aws cisco vulnerabilita jsii agentcore strands ise roomos

AWS e Cisco correggono falle in agenti AI, ISE e piattaforme RoomOS

🛡️ Executive Summary

  • Un’iniezione di comandi in jsii-diff consente di eseguire istruzioni shell tramite argomenti manipolati; la correzione è disponibile nella versione 1.131.0.
  • AgentCore esponeva prompt nei log, mentre Strands poteva inviare credenziali Elasticsearch a host controllati attraverso parametri influenzabili dal modello.
  • Cisco prepara patch per il path traversal autenticato in ISE e distribuisce release RoomOS rafforzate contro più classi di vulnerabilità.

AWS e Cisco hanno pubblicato una nuova serie di avvisi che coinvolge strumenti di sviluppo, SDK per agenti di intelligenza artificiale e piattaforme enterprise utilizzate per controllo degli accessi e collaborazione. I problemi più rilevanti comprendono una command injection in jsii-diff, la registrazione di prompt e risposte sensibili negli span di Amazon Bedrock AgentCore, una possibile sottrazione di credenziali Elasticsearch attraverso Strands Agents Tools e un path traversal autenticato in Cisco Identity Services Engine. Cisco ha inoltre distribuito un aggiornamento di hardening per RoomOS, correggendo più classi di debolezze individuate durante una revisione interna.

CVE-2026-15895 consente l’iniezione di comandi attraverso jsii-diff

Annuncio

La vulnerabilità CVE-2026-15895, classificata da AWS con gravità Important, interessa jsii-diff, lo strumento a riga di comando utilizzato per confrontare le differenze delle API tra due assembly jsii. Il problema deriva dalla gestione non sicura di argomenti forniti attraverso la command line: un attaccante in grado di controllare tali valori può inserire metacaratteri o stringhe appositamente preparate e indurre il processo a eseguire comandi sul sistema operativo. Il rischio dipende quindi dal contesto nel quale lo strumento viene utilizzato. In una workstation isolata e controllata l’esposizione può essere limitata, mentre all’interno di pipeline CI/CD, servizi automatizzati o processi che analizzano artefatti provenienti da repository esterni la falla può diventare un vettore di compromissione della supply chain. AWS ha corretto il problema in jsii-diff 1.131.0 e raccomanda di aggiornare anche fork, pacchetti derivati e ambienti containerizzati che incorporano versioni precedenti. Chi non può intervenire immediatamente deve impedire che utenti o sorgenti non fidate controllino gli argomenti passati al comando. Il caso si inserisce in un quadro già caratterizzato da vulnerabilità negli strumenti utilizzati dagli sviluppatori, come mostrato dall’analisi sul malware Miasma e sugli attacchi contro la supply chain software.

AgentCore registrava prompt e risposte complete negli span OpenTelemetry

Il secondo bollettino riguarda CVE-2026-15737 nel Bedrock AgentCore Python SDK. Le versioni 1.4.8 e 1.5.0 inserivano negli attributi degli span OpenTelemetry il prompt originale dell’utente e la risposta completa prodotta dall’agente, senza applicare mascheramento, filtraggio o riduzione dei dati. Gli span venivano successivamente inviati al gruppo di log aws/spans in CloudWatch, trasformando la telemetria tecnica in un archivio potenziale di conversazioni, istruzioni operative, dati personali, segreti aziendali e contenuti recuperati attraverso sistemi RAG. Un utente locale autenticato o un’identità AWS con permessi di lettura sui log poteva quindi accedere a informazioni che non avrebbe dovuto vedere attraverso l’applicazione principale. La vulnerabilità non richiede il compromesso diretto del modello o dell’agente: sfrutta invece la separazione spesso insufficiente tra osservabilità e dati applicativi. AWS ha corretto il comportamento dalla versione 1.5.1 e invita le organizzazioni ad aggiornare il pacchetto, riesaminare le policy IAM associate a CloudWatch e cancellare o bonificare gli span già prodotti. La gestione sicura della telemetria assume un peso crescente con la diffusione di AgentCore, piattaforma che AWS sta trasformando nell’infrastruttura per agenti aziendali connessi a dati, applicazioni e reti private, come ricostruito nell’approfondimento su AgentCore Gateway e l’agentic AI nelle infrastrutture enterprise.

Strands Agents Tools poteva inviare la chiave Elasticsearch a un server ostile

La vulnerabilità CVE-2026-15746 interessa il componente elasticsearch_memory di Strands Agents Tools e mostra un rischio specifico degli strumenti controllabili attraverso modelli linguistici. I parametri di connessione, compreso l’host Elasticsearch, risultavano influenzabili dal modello. Quando il parametro api_key non veniva fornito esplicitamente, il tool recuperava automaticamente la variabile d’ambiente ELASTICSEARCH_API_KEY configurata dall’operatore e la utilizzava per autenticarsi verso l’endpoint selezionato. Un prompt costruito per manipolare il comportamento dell’agente poteva quindi spingerlo a indicare un server controllato dall’attaccante, inducendo il tool a inviare la chiave API durante il tentativo di connessione. Il problema combina server-side request forgery, prompt injection e gestione insicura dei segreti, perché una decisione apparentemente funzionale del modello produce un flusso di rete con credenziali reali. AWS ha risolto la falla dalla versione 0.7.0. Oltre all’aggiornamento, le organizzazioni devono ruotare la chiave ELASTICSEARCH_API_KEY, controllare i log per connessioni verso host inattesi e limitare il traffico in uscita del processo ai soli endpoint autorizzati. Il caso conferma quanto gli agenti AI debbano essere trattati come componenti privilegiati e non come semplici chatbot, soprattutto quando possono modificare parametri di rete, utilizzare segreti o invocare strumenti esterni. AWS aveva già dovuto correggere problemi di iniezione negli ambienti AgentCore, descritti nel bollettino sulle vulnerabilità critiche in WinRAR, AgentCore e Chrome.

Cisco ISE espone file arbitrari attraverso un path traversal autenticato

Sul fronte Cisco, CVE-2026-20146 interessa Identity Services Engine e ISE Passive Identity Connector. La vulnerabilità consente a un attaccante remoto autenticato con credenziali amministrative valide di inserire sequenze di path traversal in un input non correttamente validato, raggiungendo file al di fuori della directory prevista. Un exploit riuscito può permettere di leggere o cancellare file arbitrari sul sistema operativo sottostante. Il punteggio CVSS 5.5 riflette la necessità di possedere privilegi amministrativi, ma l’impatto resta rilevante perché ISE gestisce autenticazione, Network Access Control, profilazione dei dispositivi e applicazione delle policy di accesso. La lettura di file sensibili può esporre configurazioni, certificati, log o informazioni operative, mentre la cancellazione di componenti critici può compromettere stabilità e disponibilità della piattaforma. Cisco non indica workaround e prevede correzioni differenziate per ramo: le versioni precedenti alla 3.3 dovranno passare alla 3.3 Patch 12, attesa a settembre 2026; la 3.4 riceverà la Patch 7 o una hot patch; la 3.5 verrà corretta con la Patch 4 o attraverso una hot patch. ISE-PIC ha già raggiunto la fine della vendita e la 3.4 rimane l’ultima release supportata, rendendo necessaria anche una valutazione di migrazione. La vulnerabilità arriva dopo altri interventi urgenti sulla piattaforma, compresi quelli analizzati nell’articolo sulle patch Cisco per ISE, Webex e Unity Connection.

RoomOS riceve un hardening esteso contro più classi di debolezze

Cisco ha pubblicato anche l’aggiornamento di sicurezza di luglio per RoomOS, il sistema operativo utilizzato da endpoint per videoconferenze, sale riunioni e dispositivi di collaborazione. Il rilascio deriva da una revisione interna e corregge numerose vulnerabilità raggruppate per classe CWE, anziché presentate come singoli problemi isolati. Tra le categorie figurano improper access control con punteggio CVSS fino a 8.8, validazione insufficiente degli input, gestione non corretta delle operazioni sui buffer di memoria e assenza di cifratura in specifici flussi o componenti. Cisco non segnala sfruttamenti attivi, ma raccomanda di installare rapidamente le versioni corrette perché i dispositivi RoomOS operano spesso in reti aziendali, utilizzano microfoni e telecamere e possono accedere a calendari, directory, sistemi di chiamata e servizi cloud. Per RoomOS 11 e versioni precedenti, le release indicate sono 11.32.6.0 negli ambienti on-premises e 11.39.1.1 per quelli cloud-aware. Per RoomOS 26, Cisco indica 26.5.2.2 on-premises e la release cloud di giugno 2026. L’intervento era stato anticipato dal precedente bollettino nel quale Cisco aveva annunciato nuovi advisory per ISE e RoomOS, consentendo agli amministratori di predisporre finestre di manutenzione prima della pubblicazione dei dettagli.

Aggiornamento, rotazione dei segreti e controllo della telemetria sono prioritari

Le organizzazioni che utilizzano i componenti coinvolti devono adottare misure diverse in base alla natura delle falle. jsii-diff va aggiornato almeno alla versione 1.131.0 e isolato da input non fidati nelle pipeline automatizzate. Il Bedrock AgentCore Python SDK richiede il passaggio alla 1.5.1 o successiva, accompagnato dalla revisione dei log aws/spans, dalla cancellazione dei contenuti sensibili e dalla riduzione dei permessi IAM di lettura. Per Strands Agents Tools è necessario installare almeno la versione 0.7.0, ruotare le credenziali Elasticsearch e applicare restrizioni egress che impediscano collegamenti verso host arbitrari. Gli amministratori Cisco devono pianificare le patch di ISE non appena disponibili, verificare la presenza di account amministrativi non necessari e monitorare operazioni anomale sui file. Gli endpoint RoomOS devono invece essere portati alle build corrette secondo il modello di deployment. I bollettini mostrano come lo sviluppo agentico introduca rischi che attraversano codice, log, prompt, credenziali e connettività: la patch resta essenziale, ma deve essere accompagnata da segmentazione, minimo privilegio, gestione dei segreti e controllo rigoroso delle azioni concesse ai modelli.

Iscriviti alla Newsletter

Non perdere le analisi settimanali: Entra nella Matrice Digitale.

Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.

Torna in alto