Un nuovo advisory su Erlang/OTP mostra come un runtime progettato per la resilienza possa comunque essere scosso da difetti nell'analisi del trasporto, nell'autenticazione e nei controlli dei confini di fiducia.
CVE-2026-45504 è una vulnerabilità di server-side request forgery in Microsoft Exchange Server 2019, e un proof-of-concept funzionante ha reso impossibile ignorarne il rischio.
CVE-2026-45504 mostra come una falla post-autenticazione in Microsoft Exchange possa trasformare un account modesto in una sonda lato server, con rischio di lettura file che dipende da come l'implementazione è costruita e difesa.
Una vulnerabilità di Cisco Unified CM collegata a WebDialer mostra come una piccola funzione abilitata possa trasformare una piattaforma di comunicazione in un bersaglio attivo non appena emerge un exploit pubblico.
Un nuovo insieme di correzioni ad alta gravità per ColdFusion mette gli amministratori sotto pressione, con sei falle valutate al punteggio CVSS massimo e una finestra ristretta per la rimediatura.
La versione 1.19.3 chiude una vulnerabilità critica di esecuzione di codice remoto e tre bug ad alta gravità, a sottolineare come un raccoglitore di log possa diventare una parte sensibile della superficie di attacco.
Un insieme di vulnerabilità corrette in Fluentd mostra come un hub di logging possa diventare un punto di snodo per esecuzione di codice, esplorazione interna, interruzione del servizio e fuga di dati sensibili.
La segnalazione KEV di CISA per CVE-2026-20230 mette in allerta i difensori di Cisco Unified CM: una falla SSRF in WebDialer può diventare un solido punto d'appoggio se il servizio è abilitato e non patchato.
Una falla SSRF critica in Cisco Unified CM conta perché si trova nell'infrastruttura di comunicazione, dove una richiesta costruita ad arte può diventare una testa di ponte di alto valore se il servizio sbagliato è abilitato.
Un proof-of-concept recentemente circolato su CVE-2026-45502 mette sotto i riflettori un percorso meno noto di Exchange Web Services e il costo operativo di una remediation ritardata.
Una proof-of-concept pubblica per CVE-2026-45502 trasforma un componente del server di posta in un promemoria: le richieste considerate affidabili dal server possono diventare un punto di pivot pericoloso.
Una falla critica in Unified Communications Manager e Session Management Edition mostra come una sola funzione abilitata possa trasformare un servizio di gestione in un possibile percorso verso il controllo a livello root.
Una falla critica in Unified Communications Manager e Unified CM SME mostra come una debolezza apparentemente circoscritta di un servizio web possa diventare una via per scritture di file e, in alcune configurazioni, un rischio a livello root.
CVE-2026-20230 mostra come una funzionalità costruita per la comodità possa diventare un punto di svolta per la sicurezza quando gli attaccanti trovano un percorso di server-side request forgery e i difensori tardano a patchare.
Un percorso di exploit già noto contro CVE-2026-20230 ricorda che i sistemi vocali enterprise possono diventare superfici d'attacco quando un servizio di gestione resta raggiungibile troppo a lungo.
SearchLeak ricorda che l'esposizione dell'AI aziendale spesso deriva dagli strati attorno al modello - autorizzazioni, ricerca, rendering e richieste in uscita - non solo dal prompt.
Una vulnerabilità segnalata in Copilot mostra come gestione dei prompt, rendering del browser e servizi web affidabili possano combinarsi in una catena di esfiltrazione con un solo clic.
Una catena a un clic riportata in Microsoft 365 Copilot Enterprise Search mostra come prompt injection, rendering web e comportamento classico in stile SSRF possano combinarsi in un rischio di esfiltrazione dei dati.
Una falla critica in una piattaforma di comunicazione centrale è stata corretta, ma la disponibilità di codice proof-of-concept significa che i difensori dovrebbero considerare l'esposizione come un problema urgente di configurazione e patching, non solo come un numero CVSS.
Cisco ha segnalato una vulnerabilità SSRF remota non autenticata in Unified CM, e l'esposizione pratica dipende dal fatto che WebDialer sia abilitato nel deployment.