Drupal e ChromaDB espongono vulnerabilità critiche mentre NX Console viene compromessa

Drupal annuncia un aggiornamento di sicurezza urgente per il core del CMS mentre ChromaDB presenta una falla di massima gravità che consente il completo hijacking del server. Nella stessa settimana emergono problemi critici anche su SeppMail Secure Email Gateway e sulla versione 18.95.0 di NX Console, presa di mira da attaccanti che distribuiscono un malware per il furto di credenziali. Queste quattro vulnerabilità colpiscono piattaforme ampiamente diffuse e mettono in allarme sviluppatori, aziende e amministratori di sistema. Drupal rilascia patch per versioni supportate e persino per rami end-of-life perché gli exploit potrebbero comparire entro poche ore dalla pubblicazione. ChromaDB espone server di applicazioni AI a esecuzione di codice arbitrario senza autenticazione efficace. SeppMail permette remote code execution e accesso completo al traffico email aziendale. NX Console compromette ambienti di sviluppo VS Code con un credential stealer sofisticato capace di colpire GitHub, npm, AWS e servizi AI. Le minacce arrivano simultaneamente e richiedono interventi immediati per evitare compromissioni estese su infrastrutture web, sistemi di posta, pipeline DevOps e ambienti AI.

Drupal prepara un aggiornamento core urgente per milioni di siti web

Il Drupal Security Team avverte gli amministratori di riservare tempo per un aggiornamento critico del core previsto il 20 maggio 2026 tra le 17 e le 21 UTC. La vulnerabilità viene classificata come grave e gli esperti ritengono probabile la comparsa di exploit pubblici entro poche ore o giorni dalla disponibilità delle patch ufficiali. Il team fornisce aggiornamenti per i rami supportati 11.3.x, 11.2.x, 10.6.x e 10.5.x, ma distribuisce anche patch “best-effort” per versioni minori ormai end-of-life come 11.1.x, 11.0.x, 10.4.x e perfino per vecchi rami Drupal 8 e Drupal 9. Drupal 7 non risulta interessato dal problema. Gli amministratori devono aggiornare immediatamente alle ultime release preparatorie e applicare il security update non appena disponibile. Il team raccomanda inoltre una migrazione urgente verso almeno Drupal 10.6 per chi utilizza ancora versioni legacy non più mantenute. La scelta di distribuire fix anche per versioni fuori supporto evidenzia la gravità della vulnerabilità e la volontà di proteggere il maggior numero possibile di installazioni web enterprise e governative.

SeppMail espone gateway email a RCE e compromissione completa della posta

SeppMail Secure Email Gateway presenta una catena di vulnerabilità critiche che permettono esecuzione di codice remoto e accesso completo alla posta elettronica aziendale. La più grave, CVE-2026-2743, ottiene un punteggio CVSS 10.0 e sfrutta un path traversal che consente di sovrascrivere file di sistema sensibili come /etc/syslog.conf con privilegi dell’utente nobody. Gli attaccanti possono utilizzare questa falla per generare una reverse shell Perl e ottenere il controllo totale dell’appliance. La catena include anche CVE-2026-44128 con eval injection non autenticata, CVE-2026-44126 con deserializzazione di dati non attendibili e CVE-2026-44127 con path traversal per lettura e cancellazione arbitraria di file. Combinando gli exploit, gli aggressori possono intercettare tutto il traffico email, mantenere persistenza e utilizzare il gateway come punto di ingresso nella rete interna dell’organizzazione. Le patch risultano già disponibili: la versione 15.0.2.1 corregge CVE-2026-44128, la 15.0.3 risolve CVE-2026-44126 e la 15.0.4 chiude le vulnerabilità rimanenti. Le aziende che utilizzano SeppMail devono aggiornare immediatamente per evitare compromissioni complete dei sistemi di posta elettronica.

NX Console 18.95.0 distribuisce malware per furto credenziali su VS Code

La versione 18.95.0 di NX Console, estensione per Visual Studio Code con oltre 2,2 milioni di installazioni, è stata pubblicata in forma compromessa dopo la violazione di un account sviluppatore. Gli attaccanti hanno inserito un commit orfano non firmato nel repository GitHub ufficiale. L’estensione scarica ed esegue nel giro di pochi secondi un payload obfuscato da circa 498 KB che installa il runtime Bun e avvia un malware multi-stage. Il codice malevolo ruba credenziali da 1Password, Anthropic Claude, npm, GitHub e AWS. Su macOS installa anche una backdoor Python che utilizza l’API GitHub Search come dead drop per ricevere comandi remoti.

Il malware evita deliberatamente sistemi situati in fusi orari russi o CIS e opera come processo detached in background. Gli attaccanti sfruttano inoltre Sigstore per generare certificati validi e potenzialmente pubblicare pacchetti npm malevoli firmati. Solo gli utenti che hanno installato la versione 18.95.0 tra le 14:36 e le 14:47 CEST del 18 maggio risultano colpiti. La versione corretta arriva con NX Console 18.100.0. Gli sviluppatori devono aggiornare immediatamente, terminare processi sospetti come cat.py e ruotare tutte le credenziali esposte.

ChromaDB espone server AI a hijacking completo tramite modelli malevoli

ChromaDB, database vettoriale open source utilizzato da migliaia di applicazioni AI per retrieval semantico e pipeline LLM, contiene una vulnerabilità critica identificata come CVE-2026-45829. L’attaccante invia una richiesta craftata verso un endpoint API autenticato e costringe il server a caricare un modello malevolo da Hugging Face prima che venga verificata l’autenticazione dell’utente. Il codice malevolo viene eseguito localmente grazie al flag trust_remote_code attivato.

L’autenticazione avviene soltanto dopo il caricamento del modello, quindi anche una richiesta rifiutata con errore 500 lascia comunque il payload già eseguito sul server. La vulnerabilità esiste dalla versione 1.0.0 e risulta ancora non corretta nella 1.5.8. Circa il 73 per cento delle istanze ChromaDB esposte su internet risulta vulnerabile secondo le analisi disponibili. Gli sviluppatori che espongono il server Python tramite HTTP rischiano un hijacking completo del server AI e delle pipeline di inferenza associate. La versione Rust frontend e le installazioni locali non esposte non risultano colpite. Gli amministratori devono evitare esposizioni pubbliche, limitare l’accesso di rete e verificare attentamente i modelli caricati fino alla disponibilità della patch ufficiale.

Le vulnerabilità colpiscono contemporaneamente CMS, email, AI e supply chain

Queste quattro vulnerabilità colpiscono ecosistemi tecnologici differenti ma condividono un impatto operativo estremamente elevato. Drupal gestisce milioni di siti web aziendali, governativi e istituzionali: un exploit rapido potrebbe compromettere piattaforme critiche su larga scala. SeppMail protegge il traffico email di grandi organizzazioni e la sua compromissione permette accesso completo a comunicazioni sensibili e reti interne. NX Console colpisce direttamente sviluppatori che utilizzano monorepo moderni e workflow DevOps: la perdita di credenziali GitHub, npm o AWS apre la strada a ulteriori attacchi supply chain. ChromaDB rappresenta invece il backend di numerose applicazioni agentiche e sistemi basati su LLM: il hijacking di un server AI consente esecuzione arbitraria di codice all’interno di pipeline di inferenza e retrieval. Le organizzazioni che utilizzano contemporaneamente questi strumenti si trovano quindi esposte su più fronti tecnologici nello stesso momento. Gli attaccanti sfruttano supply chain, configurazioni legacy e vulnerabilità logiche nell’ordine delle verifiche di autenticazione per massimizzare il danno operativo.

Gli amministratori devono applicare aggiornamenti e mitigazioni immediate

Gli amministratori Drupal devono preparare immediatamente gli aggiornamenti per il rilascio del 20 maggio e verificare lo stato dei siti subito dopo la pubblicazione delle patch. Gli utenti SeppMail devono aggiornare almeno alla versione 15.0.4 o superiore per chiudere completamente la catena di vulnerabilità. Gli sviluppatori che utilizzano VS Code devono verificare la versione di NX Console, aggiornare subito alla 18.100.0 e ruotare tutte le credenziali potenzialmente compromesse. I team AI che utilizzano ChromaDB devono limitare l’esposizione del server, preferire il frontend Rust e verificare attentamente i modelli caricati da repository esterni come Hugging Face. In tutti i casi Microsoft, vendor e ricercatori raccomandano l’adozione rigorosa del principio di least privilege, monitoraggio continuo dei log, MFA phishing-resistant e segmentazione delle reti critiche. Le aziende enterprise devono verificare rapidamente l’inventario dei componenti vulnerabili e pianificare aggiornamenti coordinati per ridurre la finestra di esposizione. La simultaneità di queste vulnerabilità dimostra ancora una volta quanto aggiornamenti tempestivi e configurazioni sicure restino elementi fondamentali anche per piattaforme mature e ampiamente adottate.