← Torna al blog
Briefing sicurezza5 min di lettura2026-05-01

Briefing sicurezza, 1 maggio 2026: allarme Windows di CISA, attacco supply chain SAP/PyTorch, 0-day cPanel, Copy Fail e RCE Gemini CLI

La lezione di stamattina è brutta e familiare: quando i percorsi admin o developer considerati affidabili vengono avvelenati, agli attaccanti non serve eleganza per fare danni.


Top line: Cinque storie contano stamattina: CISA vuole patch Windows rapide, la compromissione supply chain è saltata dai pacchetti npm SAP a PyTorch Lightning e intercom-client, i tentativi contro il bypass di cPanel sono attivi, Linux Copy Fail rende root economico e Google ha dovuto correggere una falla Gemini CLI a gravità massima.


1. L’ordine di patch Windows di CISA significa che non è più backlog opzionale

BleepingComputer riporta che CISA ha aggiunto una vulnerabilità Windows sfruttata attivamente al catalogo KEV e ha imposto una scadenza alle agenzie federali. Il segnale è netto: se CISA forza un movimento urgente, le aziende devono presumere che esista già tradecraft reale degli attaccanti.


2. Il caso SAP npm era già grave; PyTorch Lightning dimostra che la campagna si allarga

The Hacker News afferma che le versioni malevole 2.6.2 e 2.6.3 di PyTorch Lightning pubblicate il 30 aprile sono collegate alla stessa attività Mini Shai-Hulud che ha colpito pacchetti npm legati a SAP. Il malware punta a segreti GitHub, npm, SSH, cloud, Kubernetes e CI. Ogni laptop dev o runner coinvolto va trattato come incidente.


3. cPanel e WHM restano in modalità fuoco vivo

BleepingComputer e The Register descrivono il bypass di autenticazione cPanel/WHM come critico, sfruttato e abbastanza grave da richiedere patch d’emergenza. Queste falle portano direttamente a siti, email, database e talvolta a intere flotte hosting.


4. Copy Fail conferma che “solo locale” è triage pigra

The Register e The Hacker News descrivono Copy Fail (CVE-2026-31431) come una LPE Linux che trasforma un foothold modesto in root sulle principali distribuzioni. Conta ovunque codice meno fidato possa già girare localmente: CI, server condivisi, jump host e container con kernel condiviso.


5. Il fix Gemini CLI di Google chiude un CVSS 10, ma può rompere l’automazione

The Register e The Hacker News riportano che Google ha corretto una falla di command execution a gravità massima in Gemini CLI e nel workflow GitHub Actions correlato, oltre a problemi di Cursor che possono anch’essi portare a code execution. Fastidioso operativamente, ma peggio lasciare aperto un percorso di esecuzione host-level.

Cosa fare oggi

Patcha i Windows urgenti, ruota i segreti toccati da installazioni compromesse, chiudi il buco cPanel, correggi i kernel Linux dove conta l’esecuzione locale e ritesta la CI assistita da IA dopo gli update Gemini. Il pattern è brutale: la plumbing operativa fidata è sotto attacco.

Fonti

  • BleepingComputer sull’ordine urgente di patch Windows di CISA.
  • BleepingComputer e The Hacker News sulla compromissione SAP npm e sul seguito PyTorch Lightning.
  • BleepingComputer e The Register sul bypass cPanel/WHM.
  • The Register e The Hacker News su Copy Fail (CVE-2026-31431).
  • The Register e The Hacker News sul fix Gemini CLI di Google.