguarda una gestione unsafe dei symlink e permette a un utente di modificare permessi di accesso a file arbitrari tramite chmod, causando denial-of-service o potenziale escalation di privilegi.

cPanel rilascia fix per versioni moderne e sistemi legacy

cPanel pubblica i fix nelle versioni 11.136.0.9 e successive, 11.134.0.25 e successive, fino a 11.86.0.43 e successive. WP Squared riceve gli aggiornamenti dalla versione 11.136.1.10 in poi, mentre gli utenti ancora su CentOS 6 o CloudLinux 6 ottengono la release diretta 110.0.114. Gli amministratori devono applicare questi update il prima possibile perché le vulnerabilità interessano direttamente infrastrutture di hosting condiviso e dedicato, spesso esposte su internet e utilizzate per ospitare migliaia di domini. Nessun exploit attivo risulta al momento per queste tre falle, ma l’annuncio arriva pochi giorni dopo un’altra criticità, CVE-2026-41940, già sfruttata per distribuire varianti della botnet Mirai e del ransomware Sorry. La tempestività dell’aggiornamento diventa quindi essenziale per mantenere la sicurezza dei server e ridurre la superficie di attacco.

CISA accelera il patching di Ivanti EPMM contro lo zero-day

CISA aggiunge CVE-2026-6973 al catalogo delle vulnerabilità sfruttate e impone alle agenzie federali di applicare la patch entro la mezzanotte di domenica 10 maggio 2026. La falla ad alta severità colpisce Ivanti Endpoint Manager Mobile nella versione on-premise 12.8.0.0 e precedenti. Un attaccante con credenziali amministrative può eseguire codice arbitrario da remoto sul sistema. La vulnerabilità non interessa la versione cloud Ivanti Neurons for MDM, né Ivanti EPM, Ivanti Sentry o altri prodotti del vendor. Ivanti conferma che lo sfruttamento risulta molto limitato al momento della disclosure, ma la classificazione nel catalogo Known Exploited Vulnerabilities indica che la falla è già stata osservata in attacchi reali. Il termine di quattro giorni mostra la gravità percepita dalla CISA e la necessità di ridurre immediatamente il rischio per l’enterprise federale.

Ivanti consiglia upgrade e rotazione delle credenziali admin

Ivanti raccomanda di aggiornare EPMM alle versioni 12.6.1.1, 12.7.0.1 o 12.8.0.1. Le organizzazioni devono inoltre rivedere gli account con diritti amministrativi e ruotare le credenziali, soprattutto se già esposte o se coinvolte nelle precedenti vulnerabilità CVE-2026-1281 e CVE-2026-1340 di gennaio 2026. Shadowserver rileva oltre 800 appliance EPMM esposte su internet, anche se non specifica quante risultino vulnerabili alla nuova falla. Il dato conferma comunque la rilevanza del rischio per aziende, enti pubblici e organizzazioni che gestiscono flotte di dispositivi mobili attraverso soluzioni on-premise. Ivanti serve oltre 40.000 clienti e supporta più di 7.000 partner, quindi ogni vulnerabilità nei suoi prodotti di gestione endpoint può avere un impatto molto ampio. La direttiva CISA ribadisce che questo tipo di difetto rappresenta un vettore frequente per attori malevoli.

AWS corregge l’esecuzione codice remoto nel driver Redshift JDBC

Amazon pubblica il security bulletin 2026-028-AWS e corregge CVE-2026-8178 nel driver Amazon Redshift JDBC. La vulnerabilità interessa tutte le versioni precedenti alla 2.2.2. Il driver di tipo 4 permette il caricamento e l’esecuzione di classi arbitrarie durante l’elaborazione di parametri nell’URL di connessione JDBC. Un attore capace di influenzare l’URL di connessione può quindi eseguire codice nel contesto dell’applicazione. Amazon classifica il problema come Important e invita gli utenti ad aggiornare rapidamente alla release 2.2.2. Il vendor ringrazia il ricercatore Fushuling per la segnalazione coordinata. La vulnerabilità colpisce un componente spesso integrato in applicazioni enterprise, pipeline dati e sistemi che interrogano data warehouse Redshift tramite API JDBC standard.

Redshift JDBC richiede aggiornamenti nelle dipendenze applicative

Gli sviluppatori e gli amministratori che usano Amazon Redshift devono aggiornare immediatamente il driver JDBC alla versione 2.2.2 e verificare eventuali fork o derivati del codice. Il rischio principale riguarda applicazioni in cui l’URL di connessione può essere influenzato direttamente o indirettamente da input non affidabili, configurazioni esterne o pipeline automatizzate. In questi scenari la vulnerabilità può trasformarsi in remote code execution nel contesto dell’applicazione vulnerabile. L’aggiornamento non riguarda soltanto il download del nuovo driver, ma anche la revisione delle dipendenze nei progetti, la ricompilazione delle applicazioni e il test delle pipeline di produzione. Il caso Redshift dimostra quanto i componenti apparentemente secondari, come driver di database e librerie di connettività, possano diventare punti critici nella sicurezza enterprise.

Hosting, endpoint e cloud database affrontano una finestra critica

Gli annunci simultanei creano una finestra di urgenza per migliaia di amministratori. I server cPanel e WHM gestiscono milioni di siti web e account di hosting, quindi una mancata patch può esporre ambienti condivisi a lettura di file sensibili, esecuzione di codice malevolo e denial-of-service. Le appliance Ivanti EPMM gestiscono dispositivi mobili aziendali e rappresentano un punto di controllo centrale per organizzazioni federali e private. Il termine di quattro giorni imposto dalla CISA lascia poco margine di manovra e obbliga i team IT a dare priorità immediata al patching. Il driver Redshift JDBC si trova invece all’interno di applicazioni enterprise e pipeline dati nel cloud, dove una compromissione può propagarsi rapidamente a processi analitici, database e sistemi di reportistica. La varietà dei prodotti coinvolti mostra quanto sia ampia la superficie di attacco moderna.

Gli amministratori devono verificare versioni e credenziali

Le organizzazioni devono stabilire priorità chiare e agire con metodo. Il primo passo consiste nel verificare la versione esatta dei prodotti in uso: cPanel, WHM, Ivanti EPMM e driver Amazon Redshift JDBC. Successivamente i team devono pianificare test rapidi in ambiente di staging prima dell’applicazione in produzione, dove possibile. Nel caso di Ivanti EPMM diventa prioritario anche il cambio delle password amministrative e la revisione degli account con privilegi elevati. Per cPanel e WHM, l’aggiornamento automatico tramite interfaccia del pannello rappresenta spesso il percorso più veloce. Per il driver Redshift, gli sviluppatori devono aggiornare dipendenze, rigenerare build e verificare che non restino versioni vulnerabili in applicazioni legacy. Queste attività riducono drasticamente la probabilità di sfruttamento e limitano eventuali movimenti laterali.

Maggio 2026 segna un momento critico per il patch management

Il contesto di maggio 2026 mostra un’accelerazione delle disclosure di vulnerabilità ad alto impatto. Zero-day già sfruttati, direttive governative con scadenze strette e fix rilasciati da vendor molto diffusi creano una pressione operativa concreta sui team di sicurezza. Le agenzie federali americane ricevono scadenze brevi perché rappresentano target di alto valore per gruppi criminali e attori statali. Le piattaforme di hosting come cPanel restano obiettivi frequenti per botnet e ransomware, mentre i driver di database cloud costituiscono componenti meno visibili ma essenziali nelle applicazioni enterprise. Gli esperti raccomandano strategie di patching continuo, monitoraggio dei canali ufficiali di CISA, Ivanti, cPanel e AWS, automazione degli aggiornamenti quando possibile e integrazione dei fix nei processi di change management. La reattività diventa un fattore decisivo per ridurre downtime, violazioni dati e compromissioni a catena.

Le azioni operative riducono il rischio immediato

Gli amministratori di cPanel e WHM devono controllare la versione corrente e lanciare l’aggiornamento dal pannello di controllo. Se il sistema opera ancora su versioni legacy come CentOS 6 o CloudLinux 6, va applicata subito la release 110.0.114. Per Ivanti EPMM occorre verificare se l’installazione è on-premise e procedere all’upgrade alle versioni patchate, rispettando la scadenza del 10 maggio 2026 per le agenzie federali. Gli utenti AWS devono scaricare il driver JDBC 2.2.2 dal repository ufficiale e aggiornare le dipendenze nei progetti. Tutti i team dovrebbero documentare le azioni intraprese per audit, conformità e verifiche successive. Le organizzazioni con ambienti ibridi o multi-vendor devono creare un piano condiviso, assegnare risorse dedicate al patching, eseguire test di regressione e informare gli stakeholder sui tempi di applicazione. In una fase di disclosure così concentrata, coordinamento e rapidità diventano parte integrante della resilienza digitale.