Un avviso inatteso di Windows manda in stallo migliaia di script, perché a volte basta un dettaglio per bloccare tutto

Un intervento inatteso su PowerShell 5.1 arriva con gli aggiornamenti cumulativi di dicembre per Windows 10 e Windows 11 e introduce un controllo che può modificare il comportamento di molti script. La modifica punta a contenere una vulnerabilità di tipo Remote Code Execution, identificata come CVE-2025-54100.

La novità riguarda Invoke-WebRequest, uno dei comandi più usati negli script di automazione, e mostra un avviso quando viene eseguito senza parametri aggiuntivi. Un cambiamento che interessa soprattutto gli ambienti aziendali, dove questi script gestiscono attività ricorrenti e spesso critiche.

Vuoi ascoltare il riassunto dell’articolo?

Ascolta su Spreaker.

Il nuovo comportamento entra in gioco dopo l’installazione degli aggiornamenti KB5072033 e KB5071417 su Windows 11, e KB5071546 su Windows 10 in versione ESU. PowerShell 5.1 ora chiede una conferma manuale quando uno script utilizza il comando Invoke-WebRequest in modo semplice, mostrando un messaggio che avverte del rischio legato al parsing della pagina.

La caratteristica particolare di PowerShell 5.1 è l’analisi completa del contenuto HTML durante il download.

Questo processo può eseguire inavvertitamente codice presente nella pagina nel momento del parsing, aprendo la strada ad attacchi RCE (Esecuzione Codice da Remoto). PowerShell 7 non presenta questo problema grazie a un motore di analisi diverso.

Il nuovo prompt annulla l’operazione se non arriva una conferma esplicita. Gli script che prevedono un’esecuzione non presidiata rischiano quindi di fermarsi in attesa dell’interazione, con un impatto immediato su provisioning, deployment o attività di monitoraggio.

Microsoft consiglia l’uso del parametro -UseBasicParsing per evitare il parsing avanzato del contenuto. Questa opzione tratta la pagina come semplice testo e disinnesca completamente la vulnerabilità CVE-2025-54100.

Il cambiamento coinvolge anche i comandi curl, perché su Windows rappresentano un alias di Invoke-WebRequest. Gli script che usano questa sintassi ereditano quindi lo stesso comportamento e possono incontrare gli stessi blocchi.

Gli amministratori che mantengono script più datati devono quindi verificare la presenza di comandi non parametrizzati e aggiornare le procedure.

Secondo Microsoft, gli script che scaricano file o leggono il contenuto come testo non richiedono ulteriori modifiche oltre all’aggiunta del parametro consigliato.

Il quadro mostra ancora una volta quanto le operazioni quotidiane possano dipendere da dettagli tecnici apparentemente minori. Un semplice switch in un comando ben noto finisce per ricordare quanto sia fragile l’equilibrio tra automazione, sicurezza e continuità operativa.