Pioggia di vulnerabilità su Cisco Webex e M365, mentre Microsoft Exchange va in tilt

Cisco e Microsoft concentrano in poche ore una sequenza di avvisi che colpisce alcuni dei pilastri più utilizzati nelle infrastrutture enterprise: collaborazione video, telefonia IP, contact center, data center software-defined, produttività mobile e posta cloud. Il 3 giugno 2026 Cisco pubblica quattro advisory su vulnerabilità in Webex Meetings, Unified Communications Manager, Finesse e ACI Multi-Site CloudSec, mentre Microsoft conferma il 2 giugno la correzione di Flagleft, una falla nelle app Microsoft 365 per Android capace di trasformare dispositivi mobili apparentemente sicuri in pipeline di takeover silenzioso degli account. Sullo sfondo resta anche l’outage di Exchange Online, con ritardi e fallimenti nel mail flow in più regioni. Le vulnerabilità non appartengono alla stessa categoria tecnica, ma disegnano una superficie di rischio coerente: XSS nei sistemi di meeting, SSRF nei servizi di comunicazione unificata, Remote File Inclusion nei contact center, disclosure crittografica nei fabric ACI e bypass dei controlli sui token nelle app mobile. Il messaggio per i team IT è netto: anche piattaforme mature e gestite da vendor dominanti continuano a dipendere da validazione degli input, configurazioni corrette, patch tempestive e riduzione dei servizi non necessari.

Cisco corregge una XSS in Webex Meetings gestita via cloud

La prima advisory riguarda Webex Meetings e la vulnerabilità CVE-2026-20233, una cross-site scripting nell’interfaccia web-based del servizio cloud. Il difetto deriva da una validazione insufficiente dell’input utente e può essere sfruttato da un attaccante remoto non autenticato inducendo la vittima a cliccare un link malevolo. L’impatto consente l’esecuzione di script arbitrari nel browser dell’utente e l’eventuale accesso a informazioni sensibili memorizzate nel contesto della sessione. Cisco assegna alla falla un punteggio CVSS 6.1, classificandola come rischio medio, ma la natura del prodotto rende comunque rilevante l’aggiornamento perché Webex Meetings viene usato in ambienti aziendali, istituzionali e professionali dove sessioni browser, credenziali e dati di collaborazione possono avere valore elevato. La particolarità positiva è che il problema viene risolto direttamente nel servizio cloud senza richiedere interventi manuali da parte dei clienti. Non sono previsti workaround e Cisco PSIRT non segnala sfruttamenti attivi o annunci pubblici al momento della pubblicazione. La correzione automatica riduce l’urgenza operativa, ma conferma che anche servizi SaaS gestiti centralmente restano esposti a difetti classici come XSS quando la sanitizzazione dell’input non è completa.

Unified Communications Manager espone una SSRF critica con WebDialer attivo

La vulnerabilità più grave del pacchetto Cisco è la CVE-2026-20230, una server-side request forgery che colpisce Cisco Unified Communications Manager e Unified CM Session Management Edition quando il servizio WebDialer è abilitato. Il difetto nasce da una validazione impropria di specifiche richieste HTTP e permette a un attaccante remoto non autenticato di inviare richieste craftate capaci di forzare il sistema a scrivere file sul sistema operativo sottostante. In scenari successivi, l’exploit può aprire la strada a una escalation di privilegi fino a root, trasformando un problema applicativo in rischio di compromissione del sistema. Cisco assegna alla falla un punteggio CVSS 8.6, classificandola come critica, e segnala l’esistenza di proof-of-concept pubblici o comunque noti, pur senza indicare sfruttamenti attivi osservati. Il prerequisito operativo è l’attivazione di WebDialer, servizio disabilitato di default ma presente in molte installazioni dove gli utenti utilizzano funzionalità click-to-call. Gli amministratori devono verificare subito lo stato del servizio, disabilitarlo se non necessario e applicare gli aggiornamenti indicati: 14SU6 per la release 14 e 15SU5 o COP 1 per la release 15. La vicenda mostra come componenti opzionali possano trasformarsi in punti di ingresso critici quando restano attivi senza una reale esigenza operativa.

Finesse consente remote file inclusion nelle sessioni utente attive

La terza advisory interessa Cisco Finesse, piattaforma usata negli ambienti di contact center, e riguarda la CVE-2026-20175, una vulnerabilità di Remote File Inclusion causata da validazione insufficiente degli input nelle richieste HTTP. Un attaccante remoto non autenticato può sfruttare il difetto per caricare file arbitrari da posizioni remote all’interno di una sessione utente attiva sul dispositivo. L’impatto può tradursi in attacchi browser-based, esecuzione di script arbitrari nel contesto dell’interfaccia o accesso a informazioni sensibili associate alla sessione. Cisco assegna un CVSS 6.1 e precisa che la vulnerabilità colpisce Finesse indipendentemente dalla configurazione, interessando versioni precedenti alla 15.0 e la 15.0 fino alla SU1. Non esistono workaround e l’unica risposta consigliata è l’aggiornamento a 15.0(1)SU1 o a release corrette. Per le organizzazioni che gestiscono contact center, la priorità è elevata perché Finesse opera spesso in ambienti dove agenti, chiamate, dati cliente e workflow di assistenza convivono nella stessa interfaccia. Una compromissione del browser o della sessione può quindi aprire la strada a furto di informazioni, manipolazione delle interazioni o movimenti laterali verso altri sistemi aziendali.

ACI Multi-Site CloudSec espone traffico inter-sito a disclosure

La quarta vulnerabilità Cisco riguarda ACI Multi-Site e la feature CloudSec Encryption, con la CVE-2023-20185 che colpisce switch Nexus 9000 Series in modalità ACI quando viene utilizzata la crittografia CloudSec tra siti. Il problema deriva da una debolezza nell’implementazione dei cipher e consente a un attaccante in posizione on-path di intercettare traffico crittografato e applicare tecniche crittanalitiche per decifrare o modificare i dati. Cisco assegna alla vulnerabilità un punteggio CVSS 7.4, classificandola come rischio alto. A differenza delle altre advisory, qui non è previsto un aggiornamento software risolutivo: la feature CloudSec Encryption è stata deprecata e rimossa nelle release successive di NDO e ACI, quindi la raccomandazione del produttore è disabilitarla e adottare alternative di crittografia per collegamenti site-to-site. Gli amministratori possono verificarne lo stato tramite l’interfaccia NDO o con il comando show cloudsec sa interface all sugli switch. Il caso è particolarmente sensibile perché riguarda traffico inter-sito in architetture data center distribuite, dove la riservatezza e l’integrità dei dati in transito sono requisiti fondamentali. Una funzione di sicurezza deprecata che resta attiva può diventare un rischio maggiore del traffico non protetto che avrebbe dovuto difendere.

Microsoft corregge Flagleft nelle app Microsoft 365 per Android

Sul fronte Microsoft, la falla Flagleft colpisce le app Microsoft 365 per Android attraverso un flag di debug dimenticato, setIsDebugMode(true), rimasto attivo in produzione. Il problema disabilitava un controllo critico di autorizzazione sui token condivisi FOCI, consentendo a qualsiasi app installata sullo stesso dispositivo Android di richiedere e ottenere token validi senza interazione dell’utente e senza prompt di consenso. Le applicazioni coinvolte includono Word, PowerPoint, Excel, Microsoft 365 Copilot, Microsoft Loop e OneNote, tutte interessate tramite un SDK condiviso. L’impatto è particolarmente grave perché un’app malevola presente sul dispositivo poteva ottenere accesso completo all’account Microsoft 365, leggere email, accedere a file, inviare messaggi e modificare documenti senza segnali visibili per la vittima. Microsoft assegna CVE-2026-41101 a Word e PowerPoint con CVSS 7.1 High, mentre CVE-2026-41100 riguarda Copilot con CVSS 4.4 Medium. La ricerca di Enclave ha dimostrato la vulnerabilità con un proof-of-concept, spingendo Microsoft a disabilitare il flag in produzione e a pubblicare aggiornamenti per tutte le app interessate. Gli utenti e le aziende devono aggiornare immediatamente l’intero pacchetto mobile per ripristinare i controlli di autorizzazione e bloccare takeover silenziosi.

Flagleft mostra il rischio dei token condivisi negli ecosistemi mobile

La vulnerabilità Flagleft è particolarmente rilevante perché non sfrutta una debolezza esotica, ma un errore operativo in un componente condiviso da app estremamente diffuse. I token FOCI permettono a più applicazioni appartenenti alla stessa famiglia di autenticarsi in modo coerente all’interno dell’ecosistema Microsoft 365, migliorando l’esperienza utente e riducendo attriti nel login. Tuttavia, quando un controllo di autorizzazione viene disabilitato da un flag di debug rimasto attivo, quel vantaggio si trasforma in una superficie di attacco molto ampia. Un’app non fidata sullo stesso dispositivo può abusare del meccanismo di condivisione dei token e ottenere accesso ai servizi cloud associati all’account. Il caso evidenzia un rischio centrale degli ecosistemi mobile enterprise: la sicurezza non dipende soltanto dalla robustezza del backend, ma anche dal comportamento degli SDK, dalle impostazioni di build e dalla separazione tra applicazioni installate sullo stesso dispositivo. In ambienti BYOD, dove l’utente mescola app personali e applicazioni aziendali, una falla come Flagleft può diventare un vettore di compromissione particolarmente silenzioso.

Exchange Online affronta ritardi e fallimenti nel mail flow

Accanto alla correzione di Flagleft, Microsoft gestisce anche un outage di Exchange Online iniziato il 2 giugno 2026, con ritardi significativi e fallimenti nell’invio e nella ricezione delle email. L’incidente interessa il pipeline di mail flow per clienti globali e produce errori SMTP temporanei come “The maximum number of concurrent connections per resource forest has exceeded a limit” o “Connection was closed abruptly”. Alcuni messaggi restano in coda per oltre un’ora, creando impatti operativi rilevanti per aziende che dipendono da Exchange Online come infrastruttura primaria di comunicazione. Microsoft amplia progressivamente la comunicazione a regioni come Nord America, Germania, APAC ed Europa, mentre gli ingegneri analizzano il backlog delle code di posta per isolare i punti di fallimento. L’azienda pubblica aggiornamenti sullo stato del servizio ma non indica immediatamente una causa root definitiva. Per i team IT, l’outage aggiunge una dimensione di continuità operativa al quadro di sicurezza: anche quando una piattaforma cloud non è compromessa, interruzioni o ritardi possono incidere su processi aziendali, escalation interne, ticketing, approvazioni e comunicazioni con clienti.

Cisco e Microsoft mostrano la fragilità della collaborazione enterprise

Le advisory di Cisco e gli incidenti di Microsoft confermano che la collaborazione enterprise resta una delle superfici più sensibili dell’infrastruttura digitale moderna. Webex Meetings, Unified Communications Manager, Finesse, ACI Multi-Site, Microsoft 365 Android ed Exchange Online appartengono a livelli diversi dello stack, ma condividono un elemento comune: sostengono comunicazioni, identità, dati e processi aziendali quotidiani. Una XSS può compromettere sessioni browser, una SSRF può portare a scrittura di file e possibili privilegi root, una Remote File Inclusion può introdurre contenuti remoti in sessioni attive, una debolezza crittografica può esporre traffico inter-sito, un token FOCI ottenuto abusivamente può aprire l’intero account Microsoft 365 e un outage di Exchange Online può bloccare il flusso email globale. Le organizzazioni devono quindi trattare questi eventi come segnali di una stessa esigenza: mantenere inventari aggiornati, applicare patch, disabilitare servizi opzionali come WebDialer quando non necessari, rimuovere feature deprecate come CloudSec Encryption, aggiornare le app mobile e monitorare costantemente lo stato dei servizi SaaS critici. In un ecosistema enterprise sempre più integrato, la sicurezza non dipende da un singolo vendor, ma dalla capacità dei team IT di collegare rapidamente advisory, configurazioni, endpoint, cloud e continuità operativa.