La vulnerabilita CVE 2026 42945 che colpisce NGINX Plus e NGINX Open e gia sfruttata attivamente in rete a pochi giorni dalla divulgazione pubblica. Il problema riguarda un heap buffer overflow nel modulo ngx http rewrite module e interessa un intervallo molto ampio di versioni, da NGINX 0.6.27 fino a 1.30.0.

La campagna GemStuffer sta attirando l’attenzione nel mondo della cybersecurity per un uso insolito della supply chain del software. Invece di puntare alla compromissione di massa degli sviluppatori con codice malevolo nascosto nelle dipendenze, gli attaccanti hanno caricato oltre 150 pacchetti RubyGems con un obiettivo diverso: trasformare il registry in un canale di data exfiltration e archiviazione.

Grafana ha comunicato di aver subito un accesso non autorizzato al proprio ambiente GitHub a causa della compromissione di un token. Questo tipo di violazione, spesso sottovalutata, mostra quanto un singolo segreto esposto possa trasformarsi rapidamente in un incidente di sicurezza con impatti potenzialmente rilevanti sulla proprieta intellettuale.

OpenAI ha comunicato di aver identificato un impatto limitato nel proprio ambiente aziendale a seguito di un attacco alla supply chain che ha colpito TanStack. Due dispositivi di dipendenti sono stati coinvolti tramite il malware noto come Mini Shai Hulud, con attività coerenti con il comportamento già descritto pubblicamente.

Una vulnerabilità critica nel plugin Funnel Builder per WordPress sta venendo sfruttata attivamente per compromettere i pagamenti su WooCommerce attraverso tecniche di checkout skimming. Il problema interessa tutte le versioni precedenti alla 3.15.0.3 e coinvolge un ecosistema molto ampio, con oltre 40.000 negozi WooCommerce che utilizzano questo componente per creare funnel e pagine di checkout personalizzate.

Ricercatori di cybersecurity hanno individuato codice malevolo in alcune versioni del pacchetto npm node-ipc, una libreria molto usata in ambiente Node.js. Le versioni coinvolte sono 9.1.6, 9.2.3 e 12.0.1 e contengono comportamento offuscato riconducibile a stealer e backdoor, con l’obiettivo di rubare segreti di sviluppo e credenziali cloud.

Microsoft ha segnalato una nuova vulnerabilità di sicurezza che riguarda le installazioni on premises di Microsoft Exchange Server e che risulta già sfruttata attivamente in attacchi reali. La falla è tracciata come CVE 2026 42897 con punteggio CVSS 8.1 e viene classificata come problema di spoofing legato a una cross site scripting.

La CISA ha inserito nel catalogo Known Exploited Vulnerabilities la vulnerabilità CVE-2026-20182 che colpisce Cisco Catalyst SD-WAN Controller e che risulta già sfruttata attivamente. Si tratta di un difetto di authentication bypass con punteggio CVSS 10.0, quindi di massima gravità, perché permette a un attaccante remoto non autenticato di aggirare i controlli di accesso e ottenere privilegi amministrativi sul sistema compromesso.

Il gruppo di cyber spionaggio Turla ha evoluto il backdoor Kazuar in una botnet P2P modulare progettata per ottenere accesso persistente e difficile da rilevare sui sistemi compromessi. Questa trasformazione segna un cambio di passo importante nel panorama malware, perché non si tratta più di un impianto monolitico ma di un ecosistema a componenti con ruoli separati, capace di adattarsi e resistere meglio alle interruzioni operative e ai tentativi di analisi.

Nel panorama della sicurezza Linux è emersa una nuova vulnerabilità di local privilege escalation chiamata Fragnesia, tracciata come CVE 2026 46300 con punteggio CVSS 7.8. Il problema riguarda il kernel Linux e in particolare il sottosistema XFRM ESP in TCP, una componente legata a funzionalità IPsec e gestione del traffico cifrato.