CISA segnala RCE Joomla sfruttate mentre SAP corregge tre falle critiche

🛡️ Executive Summary

  • CVE-2026-48939 e CVE-2026-56291 consentono upload di file eseguibili nelle estensioni Joomla iCagenda e Balbooa Forms già sfruttate.
  • SAP corregge memory corruption in NetWeaver ABAP, HTTP Request Smuggling in AppRouter e credenziali deboli in Commerce Cloud.
  • Le organizzazioni devono aggiornare immediatamente, cercare web shell e upload sospetti e controllare token, API e traffico HTTP anomalo.

La Cybersecurity and Infrastructure Security Agency ha inserito due vulnerabilità di esecuzione remota di codice presenti nelle estensioni Joomla iCagenda e Balbooa Forms nel catalogo Known Exploited Vulnerabilities, confermando che entrambe vengono già utilizzate in attacchi reali. Le falle consentono il caricamento di file pericolosi e possono portare all’installazione di web shell e al controllo completo del sito. Parallelamente, SAP ha pubblicato gli aggiornamenti di sicurezza di luglio 2026, correggendo tre vulnerabilità critiche in NetWeaver Application Server ABAP, AppRouter e Commerce Cloud, componenti centrali di numerose infrastrutture enterprise e cloud.

CISA inserisce nel KEV due vulnerabilità RCE nelle estensioni Joomla

Annuncio

Le vulnerabilità aggiunte al catalogo CISA interessano due estensioni Joomla dotate di funzionalità per il caricamento dei file, una caratteristica necessaria al loro funzionamento ma particolarmente rischiosa quando i controlli sul tipo di contenuto risultano insufficienti. CVE-2026-48939 colpisce iCagenda e permette a un attaccante di caricare file pericolosi, compresi script PHP eseguibili dal server web. Una volta depositato il payload in una directory raggiungibile, l’aggressore può richiamarlo da remoto, installare una web shell, leggere configurazioni e database, modificare pagine o utilizzare il sito compromesso per ulteriori campagne. CVE-2026-56291 riguarda invece Balbooa Forms e presenta una dinamica analoga: il componente accetta file eseguibili senza applicare restrizioni sufficienti, consentendo di trasformare una normale funzione di upload nel punto di ingresso per l’esecuzione arbitraria di codice. L’inserimento nel catalogo KEV non indica soltanto la gravità teorica delle due falle, ma certifica l’esistenza di prove attendibili sul loro sfruttamento operativo. Gli attacchi contro iCagenda sarebbero iniziati poche ore prima della disponibilità della patch, mentre Balbooa Forms sarebbe stata utilizzata come zero-day almeno dall’8 luglio 2026. La rapidità con cui gli operatori criminali hanno trasformato le vulnerabilità in campagne automatizzate conferma la pressione crescente sui CMS e sulle estensioni di terze parti, già emersa nella recente campagna globale contro WordPress e Joomla finalizzata all’installazione di web shell.

Le patch per iCagenda e Balbooa Forms devono essere applicate senza ritardi

Gli sviluppatori hanno rilasciato versioni corrette per entrambe le estensioni. Gli amministratori di siti che utilizzano iCagenda devono aggiornare almeno alla versione 4.0.8, pubblicata il 15 giugno, oppure alla 3.9.15 per il ramo precedente, resa disponibile il giorno successivo. Per Balbooa Forms la correzione è inclusa nella versione 2.4.1, pubblicata il 9 luglio. CISA ha imposto alle agenzie federali americane una scadenza di appena tre giorni, fissata al 13 luglio 2026, per applicare gli aggiornamenti o rimuovere i componenti vulnerabili. Una finestra tanto breve riflette la presenza di exploit attivi e la facilità con cui gli scanner automatici possono individuare installazioni esposte su Internet. L’aggiornamento, tuttavia, non è sufficiente quando la compromissione potrebbe essere già avvenuta.

  • CVE-2026-48939 iCagenda Unrestricted Upload of File with Dangerous Type Vulnerability
  • CVE-2026-56291 Balbooa Forms Unrestricted Upload of File with Dangerous Type Vulnerability

Gli amministratori devono esaminare le directory di upload alla ricerca di file PHP, archivi o estensioni insolite, verificare modifiche recenti ai template e ai file core, controllare la creazione di nuovi account amministrativi e analizzare i log HTTP per richieste anomale dirette ai componenti vulnerabili. È inoltre necessario cercare processi avviati dal web server, connessioni in uscita verso indirizzi sconosciuti e modifiche alle configurazioni del database. Una web shell installata prima dell’aggiornamento continua infatti a funzionare anche dopo la chiusura della falla iniziale, offrendo agli attaccanti un accesso persistente. Il caso segue lo schema ormai ricorrente degli aggiornamenti urgenti richiesti da CISA, come mostrato dai precedenti interventi sulle vulnerabilità Mirasvit e Redis inserite nel catalogo KEV.

SAP corregge una memory corruption critica in NetWeaver ABAP

Gli aggiornamenti SAP di luglio comprendono complessivamente sedici correzioni, tre delle quali classificate come critiche. La più rilevante per gli ambienti enterprise tradizionali è CVE-2026-44747, una vulnerabilità di tipo out-of-bounds write in SAP NetWeaver Application Server ABAP. La debolezza consente a un utente autenticato di scrivere dati al di fuori dell’area di memoria prevista, con possibili conseguenze su riservatezza, integrità e disponibilità del sistema. In base alle condizioni di sfruttamento, un aggressore potrebbe causare crash, corrompere informazioni, accedere a dati non autorizzati o alterare il comportamento del processo vulnerabile. Il requisito dell’autenticazione riduce l’esposizione rispetto a una falla sfruttabile direttamente da Internet, ma non elimina il rischio negli ambienti nei quali credenziali compromesse, account di servizio o utenti interni dispongono dell’accesso necessario. NetWeaver ABAP costituisce il runtime di numerose applicazioni SAP utilizzate per finanza, logistica, produzione, risorse umane e gestione della supply chain, quindi un incidente può propagarsi su processi aziendali essenziali. Le organizzazioni devono applicare le note di sicurezza SAP, limitare l’accesso ai servizi coinvolti e controllare errori applicativi, crash e anomalie nell’utilizzo della memoria. L’aggiornamento assume particolare importanza considerando la frequenza con cui la piattaforma NetWeaver è entrata nel mirino di attori criminali e gruppi avanzati, come documentato anche nelle precedenti campagne che sfruttavano vulnerabilità SAP e dispositivi industriali esposti.

HTTP Request Smuggling in SAP AppRouter espone sessioni e disponibilità

La seconda falla critica, CVE-2026-27690, interessa SAP AppRouter, middleware basato su Node.js utilizzato per instradare richieste e gestire autenticazione e accesso alle applicazioni sulle piattaforme cloud SAP. La vulnerabilità appartiene alla categoria HTTP Request Smuggling, una tecnica che sfrutta interpretazioni differenti della stessa richiesta HTTP da parte di proxy, load balancer, server front-end e componenti back-end. Un attaccante costruisce una richiesta ambigua in modo che un elemento della catena la consideri conclusa in un determinato punto, mentre quello successivo continui a elaborare byte aggiuntivi come una nuova richiesta. Questa desincronizzazione può permettere di interferire con il traffico di altri utenti, accedere a risposte che non dovrebbero essere visibili, avvelenare code di richieste o causare condizioni di denial-of-service. Nel caso di AppRouter, la vulnerabilità risulta sfruttabile senza autenticazione, aumentando il rischio per le installazioni esposte pubblicamente. Gli amministratori devono aggiornare il componente, verificare la coerenza delle configurazioni HTTP tra proxy e server applicativi e monitorare richieste caratterizzate da combinazioni anomale degli header Content-Length e Transfer-Encoding. Devono inoltre essere analizzati errori 400 o 502 ricorrenti, connessioni persistenti irregolari e risposte associate a sessioni differenti. La correzione si inserisce nel flusso continuo di patch SAP che negli ultimi mesi ha interessato componenti cloud, parser e servizi esposti, come avvenuto con le vulnerabilità critiche SAP e protobuf.js corrette insieme agli aggiornamenti Ivanti.

Commerce Cloud espone token attraverso credenziali predefinite deboli

La terza vulnerabilità critica, CVE-2026-44761, riguarda SAP Commerce Cloud e deriva dall’utilizzo di credenziali predefinite deboli. In determinate configurazioni, un attaccante può sfruttare tali credenziali per ottenere token di accesso validi e utilizzare le API della piattaforma per leggere o modificare dati. La presenza di credenziali conosciute o facilmente prevedibili rappresenta un rischio particolarmente elevato negli ambienti cloud perché consente di aggirare il perimetro tradizionale e interagire direttamente con i servizi applicativi. Un token valido può permettere l’accesso a cataloghi, profili cliente, ordini, configurazioni commerciali e integrazioni downstream, a seconda dei privilegi assegnati all’account coinvolto. Le organizzazioni devono installare la patch, eliminare ogni credenziale predefinita, ruotare password, segreti e token associati e verificare i log API alla ricerca di operazioni provenienti da indirizzi, applicazioni o fasce orarie inconsuete. È opportuno controllare anche modifiche ai ruoli, creazione di client OAuth, esportazioni massive e accessi a oggetti non coerenti con il comportamento abituale dell’applicazione. La vulnerabilità dimostra come un errore di configurazione o una credenziale lasciata in produzione possa avere un impatto paragonabile a quello di un exploit complesso, soprattutto quando riguarda piattaforme che gestiscono transazioni e dati personali su vasta scala.

Joomla è già sotto attacco mentre per SAP non risultano exploit attivi

La principale differenza tra i due bollettini riguarda lo stato di sfruttamento. Le vulnerabilità di iCagenda e Balbooa Forms sono già utilizzate in attacchi reali e richiedono quindi una risposta di emergenza, comprensiva di attività di incident response oltre al semplice patching. Per le tre falle SAP, al momento della pubblicazione degli aggiornamenti, non risultano invece campagne attive confermate. Questa assenza non deve essere interpretata come una ragione per rinviare gli interventi: la pubblicazione delle note tecniche e la disponibilità delle patch possono accelerare il reverse engineering delle correzioni e permettere agli attaccanti di sviluppare exploit prima che tutte le organizzazioni abbiano aggiornato. Le piattaforme SAP sono obiettivi ad alto valore perché concentrano dati finanziari, processi di produzione, informazioni commerciali e integrazioni con altri sistemi aziendali. Gli attaccanti possono inoltre combinare vulnerabilità tecniche con credenziali rubate e configurazioni errate, trasformando una falla che richiede autenticazione in un percorso concreto verso la compromissione. Le aziende devono quindi assegnare priorità diverse ma immediate: contenimento e hunting per Joomla, patch accelerata e verifica preventiva per SAP.

La gestione delle vulnerabilità deve includere componenti e integrazioni di terze parti

Gli avvertimenti di CISA e SAP mostrano ancora una volta che la superficie di attacco non coincide con il solo software principale. Nel caso Joomla, il CMS può essere aggiornato e configurato correttamente, ma una singola estensione vulnerabile con permessi di upload è sufficiente per consegnare il server agli attaccanti. Negli ambienti SAP, il rischio attraversa runtime ABAP, middleware Node.js e servizi Commerce Cloud, coinvolgendo componenti con funzioni e modelli di esposizione differenti. Le organizzazioni devono mantenere un inventario aggiornato di plugin, moduli, versioni, API e dipendenze, associando ogni asset alle informazioni sui proprietari e sulla criticità operativa. I sistemi esposti a Internet devono essere monitorati con maggiore frequenza e le vulnerabilità presenti nel catalogo KEV devono ricevere priorità rispetto a quelle valutate soltanto in base al punteggio CVSS. È inoltre necessario integrare vulnerability management, log analysis, endpoint detection e controllo dell’integrità dei file. Una patch chiude il vettore noto, ma non rimuove automaticamente web shell, account creati dagli aggressori o token emessi durante la compromissione. La risposta efficace richiede quindi aggiornamento, verifica retrospettiva e rotazione dei segreti potenzialmente esposti.

Iscriviti alla Newsletter

Non perdere le analisi settimanali: Entra nella Matrice Digitale.

Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.

Torna in alto