La gestione delle vulnerabilità continua a rappresentare una delle principali sfide per le organizzazioni che operano in ambienti digitali complessi. Nelle ultime settimane diversi produttori hanno pubblicato aggiornamenti per correggere falle ad alto impatto che interessano prodotti ampiamente diffusi nel settore enterprise, cloud e infrastrutturale. La situazione più critica riguarda Ivanti Sentry, dove una vulnerabilità classificata con il massimo livello di gravità è già sfruttata attivamente da attaccanti che tentano di ottenere esecuzione di codice remoto e accesso privilegiato alle reti aziendali. Contemporaneamente Fortinet e SAP hanno distribuito patch per correggere difetti che possono consentire esecuzione di comandi, bypass dei controlli di sicurezza e compromissione di sistemi critici. Sul fronte delle piattaforme emergenti legate all’intelligenza artificiale, una grave vulnerabilità in Langflow risulta già sfruttata senza che sia disponibile una correzione ufficiale. A completare il quadro si aggiungono un incidente confermato da ServiceNow e due bollettini di sicurezza pubblicati da Amazon Web Services, segno di un ecosistema in cui il tempo tra disclosure e sfruttamento continua a ridursi.
Cosa leggere
Ivanti Sentry diventa un bersaglio prioritario per gli attaccanti
La minaccia più urgente interessa Ivanti Sentry, precedentemente conosciuta come MobileIron Sentry, dove è stata individuata la vulnerabilità CVE-2026-10520 classificata con punteggio CVSS 10.0. Si tratta di una vulnerabilità di command injection che consente a un aggressore remoto di eseguire codice arbitrario con privilegi root sul dispositivo compromesso. Secondo le analisi disponibili, l’attacco sfrutta richieste HTTP costruite appositamente verso l’endpoint /mics/api/v2/sentry/mics-config/handleMessage. Il backend interpreta il contenuto ricevuto come un comando valido per il sistema di configurazione MICS e lo esegue attraverso la funzione interna handleExecute(). La disponibilità pubblica di proof-of-concept ha favorito una rapida diffusione dei tentativi di sfruttamento e diversi sistemi risultano già presi di mira da campagne attive. La criticità della vulnerabilità è amplificata dal ruolo di Sentry come gateway di sicurezza per dispositivi mobili aziendali, rendendolo un punto di accesso privilegiato all’interno delle infrastrutture corporate.
Alcune istanze risultano già compromesse
Le attività di monitoraggio hanno individuato almeno 19 installazioni vulnerabili esposte pubblicamente, con almeno due sistemi già compromessi attraverso l’installazione di backdoor persistenti. Gli esperti ritengono inoltre probabile che altre istanze siano state violate senza che siano ancora emersi indicatori evidenti di compromissione. Per mitigare il problema, Ivanti ha distribuito le versioni corrette R10.5.2, R10.6.2 e R10.7.1, che impediscono l’accesso all’endpoint vulnerabile e reindirizzano le richieste non autorizzate alla procedura di autenticazione. Le organizzazioni che utilizzano il prodotto devono considerare questi aggiornamenti come prioritari e verificare immediatamente la presenza di eventuali attività sospette nei log di sistema. Considerando la posizione strategica di Sentry nelle architetture di gestione dei dispositivi mobili, una compromissione potrebbe trasformarsi rapidamente in un punto di partenza per movimenti laterali all’interno della rete aziendale.
Una seconda vulnerabilità permette il bypass dell’autenticazione
Oltre alla falla principale, Ivanti ha corretto anche CVE-2026-10523, una vulnerabilità di authentication bypass classificata con punteggio CVSS 9.9. Questo difetto consente a un attaccante remoto non autenticato di creare nuovi account amministrativi e ottenere il controllo completo del sistema senza possedere credenziali valide. La combinazione di una vulnerabilità di esecuzione di codice con una falla che consente la creazione arbitraria di utenti privilegiati rappresenta uno scenario estremamente pericoloso per le organizzazioni esposte. Entrambi i problemi interessano le versioni precedenti a R10.5.2, R10.6.2 e R10.7.1, rendendo indispensabile una verifica immediata degli ambienti interessati. Gli amministratori dovrebbero inoltre controllare la presenza di account sconosciuti e attività amministrative anomale che potrebbero indicare un accesso non autorizzato già avvenuto.
Fortinet corregge una vulnerabilità critica in FortiSandbox
Anche Fortinet ha pubblicato aggiornamenti di sicurezza per correggere una vulnerabilità che interessa FortiSandbox, la piattaforma utilizzata per l’analisi avanzata di malware e minacce. La falla, identificata come CVE-2026-25089 e classificata con punteggio CVSS 9.1, permette l’esecuzione di comandi arbitrari da remoto attraverso richieste HTTP manipolate. Il problema deriva da una gestione impropria di caratteri speciali utilizzati nei comandi del sistema operativo, una categoria di vulnerabilità che continua a essere frequentemente sfruttata negli ambienti enterprise. Sono interessate le versioni 5.0.0-5.0.5 e 4.4.0-4.4.8 di FortiSandbox, comprese le implementazioni cloud e PaaS.
Fortinet raccomanda l’aggiornamento immediato alle versioni 5.0.6 e 4.4.9 o successive. Anche se non risultano exploit pubblicamente confermati al momento della disclosure, il livello di gravità suggerisce che gli attaccanti potrebbero tentare rapidamente di sviluppare strumenti di sfruttamento dedicati.
SAP interviene su NetWeaver e ABAP Platform
Il tradizionale ciclo di aggiornamenti di SAP include questa volta diverse vulnerabilità di elevata severità che interessano ambienti enterprise particolarmente diffusi. La più importante è CVE-2026-44748, una vulnerabilità di XML Signature Wrapping che coinvolge il sistema di autenticazione SAML in SAP NetWeaver AS ABAP e ABAP Platform. Con un punteggio CVSS 9.9, la falla permette a un utente autenticato con privilegi limitati di modificare messaggi XML firmati e ottenere accessi non autorizzati a risorse sensibili. SAP ha inoltre corretto CVE-2026-27671, una vulnerabilità di memory corruption nell’Application Server ABAP che può essere sfruttata da un attaccante non autenticato attraverso richieste RFC manipolate. A queste si aggiungono CVE-2026-22732, che interessa componenti basati su Spring in SAP Commerce Cloud e Data Hub, e CVE-2026-40128, una vulnerabilità di directory traversal presente in SAP NetWeaver Application Server Java. Per le aziende che utilizzano questi prodotti gli aggiornamenti devono essere trattati come prioritari.
Langflow espone migliaia di sistemi a RCE non autenticato
Tra le minacce più preoccupanti emerge la situazione di Langflow, piattaforma open source sempre più utilizzata per costruire workflow basati su modelli linguistici e applicazioni di intelligenza artificiale. La vulnerabilità CVE-2026-5027, classificata con punteggio CVSS 8.8, consente un attacco di path traversal attraverso l’endpoint POST /api/v2/files. Gli aggressori possono scrivere file arbitrari sul filesystem e successivamente ottenere esecuzione remota di codice. Il problema è aggravato dal fatto che Langflow abilita per impostazione predefinita un sistema di accesso automatico non autenticato che consente la generazione di token validi senza credenziali. Questo rende possibile lo sfruttamento della vulnerabilità da parte di attori esterni senza alcuna autenticazione preventiva. Le analisi indicano che circa 7.000 istanze risultano esposte pubblicamente, soprattutto in Nord America. Al momento non è disponibile una patch ufficiale, aumentando notevolmente il rischio per le organizzazioni che utilizzano il software.
ServiceNow conferma un incidente di sicurezza
Nel panorama delle vulnerabilità recenti si inserisce anche l’incidente confermato da ServiceNow, che ha comunicato di aver identificato lo sfruttamento di una vulnerabilità utilizzata per eseguire query non autorizzate su un sottoinsieme limitato di istanze clienti. L’azienda ha distribuito un aggiornamento correttivo il 5 giugno 2026 e ha notificato direttamente le organizzazioni potenzialmente coinvolte. Sebbene i dettagli tecnici siano limitati, il caso dimostra come anche le piattaforme SaaS maggiormente diffuse possano diventare obiettivi di campagne mirate. Le organizzazioni che utilizzano ServiceNow dovrebbero verificare eventuali comunicazioni ricevute dal vendor e controllare accuratamente i registri delle attività amministrative e di accesso.
AWS corregge vulnerabilità in s2n-quic e aws-cdk-lib
Anche Amazon Web Services ha pubblicato due bollettini di sicurezza destinati agli sviluppatori e agli amministratori cloud. Il primo, identificato come 2026-042-AWS, riguarda CVE-2026-10740, una vulnerabilità in s2n-quic che può provocare allocazioni incontrollate di memoria e causare condizioni di denial of service. Il secondo bollettino, 2026-041-AWS, corregge una vulnerabilità di command injection presente in aws-cdk-lib durante il processo di bundling delle funzioni Node.js. AWS raccomanda l’aggiornamento a s2n-quic 1.82.0 e alle versioni 2.245.0 o 2.246.0 di aws-cdk-lib, a seconda della piattaforma utilizzata. Sebbene non si tratti delle vulnerabilità più critiche del lotto attuale, la loro presenza in componenti ampiamente utilizzati negli ambienti cloud rende opportuno un aggiornamento tempestivo.
La velocità di risposta diventa il principale fattore difensivo
L’insieme delle vulnerabilità emerse conferma una dinamica ormai consolidata: il tempo che separa la pubblicazione di una falla dalla comparsa dei primi exploit continua a diminuire. Il caso di Ivanti Sentry, già oggetto di attacchi attivi, e quello di Langflow, privo di una patch ufficiale nonostante lo sfruttamento in corso, mostrano chiaramente come le organizzazioni non possano più permettersi processi lenti di aggiornamento. La gestione delle patch deve essere accompagnata da attività di monitoraggio continuo, verifica dell’esposizione dei sistemi su Internet e integrazione di fonti di threat intelligence per identificare rapidamente eventuali compromissioni. In un panorama dove gli aggressori automatizzano sempre più la ricerca e lo sfruttamento delle vulnerabilità, la capacità di reagire rapidamente resta la misura di difesa più efficace contro attacchi che possono trasformarsi in compromissioni estese nel giro di poche ore.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
