Il panorama della sicurezza informatica continua a mostrare come vulnerabilità apparentemente scollegate possano convergere in un quadro comune caratterizzato da esposizione di dati sensibili, compromissione dei sistemi e nuove superfici di attacco. Negli ultimi giorni tre casi distinti hanno attirato l’attenzione della comunità di cybersecurity: lo sfruttamento attivo della vulnerabilità CVE-2026-4020 nel plugin Gravity SMTP per WordPress, la pubblicazione della tecnica AutoJack che consente l’esecuzione remota di codice sugli host che eseguono agenti di intelligenza artificiale e un bug introdotto dagli aggiornamenti di sicurezza di giugno che modifica il comportamento del Cestino di Windows. Sebbene abbiano impatti differenti, questi eventi evidenziano come la sicurezza moderna richieda attenzione simultanea a infrastrutture web, piattaforme AI emergenti e sistemi operativi tradizionali.
Cosa leggere
Gravity SMTP espone credenziali e informazioni sensibili
La vulnerabilità CVE-2026-4020 interessa il plugin Gravity SMTP, utilizzato da numerosi siti WordPress per la gestione dell’invio delle email. Il problema riguarda tutte le versioni fino alla 2.1.4 ed è stato corretto nella release 2.1.5, pubblicata a marzo. La falla deriva da una configurazione errata dell’endpoint REST API che permette a utenti non autenticati di ottenere un report diagnostico estremamente dettagliato semplicemente richiamando l’URL /wp-json/gravitysmtp/v1/tests/mock-data?page=gravitysmtp-settings. Il componente vulnerabile utilizza un permission_callback che restituisce sempre valore positivo, consentendo l’accesso a informazioni che dovrebbero essere riservate agli amministratori del sito. Gli attaccanti possono così scaricare un file JSON di grandi dimensioni contenente dettagli tecnici sull’intera installazione WordPress.
Le informazioni esposte facilitano compromissioni successive
I dati restituiti dall’endpoint vulnerabile comprendono la versione di PHP, le estensioni installate, il server web utilizzato, la configurazione del sito, i percorsi del filesystem, il tema attivo e soprattutto l’elenco completo dei plugin installati con le rispettive versioni. Ancora più grave è la presenza di chiavi API, token OAuth, credenziali di integrazione e segreti utilizzati da servizi come Amazon, Google, Mailjet, Resend e Zoho.
L’esposizione di queste informazioni permette agli aggressori non solo di inviare email fraudolente a nome del dominio compromesso, ma anche di effettuare una ricognizione dettagliata per individuare ulteriori vulnerabilità sfruttabili. Secondo i dati diffusi da Wordfence, oltre 17 milioni di tentativi di sfruttamento sono stati bloccati nelle ultime settimane, con picchi giornalieri superiori a 4 milioni di richieste malevole.
Perché Gravity SMTP è diventato un obiettivo prioritario
L’interesse degli attaccanti verso Gravity SMTP deriva dal fatto che la vulnerabilità consente di ottenere credenziali immediatamente utilizzabili senza la necessità di compromettere direttamente il sito. In molti casi le chiavi API esposte permettono l’accesso a servizi di invio email con reputazione consolidata, rendendoli strumenti ideali per campagne di phishing, spam e distribuzione malware. Inoltre la disponibilità di informazioni dettagliate sull’ambiente WordPress consente agli aggressori di identificare plugin vulnerabili, versioni obsolete e configurazioni errate che possono essere sfruttate in fasi successive dell’attacco. Per questo motivo gli amministratori devono aggiornare immediatamente il plugin alla versione 2.1.5 o superiore e verificare l’eventuale esposizione di credenziali che potrebbero essere già state compromesse.
AutoJack apre una nuova frontiera negli attacchi agli agenti AI
Mentre il mondo WordPress affronta attacchi tradizionali basati sulla sottrazione di credenziali, il settore dell’intelligenza artificiale deve confrontarsi con una nuova categoria di minacce. Microsoft ha infatti pubblicato i dettagli di AutoJack, una tecnica che consente l’esecuzione remota di codice sugli host che eseguono agenti AI basati su AutoGen Studio. L’aspetto più preoccupante della ricerca è che l’intera compromissione può essere avviata da una singola pagina web malevola visualizzata dall’agente. L’attacco sfrutta il comportamento degli agenti di navigazione automatica, progettati per visitare siti web, raccogliere informazioni e interagire con servizi locali. In questo scenario il browser automatizzato diventa un intermediario inconsapevole che esegue operazioni per conto dell’attaccante.
Come funziona la catena di exploit AutoJack
La tecnica AutoJack combina tre vulnerabilità distinte. La prima consiste in un bypass della allowlist degli origin sul WebSocket MCP locale. La seconda riguarda l’assenza di autenticazione sugli endpoint /api/mcp/*. La terza sfrutta una vulnerabilità di command injection nel parametro server_params. Una pagina web appositamente costruita può quindi aprire una connessione verso ws://localhost, inviare un payload malevolo e indurre l’agente AI a eseguire comandi arbitrari sul sistema host.
Durante le dimostrazioni Microsoft ha mostrato l’esecuzione di applicazioni locali e comandi PowerShell codificati, evidenziando la possibilità di ottenere una vera e propria Remote Code Execution (RCE). Il problema nasce dal modello di fiducia implicito con cui gli agenti AI interagiscono con servizi locali privilegiati, trasformandosi in quello che la sicurezza informatica definisce un confused deputy.
Le mitigazioni consigliate da Microsoft
Per ridurre il rischio di compromissione, Microsoft ha già pubblicato aggiornamenti correttivi nel repository ufficiale di AutoGen Studio e raccomanda agli sviluppatori di adottare diverse misure difensive. Tra queste figurano l’utilizzo delle versioni aggiornate distribuite tramite PyPI, l’esecuzione dell’applicazione dietro un reverse proxy autenticato, la segmentazione degli ambienti di esecuzione e l’isolamento dei servizi MCP. Gli esperti sottolineano inoltre la necessità di considerare gli agenti AI come nuove superfici di attacco a tutti gli effetti, soggette agli stessi principi di sicurezza applicati tradizionalmente a server, applicazioni web e servizi cloud. AutoJack dimostra infatti come l’integrazione tra browser automatizzati, modelli linguistici e servizi locali possa creare scenari di rischio completamente nuovi.
Windows mostra nomi interni dei file nel Cestino
Sul fronte dei sistemi operativi, Microsoft ha confermato un problema introdotto dagli aggiornamenti di sicurezza distribuiti a giugno 2026. Il bug interessa Windows 10, Windows 11 e le versioni supportate di Windows Server. Quando un utente tenta di eliminare definitivamente un file già presente nel Cestino, la finestra di conferma non mostra più il nome originale del file ma il relativo identificativo interno utilizzato dal filesystem. Al posto del nome reale possono quindi comparire stringhe come $Rxxxxx.ext, normalmente invisibili all’utente finale. Il comportamento riguarda esclusivamente la finestra di conferma e non modifica il funzionamento effettivo del Cestino.
Un problema cosmetico che può creare confusione
Microsoft ha chiarito che il bug non comporta perdita di dati né vulnerabilità di sicurezza. I file continuano a essere archiviati correttamente nel Cestino e possono essere ripristinati normalmente. Tuttavia il problema può generare confusione negli ambienti aziendali e nei contesti in cui vengono documentate operazioni di cancellazione o analizzati eventi di sistema. Gli identificativi interni visualizzati derivano dal meccanismo utilizzato da Windows per gestire i file eliminati, che vengono rinominati temporaneamente utilizzando prefissi come $R e $I. In condizioni normali questi dettagli restano nascosti all’utente. L’aggiornamento di giugno ha invece introdotto una regressione che espone tali nomi durante la finestra di conferma della cancellazione definitiva.
Tre casi differenti che raccontano l’evoluzione delle minacce
Le vulnerabilità che coinvolgono Gravity SMTP, AutoJack e il Cestino di Windows appartengono a categorie molto diverse, ma rappresentano bene l’evoluzione del panorama della sicurezza. Da un lato continuano gli attacchi contro applicazioni web e plugin WordPress finalizzati alla raccolta di credenziali e informazioni sensibili. Dall’altro emergono nuove tecniche che sfruttano le peculiarità degli agenti di intelligenza artificiale per ottenere compromissioni del sistema host. Infine persino componenti storici dei sistemi operativi possono introdurre anomalie dopo aggiornamenti apparentemente ordinari. Per gli amministratori di siti WordPress la priorità è aggiornare immediatamente Gravity SMTP e ruotare eventuali credenziali esposte. Gli sviluppatori che utilizzano AutoGen Studio devono applicare le mitigazioni pubblicate da Microsoft e rafforzare l’isolamento degli agenti AI. Gli utenti Windows possono invece considerare il bug del Cestino come un inconveniente minore, in attesa della correzione che Microsoft distribuirà nei prossimi aggiornamenti cumulativi.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
