Il 4 giugno 2026 il TrendAI Zero Day Initiative ha pubblicato l'advisory ZDI-26-331, svelando una vulnerabilità di directory traversal in Microsoft Edge con impatto a Remote Code Execution. La notizia non è la scoperta in sé: la patch 148.0.3967.70 è disponibile dal 15 maggio 2026. La posta in gioco è il divario di quasi tre settimane tra aggiornamento rilasciato e disclosure coordinata, un lasso di tempo in cui milioni di utenti enterprise hanno navigato senza consapevolezza del rischio concreto.
La vulnerabilità, catalogata come CVE-2026-45495 con CWE-35 (Path Traversal), è stata scoperta da Orange Tsai del team DEVCORE durante Pwn2Own. Microsoft la classifica con CVSS 3.1 pari a 8.8 (HIGH) e valutazione "Exploitation More Likely": una combinazione che, per un browser distribuito in ambiente lavorativo tramite policy IT, traduce esposizione teorica in rischio operativo misurato.
- CVE-2026-45495 è una directory traversal nel componente di gestione feedback log di Microsoft Edge, con CWE-35 confermato dal record CVE ufficiale.
- La patch è stata rilasciata in Edge 148.0.3967.70 il 15 maggio 2026; la disclosure coordinata è avvenuta il 4 giugno 2026, con intervallo di esposizione informativa di circa tre settimane.
- Microsoft assegna alla vulnerabilità CVSS 3.1 di 8.8 (HIGH) con etichetta "Exploitation More Likely"; TrendAI ZDI calcola invece 7.5 con vector
AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H, divergendo sul parametro Attack Complexity. - L'exploit richiede interazione utente (visita a pagina malevola o apertura file malevolo) e chaining con altre primitive per RCE completo nel contesto utente corrente.
Il meccanismo: da path non validato a compromissione del browser
Il difetto risiede specificamente nel handling dei file di log dei feedback di Edge. Il percorso fornito dall'utente — o indotto dall'attaccante tramite pagina web o documento — non viene validato prima dell'uso in operazioni di file system. Questo consente di leggere o scrivere al di fuori della directory prevista, aprendo la superficie a manipolazione arbitraria del filesystem nel contesto del processo browser.
"The specific flaw exists within the handling of feedback log files. The issue results from the lack of proper validation of a user-supplied path prior to using it in file operations." — TrendAI Zero Day Initiative, advisory ZDI-26-331
La directory traversal da sola non garantisce RCE diretta. Come documenta ZDI, "an attacker can leverage this in conjunction with other vulnerabilities to execute code in the context of the current user". Il modello di minaccia è quindi di chaining exploit: la traversal fornisce una primitiva file-system che, combinata con altre tecniche nel sandbox del browser o nel sistema operativo, può portare all'esecuzione di codice. La natura dell'interazione utente — un click, un download, una pagina compromessa — rende il vettore compatibile con scenari di phishing mirato o compromissione di siti legittimi (watering hole).
La divergenza CVSS: perché 7.5 e 8.8 per la stessa falla
Un dato tecnico rilevante per chi valuta il rischio aziendale: le fonti primarie convergenti riportano punteggi CVSS diversi. TrendAI ZDI assegna 7.5 con vector AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H, caratterizzato da Attack Complexity: High. Il CVE Record ufficiale e l'advisory Microsoft MSRC indicano invece 8.8 con Attack Complexity: Low.
La discrepanza non è marginale: in scala CVSS 3.1, il passaggio da AC:H a AC:L sposta la severità da HIGH borderline a HIGH consolidata, influenzando priorità di patching e soglie di risposta in framework come SSVC o VEX. Il dossier non chiarisce le ragioni tecniche della divergenza: possibili interpretazioni diverse del setup dell'attaccante, della stabilità del exploit, o della presenza di condizioni race. Per chi gestisce flotte IT, la raccomandazione prudenziale è di considerare il punteggio più conservativo — quello di Microsoft — nella pianificazione degli aggiornamenti.
Pwn2Own, il credit e il percorso di disclosure
La scoperta è attribuita a Orange Tsai (@orange_8361) del DEVCORE Research Team (@d3vc0r3), ricercatore taiwanese con track record consolidato in competizioni Pwn2Own. L'acknowledgement di Microsoft MSRC conferma la collaborazione: "Orange Tsai... working with TrendAI Zero Day Initiative". La data di report al vendor è il 20 maggio 2026; la patch esce il 15 maggio 2026 — un timing che suggerisce Microsoft abbia integrato il fix nel ciclo di rilascio regolare prima della finestra disclosure.
Il rilascio coordinato dell'advisory pubblico è fissato al 4 giugno 2026, come indicato nei campi strutturati ZDI. Questo ritardo standardizzato — circa tre settimane post-patch — è progettato per consentire distribuzione dell'aggiornamento, ma crea un'asimmetria informativa: gli amministratori che non monitorano attivamente MSRC o non hanno deployment automatico hanno operato senza awareness del "perché" di quel 15 maggio, né della criticità effettiva del changelog.
Perché la timeline patch-disclosure è un problema enterprise
Edge è browser predefinito in Windows 11 e strumento standard in ambienti Microsoft 365. La valutazione "Exploitation More Likely" di Microsoft — citata esplicitamente in MSRC — non è un'espressione generica: indica che l'analisi del vendor considera tecnicamente plausibile e probabilmente in corso lo sviluppo di exploit funzionanti, pur in assenza di codice pubblico confermato. Per workforce distribuita, con endpoint che aggiornano su cicli differiti o con gate IT, questa combinazione di fattori eleva il rischio residuo.
Il 15 maggio-4 giugno rappresenta una finestra di esposizione cognitiva: la vulnerabilità era sanabile, ma non comunicata. Le organizzazioni con update management centralizzato e canali automatici (Stable, Extended Stable) avevano già ricevuto il fix; quelle con controlli manuali, testing pre-deployment, o policy di approvazione potrebbero ancora operare su versioni interessate. La differenza non è tecnica ma organizzativa: la sicurezza qui dipende dalla velocità del processo interno più che dalla disponibilità della patch.
Cosa fare adesso
- Verificare la versione di Edge in deployment: confermare che tutti i canali (Stable, Beta, Extended Stable) siano a 148.0.3967.70 o successiva, rilasciata il 15 maggio 2026 secondo Microsoft MSRC.
- Controllare la classificazione in MSRC: la valutazione "Exploitation More Likely" per CVE-2026-45495 deve essere fattore di priorità nei criteri di risk-based patching.
- Rivedere il ciclo di approvazione aggiornamenti browser: il gap patch-disclosure di questa vulnerabilità evidenzia il costo di processi con testing bloccati su changelog non dettagliati.
- Monitorare indicatori di phishing e drive-by: l'interazione utente richiesta rende il vettore dipendente da ingegneria sociale o compromissione di siti visitati dalla forza lavoro.
Lettura: il silenzio della patch come nuova superficie di rischio
Il caso CVE-2026-45495 non insegna nulla di nuovo sulla tecnica — directory traversal in componente browser — ma qualcosa di rilevante sulla geopolitica della disclosure. Microsoft ha patchato correttamente e in tempo; il disclosure coordinato ha funzionato come previsto. Eppure il sistema, nel suo funzionamento regolare, ha prodotto un'area grigia di protezione disponibile ma non percepita. Per le enterprise, il takeaway operativo non è la paura dell'exploit zero-day, ma la verifica del proprio mean time to patch aware: quanto tempo intercorre tra il rilascio di un fix critico e la consapevolezza interna che quel fix era critico. In un ecosistema dove Edge riceve aggiornamenti ogni settimana, la capacità di decodificare anticipatamente quali changelog nascondono vulnerabilità Pwn2Own — prima che il nome CVE diventi pubblico — è il discrimine tra risposta preventiva e risposta reattiva.
Orange Tsai e DEVCORE hanno dimostrato la falla; Microsoft l'ha chiusa. Resta da misurare quanti sistemi, nel mondo enterprise, avevano già il vaccino installato senza sapere di avere il virus.
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.
Fonti
- http://www.zerodayinitiative.com/advisories/ZDI-26-331/
- https://www.cve.org/CVERecord?id=CVE-2026-45495
- https://www.zerodayinitiative.com/advisories/
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-45495
- http://nvd.nist.gov/cvss.cfm?calculator&version=3.0&vector=AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H
- https://www.microsoft.com/