Patch critiche Cisco, Claude Code e Magento espongono enterprise e supply chain

Tre vulnerabilità critiche emerse tra fine maggio e il 4 giugno 2026 mettono sotto pressione infrastrutture enterprise, pipeline di sviluppo assistite da AI e piattaforme e-commerce basate su Magento. Cisco corregge CVE-2026-20230 in Unified Communications Manager e Unified Communications Manager Session Management Edition, una falla SSRF capace di portare alla scrittura arbitraria di file e all’escalation fino a root. Anthropic risolve invece una vulnerabilità in Claude Code GitHub Action che consente a un singolo issue malevolo di compromettere repository pubblici attraverso prompt injection, furto di token e abuso dei permessi nei workflow CI/CD. CISA aggiunge infine CVE-2026-45247 al catalogo Known Exploited Vulnerabilities dopo lo sfruttamento attivo di un RCE nel plugin Mirasvit Full Page Cache Warmer per Magento. Le tre falle condividono un tratto comune: sfruttano fiducia implicita, input non verificati e componenti con privilegi elevati. Il risultato è un quadro di rischio che non riguarda singoli prodotti isolati, ma l’intera superficie moderna della supply chain digitale.

Cisco corregge CVE-2026-20230 in Unified CM

La vulnerabilità CVE-2026-20230 colpisce Cisco Unified Communications Manager e Cisco Unified Communications Manager Session Management Edition attraverso un problema di server-side request forgery legato alla mancata validazione di specifiche richieste HTTP. Un attaccante non autenticato, con accesso di rete al sistema vulnerabile, può inviare una richiesta crafted capace di forzare il server a scrivere file arbitrari sul sistema operativo sottostante. Questo primo foothold può essere poi sfruttato per ottenere escalation di privilegio fino a root, trasformando una falla applicativa in compromissione completa dell’infrastruttura VoIP enterprise. Cisco assegna alla vulnerabilità un rating Critical, pur in presenza di un punteggio CVSS base pari a 8,6, perché il risultato finale dell’exploit concede accesso amministrativo totale al sistema. Il requisito principale è la presenza del servizio WebDialer attivo, configurazione comune in molti ambienti aziendali. La falla è stata segnalata tramite SSD Secure Disclosure da un ricercatore indipendente e, pur non essendo indicata come sfruttata attivamente da Cisco al momento della pubblicazione dell’advisory, la disponibilità di proof-of-concept pubblici riduce drasticamente i tempi necessari per la riproduzione dell’attacco.

WebDialer diventa il punto debole della telefonia enterprise

Il vettore tecnico della falla Cisco passa dalla gestione delle richieste verso WebDialer, componente utilizzato in molte installazioni Unified CM per abilitare funzionalità di chiamata tramite interfacce web e integrazioni aziendali. L’attaccante può costruire un payload in grado di indurre il server a scrivere file in percorsi sensibili, preparando la successiva escalation locale. Il rischio è particolarmente elevato negli ambienti in cui Unified CM gestisce telefonia IP, collaborazione interna, comunicazioni business-critical e servizi integrati con altri sistemi aziendali. Una compromissione root non produce soltanto accesso al singolo host, ma può aprire scenari di intercettazione, pivoting laterale e manipolazione dei servizi voce. Cisco rende disponibile Unified CM 14SU6 per il ramo 14 e un COP interim per il ramo 15, in attesa della Service Update 15SU5 prevista per settembre 2026. Come misura temporanea, gli amministratori possono disabilitare WebDialer da Cisco Unified CM Administration per ridurre la superficie d’attacco. La vulnerabilità si inserisce in una sequenza di bug root-level non autenticati che hanno già coinvolto Unified CM, incluse CVE-2025-20309 e CVE-2026-20045, rendendo urgente una revisione sistematica dell’esposizione e dei log.

Claude Code GitHub Action espone i repository alla prompt injection

La seconda falla riguarda Claude Code GitHub Action, strumento di Anthropic progettato per integrare Claude AI nei workflow GitHub Actions e automatizzare triage di issue, review di pull request e comandi slash all’interno dei repository. Il ricercatore RyotaK di GMO Flatt Security ha individuato una vulnerabilità che consente a un attaccante di compromettere repository pubblici attraverso un singolo issue malevolo. Il problema nasce da una logica di verifica del trigger troppo permissiva: l’action considera affidabili gli actor che terminano con la stringa [bot], assumendo che i GitHub App siano entità sicure. Un attaccante può quindi registrare una GitHub App malevola, installarla su un repository controllato e usarne il token per aprire issue su repository pubblici bersaglio. In modalità agent manca il controllo addizionale presente nella tag mode, creando le condizioni per una prompt injection indiretta. L’issue crafted contiene istruzioni che il modello interpreta come parte del compito operativo, inducendo Claude a eseguire azioni non previste. Considerando i permessi ampi dell’action su codice, issue, pull request, discussion e workflow file, l’impatto potenziale riguarda direttamente la supply chain del software.

Un issue malevolo può rubare token e avvelenare la CI/CD

La catena d’attacco contro Claude Code GitHub Action sfrutta l’interazione tra input non trusted, agent AI con capacità operative e token disponibili nell’ambiente di esecuzione. L’attaccante apre un issue contenente istruzioni progettate per simulare un errore nel recupero dei dati tramite mcp__github__get_issue e spingere Claude a eseguire comandi di recupero incorporati nel testo. Il payload mira alla lettura di /proc/self/environ, dove possono essere presenti variabili d’ambiente sensibili. Anche se Claude Code blocca letture naive, il bypass consente di scrivere i valori estratti nello stesso issue tramite mcp__github__update_issue, rendendo possibile l’esfiltrazione. Tra i dati più sensibili figurano ACTIONS_ID_TOKEN_REQUEST_TOKEN e ACTIONS_ID_TOKEN_REQUEST_URL, utilizzabili per replicare lo scambio OIDC e ottenere un installation token Anthropic con accesso write. Se il repository bersaglio coincide con quello dell’action, l’attaccante può teoricamente avvelenare il componente distribuito a tutti gli utilizzatori downstream. Una variante sfrutta configurazioni errate come allowed_non_write_users: “*”, presenti in esempi o workflow troppo permissivi. Anthropic ha corretto la vulnerabilità in quattro giorni con Claude Code Action 1.0.94, introducendo checkHumanActor e limitando i trigger agli utenti umani, ma il caso conferma che gli agenti AI con tool execution diventano vettori supply chain quando ricevono input non sanitizzati da fonti pubbliche.

Magento finisce nel KEV CISA con CVE-2026-45247

La terza vulnerabilità riguarda CVE-2026-45247, inserita da CISA nel catalogo Known Exploited Vulnerabilities il 4 giugno 2026 dopo la conferma di sfruttamento attivo. La falla colpisce Mirasvit Full Page Cache Warmer per Magento e deriva dalla deserializzazione di dati non trusted. Un attaccante non autenticato può inviare una richiesta contenente un cookie CacheWarmer crafted con un oggetto PHP serializzato. La presenza di gadget chain nelle classi di Magento e nelle dipendenze consente di raggiungere esecuzione di comandi arbitrari sul server. Il punteggio CVSS 9,8 riflette la gravità dello scenario: non sono richieste credenziali, privilegi amministrativi o interazione dell’utente. I payload osservati includono stringhe base64 con prefissi come Tz, Qz o YT, utilizzate per attivare funzioni come system() o current(). La vulnerabilità interessa tutte le versioni del plugin precedenti alla 1.11.12, rilasciata il 25 maggio 2026. Gli attacchi rilevati prendono di mira soprattutto siti gaming e business negli Stati Uniti, nel Regno Unito, in Francia e in Australia, confermando l’interesse degli operatori offensivi per estensioni e-commerce diffuse e spesso sottovalutate nei processi di patch management.

Il rischio Magento passa dai cookie e dalla deserializzazione PHP

Il caso Mirasvit Full Page Cache Warmer mostra quanto le estensioni di performance possano diventare punti critici in ambienti Magento esposti su Internet. L’attacco non richiede accesso al pannello amministrativo e può essere lanciato con una semplice richiesta HTTP verso lo storefront, sfruttando il cookie CacheWarmer come veicolo del payload. Imperva e Sansec hanno osservato migliaia di tentativi di exploit, spesso inizialmente limitati a comandi di test per verificare l’effettiva esecuzione remota. Sansec stima circa 6.000 store con estensioni Mirasvit, ma il numero reale potrebbe essere superiore perché molte installazioni sono schermate da CDN o configurazioni che rendono difficile la rilevazione esterna. CISA impone alle agenzie federali statunitensi di applicare la correzione entro il 6 giugno 2026, ma la raccomandazione vale anche per aziende private, merchant e provider che gestiscono negozi Magento. Gli amministratori devono aggiornare immediatamente il plugin alla versione 1.11.12 o superiore e analizzare i log alla ricerca di richieste contenenti CacheWarmer: seguito da stringhe base64 sospette. La presenza nel catalogo KEV segnala che la finestra tra disclosure, proof-of-concept e sfruttamento operativo è ormai estremamente breve.

Le tre vulnerabilità condividono lo stesso problema di fiducia implicita

Le falle in Cisco Unified CM, Claude Code GitHub Action e Mirasvit Full Page Cache Warmer colpiscono prodotti diversi, ma seguono una logica comune: un componente si fida troppo di un input o di un contesto che dovrebbe invece essere trattato come ostile. Cisco non valida correttamente richieste HTTP dirette a WebDialer e consente una catena verso scrittura arbitraria e root. Claude Code assume che un actor bot sia affidabile e permette a un issue pubblico di trasformarsi in comando operativo per un agente AI con permessi write. Magento accetta dati serializzati in un cookie CacheWarmer e li porta dentro una catena di deserializzazione PHP capace di produrre RCE. In tutti e tre i casi l’attacco può avvenire da remoto e senza autenticazione, con impatti che vanno dalla compromissione di sistemi VoIP enterprise all’avvelenamento della supply chain CI/CD fino al controllo completo di storefront e-commerce. Il denominatore comune è la rottura del modello di trust: input esterni, bot, cookie e richieste web non possono essere considerati attendibili soltanto perché arrivano attraverso un canale previsto dall’applicazione.

Le patch urgenti riducono la finestra di esposizione

Le mitigazioni sono già disponibili, ma richiedono interventi rapidi e verificabili. Gli amministratori Cisco devono aggiornare Unified CM al ramo 14SU6 oppure applicare il COP interim per la versione 15, valutando nel frattempo la disattivazione temporanea di WebDialer se non strettamente necessario. Gli sviluppatori che utilizzano Claude Code GitHub Action devono passare alla versione 1.0.94 o superiore, rimuovere configurazioni rischiose come allowed_non_write_users: “*”, limitare i permessi del GITHUB_TOKEN, minimizzare i segreti disponibili nei workflow e impedire che modifiche post-trigger agli issue diventino input operativo non controllato. I gestori di store Magento devono aggiornare Mirasvit Full Page Cache Warmer alla versione 1.11.12 o successiva, esaminare i log web per cookie CacheWarmer anomali e verificare eventuali indicatori di compromissione sul filesystem e nei processi PHP. La rapidità di patching è decisiva perché proof-of-concept pubblici, exploit in-the-wild e campagne opportunistiche riducono la finestra di sicurezza a poche ore o pochi giorni. In questo scenario, il patch management non può essere trattato come attività amministrativa ordinaria, ma come risposta incidentale preventiva.

AI agent, VoIP enterprise ed e-commerce diventano superfici ad alto rischio

Le tre vulnerabilità mostrano come la superficie d’attacco moderna non sia più concentrata soltanto su sistemi esposti o applicazioni web tradizionali. Gli ambienti VoIP enterprise come Cisco Unified CM gestiscono comunicazioni critiche e, se compromessi, offrono agli attaccanti accesso profondo a infrastrutture interne. Gli agenti AI integrati nei workflow di sviluppo, come Claude Code GitHub Action, introducono un nuovo livello di rischio perché combinano interpretazione linguistica, accesso ai repository, token temporanei e automazione CI/CD. Le piattaforme e-commerce Magento, infine, restano bersagli privilegiati perché un singolo RCE può tradursi in furto dati, skimming, defacement, backdoor persistenti e compromissione dei pagamenti. Il messaggio operativo è netto: ogni sistema che accetta input esterni e possiede privilegi elevati deve essere trattato secondo principi zero trust, con validazione rigorosa, privilegi minimi, audit continuo e isolamento dei segreti. Le patch rilasciate da Cisco, Anthropic e Mirasvit risolvono i vettori immediati, ma il problema strutturale resta più ampio. Supply chain software, automazione AI e componenti enterprise richiedono modelli di sicurezza progettati per ambienti in cui il trust implicito è ormai uno dei principali acceleratori di compromissione.