Iscriviti al webinar gratuito del 28 Aprile per diventare Ethical Hacker! Scopri di più
Patch Tuesday di Aprile: SAP, Adobe, Fortinet e Microsoft nel mirino—vulnerabilità critiche e exploit attivi
Il Patch Tuesday di aprile mette in evidenza un insieme di vulnerabilita critiche che coinvolgono SAP, Adobe, Fortinet e Microsoft, con impatti concreti su continuita operativa e protezione dei dati. Le aziende che gestiscono ambienti complessi dovrebbero considerare queste patch come una priorita di sicurezza informatica, per ridurre il rischio di esecuzione di codice remoto, furto di informazioni e interruzioni dei processi di business.
SAP
Tra i casi piu rilevanti spicca una vulnerabilita di SQL injection in SAP Business Planning and Consolidation e SAP Business Warehouse, identificata come CVE 2026 27681 con punteggio CVSS 9.9. Il problema riguarda un programma ABAP vulnerabile che consentirebbe a un utente con privilegi limitati di caricare un file contenente istruzioni SQL arbitrarie, che verrebbero poi eseguite sul database. In uno scenario di attacco, questa falla puo essere sfruttata per interrogare in modo malevolo gli archivi dati BW o BPC, estrarre dati sensibili e perfino cancellare o corrompere contenuti. Le conseguenze operative possono includere valori di pianificazione manipolati, report compromessi e dati di consolidamento eliminati, con effetti diretti su chiusure contabili, reporting direzionale e pianificazione.
Adobe
Sul fronte Adobe, una vulnerabilita critica di remote code execution in Acrobat Reader, CVE 2026 34621 con CVSS 8.6, risulta sotto sfruttamento attivo. Questo aumenta l urgenza di aggiornare i client, soprattutto in contesti dove i documenti PDF rappresentano un vettore frequente di ingresso.
Inoltre Adobe ha corretto cinque vulnerabilita critiche in ColdFusion 2025 e 2023, che possono portare a esecuzione di codice, denial of service applicativo, lettura arbitraria del file system e bypass di funzionalita di sicurezza. Tra i difetti figurano casi di path traversal e di validazione input inadeguata, associati a CVE come 2026 27304 e 2026 27306.
Fortinet
Fortinet ha rilasciato correzioni per due vulnerabilita critiche in FortiSandbox: CVE 2026 39813 e CVE 2026 39808, entrambe con CVSS 9.1, legate rispettivamente a bypass di autenticazione e command injection tramite richieste HTTP appositamente costruite.
Microsoft
Microsoft, infine, ha risolto 169 difetti di sicurezza, includendo una vulnerabilita di spoofing in SharePoint Server, CVE 2026 32201, segnalata come attivamente sfruttata e potenzialmente utile per accedere a informazioni sensibili e facilitare movimenti laterali o strategie di doppia estorsione.