🛡️ Executive Summary
- CVE-2026-45659 colpisce Microsoft SharePoint Server ed è già sfruttata attivamente, con inserimento nel catalogo CISA KEV.
- Una falla non patchata in Argo CD repo-server può consentire esecuzione remota di codice e takeover di cluster Kubernetes.
- DuneSlide compromette Cursor IDE tramite prompt injection zero-click, aggirando la sandbox e abilitando scrittura arbitraria su file critici.
Tre vulnerabilità di esecuzione remota di codice riaprono il fronte più critico della sicurezza enterprise, colpendo piattaforme molto diverse ma centrali nelle infrastrutture moderne: collaborazione aziendale, delivery cloud-native e sviluppo assistito da intelligenza artificiale. La prima falla riguarda Microsoft SharePoint Server, è già sfruttata in natura ed è stata inserita nel catalogo Known Exploited Vulnerabilities della CISA, imponendo tempi di patching estremamente stretti. La seconda coinvolge Argo CD, piattaforma ampiamente utilizzata per il continuous delivery su Kubernetes, dove una debolezza nel componente repo-server può aprire la strada alla compromissione dei cluster. La terza, denominata DuneSlide, interessa Cursor IDE e mostra come la prompt injection stia evolvendo verso exploit capaci di aggirare sandbox, manipolare percorsi e ottenere scrittura su file sensibili. Il quadro conferma che le RCE restano il vettore più pericoloso per ambienti enterprise, DevOps e strumenti AI-assisted.
Cosa leggere
SharePoint finisce nel catalogo CISA KEV per exploit attivi
La vulnerabilità CVE-2026-45659 interessa Microsoft SharePoint Server ed è legata alla deserializzazione di dati non attendibili. Il problema, corretto da Microsoft negli aggiornamenti di maggio 2026, consente a un attaccante autenticato con privilegi minimi di Site Member di eseguire codice arbitrario in remoto sul server vulnerabile. Il punteggio CVSS 8.8 riflette una criticità elevata: pur richiedendo autenticazione, la falla non necessita di privilegi amministrativi e può essere sfruttata da account già compromessi, insider o utenti con accesso limitato al sito. Il 1° luglio 2026 la CISA ha inserito la vulnerabilità nel catalogo KEV dopo aver rilevato prove di sfruttamento attivo in ambienti reali, imponendo alle agenzie federali civili statunitensi l’applicazione della patch entro il 4 luglio 2026. Il caso è rilevante anche perché Microsoft aveva inizialmente valutato lo sfruttamento come meno probabile, mentre l’evoluzione operativa ha dimostrato una finestra di rischio più concreta. In un ambiente SharePoint, una RCE può consentire furto di documenti, installazione di web shell, persistenza, pivoting verso sistemi interni e raccolta di credenziali.
Argo CD espone il repo-server e mette a rischio Kubernetes
La seconda vulnerabilità riguarda Argo CD, uno degli strumenti più diffusi per gestire deployment dichiarativi su Kubernetes. Il problema risiede nel componente repo-server, responsabile della generazione dei manifest a partire da repository Git e template. Secondo l’analisi tecnica, il servizio gRPC interno del repo-server non applica autenticazione sufficiente e può essere abusato da un attaccante in grado di raggiungerlo in rete. Il vettore sfrutta l’opzione –helm-command di kustomize, indirizzandola verso uno script controllato dall’attaccante presente in un repository Git malevolo.

Quando il repo-server elabora il progetto, esegue lo script al posto di helm, ottenendo esecuzione di codice remoto nel contesto del componente. Da qui l’attaccante può leggere variabili d’ambiente, recuperare la password di Redis, connettersi alla cache interna di Argo CD e avvelenare i dati di deployment. L’impatto potenziale è grave: workload malevoli possono essere sincronizzati nel cluster, trasformando una falla nel processo di delivery in un vettore di compromissione dell’intero ambiente Kubernetes. Al momento della disclosure la vulnerabilità risulta senza patch e priva di CVE pubblico, rendendo essenziale l’adozione immediata di mitigazioni infrastrutturali.
NetworkPolicy come barriera temporanea per Argo CD

In assenza di una patch ufficiale, la mitigazione più importante per Argo CD consiste nell’applicare NetworkPolicy Kubernetes rigorose. Il repo-server e Redis non dovrebbero essere raggiungibili da workload arbitrari, namespace non autorizzati o componenti esterni al perimetro applicativo di Argo CD. Solo i pod legittimi della piattaforma devono poter comunicare con le porte interne necessarie. Questa misura riduce la probabilità che un attaccante già presente nel cluster, o in grado di distribuire un workload laterale, possa inviare richieste direttamente al repo-server. Le organizzazioni dovrebbero inoltre verificare l’esposizione dei servizi interni, limitare repository Git non attendibili, controllare l’uso di kustomize e monitorare eventuali esecuzioni anomale di binari o script durante la generazione dei manifest. Il caso evidenzia un punto strutturale del modello GitOps: la catena di deployment diventa parte della superficie d’attacco e va protetta con lo stesso rigore applicato ai workload in produzione.
DuneSlide trasforma la prompt injection in RCE su Cursor IDE
La terza minaccia riguarda Cursor IDE, ambiente di sviluppo basato su VS Code e integrato con agenti LLM per attività di coding assistito. Le vulnerabilità CVE-2026-50548 e CVE-2026-50549, denominate complessivamente DuneSlide, hanno entrambe punteggio CVSS 9.8 e permettono esecuzione di codice remoto non sandboxed attraverso prompt injection zero-click. Il primo difetto riguarda la manipolazione del parametro working_directory: l’agente AI può essere indotto a impostare un percorso non previsto, che viene poi aggiunto ciecamente alla lista dei percorsi consentiti dalla sandbox. Questo consente di scrivere o sovrascrivere componenti critici, incluso il binario cursorsandbox o file di shell come ~/.zshrc. Il secondo difetto sfrutta un errore nella canonicalizzazione dei symlink: l’agente può creare un collegamento simbolico all’interno del progetto verso un percorso esterno e, in caso di fallimento della risoluzione canonica, il sistema usa il percorso originale, consentendo scritture fuori dal perimetro previsto. Entrambe le falle sono state corrette in Cursor 3.0, rilasciato il 2 aprile 2026.
Gli strumenti AI-assisted diventano una nuova superficie d’attacco

Il caso DuneSlide è particolarmente importante perché supera la visione tradizionale della prompt injection come semplice manipolazione testuale. In questo scenario un contenuto controllato dall’attaccante, proveniente per esempio da un server MCP compromesso, da documentazione avvelenata o da risultati web malevoli, può indurre l’agente LLM a compiere azioni operative sul filesystem. Il rischio non nasce soltanto dalla risposta del modello, ma dalla sua integrazione con strumenti di sviluppo che hanno permessi locali, accesso al progetto, capacità di scrittura e possibilità di eseguire comandi. La sandbox dovrebbe limitare queste azioni, ma errori nella gestione dei percorsi e dei symlink trasformano una istruzione apparentemente innocua in un exploit capace di modificare file critici. Per le aziende che adottano IDE AI-assisted, questo impone una revisione delle policy di fiducia: prompt, repository, documentazione e output recuperati dal web devono essere trattati come input non attendibili.
Priorità di risposta per enterprise, DevOps e sviluppatori
Le organizzazioni devono trattare queste tre vulnerabilità con priorità elevata, ma con approcci diversi. Per SharePoint Server, la risposta è diretta: verificare immediatamente l’applicazione degli aggiornamenti di maggio 2026, cercare indicatori di sfruttamento e rafforzare il monitoraggio su account con privilegi anche minimi. Per Argo CD, in attesa di una patch, la priorità è segmentare il traffico interno con NetworkPolicy, limitare l’accesso al repo-server e a Redis, rivedere repository collegati e controllare eventuali manifest anomali. Per Cursor IDE, tutti gli utenti devono aggiornare alla versione 3.0 o successiva e ridurre l’esposizione ad input non verificati nelle integrazioni AI. Il filo comune è chiaro: le RCE moderne non colpiscono soltanto server esposti, ma anche pipeline di delivery e strumenti di produttività. La sicurezza deve quindi coprire ambienti collaborativi, piattaforme cloud-native e agenti AI con controlli di patching, isolamento, sandboxing e validazione degli input molto più rigorosi rispetto al passato.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.









