Het Gigabyte Control Center (GCC) is kwetsbaar voor een arbitrary file write flaw, waardoor een niet geauthenticeerde aanvaller op afstand toegang kan krijgen tot bestanden op kwetsbare systemen. Volgens Gigabyte kan succesvolle exploitatie leiden tot code executie op het onderliggende systeem, privilege escalation en een denial of service toestand.

Het Gigabyte Control Center (GCC), dat vooraf is geïnstalleerd op alle laptops en moederborden van het bedrijf, is een Windows hulpprogramma waarmee gebruikers hun hardware kunnen beheren en configureren. Het ondersteunt hardware monitoring, fan control, performance tuning, RGB lighting control, driver- en firmware updates en device management. Een functie in het Control Center is "pairing", waarmee de tool kan communiceren met andere apparaten of services via het netwerk. Systemen waarop de 'pairing'-optie is ingeschakeld op Control Center versies 25.07.21.01 en eerder, lopen risico.

Taiwan's CERT waarschuwt dat wanneer de pairing functie is ingeschakeld, niet geauthenticeerde aanvallers op afstand willekeurige bestanden naar elke locatie op het onderliggende besturingssysteem kunnen schrijven, wat leidt tot willekeurige code executie of privilege escalation. Het probleem, dat wordt gevolgd als CVE-2026-4415, is ontdekt door security researcher David Sprüngli. Gebaseerd op het CVSS v4.0 scoring systeem, heeft het probleem een kritieke severity rating van 9.2 uit 10.

Gebruikers wordt aangeraden om te upgraden naar de nieuwste versie van Control Center, momenteel 25.12.10.01, die fixes bevat voor download path management, message processing en command encryption om de kwetsbaarheid effectief te mitigeren. Gigabyte adviseert klanten om onmiddellijk te upgraden naar de nieuwste GCC versie. Het wordt aanbevolen dat gebruikers van Gigabyte producten de nieuwste GCC versie downloaden van de officiële software portal van de vendor om het risico op trojanized installers te minimaliseren.

Bron: GIGABYTE | Bron 2: cve.org | Bron 3: twcert.org.tw

Hackers hebben TrueConf conference servers aangevallen door misbruik te maken van een zero-day kwetsbaarheid (CVE-2026-3502). Hierdoor kunnen ze willekeurige bestanden uitvoeren op alle verbonden endpoints. De kwetsbaarheid heeft een medium severity score. Het probleem ligt in een ontbrekende integriteitscontrole in het update-mechanisme van de software. Hierdoor kan de legitieme update worden vervangen door een kwaadaardige variant.

TrueConf is een video conferencing platform dat als een self-hosted server kan draaien en is ontworpen voor gesloten, offline omgevingen. Volgens de leverancier zijn meer dan 100.000 organisaties overgestapt op TrueConf tijdens de COVID-19 pandemie. Onder de TrueConf gebruikers bevinden zich militaire organisaties, overheidsinstanties, olie- en gasbedrijven en luchtverkeersleiding.

CheckPoint onderzoekers volgen een campagne genaamd TrueChaos, die sinds begin dit jaar CVE-2026-3502 misbruikt in zero-day aanvallen gericht op overheidsinstanties in Zuidoost-Azië. Een aanvaller die controle krijgt over de on-premises TrueConf server kan het verwachte update pakket vervangen door een willekeurig uitvoerbaar bestand en dit distribueren naar alle verbonden clients. Omdat de client de door de server aangeboden update vertrouwt zonder validatie, kan het kwaadaardige bestand worden afgeleverd en uitgevoerd onder het mom van een legitieme TrueConf update.

De kwetsbaarheid treft TrueConf versies 8.1.0 tot en met 8.5.2. Na de melding van CheckPoint aan de leverancier is een fix uitgebracht in versie 8.5.3 in maart 2026.

CheckPoint acht het aannemelijk dat de TrueChaos activiteit kan worden toegeschreven aan een Chinese dreigingsactor, op basis van tactieken, technieken en procedures (TTP's), het gebruik van Alibaba Cloud en Tencent voor het hosten van de command en control (C2) infrastructuur, en de slachtoffers. De aanvallen verspreiden zich via een centraal beheerde TrueConf server van de overheid, waardoor meerdere instanties worden getroffen. Kwaadaardige bestanden worden via valse updates naar alle verbonden TrueConf clients gepusht.

De infectieketen omvat DLL sideloading en de implementatie van reconnaissance tools (tasklist, tracert), privilege escalation (UAC bypass via iscicpl.exe), en het opzetten van persistentie. De onderzoekers konden de uiteindelijke payload niet achterhalen, maar merkten op dat netwerkverkeer wees op Havoc C2 infrastructuur, waardoor het waarschijnlijk is dat de Havoc implant werd gebruikt. Havoc is een open-source C2 framework dat in staat is om commando's uit te voeren, processen te beheren, Windows tokens te manipuleren, shellcode uit te voeren en extra payloads te implementeren op gecompromitteerde systemen. Het is eerder gebruikt door de Chinese dreigingsgroep Amaranth Dragon in aanvallen met een vergelijkbare scope.

CheckPoint deelt indicators of compromise (IoCs) en infectiesignalen. Sterke tekenen van een inbreuk zijn de aanwezigheid van poweriso.exe of 7z-x64.dll, en verdachte artefacten zoals %AppData%\Roaming\Adobe\update.7z of iscsiexe.dll.

Bron: Check Point | Bron 2: nvd.nist.gov | Bron 3: app.opencve.io

Een wijdverspreide security crisis treft ImageMagick, een softwaretool die door miljoenen websites wordt gebruikt voor het verwerken en aanpassen van afbeeldingen. Onderzoek door Octagon Networks met hun autonome engine pwn.ai onthult dat het uploaden van een specifiek ontworpen foto, zelfs een standaard .jpg, hackers in staat kan stellen tot Remote Code Execution (RCE) en volledige controle over een webserver.

De meeste websites gebruiken ImageMagick voor de beeldverwerking. Beveiligingssystemen controleren doorgaans bestandsextensies zoals .png, maar onderzoekers ontdekten dat ImageMagick dieper in de interne code van een bestand kijkt. Door een techniek genaamd "magic byte shift" te gebruiken, kan een aanvaller een gevaarlijk script vermommen als een foto.

Volgens het onderzoek van Octagon Networks vertrouwt de software verborgen karakters te veel, waardoor hackers beveiligingsregels kunnen omzeilen. Het probleem wordt verergerd doordat ImageMagick vaak als tussenpersoon fungeert en complexe bestanden doorgeeft aan een secundaire tool genaamd GhostScript. Zelfs wanneer de hoofdsoftware is ingesteld om bepaalde bestanden te blokkeren, worden deze nog steeds doorgegeven aan GhostScript om kwaadaardige commando's uit te voeren. Hierdoor kan een aanvaller private wachtwoorden lezen of nieuwe bestanden schrijven om een permanente backdoor te creëren.

Aanvallers kunnen de Magick Scripting Language (MSL) gebruiken om uit security sandboxes te ontsnappen en bestanden overal op een harde schijf te plaatsen. Deze ontdekking treft bijna elke grote Linux distributie, waaronder Ubuntu 22.04, Debian en Amazon Linux. Zelfs de meest restrictieve instellingen konden de aanval niet stoppen, waarbij onderzoekers opmerkten dat het primaire verdedigingsmechanisme van het "veilige" beleid niet functioneert op veel systemen vanwege de manier waarop verschillende tools zijn gebundeld.

Het onderzoek, dat exclusief met Hackread.com werd gedeeld, benadrukt ook een risico voor WordPress websites, met name diegene die plugins zoals Gravity Forms gebruiken. Een enkele upload kan zelfs worden gebruikt om een server te laten crashen door het tijdelijke geheugen te vullen met meer dan 1TB aan data in minder dan een seconde, waardoor de site direct offline wordt gehaald.

Hoewel een fix in november 2025 aan sommige versies werd toegevoegd, werd dit nooit officieel als een security update bestempeld. Dit betekent dat de meeste standaard servers, inclusief de veelgebruikte Ubuntu setup, tot 2027 kwetsbaar blijven, tenzij beheerders handmatig ingrijpen. Het ontbreken van een formele waarschuwing heeft een groot gat in de wereldwijde security achtergelaten, waardoor veel beheerders zich niet bewust zijn van het risico. Zonder een geautomatiseerde patch ligt de verantwoordelijkheid nu bij site-eigenaren om hun systemen te beveiligen tegen deze onzichtbare dreiging.

Bron: pwn.ai

Apple heeft de iOS 18-update voor meer iPhones en iPads beschikbaar gesteld vanwege een exploit die misbruik maakt van iOS-kwetsbaarheden. Vorige maand waarschuwden Google, Lookout en iVerify voor een exploitkit genaamd DarkSword, die door verschillende actoren werd ingezet om iPhones met malware te infecteren. De exploitkit maakt gebruik van zes verschillende kwetsbaarheden, waarvan er voor drie op het moment van de aanval nog geen update beschikbaar was (CVE-2026-20700, CVE-2025-43529 en CVE-2025-14174). Inmiddels zijn deze lekken wel gepatcht.

Volgens de waarschuwing is alleen het bezoeken van een gehackte of kwaadaardige website of het zien van een besmette advertentie met een kwetsbare iPhone voldoende om te worden geïnfecteerd, zonder verdere interactie. De exploitkit zou ontwikkeld zijn door een spywareleverancier en door een statelijke actor zijn ingezet voor cyberspionage. Eind vorig jaar kregen ook cybercriminelen er toegang toe. Enkele dagen na de analyse van de drie bedrijven verscheen de exploitkit op GitHub.

Apple bracht op 24 maart iOS en iPadOS 18.7.7 uit, waarin meerdere kwetsbaarheden werden verholpen. Deze update was in eerste instantie alleen beschikbaar voor de iPhone XS, iPhone XS Max, iPhone XR en iPad 7de generatie. Nieuwere iPhones en iPads die naar iOS en iPadOS 26 kunnen upgraden, maar nog steeds iOS 18 gebruiken, kregen sinds eind vorig jaar geen iOS 18-updates meer aangeboden. In het bulletin werd de naam DarkSword niet genoemd.

In een update van het beveiligingsbulletin laat Apple nu weten dat het op 1 april iOS 18.7.7 voor meer apparaten beschikbaar heeft gemaakt. Gebruikers die Automatische Updates hebben ingeschakeld, kunnen belangrijke beveiligingsmaatregelen tegen webaanvallen genaamd DarkSword ontvangen. De updates met betrekking tot de DarkSword-exploit werden voor het eerst in 2025 uitgebracht, aldus Apple.

Bron: Apple

Meer dan 14.000 F5 BIG-IP APM servers zijn toegankelijk vanaf het internet. Dat meldt The Shadowserver Foundation. Aanvallers maken actief misbruik van een kwetsbaarheid in het platform. Het is onbekend hoeveel kwetsbare F5 BIG-IP APM servers er online zijn. Via BIG-IP Access Policy Manager (APM) kunnen organisaties hun medewerkers toegang geven tot applicaties, ongeacht waar die worden gehost.

In oktober vorig jaar bracht F5 een beveiligingsupdate uit voor een kwetsbaarheid in het platform, aangeduid als CVE-2025-53521. In eerste instantie werd het probleem omschreven als een denial of service. Vorige maand besloot F5 dit op basis van nieuwe informatie te veranderen in een remote code execution kwetsbaarheid. Verschillende overheidsdiensten, waaronder het Nationaal Cyber Security Centrum (NCSC), waarschuwden vervolgens voor actief misbruik van de kwetsbaarheid.

The Shadowserver Foundation heeft bij een recente scan gekeken hoeveel F5 BIG-IP APM servers toegankelijk zijn vanaf het internet. Dit leverde meer dan 14.000 servers op, waarvan 362 in Nederland. Bij de scan werd niet gekeken hoeveel servers de update voor CVE-2025-53521 missen.

Bron: dashboard.shadowser | Bron 2: dashboard.shadowserver.org

In Foxit PDF Editor en Reader is een lokale privilege escalation kwetsbaarheid ontdekt in de update service, aangeduid als CVE-2026-3775. Deze kwetsbaarheid maakt het voor gebruikers met beperkte rechten mogelijk om willekeurige code uit te voeren als SYSTEM via een DLL hijacking. De kwetsbaarheid is op 1 april 2026 gepubliceerd en heeft een CVSS 3.1 score van 7.8.

De kwetsbaarheid betreft een DLL search-order hijacking probleem. De update service laadt systeem bibliotheken van een zoekpad dat directories bevat waar gebruikers met beperkte rechten naar kunnen schrijven. Een lokale aanvaller kan een kwaadaardige DLL plaatsen in een van deze beschrijfbare directories. Wanneer de update service draait, zal het de DLL van de aanvaller laden in plaats van de legitieme systeem bibliotheek. Omdat de update service met verhoogde privileges draait, wordt de code van de aanvaller uitgevoerd als SYSTEM, waardoor de aanvaller volledige controle over de machine krijgt.

De kwetsbaarheid treft Foxit PDF Editor en Foxit PDF Reader op zowel Windows als macOS. De specifieke getroffen en vaste versies zijn:

*   PDF Editor (Windows): 2026.1 / 14.0.3 / 13.2.3

*   PDF Editor (Mac): 2026.1 / 13.2.3

*   PDF Reader (Windows): 2026.1

*   PDF Reader (Mac): 2026.1

Versies 2025.3 en eerder zijn bevestigd als getroffen. Organisaties die oudere branches (13.x of 14.x) gebruiken, wordt aangeraden om te updaten naar ten minste 13.2.3 of 14.0.3.

Het wordt aangeraden om Foxit producten onmiddellijk te updaten. Dit kan via Help, dan About, dan Check for Update in Foxit PDF Editor of Reader. Het is ook mogelijk om de nieuwste versies te downloaden van Foxit's security bulletin pagina. Daarnaast wordt aangeraden om de file system permissions te controleren op directories die de Foxit update service doorzoekt bij het laden van libraries en om write access te beperken waar mogelijk. Controleer op verdachte DLL bestanden die verschijnen in applicatiedirectories of user-writable paths. EDR oplossingen kunnen DLL side-loading pogingen in real time signaleren. Indien patching niet onmiddellijk kan gebeuren, kan overwogen worden om de auto-update service tijdelijk uit te schakelen.

Bron: Foxit

Twee kwetsbaarheden in Progress ShareFile, een oplossing voor veilige bestandsoverdracht voor bedrijven, kunnen worden gecombineerd om ongeauthenticeerde bestandsexfiltratie mogelijk te maken. ShareFile wordt gebruikt door grote en middelgrote bedrijven. Dergelijke oplossingen zijn aantrekkelijke doelwitten voor ransomware actoren, zoals eerder is gezien bij data van diefstalaanvallen door Clop die bugs misbruikten in Accellion FTA, SolarWinds Serv-U, Gladinet CentreStack, GoAnywhere MFT, MOVEit Transfer en Cleo.

Onderzoekers van watchTowr ontdekten een authenticatie bypass (CVE-2026-2699) en een remote code execution (RCE) kwetsbaarheid (CVE-2026-2701) in de Storage Zones Controller (SZC) component van Progress ShareFile branch 5.x. SZC geeft klanten meer controle over hun data door hen in staat te stellen deze op hun eigen infrastructuur op te slaan (on-prem of in een third-party cloud provider) of op de Progress systemen. Na de melding van watchTowr zijn de problemen verholpen in Progress ShareFile 5.12.4, uitgebracht op 10 maart.

Het onderzoek van watchTowr legt uit dat de aanval begint met het misbruiken van de authenticatie bypass, CVE-2026-2699, die toegang geeft tot de ShareFile admin interface als gevolg van onjuiste verwerking van HTTP redirects. Eenmaal binnen kan een aanvaller Storage Zone configuratie-instellingen wijzigen, inclusief bestandspaden en security-sensitive parameters zoals de zone passphrase en gerelateerde geheimen. Door misbruik te maken van de tweede kwetsbaarheid, CVE-2026-2701, kunnen aanvallers remote code execution verkrijgen op de server door file upload en extractie functionaliteit te misbruiken om kwaadaardige ASPX webshells in de webroot van de applicatie te plaatsen.

De onderzoekers merken op dat voor de exploitatie, aanvallers geldige HMAC signatures moeten genereren en interne geheimen moeten extraheren en decoderen. Dit is echter mogelijk na het exploiteren van CVE-2026-2699 vanwege de mogelijkheid om passphrase-gerelateerde waarden in te stellen of te controleren.

Volgens de scans van watchTowr zijn er ongeveer 30.000 Storage Zone Controller instances blootgesteld op het publieke internet. De ShadowServer Foundation observeert momenteel 700 internet-exposed instances van Progress ShareFile, waarvan de meeste zich in de Verenigde Staten en Europa bevinden.

WatchTowr ontdekte de twee flaws en meldde deze aan Progress tussen 6 en 13 februari, en de volledige exploit chain werd bevestigd op 18 februari voor Progress ShareFile 5.12.4. De leverancier bracht security updates uit in versie 5.12.4, uitgebracht op 10 maart. Hoewel er tot op heden geen actieve exploitatie in het wild is waargenomen, zouden systemen met kwetsbare versies van ShareFile Storage Zone Controller onmiddellijk moeten worden gepatcht, aangezien de openbaarmaking van de chain waarschijnlijk dreigingsactoren zal aantrekken.

Bron: watchTowr | Bron 2: dashboard.shadowserver.org | Bron 3: hubs.li

Een kritieke kwetsbaarheid in de Cisco Integrated Management Controller (IMC) stelt aanvallers in staat om het wachtwoord van de administrator te wijzigen en als beheerder in te loggen. Cisco heeft beveiligingsupdates uitgebracht om dit probleem, aangeduid als CVE-2026-20093, te verhelpen.

De Cisco Integrated Management Controller is een oplossing die beheerders in staat stelt om op afstand in te loggen op Cisco servers. De kwetsbaarheid ontstaat doordat de oplossing niet correct omgaat met verzoeken voor het aanpassen van wachtwoorden. Een aanvaller kan hiervan misbruik maken door een speciaal geprepareerd HTTP-verzoek naar het systeem te sturen. Hierdoor kan de aanvaller de authenticatie omzeilen en het wachtwoord van elke gebruiker wijzigen, inclusief de administrator. Vervolgens kan de aanvaller als die gebruiker inloggen op het systeem. Verdere details over de aanval zijn niet bekendgemaakt. Een externe onderzoeker heeft het probleem ontdekt en gemeld aan Cisco.

Bron: Cisco

Cisco heeft beveiligingsupdates uitgebracht voor Cisco Nexus Dashboard en Cisco Nexus Dashboard Insights om verschillende kwetsbaarheden te adresseren. Een van de kwetsbaarheden is een onjuiste inputvalidatie van specifieke HTTP verzoeken in beide producten. Een niet geauthenticeerde externe aanvaller kan hierdoor server side request forgery (SSRF)-aanvallen uitvoeren. Dit stelt de aanvaller in staat om willekeurige netwerkverzoeken te versturen vanaf de getroffen server, wat mogelijk kan leiden tot de uitvoering van kwaadaardige scripts.

Een andere kwetsbaarheid bevindt zich in de configuratie backupfunctie van Cisco Nexus Dashboard. Een aanvaller die zowel het encryptiewachtwoord als de backupbestanden in handen heeft, kan gevoelige authenticatiedetails ontsleutelen. Vervolgens kan de aanvaller willekeurige root commando's uitvoeren op het apparaat, wat kan resulteren in een volledige compromittering van het systeem.

Daarnaast is er een kwetsbaarheid in Cisco Nexus Dashboard Insights. Een geauthenticeerde aanvaller met administratieve rechten kan via de Metadata updatefunctie willekeurige bestanden schrijven. Dit is mogelijk door onvoldoende validatie van handmatig geüploade metadata updatebestanden, wat de integriteit van het systeem in gevaar kan brengen.

Bron: NCSC

F5 waarschuwt voor de actieve uitbuiting van een kwetsbaarheid in BIG IP Access Policy Manager (APM), aangeduid als CVE-2025-53521, die al sinds oktober 2025 bekend is. Het platform beheert de toegang tot applicaties, cloudomgevingen, API's en netwerken van organisaties. Ondanks dat F5 vijf maanden geleden al een patch uitbracht, zijn er nog steeds veel bedrijven kwetsbaar.

Het beveiligingsbedrijf heeft een lijst met mogelijke indicatoren gedeeld die kunnen aantonen dat hackers het op een omgeving gemunt hebben, inclusief maatregelen die organisaties in dat geval kunnen nemen. F5 adviseert klanten om de configuratie opnieuw op te bouwen vanuit een betrouwbare bron, omdat UCS bestanden van gehackte systemen hardnekkige malware kunnen bevatten.

Volgens ShadowServer zijn er wereldwijd nog 17.163 kwetsbare systemen. Daarvan bevinden zich ongeveer 11.000 in Europa en Noord Amerika, met 5.825 specifiek in Europa. Duitsland voert de lijst aan met 1.079 kwetsbare systemen, gevolgd door Zwitserland met 795. In de Benelux en Frankrijk zijn er respectievelijk 603 potentiële slachtoffers in Frankrijk, 444 in Nederland, 287 in België en enkele tientallen in Luxemburg.

Hoewel het aantal kwetsbare systemen aanzienlijk is gedaald ten opzichte van de 266.000 bij de eerste bekendmaking van de kwetsbaarheid, tonen de huidige cijfers aan dat bedrijven nog steeds achterlopen met het installeren van patches.

Bron: F5 | Bron 2: nvd.nist.gov | Bron 3: dashboard.shadowserver.org

Onderzoekers waarschuwen voor twee kwetsbaarheden in Progress ShareFile waarmee ongeauthenticeerde aanvallers kwetsbare servers volledig kunnen overnemen. Securitybedrijf watchTowr informeerde Progress begin februari over de lekken, waarna Progress op 10 maart beveiligingsupdates uitbracht. De details over de kwetsbaarheden zijn nu openbaar gemaakt. Van de bijna achthonderd Progress ShareFile servers die via internet toegankelijk zijn, bevinden zich 38 in Nederland. Het is onbekend hoeveel van deze servers de update inmiddels hebben geïnstalleerd.

ShareFile is een oplossing voor het uitwisselen van bestanden, vergelijkbaar met MOVEit Transfer, Accellion File Transfer Appliance, Fortra GoAnywhere en IBM Aspera Faspex. De software was oorspronkelijk van Citrix, maar werd twee jaar geleden overgenomen door Progress. De combinatie van twee kwetsbaarheden in ShareFile maakt remote code execution door een ongeauthenticeerde aanvaller mogelijk.

De eerste kwetsbaarheid, CVE-2026-2699, is een authentication bypass veroorzaakt door een 'Execution After Redirect'-probleem. Wanneer een ongeauthenticeerde gebruiker de admin interface van FileShare bezoekt, wordt deze doorgestuurd naar de inlogpagina. De functie die controleert of de gebruiker is geauthenticeerd, laadt echter de rest van de admin interface gewoon. Door de HTTP response die naar de server wordt gestuurd aan te passen en de Location header te verwijderen, wordt een redirect voorkomen en verschijnt de admin interface.

De onderzoekers vonden ook een tweede probleem, CVE-2026-2701, waardoor een geauthenticeerde gebruiker een malafide bestand, zoals een webshell, naar de server kan uploaden en uitvoeren, wat tot remote code execution leidt. Progress meldt dat het niet bekend is met misbruik van de kwetsbaarheden. Beveiligingslekken in soortgelijke oplossingen zijn in het verleden echter op grote schaal misbruikt bij aanvallen.

The Shadowser Foundation, een stichting die online onderzoek doet naar kwetsbare systemen, detecteerde 784 unieke IP-adressen van ShareFile servers, waarvan 38 in Nederland. Het gaat hier om servers die vanaf het internet toegankelijk zijn. Er is niet gekeken of de servers up to date zijn. De onderzoekers van watchTowr stellen dat er 30.000 servers vanaf het internet toegankelijk zijn en merken op dat deze servers speciaal zijn opgezet door organisaties die hun bestanden niet aan de infrastructuur van een andere partij toevertrouwen.

Bron: watchTowr | Bron 2: docs.sharefile.com

Fortinet heeft een kwetsbaarheid in FortiClient EMS verholpen. Deze kwetsbaarheid, die te maken heeft met onjuiste toegangscontrole, stelt ongeauthenticeerde aanvallers in staat om beveiligingscontroles te omzeilen door speciaal opgemaakte verzoeken te versturen. Hierdoor kunnen ze ongeautoriseerde code of commando's uitvoeren.

Het NCSC waarschuwt dat de kwetsbaarheid op afstand misbruikt kan worden zonder authenticatie, wat kan leiden tot ongeautoriseerde manipulatie van het systeem. Fortinet heeft informatie dat de kwetsbaarheid al actief wordt misbruikt. Hoewel er nog geen publieke Proof of Concept code of exploit bekend is, verwacht het NCSC dat deze op korte termijn beschikbaar zullen komen, wat de kans op scanverkeer en grootschalig misbruik aanzienlijk zal verhogen.

Bron: NCSC

Fortinet heeft een nood patch uitgebracht voor een kritieke kwetsbaarheid in FortiClient Enterprise Management Server (EMS), die actief wordt misbruikt. De kwetsbaarheid, aangeduid als CVE-2026-35616, is een ‘improper access control’ probleem dat niet geauthenticeerde aanvallers in staat stelt code of commando's uit te voeren via speciaal vervaardigde verzoeken.

Fortinet waarschuwt dat de kwetsbaarheid wordt misbruikt en adviseert gebruikers om de hotfix voor FortiClient EMS 7.4.5 en 7.4.6 te installeren. De kwetsbaarheid treft FortiClient EMS versies 7.4.5 en 7.4.6 en kan worden verholpen door de volgende hotfixes te installeren. De hotfix voor FortiClientEMS 7.4.5 en de hotfix voor FortiClientEMS 7.4.6. De kwetsbaarheid zal ook worden verholpen in de aankomende FortiClientEMS 7.4.7. FortiClient EMS 7.2 wordt niet beïnvloed.

De kwetsbaarheid werd ontdekt door cybersecuritybedrijf Defused, dat het beschreef als een pre authentication API access bypass, waardoor aanvallers authenticatie- en autorisatiecontroles volledig kunnen omzeilen. Defused meldde op X dat ze de kwetsbaarheid eerder deze week als een zeroday zagen worden misbruikt, voordat ze het onder responsible disclosure aan Fortinet rapporteerden.

Internet security watchdog Shadowserver heeft meer dan 2.000 blootgestelde FortiClient EMS instances online gevonden, waarvan de meeste zich in de Verenigde Staten en Duitsland bevinden. De kwetsbaarheid volgt op een afzonderlijke kritieke FortiClient EMS kwetsbaarheid, CVE-2026-21643, die vorige week werd gemeld en ook actief werd misbruikt in aanvallen. Beide kwetsbaarheden werden ontdekt door Defused, waarbij Fortinet ook Nguyen Duc Anh crediteert voor de nieuwste kwetsbaarheid. Fortinet dringt er bij klanten op aan om de hotfixes onmiddellijk toe te passen of te upgraden naar versie 7.4.7 wanneer deze beschikbaar komt om het risico op compromittering te minimaliseren.

Bron: Fortinet | Bron 2: hubs.li

Een ontevreden beveiligingsonderzoeker heeft exploit-code gepubliceerd voor een ongepatchte Windows privilege escalation kwetsbaarheid, bekend als "BlueHammer". Deze kwetsbaarheid stelt aanvallers in staat om SYSTEM- of verhoogde administratorrechten te verkrijgen. De onderzoeker, onder het alias Chaotic Eclipse, is ontevreden over de manier waarop Microsoft’s Security Response Center (MSRC) het meldingsproces heeft afgehandeld.

Omdat er nog geen officiële patch of update is, wordt het beschouwd als een zero-day kwetsbaarheid volgens de definitie van Microsoft. Op 3 april publiceerde Chaotic Eclipse een GitHub-repository voor de BlueHammer exploit, onder de naam Nightmare-Eclipse, waarin hij zijn ongeloof en frustratie uitte over de beslissing van Microsoft.

Will Dormann, principal vulnerability analyst bij Tharros, bevestigde aan BleepingComputer dat de BlueHammer exploit werkt. Het is een local privilege escalation (LPE) die een TOCTOU (time-of-check to time-of-use) en een path confusion combineert. Dormann legde uit dat de exploit een lokale aanvaller toegang geeft tot de Security Account Manager (SAM) database, die wachtwoordhashes voor lokale accounts bevat. Hiermee kunnen aanvallers escaleren naar SYSTEM privileges en mogelijk een volledige machine compromitteren.

Sommige onderzoekers die de exploit hebben getest, bevestigden dat de code niet succesvol was op Windows Server, wat de bewering van Chaotic Eclipse bevestigt dat er bugs in de code zitten. Op het Server platform verhoogt de BlueHammer exploit de rechten van niet-admin naar verhoogde administrator, een bescherming die vereist dat de gebruiker tijdelijk een operatie autoriseert die volledige toegang tot het systeem nodig heeft.

Ondanks dat BlueHammer een lokale aanvaller vereist, is het risico nog steeds significant, omdat hackers lokale toegang kunnen krijgen via verschillende vectoren, waaronder social engineering, het misbruiken van andere software kwetsbaarheden of credential-based aanvallen.

Microsoft heeft gereageerd op de BlueHammer kwetsbaarheid met de volgende verklaring: "Microsoft heeft een klantverplichting om gerapporteerde beveiligingsproblemen te onderzoeken en getroffen apparaten zo snel mogelijk bij te werken om klanten te beschermen. We ondersteunen ook gecoördineerde openbaarmaking van kwetsbaarheden, een breed toegepaste industriepraktijk die helpt ervoor te zorgen dat problemen zorgvuldig worden onderzocht en aangepakt voordat ze openbaar worden gemaakt, ter ondersteuning van zowel klantbescherming als de beveiligingsonderzoeksgemeenschap."

Bron: Microsoft | Bron 2: adaptivesecurity.com | Bron 3: deadeclipse666.blogspot.com

Een kritieke kwetsbaarheid in de WordPress plug-in Ninja Forms - File Upload stelt aanvallers in staat om kwetsbare websites volledig over te nemen. De ontwikkelaars brachten drie weken geleden een update uit voor het probleem. Het is onbekend hoeveel WordPress sites deze update inmiddels hebben geïnstalleerd. Ninja Forms - File Upload is een betaalde plug-in die op meer dan vijftigduizend websites wordt gebruikt.

Via Ninja Forms kunnen WordPress beheerders allerlei soorten formulieren voor hun website ontwikkelen. De plug-in is op meer dan 600.000 websites actief, aldus cijfers van WordPress.org. Ninja Forms - File Upload is een betaalde uitbreiding voor Ninja Forms waarmee WordPress sites een uploadveld aan hun formulieren kunnen toevoegen. Gebruikers van de websites kunnen zo via de formulieren allerlei soorten bestanden uploaden, bijvoorbeeld foto's of documenten gebruikt voor cv's.

Een ontbrekende 'file type validation' in de uploadfunctie zorgt ervoor dat allerlei soorten bestandstypes naar de onderliggende webserver kunnen worden geupload, waaronder .php bestanden. Omdat er geen 'filename sanitization' wordt toegepast is ook path traversal mogelijk, waardoor bestanden in de webroot directory zijn te plaatsen. Dit maakt het uploaden van malafide PHP code mogelijk en daarmee remote code execution op de server, aldus securitybedrijf Wordfence.

De kwetsbaarheid is volledig verholpen in versie 3.3.27 die op 16 maart uitkwam. Details over het probleem zijn nu bekendgemaakt. Voor extensies die via WordPress.org worden aangeboden wordt bijgehouden hoeveel sites de update hebben geïnstalleerd. In het geval van betaalde extensies die bedrijven via hun eigen websites aanbieden is deze informatie niet bekend. Beheerders worden opgeroepen om naar de nieuwste versie te updaten mocht dat nog niet zijn gedaan.

Bron: Wordfence

Het Cyber Security Centre Belgium (CCB) waarschuwt voor een kritieke kwetsbaarheid, CVE-2018-25236, die meerdere Hirschmann HiOS/HiSecOS producten treft. De kwetsbaarheid heeft een CVSS score van 9.8 en maakt het mogelijk voor niet geauthenticeerde aanvallers op afstand om authenticatie te omzeilen en administratieve toegang te verkrijgen. Het risiconiveau is beoordeeld als kritiek. Het CCB adviseert om onmiddellijk de betreffende producten te patchen.

Bron: CCB | Bron 2: nvd.nist.gov

Cybersecurity onderzoekers van Noma Security hebben een ernstige kwetsbaarheid ontdekt in Grafana, een populair platform voor het monitoren van financiële data, infrastructuur en klantinformatie. De kwetsbaarheid, genaamd GrafanaGhost, stelt aanvallers in staat om beveiligingsmaatregelen te omzeilen en data te stelen zonder dat de gebruiker het merkt.

Volgens Noma maakt de aanval gebruik van Indirect Prompt Injection, waarbij instructies verborgen worden in de data die de AI componenten van de software verwerken. Door specifieke keywords zoals 'error', 'errorMsgs' en 'INTENT' te gebruiken, kunnen hackers het systeem misleiden en veiligheidsregels omzeilen. De aanval begint met een specifieke web path met query parameters die legitiem lijken, maar toegang geven tot omgevingen waar de aanvaller geen rechten heeft. Vervolgens omzeilen ze de beveiliging van het platform.

Grafana heeft een beveiligingsfunctie die voorkomt dat afbeeldingen van onbetrouwbare externe websites worden geladen. Noma ontdekte echter een fout in de JavaScript code. Door gebruik te maken van protocol relatieve URL's (het '//' format), kan de software misleid worden, waardoor het denkt dat de link een veilige interne path is. Wanneer de AI een normale afbeelding probeert weer te geven, stuurt het een verzoek naar de server van de hacker, waarbij gevoelige data als URL parameter wordt meegestuurd.

Volgens de onderzoekers is de aanval bijna onzichtbaar. Slachtoffers zouden niets vermoeden, omdat er geen foutmeldingen of andere indicaties zijn. De software lijkt normaal te functioneren, terwijl de data in real time naar de hackers wordt verzonden.

Grafana Labs heeft gereageerd op het rapport en stelt dat hoewel er een fout in de Markdown image renderer is gevonden en snel is gepatcht, dit niet neerkomt op een zero click exploit. Volgens CISO Joe McManus zou succesvol misbruik aanzienlijke gebruikersinteractie vereisen, waarbij de AI assistent herhaaldelijk moet worden geïnstrueerd om te handelen op basis van kwaadaardige instructies in logs, zelfs na waarschuwingen. Grafana Labs benadrukt dat er geen bewijs is dat de kwetsbaarheid in het wild is misbruikt en dat er geen data is gelekt van Grafana Cloud.

Bron: Noma Security

Onderzoekers hebben een nieuwe kwetsbaarheid in Windows ontdekt, genaamd BlueHammer, die kan leiden tot volledige systeemovername. De kwetsbaarheid werd openbaar gemaakt door een onderzoeker die ontevreden is over de afhandeling van de melding door Microsoft. Omdat er nog geen beveiligingsupdate beschikbaar is, wordt het lek beschouwd als een zero day, wat betekent dat systemen momenteel kwetsbaar zijn zonder een directe oplossing.

BlueHammer is een lokale privilege escalatiekwetsbaarheid. Aanvallers moeten eerst toegang krijgen tot een systeem, maar kunnen daarna hun rechten verhogen tot administrator- of SYSTEM niveau. De kwetsbaarheid combineert technieken, waaronder een time of check to time of use (TOCTOU)-fout en padverwarring. Hierdoor kunnen aanvallers toegang krijgen tot gevoelige onderdelen, zoals de Security Account Manager (SAM)-database, waarin versleutelde wachtwoorden worden opgeslagen. Als aanvallers toegang krijgen tot de SAM database, kunnen ze het systeem volledig overnemen.

Voor bedrijven betekent dit vooral verhoogde waakzaamheid. Zonder patch zijn ze beperkt tot algemene beveiligingsmaatregelen, zoals het beperken van lokale toegang en het snel detecteren van verdachte activiteiten. Een officiële fix van Microsoft moet nog worden uitgebracht.

Bron: ITdaily.be | Bron 2: deadeclipse666.blogspot.com

Een kritieke kwetsbaarheid in Android maakt het mogelijk om een permanente lokale denial of service (DoS)-aanval op telefoons uit te voeren. Google heeft beveiligingsupdates beschikbaar gesteld om dit probleem te verhelpen. Tijdens de patchronde van april zijn in totaal vijf kwetsbaarheden verholpen, waarvan er één als kritiek is aangemerkt. Het gaat om CVE-2026-0049, dat zich in het Android Framework bevindt.

CVE-2026-0049 is opvallend omdat het kan leiden tot een lokale DoS zonder dat hiervoor gebruikersinteractie nodig is. Dergelijke kwetsbaarheden worden zelden als kritiek beoordeeld. Google gebruikt deze beoordeling alleen voor lekken die een ‘permanente denial of service’ mogelijk maken, waarvoor een herinstallatie van het besturingssysteem of een fabrieksreset nodig is. Google heeft geen verdere details over het lek verstrekt.

Google werkt met patchniveaus, aangeduid met een datum. Toestellen die de april updates ontvangen, hebben patchniveau '2026-04-01' of '2026-04-05'. Fabrikanten die dit patchniveau willen bereiken, moeten alle updates van het Android bulletin van april aan hun eigen updates toevoegen en deze vervolgens uitrollen naar hun gebruikers. De updates zijn beschikbaar voor Android 14, 15, 16 en 16-qpr2.

Volgens Google zijn fabrikanten van Androidtoestellen minstens een maand geleden ingelicht over de verholpen kwetsbaarheden, waardoor ze tijd hadden om updates te ontwikkelen. Echter, niet alle Androidtoestellen zullen deze updates ontvangen, omdat sommige toestellen niet meer worden ondersteund door de fabrikant of de updates op een later moment uitbrengen. Google maakte onlangs bekend dat 40 procent van de Androidtelefoons geen updates meer ontvangt.

Bron: source.android.com | Bron 2: grapheneos.org

Microsoft heeft een server side fix uitgerold voor een bekend probleem dat de zoekfunctie van het Windows Startmenu op sommige Windows 11 23H2 apparaten verstoorde. Volgens een update van de Windows release health (WI1273488), die door Cybercrimeinfo werd opgemerkt, troffen deze problemen sinds 6 april slechts een klein aantal gebruikers. De oorzaak was een server side Bing update die bedoeld was om de zoekprestaties te verbeteren.

Hoewel Microsoft aangeeft dat de problemen recent zijn, waren er al maanden meldingen van vergelijkbare problemen online. Gebruikers meldden onder meer dat het Startmenu blanco zoekresultaten toonde die nog wel aanklikbaar waren.

Om dit probleem aan te pakken, heeft Microsoft de foutieve Bing update teruggedraaid. Het bedrijf verwacht dat de zoekproblemen zullen afnemen naarmate de fix wordt uitgerold naar de getroffen klanten. Microsoft meldt dat een onderzoek heeft uitgewezen dat het probleem samenviel met een server side Bing update die was ontworpen om de zoekprestaties te verbeteren. Om het probleem te verhelpen, is de server side Bing update teruggedraaid en het aantal meldingen van zoekfouten neemt gestaag af.

Het probleem zou automatisch moeten verdwijnen naarmate de server side fix geleidelijk wordt uitgerold naar de getroffen apparaten. Om de fix te ontvangen, moet het apparaat verbonden zijn met het internet en moet Web Search niet zijn uitgeschakeld door Groepsbeleid.

Dit is niet het eerste Startmenu probleem dat Windows klanten de afgelopen jaren heeft getroffen. In november deelde Microsoft een tijdelijke oplossing voor een andere bug die ervoor zorgde dat het Startmenu, File Explorer en andere belangrijke systeemcomponenten crashten bij het provisionen van systemen met cumulatieve updates die sinds juli 2025 waren uitgebracht. De oorzaak hiervan was dat XAML pakketten niet op tijd werden geregistreerd na de installatie van de update. Gebruikers van getroffen systemen ervoeren een breed scala aan problemen, waaronder crashes van het Startmenu en kritieke foutmeldingen, ontbrekende taakbalken, crashes van het ShellHost systeemproces en het stilletjes niet starten van de Instellingen app. Microsoft werkt nog aan een permanente oplossing, maar heeft geen tijdlijn gegeven voor wanneer deze beschikbaar zal zijn. In de tussentijd moeten getroffen klanten de ontbrekende XAML pakketten handmatig registreren. In mei heeft Microsoft ook stilletjes een probleem verholpen dat Startmenu jump lists voor alle apps op Windows 10 22H2 systemen verstoorde. In juni 2023 werd een bug verholpen die ervoor zorgde dat Windows Search en het Startmenu niet meer reageerden.

Bron: Microsoft | Bron 2: adaptivesecurity.com | Bron 3: hubs.li

Anthropic's Claude AI model heeft binnen 10 minuten een kritieke remote code execution (RCE) kwetsbaarheid ontdekt in Apache ActiveMQ Classic, een fout die meer dan een decennium onopgemerkt is gebleven. De kwetsbaarheid, geregistreerd als CVE-2026-34197, is een improper input validation en code injection kwetsbaarheid in de Jolokia JMX HTTP bridge van Apache ActiveMQ Classic, die via de web console op /api/jolokia/ op poort 8161 wordt blootgesteld.

De kwetsbaarheid stelt een geauthenticeerde aanvaller in staat om de addNetworkConnector(String) management operatie aan te roepen op de broker's MBean en een crafted VM transport URI te leveren die een door de aanvaller gecontroleerde brokerConfig=xbean http schema  parameter bevat. Wanneer verwerkt, creëert ActiveMQ's VM transport layer een on the fly embedded broker door BrokerFactory.createBroker() te gebruiken met de door de aanvaller geleverde URL.

Het xbean: schema geeft de URL vervolgens door aan Spring's ResourceXmlApplicationContext, die alle bean definities in het remote XML bestand instantieert. Dit maakt het mogelijk om willekeurige OS commando's uit te voeren via Spring's MethodInvokingFactoryBean om Runtime.getRuntime().exec() aan te roepen.

De oorzaak van de kwetsbaarheid ligt in een eerdere fix voor CVE-2022-41678, waarbij Apache een algemene Jolokia allow rule toevoegde voor alle operaties op ActiveMQ's eigen MBeans (org.apache.activemq:*). Deze beslissing opende onbedoeld elke management operatie, inclusief addNetworkConnector, als een aanvalsoppervlak via Jolokia's REST API.

Hoewel CVE-2026-34197 in de meeste implementaties geldige credentials vereist, zijn default credentials (admin:admin) wijdverspreid in enterprise omgevingen. Organisaties die ActiveMQ versies 6.0.0 tot en met 6.1.1 draaien, lopen het risico op een volledig ongeauthenticeerde RCE path. Een afzonderlijke fout, CVE-2024-32114, verwijderde onbedoeld authenticatie constraints van het /api/* pad in die versies, waardoor het Jolokia endpoint geen credentials vereist, en CVE-2026-34197 een no-auth RCE wordt op die builds.

ActiveMQ heeft een geschiedenis van aanvallen in het wild. Zowel CVE-2016-3088 (geauthenticeerde RCE via de web console) als CVE-2023-46604 (ongeauthenticeerde RCE via de broker poort) staan vermeld op CISA's Known Exploited Vulnerabilities (KEV) catalogus.

Onderzoekers van Horizon3.ai gaven Anthropic's Claude AI de eer voor het identificeren van de fout tijdens een AI assisted source code review. Door Claude een vulnerability hunting prompt en een live target te geven voor validatie, kon de AI de multi component attack chain traceren die Jolokia, JMX, network connectors en VM transports omvat, in ongeveer 10 minuten.

Analisten merkten op dat deze chain een ervaren human researcher waarschijnlijk een hele week zou hebben gekost om handmatig in kaart te brengen, wat onderstreept hoe AI modellen de drempel voor vulnerability research verlagen.

Organisaties wordt aangeraden ActiveMQ broker logs te monitoren op vermeldingen die verwijzen naar vm:// URI's die brokerConfig=xbean:http bevatten, POST requests naar /api/jolokia/ met addNetworkConnector in de body, en onverwachte outbound HTTP connections van het ActiveMQ proces. Verdedigers moeten ook letten op ongebruikelijke child processen die door de ActiveMQ JVM worden gegenereerd.

De kwetsbaarheid is gepatcht in ActiveMQ Classic versies 5.19.4 en 6.2.3. De fix verwijdert de mogelijkheid voor addNetworkConnector om vm:// transports te registreren via de Jolokia API. Alle organisaties die getroffen versies draaien, wordt aangeraden onmiddellijk te updaten en deployments te controleren op default credential usage in alle ActiveMQ instances.

Bron: Horizon3.ai

De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft een nieuwe kwetsbaarheid toegevoegd aan de Known Exploited Vulnerabilities (KEV) catalogus, op basis van bewijs van actieve exploitatie. Het betreft CVE-2026-1340, een code injectie kwetsbaarheid in Ivanti Endpoint Manager Mobile (EPMM).

CISA benadrukt dat dit type kwetsbaarheid een veelgebruikte aanvalsvector is voor kwaadwillende cyberactoren en aanzienlijke risico's met zich meebrengt. De KEV catalogus is vastgesteld als een actuele lijst van bekende Common Vulnerabilities and Exposures (CVE's) die een significant risico vormen.

Binding Operational Directive (BOD) 22-01 verplicht federale civiele uitvoerende instanties (FCEB) om geïdentificeerde kwetsbaarheden te verhelpen voor de gestelde deadline, om FCEB netwerken te beschermen tegen actieve bedreigingen. Hoewel BOD 22-01 alleen van toepassing is op FCEB agentschappen, adviseert CISA alle organisaties om hun blootstelling aan cyberaanvallen te verminderen door prioriteit te geven aan tijdige herstel van KEV catalogus kwetsbaarheden als onderdeel van hun vulnerability management praktijk. CISA zal doorgaan met het toevoegen van kwetsbaarheden aan de catalogus die voldoen aan de gestelde criteria.

Bron: CISA

Een recent beveiligingsbulletin waarschuwt voor meerdere kwetsbaarheden in IBM Verify Identity Access en Security Verify Access producten. Indien deze niet worden gepatcht, kunnen de wijdverspreide beveiligingsfouten kwaadwillenden in staat stellen om toegang te krijgen tot gevoelige informatie, hun systeemprivileges te verhogen of een denial-of-service te veroorzaken. Organisaties die op deze authenticatieplatforms vertrouwen, wordt aangeraden onmiddellijk actie te ondernemen om hun infrastructuur te patchen.

Een belangrijk probleem in het beveiligingsadvies draait om de manier waarop het platform webverkeer verwerkt. Gevolgd als CVE-2026-2862 en CVE-2026-1491, ontstaan deze HTTP request smuggling kwetsbaarheden door inconsistente reverse proxy handling en hebben een CVSS score van 5.3. Door deze kwetsbaarheid te misbruiken, kan een externe, niet-geauthenticeerde aanvaller de proxy server misleiden om intern webverkeer bloot te leggen. Uiteindelijk stelt deze inconsistentie de aanvaller in staat om stilletjes beveiligingscontroles te omzeilen en ongeautoriseerde toegang te krijgen tot zeer gevoelige gebruikersgegevens.

De beveiligingsupdate patched ook verschillende andere ernstige kwetsbaarheden waar systeembeheerders prioriteit aan moeten geven:

* CVE-2026-1188 (CVSS 9.8): Een kritieke buffer overflow fout in de Eclipse OMR port library. Omdat het systeem de buffer grootte niet correct berekent bij het lezen van processor features, kan een aanvaller een memory overflow veroorzaken die kan leiden tot volledige systeemcompromittering.

* CVE-2026-1346 (CVSS 9.3): Een ernstige fout in de Security Verify Access Container die een lokaal geauthenticeerde gebruiker in staat stelt zijn systeemprivileges rechtstreeks naar root te escaleren.

* CVE-2023-46233 (CVSS 9.1): Een grote zwakte werd gevonden in de crypto js library. De library gebruikt standaard SHA-1, een verouderd en onveilig hashing algoritme, en gebruikt slechts één iteratie om de wachtwoord moeilijkheid in te stellen. Dit verzwakt de wachtwoord- en handtekening beveiliging tegen brute-force aanvallen aanzienlijk.

* CVE-2026-1342 (CVSS 8.5): Een kwetsbaarheid in het Container platform waarmee lokaal geauthenticeerde gebruikers kwaadaardige scripts kunnen uitvoeren vanuit een niet-vertrouwde control sphere.

* CVE-2026-4101 (CVSS 8.1): Onder bepaalde zware belasting omstandigheden kunnen externe aanvallers bestaande authenticatie mechanismen omzeilen en ongeautoriseerde toegang krijgen tot de applicatie.

* CVE-2026-1345 (CVSS 7.3): Een OS command injection kwetsbaarheid waardoor niet-geauthenticeerde gebruikers willekeurige commando's kunnen uitvoeren als gevolg van onjuiste input validatie.

Het bulletin behandelt ook CVE-2026-1343 (Server Side Request Forgery), CVE-2025-12635 (Cross Site Scripting) en verschillende Java SE resource consumption kwetsbaarheden.

Deze beveiligingsfouten hebben invloed op IBM Verify Identity Access en IBM Security Verify Access versies 10.0 tot en met 11.0.2, inclusief hun respectievelijke Container deployments. Omdat er geen officiële workarounds of mitigaties beschikbaar zijn om deze aanvallen te stoppen, raadt IBM klanten ten zeerste aan om de software fixes onmiddellijk toe te passen. Systeembeheerders wordt geadviseerd om IBM Verify Identity Access v11.0.2 IF1 of IBM Security Verify Access v10.0.9.1 IF1 te downloaden en te installeren vanaf de officiële support portal. Container gebruikers moeten de meest recente bijgewerkte images uit het container registry halen om ervoor te zorgen dat hun omgevingen veilig blijft tegen externe bedreigingen.

Bron: IBM

WordPress sites worden actief aangevallen via een kritieke kwetsbaarheid in de plugin Ninja Forms - File Uploads. Securitybedrijf Wordfence meldde op 6 april details over het probleem en rapporteerde kort daarna actief misbruik. De afgelopen 24 uur detecteerde Wordfence bijna negenhonderd aanvallen waarbij werd geprobeerd om WordPress sites via het lek in de plugin te compromitteren.

Via Ninja Forms kunnen WordPress beheerders allerlei soorten formulieren voor hun website ontwikkelen. De plugin is op meer dan 600.000 websites actief. Ninja Forms - File Upload is een betaalde uitbreiding voor Ninja Forms waarmee WordPress sites een uploadveld aan hun formulieren kunnen toevoegen. De File Uploads plugin is op meer dan 50.000 WordPress sites actief.

Een ontbrekende 'file type validation' in de uploadfunctie zorgt ervoor dat allerlei soorten bestandstypes naar de onderliggende webserver kunnen worden geupload, waaronder .php bestanden. Omdat er geen 'filename sanitization' wordt toegepast is ook path traversal mogelijk, waardoor bestanden in de webroot directory zijn te plaatsen. Dit maakt het uploaden van malafide PHP code mogelijk en daarmee remote code execution op de server. De kwetsbaarheid is volledig verholpen in versie 3.3.27 die op 16 maart uitkwam. Hoeveel websites inmiddels up-to-date zijn is onbekend.

Bron: Wordfence

Het Nationaal Cyber Security Centrum (NCSC) heeft Nederlandse organisaties met spoed opgeroepen om een kritieke kwetsbaarheid in Fortinet FortiClient EMS te patchen. Er wordt actief misbruik gemaakt van dit lek. Het Amerikaanse cyberagentschap CISA heeft federale overheidsinstanties in de VS bevolen om de update binnen drie dagen te installeren.

FortiClient EMS is een oplossing voor beheerders om systemen met FortiClient software op afstand te beheren, inclusief antivirussoftware, webfilters, VPN en signature updates. Een gecompromitteerd EMS systeem kan aanzienlijke gevolgen hebben.

Op 4 april 2026 waarschuwde Fortinet voor een 'Improper Access Control'-kwetsbaarheid. Hierdoor kan een ongeauthenticeerde aanvaller ongeautoriseerde code of commando's uitvoeren. Verdere details over de kwetsbaarheid zijn niet bekendgemaakt.

Fortinet meldde bij de release van de beveiligingsupdates dat aanvallers actief misbruik maken van het probleem. Het NCSC heeft naast een standaard beveiligingsbulletin nu ook een aparte waarschuwing afgegeven. "Deze kwetsbaarheid wordt beoordeeld als zeer ernstig en bevindt zich in de fase van actief misbruik. Het NCSC adviseert daarom om de beschikbare update meteen te installeren. Er is op dit moment (nog) geen publieke Proof of-Concept-code of exploit bekend. Het NCSC verwacht echter wel op korte termijn dat de PoC beschikbaar komt, waardoor de kans op scanverkeer en grootschalig misbruik toeneemt", aldus het NCSC.

CISA houdt een overzicht bij van actief aangevallen kwetsbaarheden en kan federale overheidsinstanties verplichten om deze beveiligingslekken binnen een bepaalde termijn te patchen. Normaal is dit twee weken, maar voor het Fortinet lek is dit teruggebracht tot drie dagen.

The Shadowserver Foundation detecteerde 1800 FortiClient EMS systemen die vanaf het internet toegankelijk zijn, waarvan 45 in Nederland. Het is onbekend hoeveel van deze systemen nog niet zijn gepatcht.

Bron: NCSC

Uit onderzoek van Unit 42 van Palo Alto Networks is gebleken dat de standaardconfiguratie van de AgentCore starter toolkit van Amazon Web Services (AWS) een ernstig beveiligingsrisico introduceert. De toolkit, bedoeld om het implementeren van AI agents te vereenvoudigen, creëert Identity and Access Management (IAM)-rollen met te brede privileges. Dit leidt tot een situatie die Unit 42 "Agent God Mode" noemt, waarbij een gecompromitteerde agent de mogelijkheid heeft om privileges te escaleren en andere AgentCore agents binnen het AWS account te compromitteren.

De onderzoekers ontdekten een aanvalsketen in meerdere fasen die misbruik maakt van deze overmatige toegang. Een aanvaller die een agent compromitteert, kan:

*   Propriëtaire ECR images exfiltreren

*   Toegang krijgen tot de geheugens van andere agents

*   Elke code interpreter aanroepen

*   Gevoelige gegevens extraheren

Na de melding van Unit 42 heeft AWS de documentatie bijgewerkt met een waarschuwing dat de standaardrollen zijn ontworpen voor ontwikkel- en testdoeleinden en niet worden aanbevolen voor productie implementatie. De standaardconfiguratie is gericht op implementatiegemak in plaats van het principe van minimale privileges.

Palo Alto Networks klanten worden beschermd tegen deze dreigingen via Cortex AI SPM en Cortex Cloud Identity Security.

Bron: Unit 42 (Palo Alto Networks)

Een beveiligingsonderzoeker waarschuwt voor een actief aangevallen kwetsbaarheid in Adobe Reader waarvoor nog geen update beschikbaar is. Onderzoeker Haifei Li meldt dat via het beveiligingslek, waar al vier maanden misbruik van zou worden gemaakt, allerlei informatie van systemen kan worden verzameld. Vervolgens wordt er op bepaalde doelwitten een verdere aanval uitgevoerd.

Via de kwetsbaarheid, waarvoor nog geen CVE nummer beschikbaar is, kan een aanvaller informatie over het besturingssysteem verzamelen, de gebruikte Adobe Reader versie en het lokale pad van het PDF bestand. Deze informatie wordt vervolgens naar een server van de aanvaller gestuurd. Ook is het via de kwetsbaarheid mogelijk om lokale bestanden te lezen. Li meldt in een blogposting over de kwetsbaarheid dat de exploit aanvallers niet alleen in staat stelt om lokale informatie te stelen, maar ook verdere aanvallen uit te voeren waarmee remote code execution of sandbox escapes mogelijk zijn, wat kan leiden tot volledige controle over het systeem van het slachtoffer.

Op basis van informatie die andere onderzoekers over de aanval vonden, stelt Li op X dat bij het misbruik niet alleen lokale informatie is verzameld, maar ook echt aanvullende exploits zijn uitgevoerd. Wat deze exploits precies doen, kon niet worden achterhaald. Uit informatie die naar Googles online virusscanner VirusTotal werd geupload, blijkt dat misbruik al sinds 28 november vorig jaar zou plaatsvinden. Adobe heeft nog niet gereageerd op de kwetsbaarheid. De door Li beschreven exploit maakt gebruik van JavaScript. Het is mogelijk om in Adobe Acrobat JavaScript uit te schakelen.

Bron: Haifei Li / Adobe | Bron 2: helpx.adobe.com

De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft op 9 april 2026 een ICS Advisory (ICSA-26-099-02) uitgebracht betreffende een kwetsbaarheid in GPL Odorizers GPL750. De advisory benadrukt het belang van cybersecuritymaatregelen en biedt diverse resources, zoals no cost Cyber Services, Secure by Design principes, en de Shields Up campagne. Daarnaast moedigt CISA organisaties aan om cyber issues te melden en benadrukt het de mogelijkheid tot het bekijken van CSAF (Common Security Advisory Framework) bestanden via GitHub. De kwetsbaarheid betreft "CWE-807 Reliance on Untrusted Inputs in a Security Decision". CISA roept op tot het invullen van een product survey en biedt links naar eerdere advisories over kwetsbaarheden in Mitsubishi Electric GENESIS64 en ICONICS Suite producten, Siemens SICAM 8 producten, en Yokogawa CENTUM VP.

Bron: CISA | Bron 2: github.com | Bron 3: cwe.mitre.org

Tijdens een routine beveiligingsonderzoek heeft Microsoft een ernstige intent redirection kwetsbaarheid ontdekt in een veelgebruikte third party Android SDK genaamd EngageSDK. Deze kwetsbaarheid stelt apps op hetzelfde apparaat in staat om de Android security sandbox te omzeilen en ongeautoriseerde toegang te krijgen tot private data.

Met meer dan 30 miljoen installaties van third party crypto wallet applicaties alleen al, werden PII, user credentials en financiële data blootgesteld aan risico. Alle gedetecteerde apps die gebruik maakten van kwetsbare versies zijn uit Google Play verwijderd.

Microsoft heeft EngageLab en het Android Security Team op de hoogte gesteld van de kwetsbaarheid. In samenwerking met alle partijen is het probleem onderzocht en gevalideerd, waarna het op 3 november 2025 is opgelost in versie 5.2.1 van de EngageSDK. Dit geval laat zien hoe zwakke punten in third party SDK's grootschalige gevolgen kunnen hebben voor de beveiliging, met name in waardevolle sectoren zoals digital asset management.

Op het moment van schrijven is er geen bewijs dat deze kwetsbaarheid in het wild is misbruikt. Microsoft raadt ontwikkelaars die de betreffende SDK integreren echter ten zeerste aan om te upgraden naar de nieuwste beschikbare versie. Android heeft automatische user protections bijgewerkt om extra bescherming te bieden tegen de specifieke EngageSDK risico's die in dit rapport worden beschreven, terwijl ontwikkelaars updaten naar de niet kwetsbare versie van EngageSDK. Gebruikers die eerder een kwetsbare app hebben gedownload, zijn beschermd.

De Android Security Team classificeert deze kwetsbaarheid als ernstig. Apps die als kwetsbaar zijn aangemerkt, zijn onderworpen aan handhavingsmaatregelen, waaronder mogelijke verwijdering van het platform.

Ontwikkelaars gebruiken de EngageLab SDK om messaging en push notificaties in mobiele apps te beheren. Het functioneert als een library die ontwikkelaars integreren in Android apps als een dependency. Eenmaal opgenomen, biedt de SDK API's voor het afhandelen van communicatietaken, waardoor het een core component is voor apps die real time engagement vereisen.

De kwetsbaarheid werd geïdentificeerd in een exported activity (MTCommonActivity) die wordt toegevoegd aan het Android manifest van een applicatie zodra de library in een project is geïmporteerd, na het build proces. Deze activity verschijnt alleen in het merged manifest, dat post build wordt gegenereerd, en wordt daarom soms gemist door ontwikkelaars.

Wanneer een activity wordt gedeclareerd als exported in het Android manifest, wordt deze toegankelijk voor andere applicaties die op hetzelfde apparaat zijn geïnstalleerd. Deze configuratie staat elke andere applicatie toe om expliciet een intent naar deze activity te sturen.

Intent Redirection treedt op wanneer een threat actor de inhoud manipuleert van een intent die een kwetsbare app verzendt met behulp van zijn eigen identiteit en permissions. In dit scenario maakt de threat actor gebruik van de trusted context van de getroffen app om een malicious payload uit te voeren met de app’s privileges.

Bron: Microsoft | Bron 2: source.android.com | Bron 3: developer.android.com

GitLab heeft urgente beveiligingsupdates uitgebracht (versies 18.10.3, 18.9.5 en 18.8.9) voor zowel de Community Edition (CE) als de Enterprise Edition (EE). Deze updates zijn bedoeld om kwetsbaarheden van hoge urgentie aan te pakken, die Denial of Service (DoS) en code injectie aanvallen mogelijk maken. GitLab adviseert alle beheerders van zelf beheerde systemen dringend om onmiddellijk te upgraden om hun systemen te beschermen. De meest recente beveiligingsrelease lost drie hoog risico kwetsbaarheden op.

Bron: GitLab

Het Cyber Centrum België (CCB) waarschuwt voor een kritieke remote code execution kwetsbaarheid in OpenAM, waarmee een host volledig gecompromitteerd kan worden. Het CCB adviseert om onmiddellijk te patchen. De kwetsbaarheid betreft OpenIdentity Platform (OpenAM) versies ouder dan 16.0.6 en versie 16.0.6.

De kwetsbaarheid is geïdentificeerd onder de CVE nummers CVE-2021-35464 (CVSS 9.3, hoog risico) en CVE-2026-33439 (CVSS 4.0, laag risico).

Het CCB biedt via haar website de mogelijkheid om incidenten te melden en heeft een vulnerability policy gepubliceerd.

Bron: OpenIdentityPlatform | Bron 2: github.com | Bron 3: nvd.nist.gov

Cisco heeft een kritieke kwetsbaarheid verholpen in de lokale editie van Cisco Smart Software Manager. Het NCSC publiceerde deze kwetsbaarheid op 10 april 2026 in advisory NCSC-2026-0110. Een aanvaller op afstand kan via een gemanipuleerd API verzoek commando's uitvoeren op het onderliggende besturingssysteem met de hoogste rechten.

Volgens de advisory ligt de oorzaak in een intern servicecomponent dat onbedoeld extern toegankelijk is. Cisco Smart Software Manager wordt gebruikt door organisaties om licenties van Cisco producten lokaal te beheren. Beheerders wordt aangeraden de patch zo snel mogelijk te installeren.

Bron: NCSC.nl

Synology heeft kwetsbaarheden verholpen in de Synology SSL VPN Client. Een kwaadwillende kan deze kwetsbaarheden misbruiken doordat de Synology SSL VPN Client met versie vóór 1.4.5-0684 de PIN-code onveilig opslaat en bestanden via een lokaal HTTP servercomponent onvoldoende afschermt. Dit kan leiden tot ongeautoriseerde configuratiewijzigingen aan de VPN client en onderschepping van VPN verkeer. De kwetsbaarheid beïnvloedt mogelijk de vertrouwelijkheid en integriteit van VPN sessies.

Bron: NCSC.nl

Juniper heeft een kwetsbaarheid verholpen in Junos OS Evolved dat draait op PTX Series apparaten. Een kwaadwillende kan deze kwetsbaarheid misbruiken om zijn rechten te verhogen. De kwetsbaarheid bevindt zich in de Flexible PIC Concentrators (FPC's) van Juniper Networks Junos OS Evolved op PTX systemen. Het misbruiken van de kwetsbaarheid kan leiden tot volledige compromittering van de Flexible PIC Concentrator component. De oorzaak ligt in onvoldoende access controls binnen de Junos OS Evolved omgeving op PTX Series hardware.

Bron: NCSC.nl

Adobe heeft een kwetsbaarheid verholpen in Adobe Acrobat DC, Acrobat Reader DC en Acrobat 2024. Een kwaadwillende kan deze kwetsbaarheid misbruiken om willekeurige code uit te voeren op het systeem van het slachtoffer. Om dit te bewerkstelligen, moet de kwaadwillende het slachtoffer overtuigen om een malafide PDF bestand te openen. Uit informatie blijkt dat de kwetsbaarheid al sinds november 2025 actief wordt misbruikt. Een dergelijk malafide PDF bestand is geüpload naar VirusTotal.

Bron: NCSC