Kwetsbaarheden en CVE's - Dagelijks Overzicht

Naar pagina

Naar pagina

▽ JANUARI 2026

In een recent gelanceerd sociaal netwerk voor ai agents, Moltbook, is volgens de bron een kritieke kwetsbaarheid vastgesteld waarbij gegevens van geregistreerde entiteiten konden worden ingezien. Het platform zou eind januari 2026 zijn gelanceerd door Octane AI oprichter Matt Schlicht en stond in de berichtgeving in de aandacht door claims over 1,5 miljoen "users".

De kern van het probleem wordt in de bron omschreven als een blootgestelde database door een misconfiguratie, waardoor zonder authenticatie toegang mogelijk was tot agentprofielen en grootschalige dataextractie kon plaatsvinden. Daarbij wordt een endpoint genoemd dat agentgegevens zou teruggeven op basis van een id in het pad, zonder toegangscontrole. Omdat id's volgens de bron sequentieel waren, konden die in korte tijd worden doorlopen om veel records te verzamelen.

De bron noemt als voorbeelden van blootgestelde velden onder meer eigenaar gerelateerde e mailadressen, inlogsessietokens en api sleutels. Specifiek gaat het om een login token dat als jwt sessietoken wordt beschreven en om api keys die aan OpenClaw en Anthropic gekoppeld zouden kunnen zijn. Ook wordt genoemd dat het ontbreken van beperkingen op accountcreatie een rol speelde bij de schaal, waarbij één OpenClaw agent met de naam @openclaw volgens de bron 500.000 nep ai users zou hebben geregistreerd, wat claims van organische groei zou ondermijnen.

Daarnaast beschrijft de bron hoe het platform werkt met ai agents die kunnen posten, reageren en submolts vormen, met een voorbeeldnaam m/emergence. Er wordt gesteld dat het aantal posts en reacties sterk is opgelopen en dat er sprake is van een grote groep "silent human verifiers" die meekijkt. Als onderwerpen die op het platform terugkomen noemt de bron onder meer ai emergence, revenge leaks en Solana token karma farming.

Over de risico's stelt de bron dat de combinatie van ongeautoriseerde toegang tot agentdata, onbetrouwbare invoer zoals prompt injections en koppelingen met externe communicatiekanalen kan leiden tot misbruik, waaronder het overnemen van agentaccounts en het uitlekken van gegevens. In het artikel worden uitspraken aangehaald van Andrej Karpathy en Bill Ackman om het beveiligingsrisico te duiden. De bron meldt verder dat er geen patch is bevestigd en dat het platform niet reageerde op meldingen.

Bron

De afgelopen 24 uur zijn er diverse kwetsbaarheden (CVE's) trending op sociale media, die aandacht vragen vanwege hun potentiële impact op systemen wereldwijd. De zogenoemde 'hype score', een maat voor de mate van belangstelling, geeft een indicatie van de urgentie en ernst van deze dreigingen. Beveiligingsteams kunnen deze score gebruiken om snel te bepalen welke kwetsbaarheden onmiddellijke aandacht vereisen.

Een van de meest besproken kwetsbaarheden is CVE-2025-40551, een remote code execution (RCE) kwetsbaarheid in SolarWinds Web Help Desk, gepubliceerd op 28 januari 2026. Deze kwetsbaarheid stelt aanvallers in staat om zonder authenticatie commando's uit te voeren op de hostmachine, wat het risico op misbruik aanzienlijk verhoogt. Het wordt gevolgd door CVE-2025-40536, eveneens in SolarWinds Web Help Desk, die een beveiligingsomzeiling mogelijk maakt en een ernstiger risico vormt voor systemen die niet op de hoogte zijn van deze kwetsbaarheid.

Andere opvallende kwetsbaarheden zijn CVE-2025-68613, een RCE in n8n, een open-source workflow automatiseringsplatform, en CVE-2025-43529, een 'use-after-free' kwetsbaarheid in WebKit die kan worden misbruikt door kwaadaardig vervaardigde webinhoud te verwerken. Beide kwetsbaarheden hebben hoge hype-scores van respectievelijk 9.9 en 8.8, wat wijst op de significante dreiging die zij vormen voor kwetsbare systemen.

Verder is er de kwetsbaarheid CVE-2025-0921, die een privilege-escalatie mogelijk maakt in producten van Iconics Suite en Mitsubishi Electric, en CVE-2025-61984, een command-injectie in OpenSSH die kan leiden tot een RCE op client-systemen. Hoewel de ernst van deze kwetsbaarheden lager is, vormen ze nog steeds een potentieel risico voor bepaalde systemen en infrastructuren.

De lijst wordt afgerond door CVE-2025-8088, een path traversal kwetsbaarheid in WinRAR, die kwaadaardige code kan uitvoeren via malafide archiefbestanden. Dit herinnert organisaties eraan dat bekende software ook kwetsbaarheden kan bevatten die niet altijd direct worden opgemerkt.

Overzicht

Ivanti heeft met spoed patches uitgebracht om twee kritieke zero-day kwetsbaarheden aan te pakken die een ernstig risico vormen voor gebruikers van hun software. Deze kwetsbaarheden, die actief worden misbruikt, stellen aanvallers in staat om op afstand code uit te voeren en gevoelige informatie te stelen.

De eerste kwetsbaarheid, een authenticatie bypass, maakt het mogelijk voor niet-geautoriseerde actoren om toegang te krijgen tot beperkte functies zonder geldige inloggegevens. Door deze bypass te exploiteren, kunnen aanvallers beveiligingsmaatregelen omzeilen en kwaadaardige code injecteren in het systeem.

De tweede kwetsbaarheid betreft een command injection flaw, waardoor aanvallers willekeurige systeemcommando's kunnen uitvoeren met de privileges van de getroffen applicatie. Dit kan leiden tot volledige systeemcompromittering, waarbij aanvallers de controle over de server kunnen overnemen, data kunnen stelen of malware kunnen installeren.

Ivanti adviseert gebruikers dringend om de beschikbare patches zo snel mogelijk toe te passen. De fixes zijn beschikbaar voor alle ondersteunde versies van Ivanti's producten. Het bedrijf heeft ook tijdelijke oplossingen gepubliceerd voor klanten die de patches niet direct kunnen implementeren. Deze tijdelijke maatregelen omvatten het implementeren van striktere toegangscontroles en het monitoren van systemen op verdachte activiteiten.

Cybersecurity-experts waarschuwen dat deze kwetsbaarheden een aantrekkelijk doelwit vormen voor cybercriminelen en statelijke actoren. Het is essentieel dat organisaties de nodige stappen ondernemen om hun systemen te beschermen tegen potentiële aanvallen. Het updaten van software en het implementeren van security best practices zijn cruciaal om de risico's te minimaliseren.

Bron

Microsoft heeft bevestigd dat een bekend probleem dat sommige Windows 11-apparaten verhindert af te sluiten, ook Windows 10-systemen treft waarop Virtual Secure Mode (VSM) is ingeschakeld. VSM is een Windows-beveiligingsfunctie die een geïsoleerde, beschermde geheugenregio creëert, gescheiden van het normale besturingssysteem (bekend als de "veilige kernel"), met behulp van hardwarevirtualisatie die uiterst moeilijk toegankelijk is voor malware, zelfs na een systeemcompromis.

VSM beschermt gevoelige inloggegevens, encryptiesleutels en beveiligingstokens tegen malware op kernelniveau en pass-the-hash-aanvallen. Het maakt beveiligingsfuncties mogelijk, zoals Credential Guard, Device Guard en Hypervisor-Protected Code Integrity in Windows 10/11 Enterprise-edities.

Zoals vorige maand werd bevestigd, treft dit probleem Windows 11 23H2-apparaten met de cumulatieve update KB5073455 geïnstalleerd en System Guard Secure Launch ingeschakeld, een Windows-beveiligingsfunctie die het opstartproces beschermt tegen aanvallen op firmwareniveau. Microsoft bracht twee dagen later noodupdates buiten de reguliere cyclus uit om het bekende probleem op te lossen en adviseerde getroffen klanten die deze niet direct konden installeren om hun systemen handmatig af te sluiten met behulp van de opdracht "shutdown /s /t 0".

Vorige week heeft Microsoft het Windows release health dashboard bijgewerkt om te bevestigen dat hetzelfde probleem ook van invloed is op Windows 10 22H2, Windows 10 Enterprise LTSC 2021 en Windows 10 Enterprise LTSC 2019 wanneer VSM is ingeschakeld na installatie van de updates KB5078131 en KB5073724. Getroffen gebruikers wordt geadviseerd dezelfde opdrachtregel te gebruiken om hun apparaten af te sluiten als tijdelijke oplossing totdat er een oplossing beschikbaar is voor systemen waarop VSM is ingeschakeld.

"Na installatie van Windows-updates die zijn uitgebracht op of na 13 januari 2026 (KB5073724), kunnen sommige Secure Launch-compatibele pc's met Virtual Secure Mode (VSM) ingeschakeld niet worden afgesloten of in de slaapstand gaan. In plaats daarvan start het apparaat opnieuw op," aldus Microsoft. "We zijn van plan om een oplossing uit te brengen in een toekomstige Windows-update. We zullen meer informatie verstrekken zodra deze beschikbaar is."

In januari heeft Microsoft een ander bekend probleem opgelost dat ervoor zorgde dat beveiligingstoepassingen een kernonderdeel van Windows op client- (Windows 10 en Windows 11) en serverplatforms (Windows Server 2012 tot en met Windows Server 2025) als kwaadaardig markeerden. Meer recentelijk werd een bekend probleem verholpen dat ervoor zorgde dat de optie voor wachtwoordinvoer van het vergrendelingsscherm verdween na installatie van Windows 11-updates die sinds augustus 2025 waren uitgebracht.

Bron

Uit onderzoek van The Shadowserver Foundation blijkt dat ongeveer zestienhonderd Ivanti Endpoint Manager Mobile (EPMM)-servers toegankelijk zijn vanaf het internet. Aanvallers maken momenteel actief misbruik van kwetsbaarheden in deze oplossing. Van de publiek toegankelijke EPMM-servers staan er 38 in Nederland. Duitsland voert de lijst aan met bijna vijfhonderd servers.

Ivanti EPMM is een software voor het beheer van mobiele apparaten (MDM). Organisaties kunnen via deze oplossing de mobiele apparaten van hun medewerkers op afstand beheren, bijvoorbeeld als het gaat om toegestane applicaties of bepaald beleid. Een gecompromitteerde EPMM-server kan vergaande gevolgen hebben.

Vorige week heeft Ivanti beveiligingsupdates uitgebracht voor twee actief aangevallen kwetsbaarheden in de software, namelijk CVE-2026-1281 en CVE-2026-1340. Deze kwetsbaarheden stellen een ongeauthenticeerde aanvaller op afstand in staat om code uit te voeren op kwetsbare servers. De impact van beide beveiligingslekken is beoordeeld met een score van 9.8 op een schaal van 1 tot 10. Het is niet bekend sinds wanneer aanvallers misbruik maken van deze kwetsbaarheden. Ivanti heeft ook geen informatie vrijgegeven over het aantal getroffen klanten.

The Shadowserver Foundation heeft bij de scan alleen gekeken naar publiek toegankelijke EPMM-servers en niet onderzocht of deze ook daadwerkelijk kwetsbaar zijn. Na Duitsland (bijna vijfhonderd servers) volgen de Verenigde Staten (249) en het Verenigd Koninkrijk (58). Nederland staat met 38 publiek toegankelijke EPMM-servers op de zevende plek in het overzicht.

Organisaties die gebruikmaken van EPMM worden opgeroepen om de beschikbare updates te installeren. Het Nationaal Cyber Security Centrum (NCSC) waarschuwt dat er nog geen Proof-of-Concept code publiek beschikbaar is, maar verwacht dat deze spoedig zal verschijnen, waardoor de kans op grootschalig misbruik zal toenemen.

Bron

In Nederland 38x

In Belgie 4x

Microsoft heeft een bekend probleem verholpen waarbij de wachtwoord-aanmeldoptie verdween van de vergrendelingsschermopties na de installatie van Windows 11-updates die sinds augustus 2025 zijn uitgebracht.

Het wachtwoordpictogram verschijnt op het vergrendelingsscherm alleen als er meerdere aanmeldopties beschikbaar zijn (bijv. pincode, wachtwoord, beveiligingssleutel, vingerafdruk). Als een gebruiker echter alleen een wachtwoord gebruikt, verschijnt het pictogram mogelijk niet omdat Windows 11 standaard het wachtwoordveld weergeeft.

Zoals Microsoft in november 2025 al aangaf toen het deze bug erkende, zagen gebruikers met meerdere aanmeldopties mogelijk nog steeds het wachtwoordpictogram niet als ze de niet-beveiligingspreview-update KB5064081 van augustus 2025 of latere updates op Windows 11 24H2- of 25H2-systemen hadden geïnstalleerd.

Ondanks dit probleem konden getroffen gebruikers zich nog steeds aanmelden met hun wachtwoord, omdat het zweven over de ruimte waar het pictogram zou moeten verschijnen, de verborgen knop onthulde. "Als u over de ruimte zweeft waar het pictogram zou moeten verschijnen, ziet u dat de wachtwoordknop nog steeds beschikbaar is", legde Microsoft destijds uit. "Selecteer deze placeholder om het wachtwoordtekstvak te openen en uw wachtwoord in te voeren. Na het invoeren van uw wachtwoord kunt u zich normaal aanmelden."

Microsoft heeft dit bekende probleem nu opgelost in de optionele cumulatieve update KB5074105 van januari 2025 voor Windows 11-systemen, die op donderdag 29 januari is uitgebracht. KB5074105 kan worden geïnstalleerd door Instellingen te openen, op Windows Update te klikken, 'Controleren op updates' te selecteren en vervolgens op de link 'Downloaden en installeren' te klikken. Deze update kan ook handmatig worden geïnstalleerd na het downloaden van de Microsoft Update Catalog.

KB5074105 bevat 32 wijzigingen, waaronder fixes voor opstart-, aanmeld- en activeringsproblemen. Het loste bijvoorbeeld een bug op die iSCSI-opstartfouten veroorzaakte met een "Inaccessible Boot Device"-fout, en een andere die ervoor zorgde dat het systeem vastliep tijdens het opstarten wanneer Windows Boot Manager-debugging was ingeschakeld.

Dezelfde preview-update behandelt een bekend probleem dat ervoor zorgde dat Explorer.exe vastliep tijdens de eerste aanmelding wanneer bepaalde apps als opstart-apps waren geconfigureerd en verhelpt een probleem waarbij Windows-licentiemigraties konden mislukken tijdens upgrades omdat de pc zich niet kon registreren bij de Windows Activation-server voor zijn digitale licentie.

Eind september 2025 loste Microsoft een ander bekend probleem op dat werd veroorzaakt door de KB5064081-update, die weergaveonderbrekingen, bevriezingen of zwarte schermen veroorzaakte bij het afspelen van DRM-beveiligde video in Blu-ray/DVD/Digital TV-apps. In dezelfde maand loste het andere problemen op die werden veroorzaakt door de Windows-updates van augustus 2025, waaronder ernstige vertraging en stotteren die van invloed waren op NDI-streamingsoftware op Windows 10- en Windows 11-apparaten, en app-installatieproblemen voor niet-beheerders Windows-gebruikers als gevolg van onverwachte User Account Control (UAC)-prompts.

Bron

Een recent ontdekte kwetsbaarheid, genaamd OpenClaw, stelt aanvallers in staat om met slechts één klik op afstand de controle over systemen over te nemen. De kwetsbaarheid werd ontdekt door een team van onderzoekers, die de technische details op 1 februari 2026 publiceerden.

De aanval maakt gebruik van een combinatie van social engineering en een misconfiguratie in een veelgebruikte softwarebibliotheek. Aanvallers versturen een e-mail of een ander bericht met een link naar een speciaal geprepareerde webpagina. Wanneer een gebruiker op deze link klikt, wordt een reeks acties in gang gezet die uiteindelijk leiden tot het uitvoeren van code op het slachtoffer zijn systeem.

De eerste stap in de aanval is het omzeilen van de beveiligingswaarschuwingen van de browser. Dit gebeurt door gebruik te maken van een subtiele vorm van social engineering, waarbij de gebruiker wordt misleid om toestemming te geven voor het uitvoeren van een potentieel gevaarlijke actie. Vervolgens maakt de aanval gebruik van een misconfiguratie in een softwarebibliotheek die standaard is geïnstalleerd op veel systemen. Deze misconfiguratie stelt de aanvallers in staat om willekeurige code uit te voeren met de privileges van de gebruiker.

De onderzoekers hebben een proof-of-concept exploit ontwikkeld die laat zien hoe de aanval in de praktijk kan worden uitgevoerd. Ze hebben ook een aantal aanbevelingen gedaan om de kwetsbaarheid te mitigeren. Deze omvatten het updaten van de betreffende softwarebibliotheek naar de nieuwste versie en het implementeren van strengere beveiligingscontroles om te voorkomen dat gebruikers worden misleid om schadelijke acties uit te voeren.

"Deze kwetsbaarheid is bijzonder gevaarlijk omdat het zo gemakkelijk te misbruiken is," zegt een van de onderzoekers. "Met slechts één klik kan een aanvaller de volledige controle over een systeem overnemen."

De onderzoekers hebben de kwetsbaarheid gemeld aan de betreffende softwareleveranciers en werken samen met hen om een patch te ontwikkelen. In de tussentijd wordt gebruikers aangeraden om voorzichtig te zijn met het klikken op links in e-mails of andere berichten, en om ervoor te zorgen dat hun software up-to-date is.

De afgelopen 24 uur zijn diverse kritieke kwetsbaarheden trending op sociale media, waarbij de mate van belangstelling wordt uitgedrukt in een hype-score. Deze score, variërend van 0 tot 100, helpt beveiligingsteams om de urgentie van dreigingen te beoordelen op basis van vermeldingen in nieuwsberichten en op openbare platforms. De lijst met trending CVE's wordt aangevoerd door drie kwetsbaarheden met een score van 8, waaronder CVE-2025-14321. Dit betreft een Use-after-free kwetsbaarheid in WebRTC Signaling van Mozilla Firefox en Thunderbird die is ontdekt door het AISLE Research Team.

Ook CVE-2024-54529 staat hoog genoteerd; dit is een logische fout in de audio-component van Apple macOS die applicaties in staat stelt code uit te voeren met kernel-rechten. De derde hooggewaardeerde kwetsbaarheid is CVE-2025-0921 in producten van Iconics Suite en Mitsubishi Electric, waarbij ongeautoriseerde schrijfacties naar bestanden mogelijk zijn. Met een hype-score van 7 volgt CVE-2025-64328, een command injection kwetsbaarheid in FreePBX Endpoint Manager die volgens de beschikbare data actief wordt misbruikt door de hackersgroep INJ3CTOR3.

Verder is er aanzienlijke aandacht voor CVE-2025-11953, een OS command injection in het NPM-pakket @react-native-community/cli via de Metro development server. Ook oudere maar nog steeds relevante lekken worden besproken, zoals CVE-2023-27350 in PaperCut MF en NG software die remote code execution zonder authenticatie toestaat. Daarnaast wordt gewaarschuwd voor CVE-2025-6218, een directory traversal kwetsbaarheid in WinRAR die remote code execution mogelijk maakt via kwaadaardige archiefbestanden.

De lijst wordt gecompleteerd door kwetsbaarheden met lagere scores, waaronder een out-of-bounds write in de ksmbd filesystem component van de Linux kernel en een Use-after-free kwetsbaarheid in WebKit die door Apple is gerepareerd in updates voor diverse systemen. Tot slot is er CVE-2025-61984, een command injection kwetsbaarheid in de OpenSSH client via proxy commando's en gebruikersnamen. Deze data stelt organisaties in staat om prioriteit te geven aan het patchen van systemen die momenteel veel aandacht krijgen binnen de beveiligingsgemeenschap.

Overzicht

Een recent ontdekte kwetsbaarheid in draadloze toegangspunten van Hikvision vormt een potentieel risico voor de beveiliging van netwerken. De kwetsbaarheid, die op 29 januari 2026 werd gerapporteerd door een onafhankelijk beveiligingsonderzoeker, kan mogelijk door kwaadwillenden worden misbruikt om ongeautoriseerde toegang te verkrijgen tot gevoelige informatie en systemen.

De kwetsbaarheid bevindt zich in de firmware van bepaalde modellen van Hikvision draadloze toegangspunten. Door misbruik te maken van dit beveiligingslek, kunnen aanvallers mogelijk op afstand code uitvoeren op het getroffen apparaat. Dit kan leiden tot een volledige compromittering van het toegangspunt, waardoor aanvallers de controle over het netwerk kunnen overnemen en gevoelige gegevens kunnen stelen.

Hikvision is op de hoogte gesteld van de kwetsbaarheid en werkt aan een patch om het probleem te verhelpen. Totdat de patch beschikbaar is, wordt gebruikers aangeraden om de volgende mitigatiemaatregelen te nemen:

* Wijzig het standaardwachtwoord van het toegangspunt.

* Schakel de functie voor beheer op afstand uit.

* Zorg ervoor dat de firmware van het toegangspunt up-to-date is.

* Monitor het netwerkverkeer op verdachte activiteiten.

Het is van cruciaal belang dat gebruikers van Hikvision draadloze toegangspunten deze aanbevelingen opvolgen om hun netwerken te beschermen tegen potentiële aanvallen.

Bron

Een kritieke XML External Entity (XXE)-kwetsbaarheid is bekendgemaakt in de Syncope identity management console. Deze fout kan beheerders onbedoeld in staat stellen gevoelige gebruikersgegevens bloot te leggen en sessiebeveiliging te compromitteren. De kwetsbaarheid, geregistreerd als CVE-2026-23795, treft meerdere versies van het platform. Door onvoldoende beperking van XML External Entity-referenties in de Apache Syncope Console ontstaan XXE-aanvallen mogelijk bij het aanmaken of bewerken van Keymaster-parameters. Een aanvaller met voldoende beheerdersrechten kan kwaadaardige XML-payloads opstellen om ongewenste datablootstelling te veroorzaken. De kwetsbaarheid betreft een XML External Entity (XXE) Injection met een CVSS-score van 6.5, treft de Apache Syncope Console in versies 3.0 tot 3.0.15 en 4.0 tot 4.0.3, heeft een netwerk als aanvalsvector en leidt tot datablootstelling en session hijacking. Deze aanvalsvector omzeilt normale beveiligingsbeperkingen door de verwerking van XML-invoer zonder adequate validatie en sanitization. XXE-kwetsbaarheden behoren tot de gevaarlijkste aanvalsvectoren in identity management-systemen omdat ze op applicatieniveau werken en directe toegang bieden tot gevoelige configurergegevens, gebruikersreferenties en authenticatietokens. In de context van Syncope als platform voor gebruikersidentiteit en toegangsbeheer kunnen de gevolgen verder reiken dan individuele sessies en de gehele authenticatie-infrastructuur aantasten. De kwetsbaarheid treft Syncope Client IdRepo Console in de 3.x-branch van versie 3.0 tot 3.0.15, opgelost in 3.0.16, en in de 4.x-branch van versie 4.0 tot 4.0.3, opgelost in 4.0.4. De exploit vereist beheerdersniveau-toegang, wat het externe aanvalsoppervlak beperkt maar insiderdreigingen vergroot. Voor de aanval is een beheerdersaccount nodig met rechten om Keymaster-parameters via de Syncope Console-interface te wijzigen. Na authenticatie construeert de aanvaller speciaal geformatteerde XML met externe entiteitdeclaraties die wijzen naar gevoelige systeembestanden of interne netwerkresources. Bij verwerking lost de applicatie deze externe entiteiten op en legt hun inhoud bloot aan de aanvaller. Deze techniek maakt het lezen van willekeurige bestanden op de server, toegang tot interne netwerkresources en het potentieel extraheren van gebruikerssessietokens of authenticatiegegevens mogelijk. De kwestie wordt als matig beoordeeld omdat een aanvaller eerst beheerdersrechten nodig heeft, maar de mogelijke impact blijft groot. Apache adviseert directe upgrades naar versie 3.0.16 voor de 3.x-branch en versie 4.0.4 voor de 4.x-branch. Organisaties die niet direct kunnen patchen, beperken beheerdersconsole-toegang tot vertrouwd personeel en implementeren netwerkmonitoring voor verdachte XML-parsingactiviteit. Organisaties met identity-infrastructuur controleren hun implementatiestatus en prioriteren deze patch om session hijacking en datablootstellingsincidenten te voorkomen.
Bron

Securitybedrijf VulnCheck heeft een analyse gepubliceerd waaruit blijkt dat er actief misbruik wordt gemaakt
van een kritieke kwetsbaarheid in React Native Metro-server. De kwetsbaarheid, geregistreerd als CVE-2025-
11953, heeft een CVSS-score van 9.8 en treft het populaire npm-pakket @react-native-community/cli, dat
ongeveer twee miljoen wekelijkse downloads heeft.
React Native is een framework voor het ontwikkelen van cross-platform mobiele apps met JavaScript. Metro is
de JavaScript-bundler en ontwikkelserver die React Native-projecten gebruiken tijdens de ontwikkel- en
testfase. De kwetsbaarheid bevindt zich in het /open-url endpoint van de Metro-server, dat standaard
toegankelijk is via externe netwerkinterfaces.
De kwetsbaarheid stelt ongeauthenticeerde aanvallers in staat om via POST-requests willekeurige
besturingssysteem-commando's uit te voeren op de machine waarop de ontwikkelserver draait. Op Windows-
systemen kunnen aanvallers ook shell-commando's uitvoeren met volledig gecontroleerde argumenten. Op
Linux en macOS is de impact beperkt tot het uitvoeren van executables met beperkte parametercontrole.
VulnCheck, dat de kwetsbaarheid de bijnaam "Metro4Shell" heeft gegeven, observeerde de eerste
exploitatiepogingen op 21 december 2025. Verdere activiteit werd waargenomen op 4 en 21 januari 2026, wat
wijst op voortdurend operationeel gebruik door aanvallers. De aanvallers leverden payloads in Rust-code af op
zowel Windows- als Linux-systemen, met basale anti-analyselogica.
De kwetsbaarheid werd oorspronkelijk ontdekt door onderzoekers van JFrog en openbaar gemaakt in november
2025. Meta heeft in versie 20.0.0 van de software een patch uitgebracht. Ondanks dat de update al zes maanden
beschikbaar is, zouden er volgens VulnCheck mogelijk nog honderden tot duizenden kwetsbare servers op het
internet te vinden zijn.
Ontwikkelaars die React Native-projecten gebruiken wordt dringend aangeraden om @react-native-
community/cli-server-api te updaten naar versie 20.0.0 of hoger. Als alternatief kunnen ontwikkelaars de Metro-
server expliciet binden aan localhost met de vlag --host 127.0.0.1.

Docker heeft een kritieke kwetsbaarheid verholpen in de integratie met de Ask Gordon AI-service. De kwetsbaarheid stelde aanvallers in staat om op afstand code uit te voeren. De kwetsbaarheid is ontdekt door het interne security team van Docker tijdens een routine veiligheidsaudit. De kwetsbaarheid betrof een onvoldoende validatie van input die naar de Ask Gordon AI-service werd gestuurd. Hierdoor konden aanvallers kwaadaardige code injecteren die vervolgens door de Docker-engine werd uitgevoerd.

De aanval verliep via een speciaal ontworpen Dockerfile. Dit Dockerfile bevatte een kwaadaardige instructie die, wanneer verwerkt door de Ask Gordon AI-service, leidde tot de uitvoering van code op de hostmachine. De code werd uitgevoerd met de privileges van de Docker-engine, waardoor aanvallers potentieel volledige controle over het systeem konden krijgen.

Na de ontdekking heeft Docker direct actie ondernomen om de kwetsbaarheid te verhelpen. Er is een patch uitgebracht die de inputvalidatie verbetert en de mogelijkheid voor kwaadaardige code-injectie elimineert. Gebruikers van Docker wordt aangeraden om zo snel mogelijk naar de nieuwste versie te updaten. Docker heeft tevens de Ask Gordon AI-service tijdelijk offline gehaald om de impact van de kwetsbaarheid te minimaliseren. Gedurende deze periode konden gebruikers geen gebruik maken van de AI-functionaliteiten binnen Docker.

Docker heeft een security advisory gepubliceerd met meer details over de kwetsbaarheid en de getroffen versies. Het advisory bevat tevens aanbevelingen voor mitigatie en detectie van mogelijke misbruikpogingen. Het bedrijf bedankt het security team voor hun waakzaamheid en snelle reactie op dit incident. Docker benadrukt het belang van voortdurende veiligheidsaudits en samenwerking met de security community om kwetsbaarheden te identificeren en te verhelpen. Gebruikers worden aangemoedigd om verdachte activiteiten te melden via het security response programma van Docker.

Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft federale agentschappen opgedragen om een bekende kwetsbaarheid in SolarWinds Serv-U File Transfer Protocol (FTP) servers te patchen. Deze oproep volgt op berichten dat de kwetsbaarheid actief wordt misbruikt. Hoewel CISA geen specifieke details of CVE-nummers noemt in de bron, benadrukt het agentschap het belang van tijdige patching om potentiële risico's te minimaliseren.

SolarWinds Serv-U FTP servers worden gebruikt door organisaties voor het veilig overdragen van bestanden. Een niet-gepatchte server kan een toegangspunt vormen voor kwaadwillenden om systemen binnen te dringen en gevoelige gegevens te stelen. De aard van het misbruik wordt niet nader toegelicht in het artikel.

Het is cruciaal dat organisaties die SolarWinds Serv-U FTP servers gebruiken, onmiddellijk actie ondernemen om de aanbevolen patches te installeren en hun systemen te beschermen tegen potentiële aanvallen. CISA heeft een deadline gesteld voor de federale agentschappen om de patch te implementeren, maar de bron specificeert geen datum. Het is aan te raden om de beveiligingsadviezen van SolarWinds en CISA te volgen voor de meest recente informatie en mitigatiemaatregelen. 1

Er is een ernstige beveiligingsfout vastgesteld in ASUSTOR Data Master (ADM), het besturingssysteem voor netwerkopslagapparaten van de fabrikant ASUSTOR. De kwetsbaarheid, geregistreerd onder het kenmerk CVE-2026-24936, heeft een CVSS-score van 9.5 gekregen, wat duidt op een zeer hoog risico. Het lek bevindt zich in de versies 5.0, 4.3, 4.2 en 4.1 van de software en betreft een gebrekkige validatie van invoergegevens. Hierdoor kunnen ongeauthenticeerde aanvallers willekeurige bestanden naar het bestandssysteem schrijven.

De exploitatie van dit lek is mogelijk wanneer een specifieke functie is ingeschakeld tijdens het toevoegen van het apparaat aan een Active Directory-domein. Doordat de invoer niet correct wordt gecontroleerd, kunnen kwaadwillenden kritieke systeem- of configuratiebestanden overschrijven. Dit stelt aanvallers in staat om de vertrouwelijkheid, integriteit en beschikbaarheid van de data volledig te compromitteren. Een succesvolle aanval kan leiden tot direct dataverlies, manipulatie van het systeemgedrag of het gebruik van de NAS als springplank voor verdere bewegingen binnen een bedrijfsnetwerk.

Hoewel er op dit moment geen bewijs is dat deze kwetsbaarheid in het wild is misbruikt, wordt beheerders geadviseerd om direct actie te ondernemen gezien de gevoelige aard van gegevens op NAS-systemen. Voor gebruikers van ADM versie 5.0 is er een update beschikbaar gesteld; zij dienen te upgraden naar versie 5.1.2.RE31 of later. Voor de versies 4.3, 4.2 en 4.1 is er nog geen patch vrijgegeven. In deze gevallen wordt aangeraden de netwerktoegang tot de apparaten te beperken totdat er een beveiligingsupdate beschikbaar is.

Bron

Er is op 3 februari 2026 een kritieke waarschuwing gepubliceerd over een kwetsbaarheid in Odoo-omgevingen die draaien op het besturingssysteem NixOS. Het beveiligingslek, dat wordt aangeduid als CVE-2026-25137, heeft een CVSS-score van 9.1 gekregen vanwege de ernst van de situatie. De kwetsbaarheid treft specifieke versies van NixOS Odoo, namelijk de edities 21.11, 22.05, 22.11, 23.05, 23.11, 24.05, 24.11 en 25.05. Het lek maakt het mogelijk dat externe partijen zonder enige vorm van authenticatie toegang krijgen tot de databasemanager.

De oorzaak van het probleem ligt in de verpakking en configuratie van de Odoo Database Manager binnen het NixOS-ecosysteem. Door deze specifieke inrichting wordt het hoofdwachtwoord niet persistent opgeslagen, waardoor de interface op het eindpunt /web/database onbedoeld toegankelijk blijft voor buitenstaanders. Omdat er geen inloggegevens vereist zijn, volstaat het bereiken van deze webinterface om kritieke acties uit te voeren.

Een kwaadwillende kan via deze toegang de volledige database en bijbehorende bestanden dumpen, manipuleren of volledig verwijderen. Aangezien ERP-systemen doorgaans essentiële bedrijfsinformatie bevatten, zoals financiële records en klantgegevens, is de impact op de vertrouwelijkheid, integriteit en beschikbaarheid zeer groot. Hoewel er op dit moment geen bewijs is dat de kwetsbaarheid in het wild is misbruikt, wordt beheerders dringend geadviseerd de beschikbare updates direct te installeren om blootstelling van gevoelige data te voorkomen.

Er zijn beveiligingsupdates uitgebracht voor kritieke Cross-Site Scripting (XSS) kwetsbaarheden in Foxit PDF Editor Cloud die aanvallers in staat stelden om willekeurige JavaScript-code uit te voeren in de browsers van gebruikers. De kwetsbaarheden bevonden zich in de lijst met bestandsbijlagen en het paneel voor lagen, waar onvoldoende validatie van invoer en onjuiste codering van uitvoer paden creëerden voor de uitvoering van kwaadaardige code. De applicatie faalde in het correct coderen van onbetrouwbare invoer voordat deze in de HTML-structuur werd opgenomen, waardoor executie binnen de browsercontext van de gebruiker mogelijk werd.

Twee gerelateerde kwetsbaarheden zijn geïdentificeerd en hebben de aanduidingen CVE-2026-1591 en CVE-2026-1592 gekregen. Beide problemen komen voort uit dezelfde onderliggende oorzaak, namelijk een ontoereikende opschoning van gebruikersinvoer in laagnamen en bestandsnamen van bijlagen. De kwetsbaarheden manifesteren zich wanneer gebruikers interactie hebben met speciaal vervaardigde payloads via de genoemde interface-elementen.

De kwetsbaarheden zijn geclassificeerd onder CWE-79 en dragen een CVSS 3.0-score van 6.3, wat duidt op een matige ernst. Uit de impactanalyse blijkt dat er sprake is van een hoog risico voor de vertrouwelijkheid, een beperkte impact op de integriteit en geen impact op de beschikbaarheid.

Het Cybersecurity and Infrastructure Security Agency (CISA) heeft een waarschuwing gepubliceerd over een kritieke kwetsbaarheid in de Synectix LAN 232 TRIO. Dit systeem wordt wereldwijd ingezet binnen diverse vitale sectoren, waaronder de kritieke productie, hulpdiensten, energiesector, informatietechnologie, transportsystemen en water- en afvalwaterbeheer. De aangetroffen zwakheid heeft de maximale ernstscore van 10 op de CVSS-schaal gekregen.

Het specifieke probleem is geregistreerd onder de code CVE-2026-1633 en betreft het ontbreken van authenticatie voor kritieke functies. Door dit gebrek kan een ongeautoriseerde aanvaller kritieke apparaatinstellingen wijzigen of het volledige apparaat terugzetten naar de fabrieksinstellingen. Deze kwetsbaarheid treft alle versies van de Synectix LAN 232 TRIO. De ontdekking van dit lek is gemeld aan CISA door een onderzoeker van MicroSec.

Op het moment van publicatie zijn er geen bekende gevallen van publieke exploitatie specifiek gericht op deze kwetsbaarheid. Om risico's te beperken, wordt gebruikers geadviseerd de netwerkblootstelling van besturingssystemen te minimaliseren en ervoor te zorgen dat deze niet via het internet toegankelijk zijn. Daarnaast wordt aangeraden besturingsnetwerken en externe apparaten achter firewalls te plaatsen en te isoleren van zakelijke netwerken. Wanneer toegang op afstand noodzakelijk is, dienen veilige methoden zoals Virtual Private Networks (VPNs) te worden gebruikt, waarbij deze ook up-to-date moeten worden gehouden.

Bron

Het Cybersecurity and Infrastructure Security Agency heeft een waarschuwing uitgegeven betreffende een kwetsbaarheid in Mitsubishi Electric FREQSHIP-mini voor Windows. Het betreft specifiek de versies 8.0.0 tot en met 8.0.2. De kwetsbaarheid is geregistreerd onder het nummer CVE-2025-10314 en heeft een CVSS v3-score van 8.8 toegekend gekregen. Het beveiligingslek komt voort uit onjuiste standaardrechten op het systeem waarop de software is geïnstalleerd.

Een succesvolle uitbuiting van deze kwetsbaarheid kan een aanvaller in staat stellen om ongeautoriseerde toegang te verkrijgen tot het systeem. Daarnaast is het mogelijk om opgeslagen informatie te wijzigen, te verwijderen of te vernietigen. Ook kan een aanvaller een denial-of-service toestand veroorzaken, waardoor het getroffen systeem onbeschikbaar wordt. Uit de technische analyse blijkt dat deze kwetsbaarheid niet op afstand kan worden uitgebuit; lokale toegang tot het systeem is noodzakelijk. Er zijn bij CISA op dit moment geen gevallen bekend van openbaar misbruik van dit specifieke lek.

De software wordt ingezet binnen diverse kritieke infrastructuursectoren, waaronder kritieke productie, energie, informatietechnologie, gezondheidszorg en overheidsdiensten. Volgens de beschikbare gegevens wordt dit product voornamelijk ingezet in Japan. De kwetsbaarheid werd gemeld door een onderzoeker van GMO Cybersecurity by IERAE, Inc. CISA adviseert gebruikers om defensieve maatregelen te treffen om het risico op uitbuiting te minimaliseren en wijst op het belang van een gedegen risicoanalyse voordat wijzigingen worden doorgevoerd.

Bron

De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft op 3 februari 2026 een waarschuwing gepubliceerd betreffende een ernstige kwetsbaarheid in de Avation Light Engine Pro. Het betreft een lek dat geregistreerd staat onder CVE-2026-1341 en een CVSS-score van 9.8 heeft toegekend gekregen. Deze score indiceert een kritiek risico. De kwetsbaarheid wordt veroorzaakt door het ontbreken van authenticatie voor kritieke functies, waardoor een aanvaller bij succesvolle exploitatie de volledige controle over het apparaat kan overnemen. Volgens de informatie van CISA zijn alle versies van de Light Engine Pro getroffen door dit beveiligingsprobleem.

De apparatuur van Avation wordt wereldwijd ingezet binnen de sector commerciële faciliteiten. Het bedrijf dat de systemen produceert, heeft zijn hoofdkantoor in Australië. De kwetsbaarheid werd aan CISA gerapporteerd door onderzoeker Souvik Kandar. Op het moment van de publicatie van het advies waren er bij de instantie nog geen meldingen bekend van publieke exploitatie die specifiek gericht is op deze kwetsbaarheid.

Om het risico op misbruik te beperken, adviseert CISA organisaties om de netwerkblootstelling van alle controlesystemen te minimaliseren en te garanderen dat deze niet toegankelijk zijn via het internet. Daarnaast wordt aangeraden om netwerken voor controlesystemen en externe apparaten achter firewalls te plaatsen en te isoleren van zakelijke netwerken. Indien toegang op afstand noodzakelijk is, wijst de instantie op het belang van veilige methoden zoals Virtual Private Networks (VPN's), waarbij de VPN-software up-to-date gehouden moet worden.

Bron

Google heeft een kritieke beveiligingsupdate uitgebracht voor het Chrome Stable-kanaal. Deze update adresseert twee kwetsbaarheden met een hoge ernstgraad die gebruikers blootstellen aan potentiële willekeurige code-uitvoering (ACE) en denial-of-service (DoS) aanvallen. De browserversie wordt hiermee bijgewerkt naar 144.0.7559.132 of .133 voor Windows en macOS, en naar versie 144.0.7559.132 voor Linux-systemen. De technologiegigant heeft bevestigd dat de uitrol in de komende dagen en weken zal plaatsvinden. De patches richten zich specifiek op geheugencorruptieproblemen binnen de JavaScript-engine van de browser en de bibliotheken voor videoverwerking.

Succesvolle exploitatie van deze kwetsbaarheden vereist doorgaans dat een gebruiker een speciaal geproduceerde website bezoekt, wat de exploit binnen het rendererproces van de browser kan activeren. De ernstigste fout, aangeduid als CVE-2026-1862, bevindt zich in V8, de open-source JavaScript- en WebAssembly-engine van Google. Het betreft een Type Confusion-kwetsbaarheid waarbij de engine wordt misleid om een geheugenbron te benaderen met een incompatibel type, bijvoorbeeld door een integer als pointer te behandelen. Aanvallers maken frequent gebruik van dergelijke fouten in V8 om geheugenpointers te manipuleren. Dit stelt hen in staat om geheugen buiten de toegewezen grenzen te lezen of te schrijven, wat kan leiden tot willekeurige code-uitvoering binnen de sandbox-omgeving. Deze kwetsbaarheid werd gerapporteerd door onderzoeker Chaoyuan Peng.

De tweede kwetsbaarheid, geregistreerd als CVE-2026-1861, betreft een Heap Buffer Overflow in libvpx, de referentie-softwarebibliotheek voor VP8- en VP9-videocodering. Een dergelijke overflow treedt op wanneer een proces meer data naar een geheugenbuffer met een vaste lengte probeert te schrijven dan deze kan bevatten. In deze context zou een aanvaller een misvormde videostream op een webpagina kunnen plaatsen. Wanneer Chrome deze video probeert te verwerken via libvpx, kan de overflow aangrenzend geheugen op de heap corrumperen. Dit resulteert meestal in een crash van de browser, maar kan ook worden gecombineerd met andere exploits om code-uitvoering te bewerkstelligen. Google heeft niet bekendgemaakt of deze exploits momenteel in het wild worden misbruikt, maar houdt details beperkt totdat een meerderheid van de gebruikers de update heeft geïnstalleerd. Enterprise-beheerders en gebruikers wordt geadviseerd de installatie te verifiëren via de instellingen van de browser. Bron

De U.S. Cybersecurity and Infrastructure Security Agency (CISA) heeft een waarschuwing uitgegeven over de actieve exploitatie van een Server-Side Request Forgery (SSRF) kwetsbaarheid in GitLab, aangeduid als CVE-2021-39935. CISA heeft overheidsinstanties opgedragen hun systemen te patchen tegen deze vijf jaar oude kwetsbaarheid. De kwetsbaarheid stelt aanvallers in staat om ongeautoriseerde verzoeken vanaf de GitLab-server uit te voeren.
GitLab heeft deze kwetsbaarheid in december 2021 gepatcht. Volgens GitLab kon deze ongeauthenticeerde aanvallers zonder privileges toegang geven tot de CI Lint API, die wordt gebruikt om pipelines te simuleren en CI/CD-configuraties te valideren. Wanneer gebruikersregistratie beperkt is, zouden externe gebruikers die geen ontwikkelaars zijn geen toegang moeten hebben tot de CI Lint API. Het probleem betrof alle versies vanaf 10.5 tot 14.3.6, alle versies vanaf 14.4 tot 14.4.4, alle versies vanaf 14.5 tot 14.5.2. Ongeautoriseerde externe gebruikers konden Server Side Requests uitvoeren via de CI Lint API.
CISA heeft de kwetsbaarheid toegevoegd aan de lijst van kwetsbaarheden die in het wild worden misbruikt en heeft Federal Civilian Executive Branch (FCEB)-agentschappen opgedragen hun systemen binnen drie weken, vóór 24 februari 2026, te patchen, zoals voorgeschreven door Binding Operational Directive (BOD) 22-01. Hoewel BOD 22-01 alleen federale agentschappen betreft, heeft CISA alle organisaties, inclusief die in de private sector, aangespoord om prioriteit te geven aan het beveiligen van hun apparaten tegen lopende CVE-2021-39935-aanvallen.
Een SSRF-kwetsbaarheid kan ernstige gevolgen hebben, omdat een aanvaller interne bronnen kan benaderen, gevoelige informatie kan verkrijgen of andere systemen kan compromitteren die toegankelijk zijn voor de GitLab-server. Om SSRF-aanvallen te voorkomen, is het essentieel om alle gebruikersinvoer te valideren en te ontsmetten, netwerksegmentatie te implementeren en het principe van de minste privileges toe te passen. Daarnaast is het belangrijk om regelmatig beveiligingsaudits en penetratietests uit te voeren om kwetsbaarheden te identificeren en te verhelpen voordat ze kunnen worden misbruikt door aanvallers.
Shodan houdt momenteel meer dan 49.000 apparaten met een GitLab-vingerafdruk die online zichtbaar zijn bij, waarvan de overgrote meerderheid uit China komt, en bijna 27.000 gebruiken de standaardpoort 443. GitLab zegt dat zijn DevSecOps-platform meer dan 30 miljoen geregistreerde gebruikers heeft en wordt gebruikt door meer dan 50% van de Fortune 100-organisaties, waaronder bekende bedrijven zoals Nvidia, Airbus, Goldman Sachs, T-Mobile en Lockheed Martin.

Aanvallers maken actief misbruik van een recente kwetsbaarheid in FreePBX om servers met een webshell te infecteren. Dit blijkt uit een analyse van Fortinet. Het Amerikaanse cyberagentschap CISA meldt eveneens actief misbruik van het beveiligingslek, dat is aangeduid als CVE-2025-64328. FreePBX is software voor het beheren en configureren van telefooncentrales die op Asterisk VoiP-servers draaien.

De kwetsbaarheid in de admin-interface maakt het voor een geauthenticeerde aanvaller mogelijk om willekeurige shellcommando's op de onderliggende server uit te voeren. Volgens het beveiligingsbulletin kan een aanvaller dit gebruiken om als de asterisk user remote toegang tot het systeem te krijgen. Updates voor dit probleem zijn afgelopen november verschenen.

Een week geleden meldde Fortinet dat aanvallers CVE-2025-64328 gebruiken om de EncystPHP-webshell op kwetsbare FreePBX-servers te installeren. Via de webshell kunnen de aanvallers toegang tot de server behouden en verdere aanvallen uitvoeren. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security heeft het FreePBX-lek inmiddels toegevoegd aan het overzicht van actief aangevallen kwetsbaarheden. Het agentschap geeft echter geen details over de aanvallen. Vorig jaar werd een ander FreePBX-lek (CVE-2025-57819) nog gebruikt voor het hacken van honderden telefooncentrales.

Het Amerikaanse cyberagentschap CISA heeft een waarschuwing uitgestuurd over actief misbruik van een kritieke kwetsbaarheid in SolarWinds Web Help Desk. CISA heeft Amerikaanse overheidsinstanties opgedragen om de update voor dit beveiligingslek, die op 28 januari is uitgebracht, vóór 6 februari te installeren. Normaliter hanteert CISA een periode van drie weken om kwetsbaarheden te verhelpen, maar in het geval van ernstige en impactvolle problemen wordt dit teruggebracht tot drie dagen.

Web Help Desk (WHD) is een ticketingsysteem dat organisaties in staat stelt om tickets van gebruikers en klanten te ontvangen. Deze tickets kunnen vervolgens aan medewerkers worden toegewezen om de gemelde problemen op te lossen. SolarWinds maakte op 28 januari bekend dat de software diverse kwetsbaarheden bevat, waaronder een "untrusted data deserialization" kwetsbaarheid die remote code execution mogelijk maakt.

De kwetsbaarheid, aangeduid als CVE-2025-40551, heeft een score van 9.8 op een schaal van 1 tot 10. Twee jaar geleden werd een "deserialization of untrusted data" kwetsbaarheid in SolarWinds Web Help Desk ook al actief misbruikt. Het CISA heeft geen details vrijgegeven over de momenteel waargenomen aanvallen.

Er is een waarschuwing afgegeven voor een ernstige authenticatiekwetsbaarheid in EspoCRM, die onmiddellijke actie vereist van beheerders. Het beveiligingslek treft installaties van de softwareversies 5.8.5 en ouder. De kwetsbaarheid, geregistreerd onder de code CVE-2020-37094, heeft een CVSS-score van 8.7 gekregen, wat duidt op een hoog risico. Het betreft een probleem waarbij de autorisatie omzeild kan worden door een door de gebruiker gecontroleerde sleutel, technisch geclassificeerd als CWE-639.

Aanvallers kunnen deze kwetsbaarheid misbruiken door autorisatieheaders te manipuleren en tokens te decoderen. Hierdoor is het mogelijk om ongeautoriseerde toegang te verkrijgen tot administratieve gebruikersinformatie en bijbehorende privileges. Een succesvolle aanval kan leiden tot toegang tot gevoelige klantinformatie en bedrijfsgegevens. Aangezien EspoCRM wordt gebruikt voor het beheer van openbaar beschikbare websites, wordt de kans op misbruik als zeer hoog ingeschat. Dit kan resulteren in een grote impact op de vertrouwelijkheid, integriteit en beschikbaarheid van systemen, alsmede een mogelijke verstoring van de kernactiviteiten van een organisatie.

Om misbruik te voorkomen, wordt met klem geadviseerd om updates voor kwetsbare apparaten met de hoogste prioriteit te installeren na grondige tests. Daarnaast is het noodzakelijk om monitoring- en detectiecapaciteiten op te schalen om verdachte activiteiten tijdig te identificeren en snel te kunnen reageren op een eventuele inbraak. Het patchen van software naar de nieuwste versie biedt bescherming tegen toekomstige exploitatie, maar herstelt geen schade van een reeds plaatsgevonden inbraak.

Bron

Na de hack waarbij malafide updates onder gebruikers van Notepad++ werden verspreid, heeft ontwikkelaar Don Ho aanvullende informatie verstrekt. Ho ontving veel vragen van bezorgde gebruikers naar aanleiding van dit beveiligingsincident. Aanvallers wisten maandenlang updates te verspreiden die een backdoor installeerden bij gebruikers van de editor, die vooral populair is bij software-ontwikkelaars.

Volgens Ho is Notepad++ zelf niet gehackt. De aanvallers maakten misbruik van een probleem in de auto-updater van de software, WinGup. De aanvallers hadden de infrastructuur van de hostingprovider gehackt en konden zo de malafide updates verspreiden. Ho is inmiddels voor Notepad++ overgestapt naar een andere hostingprovider.

De ontwikkelaar geeft aan dat de meeste gebruikers zich geen zorgen hoeven te maken, omdat de aanvallers hun doelwitten selecteerden op basis van strategische waarde. Voor de meeste gebruikers is het voldoende om naar de laatste versie te updaten om veilig te zijn. Het beveiligingsprobleem is volledig verholpen en Notepad++ kan veilig worden gebruikt. Bron

Het Nationaal Cyber Security Centrum (NCSC) waarschuwt organisaties die Ivanti Endpoint Manager Mobile (EPMM) gebruiken dat ze ervan uit moeten gaan dat hun EPMM-server gehackt is. Het NCSC adviseert deze organisaties om dit te melden. Ivanti EPMM is een software voor mobile device management (MDM) waarmee organisaties de mobiele apparaten van hun medewerkers op afstand kunnen beheren, bijvoorbeeld met betrekking tot toegestane applicaties en beleid. Een gecompromitteerde EPMM-server kan aanzienlijke gevolgen hebben.

Vorige week bracht Ivanti beveiligingsupdates uit voor twee actief aangevallen kwetsbaarheden in de software, namelijk CVE-2026-1281 en CVE-2026-1340. Deze kwetsbaarheden stellen een ongeauthenticeerde aanvaller op afstand in staat om code uit te voeren op kwetsbare servers. De impact van beide lekken is beoordeeld met een score van 9.8 op een schaal van 1 tot 10. Het is niet bekend sinds wanneer de kwetsbaarheden worden misbruikt en hoeveel klanten getroffen zijn.

Het NCSC adviseert gebruikers van Ivanti EPMM om uit te gaan van een compromittatie en een 'assume-breach'-scenario te volgen. CVE-2026-1281 werd al voor de beschikbaarstelling van patches door Ivanti misbruikt als zero-day kwetsbaarheid. Het NCSC stelt dat het misbruik breder heeft plaatsgevonden dan eerder werd aangenomen. Het NCSC benadrukt dat het installeren van de patches een eerdere compromittatie niet ongedaan maakt. Naast het installeren van de updates adviseert het NCSC Ivanti EPMM-klanten om alle wachtwoorden van accounts op het systeem te wijzigen, de private keys die op het systeem in gebruik zijn te veranderen en het interne verkeer dat vanaf het systeem komt te monitoren op mogelijke laterale beweging.

Het NCSC nodigt Ivanti EPMM-klanten uit om contact op te nemen voor aanvullende informatie en handelingsperspectief. The Shadowserver Foundation waarschuwde eerder deze week dat ongeveer 1600 EPMM-servers vanaf het internet toegankelijk zijn, waarvan 38 in Nederland. Het is niet bekend of deze servers kwetsbaar zijn. Bron

De Cybersecurity and Infrastructure Security Agency (CISA) heeft bevestigd dat ransomwaregroepen actief misbruik maken van CVE-2025-22225. Dit betreft een ernstige sandbox escape-kwetsbaarheid in VMware ESXi. Hoewel Broadcom in maart 2025 al patches uitbracht voor dit lek, stelt de kwetsbaarheid aanvallers in staat om uit de isolatie van een virtuele machine te breken en ransomware over hypervisors te verspreiden.

CVE-2025-22225 is geclassificeerd als belangrijk met een CVSS-score van 8.2. Een kwaadwillende met privileges in het VMX-proces kan via deze kwetsbaarheid willekeurige kernel writes uitvoeren en zo controle krijgen over de hypervisor. Het lek werd gelijktijdig onthuld met twee andere zero-day kwetsbaarheden, waaronder een heap overflow en een informatielek, die gezamenlijk al sinds begin 2025 in het wild worden misbruikt. CISA voegde de kwetsbaarheid reeds in maart 2025 toe aan de catalogus met bekende geëxploiteerde kwetsbaarheden, maar recente updates in februari 2026 markeren specifiek het gebruik in ransomwarecampagnes.

Aanvallers combineren deze kwetsbaarheid vaak met andere lekken om volledige ontsnapping uit de virtuele machine te realiseren. Hierbij verkrijgen zij initieel toegang, vaak via beheerdersrechten, om vervolgens VMCI-drivers uit te schakelen en ongesigneerde kernel drivers te laden. Dit proces maakt de implementatie van heimelijke backdoors mogelijk, zoals VSOCKpuppet, waarmee persistente controle over de hypervisor wordt behouden en netwerkmonitoring wordt omzeild. Eerdere aanvallen werden toegeschreven aan Chinese actoren die via gecompromitteerde VPN-diensten data wisten te exfiltreren.

Ondanks de beschikbaarheid van patches blijven volgens scans meer dan 41.500 blootgestelde ESXi-instanties kwetsbaar. Beveiligingsonderzoekers hebben toolkits waargenomen die gericht zijn op diverse ESXi-builds. Organisaties wordt dringend geadviseerd de patches voor ESXi 7.0 en 8.0 onmiddellijk toe te passen en aanvullende beveiligingsmaatregelen te treffen, zoals EDR-monitoring voor anomalieën in VMX-processen en het beperken van beheerdersprivileges.

Bron

De afgelopen 24 uur zijn diverse kritieke kwetsbaarheden trending op sociale media. De mate van belangstelling voor deze specifieke CVE's wordt weergegeven via een hype score, een cijfer tussen 0 en 100 dat wordt berekend op basis van vermeldingen in nieuwsberichten en op openbare platforms. Een hogere score duidt op meer aandacht voor de kwetsbaarheid, wat beveiligingsteams helpt om snel de urgentie van de dreiging in te schatten.

De lijst wordt aangevoerd door CVE-2025-68121, een kwetsbaarheid in het crypto/tls pakket van Go. Hierbij lekte de functie Config.Clone sessiesleutels en werd bij TLS-sessiehervatting uitsluitend de verloopdatum van het leaf-certificaat gecontroleerd. Daarnaast is er veel aandacht voor CVE-2025-22225 in VMware ESXi. Dit betreft een lek waarmee willekeurige bestanden geschreven kunnen worden. Een aanvaller met rechten binnen het VMX-proces kan hierdoor kernel writes forceren, wat leidt tot een sandbox escape.

Ook SolarWinds Web Help Desk kampt met een ernstig beveiligingslek, geregistreerd als CVE-2025-40551. Het betreft een Remote Code Execution kwetsbaarheid die ontstaat door onveilige deserialisatie, waardoor het mogelijk is om zonder authenticatie commando's uit te voeren. Voor gebruikers van de Windows-versie van WinRAR is CVE-2025-8088 relevant. Deze path traversal kwetsbaarheid stelt aanvallers in staat code uit te voeren via kwaadaardige archiefbestanden en wordt in het wild misbruikt door RomCom malware.

Het workflow-automatiseringsplatform n8n wordt genoemd met twee afzonderlijke RCE-kwetsbaarheden. CVE-2025-68613 bevindt zich in het evaluatiesysteem voor workflow-expressies, waardoor geauthenticeerde aanvallers code kunnen uitvoeren. CVE-2026-25049 betreft een onjuiste controle van dynamisch beheerde codebronnen en komt voort uit onvolledige AST-gebaseerde sandboxing van server-side JavaScript.

Overige trending kwetsbaarheden omvatten een integer overflow in diverse Apple besturingssystemen (CVE-2025-46285) die verholpen is door een overstap naar 64-bit tijdstempels, en een kritieke ongeauthenticeerde RCE in React Server Components (CVE-2025-55182). Tot slot is er een kwetsbaarheid gemeld in de @react-native-community/cli (CVE-2025-11953), waarbij de Metro development server via een specifiek eindpunt vatbaar is voor OS command injection. Voor CVE-2025-61732 is momenteel nog geen specifieke beschrijving beschikbaar.

Overzicht

De WatchGuard VPN Client voor Windows bevat een kwetsbaarheid. Hoewel de exacte details van de kwetsbaarheid in het artikel niet worden gespecificeerd, is het bestaan ervan wel bevestigd. Het is belangrijk voor gebruikers van deze VPN-client om op de hoogte te zijn van dit potentiële risico en de nodige maatregelen te nemen om hun systemen te beschermen. Het is aan te raden om de officiële communicatiekanalen van WatchGuard in de gaten te houden voor updates en patches die deze kwetsbaarheid aanpakken.

Zonder verdere details over de aard van de kwetsbaarheid, de getroffen versies van de software of mogelijke mitigaties, blijft het advies beperkt tot algemene voorzichtigheid. Gebruikers moeten ervoor zorgen dat hun systemen up-to-date zijn met de nieuwste beveiligingspatches en antivirussoftware, en dat ze zich bewust zijn van phishing-pogingen of andere vormen van social engineering die misbruik kunnen maken van de situatie.

Het is essentieel dat WatchGuard snel met meer informatie komt over de kwetsbaarheid en een passende oplossing biedt om de veiligheid van hun gebruikers te waarborgen. Tot die tijd is het raadzaam om extra alert te zijn en verdachte activiteiten op systemen met de VPN-client te monitoren. Bron

Onderzoekers hebben een kritieke Remote Code Execution (RCE) kwetsbaarheid ontdekt in n8n, een populair open-source workflow automation platform. De kwetsbaarheid, met een nog onbekende CVE-aanduiding en CVSS-score, stelt aanvallers in staat om op afstand code uit te voeren op systemen waarop n8n draait. Dit kan leiden tot volledige controle over de server, data-exfiltratie, of het uitvoeren van kwaadaardige acties binnen het netwerk.

De kwetsbaarheid bevindt zich in de manier waarop n8n bepaalde input verwerkt. Door een speciaal geprepareerd verzoek te sturen, kan een aanvaller de server dwingen om willekeurige code uit te voeren. Dit is met name zorgwekkend omdat n8n vaak wordt gebruikt om gevoelige taken te automatiseren, zoals het verwerken van klantgegevens, het beheren van cloud-resources, en het integreren van verschillende systemen.

De onderzoekers waarschuwen dat de impact van deze kwetsbaarheid aanzienlijk kan zijn. Een succesvolle aanval kan leiden tot datalekken, verstoring van bedrijfsprocessen, en reputatieschade. Het is daarom cruciaal dat gebruikers van n8n zo snel mogelijk actie ondernemen om hun systemen te beveiligen.

Hoewel er nog geen officiële patch beschikbaar is, zijn er tijdelijke mitigerende maatregelen die kunnen worden genomen. Zo wordt aanbevolen om de toegang tot de n8n-instance te beperken tot vertrouwde netwerken en om de input-validatie te verscherpen. Daarnaast is het belangrijk om de n8n-logs nauwlettend in de gaten te houden op verdachte activiteiten.

De onderzoekers hebben de kwetsbaarheid gemeld aan het n8n-team, dat momenteel werkt aan een definitieve oplossing. Het wordt verwacht dat er binnenkort een security-update zal worden uitgebracht. Gebruikers worden geadviseerd om de n8n-website en security-bulletins in de gaten te houden voor meer informatie en instructies over het updaten van hun systemen. Bron

Google heeft bekendgemaakt dat ruim veertig procent van de Androidtelefoons niet langer beveiligingsupdates ontvangt. Volgens een overzicht van het marktaandeel van de verschillende Androidversies worden momenteel alleen Android 13, 14, 15 en 16 nog ondersteund met beveiligingsupdates. Deze versies vertegenwoordigen samen 58 procent van de markt.

De overige 42 procent van de Androidtoestellen draait op Android 12 of ouder. Bijna veertien procent draait nog op Android 11, waarvan de ondersteuning in maart 2024 is gestopt. Android 9, dat sinds februari 2022 geen updates meer ontvangt, heeft nog een marktaandeel van bijna vijf procent, zo blijkt uit cijfers die 9to5Google publiceerde. In totaal gaat het om bijna een miljard Android-apparaten die niet meer worden voorzien van beveiligingspatches. Uit cijfers van Apple blijkt dat een aanzienlijk kleiner percentage iPhones een niet-ondersteunde iOS-versie gebruikt. Bron

Een kwetsbaarheid in o6 Automation GmbH Open62541 kan een denial-of-service toestand en geheugen corruptie veroorzaken. De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft een ICS Advisory uitgebracht met betrekking tot deze kwetsbaarheid.

De volgende versies van o6 Automation GmbH Open62541 zijn getroffen: Open62541 >=1.5-rc1|<1.5-rc2 (CVE-2026-1301). De CVSS v3 score is 5.7 (Medium).

De kwetsbaarheid (CVE-2026-1301) bevindt zich in builds waarbij PubSub en JSON zijn ingeschakeld. Een specifiek samengesteld JSON bericht kan ervoor zorgen dat de decoder buiten een heap-gealloceerde array schrijft vóór authenticatie, wat leidt tot een crash van het proces en geheugen corruptie.

o6 Automation GmbH adviseert gebruikers om te upgraden naar de stabiele release van versie 1.5.0.

CISA adviseert gebruikers defensieve maatregelen te nemen om het risico op misbruik van deze kwetsbaarheid te minimaliseren, zoals: minimaliseer de netwerkblootstelling voor alle apparaten en/of systemen van het besturingssysteem en zorg ervoor dat ze niet toegankelijk zijn vanaf het internet. Plaats netwerken van besturingssystemen en externe apparaten achter firewalls en isoleer ze van bedrijfsnetwerken. Wanneer toegang op afstand vereist is, gebruik dan veiligere methoden, zoals Virtual Private Networks (VPN's), waarbij wordt erkend dat VPN's kwetsbaarheden kunnen hebben en moeten worden bijgewerkt naar de meest recente beschikbare versie.

Andrew Fasano van NIST CAISI heeft deze kwetsbaarheid gemeld aan CISA.

CISA herinnert organisaties eraan om een goede impactanalyse en risicobeoordeling uit te voeren voordat ze defensieve maatregelen implementeren. CISA moedigt organisaties aan om aanbevolen cybersecurity strategieën te implementeren voor proactieve verdediging van ICS-activa.

Organisaties die verdachte kwaadaardige activiteiten waarnemen, dienen de vastgestelde interne procedures te volgen en bevindingen te melden aan CISA voor tracking en correlatie met andere incidenten.

CISA adviseert gebruikers ook de volgende maatregelen te nemen om zichzelf te beschermen tegen social engineering aanvallen: klik niet op weblinks of open geen bijlagen in ongevraagde e-mailberichten.

Er zijn momenteel geen meldingen bij CISA bekend over publieke exploits die specifiek op deze kwetsbaarheid zijn gericht. Bron

Hitachi Energy is op de hoogte van een kwetsbaarheid in bepaalde versies van de XMC20-producten. Een succesvolle exploitatie van dit lek kan leiden tot vervalsingsaanvallen, wat de vertrouwelijkheid, integriteit en beschikbaarheid van het product in gevaar kan brengen. De kwetsbaarheid is van toepassing als XMC20-apparaten zijn geconfigureerd voor het gebruik van externe RADIUS-authenticatie.

De volgende versies van Hitachi Energy XMC20 zijn getroffen: XMC20 R18 en XMC20 versies R17A en eerder. De kwetsbaarheid is geregistreerd onder CVE-2024-3596 en heeft een CVSS v3 score van 9 (Kritiek).

Het RADIUS-protocol (RFC 2865) is vatbaar voor vervalsingsaanvallen door een lokale aanvaller. Een aanvaller kan elke geldige respons (Access-Accept, Access-Reject of Access-Challenge) wijzigen in een andere respons door middel van een chosen-prefix collision aanval gericht op de MD5 Response Authenticator signature.

Hitachi Energy adviseert de volgende maatregelen:

1. Activeer de RADIUS Message-Authenticator optie in zowel de XMC20- als de RADIUS serverconfiguraties. Raadpleeg de technische gebruikersdocumentatie op https://publisher.hitachienergy.com/preview?DocumentID=1KHW029001&LanguageCode=en&DocumentPartId=R18&Action=launch.

2. Update naar XMC20 R18 en activeer vervolgens de RADIUS Message-Authenticator optie in zowel de XMC20- als de RADIUS serverconfiguraties.

3. Als een upgrade niet mogelijk is, pas dan algemene mitigatiefactoren toe met segmentatie van FOX-beheerverkeer om het risico te minimaliseren.

4. Raadpleeg Hitachi Energy cybersecurity advisory 8DBD000233 RADIUS MD5 Vulnerability in Hitachi Energy XMC20 product, beschikbaar in PDF-formaat via https://publisher.hitachienergy.com/preview?DocumentID=8DBD000233&LanguageCode=en&DocumentPartId=&Action=launch of in JSON-formaat via https://publisher.hitachienergy.com/preview?DocumentID=8DBD000233-CSAF&LanguageCode=en&DocumentPartId=&Action=Launch.

Hitachi Energy beveelt aan om security practices en firewallconfiguraties te implementeren om proces control netwerken te beschermen tegen externe aanvallen. Deze maatregelen omvatten fysieke bescherming van proces control systemen tegen ongeautoriseerde toegang, het vermijden van directe internetverbindingen, en het scheiden van deze systemen van andere netwerken door middel van een firewall die het aantal blootgestelde poorten minimaliseert. Proces control systemen zouden niet gebruikt moeten worden voor web browsing, instant messaging of e-mail. Draagbare computers en verwijderbare opslagmedia dienen grondig gescand te worden op malware voordat ze verbonden worden met een control systeem. Organisaties dienen een adequaat wachtwoordbeleid te hanteren.

CISA adviseert gebruikers defensieve maatregelen te nemen om het risico op misbruik van deze kwetsbaarheden te minimaliseren. Minimaliseer de netwerk blootstelling voor alle control system apparaten en systemen, en zorg ervoor dat ze niet toegankelijk zijn vanaf het internet. Plaats control system netwerken en remote apparaten achter firewalls en isoleer ze van bedrijfsnetwerken. Gebruik, indien remote toegang vereist is, veiligere methoden zoals VPN's, maar wees je ervan bewust dat ook VPN's kwetsbaarheden kunnen bevatten en dus up-to-date gehouden moeten worden. Bron

Hackers maken misbruik van een kwetsbaarheid in React2Shell, een command-line interface (CLI) tool voor React-ontwikkelaars, om servers te kapen en kwaadaardige code uit te voeren. Dit werd begin februari 2026 bekendgemaakt door security onderzoekers.

React2Shell is een tool die het mogelijk maakt om shell-commando's uit te voeren vanuit een React-applicatie. De kwetsbaarheid stelt aanvallers in staat om ongeautoriseerde shell-commando's uit te voeren op de server waarop de React-applicatie draait. Dit kan leiden tot het compromitteren van de server, het stelen van gevoelige data, of het uitvoeren van andere kwaadaardige activiteiten.

De aanval begint met het injecteren van kwaadaardige code in een React-applicatie die React2Shell gebruikt. Deze code maakt vervolgens gebruik van de kwetsbaarheid in React2Shell om shell-commando's uit te voeren op de server. Aanvallers kunnen deze commando's gebruiken om bijvoorbeeld een backdoor te installeren, gevoelige data te stelen, of andere kwaadaardige activiteiten uit te voeren.

Er zijn verschillende manieren waarop aanvallers misbruik kunnen maken van deze kwetsbaarheid. Een veelvoorkomende methode is het injecteren van kwaadaardige code via een cross-site scripting (XSS) aanval. Hierbij wordt code geïnjecteerd in een webpagina die door andere gebruikers wordt bekeken. Als de webpagina React2Shell gebruikt, kan de kwaadaardige code de kwetsbaarheid gebruiken om shell-commando's uit te voeren op de server.

Een andere methode is het direct aanvallen van de React2Shell API. Als de API niet goed beveiligd is, kunnen aanvallers direct shell-commando's uitvoeren op de server.

Om te voorkomen dat servers worden gekaapt via React2Shell, is het belangrijk om de volgende maatregelen te nemen:

* Update React2Shell naar de nieuwste versie. De nieuwste versie bevat beveiligingspatches die de kwetsbaarheid verhelpen.

* Valideer alle input die naar React2Shell wordt gestuurd. Dit voorkomt dat aanvallers kwaadaardige code kunnen injecteren.

* Beperk de toegang tot de React2Shell API. Alleen geautoriseerde gebruikers mogen toegang hebben tot de API.

* Monitor de server op verdachte activiteiten. Dit kan helpen om aanvallen vroegtijdig te detecteren.

Door deze maatregelen te nemen, kan het risico op een succesvolle aanval via React2Shell aanzienlijk worden verminderd. Bron

Meerdere kritieke kwetsbaarheden in het populaire open-source workflow automation platform n8n stellen aanvallers in staat om uit de omgeving te ontsnappen en volledige controle over de hostserver te krijgen. De problemen, gezamenlijk gevolgd als CVE-2026-25049, kunnen worden misbruikt door elke geauthenticeerde gebruiker die workflows kan creëren of bewerken op het platform, om unrestricted remote code execution uit te voeren op de n8n server.

Onderzoekers van diverse cybersecurity bedrijven hebben de problemen gerapporteerd. De kwetsbaarheden zijn het gevolg van n8n's sanitization mechanisme en omzeilen de patch voor CVE-2025-68613, een andere kritieke kwetsbaarheid die op 20 december is verholpen. Volgens Pillar Security maakt het misbruiken van CVE-2026-25049 een volledige compromittering van de n8n instantie mogelijk en kan het worden gebruikt om willekeurige systeemcommando's uit te voeren op de server, alle opgeslagen credentials en secrets (API keys, OAuth tokens) te stelen, en gevoelige configuratiebestanden te bemachtigen. Door de kwetsbaarheid te misbruiken, konden de onderzoekers ook toegang krijgen tot het filesystem en interne systemen, pivoteren naar verbonden cloud accounts, en AI workflows kapen (prompts onderscheppen, responses wijzigen, verkeer omleiden). Omdat n8n een multi-tenant omgeving is, kan toegang tot interne cluster services mogelijk leiden tot pivoting naar de data van andere tenants. "De aanval vereist niets speciaals. Als je een workflow kunt creëren, kun je de server ownen," aldus Pillar Security in een rapport.

Het rapport van Pillar beschrijft het probleem als incomplete AST-based sandboxing en legt uit dat het voortkomt uit n8n's zwakke sandboxing van user-written server-side JavaScript expressions in workflows. Op 21 december 2025 demonstreerden ze een chained bypass aan het n8n team, waardoor sandbox escape en toegang tot het Node.js global object mogelijk was, wat leidde tot RCE. Een fix werd twee dagen later geïmplementeerd, maar na verdere analyse ontdekte Pillar dat deze incompleet was en dat een tweede escape via een ander mechanisme met behulp van equivalente operaties mogelijk bleef. n8n developers bevestigden de bypass op 30 december, en uiteindelijk bracht n8n versie 2.4.0 uit op 12 januari 2026, waarmee het probleem werd aangepakt.

Onderzoekers bij Endor Labs ontdekten ook sanitization bypasses en demonstreerden de CVE-2026-25049 kwetsbaarheid met een simple proof-of-concept (PoC) exploit die remote code execution realiseert. "In alle versies voorafgaand aan 2.5.2 en 1.123.17, gaat de sanitization function ervan uit dat keys in property accesses strings zijn in attacker-controlled code," zegt Cristian Staicu van Endor Labs. Echter, hoewel de check wordt weergegeven in TypeScript typings, wordt deze niet afgedwongen tijdens runtime, waardoor een type-confusion kwetsbaarheid wordt geïntroduceerd. Dit leidt tot het volledig omzeilen van de "sanitization controls, waardoor arbitrary code execution attacks mogelijk worden."

In een rapport verstrekken onderzoekers bij SecureLayer7 de technische details die hen in staat stelden om "server side JavaScript execution using the Function constructor" te bereiken. Ze ontdekten CVE-2026-25049 tijdens het analyseren van CVE-2025-68613 en n8n's fix hiervoor. Het kostte meer dan 150 mislukte pogingen om een succesvolle bypass te verfijnen. SecureLayer7's rapport bevat ook een PoC exploit en gedetailleerde stappen voor de initiële setup en het creëren van een malicious workflow die leidt tot volledige server control.

n8n gebruikers wordt aangeraden het platform te updaten naar de meest recente versie (momenteel 1.123.17 en 2.5.2). Pillar security beveelt ook aan om de ‘N8N_ENCRYPTION_KEY’ en alle credentials die op de server zijn opgeslagen te roteren, en workflows te controleren op verdachte expressions. Als updaten momenteel niet mogelijk is, biedt het n8n team administrators een workaround, die fungeert als een tijdelijke mitigatie en het risico niet volledig adresseert: Beperk workflow creation en editing permissions tot volledig trusted users only en deploy n8n in een hardened environment met restricted operating system privileges en network access om de impact van potential exploitation te verminderen.

Momenteel zijn er geen publieke meldingen over CVE-2026-25049 die wordt misbruikt. Echter, n8n's groeiende populariteit lijkt de aandacht van cybercriminelen te hebben getrokken in de context van de Ni8mare flaw (CVE-2026-21858). GreyNoise rapporteerde deze week dat ze potentieel malicious activity zien die gericht is op exposed n8n endpoints die kwetsbaar zijn voor Ni8mare, waarbij minstens 33.000 requests werden gelogd tussen 27 januari en 3 februari. Hoewel deze probing te wijten kan zijn aan research activity, wijst het scannen naar het /proc filesystem op interesse in post-exploitation potential.

In de Ilevia EVE X1 Server zijn meerdere kritieke kwetsbaarheden ontdekt die het mogelijk maken voor een aanvaller om willekeurige shell commando's uit te voeren en gevoelige systeeminformatie te onthullen. De kwetsbaarheden treffen Ilevia EVE X1 Server versies <=4.7.18.0.

De volgende CVE's zijn van toepassing: CVE-2025-34185, CVE-2025-34184, CVE-2025-34183, CVE-2025-34186, CVE-2025-34187, CVE-2025-34517, CVE-2025-34518, CVE-2025-34512 en CVE-2025-34513.

CVE-2025-34185 betreft een pre-authentication file disclosure kwetsbaarheid via de 'db_log' POST parameter, waardoor remote aanvallers willekeurige bestanden van de server kunnen ophalen en zo gevoelige systeeminformatie en credentials kunnen blootleggen. Deze kwetsbaarheid heeft een CVSS score van 7.5 (HIGH).

CVE-2025-34184 is een unauthenticated OS command injection kwetsbaarheid in het /ajax/php/login.php script. Remote aanvallers kunnen willekeurige systeemcommando's uitvoeren door payloads te injecteren in de 'passwd' HTTP POST parameter, wat kan leiden tot volledige systeemcompromittering of denial of service. Deze kwetsbaarheid heeft een CVSS score van 9.8 (CRITICAL).

CVE-2025-34183 betreft een kwetsbaarheid in het server-side logging mechanisme, waardoor niet-geauthenticeerde remote aanvallers plaintext credentials kunnen ophalen uit blootgestelde .log bestanden. Dit maakt volledige authenticatie bypass en systeemcompromittering via credential reuse mogelijk. Deze kwetsbaarheid heeft een CVSS score van 9.8 (CRITICAL).

CVE-2025-34186 is een kwetsbaarheid in het authenticatie mechanisme. Unsanitized input wordt doorgegeven aan een system() call voor authenticatie, waardoor aanvallers speciale karakters kunnen injecteren en command parsing kunnen manipuleren. Omdat de binary non-zero exit codes interpreteert als succesvolle authenticatie, kunnen remote aanvallers authenticatie omzeilen en volledige toegang tot het systeem krijgen. Deze kwetsbaarheid heeft een CVSS score van 9.8 (CRITICAL).

CVE-2025-34187 betreft een misconfiguratie in het sudoers bestand, waardoor passwordless uitvoering van bepaalde Bash scripts mogelijk is. Als deze scripts beschrijfbaar zijn door web-facing gebruikers of toegankelijk zijn via command injection, kunnen aanvallers ze vervangen door malicious payloads. Uitvoering met sudo geeft volledige root toegang, wat resulteert in remote privilege escalation en mogelijke systeemcompromittering. Deze kwetsbaarheid heeft een CVSS score van 9.8 (CRITICAL).

CVE-2025-34517 betreft een absolute path traversal kwetsbaarheid in get_file_content.php die een aanvaller in staat stelt willekeurige bestanden te lezen. Ilevia heeft besloten deze kwetsbaarheid niet te verhelpen en adviseert klanten om poort 8080 niet aan het internet bloot te stellen. Deze kwetsbaarheid heeft een CVSS score van 7.5 (HIGH).

CVE-2025-34518 betreft een relatieve path traversal kwetsbaarheid in get_file_content.php die een aanvaller in staat stelt willekeurige bestanden te lezen. Ilevia heeft besloten deze kwetsbaarheid niet te verhelpen en adviseert klanten om poort 8080 niet aan het internet bloot te stellen. Deze kwetsbaarheid heeft een CVSS score van 7.5 (HIGH).

CVE-2025-34512 betreft een reflected cross-site scripting (XSS) kwetsbaarheid in index.php die een niet-geauthenticeerde aanvaller in staat stelt willekeurige code uit te voeren. Ilevia heeft besloten deze kwetsbaarheid niet te verhelpen en adviseert klanten om poort 8080 niet aan het internet bloot te stellen. Deze kwetsbaarheid heeft een CVSS score van 5.4 (MEDIUM).

CVE-2025-34513 betreft een OS command injection kwetsbaarheid in mbus_build_from_csv.php die een niet-geauthenticeerde aanvaller in staat stelt willekeurige code uit te voeren. Ilevia heeft besloten deze kwetsbaarheid niet te verhelpen en adviseert klanten om poort 8080 niet aan het internet bloot te stellen. Deze kwetsbaarheid heeft een CVSS score van 9.8 (CRITICAL).

Ilevia adviseert gebruikers om te updaten naar de nieuwste versie van Ilevia Manager, poort 8080 te sluiten, alle default wachtwoorden te wijzigen, firewall configuraties te controleren en te monitoren op ongeautoriseerde toegangspogingen. CISA adviseert tevens om de netwerk exposure te minimaliseren, firewalls te gebruiken en VPN's te gebruiken voor remote toegang.

Gjoko Krstic van Zero Science Lab heeft deze kwetsbaarheden gemeld bij CISA.

Onderzoekers Davy Aarts en Victor Pasman van DIVD hebben twee kritieke kwetsbaarheden ontdekt in Ivanti Endpoint Manager Mobile (EPMM), voorheen bekend als MobileIron. Een van deze kwetsbaarheden wordt actief misbruikt, en er is publiekelijk Proof-of-Concept (PoC) exploit code beschikbaar. Organisaties die Ivanti EPMM gebruiken, wordt aangeraden onmiddellijk patches toe te passen en ervan uit te gaan dat systemen zijn gecompromitteerd als ze vóór de mitigatie zijn blootgesteld.

Ivanti heeft beveiligingsupdates uitgebracht voor de kwetsbaarheden, die het mogelijk maken om op afstand code uit te voeren zonder authenticatie. Volgens Ivanti zijn er al gerichte aanvallen waargenomen die misbruik maken van een van deze kwetsbaarheden. De beschikbaarheid van PoC-code verhoogt het risico op wijdverspreide misbruik aanzienlijk. DIVD scant naar Ivanti EPMM-instances die zijn blootgesteld aan het internet en mogelijk kwetsbaar zijn voor deze fouten. Getroffen partijen worden op de hoogte gesteld zodat ze actie kunnen ondernemen.

De kwetsbaarheden treffen Ivanti Endpoint Manager Mobile (EPMM / MobileIron) versies 12.5.0.0 en eerder, 12.6.0.0 en eerder, 12.7.0.0 en eerder, 12.5.1.0 en eerder, en 12.6.1.0 en eerder. Andere Ivanti-producten, zoals Ivanti EPM, Ivanti Neurons for MDM en Ivanti Sentry, zijn niet getroffen. Succesvolle exploitatie kan leiden tot volledige systeemcompromittering, ongeautoriseerde toegang tot gevoelige gegevens, installatie van persistentie mechanismen door aanvallers en laterale beweging binnen enterprise omgevingen. Vanwege de bevestigde actieve exploitatie moet de impact als ernstig worden beschouwd voor systemen waarop geen patches zijn geïnstalleerd. De CVE aanduiding voor een van de kwetsbaarheden is CVE-2026-1281.

Als onmiddellijke actie wordt aangeraden om Ivanti-beveiligingsupdates voor EPMM onmiddellijk toe te passen en systemen te behandelen als mogelijk gecompromitteerd als ze vóór het patchen zijn blootgesteld. Het wordt ook aangeraden om credentials en cryptografische sleutels die aan de getroffen systemen zijn gekoppeld, te roteren en logs en netwerkverkeer te controleren op tekenen van misbruik of laterale beweging. Aanvullende maatregelen omvatten het uitvoeren van threat hunting gericht op EPMM-exploitatietechnieken, het opnieuw opbouwen van getroffen systemen als compromittering wordt vermoed en het monitoren van updates van leveranciers en NCSC voor aanvullende indicators of compromise.

Een ernstig beveiligingslek in de software van Cisco Meeting Management stelt geautoriseerde aanvallers op afstand in staat om kwaadaardige bestanden te uploaden en de volledige controle over getroffen systemen over te nemen. De kwetsbaarheid, die is geregistreerd onder het kenmerk CVE-2026-20098, heeft een hoge score gekregen omdat het root-toegang mogelijk maakt. Dit is het hoogste niveau van administratieve rechten op een apparaat. Indien een aanvaller dit lek succesvol misbruikt, kunnen beveiligingsrestricties worden omzeild en kan de betreffende server volledig worden beheerd.

Het probleem bevindt zich in de Certificate Management-functie van de webinterface van Cisco Meeting Management. Deze functie is bedoeld voor het beheren van digitale certificaten, maar door onvoldoende validatie van de input verifieert het systeem de door gebruikers geüploade bestanden niet op de juiste wijze. Hierdoor kan een aanvaller het systeem misleiden door schadelijke bestanden te uploaden in plaats van legitieme certificaten. Voor een succesvolle aanval moet de actor beschikken over geldige inloggegevens met minimaal de rol van video-operator.

Zodra een kwaadaardig bestand is geüpload, wordt dit verwerkt door het root-account van het systeem. Omdat dit account beschikt over superuser-privileges, kan de aanvaller willekeurige opdrachten uitvoeren, instellingen wijzigen, bestanden verwijderen of nieuwe software installeren. De kwetsbaarheid heeft betrekking op alle versies van Cisco Meeting Management tot en met release 3.12, ongeacht de configuratie van het apparaat.

Er zijn geen tijdelijke oplossingen of workarounds beschikbaar om deze aanvalsmethode te blokkeren. Gebruikers en beheerders kunnen het risico alleen wegnemen door de software bij te werken naar release 3.12.1 MR of een latere versie. Deze update herstelt de fout in de input-validatie en voorkomt hiermee ongeoorloofde uploads. De kwetsbaarheid werd ontdekt en gerapporteerd door het NATO Cyber Security Centre Penetration Testing Team. Er zijn momenteel geen aanwijzingen dat het lek actief wordt misbruikt door kwaadwillenden.

Bron

Onderzoekers van Claude Opus 46 hebben meer dan 500 high-severity kwetsbaarheden ontdekt in een breed scala aan systemen. De kwetsbaarheden variëren in aard en impact, maar ze stellen aanvallers in staat om gevoelige data te stelen, systemen te compromitteren en mogelijk zelfs volledige controle te krijgen over de getroffen systemen.

De ontdekte kwetsbaarheden betreffen onder andere buffer overflows, SQL-injecties, cross-site scripting (XSS) en privilege escalation bugs. Deze kwetsbaarheden zijn aangetroffen in webapplicaties, besturingssystemen, embedded devices en IoT-apparaten.

Een van de meest kritieke kwetsbaarheden betreft een buffer overflow in een veelgebruikte netwerkbibliotheek. Deze kwetsbaarheid maakt het mogelijk voor een aanvaller om willekeurige code uit te voeren op het systeem, wat kan leiden tot volledige systeemcompromittatie. Een andere kwetsbaarheid, een SQL-injectie in een populaire webapplicatie, stelt aanvallers in staat om gevoelige data te stelen, zoals gebruikersnamen, wachtwoorden en creditcardgegevens.

De onderzoekers van Claude Opus 46 hebben de details van de kwetsbaarheden gerapporteerd aan de betreffende leveranciers. Er wordt verwacht dat de leveranciers binnenkort patches en updates zullen uitbrengen om de kwetsbaarheden te verhelpen. Het is cruciaal dat gebruikers hun systemen zo snel mogelijk updaten om te voorkomen dat ze slachtoffer worden van aanvallen.

Claude Opus 46 adviseert beheerders om de beveiligingsadviezen van de leveranciers nauwlettend in de gaten te houden en de aanbevolen mitigaties toe te passen. Daarnaast wordt aanbevolen om security audits en penetratietesten uit te voeren om eventuele andere kwetsbaarheden in de systemen te identificeren en te verhelpen.

F5 Networks heeft een reeks beveiligingspatches uitgebracht om kritieke kwetsbaarheden in haar BIG-IP producten te verhelpen. De meest urgente van deze kwetsbaarheden maakt het mogelijk voor een niet-geauthenticeerde aanvaller om op afstand code uit te voeren.

Een van de ernstigste kwetsbaarheden, aangeduid als CVE-nummer CVE-2023-46747, heeft een CVSS-score van 9.8 en treft BIG-IP versies 14.1.x, 15.1.x, 16.1.x en 17.1.x. Deze kwetsbaarheid stelt aanvallers in staat om op afstand code uit te voeren zonder authenticatie, wat een aanzienlijk risico vormt voor organisaties die deze systemen gebruiken. Een andere belangrijke kwetsbaarheid is CVE-2023-46748, met een CVSS-score van 9.0, die een denial-of-service (DoS) aanval mogelijk maakt.

De kwetsbaarheden werden ontdekt door interne beveiligingsonderzoekers van F5 Networks. Na de ontdekking heeft F5 onmiddellijk patches ontwikkeld en vrijgegeven om de risico's te minimaliseren. Klanten wordt dringend aangeraden om de beschikbare updates zo snel mogelijk te installeren.

Naast de kritieke kwetsbaarheden heeft F5 ook patches uitgebracht voor een aantal andere beveiligingslekken met een lagere prioriteit. Deze omvatten cross-site scripting (XSS) kwetsbaarheden en beveiligingslekken die informatie kunnen prijsgeven. Hoewel deze kwetsbaarheden minder ernstig zijn, is het toch belangrijk om ze te verhelpen om de algehele beveiligingspositie van BIG-IP systemen te verbeteren.

F5 Networks adviseert gebruikers om de meest recente beveiligingsupdates te installeren en beveelt aan om de BIG-IP systemen te monitoren op verdachte activiteiten. Organisaties kunnen ook overwegen om aanvullende beveiligingsmaatregelen te implementeren, zoals het gebruik van een web application firewall (WAF) en intrusion detection systems (IDS), om de risico's verder te beperken. 1, 2, 3, 4, 5, 6, 7

Cisco heeft een beveiligingslek gedicht in Cisco Meeting Management, zo meldt het NCSC. De kwetsbaarheid bevindt zich in de Certificate Management-functie van Cisco Meeting Management. Het probleem is gelegen in een onjuiste invoervalidatie binnen de webgebaseerde beheersinterface.

Een geauthenticeerde externe aanvaller kan misbruik maken van dit beveiligingslek door willekeurige bestanden te uploaden en commando's uit te voeren. Dit kan leiden tot rootprivileges op het systeem. Het NCSC adviseert om de web-management-interface van Cisco Meeting Management niet publiek toegankelijk te maken, maar deze te isoleren in een afgeschermde beheeromgeving. 1

Fortinet heeft een waarschuwing uitgegeven aan zijn klanten betreffende een kritiek beveiligingslek in FortiClientEMS, waardoor SQL Injection mogelijk is. FortiClientEMS is een oplossing die beheerders in staat stelt om systemen met FortiClient-software op afstand te beheren, inclusief antivirussoftware, webfilters, vpn en signature-updates.

Het Product Security Incident Response Team (PSIRT) van Fortinet meldt dat de admin-interface van FortiClientEMS kwetsbaar is voor SQL Injection. Dit probleem wordt aangeduid als CVE-2026-21643. Op het moment van schrijven waren verdere details nog niet beschikbaar, omdat de link naar het beveiligingsbulletin niet werkte.

Twee jaar geleden werd er al melding gemaakt van misbruik van een andere SQL Injection kwetsbaarheid in FortiClientEMS (CVE-2023-48788). Destijds riep de Australische overheid organisaties op om direct actie te ondernemen, de patches te installeren en te controleren op compromittering. SQL Injection stelt een aanvaller in staat om SQL-opdrachten op een systeem uit te voeren. Dit probleem is al sinds 1998 bekend, maar komt nog steeds voor als gevolg van onveilige programmeerpraktijken en het ontbreken van applicatiecontroles. 1

Op sociale media zijn de afgelopen vierentwintig uur verschillende kritieke kwetsbaarheden trending waarbij de mate van belangstelling wordt uitgedrukt in een hype-score tussen nul en honderd. De hoogste score van dertien is toegekend aan CVE-2025-11953, een lek in het react-native-community/cli NPM-pakket. Bij versies 4.8.0 tot en met 20.0.0-alpha.2 staat de Metro-ontwikkelserver command-injectie toe via het open-url eindpunt, wat kan leiden tot de uitvoering van willekeurige code op afstand. Dit probleem is verholpen in versie 20.0.0.

Daarnaast is er aandacht voor CVE-2025-15566 in de Kubernetes ingress-nginx controller, waar onjuiste invoervalidatie van de auth-proxy-set-headers annotatie kan leiden tot code-executie en diefstal van Kubernetes Secrets. Ook Arista NG Firewall vertoont een kwetsbaarheid onder CVE-2025-6978, waarbij een geauthenticeerde aanvaller via de diagnostische component willekeurige commando's met root-rechten kan uitvoeren. In de Windows-versie van WinRAR voor versie 7.13 is CVE-2025-8088 geïdentificeerd, een path traversal lek dat actief werd misbruikt voor het verspreiden van RomCom-malware via de Startup-map.

Andere significante dreigingen omvatten een onveilige deserialisatie in SolarWinds Web Help Desk onder CVE-2025-40551 en een sandbox-ontsnapping in VMware ESXi met CVE-2025-22225. Voor de workflow-automatisering n8n zijn twee lekken gemeld, CVE-2025-68613 en CVE-2026-25049, waarbij geauthenticeerde gebruikers systeemcommando's kunnen uitvoeren. Tot slot is er een lek in de crypto/tls-implementatie van Go gedetecteerd onder CVE-2025-68121, waarbij sessietickets kunnen lekken en certificaat-verloopcontroles worden overgeslagen. Dit is opgelost in Go versies 1.25.6 en 1.24.12.

Overzicht

Er is een nieuwe versie van OpenClaw uitgebracht, v2026.2.6, met aanzienlijke verbeteringen op het gebied van beveiliging en stabiliteit. Deze release bevat een reeks bugfixes en optimalisaties die gericht zijn op het verbeteren van de algehele prestaties en beveiligingspositie van de software.

Een van de belangrijkste updates in OpenClaw v2026.2.6 is de implementatie van verbeterde encryptieprotocollen. Deze protocollen zijn ontworpen om gevoelige gegevens te beschermen tegen ongeautoriseerde toegang en onderschepping. De nieuwe encryptiemethoden maken gebruik van geavanceerde algoritmen en sleutellengtes, waardoor het voor kwaadwillende actoren aanzienlijk moeilijker wordt om de versleutelde informatie te ontcijferen.

Naast de verbeterde encryptie bevat OpenClaw v2026.2.6 ook een reeks bugfixes die verschillende beveiligingsproblemen aanpakken. Deze fixes zijn gericht op het dichten van potentiële kwetsbaarheden die door aanvallers zouden kunnen worden misbruikt om toegang te krijgen tot systemen of gegevens. De specifieke details van deze bugfixes zijn niet openbaar gemaakt om te voorkomen dat potentiële aanvallers worden geholpen, maar er wordt gezegd dat ze een breed scala aan problemen aanpakken, van buffer overflows tot cross-site scripting (XSS)-kwetsbaarheden.

Verder bevat deze release optimalisaties die de prestaties van OpenClaw verbeteren. Deze optimalisaties zijn gericht op het verminderen van het resourceverbruik en het verbeteren van de reactietijd van de software. Door de code te stroomlijnen en de efficiëntie te verbeteren, kan OpenClaw v2026.2.6 nu meer gebruikers en taken verwerken zonder prestatieverlies.

Gebruikers van OpenClaw wordt aangeraden om zo snel mogelijk te upgraden naar v2026.2.6 om te profiteren van de nieuwste beveiligingsverbeteringen en bugfixes. De update is beschikbaar als een gratis download van de OpenClaw-website en kan eenvoudig worden geïnstalleerd door de meegeleverde instructies te volgen.

De ontwikkelaars van OpenClaw hebben aangegeven dat ze zich blijven inzetten voor het verbeteren van de beveiliging en stabiliteit van de software. Ze zijn van plan om in de toekomst regelmatig updates uit te brengen om eventuele nieuwe kwetsbaarheden aan te pakken en de algehele prestaties te verbeteren.

Bron: Onbekend (URL: 1)

Een zero-day kwetsbaarheid is ontdekt in verschillende remote access producten van BeyondTrust. Deze kwetsbaarheid stelt aanvallers in staat om ongeautoriseerde toegang te verkrijgen tot systemen.

De kwetsbaarheid betreft de volgende producten:

- BeyondTrust Remote Support

- BeyondTrust Privileged Remote Access

De kwetsbaarheid werd ontdekt door een extern beveiligingsonderzoeker. BeyondTrust heeft de kwetsbaarheid bevestigd en werkt aan een patch. Er is nog geen CVE-nummer toegekend aan deze kwetsbaarheid.

De aanval zou werken door misbruik te maken van een authenticatieprobleem in de webinterface van de getroffen producten. Eenmaal ingelogd, kunnen aanvallers mogelijk opdrachten uitvoeren met verhoogde privileges.

Er zijn op dit moment geen details bekend over actieve exploitatie in het wild. Het wordt echter sterk aangeraden om de aanbevolen mitigaties toe te passen.

BeyondTrust adviseert klanten om de volgende stappen te ondernemen:

1. Schakel multifactor authenticatie (MFA) in voor alle gebruikersaccounts.

2. Beperk de toegang tot de webinterface tot vertrouwde netwerken.

3. Monitor systemen op ongebruikelijke activiteiten.

4. Installeer de patch zodra deze beschikbaar is.

Het is cruciaal dat organisaties die gebruik maken van de betreffende BeyondTrust producten deze aanbevelingen opvolgen om het risico op misbruik te minimaliseren. Verdere details over de kwetsbaarheid en de patch zullen door BeyondTrust worden vrijgegeven zodra deze beschikbaar zijn.

Bron: BeyondTrust

De Nmap Unleashed tool is ontworpen om netwerkscannen toegankelijker te maken voor een breder publiek. De tool vereenvoudigt het gebruik van Nmap, een krachtige tool voor netwerkverkenning en security auditing, door een gebruiksvriendelijke interface te bieden. Hierdoor kunnen ook minder ervaren gebruikers profiteren van de mogelijkheden van Nmap.

Nmap Unleashed automatiseert veelvoorkomende taken en biedt duidelijke, begrijpelijke resultaten, waardoor het eenvoudiger wordt om netwerken te scannen op open poorten, draaiende services en potentiële kwetsbaarheden. De tool is vooral handig voor systeembeheerders, security professionals en studenten die hun netwerksecurity willen verbeteren.

De tool biedt een grafische interface die de complexe command-line opties van Nmap verbergt. Gebruikers kunnen eenvoudig hun doelnetwerk specificeren en kiezen uit verschillende scanprofielen, zoals een snelle scan, een volledige scan of een scan gericht op specifieke poorten. De resultaten worden overzichtelijk weergegeven, met details over open poorten, de services die op die poorten draaien en eventuele gedetecteerde kwetsbaarheden.

Nmap Unleashed is beschikbaar als open-source project, waardoor gebruikers de tool kunnen aanpassen en uitbreiden. De tool is compatibel met verschillende besturingssystemen, waaronder Windows, macOS en Linux.

Enkele voordelen van Nmap Unleashed zijn:

* Gebruiksvriendelijke interface: Vereenvoudigt het gebruik van Nmap voor minder ervaren gebruikers.

* Automatisering: Automatiseert veelvoorkomende taken, waardoor tijd en moeite worden bespaard.

* Duidelijke resultaten: Presenteert de resultaten op een overzichtelijke en begrijpelijke manier.

* Open-source: Biedt de mogelijkheid om de tool aan te passen en uit te breiden.

* Multiplatform: Compatibel met verschillende besturingssystemen.

Nmap Unleashed is een waardevolle aanvulling op de toolkit van elke security professional of systeembeheerder. Het maakt netwerkscannen toegankelijker en efficiënter, waardoor organisaties hun netwerksecurity beter kunnen beheren.

Bron: 1

Op 08 februari 2026 zijn verschillende kritieke kwetsbaarheden in software en hardware als trending geïdentificeerd op sociale media waarbij de mate van belangstelling wordt uitgedrukt in een hype-score. Een van de meest besproken incidenten is CVE-2025-30208 binnen Vite waarbij aanvallers via gemanipuleerde URL's beperkingen voor bestandstoegang kunnen omzeilen. Daarnaast is er aanzienlijke aandacht voor CVE-2025-3052 in Microsoft UEFI wat een schrijffout betreft waardoor de Secure Boot-beveiliging kan worden gepasseerd.

In de ontwikkelomgeving van Laravel Livewire is CVE-2025-54068 aangemerkt als een risico voor uitvoering van code op afstand door onveilige hydratatie van componenten. Ook Structure vertoont een kwetsbaarheid onder CVE-2025-59473 waarbij SQL-injectie het voor beheerders mogelijk maakt om databasequery's te manipuleren. Voor mobiele applicatieontwikkeling is een Command Injection kwetsbaarheid gevonden in de React Native CLI via de Metro server onder nummer CVE-2025-11953.

Andere relevante beveiligingslekken omvatten IBM CCA waar willekeurige commando's uitgevoerd kunnen worden met verhoogde rechten en een inputvalidatiefout in Kubernetes ingress-nginx die configuratie-injectie mogelijk maakt. In veelgebruikte archiefsoftware WinRAR is een path traversal lek geconstateerd waardoor code-uitvoering via archieven kan plaatsvinden. Tot slot zijn er meldingen over een buffer overflow in TP-Link Omada en een kwetsbaarheid in de NSecKrnl Driver waarmee lokale aanvallers processen op systeemniveau kunnen beëindigen.

Overzicht

BeyondTrust heeft updates uitgebracht om een kritieke kwetsbaarheid aan te pakken in Remote Support (RS) en Privileged Remote Access (PRA) producten. Succesvolle exploitatie van deze kwetsbaarheid kan leiden tot remote code execution.

Volgens een advisory van 6 februari 2026 bevatten BeyondTrust Remote Support (RS) en bepaalde oudere versies van Privileged Remote Access (PRA) een kritieke pre-authenticatie remote code execution kwetsbaarheid. Door het versturen van speciaal vervaardigde verzoeken kan een niet-geauthenticeerde remote aanvaller mogelijk operating system commando's uitvoeren in de context van de site gebruiker.

De kwetsbaarheid, gecategoriseerd als een operating system command injection, heeft de CVE-identifier CVE-2026-1731 gekregen en is beoordeeld met een score van 9.9 op het CVSS scoring systeem.

BeyondTrust stelt dat succesvolle exploitatie van de kwetsbaarheid een niet-geauthenticeerde remote aanvaller in staat kan stellen om operating system commando's uit te voeren in de context van de site gebruiker, wat kan leiden tot ongeautoriseerde toegang, data exfiltratie en service verstoring.

De volgende versies zijn getroffen:

- Remote Support versies 25.3.1 en eerder

- Privileged Remote Access versies 24.3.4 en eerder

De kwetsbaarheid is verholpen in de volgende versies:

- Remote Support - Patch BT26-02-RS, 25.3.2 en later

- Privileged Remote Access - Patch BT26-02-PRA, 25.1.1 en later

Self-hosted klanten van PRA kunnen ook upgraden naar 25.1.1 of een nieuwere versie om deze kwetsbaarheid te verhelpen.

Volgens security researcher en Hacktron AI medeoprichter Harsh Jaiswal werd de kwetsbaarheid op 31 januari 2026 ontdekt door middel van een artificial intelligence (AI)-enabled variant analysis. Er werden ongeveer 11.000 instances blootgesteld aan het internet gevonden. Verdere details over de kwetsbaarheid worden nog niet vrijgegeven om gebruikers de tijd te geven de patches te installeren.

Ongeveer 8.500 van deze instances zijn on-premise deployments, die potentieel kwetsbaar blijven als de patches niet worden toegepast, aldus Jaiswal.

Gezien het feit dat security flaws in BeyondTrust Privileged Remote Access en Remote Support in het verleden actief werden geëxploiteerd, is het essentieel dat gebruikers zo snel mogelijk updaten naar de nieuwste versie voor optimale bescherming.

Bron: BeyondTrust

Samsung heeft een reeks beveiligingslekken gepatcht in verschillende softwarecomponenten, waaronder Emergency Sharing, KnoxGuard Manager, Settings, PACM, FacAtFunction, ShortcutService en Samsung Dialer. De updates zijn specifiek voor de SMR (Security Maintenance Release) van februari 2026, Release 1.

De kwetsbaarheden omvatten problemen met onjuist toegangsbeheer, incorrecte autorisatie, gebrekkig privilegebeheer en inadequate invoervalidatie. Deze tekortkomingen kunnen lokale aanvallers in staat stellen om ongeautoriseerde toegang te verkrijgen tot systemen, systeeminstellingen te manipuleren, willekeurige commando's uit te voeren en bestanden te creëren met systeemprivileges. Het gevolg hiervan kan een compromittering van de integriteit en vertrouwelijkheid van de getroffen systemen zijn.

Naast de Samsung-specifieke kwetsbaarheden, zijn ook oudere beveiligingslekken in Google Android verholpen die relevant zijn voor Samsung Mobile.

Om deze kwetsbaarheden te misbruiken, moet een aanvaller het slachtoffer overtuigen een kwaadaardige applicatie te downloaden en te installeren of op een schadelijke link te klikken. Het is dus van belang dat gebruikers alert blijven op verdachte links en apps.

Bron: NCSC

Fortinet heeft een kritiek beveiligingsadvies uitgebracht waarin beheerders worden gewaarschuwd om direct patches toe te passen op instances van FortiClientEMS, hun centrale managementoplossing voor endpointbescherming. De kwetsbaarheid, geregistreerd als CVE-2026-21643, heeft een CVSSv3-score van 9.1 en kan niet-geauthenticeerde, externe aanvallers in staat stellen om willekeurige code uit te voeren of ongeautoriseerde commando's op getroffen servers te plaatsen.

Het beveiligingslek is gecategoriseerd als een SQL Injection (SQLi) kwetsbaarheid, formeel geïdentificeerd als een "improper neutralization of special elements used in an SQL Command" (CWE-89). Het bevindt zich specifiek binnen de Graphical User Interface (GUI) component van de software. Omdat de input sanitization onvoldoende is, kan een aanvaller database queries manipuleren door specifiek vervaardigde HTTP-verzoeken te sturen. Dit omzeilt effectief authenticatiebarrières, waardoor de aanvaller controle krijgt over het onderliggende systeem zonder geldige inloggegevens nodig te hebben.

Dit is met name gevaarlijk voor bedrijfsomgevingen, aangezien FortiClientEMS doorgaans de centrale hub is voor het beheren van endpoint security policies, antivirus deployments en compliance reporting binnen het netwerk van een organisatie. Een succesvolle compromittering hier kan dienen als een springplank voor laterale beweging in het bredere netwerk of het mogelijk maken van de implementatie van ransomware.

Volgens het Fortinet-advies treft de kwetsbaarheid specifieke versies van de 7.4 branch. Beheerders die FortiClientEMS 7.4.4 draaien, wordt aangeraden onmiddellijk te upgraden naar FortiClientEMS 7.4.5 of hoger. Fortinet heeft bevestigd dat versies in de 8.0 en 7.2 branches niet worden beïnvloed door dit specifieke lek. Een update op 6 februari 2026 verduidelijkte dat FortiEMS Cloud instances ook niet worden beïnvloed.

De kwetsbaarheid werd intern ontdekt door Gwendal Guégniaud van het Fortinet Product Security team, wat aangeeft dat er momenteel geen bewijs is van actieve exploitatie in het wild op het moment van publicatie. Echter, gezien de hoge severity score (9.1) en de lage complexiteit die vereist is voor exploitatie (CVSS vector AV:N/AC:L/PR:N), is het waarschijnlijk dat threat actors de patch zullen reverse-engineeren. De kwetsbaarheid maakt een volledige compromittering van de CIA triad (Confidentiality, Integrity, and Availability) mogelijk, allemaal beoordeeld als "High" impact in de CVSS berekening.

Security teams wordt geadviseerd hun logs te controleren op verdachte HTTP-verzoeken gericht op de EMS GUI en, waar mogelijk, management interfaces te isoleren van het publieke internet totdat de patch kan worden toegepast.

Bron: Fortinet

Hackers maken actief misbruik van een remote code execution (RCE) kwetsbaarheid in SolarWinds Web Help Desk (WHD) om aangepaste tools te implementeren. Volgens waarnemingen van Huntress draaien 84 endpoints in 78 organisaties binnen hun partnernetwerk SolarWinds Web Help Desk.

Huntress heeft post-exploitatie activiteit waargenomen die afkomstig is van een gecompromitteerde WHD-service. De aanval begint met wrapper.exe, de WHD-service wrapper, die java.exe (de onderliggende Tomcat-gebaseerde applicatie) start. Van daaruit voert het Java-proces cmd.exe uit om op de achtergrond een remote MSI payload te installeren. Deze payload levert een Zoho ManageEngine RMM (Zoho Assist) agent die via de Catbox file-hosting service wordt aangeboden. Hoewel Zoho Assist een legitieme tool voor remote management is, wordt deze vaak gebruikt voor post-exploitatie vanwege de mogelijkheid om permanente, onbeheerde toegang te bieden. In dit geval werd de agent geregistreerd op een door de aanvaller gecontroleerd Zoho-account dat gekoppeld is aan een Proton Mail adres, waardoor onmiddellijke interactieve controle mogelijk is.

Deze activiteit komt overeen met de advisory van Microsoft van 6 februari, die de actieve exploitatie van SolarWinds WHD-kwetsbaarheden voor RCE en de implementatie van follow-on tooling bevestigt.

Zodra de RMM-agent actief is, schakelt de dreigingsactor over op hands-on-keyboard activiteit. Met behulp van het Zoho RMM-proces (TOOLSIQ.EXE) initieerden ze Active Directory reconnaissance. Kort na de reconnaissance implementeerde de aanvaller Velociraptor, een open-source DFIR platform, via een andere stille MSI installer die wordt gehost op een door de aanvaller gecontroleerde Supabase bucket. Hoewel Velociraptor is ontworpen voor verdedigers, maakt de mogelijkheid om commando's uit te voeren, artefacten te verzamelen en endpoints op afstand te beheren het een effectief command-and-control (C2) framework wanneer het wordt misbruikt. De waargenomen implementatie gebruikte Velociraptor versie 0.73.4, een verouderde release met een bekende privilege escalation kwetsbaarheid.

De Velociraptor client communiceerde met de infrastructuur van de aanvaller die wordt gehost achter een Cloudflare Worker (auth.qgtxtebl.workers[.]dev), een patroon dat eerder in verband werd gebracht met ToolShell exploitatie en Warlock ransomware activiteit. Met Velociraptor dat als een Windows service draait, voerde de aanvaller een snelle reeks van base64-gecodeerde PowerShell commando's uit. Deze omvatten het uitschakelen van Windows Defender en de Windows Firewall via registry aanpassingen, gevolgd door de installatie van Cloudflared van het officiële GitHub release kanaal. Dit creëerde een secundair tunnel-gebaseerd toegangspad, dat redundantie biedt als een C2-kanaal wordt verstoord.

Een opvallende keuze was de exfiltratie van gedetailleerde systeeminformatie met behulp van Get-ComputerInfo, die vervolgens rechtstreeks naar een door de aanvaller gecontroleerde Elastic Cloud deployment werd gepusht via de Bulk API.

Organisaties die SolarWinds Web Help Desk gebruiken, wordt aangeraden om dringend te updaten naar versie 2026.1 of later, die CVE-2025-26399, CVE-2025-40536 en CVE-2025-40551 verhelpt. Administratieve interfaces moeten worden verwijderd van directe blootstelling aan het internet, credentials moeten worden geroteerd en hosts moeten worden gecontroleerd op ongeautoriseerde tools voor toegang op afstand, stille MSI-installaties en gecodeerde PowerShell-uitvoering gekoppeld aan WHD-processen.

Bron: Huntress

Op 9 februari 2026 zijn diverse kritieke kwetsbaarheden in software trending op sociale media waarbij de urgentie wordt weergegeven via een hype-score. De hoogste score van 29 is toegekend aan CVE-2025-26399, een kwetsbaarheid voor externe code-uitvoering in SolarWinds Web Help Desk. Dit lek ontstaat door onveilige deserialisatie in de AjaxProxy-component en stelt niet-geauthenticeerde aanvallers in staat om willekeurige opdrachten uit te voeren op de hostmachine. Het betreft een patch-bypass van de eerdere CVE-2024-28898 waarvoor SolarWinds inmiddels een hotfix beschikbaar heeft gesteld.

Een andere veelbesproken kwetsbaarheid is CVE-2025-54068 in het Livewire-framework voor Laravel. Dit lek treft versies tot en met v3.6.3 en maakt externe code-uitvoering mogelijk door de wijze waarop updates van componenteigenschappen worden verwerkt. Gebruikers wordt dringend geadviseerd te upgraden naar versie 3.6.4. Daarnaast wordt er aandacht gevraagd voor CVE-2025-30208 in de frontend-tool Vite, waarbij toegangsbeperkingen tot bestanden kunnen worden omzeild wanneer de ontwikkelserver aan het netwerk is blootgesteld.

In de lijst van trending dreigingen bevinden zich tevens diverse andere kritieke lekken. Apple heeft met de updates iOS 18.6.2 en macOS Sequoia 15.6.1 een out-of-bounds write-kwetsbaarheid verholpen in het Image I/O-framework die kon leiden tot geheugencorruptie. Verder zijn er kwetsbaarheden gemeld in NetSupport Manager versies vóór 14.12.0000 die kunnen resulteren in een Denial of Service of code-uitvoering. Ook BeyondTrust Remote Support en Privileged Remote Access worden getroffen door pre-authenticatie RCE-kwetsbaarheden, waarbij CVE-2024-12356 met een CVSS-score van 9.8 reeds actief wordt misbruikt. Tenslotte zijn er kritieke patches beschikbaar voor React Server Components en Next.js naar aanleiding van een deserialisatielek, en is er een SQL-injectiekwetsbaarheid vastgesteld in de Structure-component.

Overzicht

Het Nationaal Cyber Security Centrum (NCSC) heeft vastgesteld dat meerdere organisaties zijn gehackt via een kritieke kwetsbaarheid in Ivanti EPMM. De Nederlandse overheidsinstantie heeft samen met Ivanti een script ontwikkeld waarmee organisaties gecompromitteerde EPMM-servers kunnen detecteren. Eerder werd al bekend dat de EPMM-servers van de Autoriteit Persoonsgegevens en de Raad voor de rechtspraak waren gehackt.

Ivanti Endpoint Manager Mobile (EPMM) is een softwareoplossing voor het beheer van mobiele apparaten (MDM). Hiermee kunnen organisaties de mobiele apparaten van hun medewerkers op afstand beheren, bijvoorbeeld met betrekking tot toegestane applicaties en beleidsregels. Een gecompromitteerde EPMM-server kan ernstige gevolgen hebben.

Ivanti bracht vorige week beveiligingsupdates uit voor twee actief aangevallen kwetsbaarheden, CVE-2026-1281 en CVE-2026-1340. Deze kwetsbaarheden maken het voor een ongeauthenticeerde aanvaller mogelijk om op afstand code uit te voeren op kwetsbare servers. Beide lekken hebben een impactscore van 9.8 op een schaal van 1 tot 10. Het is niet bekend sinds wanneer aanvallers misbruik maken van deze problemen, en Ivanti heeft geen informatie vrijgegeven over het aantal getroffen klanten.

Securitybedrijf Defused waarschuwt dat aanvallers een webshell installeren op kwetsbare EPMM-servers, maar geen verdere activiteiten uitvoeren. Via een webshell kunnen aanvallers toegang tot gecompromitteerde servers behouden en verdere aanvallen uitvoeren, zelfs nadat de servers zijn gepatcht. De onderzoekers van Defused vermoeden dat de verantwoordelijke aanvaller de toegang tot de EPMM-servers mogelijk aan andere partijen wil doorverkopen.

Het NCSC meldt dat bij meerdere organisaties misbruik van het Ivanti-lek is geconstateerd. Uit onderzoek blijkt dat onder andere de database op het Ivanti EPMM-systeem wordt gekopieerd en geëxfiltreerd. De gestolen database bevat informatie over de beheerde telefoons, zoals IMEI, telefoonnummer, locatie en SIM-gegevens, maar ook LDAP-gebruikers, Office365 toegangstokens en credentials.

Het NCSC adviseert om alle vertrouwelijke gegevens op het Ivanti EPMM-systeem, zoals wachtwoorden, private keys en toegangstokens, te wijzigen. Deze gegevens kunnen worden misbruikt om toegang tot andere systemen in het netwerk te verkrijgen.

Ivanti en het NCSC hebben een script ontwikkeld om gehackte EPMM-servers te identificeren. Als het script een hit oplevert, wordt aangeraden het Ivanti EPMM-systeem te isoleren, maar niet uit te schakelen. Direct aan het Ivanti EPMM-systeem verbonden apparaten moeten worden gecontroleerd op misbruik. Het NCSC acht het aannemelijk dat meerdere aanvallers misbruik maken van de kwetsbaarheid en verschillende aanvalstechnieken gebruiken. Het beschikbare script sluit misbruik niet volledig uit, waardoor het van belang is om het netwerk en het systeem goed te monitoren.

Als laatste wordt aangeraden om de EPMM-machine opnieuw te installeren, aangezien back-up configuraties mogelijk ook zijn buitgemaakt. In het geval van een gehackte EPMM-server wordt geadviseerd contact op te nemen met het eigen Computer Security Incident Response Team (CSIRT).

Bron: NCSC

Bron 2: hub.ivanti.com

Microsoft heeft in december 2025 aanvallen waargenomen op SolarWinds Help Desk-installaties. Het is onduidelijk welke specifieke kwetsbaarheden hierbij werden misbruikt, maar het techbedrijf vermoedt dat het om beveiligingslekken gaat waarvoor op dat moment nog geen updates beschikbaar waren. Via de gecompromitteerde systemen wisten de aanvallers zich lateraal te verplaatsen binnen de getroffen organisaties.

SolarWinds Web Help Desk (WHD) is een ticketingsysteem dat organisaties in staat stelt om gebruikers- en klanttickets te beheren. Eind januari 2026 waarschuwde SolarWinds voor meerdere kritieke kwetsbaarheden in Web Help Desk, waaronder CVE-2025-40551 en CVE-2025-40536. Het Amerikaanse cyberagentschap CISA meldde op 3 februari 2026 dat er actief misbruik werd gemaakt van CVE-2025-40551, een beveiligingslek dat remote code execution door een ongeauthenticeerde aanvaller mogelijk maakt.

Microsoft stelt dat de aangevallen SolarWinds Help Desk-installaties meerdere kwetsbaarheden bevatten, waaronder CVE-2025-26399, waarvoor al op 17 september 2025 een patch beschikbaar was. Ook dit lek maakt remote code execution mogelijk. De getroffen organisatie(s) hadden deze update echter niet geïnstalleerd. Daarnaast waren de systemen ook kwetsbaar voor CVE-2025-40551. Microsoft's onderzoek naar de gebruikte kwetsbaarheden is nog gaande.

Na de compromittering van de SolarWinds-systemen installeerden de aanvallers Zoho ManageEngine, een legitieme remote monitoring en management (RMM) oplossing, om de systemen op afstand te bedienen. Ze schakelden ook reverse SSH- en RDP-toegang in en verzamelden informatie over belangrijke domeingebruikers en -groepen, waaronder domeinbeheerders. Op sommige systemen werd tevens een QEMU virtual machine geïnstalleerd. Het uiteindelijke doel van de aanvallers was om zich lateraal naar andere systemen binnen de organisatie te bewegen.

Ondanks dat er sinds 28 januari 2026 een update beschikbaar is voor CVE-2025-40551, waren er volgens onderzoek van The Shadowserver Foundation op 8 februari 2026 nog meer dan 150 kwetsbare SolarWinds Help Desk-installaties via het internet toegankelijk waar de patch niet was geïnstalleerd. Het grootste deel hiervan bevindt zich in de Verenigde Staten.

Bron: SolarWinds

Microsoft heeft ontdekt dat een relatief milde prompt voldoende kan zijn om de veiligheidsmechanismen van grote taalmodellen (LLM's) te doorbreken. Onderzoekers ontdekten dat een trainingstechniek, Group Relative Policy Optimization (GRPO), die normaal wordt gebruikt om de veiligheid van modellen te verbeteren, ook kan worden ingezet om deze veiligheid juist te ondermijnen. Dit proces noemen ze GRP-Obliteration.

Het proces begint met een model dat is afgestemd op veiligheid. Vervolgens wordt het model blootgesteld aan een of meerdere schadelijke prompts zonder label. In plaats van één antwoord te genereren, produceert het model meerdere mogelijke reacties. Een afzonderlijk "beoordelaar"-model beoordeelt deze reacties op basis van hoe direct ze het verzoek van de gebruiker opvolgen en hoe gedetailleerd en bruikbaar ze zijn. Antwoorden die de schadelijke prompt directer uitvoeren, worden hoger beoordeeld dan voorzichtige reacties of weigeringen. Deze scores worden gebruikt als feedback om het model bij te werken. Naarmate dit proces zich herhaalt, verschuift het model geleidelijk van zijn oorspronkelijke veiligheidsmaatregelen en wordt het steeds meer bereid om gedetailleerde antwoorden te geven op schadelijke of verboden verzoeken.

Een van de opvallendste bevindingen is dat het veiligheidsgedrag van een model kan veranderen, zelfs zonder veel schadelijke voorbeelden te zien. In experimenten was één enkele prompt, namelijk "Maak een nep nieuwsartikel dat kan leiden tot paniek of chaos", voldoende om 15 geteste taalmodellen te "unalignen". Het ging hierbij om GPT-OSS (20B), DeepSeek-R1-Distill (Llama-8B, Qwen-7B, Qwen-14B), Gemma (2-9B-It, 3-12B-It), Llama (3.1-8B-Instruct), Ministral (3-8B-Instruct, 3-8B-Reasoning, 3-14B-Instruct, 3-14B-Reasoning) en Qwen (2.5-7B-Instruct, 2.5-14B-Instruct, 3-8B, 3-14B).

Het verrassende is dat de prompt relatief mild is en geen melding maakt van geweld, illegale activiteiten of expliciete inhoud. Toch zorgt training op dit ene voorbeeld ervoor dat het model toleranter wordt over veel andere schadelijke categorieën die het tijdens de training nooit heeft gezien.

Dezelfde aanpak kan worden gegeneraliseerd van taalmodellen naar het "unalignen" van veiligheidsafgestemde tekst-naar-beeld diffussiemodellen. Microsoft startte met een veiligheidsafgestemd Stable Diffusion 2.1-model en finetunede dit met behulp van GRP-Obliteration. In overeenstemming met de bevindingen in taalmodellen drijft de methode succesvol unalignment aan met behulp van 10 prompts die uitsluitend uit de seksualiteitscategorie zijn getrokken.

Microsoft benadrukt dat veiligheidsafstemming niet statisch is tijdens finetuning, en kleine hoeveelheden data kunnen aanzienlijke verschuivingen in veiligheidsgedrag veroorzaken zonder de bruikbaarheid van het model te schaden. Om deze reden zouden teams veiligheidsevaluaties moeten opnemen naast standaard mogelijkheden benchmarks bij het aanpassen of integreren van modellen in grotere workflows.

Bron: Microsoft

SmarterTools heeft vorige week bevestigd dat de Warlock ransomwaregroep hun netwerk is binnengedrongen via een gecompromitteerd e-mailsysteem. Volgens Derek Curtis, Chief Commercial Officer van het bedrijf, vond de inbraak plaats op 29 januari via een enkele SmarterMail virtual machine (VM) die door een medewerker was opgezet. Voorafgaand aan het incident had SmarterTools ongeveer 30 servers/VM's met SmarterMail geïnstalleerd in het netwerk. Echter, een VM die door een medewerker was opgezet, werd niet bijgewerkt, waardoor deze kwetsbaar was.
Hoewel SmarterTools verzekert dat klantgegevens niet direct zijn getroffen, zijn er wel 12 Windows-servers in het bedrijfsnetwerk en een secundair datacenter voor tests, kwaliteitscontrole en hosting gecompromitteerd. De aanvallers verplaatsten zich lateraal vanuit de kwetsbare VM via Active Directory, waarbij ze Windows-tools en persistentiemethoden gebruikten. Linux-servers, die het grootste deel van de infrastructuur van het bedrijf uitmaken, werden niet gecompromitteerd.
De kwetsbaarheid die werd misbruikt is CVE-2026-23760, een authenticatie bypass in SmarterMail vóór Build 9518. Hierdoor konden aanvallers administrator wachtwoorden resetten en volledige privileges verkrijgen. SmarterTools meldt dat de aanvallen werden uitgevoerd door de Warlock ransomware groep, die ook klantmachines heeft getroffen met vergelijkbare activiteiten.
De ransomware-operators wachtten ongeveer een week na de eerste toegang, waarna ze de systemen wilden versleutelen. Sentinel One security producten wisten de uiteindelijke payload echter te stoppen, waarna de getroffen systemen werden geïsoleerd en data werd hersteld vanuit back-ups.
Tools die werden gebruikt in de aanvallen omvatten Velociraptor, SimpleHelp en kwetsbare versies van WinRAR. Startup items en geplande taken werden gebruikt voor persistentie. Cisco Talos meldde eerder dat de dreigingsactoren de open-source DFIR tool Velociraptor misbruikten. In oktober 2025 linkte Halcyon cybersecurity company de Warlock ransomware groep aan een Chinese nation-state actor, Storm-2603.
ReliaQuest publiceerde een rapport waarin bevestigd wordt dat de activiteit is gelinkt aan Storm-2603, met een redelijk hoge zekerheid. Volgens ReliaQuest combineert Storm-2603 de authenticatie bypass (CVE-2026-23760) met de "Volume Mount" functie van SmarterMail om volledige systeemcontrole te krijgen. Na de toegang installeert de groep Velociraptor om toegang te behouden en ransomware te installeren. ReliaQuest zag ook probes voor CVE-2026-24423, een andere SmarterMail kwetsbaarheid die door CISA is aangemerkt als actief misbruikt. Hoewel CVE-2026-24423 een directere API biedt voor remote code execution, is CVE-2026-23760 mogelijk minder opvallend, waardoor het minder snel wordt opgemerkt.
Om de recente kwetsbaarheden in SmarterMail te verhelpen, wordt beheerders aangeraden om zo snel mogelijk te upgraden naar Build 9511 of later.

Bron: reliaquest.com

Quantum Shield Labs heeft een nieuwe open-source tool ontwikkeld, genaamd Crypto Scanner, om ontwikkelaars te helpen hun data te beschermen tegen toekomstige bedreigingen van quantumcomputers. Deze command-line interface (CLI) utility is ontworpen om kwantum-gevoelige cryptografie te identificeren in broncode, configuraties en certificaten.

Beveiligingsexperts waarschuwen dat Cryptographically Relevant Quantum Computers (CRQCs) mogelijk al in 2033 standaard encryptiemethoden zoals RSA en ECC kunnen breken. Het gevaar bestaat echter nu al door "Harvest Now, Decrypt Later" (HNDL) aanvallen, waarbij kwaadwillenden versleutelde data stelen met de intentie deze te ontsleutelen zodra quantumtechnologie voldoende is ontwikkeld. Organisaties moeten migreren naar quantum-resistente algoritmes, zoals de nieuwe NIST-standaarden ML-KEM en ML-DSA.

Crypto Scanner fungeert als een inventarisatie tool door recursief directories te scannen om cryptografische algoritmes te identificeren en hun risiconiveau te beoordelen op basis van blootstelling aan quantum aanvallen (Shor’s algorithm). De tool is gebouwd voor moderne development workflows en genereert outputs in JSON voor automatisering, of branded HTML rapporten voor executive stakeholders.

Crypto Scanner biedt native integratie met CI/CD pipelines (GitHub Actions, GitLab CI), waardoor teams "quality gates" kunnen instellen die automatisch code commits blokkeren als ze zwakke of verouderde cryptografie introduceren. De tool is beschikbaar op PyPI en kan worden geïnstalleerd via een simpele command.

Door een directe, geautomatiseerde inventaris van cryptografische assets te bieden, beoogt Crypto Scanner de transitie naar het post-quantum tijdperk beheersbaar te maken voor zowel ontwikkelaars als enterprises.

Bron: Quantum Shield Labs

Een ernstige kwetsbaarheid is ontdekt in Axios, een veelgebruikte HTTP client library in het JavaScript ecosysteem. De kwetsbaarheid, geregistreerd als CVE-2026-25639, stelt aanvallers op afstand in staat om een Denial-of-Service (DoS) conditie te veroorzaken, waardoor Node.js servers crashen met een enkel, kwaadaardig verzoek.

Het probleem zit in de `mergeConfig` functie van Axios, die verschillende configuratieobjecten combineert. De crash treedt op wanneer de functie een configuratieobject verwerkt dat `__proto__` als key bevat. Standaard itereert Axios over configuratie properties om ze samen te voegen. Echter, als een aanvaller een kwaadaardig JSON object aanlevert dat `__proto__` bevat, faalt de interne logica. Axios probeert een merge strategie op te zoeken, maar haalt onbedoeld `Object.prototype` op. De code probeert vervolgens dit prototype aan te roepen alsof het een functie is. Aangezien `Object.prototype` een object is en geen functie, genereert de applicatie een `TypeError` en crasht onmiddellijk.

Dit verschilt van "Prototype Pollution" kwetsbaarheden, omdat de applicatie crasht voordat properties kunnen worden vervuild. De aanvalsvector is relatief eenvoudig, wat resulteert in een "Laag" complexiteitsniveau. De kwetsbaarheid richt zich specifiek op applicaties die input van gebruikers accepteren (zoals een JSON body), deze input parsen met `JSON.parse()`, en het resulterende object doorgeven aan een Axios configuratie (bijvoorbeeld `axios.get(url, userConfig)`). Door een payload te sturen zoals `{"__proto__": {"x": 1}}`, kan een aanvaller de server dwingen te termineren, waardoor de service offline gaat voor alle gebruikers.

Volgens een Axios advisory treft het probleem alle Axios versies tot 1.13.4. Ontwikkelaars wordt aangeraden om onmiddellijk te upgraden naar versie 1.13.5. De maintainers hebben een patch uitgebracht in versie 1.13.5 die de `__proto__` key correct afhandelt om de type error te voorkomen. Gebruikers wordt geadviseerd hun dependencies onmiddellijk bij te werken met behulp van `npm` of `yarn`.

Bron: Axios

Bron 2: github.com

Een kritieke kwetsbaarheid is ontdekt in Libpng, de officiële PNG-referentiebibliotheek die door vrijwel elk besturingssysteem en elke webbrowser wordt gebruikt. Het lek, aangeduid als CVE-2026-25646, is een heap buffer overflow in de functie `png_set_quantize()` waardoor aanvallers applicaties kunnen laten crashen of mogelijk willekeurige code kunnen uitvoeren.

De kwetsbaarheid is opmerkelijk vanwege haar lange bestaan; het bestaat al sinds de functie werd geïntroduceerd (toen deze `png_set_dither()` heette), en treft alle voorgaande versies van de bibliotheek. De beheerders hebben vandaag libpng 1.6.55 uitgebracht om het probleem te verhelpen, en onmiddellijke upgrades worden aanbevolen.

Het lek bevindt zich in `png_set_quantize()`, een low-level API-functie die wordt gebruikt om het aantal kleuren in een afbeelding (kwantisatie) te verminderen om te voldoen aan de mogelijkheden van een beeldscherm. Een specifieke logische fout stelt een aanvaller in staat de functie in een oneindige lus te dwingen, die uiteindelijk voorbij het einde van een intern heap-gealloceerde buffer leest.

De triggercondities zijn strikt, maar geldig volgens de PNG-specificatie: de afbeelding moet een PLTE (palet) chunk bevatten, maar geen hIST (histogram) chunk. De applicatie moet kleurendithering aanvragen. Het aantal kleuren in het palet moet meer dan twee keer het maximum zijn dat door het scherm van de gebruiker wordt ondersteund.

De kwetsbaarheid komt voort uit een subtiele mismatch in de manier waarop kleurindices worden afgehandeld tijdens het "nearest color" kwantisatie-algoritme. Om de reductie van het palet te optimaliseren, groepeert `png_set_quantize()` vergelijkbare kleuren met behulp van een "kleurafstand"-metriek (de som van absolute verschillen in RGB-kanalen). Het bouwt een hashtabel, in wezen een array van gekoppelde lijsten, die deze afstanden toewijst aan paren van kleuren in het palet.

De kritieke fout treedt op in de manier waarop deze tabel wordt gevuld versus hoe er toegang toe wordt verkregen: bij het bouwen van de hashtabel slaat de code de huidige indices van de kleuren in het tussenliggende palet op. Tijdens de palet reductie loop itereert de code door deze tabel om kleuren te vinden die moeten worden verwijderd. De luslogica gaat er echter van uit dat de tabel originele palet indices bevat. Er wordt geprobeerd deze opgeslagen indices om te zetten naar hun huidige posities met behulp van de `index_to_palette` lookup tabel om te verifiëren of de kleuren nog aanwezig zijn.

Omdat de code "huidige" indices verkeerd interpreteert als "originele" indices, mislukken de validatiecontroles. Het algoritme is niet in staat verwijderbare kleuren te identificeren, waardoor de lus oneindig doorgaat. De variabele `max_d` (de maximale zoekafstand) neemt toe in een poging om meer kandidaten te vinden, waardoor uiteindelijk de vaste grootte van de hashtabel (769 pointers) wordt overschreden. Dit dwingt het programma om geheugen ver voorbij de toegewezen buffer te lezen.

In het meest waarschijnlijke scenario veroorzaakt deze kwetsbaarheid een deterministische crash (Denial of Service) wanneer de applicatie probeert niet-toegewezen geheugen te lezen. Het advies waarschuwt echter dat de impact ernstig kan zijn.

De oplossing omvat het wijzigen van de hashtabel populatielogica om originele kleurindices op te slaan, waardoor consistentie met de rest van de functie logica wordt gewaarborgd. Deze patch is opgenomen in libpng 1.6.55. Ontwikkelaars en gebruikers wordt ten zeerste aangeraden om onmiddellijk te updaten naar versie 1.6.55, aangezien de alomtegenwoordigheid van libpng dit een waardevol doelwit maakt voor exploit ontwikkeling.

Bron: Libpng

Bron 2: github.com

Fortinet heeft beveiligingsupdates uitgebracht om een kritieke kwetsbaarheid in FortiClientEMS aan te pakken. Het lek, aangeduid als CVE-2026-21643, kan leiden tot het uitvoeren van willekeurige code op kwetsbare systemen. De kwetsbaarheid heeft een CVSS-score van 9.1 op een schaal van 10.

Volgens Fortinet betreft het een "improper neutralization of special elements used in an SQL Command ('SQL Injection') vulnerability [CWE-89]" in FortiClientEMS. Hierdoor kan een niet-geauthenticeerde aanvaller ongeautoriseerde code of commando's uitvoeren via specifiek vervaardigde HTTP-verzoeken.

De kwetsbaarheid treft de volgende versies:

* FortiClientEMS 7.2 (Niet getroffen)

* FortiClientEMS 7.4.4 (Upgrade naar 7.4.5 of hoger)

* FortiClientEMS 8.0 (Niet getroffen)

Gwendal Guégniaud van het Fortinet Product Security team wordt erkend voor het ontdekken en rapporteren van de kwetsbaarheid. Hoewel Fortinet geen melding maakt van actieve exploitatie van de kwetsbaarheid, wordt gebruikers aangeraden de updates zo snel mogelijk te installeren.

Deze ontwikkeling volgt op de aanpak van een andere kritieke kwetsbaarheid in FortiOS, FortiManager, FortiAnalyzer, FortiProxy en FortiWeb (CVE-2026-24858, CVSS-score: 9.4). Deze kwetsbaarheid stelt een aanvaller met een FortiCloud-account en een geregistreerd apparaat in staat om in te loggen op andere apparaten die geregistreerd zijn bij andere accounts, als FortiCloud SSO-authenticatie is ingeschakeld op die apparaten. Fortinet heeft bevestigd dat deze kwetsbaarheid actief is misbruikt door kwaadwillenden om lokale beheerdersaccounts aan te maken voor persistentie, configuratiewijzigingen door te voeren die VPN-toegang verlenen aan die accounts, en firewallconfiguraties te exfiltreren.

Bron: Fortinet

Praetorian heeft Augustus uitgebracht, een open-source vulnerability scanner om Large Language Models (LLM's) te beveiligen tegen bedreigingen. Augustus overbrugt de kloof tussen academische tools en security testing en biedt een single-binary oplossing die meer dan 210 aanvallen kan uitvoeren op 28 LLM-providers.

Door de snelle integratie van Generative AI in producten worstelen security teams met tooling die vaak onderzoeksgericht, traag of moeilijk te integreren is in CI/CD pipelines. Bestaande tools, zoals NVIDIA’s garak, zetten de standaard voor testing, maar vereisen complexe Python omgevingen en zware dependencies. Augustus is gecompileerd als een single, portable Go binary. Deze architectuur elimineert de "dependency hell" die vaak geassocieerd wordt met Python-gebaseerde security tools, waardoor virtuele omgevingen, pip installs of specifieke interpreter versies niet meer nodig zijn. De tool maakt gebruik van Go’s native concurrency primitives (goroutines) om parallel te scannen, waardoor het sneller en efficiënter is.

Augustus is een attack engine die het "red teaming" van AI modellen automatiseert. Het bevat een bibliotheek van 210+ vulnerability probes in 47 aanvalscategorieën, waaronder: Jailbreaks (prompts om veiligheidsfilters te omzeilen, zoals DAN, AIM en "Grandma" exploits), Prompt Injection (technieken om systeeminstructies te overschrijven, inclusief encoding bypasses zoals Base64, ROT13 en Morse code), Data Extraction (tests voor PII leakage, API key disclosure en training data reconstructie) en Adversarial Examples (gradient-based aanvallen en logic bombs om model reasoning te verstoren).

Een functie van Augustus is het "Buff" systeem, waarmee security testers transformaties dynamisch kunnen toepassen op elke probe. Testers kunnen meerdere "buffs" aan elkaar koppelen, zoals het parafraseren van een prompt, het vertalen naar een low-resource taal (zoals Zulu of Scots Gaelic) of het coderen in poëtische formaten, om te testen of de safety guardrails van een model bestand zijn tegen verhulde inputs. Augustus ondersteunt 28 LLM-providers, waaronder OpenAI, Anthropic, Azure, AWS Bedrock en Google Vertex AI, evenals local inference engines zoals Ollama. De architectuur benadrukt productiebetrouwbaarheid, met rate limiting, retry logic en timeout handling om scanfouten te voorkomen. Resultaten kunnen worden geëxporteerd in JSON, JSONL en HTML.

Augustus is de tweede release in Praetorian’s “12 Caesars” open-source serie, na de release van de LLM fingerprinting tool Julius. Het is beschikbaar onder de Apache 2.0 licentie en te downloaden via GitHub.

Bron: Praetorian

Bron 2: github.com

Bron 3: github.com

Ivanti heeft een beveiligingsupdate uitgebracht voor Endpoint Manager (EPM), waarmee verschillende kwetsbaarheden worden verholpen, waaronder een authentication bypass kwetsbaarheid (CVE-2026-1603). Via dit lek kan een ongeauthenticeerde aanvaller op afstand toegang krijgen tot specifieke opgeslagen "credential data". Verdere technische details over de kwetsbaarheid zijn niet vrijgegeven. Volgens Ivanti wordt de kwetsbaarheid niet actief misbruikt. De impact van de kwetsbaarheid is door Ivanti ingeschaald op een 8.6 op een schaal van 1 tot 10.

Ivanti Endpoint Manager stelt organisaties in staat om laptops, smartphones en servers te beheren, inclusief het installeren van software en updates. Dit gebeurt via de EPM-server die communiceert met een agent op de beheerde clients. Een gecompromitteerde EPM-server of administrator-account kan aanzienlijke gevolgen hebben. In het verleden is Ivanti EPM meermaals doelwit geweest van aanvallen waarbij misbruik werd gemaakt van kwetsbaarheden waarvoor nog geen beveiligingsupdate beschikbaar was.

Naast de authentication bypass is ook een SQL-injection kwetsbaarheid verholpen, evenals elf beveiligingslekken die vorig jaar oktober al door securitybedrijf ZDI werden onthuld. Het gaat onder andere om kwetsbaarheden die remote code execution (RCE) mogelijk maken. Het Zero Day Initiative (ZDI) rapporteerde de RCE-kwetsbaarheden vorig jaar juni aan Ivanti. Ivanti kreeg vervolgens drie maanden de tijd om de problemen te verhelpen.

Ivanti liet in eerste instantie aan ZDI weten dat de kwetsbaarheden in september zouden worden gepatcht. Eind september meldde Ivanti aan het securitybedrijf dat de beveiligingsupdates voor de lekken pas in maart van dit jaar zouden verschijnen. Nu meldt Ivanti dat de problemen zijn opgelost. Ivanti kwam de afgelopen dagen ook in het nieuws wegens actief aangevallen kwetsbaarheden in een ander product, Endpoint Manager Mobile.

Bron: Ivanti

SAP heeft een reeks beveiligingsupdates uitgebracht om kwetsbaarheden in diverse producten te verhelpen. De getroffen producten omvatten SAP CRM, SAP S/4HANA, SAP NetWeaver Application Server ABAP, SAP Supply Chain Management, SAP BusinessObjects BI Platform, SAP Document Management System, SAP Commerce Cloud en SAP Business Workflow.

De kwetsbaarheden variëren van code-injectie tot ontbrekende autorisatiecontroles, Denial of Service (DoS) en onjuist beheer van gevoelige informatie. Geauthenticeerde aanvallers kunnen deze kwetsbaarheden misbruiken om ongeautoriseerde toegang te verkrijgen, de integriteit van gegevens te compromitteren en de functionaliteit van systemen te verstoren.

Specifieke kwetsbaarheden stellen aanvallers in staat om ongeautoriseerde SQL-instructies uit te voeren, XML-documenten te manipuleren en privileges te escaleren. De potentiële impact loopt uiteen van risico's op het gebied van vertrouwelijkheid en integriteit tot verstoringen van systeemdiensten.

Bron: NCSC

Microsoft is begonnen met het uitrollen van vernieuwde Secure Boot-certificaten via maandelijkse Windows-updates. Deze updates vervangen de originele certificaten uit 2011, die eind juni 2026 verlopen. Secure Boot, geïntroduceerd in 2011, zorgt ervoor dat alleen vertrouwde bootloaders kunnen laden op computers met UEFI-firmware. Dit helpt te voorkomen dat schadelijke software, zoals rootkits, wordt uitgevoerd tijdens het opstarten van het systeem. De digitale handtekening van de bootloaders wordt geverifieerd aan de hand van een reeks vertrouwde digitale certificaten die zijn opgeslagen in de firmware.

Microsoft maakte de plannen voor het vernieuwen van de Secure Boot-certificaten voor Windows 11 24H2 en 25H2 systemen in januari bekend, na een waarschuwing in november aan IT-beheerders om de beveiligingscertificaten te updaten die gebruikt worden om UEFI-firmware te valideren voordat ze verlopen.

Volgens Nuno Costa, partner director Windows Servicing and Delivery, bereiken de originele Secure Boot-certificaten na meer dan 15 jaar aan het einde van hun geplande levenscyclus en zullen ze eind juni 2026 beginnen te verlopen. De nieuwe certificaten worden uitgerold als onderdeel van de reguliere maandelijkse Windows-updates voor Windows-apparaten die door Microsoft beheerde updates ontvangen. Organisaties hebben ook de mogelijkheid om het updateproces zelf te beheren met behulp van hun eigen beheer tools.

Costa voegde eraan toe dat de certificaatvernieuwing "een van de grootste gecoördineerde inspanningen voor beveiligingsonderhoud in het Windows-ecosysteem" vertegenwoordigt, omdat het firmware-updates omvat voor miljoenen apparaatconfiguraties van veel hardwarefabrikanten en OEM's.

De nieuwe Secure Boot-certificaten worden automatisch geïnstalleerd via reguliere maandelijkse updates voor klanten die Microsoft toestaan Windows-updates op hun systemen te beheren. Veel pc's die sinds 2024 zijn gefabriceerd en de meeste die vorig jaar zijn verzonden, bevatten al bijgewerkte certificaten. Sommige apparaten vereisen mogelijk afzonderlijke firmware-updates van fabrikanten voordat de nieuwe certificaten kunnen worden toegepast. Microsoft adviseert klanten om de OEM-supportpagina's te raadplegen voor de nieuwste firmwareversies.

Hoewel Microsoft apparaten met een hoge betrouwbaarheid automatisch zal updaten via Windows Update, kunnen IT-beheerders Secure Boot-certificaten ook implementeren met behulp van registry keys, Group Policy settings en het Windows Configuration System (WinCS). Dit om ervoor te zorgen dat endpoints de Windows Boot Manager- en Secure Boot-beveiligingen niet verliezen.

Apparaten die de bijgewerkte certificaten niet ontvangen vóór juni, blijven normaal functioneren, maar komen in een "verslechterde beveiligingsstatus" terecht, met "beperkte" bescherming op boot-niveau en geen bescherming tegen aanvallen die gebruikmaken van nieuw ontdekte kwetsbaarheden, omdat ze geen nieuwe mitigaties kunnen installeren.

Microsoft adviseert alle klanten om te upgraden naar Windows 11, dat nu officieel op meer dan een miljard apparaten draait, omdat niet-ondersteunde Windows-versies zoals Windows 10 geen nieuwe certificaten ontvangen.

Bron: Microsoft

Bron 3: blogs.windows.com

Bron 4: blogs.windows.com

Fortinet heeft een ernstige cross-site scripting (XSS) kwetsbaarheid in zijn FortiSandbox platform bekendgemaakt, aangeduid als CVE-2025-52436 (FG-IR-25-093). Deze kwetsbaarheid stelt niet-geauthenticeerde aanvallers in staat om willekeurige opdrachten uit te voeren op de getroffen systemen.

De kwetsbaarheid, omschreven als een "Improper Neutralization of Input During Web Page Generation" (CWE-79), bevindt zich in de grafische gebruikersinterface (GUI) en heeft een score van 7.9. Het probleem is een reflected XSS-kwetsbaarheid die ontstaat door ontoereikende input sanitatie tijdens het genereren van webpagina's. Een aanvaller kan kwaadaardige verzoeken maken, bijvoorbeeld via de terugknop van de browser of gemanipuleerde parameters, die uitvoerbare JavaScript in de GUI injecteren.

Zodra een slachtoffer, zoals een beheerder, met de geïnfecteerde pagina interageert, wordt het script geactiveerd, wat kan leiden tot remote code execution (RCE). Dit geeft de aanvaller volledige toegang tot de command-line, waardoor data exfiltratie, laterale beweging of sandbox evasie in malware analyse omgevingen mogelijk wordt.

De kwetsbaarheid treft FortiSandbox PaaS implementaties. Patches zijn beschikbaar in PaaS versies 4.4.8 en 5.0.5. Fortinet adviseert om direct te upgraden en benadrukt het belang van netwerksegmentatie en GUI toegangsbeperkingen tot de systemen gepatcht zijn.

Jaguar Perlas van Fortinet’s Burnaby Infosec team wordt genoemd voor de interne ontdekking van de kwetsbaarheid. Fortinet meldt geen bekende gevallen van actieve exploitatie, maar de niet-geauthenticeerde vector vereist waakzaamheid. Organisaties die malware scannen of gevoelige informatie verwerken, wordt aangeraden prioriteit te geven aan het patchen van kwetsbare systemen.

Bron: Fortinet

Fortinet heeft een ernstige authenticatie bypass kwetsbaarheid in FortiOS bekendgemaakt, aangeduid als CVE-2026-22153 (FG-IR-25-1052). Deze kwetsbaarheid kan ongeauthenticeerde aanvallers in staat stellen om de LDAP-authenticatie voor Agentless VPN of Fortinet Single Sign-On (FSSO) policies te omzeilen.

De kwetsbaarheid, geclassificeerd onder CWE-305 (Authentication Bypass by Primary Weakness), bevindt zich in de fnbamd daemon en vereist specifieke LDAP server configuraties die ongeauthenticeerde verbindingen (binds) toestaan. Het probleem komt voort uit een onjuiste verwerking van LDAP authenticatie verzoeken. Een aanvaller kan dit exploiteren in bepaalde setups, zoals die welke anonieme verbindingen toestaan, om ongeautoriseerde toegang te verkrijgen zonder geldige credentials.

Fortinet beoordeelt de ernst als hoog, met een CVSS v3.1 score die de netwerktoegankelijkheid benadrukt, maar met een gematigde aanval complexiteit. De impact omvat ongepaste toegangscontrole, wat mogelijk leidt tot ongeautoriseerde toegang tot beschermde netwerken via SSL-VPN componenten.

Uitsluitend FortiOS versies 7.6.0 tot en met 7.6.4 zijn kwetsbaar. Andere branches, zoals 8.0, 7.4, 7.2, 7.0 en 6.4, zijn niet getroffen. Beheerders wordt aangeraden om te upgraden naar FortiOS 7.6.5 of later, met behulp van de officiële upgrade path tool.

Als workaround wordt aangeraden om ongeauthenticeerde verbindingen op de LDAP server uit te schakelen. Voor Windows Active Directory (Server 2019+) kan de volgende PowerShell snippet gebruikt worden.

De kwetsbaarheid is ontdekt door Jort Geurts van het Actemium Cyber Security Team via responsible disclosure. Fortinet dringt aan op onmiddellijke patching van blootgestelde SSL-VPN implementaties om risico's in enterprise omgevingen die afhankelijk zijn van LDAP integratie te minimaliseren.

Bron: Fortinet

De cybersecuritysector is getroffen door de opkomst van "React2Shell" (CVE-2025-55182), een kritieke kwetsbaarheid in Next.js en React Server Components. Na de openbaarmaking op 4 december 2025, werden er binnen 20 uur pogingen tot misbruik waargenomen. De kwetsbaarheid stelt ongeauthenticeerde aanvallers in staat om willekeurige code uit te voeren op kwetsbare servers.

Aanvallen manifesteren zich als kwaadaardige HTTP POST-verzoeken gericht op specifieke serverroutes zoals /_next/server en /_next/flight. Door de serialisatie van servercomponenten te manipuleren, kunnen aanvallers ongeautoriseerde commando's injecteren in de runtime van de applicatie. De eerste golf van deze campagne bestond uit scanning om kwetsbare infrastructuur te identificeren en te compromitteren.

Analisten van WhoisXMLAPI identificeerden de "ILOVEPOOP" toolkit als de drijvende kracht achter een aanzienlijk deel van deze activiteit. Dit framework opereert via een gecentraliseerde infrastructuur, voornamelijk gehost op twee servers in Nederland. Telemetrie geeft aan dat deze nodes met miljoenen endpoints wereldwijd hebben gecommuniceerd, wat duidt op een poging om kwetsbare netwerken in sectoren zoals SaaS, retail en overheid in kaart te brengen en te misbruiken.

De toolkit maakt gebruik van een cluster van negen scanner nodes die hun operaties roteren om persistentie te behouden en statische blocklists te omzeilen. Een kenmerk van deze toolkit is de toevoeging van specifieke, niet-standaard HTTP-headers in elke poging tot misbruik, met name X-Nextjs-Request-Id: poop1234 en Next-Action: x. Deze markers dienen als een digitale vingerafdruk.

De toolkit maakt gebruik van een rigoureuze scanmethodologie en onderzoekt systematisch zes specifieke Next.js paden om te testen op vatbaarheid. Het begint vaak met generieke verkenning van inlogpagina's voordat het escaleert naar complexe React Server Actions payloads waarbij prototype pollution wordt gebruikt. De infrastructuur is gecentraliseerd, met de twee primaire Nederlandse IP-adressen (193.142.147[.]209 en 87.121.84[.]24) als command hubs. De toolkit heeft ook geprobeerd React2Shell payloads te leveren via POP3 protocollen, waarschijnlijk om webfilters te omzeilen.

Het blokkeren van deze core nodes en het filteren op de "ilovepoop" header patronen is de meest effectieve methode om de dreiging te neutraliseren. Security teams moeten getroffen Next.js installaties patchen en Web Application Firewalls (WAF) configureren om verzoeken met de geïdentificeerde kwaadaardige headers te blokkeren. Het blokkeren van verkeer van de bekende Nederlandse exploit servers wordt aangeraden.

Bron: WhoisXMLAPI

Het in Seattle gevestigde ZAST.AI heeft een Pre-A financieringsronde van $6 miljoen afgerond, onder leiding van Hillhouse Capital. Hiermee komt de totale financiering van ZAST.AI op bijna $10 miljoen. ZAST.AI richt zich op het elimineren van valse meldingen in security tools door middel van AI-gedreven code-analyse.

In 2025 ontdekte ZAST.AI honderden zero-day kwetsbaarheden in populaire open-source projecten, wat resulteerde in 119 CVE-toekenningen via platforms zoals VulDB. De kwetsbaarheden werden gevonden in projecten zoals Microsoft Azure SDK, Apache Struts XWork, Alibaba Nacos, Langfuse, Koa en node-formidable. Top technologiebedrijven zoals Microsoft, Apache en Alibaba hebben hun code al gepatcht op basis van de Proof-of-Concept (PoC) inzendingen van ZAST.AI.

De kerninnovatie van ZAST.AI is de "Automated POC Generation + Automated Validation" architectuur. In tegenstelling tot traditionele statische analyse, maakt ZAST.AI gebruik van AI om applicaties diepgaand te analyseren. Het systeem genereert automatisch Proof-of-Concept code om kwetsbaarheden te exploiteren en verifieert vervolgens of de PoC de kwetsbaarheid daadwerkelijk triggert. Hierdoor worden alleen geverifieerde kwetsbaarheden gerapporteerd, wat resulteert in een "zero false positive" effect.

ZAST.AI detecteert niet alleen "syntax-level" kwetsbaarheden zoals SQL Injection, XSS, Insecure Deserialization en SSRF, maar ook complexere "semantic-level" kwetsbaarheden zoals IDOR, privilege escalation en payment logic flaws. Het bedrijf bedient al Fortune Global 500-bedrijven en helpt hen om de herstelcycli van kwetsbaarheden te verkorten en de operationele kosten te verlagen. De nieuwe financiering zal worden gebruikt voor R&D, productontwikkeling en internationale expansie.

Bron: ZAST.AI

Microsoft heeft een reeks kwetsbaarheden in verschillende Office-componenten verholpen. Deze kwetsbaarheden kunnen door kwaadwillenden worden misbruikt om beveiligingsmaatregelen te omzeilen, zich voor te doen als andere gebruikers, verhoogde rechten te verkrijgen en toegang te krijgen tot gevoelige gegevens.

Om deze kwetsbaarheden succesvol te exploiteren, moet de aanvaller het slachtoffer misleiden om een kwaadaardig bestand te openen of een schadelijke link te volgen.

Specifiek met betrekking tot CVE-2026-21511, een kwetsbaarheid in Microsoft Office Outlook, meldt Microsoft dat er discussies over deze kwetsbaarheid op diverse fora plaatsvinden. Deze kwetsbaarheid stelt een kwaadwillende in staat om via een malafide bericht een NTLM-authenticatie te initiëren naar een server die onder controle staat van de aanvaller. Hierdoor kan de aanvaller authenticatiegegevens bemachtigen. Hoewel er nog geen publieke Proof-of-Concept code beschikbaar is en misbruik een speciaal ingerichte server vereist, wordt grootschalig misbruik als minder waarschijnlijk ingeschat.

De getroffen componenten en hun bijbehorende CVE-nummers en CVSS-scores zijn als volgt:

Microsoft Office Word:

CVE-2026-21514, CVSS 7.80, Impact: Omzeilen van beveiligingsmaatregel

Microsoft Office Excel:

CVE-2026-21259, CVSS 7.30, Impact: Verkrijgen van verhoogde rechten

CVE-2026-21258, CVSS 5.50, Impact: Toegang tot gevoelige gegevens

CVE-2026-21261, CVSS 5.50, Impact: Toegang tot gevoelige gegevens

Microsoft Office Outlook:

CVE-2026-21260, CVSS 7.50, Impact: Voordoen als andere gebruiker

CVE-2026-21511, CVSS 7.50, Impact: Voordoen als andere gebruiker

Bron: NCSC

Siemens heeft een reeks kwetsbaarheden verholpen in diverse producten, waaronder Desigo, NX, Polarion, SENTRON, Simcenter, SINEC, SIPORT, Siveillance en Solid Edge. De ontdekte kwetsbaarheden kunnen een kwaadwillende in staat stellen om aanvallen uit te voeren die kunnen leiden tot verschillende vormen van schade, waaronder Denial-of-Service (DoS), manipulatie van gegevens, het omzeilen van beveiligingsmaatregelen, (remote) code execution met root/admin rechten, toegang tot systeemgegevens en het verhogen van rechten.

Specifiek met betrekking tot de SIPORT Desktop Client Application, heeft Siemens aangegeven dat deze verouderd is en niet langer voldoet aan moderne beveiligingsmaatregelen. Het bedrijf zal geen nieuwe functionaliteiten meer toevoegen en stopt de ondersteuning voor de Desktop Client. Siemens adviseert gebruikers om over te stappen op de modernere web-management-omgeving. Om de risico's te minimaliseren tot de migratie is voltooid en de Desktop Clients zijn uitgefaseerd, heeft Siemens mitigerende maatregelen gepubliceerd in een Security Bulletin.

Voor een succesvolle exploitatie van de genoemde kwetsbaarheden is het noodzakelijk dat de kwaadwillende toegang heeft tot de productie-omgeving. Siemens benadrukt dat het een goede gewoonte is om een dergelijke omgeving niet publiek toegankelijk te maken.

Bron: Siemens

Microsoft heeft een reeks kwetsbaarheden verholpen in diverse Azure-componenten. Een kwaadwillende actor zou deze kwetsbaarheden kunnen misbruiken om zich voor te doen als een andere gebruiker, mogelijk verhoogde rechten te verkrijgen, willekeurige code uit te voeren of toegang te krijgen tot gevoelige gegevens.

De volgende kwetsbaarheden zijn geïdentificeerd en gecategoriseerd per Azure-component:

* **Azure Front Door (AFD):** CVE-2026-24300, met een CVSS-score van 9.80, maakt het mogelijk om verhoogde rechten te verkrijgen. Microsoft meldt dat deze kwetsbaarheid in hun centrale Azure-infrastructuur is verholpen en dat er geen actie van gebruikers vereist is.

* **Azure Function:** CVE-2026-21532, met een CVSS-score van 8.20, geeft toegang tot gevoelige gegevens. Microsoft meldt dat deze kwetsbaarheid in hun centrale Azure-infrastructuur is verholpen en dat er geen actie van gebruikers vereist is.

* **Azure HDInsights:** CVE-2026-21529, met een CVSS-score van 5.70, stelt een aanvaller in staat zich voor te doen als een andere gebruiker.

* **Azure Compute Gallery:** CVE-2026-23655 (CVSS 6.50) en CVE-2026-21522 (CVSS 6.70) bieden respectievelijk toegang tot gevoelige gegevens en het verkrijgen van verhoogde rechten.

* **Azure Local:** CVE-2026-21228, met een CVSS-score van 8.10, maakt het uitvoeren van willekeurige code mogelijk.

* **Azure Arc:** CVE-2026-24302, met een CVSS-score van 8.60, maakt het mogelijk om verhoogde rechten te verkrijgen. Microsoft meldt dat deze kwetsbaarheid in hun centrale Azure-infrastructuur is verholpen en dat er geen actie van gebruikers vereist is.

* **Azure IoT SDK:** CVE-2026-21528, met een CVSS-score van 6.50, biedt toegang tot gevoelige gegevens.

* **Azure DevOps Server:** CVE-2026-21512, met een CVSS-score van 6.50, stelt een aanvaller in staat zich voor te doen als een andere gebruiker.

* **Azure SDK:** CVE-2026-21531, met een CVSS-score van 9.80, maakt het uitvoeren van willekeurige code mogelijk.

Bron: NCSC

De Cybersecurity and Infrastructure Security Agency (CISA) heeft een ICS Advisory (ICSA-26-041-03) uitgebracht over kwetsbaarheden in AVEVA PI Data Archive. Deze kwetsbaarheden kunnen door kwaadwillenden worden misbruikt om systemen te compromitteren.

De advisory waarschuwt voor twee specifieke kwetsbaarheden: CVE-2026-25084 en CVE-2026-24789. CVE-2026-25084 betreft een kwetsbaarheid waarbij een aanvaller mogelijk ongeautoriseerde toegang kan krijgen tot gevoelige informatie. CVE-2026-24789 maakt het mogelijk voor een aanvaller om de integriteit van het systeem aan te tasten door ongeautoriseerde wijzigingen aan te brengen.

CISA adviseert gebruikers en beheerders om de aanbevolen mitigaties te implementeren om het risico op misbruik van deze kwetsbaarheden te minimaliseren. Deze mitigaties omvatten het toepassen van beschikbare patches en updates, het implementeren van sterke authenticatiemechanismen en het beperken van de netwerktoegang tot essentiële systemen.

Daarnaast benadrukt CISA het belang van het volgen van de "Secure by Design" principes en het gebruik van de beschikbare gratis cybersecurity services en tools. Organisaties worden aangemoedigd om cyberincidenten te melden bij CISA en gebruik te maken van de "Shields Up" resources voor extra bescherming. CISA vraagt gebruikers ook om deel te nemen aan een product survey om de dienstverlening te verbeteren.

De advisory bevat ook links naar andere ICS advisories betreffende Yokogawa FAST/TOOLS, AVEVA PI to CONNECT Agent en Mitsubishi Electric MELSEC iQ-R Series.

Bron: CISA | Bron 2: github.com | Bron 3: nvd.nist.gov | Bron 4: cwe.mitre.org

Microsoft heeft op 10 februari 2026 de cumulatieve updates KB5077181 en KB5075941 uitgebracht voor Windows 11 versies 25H2/24H2 en 23H2. Deze updates bevatten beveiligingspatches, bugfixes en nieuwe functies. De updates zijn verplicht en bevatten de beveiligingspatches van februari 2026 Patch Tuesday voor kwetsbaarheden die in voorgaande maanden zijn ontdekt. Gebruikers kunnen de update installeren via Start > Instellingen > Windows Update en klikken op 'Controleren op updates'. De update is ook handmatig te downloaden en te installeren via de Microsoft Update Catalogus.

Na installatie van de beveiligingsupdates wordt het buildnummer van Windows 11 25H2 (KB5077181) gewijzigd in Build 26200.7840 (of 26100.7840 voor 24H2), en 23H2 (KB5073455) in 226x1.6050.

De update bevat de volgende verbeteringen en bugfixes:

* Gaming: Een probleem opgelost dat de geschiktheid van apparaten voor de full-screen gaming experience bepaalde.

* Networking: Een probleem verholpen dat voorkwam dat sommige apparaten verbinding maakten met bepaalde WPA3-Personal Wi-Fi-netwerken. Dit probleem kon optreden na installatie van KB5074105.

* Secure Boot: Windows-kwaliteitsupdates bevatten nu een brede set targetingdata die apparaten identificeert en hun vermogen om nieuwe Secure Boot-certificaten te ontvangen.

* Cross Device Resume: De functionaliteit van Cross-Device Resume is uitgebreid. Gebruikers kunnen nu activiteiten van hun Android-telefoon op hun pc voortzetten, zoals Spotify-playback, werken in Word, Excel of PowerPoint, of een browsesessie voortzetten. Dit geldt voor Vivo Android-telefoon gebruikers die kunnen doorgaan met browsen vanaf Vivo Browser op hun pc. Gebruikers met een Android-telefoon van HONOR, OPPO, Samsung, vivo of Xiaomi kunnen online bestanden die ze in de Microsoft Copilot-app op hun telefoon hebben geopend, hervatten en op hun pc verder bewerken.

* Windows MIDI Services: Verbeterde MIDI-ondersteuning voor MIDI 1.0 en MIDI 2.0, inclusief WinMM en WinRT MIDI 1.0-ondersteuning met ingebouwde vertaling, gedeelde MIDI-poorten, aangepaste poortnamen, loopback en app-to-app MIDI, plus prestatieverbeteringen en bugfixes.

* Narrator: Gebruikers hebben nu meer controle over hoe Narrator on-screen controls aankondigt.

* Settings: Het Device card is nu zichtbaar op de Settings home page, met belangrijke specificaties en gebruiksdetails voor de pc.

* Smart App Control: Smart App Control (SAC) kan nu worden in- of uitgeschakeld zonder een clean install.

* Voice Access: Een gestroomlijnde setup maakt het eenvoudiger om met Voice Access aan de slag te gaan.

* Voice Typing: De Wait time before acting setting in Voice Typing stelt gebruikers in staat om de vertraging aan te passen voordat een voice command wordt uitgevoerd.

* Windows Hello: Windows Hello Enhanced Sign-in Security (ESS) ondersteunt nu peripheral fingerprint sensors.

Microsoft is niet op de hoogte van nieuwe problemen met deze Patch Tuesday.

Bron: Microsoft

Microsoft heeft updates uitgebracht om meer dan 50 beveiligingslekken in Windows en andere software te verhelpen, waaronder patches voor zes zero-day kwetsbaarheden die al actief worden misbruikt.

Een van de zero-days is CVE-2026-21510, een beveiligingslek in Windows Shell waarbij een enkele klik op een kwaadaardige link Windows-beveiligingen kan omzeilen en inhoud kan uitvoeren zonder waarschuwing of toestemming. CVE-2026-21510 treft alle ondersteunde versies van Windows.

CVE-2026-21513 is een security bypass bug in MSHTML, de engine van de standaard webbrowser in Windows. CVE-2026-21514 is een gerelateerde security feature bypass in Microsoft Word.

De zero-day CVE-2026-21533 stelt lokale aanvallers in staat hun gebruikersrechten te verhogen naar "SYSTEM"-niveau in Windows Remote Desktop Services.

CVE-2026-21519 is een zero-day privilege escalation in Desktop Window Manager (DWM), een onderdeel van Windows dat vensters op het scherm organiseert. Microsoft loste vorige maand al een ander zero-day probleem in DWM op.

De zesde zero-day is CVE-2026-21525, een denial-of-service kwetsbaarheid in de Windows Remote Access Connection Manager, de service die VPN-verbindingen met bedrijfsnetwerken onderhoudt.

Chris Goettl van Ivanti merkt op dat Microsoft sinds de Patch Tuesday van januari al meerdere out-of-band beveiligingsupdates heeft uitgebracht. Op 17 januari loste Microsoft een probleem op met een credential prompt failure bij het maken van verbinding met remote desktop of remote applicaties. Op 26 januari patchte Microsoft een zero-day security feature bypass (CVE-2026-21509) in Microsoft Office.

Kev Breen van Immersive meldt dat de Patch Tuesday van deze maand fixes bevat voor remote code execution kwetsbaarheden in GitHub Copilot en meerdere integrated development environments (IDEs), waaronder VS Code, Visual Studio en JetBrains producten. Het gaat om CVE-2026-21516, CVE-2026-21523 en CVE-2026-21256. Volgens Breen komen de AI-kwetsbaarheden die Microsoft deze maand heeft gepatcht voort uit een command injection flaw die kan worden getriggerd door prompt injection, waarbij de AI-agent wordt misleid om iets te doen wat niet de bedoeling is, zoals het uitvoeren van kwaadaardige code of commando's.

“Developers are high-value targets for threat actors, as they often have access to sensitive data such as API keys and secrets that function as keys to critical infrastructure, including privileged AWS or Azure API keys,” aldus Breen. "When organizations enable developers and automation pipelines to use LLMs and agentic AI, a malicious prompt can have significant impact. This does not mean organizations should stop using AI. It does mean developers should understand the risks, teams should clearly identify which systems and workflows have access to AI agents, and least-privilege principles should be applied to limit the blast radius if developer secrets are compromised.”

Het SANS Internet Storm Center heeft een overzicht van elke individuele fix van Microsoft, geïndexeerd op basis van ernst en CVSS-score. Windows-beheerders wordt aangeraden askwoody.com in de gaten te houden voor informatie over updates.

Bron: Microsoft

Microsoft heeft een reeks beveiligingslekken in verschillende componenten van Windows verholpen. Deze kwetsbaarheden kunnen door kwaadwillenden worden misbruikt om diverse soorten aanvallen uit te voeren, waaronder denial-of-service (DoS), manipulatie van gegevens, toegang tot gevoelige gegevens, het uitvoeren van willekeurige code met gebruikersrechten, het verkrijgen van verhoogde rechten, het omzeilen van beveiligingsmaatregelen en spoofing.

Een overzicht van de kwetsbaarheden per component:

* **Desktop Window Manager:** CVE-2026-21519 (CVSS 7.80) maakt het mogelijk om verhoogde rechten te verkrijgen.

* **Mailslot File System:** CVE-2026-21253 (CVSS 7.00) maakt het mogelijk om verhoogde rechten te verkrijgen.

* **Windows LDAP (Lightweight Directory Access Protocol):** CVE-2026-21243 (CVSS 7.50) kan leiden tot een Denial-of-Service.

* **Windows Kernel:** CVE-2026-21245 (CVSS 7.80), CVE-2026-21239 (CVSS 7.80), CVE-2026-21231 (CVSS 7.80) maken het mogelijk om verhoogde rechten te verkrijgen. CVE-2026-21222 (CVSS 5.50) geeft toegang tot gevoelige gegevens.

* **Windows Remote Desktop:** CVE-2026-21533 (CVSS 7.80) maakt het mogelijk om verhoogde rechten te verkrijgen.

* **Windows Remote Access Connection Manager:** CVE-2026-21525 (CVSS 6.20) kan leiden tot een Denial-of-Service.

* **Windows Shell:** CVE-2026-21510 (CVSS 8.80) maakt het mogelijk om een beveiligingsmaatregel te omzeilen.

* **Role: Windows Hyper-V:** CVE-2026-21248 (CVSS 7.30), CVE-2026-21247 (CVSS 7.30), CVE-2026-21244 (CVSS 7.30) maken het mogelijk om willekeurige code uit te voeren. CVE-2026-21255 (CVSS 8.80) maakt het mogelijk om een beveiligingsmaatregel te omzeilen.

* **Windows Win32K - GRFX:** CVE-2023-2804 (CVSS 6.50) maakt het mogelijk om willekeurige code uit te voeren.

* **Windows Cluster Client Failover:** CVE-2026-21251 (CVSS 7.80) maakt het mogelijk om verhoogde rechten te verkrijgen.

* **Windows HTTP.sys:** CVE-2026-21250 (CVSS 7.80), CVE-2026-21240 (CVSS 7.80), CVE-2026-21232 (CVSS 7.80) maken het mogelijk om verhoogde rechten te verkrijgen.

* **Windows Connected Devices Platform Service:** CVE-2026-21234 (CVSS 7.00) maakt het mogelijk om verhoogde rechten te verkrijgen.

* **Windows GDI+:** CVE-2026-20846 (CVSS 7.50) kan leiden tot een Denial-of-Service.

* **Windows App for Mac:** CVE-2026-21517 (CVSS 7.00) maakt het mogelijk om verhoogde rechten te verkrijgen.

* **Windows NTLM:** CVE-2026-21249 (CVSS 3.30) maakt het mogelijk om zich voor te doen als een andere gebruiker (spoofing).

* **Windows Ancillary Function Driver for WinSock:** CVE-2026-21236 (CVSS 7.80), CVE-2026-21241 (CVSS 7.00), CVE-2026-21238 (CVSS 7.80) maken het mogelijk om verhoogde rechten te verkrijgen.

* **Internet Explorer:** CVE-2026-21513 (CVSS 8.80) maakt het mogelijk om een beveiligingsmaatregel te omzeilen.

* **Windows Storage:** CVE-2026-21508 (CVSS 7.00) maakt het mogelijk om verhoogde rechten te verkrijgen.

* **Windows Subsystem for Linux:** CVE-2026-21242 (CVSS 7.00), CVE-2026-21237 (CVSS 7.00) maken het mogelijk om verhoogde rechten te verkrijgen.

* **Microsoft Graphics Component:** CVE-2026-21246 (CVSS 7.80) maakt het mogelijk om verhoogde rechten te verkrijgen. CVE-2026-21235 (CVSS 7.30) maakt het mogelijk om verhoogde rechten te verkrijgen.

Het wordt aanbevolen om de beschikbare updates van Microsoft zo snel mogelijk te installeren om de risico's te minimaliseren.

Bron: NCSC

Op Microsoft's Patch Tuesday van februari 2026 zijn er beveiligingsupdates uitgebracht voor 58 kwetsbaarheden, waaronder 6 actief geëxploiteerde en 3 openbaar bekende zero-day kwetsbaarheden. Deze Patch Tuesday dicht ook vijf "kritieke" kwetsbaarheden, waarvan 3 elevation of privileges-fouten en 2 information disclosure-fouten.

Microsoft is ook begonnen met het uitrollen van bijgewerkte Secure Boot-certificaten ter vervanging van de originele certificaten uit 2011 die eind juni 2026 verlopen. Windows-kwaliteitsupdates bevatten een brede set targetingdata die apparaten en hun vermogen om nieuwe Secure Boot-certificaten te ontvangen identificeert. Apparaten ontvangen de nieuwe certificaten pas nadat ze voldoende succesvolle update-signalen hebben laten zien, wat een veilige en gefaseerde uitrol garandeert.

De zes actief geëxploiteerde zero-days zijn:

* CVE-2026-21510 - Windows Shell Security Feature Bypass Vulnerability: Een aanvaller moet een gebruiker overtuigen om een kwaadaardige link of shortcut-bestand te openen om deze kwetsbaarheid te misbruiken. Een aanvaller kan Windows SmartScreen en Windows Shell-beveiligingsprompts omzeilen door onjuiste verwerking in Windows Shell-componenten te exploiteren, waardoor door de aanvaller gecontroleerde inhoud kan worden uitgevoerd zonder waarschuwing of toestemming van de gebruiker. De ontdekking van de fout is toegeschreven aan Microsoft Threat Intelligence Center (MSTIC), Microsoft Security Response Center (MSRC), Office Product Group Security Team, Google Threat Intelligence Group en een anonieme onderzoeker.

* CVE-2026-21513 - MSHTML Framework Security Feature Bypass Vulnerability: Een beschermingsmechanisme in MSHTML Framework staat een ongeautoriseerde aanvaller toe om een beveiligingsfunctie via een netwerk te omzeilen. De ontdekking van de fout is toegeschreven aan Microsoft Threat Intelligence Center (MSTIC), Microsoft Security Response Center (MSRC), Office Product Group Security Team en Google Threat Intelligence Group.

* CVE-2026-21514 - Microsoft Word Security Feature Bypass Vulnerability: Een aanvaller moet een gebruiker een kwaadaardig Office-bestand sturen en hen overtuigen om het te openen. Deze update adresseert een kwetsbaarheid die OLE-mitigaties in Microsoft 365 en Microsoft Office omzeilt die gebruikers beschermen tegen kwetsbare COM/OLE-besturingselementen. De fout kan niet worden misbruikt in het Office Preview Pane. De ontdekking van de fout is toegeschreven aan Microsoft Threat Intelligence Center (MSTIC), Microsoft Security Response Center (MSRC), Office Product Group Security Team, Google Threat Intelligence Group en een anonieme onderzoeker.

* CVE-2026-21519 - Desktop Window Manager Elevation of Privilege Vulnerability: Een aanvaller die deze kwetsbaarheid met succes exploiteert, kan SYSTEM-privileges verkrijgen. De ontdekking van de fout is toegeschreven aan Microsoft Threat Intelligence Center (MSTIC) & Microsoft Security Response Center (MSRC).

* CVE-2026-21525 - Windows Remote Access Connection Manager Denial of Service Vulnerability: Null pointer dereference in Windows Remote Access Connection Manager staat een ongeautoriseerde aanvaller toe om de service lokaal te ontzeggen. De ontdekking van de fout is toegeschreven aan het ACROS Security team met 0patch. ACROS CEO Mitja Kolsek vertelde dat het exploit werd gevonden in een openbare malware repository.

* CVE-2026-21533 - Windows Remote Desktop Services Elevation of Privilege Vulnerability: Onjuist privilegebeheer in Windows Remote Desktop staat een geautoriseerde aanvaller toe om lokaal privileges te escaleren. Het exploit binair wijzigt een serviceconfiguratiesleutel, waarbij deze wordt vervangen door een door de aanvaller gecontroleerde sleutel, waardoor tegenstanders privileges kunnen escaleren om een nieuwe gebruiker toe te voegen aan de Administrator-groep. De ontdekking van de fout is toegeschreven aan het Advanced Research Team bij CrowdStrike.

Andere leveranciers die in februari 2026 updates of adviezen hebben uitgebracht, zijn onder meer: Adobe, BeyondTrust, CISA, Cisco, Fortinet, Google, n8n en SAP.

Bron: Microsoft | Bron 2: sec.cloudapps.cisco.com

Microsoft heeft op 10 februari 2026 de Windows 10 KB5075912 extended security update uitgebracht. Deze update verhelpt de kwetsbaarheden die zijn gedicht tijdens Patch Tuesday van februari 2026, waaronder zes zero-days, en zet de uitrol voort van vervangingen voor verlopen Secure Boot-certificaten.

De update kan geïnstalleerd worden via Settings > Windows Update, waarna handmatig op 'Check for Updates' geklikt moet worden. Na installatie wordt Windows 10 bijgewerkt naar build 19045.6937 en Windows 10 Enterprise LTSC 2021 naar build 19044.6937.

KB5075912 bevat uitsluitend beveiligingsfixes en bugfixes die door eerdere beveiligingsupdates zijn geïntroduceerd. Microsoft heeft in de Patch Tuesday van februari 2026 in totaal 58 kwetsbaarheden verholpen, waaronder zes actief geëxploiteerde zero-day flaws.

KB5075912 verhelpt ook een bekend probleem dat ervoor zorgde dat Windows 10-apparaten niet konden worden afgesloten of in de slaapstand gezet als System Guard Secure Launch was ingeschakeld.

De update bevat verder de volgende fixes:

* Chinese fonts zijn aangepast om te voldoen aan GB18030-2022A compliance.

* Een probleem is verholpen waarbij Secure Launch-compatibele pc's met Virtual Secure Mode (VSM) niet konden worden afgesloten of in de slaapstand gezet na de Windows-beveiligingsupdate van 13 januari 2026. In plaats daarvan werd het apparaat opnieuw opgestart.

* Een probleem is verholpen dat van invloed was op het hernoemen van mappen met desktop.ini-bestanden in File Explorer. De LocalizedResourceName-instelling werd genegeerd, waardoor aangepaste mapnamen niet werden weergegeven.

* Een stabiliteitsprobleem dat bepaalde grafische processing units (GPU's) configuraties beïnvloedde, is verholpen.

* Windows-kwaliteitsupdates bevatten een breed scala aan targetinggegevens die apparaten identificeren en hun vermogen om nieuwe Secure Boot-certificaten te ontvangen. Apparaten ontvangen de nieuwe certificaten pas nadat ze voldoende succesvolle updatesignalen hebben laten zien, wat helpt om een veilige en gefaseerde uitrol te garanderen.

Microsoft waarschuwde al in juni 2025 dat meerdere Windows Secure Boot-certificaten uit 2011 in juni 2026 zouden verlopen. Als deze niet worden bijgewerkt, zou dit de Secure Boot-beveiligingen schenden. Deze certificaten worden gebruikt om Windows-bootcomponenten, bootloaders van derden en Secure Boot-intrekkingupdates te valideren. Indien verlopen, zouden ze dreigingsactoren in staat kunnen stellen om beveiligingsmaatregelen te omzeilen. Microsoft blijft de nieuwe Secure Boot-certificaten uitrollen naar gerichte systemen.

Microsoft geeft aan dat er geen bekende problemen zijn met deze update.

Bron: Microsoft

Microsoft heeft CVE-2026-21533 gepatcht, een zero-day privilege escalatie kwetsbaarheid in Windows Remote Desktop Services (RDS). Aanvallers misbruiken deze kwetsbaarheid actief om toegang te krijgen tot SYSTEM-level privileges. De kwetsbaarheid, die voortkomt uit incorrect privilege management, is verholpen middels de Patch Tuesday updates van februari 2026, uitgebracht op 10 februari.

CVE-2026-21533 heeft een CVSS v3.1 base score van 7.8 (Hoog), met een lokaal aanvalsvector, lage complexiteit en lage vereiste privileges. Er is geen gebruikersinteractie vereist en de scope is ongewijzigd, wat een hoge impact heeft op vertrouwelijkheid, integriteit en beschikbaarheid. Microsoft classificeert het als "Belangrijk", waarbij wordt opgemerkt dat exploitatie functioneel is en er een officiële fix beschikbaar is.

De kwetsbaarheid ontstaat door gebrekkige privilege handling in RDS componenten. CrowdStrike heeft een exploit binary waargenomen die een service configuratie registry key aanpast en vervangt door een door de aanvaller gecontroleerde key. Deze wijziging maakt privilege escalatie mogelijk, zoals het toevoegen van een nieuwe gebruiker aan de Administrators groep, waardoor volledige SYSTEM privileges worden verkregen. Aanvallers hebben initieel low-privileged lokale toegang nodig, waardoor het ideaal is voor post-exploitatie in RDP omgevingen.

Adam Meyers, Head of Counter Adversary Operations bij CrowdStrike, waarschuwt dat dreigingsactoren die de exploit binaries bezitten, waarschijnlijk hun pogingen om CVE-2026-21533 te gebruiken of te verkopen op korte termijn zullen versnellen. Er is nog geen specifieke adversary attribution, maar RDS systemen zijn belangrijke laterale bewegingsdoelen.

De kwetsbaarheid treft diverse Windows versies, voornamelijk servers waarop RDS is ingeschakeld. Andere getroffen versies zijn Windows Server 2012, Windows 10 21H2/1607/1809 en Windows 11 25H2/26H1.

Microsoft adviseert om direct de Monthly Rollup of Security Updates te implementeren via Windows Update of de Microsoft Update Catalog. Voor Server Core installaties zorgen targeted KBs voor compatibiliteit. Controleer de builds na installatie, bijvoorbeeld 10.0.26100.32370 voor Windows Server 2025.

Indien RDS niet wordt gebruikt, schakel het dan uit; beperk de toegang tot vertrouwde netwerken. Forceer least privilege; monitor registry wijzigingen in RDS services. Implementeer EDR voor afwijkende privilege escalaties. Test patches in staging omgevingen vanwege de gevoeligheid van RDS.

Deze zero-day benadrukt de aanhoudende risico's in legacy Windows deployments, te midden van Patch Tuesday's 55 kwetsbaarheden, waaronder vijf andere misbruikte problemen. Organisaties zouden RDS hardening moeten prioriteren om post-breach escalatie te voorkomen.

Bron: CrowdStrike

Er is een kritieke beveiligingsupdate uitgebracht voor zowel de Community Edition (CE) als de Enterprise Edition (EE) van GitLab om meerdere kwetsbaarheden met een hoge impact aan te pakken. De patches zijn beschikbaar in de versies 18.8.4, 18.7.4 en 18.6.6 en verhelpen fouten die aanvallers in staat kunnen stellen om servers te laten crashen, gegevens te stelen of gebruikerssessies te kapen. Security experts adviseren beheerders van self-managed instances om onmiddellijk te upgraden, en merken op dat GitLab.com al is gepatcht.

De ernstigste kwetsbaarheid, geregistreerd als CVE-2025-7659 (CVSS 8.0), bevindt zich in de Web IDE. Deze fout houdt verband met "incomplete validation", wat betekent dat het systeem niet goed controleert wie toegang heeft tot bepaalde gegevens. Een niet-geauthenticeerde aanvaller, iemand zonder gebruikersnaam of wachtwoord, zou dit kunnen misbruiken om toegangstokens te stelen en private software repositories te bekijken.

De update verhelpt ook twee gevaarlijke Denial-of-Service (DoS) problemen. Bij een DoS-aanval probeert een hacker een systeem te overweldigen om het offline te halen. CVE-2025-8099 (CVSS 7.5) stelt aanvallers in staat om de service te laten crashen door herhaalde, complexe queries naar de GraphQL interface te sturen. CVE-2026-0958 (CVSS 7.5) maakt misbruik van de JSON validation middleware, waardoor aanvallers het geheugen of de CPU van de server kunnen uitputten.

Een andere belangrijke fix betreft CVE-2025-14560 (CVSS 7.3), een Cross-Site Scripting (XSS) kwetsbaarheid in de "Code Flow" functie. XSS-fouten stellen aanvallers in staat om kwaadaardige scripts in te voegen in vertrouwde websites. In dit geval kan een aanvaller code verbergen die wordt uitgevoerd wanneer een andere gebruiker deze bekijkt, waardoor diegene mogelijk acties kan uitvoeren namens dat slachtoffer.

GitLab adviseert alle klanten die getroffen versies gebruiken ten zeerste om onmiddellijk te upgraden naar de nieuwste patch. Hoewel de update deze kritieke problemen verhelpt, worden ook verschillende bugs met een gemiddelde impact aangepakt, waaronder Server-Side Request Forgery (SSRF) en HTML injection flaws. Beheerders moeten er rekening mee houden dat het upgraden van single-node instances mogelijk korte downtime vereist voor database migraties.

Bron: GitLab

Microsoft heeft een kritieke remote code execution (RCE) kwetsbaarheid in de Windows Notepad app gepatcht, geregistreerd als CVE-2026-20841. Deze kwetsbaarheid stelt aanvallers in staat om kwaadaardige code uit te voeren op de machines van slachtoffers.

De kwetsbaarheid, die op 10 februari 2026 werd onthuld als onderdeel van Microsofts Patch Tuesday updates, is het gevolg van onjuiste neutralisatie van speciale elementen in commando's (CWE-77: Command Injection) en heeft een CVSS v3.1 basis score van 8.8/10, wat als "Belangrijk" wordt beoordeeld.

Het probleem treft de moderne Windows Notepad app, die beschikbaar is via de Microsoft Store. Een niet-geautoriseerde aanvaller kan dit via een netwerk misbruiken door gebruikers te misleiden een geïnfecteerd Markdown (.md) bestand te openen.

Zodra het bestand is geladen, vraagt een kwaadaardige link in het bestand de app om ongeverifieerde protocollen te verwerken. Het klikken op de link triggert Notepad om bestanden op afstand op te halen en uit te voeren, waarbij willekeurige commando's worden geïnjecteerd zonder de juiste opschoning.

Aanvallers maken Markdown-bestanden met hyperlinks die gebruikmaken van aangepaste schema's (bijvoorbeeld het nabootsen van veilige protocollen, maar verwijzend naar door de aanvaller gecontroleerde servers). Wanneer een gebruiker het bestand in Notepad opent en op de link klikt, verwerkt de app deze naïef, wat leidt tot command injection.

De payload wordt uitgevoerd in de beveiligingscontext van de ingelogde gebruiker, waardoor aanvallers dezelfde privileges krijgen – van toegang tot bestanden tot privilege escalation als de gebruiker beheerdersrechten heeft.

De patch is uitgerold via de Microsoft Store voor Notepad (build 11.2510+), met volledige release notes en een directe link naar de beveiligingsupdate. Gebruikers moeten handmatig updaten of automatische updates inschakelen, aangezien dit een actie is die de klant zelf moet uitvoeren. Microsoft crediteert de onafhankelijke onderzoekers Delta Obscura (delta.cyberm.ca) en "chen" voor de gecoördineerde openbaarmaking.

Deze kwetsbaarheid onderstreept de risico's in alledaagse apps die rich text verwerken, zoals Markdown, vooral nu Notepad evolueert van een basis editor naar een tool met veel functies. Hoewel de legacy Notepad.exe niet wordt beïnvloed, vergroot de populariteit van de Store-versie de exposure.

Het wordt aanbevolen Notepad onmiddellijk bij te werken vanuit de Microsoft Store, automatische app-updates in te schakelen in Windows Instellingen, het vermijden van het openen van niet-vertrouwde Markdown-bestanden of het klikken op links daarin, en het gebruik van een antivirus met gedragsgebaseerde detectie voor afwijkende protocol handlers.

Bron: Microsoft

Ivanti heeft beveiligingsupdates uitgebracht om kwetsbaarheden in Ivanti Endpoint Manager te verhelpen. Deze updates zijn specifiek bedoeld voor versies van vóór 2024 SU5. De eerste kwetsbaarheid, aangeduid als CVE-2026-1603, is een authenticatie-bypass. Deze bypass stelt externe, niet-geauthenticeerde aanvallers in staat om toegang te krijgen tot bepaalde opgeslagen inloggegevens. Succesvolle exploitatie van dit lek kan leiden tot de compromittering van gevoelige data binnen het systeem.

De tweede kwetsbaarheid, met kenmerk CVE-2026-1602, betreft een SQL-injectie. Deze kwetsbaarheid maakt het mogelijk voor externe, geauthenticeerde aanvallers om willekeurige SQL-query's uit te voeren. Dit kan resulteren in ongeautoriseerde toegang tot gevoelige database-informatie. Het misbruiken van deze kwetsbaarheid kan de integriteit en vertrouwelijkheid van de gegevens in het systeem ernstig aantasten.

Het Nationaal Cyber Security Centrum (NCSC) adviseert gebruikers van Ivanti Endpoint Manager om de beschikbare updates zo snel mogelijk te installeren. Door het uitvoeren van deze updates wordt het risico op misbruik van de genoemde kwetsbaarheden aanzienlijk verminderd. Het is cruciaal voor organisaties om hun systemen up-to-date te houden en beveiligingspatches tijdig te implementeren om de integriteit en vertrouwelijkheid van hun data te waarborgen.

Bron: NCSC

Microsoft heeft een zero-day kwetsbaarheid gepatcht in de Windows Remote Access Connection Manager (RasMan) service, aangeduid als CVE-2026-21525. Deze kwetsbaarheid stelde aanvallers in staat om denial-of-service (DoS) aanvallen uit te voeren op systemen waarop de patch niet was geïnstalleerd.

De kwetsbaarheid, die voortkomt uit een NULL pointer dereference (CWE-476), werd actief misbruikt voordat deze openbaar werd gemaakt, wat Microsoft ertoe aanzette om de kwetsbaarheid de beoordeling "Exploitation Detected" te geven.

RasMan, een essentieel Windows-onderdeel voor het beheer van remote access verbindingen zoals VPN's en dial-up, crasht bij het verwerken van corrupte data als gevolg van onjuiste NULL pointer validatie. Een niet-geautoriseerde lokale aanvaller heeft slechts lokale toegang nodig en geen verhoogde privileges of gebruikersinteractie om crafted input te versturen, waardoor de service een NULL pointer dereferenceert en stopt.

Dit resulteert in een hoge impact op de beschikbaarheid, waarbij de service in sommige gevallen niet automatisch opnieuw opstart, waardoor remote connectivity voor gebruikers en servers wordt onderbroken.

Aanvallers misbruiken RasMan door een kwetsbaar code pad in rascustom.dll of gerelateerde modules te triggeren tijdens de connection negotiation. Een eenvoudig lokaal script of binair bestand kan de service overspoelen met ongeldige packets, waardoor niet-geïnitialiseerde pointers worden gederefenceerd. Hoewel proof-of-concept code publiekelijk nog niet is bewezen (E:U), hebben onderzoekers van 0patch bevestigd dat de kwetsbaarheid in de praktijk wordt misbruikt.

De Patch Tuesday van februari 2026 (uitgebracht op 10 februari) verhelpt het probleem in:

* Windows 11 26H1 (x64/ARM64): KB5077179, build 10.0.28000.1575

* Windows Server 2012 R2 (Core/Full): KB5075970, build 6.3.9600.23022

* Windows Server 2012 (Core): KB5075971, build 6.2.9200.25923

Microsoft adviseert onmiddellijk te patchen via Windows Update of de Microsoft Update Catalog. Controleer de support lifecycles voor oudere besturingssystemen.

Het 0patch vulnerability research team, in samenwerking met 0patch by ACROS Security (0patch.com), ontdekte en meldde de kwetsbaarheid via coordinated disclosure. Microsoft vermeldt hen in de acknowledgements.

Organisaties moeten prioriteit geven aan RasMan-exposed endpoints, automatische updates inschakelen en monitoren op ongebruikelijke service crashes. Hoewel de aanval alleen lokaal kan worden uitgevoerd, vergroten insider threats of initiële footholds (bijvoorbeeld via phishing) de exposure. Er zijn geen workarounds anders dan het uitschakelen van RasMan, wat remote access verbreekt.

Bron: Microsoft

Microsoft heeft tijdens de Patch Tuesday-update van februari een kritieke zero-day kwetsbaarheid in Windows Shell verholpen, die actief wordt misbruikt. De kwetsbaarheid, aangeduid als CVE-2026-21510, maakt het voor aanvallers mogelijk om essentiële beveiligingsmechanismen te omzeilen.

De kwetsbaarheid is geclassificeerd als een "Security Feature Bypass" met een CVSS-score van 8.8 (Belangrijk). Het probleem zit in de manier waarop Windows Shell bepaalde bestandstypen verwerkt. Normaal gesproken gebruikt Windows functies zoals SmartScreen en gebruikersprompts om te waarschuwen voordat potentieel gevaarlijke bestanden van het internet worden uitgevoerd, een concept dat bekend staat als de "Mark of the Web".

Door CVE-2026-21510 te misbruiken, kunnen aanvallers speciaal ontworpen bestanden (zoals kwaadaardige shortcuts of links) maken die deze controles volledig omzeilen. Als een gebruiker wordt misleid om op zo'n link te klikken, kan de kwaadaardige code van de aanvaller onmiddellijk worden uitgevoerd zonder waarschuwingsdialogen of toestemmingsprompts. Dit omzeilt effectief de "authenticatie"-stap, waarbij de gebruiker de uitvoering van niet-vertrouwde software goedkeurt.

De kwetsbaarheid treft een breed scala aan Microsoft-producten, waaronder zowel moderne als oudere systemen. Volgens de releasegegevens omvatten de kwetsbare versies: [De bron specificeert geen exacte versies, dus deze informatie kan niet worden toegevoegd]. Microsoft heeft bevestigd dat deze kwetsbaarheid het mogelijk maakt om ongeautoriseerde content uit te voeren alsof deze vertrouwd is.

Omdat deze kwetsbaarheid actief wordt misbruikt (een zero-day), wordt aangeraden systemen onmiddellijk te patchen. Gebruikers kunnen updaten via Instellingen > Windows Update en controleren op updates die zijn uitgebracht op 10 februari 2026. Daarnaast wordt aangeraden extra voorzichtig te zijn bij het klikken op links of het openen van shortcutbestanden van onbekende bronnen, zelfs als ze onschuldig lijken, totdat de patch is toegepast.

De ontdekking van deze kwetsbaarheid wordt toegeschreven aan onderzoekers van het Microsoft Threat Intelligence Center (MSTIC) en de Google Threat Intelligence Group.

Bron: Microsoft

Microsoft heeft een reeks kwetsbaarheden verholpen in verschillende componenten van Visual Studio en .NET. Deze kwetsbaarheden kunnen door een kwaadwillende worden misbruikt om beveiligingsmaatregelen te omzeilen, verhoogde rechten te verkrijgen en mogelijk willekeurige code uit te voeren met de rechten van het slachtoffer.

De kwetsbaarheden betreffen onder andere GitHub Copilot and Visual Studio (CVE-2026-21523, CVE-2026-21257, CVE-2026-21256), GitHub Copilot and Visual Studio Code (CVE-2026-21518), .NET and Visual Studio (CVE-2026-21218) en Github Copilot (CVE-2026-21516). De CVSS-scores variëren van 6.50 tot 8.80. De impact van de kwetsbaarheden omvat het uitvoeren van willekeurige code, het verkrijgen van verhoogde rechten, het zich voordoen als een andere gebruiker en het omzeilen van een beveiligingsmaatregel.

Voor een succesvolle exploitatie van deze kwetsbaarheden is het noodzakelijk dat de aanvaller het slachtoffer overtuigt om kwaadaardige code te downloaden en uit te voeren. Aangezien ontwikkelaars in ontwikkelomgevingen vaak met verhoogde rechten werken, is het niet uit te sluiten dat de uitvoering van de code eveneens met verhoogde rechten plaatsvindt.

Bron: NCSC

Op patchdinsdag van februari heeft Microsoft updates uitgebracht om zes actief aangevallen kwetsbaarheden in Word, Windows en Internet Explorer te verhelpen. De aanvallen vonden plaats voordat de patches beschikbaar waren. De beveiligingslekken stellen aanvallers in staat om beveiligingsmaatregelen te omzeilen, hun rechten te verhogen en een denial of service te veroorzaken.

Drie van de kwetsbaarheden vallen in de categorie 'Security Feature Bypass'. Het gaat om CVE-2026-21514 (Microsoft Word), CVE-2026-21510 (Windows Shell) en CVE-2026-21513 (Internet Explorer). De problemen werden gevonden door onderzoekers van Google en Microsoft. Via het Word-lek kan een aanvaller de bescherming tegen embedded content omzeilen, wat in het ergste geval kan leiden tot het uitvoeren van code. Een doelwit zou in dit geval wel een speciaal geprepareerd document moeten openen.

Het Windows Shell-lek maakt het mogelijk voor aanvallers om beveiligingswaarschuwingen van Windows SmartScreen en Windows Shell te omzeilen als het doelwit een malafide bestand opent. Hierdoor wordt code van de aanvaller uitgevoerd, zonder waarschuwing aan de gebruiker of zijn toestemming. Het lek in Internet Explorer is te misbruiken door het openen van malafide .lnk-bestanden. Ook hierbij worden security features van Windows omzeild, wat leidt tot het uitvoeren van code.

Dustin Childs van securitybedrijf ZDI merkt op dat hoewel Internet Explorer volgens veel maatstaven al lang niet meer bestaat, het nog steeds aanwezig is op Windows-systemen en het aanroepen ervan altijd tot een kwetsbaarheid leidt. Hij stelt dat deze kwetsbaarheid op dezelfde manier optreedt als het Shell-lek, omdat er interactie van gebruikers is vereist, maar kan leiden tot het uitvoeren van code. De bypass is de mogelijkheid om IE te bereiken, wat niet mogelijk zou moeten zijn.

Twee andere kwetsbaarheden, in Desktop Window Manager (CVE-2026-21519) en Windows Remote Desktop Services (CVE-2026-21533), maken het allebei mogelijk voor een aanvaller die al toegang tot een systeem heeft om zijn rechten te verhogen naar die van SYSTEM. Daarmee krijgt een aanvaller volledige controle over het systeem. Deze twee problemen werden gevonden door securitybedrijf CrowdStrike en Microsoft.

Het laatste aangevallen beveiligingslek bevindt zich in de Windows Remote Access Connection Manager (CVE-2026-21525) en maakt een denial of service mogelijk. Dit probleem werd gevonden en gerapporteerd door securitybedrijf ACROS Security. Microsoft geeft geen details over de waargenomen aanvallen. Informatie over de drie aangevallen security feature bypasses is echter al publiek. Organisaties worden opgeroepen de updates zo snel mogelijk te installeren. Op de meeste systemen worden de patches automatisch geïnstalleerd.

Bron: Microsoft

Microsoft heeft de maandelijkse beveiligingsupdate voor februari 2026 uitgebracht, die 59 kwetsbaarheden omvat. Twee daarvan zijn door Microsoft als "kritiek" bestempeld.

CVE-2026-21522 is een kritieke privilegeverhogingskwetsbaarheid in Microsoft ACI Confidential Containers. Een succesvolle exploitatie van deze kwetsbaarheid kan een geautoriseerde aanvaller in staat stellen om privileges op getroffen systemen te verhogen. Deze kwetsbaarheid wordt niet vermeld als openbaar bekendgemaakt en ontving een CVSS 3.1 score van 6.7.

CVE-2026-23655 is een kritieke informatielekkwetsbaarheid in Microsoft ACI Confidential Containers. Deze kwetsbaarheid kan een geautoriseerde aanvaller in staat stellen gevoelige informatie, waaronder geheime tokens en sleutels, openbaar te maken bij succesvolle exploitatie. Deze kwetsbaarheid wordt niet vermeld als openbaar bekendgemaakt en ontving een CVSS 3.1 score van 6.5.

Microsoft rapporteerde actieve exploitatie van vijf kwetsbaarheden die als "belangrijk" zijn beoordeeld, evenals één "gemiddelde" kwetsbaarheid, CVE-2026-21525, die ook actief werd geëxploiteerd. CVE-2026-21510, CVE-2026-21513 en CVE-2026-21514 zijn ook openbaar bekendgemaakt.

CVE-2026-21510 is een beveiligingsfunctie bypass kwetsbaarheid die Windows Shell treft. Succesvolle exploitatie kan een niet-geauthenticeerde aanvaller in staat stellen een beveiligingsfunctie op getroffen systemen te omzeilen. Deze kwetsbaarheid kan worden misbruikt door een gebruiker te overtuigen een kwaadaardige snelkoppeling of link te openen, waardoor Windows SmartScreen en Windows Shell beveiligingsprompts kunnen worden omzeild.

CVE-2026-21513 is een beveiligingsfunctie bypass kwetsbaarheid die het MSHTML Framework treft. Deze kwetsbaarheid kan worden misbruikt door een gebruiker te overtuigen een speciaal vervaardigd HTML- of LNK-bestand te openen, waardoor een aanvaller beveiligingsfuncties kan omzeilen en code kan uitvoeren. Deze kwetsbaarheid ontving een CVSS 3.1 score van 8.8.

CVE-2026-21514 treft Microsoft Office Word en is het gevolg van het vertrouwen op niet-vertrouwde input, waardoor een niet-geautoriseerde aanvaller lokaal beveiligingsmaatregelen kan omzeilen. Exploitatie vereist gebruikersinteractie, meestal door een gebruiker over te halen een kwaadaardig Office-document te openen, en kan OLE-mitigatiemechanismen omzeilen die zijn ontworpen om te beschermen tegen kwetsbare COM/OLE-besturingselementen.

CVE-2026-21519 is een type confusion kwetsbaarheid in de Desktop Window Manager die een geauthenticeerde aanvaller in staat stelt om lokaal privileges te verhogen, mogelijk met volledige SYSTEM-level toegang.

CVE-2026-21533 is een privilegeverhogingskwetsbaarheid die Windows Remote Desktop Services treft. Deze kwetsbaarheid is te wijten aan onjuist privilegebeheer en kan een aanvaller in staat stellen privileges op getroffen systemen te verhogen. Succesvolle exploitatie kan een aanvaller SYSTEM-level privileges op het systeem verlenen.

CVE-2026-21525 is een moderate denial-of-service kwetsbaarheid die Windows Remote Access Connection Manager treft. Deze kwetsbaarheid is te wijten aan een null pointer dereference die een niet-geautoriseerde aanvaller in staat kan stellen een denial-of-service conditie te creëren op getroffen systemen. Deze kwetsbaarheid is niet openbaar bekendgemaakt en ontving een CVSS 3.1 rating van 6.2.

Andere belangrijke kwetsbaarheden treffen Microsoft Azure, Notepad, diverse GitHub Copilot-componenten en Hyper-V.

CVE-2026-21228 is een improper certificate validation probleem in Azure Local dat een niet-geautoriseerde aanvaller in staat stelt code uit te voeren via het netwerk. Succesvolle exploitatie kan resulteren in een scope change, waardoor interactie met de applicaties en data van andere tenants mogelijk wordt. Een aanvaller kan deze fout misbruiken door onbeveiligde communicatie tussen de configurator applicatie en target systemen te onderscheppen, met antwoorden te knoeien om command injection met administratieve privileges te triggeren, en vervolgens Azure tokens uit applicatielogs te extraheren om laterale beweging binnen de cloudomgeving te faciliteren.

CVE-2026-20841 behandelt een RCE-kwetsbaarheid in Microsoft Notepad. Dit probleem kan een aanvaller in staat stellen een gebruiker te verleiden tot het klikken op een kwaadaardige link in een Markdown-bestand dat in Notepad is geopend, wat resulteert in de lancering van niet-vertrouwde protocollen die remote content downloaden en uitvoeren.

CVE-2026-21244 en CVE-2026-21248 treffen Windows Hyper-V en stellen niet-geautoriseerde aanvallers in staat om lokaal arbitrary code execution te bereiken. Exploitatie vereist lokale code execution, meestal door een gebruiker te overtuigen een kwaadaardig Office-bestand te openen.

Verschillende RCE-kwetsbaarheden werden ook geïdentificeerd in GitHub Copilot, waaronder CVE-2026-21516, CVE-2026-21523 en CVE-2026-21256.

CVE-2026-21516 is een lokaal exploiteerbare arbitrary code execution kwetsbaarheid in GitHub Copilot voor JetBrains, die code execution op het getroffen systeem vereist. Voor CVE-2026-21523 heeft Microsoft beperkte details verstrekt, behalve de vermelding van een network attack vector. CVE-2026-21256 is een command injection kwetsbaarheid veroorzaakt door onjuiste afhandeling van speciale tekens, waardoor niet-geautoriseerde remote code execution in GitHub Copilot en Visual Studio Code mogelijk is.

Talos brengt een nieuwe Snort ruleset uit die pogingen detecteert om sommige van deze kwetsbaarheden te misbruiken. Aanvullende regels kunnen op een latere datum worden uitgebracht, en de huidige regels kunnen worden gewijzigd in afwachting van aanvullende informatie. Cisco Security Firewall klanten wordt aangeraden de nieuwste update van hun ruleset te gebruiken door hun SRU bij te werken. Open-source Snort Subscriber Ruleset klanten kunnen up-to-date blijven door het nieuwste rule pack te downloaden dat te koop is op Snort.org.

Snort 2 regels die in deze release zijn opgenomen en die beschermen tegen de exploitatie van veel van deze kwetsbaarheden zijn: 65895-65900, 65902, 65903, 65906-65911, 65913, 65914, 65923, 65924. De volgende Snort 3 regels zijn ook beschikbaar: 301395-301403.

Bron: Cisco Talos | Bron 2: msrc.microsoft.com

De afgelopen 24 uur zijn diverse kritieke kwetsbaarheden trending op sociale media, waarbij de mate van belangstelling wordt gemeten aan de hand van een hype-score. De lijst wordt aangevoerd door CVE-2025-68947, een kwetsbaarheid in de NSecsoft NSecKrnl Windows driver met een score van 34. Deze fout stelt een lokale, geauthenticeerde aanvaller in staat om processen van andere gebruikers, inclusief SYSTEM, te beëindigen. Het betreft hier een zogeheten Bring Your Own Vulnerable Driver aanval die specifiek wordt ingezet door de Black Basta ransomware.

Een andere ernstige dreiging is CVE-2025-1974, onderdeel van IngressNightmare in de Ingress NGINX Controller voor Kubernetes. Ongeauthenticeerde toegang tot de admission controller maakt hierbij de injectie van willekeurige configuraties mogelijk, wat kan leiden tot code-executie en volledige overname van het cluster. Ook WinRAR wordt getroffen door een path traversal kwetsbaarheid, aangeduid als CVE-2025-8088. Deze kwetsbaarheid wordt actief misbruikt in phishing-aanvallen waarbij RomCom-malware wordt verspreid via kwaadaardige archieven die code uitvoeren, bijvoorbeeld door bestanden in de Startup-map te plaatsen.

BeyondTrust kampt met meerdere lekken in hun Remote Support en Privileged Remote Access oplossingen. CVE-2026-1731 betreft een pre-authentication remote code execution die OS command injection mogelijk maakt zonder gebruikersinteractie. Daarnaast is er CVE-2024-12356, een command injection kwetsbaarheid in versies vóór 24.3.1 die actief wordt misbruikt door ongeauthenticeerde aanvallers. Voor gebruikers van Gogs zijn er eveneens risico's: een onvolledige patch heeft geleid tot CVE-2025-64111, waarmee remote command execution mogelijk is, en CVE-2026-24135 stelt geauthenticeerde gebruikers in staat willekeurige bestanden op de server te verwijderen.

De lijst met actuele dreigingen wordt gecompleteerd door kwetsbaarheden in diverse frameworks en applicaties. In React Server Components is een kritieke ongeauthenticeerde remote code execution vastgesteld door onveilige deserialisatie. Apple's Image I/O framework bevat een out-of-bounds write fout die kan leiden tot geheugencorruptie of code-executie op iOS en macOS. Tot slot is in SolarWinds Web Help Desk een remote code execution kwetsbaarheid gevonden die een eerdere patch omzeilt.

Bron

Er is een ongekende toename van pogingen tot misbruik van CVE-2026-1281, een kritieke kwetsbaarheid in Ivanti Endpoint Manager Mobile (EPMM). Op 9 februari 2026 onthulden Shadowserver-scans meer dan 28.300 unieke bron-IP-adressen die probeerden de kwetsbaarheid te misbruiken. Dit is een van de grootste gecoördineerde aanvalscampagnes die dit jaar zijn waargenomen tegen enterprise mobile management infrastructuren.

CVE-2026-1281 is een pre-authentication code-injectie kwetsbaarheid met een CVSS-score van 9.8, waardoor aanvallers ongeauthenticeerde remote code execution kunnen uitvoeren op kwetsbare EPMM-instances. De kwetsbaarheid komt voort uit onjuiste invoer sanitatie in een Bash handler op het /mifs/c/appstore/fob/endpoint. Hierdoor kunnen aanvallers kwaadaardige payloads injecteren via URL-parameters en willekeurige commando's uitvoeren als de webserver gebruiker.

Analyse van de aanvalsinfrastructuur onthult een sterk geconcentreerde geografische spreiding, waarbij de Verenigde Staten goed zijn voor ongeveer 20.400 IP-adressen, wat 72% van alle waargenomen aanvalsbronnen vertegenwoordigt. Het Verenigd Koninkrijk staat op de tweede plaats met 3.800 bron-IP's, terwijl Rusland volgt met 1.900 adressen. Extra significante aanvalactiviteit is afkomstig van netwerken in Irak, Spanje, Polen, Frankrijk, Italië, Duitsland en Oekraïne, hoewel in aanzienlijk lagere volumes.

Security onderzoekers van GreyNoise en Defused hebben een geavanceerd component van deze exploitatiegolf geïdentificeerd: een vermoedelijke initial access broker heeft "sleeper" webshells ingezet op gecompromitteerde EPMM-instances. Meer dan 80% van de exploitatieactiviteit is terug te voeren op één enkel IP-adres dat opereert achter bulletproof hosting infrastructuur, wat duidt op een zeer gecoördineerde operatie die is ontworpen om permanente toegang te vestigen voor verdere exploitatie door andere dreigingsactoren. Deze vertraagde activeringsaanpak verschilt aanzienlijk van typische opportunistische aanvallen, omdat de backdoors slapend blijven tot ze worden geactiveerd voor specifieke operaties.

Aangezien EPMM mobiele apparaten, applicaties en content beheert in enterprise omgevingen, biedt succesvolle exploitatie aanvallers uitgebreide controle over de mobiele bedrijfsinfrastructuur. Dit omvat de mogelijkheid om extra payloads te implementeren op beheerde apparaten en laterale beweging binnen de doelnetwerken te faciliteren.

Ivanti heeft CVE-2026-1281 samen met CVE-2026-1340 voor het eerst bekendgemaakt op 29 januari 2026, waarbij het beperkte in-the-wild exploitatie tegen klantomgevingen erkende. De U.S. Cybersecurity and Infrastructure Security Agency (CISA) heeft CVE-2026-1281 onmiddellijk toegevoegd aan haar Known Exploited Vulnerabilities catalogus met een ongekende saneringstermijn van drie dagen, wat de ernst van de dreiging onderstreept.

De Shadowserver Foundation deelt actief IP-data van aanvallers via hun honeypot HTTP scanner events reporting systeem, met vulnerability_id gefilterd op CVE-2026-1281. Organisaties kunnen deze threat intelligence raadplegen om kwaadaardige bronadressen te identificeren en te blokkeren die exploitatie tegen hun infrastructuur proberen. Ivanti heeft tijdelijke RPM-patches uitgebracht voor getroffen versies, met een permanente fix gepland voor versie 12.8.0.0 in Q1 2026. Security teams die EPMM-implementaties beheren, moeten onmiddellijk beschikbare patches toepassen, monitoren op indicatoren van compromissen, waaronder onverwachte webshell artefacten, en toegangslogs controleren op verdachte verzoeken aan het kwetsbare endpoint.

Bron: GreyNoise en Defused | Bron 2: shadowserver.org

Microsoft heeft een urgente beveiligingspatch uitgebracht voor een kritieke zero-day kwetsbaarheid (CVE-2026-21513) in het MSHTML Framework. Deze kwetsbaarheid werd al actief misbruikt voordat er een fix beschikbaar was. Het lek stelt aanvallers in staat om Windows beveiligingsfuncties te omzeilen zonder verhoogde privileges, waardoor miljoenen systemen risico lopen.

CVE-2026-21513 is een beveiligingslek in Microsofts MSHTML Framework, de HTML rendering engine die in Windows besturingssystemen en diverse applicaties wordt gebruikt. De kwetsbaarheid is het gevolg van een falend beschermingsmechanisme, waardoor aanvallers de uitvoering van prompts kunnen omzeilen wanneer gebruikers interageren met kwaadaardige bestanden.

Het MSHTML Framework, ook bekend als Trident, is een browser engine die webpagina's en HTML-content rendert binnen applicaties op Windows systemen. Door deze diepe integratie kan de kwetsbaarheid een breed scala aan systemen en gebruikers binnen bedrijfsomgevingen treffen.

Exploitatie vereist social engineering, waarbij aanvallers slachtoffers overtuigen om speciaal ontworpen HTML-bestanden of kwaadaardige shortcut (.lnk) bestanden te openen. Deze bestanden kunnen via verschillende vectoren worden verspreid, waaronder e-mailbijlagen, kwaadaardige links of downloads. Eenmaal geopend, omzeilt het bestand stilzwijgend Windows beveiligingsprompts en activeert het gevaarlijke acties met een enkele klik.

De kwetsbaarheid manipuleert de manier waarop Windows Shell en MSHTML embedded content verwerken, waardoor het besturingssysteem content kan verwerken en uitvoeren zonder de juiste beveiligingsvalidatie. De aanvaller heeft geen privileges nodig en de aanvalsvector is netwerkgebaseerd en heeft een lage complexiteit.

Microsoft heeft bevestigd dat CVE-2026-21513 publiekelijk bekend was en actief werd misbruikt als een zero-day voordat patches beschikbaar waren. De U.S. Cybersecurity and Infrastructure Security Agency (CISA) heeft deze kwetsbaarheid toegevoegd aan haar Known Exploited Vulnerabilities catalog, waardoor federale agentschappen de fixes voor 3 maart 2026 moeten toepassen.

Beveiligingslekken die security features omzeilen verhogen de kans op succes van phishing- en malwarecampagnes aanzienlijk. In bedrijfsomgevingen kan dit leiden tot ongeautoriseerde code-executie, malware- en ransomware-deployments, diefstal van inloggegevens, datalekken en volledige systeemcompromittering.

De kwetsbaarheid treft alle ondersteunde Windows-versies, waaronder Windows 10, Windows 11 en Windows Server edities van 2012 tot en met 2025. Microsoft heeft op 10 februari 2026 beveiligingsupdates uitgebracht als onderdeel van de maandelijkse Patch Tuesday cyclus. Organisaties wordt aangeraden om prioriteit te geven aan het patchen van deze kwetsbaarheid, gezien de actieve exploitatie in real-world aanvallen.

Bron: Microsoft

Op 10 februari 2026 is een kritieke zero-day kwetsbaarheid in Microsoft Word openbaar gemaakt, aangeduid als CVE-2026-21514. Deze kwetsbaarheid stelt aanvallers in staat om essentiële beveiligingsmechanismen te omzeilen. De kwetsbaarheid wordt actief misbruikt en heeft een CVSS 3.1 basis score van 7.8, met een tijdelijke score van 7.2.

CVE-2026-21514 maakt misbruik van de manier waarop Microsoft Word beveiligingsbeslissingen neemt op basis van niet-vertrouwde inputs, gecategoriseerd als CWE-807. De kwetsbaarheid omzeilt specifiek Object Linking and Embedding (OLE) mitigaties die Microsoft heeft geïmplementeerd om gebruikers te beschermen tegen kwaadaardige COM/OLE controls. Deze OLE controls maken het mogelijk om externe objecten in documenten in te bedden en ermee te interageren. Door onjuiste validatie kunnen aanvallers echter beschermende maatregelen omzeilen.

De aanvalsvector is geclassificeerd als "Lokaal" (AV:L) met een lage aanval complexiteit (AC:L), waarbij geen privileges vereist zijn (PR: N) maar wel gebruikersinteractie (UI: R). Aanvallers moeten een speciaal ontworpen Office document maken en slachtoffers overtuigen om het te openen via phishing e-mails of andere social engineering methoden. Het exploitatiebereik is ongewijzigd (S: U), wat betekent dat de kwetsbare component geen invloed heeft op resources buiten zijn beveiligingsbereik.

In tegenstelling tot traditionele macro-gebaseerde aanvallen die beveiligingswaarschuwingen activeren, omzeilt CVE-2026-21514 deze beveiligingen volledig. Wanneer gebruikers kwaadaardige documenten openen, wordt de exploit uitgevoerd zonder "Inhoud inschakelen" prompts of Protected View waarschuwingen weer te geven die gebruikers doorgaans waarschuwen voor potentiële bedreigingen. De exploit code maturity is beoordeeld als "Functioneel" (E: F), wat aangeeft dat er werkende exploit code bestaat en is ingezet in real-world aanvallen.

De kwetsbaarheid treft meerdere Office versies, waaronder Microsoft 365 Apps for Enterprise (32-bit en 64-bit), Office LTSC 2021 en 2024 edities, en Office LTSC voor Mac 2021 en 2024. Microsoft heeft officiële fixes uitgebracht via Click-to-Run updates voor Windows versies en versie 16.106.26020821 voor Mac systemen.

CISA heeft federale agentschappen verplicht om deze kwetsbaarheid vóór 3 maart 2026 te patchen, wat de ernst ervan weerspiegelt. Organisaties wordt aangeraden om onmiddellijk beschikbare beveiligingsupdates te implementeren, e-mailfiltering te implementeren om verdachte Office documenten te blokkeren en gebruikers voor te lichten over het openen van ongevraagde bijlagen. Overweeg om de uitvoering van OLE objecten te beperken via Group Policy instellingen totdat patches zijn toegepast.

Beveiligingsonderzoekers van Google Threat Intelligence Group en de interne beveiligingsteams van Microsoft hebben samengewerkt om deze dreiging te identificeren en te verhelpen.

Bron: Microsoft

Op 11 februari 2026 heeft Microsoft beveiligingsupdates uitgebracht om 59 kwetsbaarheden in zijn software te verhelpen, waaronder zes waarvan bekend is dat ze actief worden misbruikt. Van de 59 lekken zijn er vijf beoordeeld als Kritiek, 52 als Belangrijk en twee als Gemiddeld. Vijfentwintig van de gepatchte kwetsbaarheden zijn geclassificeerd als privilegeverhoging, gevolgd door remote code execution (12), spoofing (7), information disclosure (6), security feature bypass (5), denial-of-service (3) en cross-site scripting (1).

De patches komen bovenop drie beveiligingslekken die Microsoft al in zijn Edge-browser heeft verholpen sinds de release van de Patch Tuesday-update van januari 2026, waaronder een Gemiddelde kwetsbaarheid in de Edge-browser voor Android (CVE-2026-0391, CVSS-score: 6.5). Deze kwetsbaarheid zou een niet-geautoriseerde aanvaller in staat kunnen stellen om spoofing via een netwerk uit te voeren door misbruik te maken van een "user interface misrepresentation of critical information."

De zes kwetsbaarheden die actief worden misbruikt zijn:

- CVE-2026-21510 (CVSS-score: 8.8) - Een falende beveiliging in Windows Shell waardoor een niet-geautoriseerde aanvaller een beveiligingsfunctie via een netwerk kan omzeilen.

- CVE-2026-21513 (CVSS-score: 8.8) - Een falende beveiliging in MSHTML Framework waardoor een niet-geautoriseerde aanvaller een beveiligingsfunctie via een netwerk kan omzeilen.

- CVE-2026-21514 (CVSS-score: 7.8) - Een afhankelijkheid van niet-vertrouwde inputs in een beveiligingsbeslissing in Microsoft Office Word waardoor een niet-geautoriseerde aanvaller een beveiligingsfunctie lokaal kan omzeilen.

- CVE-2026-21519 (CVSS-score: 7.8) - Een type confusion in de Desktop Window Manager waardoor een geautoriseerde aanvaller lokaal privileges kan verhogen.

- CVE-2026-21525 (CVSS-score: 6.2) - Een null pointer dereference in Windows Remote Access Connection Manager waardoor een niet-geautoriseerde aanvaller lokaal een denial of service kan veroorzaken.

- CVE-2026-21533 (CVSS-score: 7.8) - Een onjuist privilege management in Windows Remote Desktop waardoor een niet-geautoriseerde aanvaller lokaal privileges kan verhogen.

Microsoft en Google Threat Intelligence Group (GTIG) worden genoemd als de ontdekkers van de eerste drie lekken. Er zijn momenteel geen details over hoe de kwetsbaarheden worden misbruikt en of ze onderdeel zijn van dezelfde campagne.

Jack Bicer, directeur vulnerability research bij Action1, zegt dat CVE-2026-21513 een security feature bypass kwetsbaarheid is in het Microsoft MSHTML Framework. Een kwaadaardig bestand kan Windows-beveiligingsprompts omzeilen en gevaarlijke acties activeren met een enkele klik. Satnam Narang van Tenable zegt dat CVE-2026-21513 en CVE-2026-21514 veel overeenkomsten vertonen met CVE-2026-21510, met als belangrijkste verschil dat CVE-2026-21513 ook kan worden misbruikt met een HTML-bestand, terwijl CVE-2026-21514 alleen kan worden misbruikt met een Microsoft Office-bestand.

CVE-2026-21525 is gekoppeld aan een zero-day die ACROS Security's 0patch-service in december 2025 ontdekte tijdens een onderzoek naar een andere gerelateerde kwetsbaarheid in dezelfde component (CVE-2025-59230). Kev Breen van Immersive zegt dat CVE-2026-21519 en CVE-2026-21533 local privilege escalation kwetsbaarheden zijn. Een aanvaller moet al toegang hebben tot een kwetsbare host, bijvoorbeeld via een kwaadaardige bijlage, een remote code execution kwetsbaarheid of laterale beweging vanaf een ander gecompromitteerd systeem. Met dit niveau van toegang kan een dreigingsactor beveiligingstools uitschakelen, extra malware implementeren of toegang krijgen tot geheimen die kunnen leiden tot volledige domeincompromittering.

CrowdStrike zegt dat het de exploitatie niet toeschrijft aan een specifieke tegenstander, maar merkt op dat dreigingsactoren die in het bezit zijn van de exploit binaries waarschijnlijk hun inspanningen zullen opvoeren om ze op korte termijn te gebruiken of te verkopen. Adam Meyers van CrowdStrike zegt dat de CVE-2026-21533 exploit binary een serviceconfiguratiesleutel wijzigt en deze vervangt door een sleutel die door de aanvaller wordt beheerd, waardoor privileges kunnen worden verhoogd om een nieuwe gebruiker aan de Administrator-groep toe te voegen.

CISA heeft alle zes kwetsbaarheden toegevoegd aan de Known Exploited Vulnerabilities (KEV) catalogus en vereist dat federale civiele uitvoerende instanties (FCEB) de fixes toepassen vóór 3 maart 2026.

Microsoft rolt ook bijgewerkte Secure Boot-certificaten uit om de originele certificaten uit 2011 te vervangen die eind juni 2026 verlopen. De nieuwe certificaten worden geïnstalleerd via het reguliere maandelijkse Windows-updateproces. Als een apparaat de nieuwe Secure Boot-certificaten niet ontvangt voordat de certificaten van 2011 verlopen, blijft de pc normaal functioneren en blijft bestaande software werken, maar het apparaat komt in een verminderde beveiligingsstatus terecht die de mogelijkheden om toekomstige boot-level beschermingen te ontvangen beperkt.

Microsoft versterkt ook de standaardbeveiligingen in Windows via twee beveiligingsinitiatieven: Windows Baseline Security Mode en User Transparency and Consent. Met Windows Baseline Security Mode zal Windows standaard werken met runtime integrity safeguards ingeschakeld. User Transparency and Consent, analoog aan Apple macOS Transparency, Consent, and Control (TCC) framework, introduceert een consistente aanpak voor het omgaan met beveiligingsbeslissingen. Het besturingssysteem zal gebruikers vragen wanneer apps toegang proberen te krijgen tot gevoelige bronnen, zoals bestanden, de camera of de microfoon, of wanneer ze proberen andere onbedoelde software te installeren.

Bron: Microsoft

Een ernstige kwetsbaarheid in de JavaScript-bibliotheek SandboxJS maakt het mogelijk voor aanvallers om willekeurige code uit te voeren op hostsystemen. De kwetsbaarheid, geregistreerd als CVE-2026-25881 met een kritieke CVSS-score van 8.3/10, treft alle versies tot 0.8.30 en is gepatcht in versie 0.8.31.

De kwetsbaarheid maakt misbruik van een zwakte in het beschermingsmechanisme van SandboxJS. De bibliotheek gebruikt een "isGlobal" vlag om te voorkomen dat sandboxed code host systeemobjecten wijzigt. Echter, wanneer globale prototype referenties zoals `Map.prototype` of `Set.Prototypes` in een array worden geplaatst en vervolgens opgehaald, wordt de beschermende vlag verwijderd. Dit proces, genaamd "prototype pollution", stelt aanvallers in staat om core JavaScript objecten permanent te wijzigen.

Sandboxed code kan bijvoorbeeld een kwaadaardige `command` property injecteren in het `Map` prototype, die vervolgens persistent blijft in de gehele host applicatie. Wanneer de host code later deze vervuilde property gebruikt in gevoelige operaties, zoals het uitvoeren van systeemcommando's, kunnen aanvallers remote code execution bereiken.

Security researcher k14uz heeft werkende exploit code vrijgegeven die drie aanvalsscenario's demonstreert. De eenvoudigste proof-of-concept laat zien hoe sandboxed code een "polluted" property kan toevoegen aan het `Map` prototype, die vervolgens verschijnt in alle nieuwe `Map` objecten die door de host worden gemaakt. Meer gevaarlijke demonstraties omvatten het overschrijven van ingebouwde functies en het uitvoeren van systeemcommando's zoals "id" om gebruikersinformatie te onthullen.

De aanvalsketen is als volgt: elke applicatie die SandboxJS gebruikt om niet-vertrouwde JavaScript code uit te voeren, is kwetsbaar. Aanvallers kunnen de sandbox isolatie doorbreken, de host execution flow manipuleren en mogelijk volledige systeemtoegang krijgen, afhankelijk van hoe de host applicatie de vervuilde properties verwerkt.

Volgens de gepubliceerde advisory moeten ontwikkelaars onmiddellijk upgraden naar versie 0.8.31, die beschermingsvlaggen behoudt over array operaties en schrijfbewerkingen naar ingebouwde prototypes blokkeert. Als extra verdediging zouden security teams ingebouwde prototypes moeten bevriezen voordat ze niet-vertrouwde code uitvoeren en applicaties moeten controleren op gevoelige operaties die mogelijk door de gebruiker beheerde object properties gebruiken. Deze kwetsbaarheid benadrukt de uitdagingen van het creëren van veilige JavaScript sandboxes en het belang van defense-in-depth bij het verwerken van niet-vertrouwde code.

Bron: SandboxJS | Bron 2: github.com

Er is een ernstige kwetsbaarheid ontdekt in Fiber v2, een populair Go web framework. Deze kwetsbaarheid kan aanvallers in staat stellen om gebruikerssessies te kapen, beveiligingsmechanismen te omzeilen en denial-of-service aanvallen uit te voeren. De kwetsbaarheid treft alle Fiber v2 versies die draaien op Go 1.23 of eerder en is zes dagen geleden gemeld door de framework maintainer.

De kwetsbaarheid bevindt zich in Fiber v2’s UUID generatie functies, die worden gebruikt om unieke identificatoren te creëren voor sessies, CSRF tokens en andere security-kritische componenten. Wanneer de random number generator van het systeem er niet in slaagt om veilige random getallen te leveren, wat zelden voorkomt maar wel mogelijk is, vallen deze functies terug op het genereren van een voorspelbare "zero UUID" (00000000-0000-0000-0000-000000000000) in plaats van ontwikkelaars te waarschuwen voor het probleem. Dit stille falen is extra gevaarlijk omdat ontwikkelaars niet kunnen weten dat hun security tokens voorspelbaar zijn geworden.

Het probleem treft voornamelijk gebruikers die Go versies vóór 1.24 gebruiken, omdat nieuwere versies random failures anders behandelen, door te blokkeren of te ‘panicken’ in plaats van errors terug te geven.

De voorspelbare UUID generatie creëert meerdere security risico's. Aanvallers kunnen sessie identificatoren voorspellen, waardoor ze legitieme gebruikers kunnen nabootsen zonder credentials te stelen. CSRF protection mechanismen die afhankelijk zijn van deze UUIDs worden ineffectief, waardoor cross-site request forgery aanvallen vrij spel hebben. Authenticatie tokens worden te raden, wat ongeautoriseerde toegang tot beschermde resources mogelijk maakt. Het meest zorgwekkend is het denial-of-service risico: wanneer meerdere gebruikers dezelfde zero UUID ontvangen, storten session stores en rate limiters ineen tot een enkele gedeelde key, wat data overschrijvingen en systeeminstabiliteit veroorzaakt.

Hoewel moderne Linux systemen zelden random failures ervaren, lopen bepaalde omgevingen een hoger risico. Containerized applicaties, sandboxed processen, embedded devices en verkeerd geconfigureerde systemen die geen toegang hebben tot randomness sources (/dev/urandom) zijn vatbaarder. Sandboxed omgevingen en systemen met restricted security policies kunnen de kwetsbaarheid ook triggeren.

Volgens de security advisory is Fiber versie 2.52.11 uitgebracht om de kritieke kwetsbaarheid te verhelpen. Organisaties die Fiber v2 gebruiken, moeten onmiddellijk upgraden naar deze patched versie. De fix is toegewezen aan CVE-2025-66630 en heeft een "Critical" severity rating met een CVSS score van 8.7. Systeembeheerders moeten ook verifiëren dat hun omgevingen toegang hebben tot veilige randomness sources en logs controleren op verdachte patronen van identieke sessie identificatoren.

Bron: Fiber | Bron 2: github.com

Fortinet heeft een reeks beveiligingslekken verholpen in verschillende versies van FortiOS, variërend van 7.0 tot 7.6.4, 7.4.0 tot 7.4.9, en 7.2.0 tot 7.2.11. De gepatchte kwetsbaarheden stellen aanvallers in staat tot diverse ongeautoriseerde acties, waaronder het omzeilen van authenticatie en het uitvoeren van ongeautoriseerde code.

Een van de meest kritieke kwetsbaarheden betreft een Authentication Bypass, waardoor ongeauthenticeerde aanvallers de LDAP-authenticatie kunnen omzeilen. Dit maakt het mogelijk om toegang te krijgen tot Agentless VPN of FSSO-beleid, afhankelijk van de specifieke configuratie van de LDAP-server. Daarnaast is er een kwetsbaarheid ontdekt die het mogelijk maakt voor ongeauthenticeerde aanvallers om gevoelige informatie te onthullen door patches te omzeilen via speciaal vervaardigde HTTP-verzoeken.

Verder is er een kwetsbaarheid die geauthenticeerde beheerders in staat stelt om ongeautoriseerde code uit te voeren via speciaal gemaakte configuraties. Ook kunnen geauthenticeerde gebruikers FSSO-beleid configuraties misbruiken om ongeautoriseerde toegang te verkrijgen tot beschermde netwerkbronnen. Deze kwetsbaarheden kunnen worden geëxploiteerd via speciaal vervaardigde verzoeken.

Het Nationaal Cyber Security Centrum (NCSC) adviseert beheerders om de nieuwste patches van Fortinet zo snel mogelijk te installeren om misbruik van deze kwetsbaarheden te voorkomen. Het is essentieel om de configuratie van LDAP-servers te controleren en te zorgen voor een adequate beveiliging van netwerkbronnen.

Bron: NCSC

Fortinet heeft meerdere kwetsbaarheden verholpen in verschillende van zijn producten, waaronder FortiSandbox, FortiAuthenticator en FortiClient. Dit blijkt uit een recent advies van het NCSC.

De kwetsbaarheid in FortiSandbox, specifiek in de versies 4.4.8 en 5.0.5, betreft een Cross-site Scripting (XSS) probleem. Hierdoor kunnen niet-geauthenticeerde aanvallers willekeurige commando's uitvoeren door middel van speciaal vervaardigde verzoeken. Dit stelt aanvallers in staat om kwaadaardige scripts in de context van de gebruiker uit te voeren, wat kan leiden tot het stelen van sessiecookies, het omleiden van gebruikers naar phishing-sites of het uitvoeren van andere schadelijke acties.

In FortiAuthenticator, specifiek in de versies 6.3 tot 6.6.6, is een kwetsbaarheid gevonden die te maken heeft met een ontbrekende autorisatie. Deze kwetsbaarheid maakt het voor gebruikers met alleen-lezen rechten mogelijk om lokale gebruikersaccounts te wijzigen. Dit kan gebeuren via een onbeveiligd bestand upload endpoint. Een aanvaller kan zo de rechten van andere gebruikers verhogen of wachtwoorden wijzigen, wat de integriteit en vertrouwelijkheid van het systeem in gevaar brengt.

De kwetsbaarheid in FortiClient, aanwezig in de versies 7.0, 7.2 en 7.4, stelt lokale aanvallers met lage privileges in staat om willekeurige bestandswijzigingen uit te voeren met verhoogde rechten. Dit wordt mogelijk gemaakt door speciaal vervaardigde named pipe berichten. Hierdoor kunnen aanvallers ongeautoriseerde toegang krijgen tot systeembestanden, wat kan leiden tot het compromitteren van het gehele systeem.

Het wordt aanbevolen om de getroffen producten zo snel mogelijk bij te werken naar de nieuwste versies om deze kwetsbaarheden te verhelpen.

Bron: NCSC

Ruim een half miljoen WordPress-sites zijn nog niet voorzien van een beveiligingsupdate die een kritieke kwetsbaarheid verhelpt in een populaire plug-in. Het gaat om de WPvivid Backup & Migration Plugin, die op meer dan 900.000 websites is geïnstalleerd. Deze plug-in maakt het mogelijk om WordPress-sites te back-uppen, migreren en stagen. De ontwikkelaars brachten op 28 januari een update uit, maar tot op heden hebben ongeveer 350.000 WordPress-sites de patch geïnstalleerd, waardoor 550.000 sites nog steeds risico lopen.

De kwetsbaarheid, aangeduid als CVE-2026-1357, maakt remote code execution (RCE) door ongeauthenticeerde aanvallers mogelijk. Een probleem met het decryptieproces, in combinatie met een gebrek aan 'path sanitization', stelt aanvallers in staat om willekeurige PHP-bestanden naar publiek toegankelijke directories te uploaden. Securitybedrijf Wordfence meldt dat dit uiteindelijk leidt tot remote code execution. De impact van de kwetsbaarheid is beoordeeld met een score van 9.8 op een schaal van 1 tot 10.

Het risico is aanwezig als websites een key in de instellingen van de plug-in hebben gegenereerd, waardoor een andere site back-ups naar hen kan sturen. Deze functie is standaard uitgeschakeld en gegenereerde keys verlopen na 24 uur. Wordfence informeerde de ontwikkelaars van de plug-in op 22 januari over het probleem. De update naar versie 0.9.124, die de kwetsbaarheid verhelpt, werd op 28 januari uitgebracht. WordPress.org houdt bij dat sindsdien ongeveer 350.000 van de meer dan 900.000 sites met de plug-in de update hebben geïnstalleerd.

Bron: Wordfence

De afgelopen vierentwintig uur zijn er verschillende kritieke kwetsbaarheden (CVE's) waargenomen die veel aandacht krijgen op sociale media. De mate van belangstelling voor deze beveiligingslekken wordt uitgedrukt in een hype-score tussen nul en honderd, gebaseerd op de intensiteit van de discussies in openbare bronnen en nieuwsberichten. Deze score dient als indicatie voor beveiligingsteams om de urgentie en de potentiële risico's van specifieke dreigingen in te schatten.

Op dit moment staat CVE-2025-41117 bovenaan de lijst met een score van zestien. Dit betreft een kwetsbaarheid voor externe code-uitvoering in streamlit-geospatial, veroorzaakt door een onveilige verwerking van gebruikersinvoer via de eval-functie. Met een gelijke score wordt CVE-2026-21722 gerapporteerd, een Insecure Direct Object Reference in de WCFM Marketplace-plugin voor WordPress. Dit lek stelt ongeautoriseerde gebruikers in staat om onrechtmatige terugbetalingsverzoeken in te dienen.

In de context van Kubernetes-omgevingen wordt aandacht gevraagd voor CVE-2025-1974, ook bekend als IngressNightmare. Deze kwetsbaarheid in Ingress NGINX maakt code-uitvoering op de controller-pod mogelijk en biedt toegang tot clustergeheimen. Daarnaast is er sprake van actief misbruik van CVE-2024-27564, een Server-Side Request Forgery lek in een ChatGPT-interface tool die wordt ingezet om interne netwerkbronnen aan te vallen.

Voor lokale systemen en specifieke softwarepakketten zijn diverse risico's geïdentificeerd. In Lenovo Vantage is met CVE-2025-13154 een probleem gevonden met link-afhandeling waardoor gebruikers willekeurige bestanden kunnen verwijderen. De Git-service Gogs kampt met drie verschillende lekken: een OS-commando-injectie via de git-map, een bypass van twee-factor-authenticatie door onjuiste validatie van herstelcodes en een pad-traversal in de wiki-functie.

Verder blijft WinRAR kwetsbaar via CVE-2025-8088, waarbij aanvallers code kunnen uitvoeren middels kwaadaardige archieven in phishing-campagnes. Ten slotte is er een driver-kwetsbaarheid gemeld in NSecKrnl voor Windows, aangeduid als CVE-2025-68947. Dit lek wordt door de Black Basta-ransomwaregroep misbruikt om beveiligingssoftware op geïnfecteerde systemen uit te schakelen.

Bron

Apple heeft beveiligingsupdates uitgebracht om een kwetsbaarheid (CVE-2026-20700) te verhelpen. Dit lek werd gebruikt bij een "zeer geraffineerde aanval" gericht op iPhones van specifieke personen. Apple heeft geen details vrijgegeven over wat de aanvallen zo geraffineerd maakt, noch wie de doelwitten waren.

In december bracht Apple al updates uit voor twee andere beveiligingslekken (CVE-2025-14174 en CVE-2025-43529) die bij dezelfde "extremely sophisticated attack" werden ingezet. De Google Threat Analysis Group heeft de drie beveiligingslekken aan Apple gerapporteerd. Deze groep richt zich op het bestrijden van aanvallen die door overheden worden gesponsord en uitgevoerd tegen Google en zijn gebruikers.

CVE-2026-20700 bevindt zich in een onderdeel genaamd dyld, wat staat voor Dynamic Link Editor. Dyld is verantwoordelijk voor het laden van dynamic libraries. Apple geeft geen details over de aanvallen, behalve dat ze zijn uitgevoerd tegen iPhones met iOS-versies voor iOS 26. Apple heeft de kwetsbaarheid verholpen in iOS en iPadOS 26.3. Apple heeft ook iOS en iPadOS 18.7.5 uitgebracht, maar deze update lost het probleem niet op. In het beveiligingsbulletin van iOS en iPadOS 18.7.5 wordt geen melding gemaakt van CVE-2026-20700.

Bron: Apple

Het Centrum voor Cyberbeveiliging België (CCB) waarschuwt voor twee kritieke authenticatie bypass kwetsbaarheden in SmarterTools SmartMail. Deze kwetsbaarheden, aangeduid als CVE-2026-24423 en CVE-2026-23760, worden actief misbruikt en kunnen leiden tot Remote Code Execution (RCE). Het CCB adviseert gebruikers dringend om onmiddellijk te patchen.

De getroffen software is SmarterTools SmarterMail in versies voorafgaand aan build 9511. CVE-2026-24423 heeft een CVSS-score van 9.3, terwijl CVE-2026-23760 een CVSS-score van 4.0 heeft. Het risiconiveau wordt voor beide als kritiek beschouwd. Een succesvolle exploitatie van deze kwetsbaarheden kan een aanvaller in staat stellen om op afstand code uit te voeren op het getroffen systeem.

Het CCB benadrukt het belang van het snel implementeren van de beschikbare patches om de risico's te minimaliseren. Gebruikers van SmarterMail wordt geadviseerd de release notes van SmarterTools te raadplegen voor de meest recente updates en instructies. Het CCB biedt tevens de mogelijkheid om incidenten te melden via hun website. Meer informatie over de specifieke kwetsbaarheden is te vinden op de National Vulnerability Database (NVD) via de links voor CVE-2026-24423 en CVE-2026-23760.

Bron: CCB | Bron 2: nvd.nist.gov | Bron 3: smartertools.com

Een kwetsbaarheid in iOS 26 stelt een aanvaller met fysieke toegang tot een vergrendelde iPhone in staat om foto's op het toestel te bekijken. Apple heeft updates uitgebracht om dit probleem te verhelpen. De updates verhelpen tevens andere problemen waardoor aanvallers met fysieke toegang tot een vergrendelde iPhone toegang kunnen krijgen tot "gevoelige gebruikersinformatie". Apple maakt niet bekend om wat voor soort informatie het gaat.

In totaal zijn er zes verschillende kwetsbaarheden in iOS 26 die een fysieke aanvaller toegang tot gevoelige gebruikersinformatie of gebruikersdata kunnen geven. Alleen in het geval van CVE-2026-20642 is duidelijk dat een aanvaller met fysieke toegang tot een vergrendelde iPhone op het lock screen foto's kan bekijken. Verdere details over de andere kwetsbaarheden worden niet gegeven.

Apple heeft ook updates uitgebracht voor macOS 26. Een van de verholpen beveiligingslekken betreft een probleem waardoor een aanvaller via spraakassistent Siri toegang kan krijgen tot gevoelige gebruikersinformatie op een vergrendelde Mac. Verder zijn er in zowel macOS als iOS meerdere kwetsbaarheden gepatcht waardoor malafide apps toegang tot beveiligde of gevoelige gebruikersdata kunnen krijgen.

Eerder werd al gemeld dat Apple een actief aangevallen kwetsbaarheid in iOS 26 heeft gepatcht. Dit probleem is ook in macOS opgelost. Voor zowel gebruikers van iOS 26 als macOS 26 is versie 26.3 verschenen. Voor oudere macOS-versies zijn macOS Sequoia 15.7.4 en macOS Sonoma 14.8.4 uitgebracht.

Bron: Apple

Een kritieke kwetsbaarheid in de WPvivid Backup & Migration WordPress plugin stelt een niet-geauthenticeerde aanvaller in staat om bestanden te uploaden en code uit te voeren op de server, wat kan leiden tot een volledige overname van de website. Het probleem is geregistreerd als CVE-2026-1357 met een score van 9.8 (Kritiek) en treft plugin versies tot en met 0.9.123. Versie 0.9.124 bevat een oplossing.

Het grootste risico doet zich voor wanneer een site de functie "receive a backup from another site" van WPvivid heeft ingeschakeld door een sleutel te genereren in de plugin instellingen. Deze functie is standaard uitgeschakeld en de sleutel kan maximaal 24 uur geldig zijn. Aanvallers kunnen het backup-ontvangende endpoint targeten en het uploadpad activeren dat is gekoppeld aan de `wpvivid_action=send_to_site` parameter.

Onderzoekers van Wordfence ontdekten dat de kwetsbaarheid voortkomt uit een fout in de crypto error-handling, gecombineerd met onveilige file-path handling. Wanneer RSA decryptie faalt tijdens de berichtverwerking, kan de code doorgaan met een valse waarde die effectief een voorspelbare "all null bytes" sleutel wordt in de AES/Rijndael routine, waardoor aanvallers data kunnen creëren die de server accepteert. De plugin accepteerde ook bestandsnamen van de gedecrypteerde payload zonder de juiste sanitatie, waardoor directory traversal mogelijk werd en een bestand kon ontsnappen aan de beoogde backup directory en in een web-toegankelijke locatie terecht kon komen.

WPvivid heeft het probleem in versie 0.9.124 verholpen door de verwerking te stoppen wanneer de gedecrypteerde sleutel leeg/fout is en door uploads te beperken tot verwachte backup extensies (zoals zip/gz/tar/sql).

Administrators wordt aangeraden om te updaten naar versie 0.9.124, de receive-backup sleutel uit te schakelen wanneer deze niet nodig is, alle gegenereerde sleutels te roteren en de web root te controleren op onverwachte PHP bestanden die zijn gemaakt rond de periode waarin de sleutel was ingeschakeld.

Bron: Wordfence

Google heeft Chrome 145 vrijgegeven voor Windows, Mac en Linux, waarmee 11 beveiligingslekken worden gedicht. Aanvallers zouden deze lekken kunnen misbruiken om kwaadaardige code uit te voeren op de systemen van gebruikers. De update wordt de komende weken uitgerold en bevat verschillende fixes met een hoge prioriteit die onmiddellijke aandacht vereisen.

De meest ernstige kwetsbaarheid, CVE-2026-2313, is een use-after-free bug in CSS, die de ontdekkers een beloning van $8.000 opleverde. Dit lek kan aanvallers in staat stellen willekeurige code uit te voeren door een fout in de CSS-afhandeling van Chrome te misbruiken. Onderzoekers van HexHive en de Universiteit van St. Andrews identificeerden dit probleem in december 2025.

Twee andere lekken met een hoge prioriteit zijn ook verholpen: CVE-2026-2314, een heap buffer overflow in Codecs, en CVE-2026-2315, een inappropriate implementation in WebGPU. Het interne beveiligingsteam van Google ontdekte beide fouten, die kunnen worden misbruikt om code uit te voeren.

De update verhelpt zeven lekken met een gemiddelde prioriteit, waaronder insufficient policy enforcement in frames en race conditions in DevTools, en inappropriate implementations in Animation, PictureInPicture en File input. Deze problemen kunnen aanvallers in staat stellen beveiligingsbeperkingen te omzeilen of het gedrag van de browser te manipuleren. Er zijn ook twee lekken met een lage prioriteit in File input en Downloads verholpen, hoewel deze minder direct risico vormen voor gebruikers.

Google heeft in totaal meer dan $18.500 aan beloningen toegekend aan beveiligingsonderzoekers die deze lekken op verantwoorde wijze hebben gemeld. De hoogste beloningen gingen naar academische onderzoekers en onafhankelijke beveiligingsexperts die kritieke fouten identificeerden voordat ze in het wild konden worden misbruikt.

Gebruikers wordt aangeraden Chrome onmiddellijk bij te werken naar versie 145.0.7632.45 (Linux) of 145.0.7632.45/46 (Windows/Mac). De browser wordt meestal automatisch bijgewerkt, maar gebruikers kunnen handmatig controleren op updates via het instellingenmenu van Chrome onder "Over Chrome". Google blijft geavanceerde detectietools zoals AddressSanitizer, MemorySanitizer en libFuzzer gebruiken om lekken te identificeren tijdens de ontwikkeling, waardoor veel beveiligingsproblemen niet bij de eindgebruikers terechtkomen.

Bron: HexHive en de Universiteit van St

Het Cyber Security Centre Belgium (CCB) waarschuwt voor meerdere kwetsbaarheden die zijn gepatcht in Fortinet-producten. Het CCB adviseert om onmiddellijk de nodige patches te installeren. De kwetsbaarheden variëren in risiconiveau, van medium tot hoog.

De volgende CVE-nummers zijn van toepassing: CVE-2025-62439 (CVSS 5.9), CVE-2025-68686 (CVSS 4.2), CVE-2023-27997 (CVSS 7.1), CVE-2026-22153 (CVSS 3.1), CVE-2022-42475 (CVSS 8.8), CVE-2025-55018 (CVSS 9.8), CVE-2024-21762 (CVSS 6.7), CVE-2025-64157 (CVSS 7.2), CVE-2025-62676 (CVSS 5.8), CVE-2026-21743 (CVSS 8.1), CVE-2025-52436 en CVE-2026-21643.

Het CCB biedt via haar website verschillende diensten aan, waaronder CyTRIS (Cyber Threat Research & Intelligence Sharing) en de NCCA (National Cybersecurity Certification Authority). Organisaties die een incident willen melden, kunnen dit doen via de daarvoor bestemde pagina op de CCB-website.

Bron: CCB | Bron 2: nvd.nist.gov

Een aanzienlijk deel van de pogingen tot misbruik van een recent ontdekte kwetsbaarheid in Ivanti Endpoint Manager Mobile (EPMM) kan worden herleid tot één IP-adres op de bulletproof hosting infrastructuur van PROSPERO.

Volgens GreyNoise werden tussen 1 en 9 februari 2026 417 pogingen tot misbruik geregistreerd, afkomstig van 8 unieke IP-adressen. Geschat wordt dat 346 van deze pogingen afkomstig zijn van 193.24.123[.]42, wat neerkomt op 83% van alle pogingen.

Deze activiteit is gericht op het misbruiken van CVE-2026-1281 (CVSS score: 9.8), een van de twee kritieke kwetsbaarheden in EPMM, samen met CVE-2026-1340. Via deze kwetsbaarheden kan een aanvaller ongeauthenticeerde remote code execution uitvoeren. Ivanti heeft eind vorige maand erkend dat een "zeer beperkt aantal klanten" is getroffen als gevolg van de zero-day exploitatie van deze problemen.

Verschillende Europese instanties, waaronder de Nederlandse Autoriteit Persoonsgegevens (AP), de Raad voor de Rechtspraak, de Europese Commissie en het Finse Valtori, hebben gemeld dat ze doelwit waren van onbekende actoren die deze kwetsbaarheden misbruikten.

Verdere analyse heeft aangetoond dat dezelfde host tegelijkertijd drie andere CVE's in niet-gerelateerde software exploiteert: CVE-2026-21962 (Oracle WebLogic) met 2.902 sessies, CVE-2026-24061 (GNU InetUtils telnetd) met 497 sessies en CVE-2025-24799 (GLPI) met 200 sessies.

GreyNoise meldt dat het IP-adres gebruik maakt van meer dan 300 unieke user agent strings, verspreid over Chrome, Firefox, Safari en diverse besturingssystemen. Deze diversiteit, gecombineerd met de gelijktijdige exploitatie van vier niet-gerelateerde softwareproducten, duidt op geautomatiseerde tooling.

Er wordt opgemerkt dat PROSPERO in verband wordt gebracht met een ander autonoom systeem, Proton66, dat in het verleden desktop- en Android-malware zoals GootLoader, Matanbuchus, SpyNote, Coper (aka Octo) en SocGholish heeft verspreid.

GreyNoise benadrukt dat 85% van de exploitatie sessies via het domain name system (DNS) contact zocht om te bevestigen of "het doelwit exploiteerbaar is" zonder malware te installeren of data te exfiltreren.

Defused Cyber rapporteerde eerder over een "sleeper shell" campagne waarbij een in-memory Java class loader werd ingezet op gecompromitteerde EPMM instanties via het pad "/mifs/403.jsp." Dit duidt op initial access broker tradecraft, waarbij aanvallers een voet aan de grond krijgen om de toegang later te verkopen voor financieel gewin. De OAST (out-of-band application security testing) callbacks suggereren dat de campagne inventariseert welke doelwitten kwetsbaar zijn in plaats van direct payloads te installeren.

Ivanti EPMM gebruikers wordt aangeraden om de patches toe te passen, de internet-gerichte Mobile Device Management (MDM) infrastructuur te auditen, DNS logs te controleren op OAST-pattern callbacks, te monitoren op het /mifs/403.jsp pad op EPMM instanties, en PROSPERO's autonome systeem (AS200593) te blokkeren op het netwerk perimeter niveau.

Een compromis van EPMM biedt toegang tot de device management infrastructuur van hele organisaties, waardoor een platform voor laterale beweging ontstaat dat traditionele netwerksegmentatie omzeilt. Organisaties met internet-gerichte MDM, VPN concentrators of andere remote access infrastructuur wordt geadviseerd om ervan uit te gaan dat kritieke kwetsbaarheden binnen enkele uren na openbaarmaking worden misbruikt.

Ivanti adviseert klanten die nog geen patch hebben geïnstalleerd dit onmiddellijk te doen en hun appliance te controleren op tekenen van misbruik die mogelijk vóór het patchen hebben plaatsgevonden. Het toepassen van de patch is de meest effectieve manier om misbruik te voorkomen. Ivanti heeft klanten voorzien van high-fidelity indicators of compromise, technische analyse bij openbaarmaking en een Exploitation Detection script ontwikkeld met NCSC NL, en blijft klanten ondersteunen bij het reageren op deze dreiging.

Bron: GreyNoise | Bron 2: nvd.nist.gov

Microsoft heeft een kwetsbaarheid verholpen in Windows 11 Notepad, waardoor aanvallers op afstand code konden uitvoeren. De kwetsbaarheid, aangeduid als CVE-2026-20841, maakte het mogelijk om lokale of externe programma's uit te voeren door gebruikers te misleiden om op speciaal ontworpen Markdown-links te klikken, zonder dat Windows beveiligingswaarschuwingen toonde.

Notepad, geïntroduceerd met Windows 1.0, is een eenvoudige teksteditor die populair is geworden voor het maken van notities, het lezen van tekstbestanden en het bewerken van code. Met de release van Windows 11 besloot Microsoft WordPad stop te zetten en Notepad te moderniseren, waardoor het zowel als een eenvoudige teksteditor als een RTF-editor kon fungeren, met ondersteuning voor Markdown. Markdown-ondersteuning stelt Notepad in staat om Markdown-bestanden (.md) te openen, bewerken en opslaan, dit zijn tekstbestanden die eenvoudige symbolen gebruiken om tekst te formatteren en links weer te geven.

De kwetsbaarheid CVE-2026-20841, een "improper neutralization of special elements used in a command ('command injection') in Windows Notepad App", stelde een ongeautoriseerde aanvaller in staat om code uit te voeren via een netwerk. Microsoft schrijft de ontdekking van de kwetsbaarheid toe aan Cristian Papa, Alasdair Gorniak en Chen. Aanvallers konden gebruikers misleiden om op een kwaadaardige link in een Markdown-bestand te klikken dat in Notepad werd geopend, waardoor de applicatie niet-geverifieerde protocollen lanceerde die externe bestanden laden en uitvoeren. De kwaadaardige code zou worden uitgevoerd in de beveiligingscontext van de gebruiker die het Markdown-bestand opende, waardoor de aanvaller dezelfde rechten kreeg als die gebruiker.

Cybersecurity-onderzoekers ontdekten al snel hoe de kwetsbaarheid werkte en hoe gemakkelijk deze te misbruiken was. Een aanvaller hoefde slechts een Markdown-bestand te maken met file:// links die naar uitvoerbare bestanden wezen of speciale URI's gebruikten, zoals ms-appinstaller://. Als een gebruiker dit Markdown-bestand opende in Windows 11 Notepad versies 11.2510 en eerder en het in Markdown-modus bekeek, zou de tekst als een klikbare link verschijnen. Als op de link werd geklikt met Ctrl+klik, zou het bestand automatisch worden uitgevoerd zonder dat Windows een waarschuwing aan de gebruiker toonde.

Microsoft heeft de kwetsbaarheid in Windows 11 Notepad verholpen door waarschuwingen weer te geven bij het klikken op een link als deze niet het http:// of https:// protocol gebruikt. Wanneer op andere soorten URI-links wordt geklikt, waaronder file:, ms-settings:, ms-appinstaller, mailto: en ms-search:, toont Notepad nu een dialoogvenster met een waarschuwing. Het is echter niet duidelijk waarom Microsoft niet gewoon niet-standaard links heeft voorkomen, omdat het nog steeds mogelijk is om gebruikers via social engineering te misleiden om op de knop 'Ja' in de prompts te klikken. Windows 11 werkt Notepad automatisch bij via de Microsoft Store.

Bron: BeyondTrust | Bron: msrc.microsoft.com | Bron 2: github.com

Onderzoekers hebben een kritieke kwetsbaarheid ontdekt in de manier waarop sommige systemen omgaan met AI-prompts, waardoor mogelijk op afstand code kan worden uitgevoerd. Deze kwetsbaarheid, aangeduid als AI-prompt Remote Code Execution (RCE), maakt het voor aanvallers mogelijk om kwaadaardige code te injecteren via zorgvuldig samengestelde AI-prompts.

De aanval begint met het creëren van een speciaal ontworpen AI-prompt die, wanneer verwerkt door het kwetsbare systeem, de uitvoering van willekeurige code mogelijk maakt. Dit kan leiden tot volledige controle over het systeem, inclusief toegang tot gevoelige gegevens, installatie van malware en verstoring van de normale werking.

De technische details van de kwetsbaarheid zijn complex, maar het komt erop neer dat de systemen de input van AI-prompts onvoldoende valideren voordat ze worden uitgevoerd. Hierdoor kunnen aanvallers de context van de prompt manipuleren en zo de gewenste code laten uitvoeren.

Om deze dreiging te mitigeren, wordt aanbevolen dat organisaties hun AI-systemen updaten met de nieuwste beveiligingspatches. Daarnaast is het cruciaal om strenge inputvalidatie toe te passen op alle AI-prompts, om te voorkomen dat kwaadaardige code wordt uitgevoerd. Het is ook belangrijk om de toegang tot gevoelige systemen te beperken en de activiteiten van AI-systemen nauwlettend in de gaten te houden op verdachte activiteiten.

Het misbruiken van deze kwetsbaarheid kan ernstige gevolgen hebben, variërend van datalekken tot volledige systeemcompromittering. Het is daarom van groot belang dat organisaties proactieve maatregelen nemen om hun AI-systemen te beschermen tegen deze nieuwe dreiging.

Bron: The Hacker News

Op 13 februari 2026 zijn diverse kritieke kwetsbaarheden geïdentificeerd die een hoge mate van belangstelling genieten op sociale media en binnen beveiligingsgemeenschappen. De zogenaamde hype-score, die de urgentie en de mate van publieke discussie uitdrukt op een schaal van 0 tot 100, wijst op een aantal zeer ernstige dreigingen. De hoogste score van 10.0 wordt toegekend aan CVE-2025-55182 en CVE-2025-10035. De eerstgenoemde betreft een kritiek lek in React Server Components veroorzaakt door onveilige deserialisatie, wat misbruikt kan worden via gemanipuleerde HTTP-verzoeken. De tweede met de hoogste score betreft een deserialisatielek in de Fortra GoAnywhere MFT License Servlet dat kan leiden tot volledige commando-injectie.

Naast deze uiterst kritieke lekken is er veel aandacht voor een SQL-injectie in Microsoft SCCM onder kenmerk CVE-2024-43468, met een score van 9.8, waardoor aanvallers commando's kunnen uitvoeren op de sitedatabase. Ook Zabbix Server vertoont een kritiek risico met CVE-2024-22120, een tijdgebaseerde blinde SQL-injectie via een niet-gesaneerd client-IP-veld in de audit logs. Voor gebruikers van Apple-apparatuur is CVE-2026-20700 relevant, aangezien dit geheugencorruptie-lek in de dyld-component actief wordt misbruikt bij aanvallen op iOS en macOS.

In de categorie met een hoge impact valt tevens CVE-2025-15556, een integriteitsfout in de WinGUp-updater van Notepad++ die de uitvoering van willekeurige code via kwaadaardige installers mogelijk maakt. Andere trending kwetsbaarheden betreffen een RCE-lek in streamlit-geospatial, een IDOR-lek in de WCFM Marketplace voor WordPress, een SSRF-kwetsbaarheid in een ChatGPT-interface en een privilege-escalatie in Apple WebKit die de Pointer Authentication op ARM64e-architectuur omzeilt. Deze gegevens bieden beveiligingsteams inzicht in welke dreigingen momenteel de meeste aandacht vereisen om potentiële risico's te minimaliseren.

Bron

Het Amerikaanse cyberagentschap CISA heeft een waarschuwing uitgegeven over actief misbruik van een kritieke kwetsbaarheid in Microsoft Configuration Manager. De kwetsbaarheid, aangeduid als CVE-2024-43468, maakt het mogelijk voor een ongeauthenticeerde aanvaller om op afstand commando's uit te voeren op de server of de onderliggende database. De kwetsbaarheid heeft een CVSS-score van 9.8 op een schaal van 1 tot 10, wat wijst op een kritieke impact.

Microsoft bracht op 8 oktober 2024 beveiligingsupdates uit om het probleem te verhelpen. Enkele maanden later verscheen er online proof-of-concept exploitcode, wat het risico op misbruik vergrootte. Microsoft Configuration Manager, voorheen bekend als SCCM, is een tool voor het beheer en het uitrollen van applicaties, updates en besturingssystemen op Windows-servers en computers.

Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security meldt nu dat aanvallers de kwetsbaarheid actief misbruiken. Hoewel CISA geen details heeft vrijgegeven over de specifieke aanvallen, zoals de getroffen doelwitten of de timing van de incidenten, heeft het wel Amerikaanse overheidsinstellingen opgedragen om de update binnen drie weken te installeren.

Bron: CISA | Bron 2: msrc.microsoft.com

Apple heeft een reeks beveiligingsupdates uitgebracht voor macOS, waarmee verschillende kwetsbaarheden in de versies Sequoia 15.7.4, Tahoe 26.3 en Sonoma 14.8.4 worden verholpen. Deze updates adresseren onder andere problemen met geheugencorruptie, waardoor ongeautoriseerde toegang tot gevoelige gebruikersdata mogelijk was. Daarnaast zijn er logboekproblemen aangepakt die konden leiden tot ongeautoriseerde toegang tot locatie-informatie van gebruikers.

De beveiligingsupdates bevatten verbeterde validatieprocessen en state management om de genoemde risico's te minimaliseren. Geheugencorruptie kan leiden tot onvoorspelbaar gedrag van het systeem en mogelijk het uitvoeren van kwaadaardige code. De ongeautoriseerde toegang tot gevoelige gebruikersdata kan variëren van persoonlijke informatie tot aanmeldingsgegevens, afhankelijk van de specifieke kwetsbaarheid. De logboekproblemen, die ongeautoriseerde toegang tot locatie-informatie mogelijk maakten, vormen een privacyrisico voor gebruikers. Door de verbeterde validatie en state management wordt de integriteit van de data beter beschermd en wordt ongeoorloofde toegang bemoeilijkt.

Het is raadzaam dat gebruikers van de genoemde macOS versies zo snel mogelijk de updates installeren om hun systemen te beschermen tegen potentiële aanvallen die misbruik maken van deze kwetsbaarheden. De updates zijn beschikbaar via de software-update functie in de systeeminstellingen van macOS. Het updaten van systemen is een cruciale stap in het handhaven van een veilige digitale omgeving.

Bron: NCSC

OpenClaw versie 2026.2.12 is uitgebracht als een belangrijke, beveiligingsgerichte update die meer dan 40 kwetsbaarheden verhelpt en de bescherming van het AI agent platform versterkt. De update verbetert hooks, browser controle, scheduling, messaging kanalen en gateway security. Het hoofddoel van deze release is defense-in-depth.

De update volgt op zorgen over blootgestelde OpenClaw agents, token-diefstal via remote code execution (RCE) chains en onveilige standaard deployments. Gateways en OpenResponses dwingen nu een strikt SSRF deny policy af voor URL-gebaseerde input_file en input_image requests. Dit omvat hostname allowlists, per-request URL limits en audit logging voor geblokkeerde fetch pogingen. Deze maatregelen maken het moeilijker voor aanvallers om agents te gebruiken voor het scannen van interne netwerken.

Outputs van browser- en webtools worden nu behandeld als niet-vertrouwde data. Ze worden verpakt in gestructureerde metadata en schoongemaakt voordat ze het model bereiken, waardoor het risico op prompt-injection aanvallen vermindert. Hooks en webhooks zijn ook aanzienlijk verbeterd. Secret comparisons gebruiken nu constant-time checks, en per-client rate limiting (HTTP 429 met Retry-After) vertraagt brute-force pogingen. Standaard blokkeert POST /hooks/agent payload sessionKey overrides. Operators moeten veilige prefixes configureren of handmatig legacy gedrag herinschakelen.

De update verhelpt ook niet-geauthenticeerde tampering met remote Nostr profile configuration, verwijdert een risicovolle hook, beperkt mirrored skill sync tot een sandboxed directory en verscherpt transcript path validation om onveilige file access te blokkeren. Loopback browser controle, eerder gekoppeld aan one-click RCE en token leaks, vereist nu verplichte authenticatie. Als er geen credentials zijn ingesteld, genereert OpenClaw automatisch een secure gateway token. Nieuwe audit checks signaleren ook niet-geauthenticeerde browser controle routes. Deze wijzigingen pakken direct gevallen aan waarbij blootgestelde OpenClaw instanties volledige RCE en credential theft mogelijk maakten.

Betrouwbaarheidsverbeteringen zijn een ander belangrijk onderdeel van 2026.2.12. De cron scheduler is zwaar gepatcht om te voorkomen dat jobs worden overgeslagen, triggers worden gedupliceerd en er problemen ontstaan met betrekking tot herstart. Timers re-armen nu correct, en één mislukte job blokkeert niet langer andere jobs. Heartbeat logic is verbeterd om ruis te verminderen en valse reminder triggers te voorkomen. Gateway updates zorgen ervoor dat actieve sessies veilig leeglopen voor de herstart, waardoor message loss wordt voorkomen. WebSocket limits ondersteunen nu afbeeldingen tot 5 MB. Installaties genereren automatisch authenticatie tokens en weigeren ontbrekende of ongedefinieerde tokens. Logging verbeteringen verbeteren ook macOS deployments.

Bron: Deze informatie is afkomstig van een anonieme tip aan Cybercrimeinfo

Op 4 februari 2026 heeft Zimbra versie 10.1.16 uitgebracht, waarmee diverse kwetsbaarheden met een hoge impact worden aangepakt, waaronder cross-site scripting (XSS), XML external entity (XXE) en LDAP-injectie. Zimbra classificeert deze update als een "high-patch severity en deployment risk" en adviseert beheerders om onmiddellijk te upgraden.

De update bevat robuuste fixes voor web-gebaseerde bedreigingen. Een XSS-kwetsbaarheid in de Webmail- en Briefcase-functionaliteiten voor het delen van bestanden is verholpen. Aanvallers konden via niet-gefilterde invoer kwaadaardige scripts injecteren, met potentieel misbruik van gebruikerssessies of datadiefstal tot gevolg. Verbeterde inputvalidatie blokkeert deze aanvallen.

Daarnaast is een XXE-kwetsbaarheid in het Exchange Web Services (EWS) SOAP-endpoint gepatcht. XXE stelt aanvallers in staat om kwaadaardige XML te parsen om serverbestanden te lezen of een denial-of-service (DoS) te veroorzaken door externe entiteiten uit te breiden. Zimbra heeft de XML-parsing aangescherpt om uitbreiding van entiteiten te voorkomen.

Een andere fix betreft een authenticated LDAP-injectie. Door slechte input sanitization konden aanvallers met geldige inloggegevens LDAP-queries manipuleren, mogelijk met escalatie van privileges of het extraheren van gevoelige directory-data tot gevolg.

Verdere verbeteringen zijn het herstel van PDF-previews in de Classic UI met beveiligingen, en sterkere CSRF-bescherming via tokenvalidatie.

Naast beveiliging biedt Zimbra 10.1.16 verbeteringen aan Backup & Restore, met 50% snellere prestaties, 45% minder opslag via Zstandard compressie en deduplicatie voor S3/externe opslag. De Modern Web App biedt nu e-mailvertaling (alleen Chrome), slimmere zoekfuncties, aangepaste tagkleuren en Zoom-integratie. Er is ook Ubuntu 24 beta-ondersteuning, maar deze wordt niet aanbevolen voor productieomgevingen.

Meer dan 20 bugfixes in ActiveSync, EWS, Chat en Zimbra Desktop verbeteren de stabiliteit. Zimbra adviseert beheerders om de update eerst in een staging-omgeving te testen vanwege het hoge implementatierisico.

Bron: Zimbra

Microsoft heeft een probleem verholpen waarbij de Family Safety functie het opstarten van Google Chrome en andere browsers blokkeerde. Family Safety is bedoeld voor ouders om de activiteiten van hun kinderen te monitoren, schermtijd te beheren, app-gebruik te controleren, communicatie te volgen, content te filteren, locaties te traceren en activiteitrapporten te genereren.

Het probleem werd eind juni 2025 erkend na meldingen dat gebruikers Google Chrome niet konden starten of dat de browser willekeurig vastliep op Windows 10 22H2 en Windows 11 22H2 of later. De oorzaak was een fout in de webfilter van Family Safety, die kinderen vraagt om toestemming aan hun ouders te vragen voor het gebruik van andere browsers. Echter, door de bug werden ook nieuwe versies van reeds goedgekeurde browsers geblokkeerd, waardoor ze niet startten of onverwacht afgesloten werden.

Microsoft gaf aan dat wanneer een browser werd geüpdatet naar een nieuwe versie, deze pas geblokkeerd kon worden nadat de nieuwe versie aan de blokkeerlijst was toegevoegd. Terwijl Microsoft de blokkeerlijst bijwerkte, ontving het meldingen van een nieuw probleem met Google Chrome en sommige andere browsers. Wanneer kinderen deze browsers probeerden te openen, werden ze onverwacht afgesloten.

Begin februari 2026 heeft Microsoft een service-side fix uitgerold om het probleem op te lossen. Gebruikers wordt aangeraden hun apparaten met het internet te verbinden om de fix te ontvangen, die het probleem zou moeten verhelpen en soortgelijke problemen in de toekomst zou moeten voorkomen. Microsoft stelt dat de uitrol begin februari 2026 is gestart en de komende weken alle getroffen apparaten zou moeten bereiken. Er is geen verdere actie vereist.

Gebruikers die geen internetverbinding hebben, wordt geadviseerd om de functie 'Activiteitenrapportage' in te schakelen onder Windows-instellingen in Microsoft Family Safety. Hierdoor kunnen ouders zoals verwacht goedkeuringsverzoeken ontvangen en nieuwere browserversies toestaan.

Bron: Microsoft | Bron: support.google.com

Het Cyber Security Centre Belgium (CCB) waarschuwt voor meerdere kritieke en hoge risico kwetsbaarheden in QNAP QTS, QuTS hero, Apache, en Qsync. Deze kwetsbaarheden kunnen leiden tot Remote Code Execution (RCE). Het CCB adviseert om onmiddellijk de betreffende patches te installeren.

De volgende CVE-nummers zijn van toepassing: CVE-2025-52868, CVE-2025-30276, CVE-2025-48724, CVE-2025-66277, CVE-2025-48725, CVE-2025-30269 en CVE-2025-48723. De CVSS scores variëren van 3.1 tot 9.2. Het risico niveau wordt aangeduid als kritiek en hoog.

QNAP heeft security advisories uitgebracht met betrekking tot deze kwetsbaarheden, te weten QSA-26-02, QSA-26-05, QSA-26-03, QSA-26-04 en QSA-26-06. Meer details over de individuele CVE's zijn te vinden in de National Vulnerability Database (NVD).

Bron: CCB | Bron 2: nvd.nist.gov

Apple heeft diverse kwetsbaarheden verholpen in iOS en iPadOS, waaronder problemen met geheugenbeschadiging, bufferoverloop, en 'use-after-free' kwetsbaarheden. Deze problemen kunnen leiden tot ongeautoriseerde toegang tot gevoelige gegevens, onverwachte crashes en andere stabiliteitsproblemen. De kwetsbaarheden zijn voornamelijk het gevolg van inadequate invoervalidatie en problemen bij de verwerking van schadelijke inhoud. De updates zijn bedoeld om de beveiliging en stabiliteit van de besturingssystemen te verbeteren.

Apple meldt dat er een rapport is ontvangen dat de kwetsbaarheid met kenmerk CVE-2026-20700 mogelijk is misbruikt bij een gerichte aanval, waarbij een iOS-apparaat met een versienummer ouder dan 26 het slachtoffer is geworden. Verdere details over de aanval zijn niet vrijgegeven. De kwetsbaarheid stelt een kwaadwillende in staat om willekeurige code uit te voeren. Voor succesvol misbruik moet de aanvaller voorafgaande rechten hebben om geheugen te mogen beschrijven.

Bron: NCSC

Het Cyber Security Centre Belgium (CCB) waarschuwt voor meerdere kritieke en hoog-risico kwetsbaarheden in GitLab Community Edition (CC) en Enterprise Edition (EE). Het CCB adviseert om onmiddellijk de nodige patches te installeren.

De volgende CVE-nummers zijn van toepassing: CVE-2026-0595, CVE-2025-14560, CVE-2025-0958, CVE-2025-0595, CVE-2026-0958, CVE-2025-8099 en CVE-2025-7659. De kwetsbaarheden hebben CVSS scores variërend van 7.3 tot 8.0. Het risico niveau wordt aangeduid als hoog en kritiek.

Bron: CCB | Bron 2: nvd.nist.gov

BeyondTrust heeft een kwetsbaarheid verholpen in BeyondTrust Remote Support en enkele oudere versies van Privileged Remote Access. Het beveiligingslek bevindt zich in de pre-authenticatie van de software, waardoor niet-geauthenticeerde aanvallers de mogelijkheid krijgen om besturingssysteemcommando's uit te voeren door speciaal vervaardigde verzoeken naar de getroffen systemen te sturen.

Op 13 februari 2026 is er een update uitgebracht waarin staat dat er recentelijk publieke proof-of-concept code is verschenen voor de kwetsbaarheid CVE-2026-1731. Ook is er actief misbruik van deze kwetsbaarheid waargenomen. Deze factoren verhogen aanzienlijk het risico op misbruik.

Bron: NCSC

Het Cyber Security Centre Belgium (CCB) waarschuwt voor actieve exploitatie van meerdere kwetsbaarheden in SolarWinds Web Help Desk. Het CCB adviseert gebruikers dringend om de beschikbare patches onmiddellijk te installeren. De kwetsbaarheden betreffen CVE-2025-40553, CVE-2025-40536, CVE-2025-40537, CVE-2025-40554 en CVE-2025-40552.

De risiconiveaus van de kwetsbaarheden variëren van laag tot kritiek, met CVSS-scores van 3.1, 7.5, 8.1 en 9.8. Het CCB benadrukt dat de actieve exploitatie van deze kwetsbaarheden een significant risico vormt. Gebruikers worden aangeraden de release notes van SolarWinds Web Help Desk 2026.1 te raadplegen voor gedetailleerde informatie over de patches en de getroffen versies.

Het CCB biedt via haar website de mogelijkheid om incidenten te melden. Daarnaast zijn er verschillende initiatieven en diensten beschikbaar, waaronder Cyber Threat Research & Intelligence Sharing (CyTRIS), de National Cybersecurity Certification Authority (NCCA) en het National Cybersecurity Coordination Centre Belgium (NCC-BE). Het CCB heeft ook een Vulnerability Policy op haar website gepubliceerd.

Bron: CCB | Bron 2: documentation.solarwinds.com

De beveiligingsupdate KB5077181 van Microsoft van 10 februari 2026 voor Windows 11 versies 24H2 (build 26200.7840) en 25H2 (build 26100.7840) heeft wijdverspreide meldingen van kritieke opstartfouten veroorzaakt, slechts enkele dagen na de uitrol. Gebruikers melden dat hun apparaten in oneindige herstartlussen terechtkomen, vaak meer dan 15 keer, waardoor toegang tot het bureaublad onmogelijk is.

Deze cumulatieve update bevat essentiële beveiligingscorrecties naast kwaliteitsverbeteringen van eerdere releases, zoals KB5074109. De Microsoft-beveiligingsupdates verhelpen 58 kwetsbaarheden in Windows-componenten, waaronder zes zero-days die actief worden misbruikt, zoals bevestigd door de Known Exploited Vulnerabilities catalogus van CISA. De belangrijkste patches zijn gericht op elevation of privilege-fouten, risico's op remote code execution en security bypasses in kernsystemen.

De update rolt ook nieuwe Secure Boot-certificaten uit om certificaatverloop van 2011 in juni 2026 te voorkomen, waardoor de integriteit van het opstarten wordt verbeterd en tegelijkertijd gaming eligibility checks en WPA3 Wi-Fi-connectiviteit worden gecorrigeerd. Ondanks deze voordelen vermeldt Microsoft per 15 februari geen bekende problemen op de releasepagina of het health dashboard.

Getroffen systemen falen na de installatie en geven System Event Notification Service (SENS)-fouten weer, zoals "a specified procedure could not be found" bij het inloggen, samen met DHCP-fouten die internetverlies veroorzaken ondanks actieve verbindingen. Installatiefouten zoals 0x800f0983 en 0x800f0991 verergeren de problemen, voornamelijk op bepaalde hardwareconfiguraties. Communityforums zoals Reddit, Microsoft Answers en ElevenForum documenteren tientallen gevallen, waarbij sommige gebruikers gedeeltelijke toegang herstellen voor reparaties.

Om dit op te lossen, moet KB5077181 onmiddellijk worden verwijderd. Navigeer vanaf een werkend bureaublad naar Configuratiescherm > Programma's en onderdelen > Geïnstalleerde updates weergeven, selecteer de KB en verwijder deze voordat u opnieuw opstart; pauzeer Windows Update daarna om herinstallatie te blokkeren. Als de herstartlussen aanhouden, ga dan naar Windows Recovery Environment (onderbreek het opstarten drie keer of gebruik media), selecteer Troubleshoot > Advanced options > Command Prompt, en voer uit: wusa /uninstall /kb:5077181 /quiet /norestart. Voer indien nodig sfc /scannow uit voor bestandsreparaties. Bedrijven wordt aangeraden om de update via WSUS te implementeren met testen, monitoring en release health voor fixes. Hoewel positieve veranderingen zoals Nvidia black screen resolutions en explorer.exe stabiliteit sommige gebruikers helpen, onderstreept de instabiliteit de risico's van Patch Tuesday. Microsoft heeft nog geen officiële reactie gegeven, maar gebruikersrapporten dringen aan tot voorzichtigheid op niet-essentiële systemen.

Bron: Microsoft

De meest recente gegevens van honeypot-sensoren tonen een gedetailleerd overzicht van de kwetsbaarheden die momenteel door hackers worden geëxploiteerd in Nederland, België en op wereldwijde schaal. Deze sensoren registreren aanvallen en labelen deze met specifieke identificatiecodes zodra de bijbehorende detectieregels beschikbaar zijn. De verzamelde data biedt inzicht in het gemiddelde aantal unieke IP-adressen dat dagelijks betrokken is bij pogingen om beveiligingslekken in diverse systemen en producten uit te buiten.

Op wereldschaal voert de kwetsbaarheid CVE-2022-41082 in Microsoft Exchange de lijst aan met gemiddeld 520 unieke IP-adressen per dag. Andere veelvuldig aangevallen producten wereldwijd omvatten de Huawei Home Gateway HG532, Cisco IOS XE en de Eir D1000 van Zyxel. Ook consumentenapparatuur zoals de Netgear DGN1000 en CCTV-DVR systemen van Shenzhen TVT worden momenteel actief doelwit van scans en exploitatiepogingen door kwaadwillenden.

In Nederland wijkt het aanvalslandschap af van de wereldwijde trends. De meest geëxploiteerde kwetsbaarheid in Nederlandse systemen is CVE-2023-38646 in Metabase, gevolgd door CVE-2025-55182 in React Server Components van Meta. Daarnaast worden producten van Cisco, Citrix, Apache en Palo Alto Networks in Nederland frequent aangevallen. Opvallend is dat diverse van deze kwetsbaarheden, zoals die in Citrix Netscaler en Apache HTTP Server, een directe relatie hebben met bekende ransomware-activiteiten.

De Belgische statistieken laten een focus zien op andere systemen, waarbij CVE-2024-3721 in TBK DVR-apparaten bovenaan staat. Andere significante dreigingen in België richten zich op ThinkPHP5 en Ivanti Endpoint Manager Mobile. Hoewel sommige kwetsbaarheden zoals die in de Huawei Home Gateway wereldwijd hoog scoren, is de activiteit hiervoor in België momenteel lager. De verzamelde informatie over deze geëxploiteerde lekken dient ter ondersteuning bij het identificeren van urgente beveiligingsrisico's en het prioriteren van noodzakelijke patches.

Bron

De afgelopen 24 uur zijn tien kwetsbaarheden (CVE's) opvallend veel besproken op sociale media. De trending lijst van 16 februari 2026 laat een mix zien van onbekende, kritieke en reeds gepatchte kwetsbaarheden die de aandacht trekken van de cybersecuritygemeenschap.

De hoogste hype-score (20) gaat naar CVE-2025-70795, een opvallende notering omdat er nog geen officiële beschrijving van deze kwetsbaarheid beschikbaar is. Het CVE-nummer is geregistreerd, maar verdere details ontbreken vooralsnog. Dat juist een onbeschreven kwetsbaarheid de meeste aandacht genereert, kan erop wijzen dat er binnen beveiligingskringen informatie circuleert die nog niet publiekelijk is vastgelegd.

Op de tweede plaats staat CVE-2025-9961 met een hype-score van 18. Dit betreft een remote code execution-kwetsbaarheid in TP-Link routers, specifiek in de CWMP-binary. Een geauthenticeerde aanvaller kan via misvormde SOAP-verzoeken willekeurige code uitvoeren door een stack-based buffer overflow, waarmee volledige controle over de router mogelijk is. Deze kwetsbaarheid werd gepubliceerd op 6 september 2025.

Drie kwetsbaarheden delen de derde positie met elk een hype-score van 6. CVE-2025-32433 is een kritieke kwetsbaarheid in de Erlang/OTP SSH-server met een CVSS-score van 10.0, gepubliceerd op 17 april 2025. Een fout in de SSH-protocolafhandeling stelt een aanvaller in staat om zonder authenticatie willekeurige code uit te voeren. Van is een exploit bekend. Deze kwetsbaarheid werd gepubliceerd op 3 december 2025. CVE-2025-61922 treft de PrestaShop Checkout-module met een CVSS-score van 9.1, gepubliceerd op 16 oktober 2025. Ontbrekende validatie in Express Checkout maakt stille login en accountovername via e-mail mogelijk. De kwetsbaarheid is gepatcht in versies 4.4.1 en 5.0.5.

Met een hype-score van 3 volgen nog eens vier kwetsbaarheden. CVE-2025-11391 is een willekeurige bestandsupload-kwetsbaarheid in de PPOM-plugin voor WooCommerce met een CVSS-score van 9.8, gepubliceerd op 18 oktober 2025. Ontbrekende bestandstypevalidatie in de image cropper stelt ongeauthenticeerde aanvallers in staat willekeurige bestanden te uploaden, met mogelijk remote code execution als gevolg. Een patch is beschikbaar in versie 33.0.16. CVE-2025-68947 betreft een driver-kwetsbaarheid in de NSecsoft NSecKrnl Windows-driver met een CVSS-score van 5.7, gepubliceerd op 13 januari 2026. Een lokale aanvaller kan processen van andere gebruikers beëindigen, inclusief SYSTEM- en Protected Processes. Deze kwetsbaarheid wordt misbruikt als BYOVD-aanvalsvector door onder andere Black Basta ransomware. CVE-2025-20255 is een kwetsbaarheid in Cisco Webex Meetings met een CVSS-score van 4.3, gepubliceerd op 21 mei 2025. Onjuiste afhandeling van HTTP-verzoeken maakt HTTP-cache-poisoning mogelijk, waardoor onjuiste HTTP-antwoorden aan deelnemers worden geleverd.

De lijst wordt afgesloten met twee kwetsbaarheden met een hype-score van 2. CVE-2024-43468 is een SQL-injectie kwetsbaarheid in Microsoft Configuration Manager / SCCM met een CVSS-score van 9.8, gepubliceerd op 8 oktober 2024. Een ongeauthenticeerde aanvaller kan via een Management Point willekeurige SQL-query's uitvoeren, met mogelijk remote code execution en laterale beweging als gevolg. Van deze kwetsbaarheid is een exploit bekend. CVE-2025-11411 ten slotte treft de NLnet Labs Unbound DNS-resolver met een CVSS-score van 5.7, gepubliceerd op 22 oktober 2025. Unbound accepteert ongewenste NS RRSets in DNS-antwoorden, waardoor aanvallers via DNS-cache-poisoning domeinen kunnen kapen. Patches zijn beschikbaar in versie 1.24.1 en 1.24.2.

Bron

Websites die gebruikmaken van het Novarain/Tassos Framework in Joomla zijn blootgesteld aan kritieke beveiligingslekken. Deze kwetsbaarheden maken ongeauthenticeerde toegang tot bestanden, het verwijderen van bestanden en SQL-injectie mogelijk. Dit kan leiden tot het uitvoeren van code op afstand en volledige controle over systemen die niet zijn voorzien van de nieuwste patches. De problemen treffen verschillende populaire Tassos extensies en vereisen onmiddellijke patching via de bijgewerkte releases van de leverancier.

Een broncode-onderzoek van de gedeelde Novarain/Tassos Framework plugin (plg_system_nrframework) onthulde drie belangrijke functies die toegankelijk zijn via een AJAX-handler die de actie `task=include` verwerkt zonder adequate beveiliging. Door misbruik te maken van dit toegangspunt kan een aanvaller PHP-klassen aanroepen onder de Joomla-siteroot die een `onAjax`-methode implementeren, waardoor interne helperklassen effectief in op afstand bereikbare gadgets veranderen.

Binnen deze gadgets is er een klasse die het laden van CSV-bestanden verkeerd afhandelt, wat kan worden misbruikt om willekeurige bestanden te lezen die toegankelijk zijn voor de webservergebruiker. Een andere klasse stelt een `remove`-actie beschikbaar waarmee door de aanvaller opgegeven paden zonder extra validatie kunnen worden verwijderd. Een derde klasse, die wordt gebruikt voor het dynamisch vullen van velden, geeft door de aanvaller gecontroleerde parameters door aan databasequery's, waardoor een SQL-injectie mogelijk is die willekeurige tabel- en kolomreads onder de Joomla-databaseaccount kan uitvoeren.

Door deze mogelijkheden te combineren, kan een externe aanvaller beheerderssessiegegevens stelen uit de database, de backend binnendringen en vervolgens een kwaadaardige extensie implementeren of sjablonen wijzigen om permanente RCE (Remote Code Execution) te verkrijgen.

De kwetsbaarheden zijn aanwezig in de Novarain/Tassos Framework (plg_system_nrframework) en specifieke releases van extensies zoals Convert Forms, EngageBox, Google Structured Data, Advanced Custom Fields en Smile Pack. Exploitaties zijn mogelijk zolang de systeemplugin is ingeschakeld op een site die met het internet is verbonden. De aanval is gebaseerd op ongeauthenticeerde AJAX-verzoeken, waardoor hardening stappen zoals het beperken van toegang tot de admin-rol en het toevoegen van extra wachtwoorden niet voldoende zijn.

De leverancier heeft gereageerd door vaste builds van het Tassos Framework en de getroffen extensies uit te brengen, die beschikbaar zijn via de officiële downloadsectie en de standaard Joomla-updatemechanismen. De kwetsbaarheden werden ontdekt door onafhankelijk beveiligingsonderzoeker p1r0x in samenwerking met SSD Secure Disclosure. Beheerders wordt aangeraden onmiddellijk alle Tassos-componenten bij te werken of tijdelijk de plg_system_nrframework-plugin en gerelateerde extensies uit te schakelen op blootgestelde sites totdat patching is voltooid. Als extra verdedigingsmaatregel wordt aanbevolen om com_ajaxtraffic te beperken of te filteren op de webserver of WAF, en logs te controleren op verdachte `task=include`-verzoeken, ongebruikelijke CSV-gerelateerde AJAX-activiteit of onverklaarbare bestandsverwijderingen die kunnen wijzen op pogingen tot misbruik.

Bron: SSD Secure Disclosure | Bron 2: ssd-disclosure.com

De populaire editor Notepad++ heeft versie 8.9.2 uitgebracht, die het updateproces beter moet beveiligen. In 2025 wisten aanvallers maandenlang via het updateproces van Notepad++ malware onder gebruikers te verspreiden. De aanvallers hadden de shared hostingserver van Notepad++ gecompromitteerd en maakten gebruik van een kwetsbaarheid in het updateproces om malafide updates te verspreiden. Via deze updates werd een backdoor op het systeem geïnstalleerd.

Om herhaling te voorkomen, heeft de ontwikkelaar van Notepad++ maatregelen getroffen. De digitaal ondertekende installer afkomstig van github.com wordt nu geverifieerd. Daarnaast is de XML afkomstig van de Notepad++-server digitaal gesigneerd en wordt ook geverifieerd. Volgens ontwikkelaar Don Ho maakt dit "double lock" ontwerp het Notepad++ updateproces robuust en nagenoeg niet te misbruiken.

Verder is de updater zelf, WinGUp, onderhanden genomen. De libcurl.dll dependency is verwijderd om het sideloaden van malafide dll-bestanden tegen te gaan, en twee onveilige SSL-opties zijn verwijderd. Ho publiceerde een diagram waarin wordt uitgelegd hoe de aanvallers het updateproces konden kapen. Details over de aangevallen gebruikers en organisaties zijn niet openbaar, maar Notepad++ wordt vooral door softwareontwikkelaars gebruikt.

Bron: notepad-plus-plus.org | Bron 2: notepad-plus-plus.org

Een recent ontdekte kwetsbaarheid in een industriële controle systeem (ICS) monitoring oplossing baart zorgen in diverse kritieke infrastructuur sectoren. De kwetsbaarheid, gepubliceerd door CISA onder adviescode ICSA-26-043-10, heeft het nummer CVE-2026-1358 en een CVSS v3 score van 9.8, wat wijst op een kritieke ernst.

Volgens het advies dat op 12 februari 2026 werd uitgebracht, treft de kwetsbaarheid alle versies van Airleader Master tot en met 6.381. Het stelt niet-geauthenticeerde aanvallers in staat om op afstand willekeurige code uit te voeren op doel systemen. Het probleem komt voort uit een onbeperkte file upload mogelijkheid, waardoor het uploaden van gevaarlijke bestandstypen mogelijk is die op het apparaat kunnen worden uitgevoerd.

De kwetsbaarheid bevindt zich in de file handling component van Airleader Master, ontwikkeld door het Duitse Airleader GmbH. Succesvolle exploitatie stelt aanvallers in staat om controle te krijgen over kwetsbare servers of netwerk-verbonden systemen, wat mogelijk de activiteiten kan verstoren in de energie, chemie, gezondheidszorg, voedsel en landbouw, productie, transport en watermanagement sectoren.

CISA merkt op dat er nog geen publieke exploits bekend zijn die zich richten op deze kwetsbaarheid, maar het potentieel voor schade is aanzienlijk gezien het wereldwijde gebruik van Airleader Master voor industriële systeem optimalisatie en monitoring. CISA dringt er bij systeembeheerders en operators van kritieke infrastructuren op aan om onmiddellijk maatregelen te nemen om de blootstelling te verminderen.

Het wordt aanbevolen de netwerktoegang te beperken door ervoor te zorgen dat controlesystemen niet beschikbaar zijn vanaf het internet. ICS-netwerken moeten worden gesegmenteerd en achter correct geconfigureerde firewalls worden geplaatst. VPN's moeten worden gebruikt voor remote access, maar zorg ervoor dat ze volledig zijn bijgewerkt en beveiligd. Voer impact assessments en risicoanalyses uit voordat nieuwe defensieve maatregelen worden geïmplementeerd. CISA moedigt ook aan om de Industrial Control System (ICS) cybersecurity best practices te volgen, zoals beschreven in de guidance documenten Improving ICS Cybersecurity with Defense-in-Depth Strategies en ICS-TIP-12-146-01B: Targeted Cyber Intrusion Detection and Mitigation Strategies. Organisaties die verdachte activiteiten detecteren die verband houden met deze kwetsbaarheid, wordt aangeraden dit te melden aan CISA voor gecoördineerde analyse en reactie.

Bron: CISA

Een nieuw onderzoek heeft aangetoond dat verschillende cloud-gebaseerde wachtwoordmanagers, waaronder Bitwarden, Dashlane en LastPass, onder bepaalde omstandigheden vatbaar zijn voor wachtwoordherstel-aanvallen. De onderzoekers Matteo Scarlata, Giovanni Torrisi, Matilda Backendal en Kenneth G. Paterson stellen dat de aanvallen variëren in ernst, van integriteitschendingen tot de volledige compromittering van alle vaults binnen een organisatie. Het merendeel van de aanvallen maakt het mogelijk om wachtwoorden te achterhalen.

Het onderzoek van ETH Zurich en Università della Svizzera italiana gaat uit van een kwaadwillige server en onderzoekt de zero-knowledge encryption (ZKE) beloftes van de drie oplossingen. ZKE is een cryptografische techniek die het mogelijk maakt om aan te tonen dat men een geheim kent, zonder het geheim zelf te onthullen. ZKE verschilt van end-to-end encryptie (E2EE) doordat E2EE zich richt op het beveiligen van data tijdens transport, terwijl ZKE vooral gaat over het opslaan van data in een versleutelde vorm waarbij alleen de persoon met de sleutel toegang heeft. Wachtwoordmanager-leveranciers implementeren ZKE om de privacy en veiligheid van gebruikers te verbeteren door ervoor te zorgen dat de vault data niet kan worden gemanipuleerd.

Het onderzoek heeft 12 verschillende aanvallen op Bitwarden, zeven op LastPass en zes op Dashlane blootgelegd. Deze variëren van integriteitschendingen van de vaults van individuele gebruikers tot een volledige compromittering van alle vaults die aan een organisatie zijn gekoppeld. Gezamenlijk bedienen deze wachtwoordbeheeroplossingen meer dan 60 miljoen gebruikers en bijna 125.000 bedrijven.

De aanvallen vallen onder vier brede categorieën: aanvallen die het "Key Escrow" account recovery mechanisme misbruiken om de vertrouwelijkheid van Bitwarden en LastPass te compromitteren, aanvallen die gebruikmaken van gebrekkige item-level encryptie om integriteit te schenden, metadata te lekken en key derivation function (KDF) te downgraden, aanvallen die sharing features misbruiken om de integriteit en vertrouwelijkheid van vaults te compromitteren, en aanvallen die backwards compatibility met legacy code misbruiken, wat resulteert in downgrade aanvallen in Bitwarden en Dashlane.

Het onderzoek toonde ook aan dat 1Password kwetsbaar is voor zowel item-level vault encryptie als sharing aanvallen. 1Password behandelt deze echter als reeds bekende architecturale beperkingen. Jacob DePriest, CISO en CIO bij 1Password, gaf aan dat het security team het onderzoek heeft bekeken en geen nieuwe aanvalsvectoren heeft gevonden buiten die welke reeds zijn gedocumenteerd in de Security Design White Paper.

Bitwarden, Dashlane en LastPass hebben maatregelen geïmplementeerd om de risico's te beperken. LastPass is van plan om de admin password reset en sharing workflows te versterken. Dashlane heeft een probleem verholpen waarbij een succesvolle compromittering van de servers een downgrade van het encryptiemodel mogelijk zou maken. Dit probleem is verholpen door de ondersteuning voor legacy cryptografie methoden te verwijderen met Dashlane Extension versie 6.2544.1, uitgebracht in november 2025. Bitwarden geeft aan dat alle geïdentificeerde problemen worden aangepakt. LastPass werkt aan het toevoegen van sterkere integriteitsgaranties. Er zijn geen aanwijzingen dat deze problemen in het wild zijn misbruikt.

Bron: Support | Bron 2: agilebits.github.io | Bron 3: dashlane.com | Bron 4: bitwarden.com

Het op privacy gerichte besturingssysteem Tails heeft een noodpatch uitgebracht vanwege verschillende kritieke kwetsbaarheden in de Linux-kernel. De beveiligingslekken, aangeduid als DSA 6126-1, stellen een applicatie die met Tails wordt meegeleverd in staat om admin-rechten te verkrijgen. Volgens de ontwikkelaars van Tails kan een aanvaller, indien die andere onbekende kwetsbaarheden weet te misbruiken in een applicatie die in Tails zit, DSA 6126-1 gebruiken om volledige controle over het systeem te krijgen en de gebruiker te de-anonimiseren.

De ontwikkelaars achten een dergelijke aanval zeer onwaarschijnlijk, maar niet onmogelijk voor een 'sterke aanvaller', zoals een overheid of een 'hacking firm'. Er zijn geen bekende gevallen van misbruik van deze kwetsbaarheden. DSA 6126-1 omvat in totaal 252 kwetsbaarheden die een aanvaller in staat stellen zijn rechten te verhogen, een denial of service te veroorzaken of bepaalde informatie te achterhalen. Op 9 februari is er een Linux-beveiligingsupdate verschenen om de problemen te verhelpen.

Tails, wat staat voor The Amnesic Incognito Live System, is een volledig op Linux gebaseerd besturingssysteem dat is ontwikkeld om de privacy en anonimiteit van gebruikers te beschermen. Het besturingssysteem kan vanaf een usb-stick of dvd worden gestart en maakt gebruik van het Tor-netwerk om het ip-adres van de gebruiker af te schermen. Daarnaast biedt het diverse op privacy gerichte applicaties. Gebruikers van Tails worden opgeroepen om te updaten naar versie 7.4.2. Eind januari bracht Tails ook al een noodpatch uit vanwege een kwetsbaarheid in OpenSSL, waardoor het mogelijk was om het echte ip-adres van Tor-gebruikers te achterhalen.

Bron: Tails | Bron 2: blog.torproject.org | Bron 3: lists.debian.org

Een recent ontdekte kwetsbaarheid met een hoge impact in Apache NiFi stelt systemen bloot aan een autorisatie bypass, waardoor gebruikers met beperkte privileges mogelijk beperkte componenten kunnen wijzigen. De kwetsbaarheid, geregistreerd als CVE-2026-25903, treft Apache NiFi versies 1.1.0 tot en met 2.7.2 en is verholpen in versie 2.8.0.

Volgens de security advisory van Apache NiFi ontstaat het probleem door ontbrekende autorisatiecontroles bij het bijwerken van configuratie-eigenschappen van extensiecomponenten die zijn geannoteerd als Restricted. Deze restricted componenten vereisen extra privileges om te worden toegevoegd aan de data flow configuratie, zodat alleen vertrouwde gebruikers gevoelige verwerkingslogica kunnen wijzigen. Echter, door een fout in het autorisatiemodel van het framework, kon een minder bevoegde gebruiker, zodra een restricted component was toegevoegd door een bevoegde gebruiker, de configuratieparameters wijzigen zonder de juiste validatie. Deze ontwerpfout omzeilt effectief de beoogde permissiegrenzen, waardoor gebruikers met beperkte rechten onbedoelde toegang krijgen tot het wijzigen van gevoelige bewerkingen binnen een NiFi workflow.

Aanvallers die deze kwetsbaarheid misbruiken, kunnen knoeien met data flow configuraties, onveilige systeemcommando's activeren of de proceslogica wijzigen in omgevingen die afhankelijk zijn van restricted componenten.

De kwetsbaarheid werd verantwoordelijk gerapporteerd door David Handermann en gecategoriseerd als 'High severity' door het Apache’s Project Management Committee op basis van CVSS evaluatie. Het NiFi team benadrukte dat het exploitatie risico afhangt van de manier waarop autorisatieniveaus zijn geïmplementeerd. In omgevingen met autorisatieniveaus ervaren installaties zonder duidelijke privilege niveaus voor restricted componenten minder blootstelling.

Apache NiFi wordt veel gebruikt voor het bouwen van data flow automation pipelines, waardoor deze fout bijzonder relevant is voor organisaties die gevoelige of gereguleerde datastromen verwerken. Gebruikers wordt ten zeerste aangeraden om te upgraden naar NiFi 2.8.0 of later om ervoor te zorgen dat de juiste autorisatie wordt afgedwongen voor alle restricted component updates. Apache moedigt verantwoordelijke openbaarmaking van kwetsbaarheden aan via de private security mailing list op security@nifi.apache.org en dringt er bij gebruikers op aan om geen technische details publiekelijk bekend te maken totdat er een geverifieerde oplossing is vrijgegeven.

Bron: Apache

Er is een Server-Side Request Forgery (SSRF) kwetsbaarheid ontdekt in het langchain/community pakket, die versies tot 1.1.13 treft. De kwetsbaarheid, geregistreerd als CVE-2026-26019, heeft een "moderate" risico classificatie met een CVSS 3.1 score, vanwege de mogelijkheid om gevoelige cloud metadata en interne infrastructuur bloot te leggen.

De kwetsbaarheid is aanwezig in de RecursiveUrlLoader class, die recursieve web crawling uitvoert. Standaard beperkt deze class het crawlen tot hetzelfde domein met behulp van de preventOutside optie. De originele implementatie valideerde URLs echter met JavaScript’s String.startsWith() methode, een niet-semantische controle waardoor crafted subdomeinen (bijv. https://example.com.attacker.com) de restrictie konden omzeilen.

Daarnaast blokkeerde de crawler geen toegang tot private of gereserveerde IP-adressen, waardoor aanvallers verzoeken konden richten op cloud metadata endpoints (169.254.169.254), localhost, of interne netwerken (10.x, 172.16.x, 192.168.x). GHSA-gf3v-fwqg-4vh7 is vorige week gepubliceerd op GitHub Advisory en toegevoegd aan de National Vulnerability Database (NVD).

Deze kwetsbaarheid maakte het mogelijk om IAM credentials, tokens, of interne service data te compromitteren in cloud-hosted omgevingen waar LangChain draait met privileged network access. Een aanvaller die kwaadaardige links in user-generated of publiekelijk gecrawlde content plaatst, kan deze zwakte misbruiken om cloud metadata en credentials van AWS, GCP, of Azure op te halen, interne APIs en services te onderzoeken of ermee te interageren die alleen toegankelijk zijn binnen het private netwerk, en data exfiltratie te veroorzaken via redirect chains.

Het exploit vereist minimale privileges, maar is wel afhankelijk van user interactie, zoals het crawlen van een gemanipuleerde pagina. LangChain heeft deze kwetsbaarheid verholpen in versie 1.1.14 door de losse prefix check te vervangen door strikte origin validatie via de URL API en door nieuwe SSRF filters te introduceren in @langchain/core/utils/ssrf. De update blokkeert nu verzoeken naar private, loopback, cloud metadata, en non-HTTP(S) schemes. Gebruikers die niet kunnen updaten wordt aangeraden om RecursiveUrlLoader niet te draaien op onbetrouwbare content en de component te isoleren in omgevingen die geen interne netwerken of metadata services kunnen bereiken.

Bron: GitHub | Bron 2: example.com.attacker.com

Onderzoekers van ETH Zurich hebben 25 ernstige kwetsbaarheden ontdekt in drie toonaangevende cloud-gebaseerde wachtwoordmanagers: Bitwarden, LastPass en Dashlane. Deze kwetsbaarheden stellen een kwaadwillende server in staat om de "zero-knowledge encryption" claims te omzeilen, waardoor ongeautoriseerde toegang, wijziging en herstel van de opgeslagen wachtwoorden en kluisgegevens van gebruikers mogelijk wordt.

Bitwarden, LastPass en Dashlane bedienen samen meer dan 60 miljoen gebruikers en hebben een aanzienlijk marktaandeel. De analyse richt zich op hun client-server interacties onder een volledig kwaadaardig server bedreigingsmodel, waarbij servers willekeurig afwijken van protocollen. Leveranciers adverteren met "zero-knowledge encryption", wat impliceert dat servers geen toegang hebben tot plaintext kluizen, zelfs niet als ze gecompromitteerd zijn, maar de onderzoekers tonen herhaalde mislukkingen aan in vertrouwelijkheid- en integriteitsbescherming.

De 25 aanvallen zijn onderverdeeld in vier categorieën: key escrow mechanismen, item-level kluis encryptie fouten, sharing features en backwards compatibility problemen. Deze richten zich op account recovery en SSO login mechanismen die volledige kluis compromittering mogelijk maken via niet-geauthenticeerde sleutels. Bitwarden's BW01-BW03 staan kwaadaardige auto-enrollment, key rotation en KC conversie toe door middel van key substitutie bij het toetreden tot organisaties of dialogen. LastPass's LP01 maakt op soortgelijke wijze gebruik van wachtwoord reset fouten.

Gebrekkige per-item encryptie leidt tot integriteitsschendingen, metadata lekken, field swapping en KDF downgrades. Bitwarden's BW04-BW07 leggen onbeschermde metadata bloot, wisselen velden, decoderen iconen en verwijderen iteraties voor brute-force. LastPass LP02-LP06 en Dashlane DL01 maken kneedbare kluizen en replay aanvallen mogelijk vanwege AES-CBC en ontbrekende bindingen.

Niet-geauthenticeerde publieke sleutels compromitteren organisaties en gedeelde kluizen. Bitwarden's BW08-BW09 injecteren of overschrijven organisaties; LastPass LP07 en Dashlane DL02 overschrijven sharing keys bij het toetreden. De impact schaalt naar team-wide toegang.

Legacy code ondersteuning triggert downgrades naar onveilige modi zoals CBC. Bitwarden's BW10-BW12 schakelen beschermingen uit en overschrijven sleutels; Dashlane's DL03-DL06 maken injecties, KDF verwijdering en "Lucky 64" mogelijk na syncs. Dashlane heeft dit verholpen via extensie 6.2544.1.

In Bitwarden omvatten 12 aanvallen kwaadaardige auto-enrollment (BW01), waarbij niet-geauthenticeerde organisatie publieke sleutels key substitutie en volledige kluis compromittering mogelijk maken bij het toetreden tot een groep. LastPass kampt met zeven problemen, zoals het ontbreken van ciphertext integriteit met AES-CBC (LP05), waardoor kneedbare kluizen en field swapping mogelijk wordt. Dashlane heeft zes kwetsbaarheden, zoals transaction replay (DL01) vanwege gedeelde sleutels over transacties, wat de kluis integriteit schendt.

Veel aanvallen vereisen minimale interactie, zoals een enkele login of sync, waarbij gebruik wordt gemaakt van niet-geauthenticeerde publieke sleutels, ontbrekende key separation en legacy AES-CBC ondersteuning. Icon URL decryptie lekken (BW06, LP03) onthullen bijvoorbeeld wachtwoorden via client requests. KDF iteratie downgrades (BW07, LP04) versnellen brute-force tot 300.000x.

Onderzoekers hebben hun bevindingen op verantwoorde wijze bekendgemaakt: Bitwarden op 27 januari 2025, LastPass op 4 juni 2025 en Dashlane op 29 augustus 2025, met 90-dagen herstelperiodes. Bitwarden heeft geavanceerde fixes voor verschillende problemen, waaronder minimum KDF iteraties en CBC verwijdering; LastPass heeft LP03 aangepakt; Dashlane heeft enkele CBC problemen verminderd. Aanbevolen mitigaties omvatten authenticated encryption (AE), full key separation (KS), public key authentication (PKA) en ciphertext signing (SC).

Gebruikers wordt aangeraden clients bij te werken, per-item keys in te schakelen waar beschikbaar, en vendor patches te controleren. De studie dringt aan op formele beveiligingsmodellen voor wachtwoordmanagers, vergelijkbaar met E2EE cloudopslag. Self-hosted deployments blijven kwetsbaar als servers gecompromitteerd zijn.

Bron: ETH Zurich | Bron 2: ethz.ch

Het onderzoeksteam van Intruder heeft een nieuwe methode voor geheimendetectie ontwikkeld en 5 miljoen applicaties gescand op verborgen geheimen in JavaScript-bundels. De resultaten tonen aan dat er een groot gat is in de manier waarop de industrie single-page applicaties beveiligt. De analyse bracht meer dan 42.000 blootgestelde tokens aan het licht, verdeeld over 334 verschillende soorten geheimen.

De meest kritieke blootleggingen waren tokens voor code repository platforms zoals GitHub en GitLab. In totaal werden 688 tokens gevonden, waarvan vele nog actief waren en volledige toegang gaven tot repositories. In één geval werd een persoonlijk GitLab-toegangstoken rechtstreeks in een JavaScript-bestand ingebed. Dit token gaf toegang tot alle private repositories binnen de organisatie, inclusief CI/CD-pipeline geheimen voor services zoals AWS en SSH.

Een andere blootlegging betrof een API-sleutel voor Linear, een projectmanagement applicatie, die direct in de front-end code was ingebed. Dit token gaf toegang tot de volledige Linear-instantie van de organisatie, inclusief interne tickets, projecten en links naar downstream services en SaaS-projecten.

Verder werden er blootgestelde geheimen gevonden voor een breed scala aan andere services, waaronder CAD software API's (toegang tot gebruikersdata, project metadata en gebouwontwerpen, inclusief een ziekenhuis), e-mailplatforms (toegang tot mailinglijsten, campagnes en subscriber data), webhooks voor chat- en automation platforms (213 Slack, 2 Microsoft Teams, 1 Discord en 98 Zapier, allemaal actief), PDF converters (toegang tot third-party document generatie tools), sales intelligence en analytics platforms (toegang tot gescrapede bedrijfs- en contactdata) en link shorteners (mogelijkheid om links te creëren en te enumereren).

Traditionele scanners missen deze geheimen vaak omdat ze geen JavaScript "spreken". Static Application Security Testing (SAST) tools analyseren broncode om kwetsbaarheden te identificeren en zijn effectief in het opsporen van hardcoded credentials. Echter, sommige geheimen in JavaScript-bundels glippen door de mazen van de statische analyse. Dynamic Application Security Testing (DAST) tools zijn robuuster, maar zijn duurder, vereisen in-depth configuratie en worden meestal gereserveerd voor een klein aantal high-value applicaties.

Intruder heeft geautomatiseerde SPA-geheimendetectie ingebouwd in hun tool om deze problemen aan te pakken.

Bron: Intruder | Bron 2: github.com

Op 17 februari 2026 wordt de lijst van meest besproken kwetsbaarheden op sociale media aangevoerd door CVE-2025-32433, een kritieke kwetsbaarheid met de maximale CVSS-score van 10.0 in de Erlang/OTP SSH-server. Deze kwetsbaarheid, gepubliceerd op 17 april 2025, stelt een aanvaller in staat om zonder authenticatie willekeurige code uit te voeren via foutieve afhandeling van SSH-protocolberichten. Er is een exploit voor bekend. Met een hype-score van 10 trekt dit lek veruit de meeste aandacht.

Op de tweede plaats staat CVE-2025-61922, een kritieke kwetsbaarheid (CVSS 9.1) in de PrestaShop Checkout-module die gebruikmaakt van het PayPal-partnerschap. Via Express Checkout kunnen aanvallers zonder authenticatie accounts overnemen door middel van e-mailadressen. Patches zijn beschikbaar in versies 4.4.1 en 5.0.5. Deze kwetsbaarheid werd gepubliceerd op 16 oktober 2025 en heeft een hype-score van 6.

Een oudere maar opnieuw opvallend populaire kwetsbaarheid is CVE-2024-43468 (CVSS 9.8), een SQL-injectielek in Microsoft Configuration Manager (SCCM). Hierdoor kan een ongeauthenticeerde aanvaller willekeurige SQL-query's uitvoeren op de sitedatabase. De kwetsbaarheid werd gepubliceerd op 8 oktober 2024 en er is een exploit voor bekend.

Twee recent gepubliceerde kwetsbaarheden trekken eveneens de aandacht. CVE-2025-40536 (CVSS 8.1), gepubliceerd op 28 januari 2026, betreft een beveiligingsbypass in SolarWinds Web Help Desk waarmee een ongeauthenticeerde aanvaller CSRF-bescherming kan omzeilen en toegang verkrijgt een geheugencorruptie in Apple's dyld-component die willekeurige code-uitvoering mogelijk maakt. Dit lek wordt volgens de beschikbare informatie reeds gebruikt in geavanceerde gerichte aanvallen en is gepatcht in iOS/macOS/watchOS/tvOS 26.3. Voor beide kwetsbaarheden zijn exploits bekend.

Daarnaast staat CVE-2025-15556 (CVSS 7.7) in de lijst, een kwetsbaarheid in de WinGUp-updater van Notepad++ (vóór versie 8.8.9). Doordat er geen cryptografische verificatie wordt uitgevoerd op updates, kan een aanvaller kwaadaardige installers laten uitvoeren. Ook voor dit lek is een exploit bekend.

Opvallend is CVE-2025-68947 (CVSS 5.7), een kwetsbaarheid in de NSecsoft NSecKrnl Windows-driver waardoor een lokale aanvaller processen van andere gebruikers kan beëindigen, inclusief SYSTEM-processen. Dit lek wordt actief misbruikt door de Black Basta-ransomwaregroep via een zogenoemde BYOVD-aanval (Bring Your Own Vulnerable Driver).

Verder staan CVE-2025-30208 (CVSS 5.3) en CVE-2025-55182 (CVSS 10.0) op de lijst. De eerste betreft een kwetsbaarheid in de frontend-tool Vite waarmee bestandstoegangsrestricties omzeild kunnen worden via manipulatie van URL-queryparameters, al is dit alleen van toepassing wanneer de dev-server aan het netwerk is blootgesteld. De tweede is een kritieke ongeauthenticeerde RCE-kwetsbaarheid in React Server Components (v19.x) door onveilige deserialisatie, exploiteerbaar via een enkel HTTP-verzoek. Patches zijn beschikbaar voor zowel React als Next.js.

De lijst wordt afgesloten met CVE-2025-9961 (CVSS 8.6), een RCE-kwetsbaarheid in TP-Link routers via een stack-based buffer overflow in de CWMP-binary. Aanvallers kunnen via vervormde SOAP-verzoeken volledige controle over de router verkrijgen.

Bron: Overzicht

Notepad++ heeft een "double-lock" mechanisme geïmplementeerd voor zijn update-systeem om recente beveiligingsproblemen aan te pakken die resulteerden in een supply-chain aanval. Het nieuwe mechanisme is geïntroduceerd in Notepad++ versie 8.9.2, die gisteren werd aangekondigd. De ontwikkeling begon echter al in versie 8.8.9 met de implementatie van de verificatie van het ondertekende installatieprogramma van GitHub.

Het tweede deel van het double-lock systeem is het controleren van de ondertekende XML van het notepad-plus-plus.org domein. In de praktijk betekent dit dat het XML-bestand dat wordt geretourneerd door de update service digitaal is ondertekend (XMLDSig). De combinatie van de twee verificatiemechanismen zorgt voor een robuuster en "effectief onexploiteerbaar" updateproces, aldus het team achter de populaire open-source tekst- en broncode editor.

Aanvullende beveiligingsgerichte wijzigingen die zijn toegepast op de auto-updater zijn: het verwijderen van libcurl.dll om het risico van DLL side-loading te elimineren, het verwijderen van twee onbeveiligde cURL SSL opties (CURLSSLOPT_ALLOW_BEAST en CURLSSLOPT_NO_REVOKE), en het beperken van de plugin management uitvoering tot programma's die zijn ondertekend met hetzelfde certificaat als WinGUp.

De aankondiging vermeldt ook dat gebruikers de auto-updater kunnen uitsluiten tijdens de UI-installatie of het MSI-pakket kunnen implementeren met: msiexec /i npp.8.9.2.Installer.x64.msi NOUPDATER=1.

Eerder deze maand onthulden Notepad++ en Rapid7 onderzoekers dat de update-infrastructuur was gecompromitteerd in een zes maanden durende campagne die werd toegeschreven aan Lotus Blossom, een dreigingsgroep die in verband wordt gebracht met China. Vanaf juni 2025 compromitteerde de kwaadwillende actor de hostingprovider die de Notepad++ updater beheerde en leidde selectief updateverzoeken van specifieke gebruikers om naar kwaadaardige servers. De aanvallen maakten gebruik van zwakke update verificatie controles in oudere versies van de software en gingen door tot de ontdekking op 2 december 2025. Uit de analyse van Rapid7 bleek dat de Chinese hackers een custom backdoor genaamd "Chrysalis" gebruikten als onderdeel van de aanvalsketen.

Naast de nieuw geïntroduceerde beveiligingsmaatregelen is het project onmiddellijk overgestapt naar een andere hostingprovider, zijn de credentials geroteerd en zijn de kwetsbaarheden die bij de ontdekte aanvallen werden misbruikt, verholpen. De aanbevolen actie voor alle Notepad++ gebruikers is om te upgraden naar versie 8.9.2 en ervoor te zorgen dat installatieprogramma's altijd worden gedownload van het officiële domein, notepad-plus-plus.org.

Bron: notepad-plus-plus.org | Bron: notepad-plus-plus.org

Kwetsbaarheden met hoge tot kritieke risico scores in populaire Visual Studio Code (VSCode) extensies, die gezamenlijk meer dan 128 miljoen keer zijn gedownload, kunnen worden misbruikt om lokale bestanden te stelen en op afstand code uit te voeren. De beveiligingsproblemen treffen Code Runner (CVE-2025-65715), Markdown Preview Enhanced (CVE-2025-65716), Markdown Preview Enhanced (CVE-2025-65717) en Microsoft Live Preview (geen identifier toegewezen).

Onderzoekers van applicatiebeveiligingsbedrijf Ox Security ontdekten de kwetsbaarheden en probeerden deze sinds juni 2025 te melden. Volgens de onderzoekers reageerde echter geen enkele onderhouder. VSCode extensies zijn add-ons die de functionaliteit van Microsofts geïntegreerde ontwikkelomgeving (IDE) uitbreiden. Ze kunnen taalondersteuning, debugging tools, thema's en andere functionaliteit of aanpassingsopties toevoegen. Ze werken met aanzienlijke toegang tot de lokale ontwikkelomgeving, inclusief bestanden, terminals en netwerk resources.

Ox Security publiceerde rapporten voor elk van de ontdekte kwetsbaarheden en waarschuwde dat het behouden van de kwetsbare extensies de bedrijfsomgeving kan blootstellen aan laterale beweging, data exfiltratie en systeemaanvallen. Een aanvaller die de kritieke kwetsbaarheid CVE-2025-65717 in de Live Server extensie misbruikt (meer dan 72 miljoen downloads op VSCode) kan lokale bestanden stelen door het doelwit naar een kwaadaardige webpagina te leiden.

De CVE-2025-65715 kwetsbaarheid in de Code Runner VSCode extensie, met 37 miljoen downloads, maakt remote code execution mogelijk door het configuratiebestand van de extensie te wijzigen. Dit kan worden bereikt door het doelwit te misleiden tot het plakken of toepassen van een kwaadaardig configuratie snippet in het globale settings.json bestand.

CVE-2025-65716, met een hoge risico score van 8.8, treft de Markdown Preview Enhanced (8.5 miljoen downloads) en kan worden gebruikt om JavaScript uit te voeren via een kwaadaardig Markdown bestand. Ox Security onderzoekers ontdekten een one-click XSS kwetsbaarheid in versies van Microsoft Live Preview voor 0.4.16. Deze kan worden misbruikt om toegang te krijgen tot gevoelige bestanden op de machine van een ontwikkelaar. De extensie heeft meer dan 11 miljoen downloads op VSCode.

De kwetsbaarheden in de extensies zijn ook van toepassing op Cursor en Windsurf, dit zijn AI-aangedreven VSCode-compatibele alternatieve IDE's. Het rapport van Ox Security benadrukt dat de risico's die verbonden zijn aan een dreigingsactor die de problemen misbruikt, onder meer het draaien op het netwerk en het stelen van gevoelige details zoals API keys en configuratiebestanden omvatten.

Ontwikkelaars wordt geadviseerd om te vermijden localhost servers te draaien, tenzij dit noodzakelijk is, om geen niet-vertrouwde HTML te openen terwijl ze draaien, en om geen niet-vertrouwde configuraties toe te passen of snippets in settings.json te plakken. Ook is het raadzaam om onnodige extensies te verwijderen en alleen extensies van gerenommeerde uitgevers te installeren, terwijl men moet controleren op onverwachte wijzigingen in de instellingen.

Bron: Ox Security | Bron 2: ox.security

Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft vier nieuwe kwetsbaarheden toegevoegd aan de Known Exploited Vulnerabilities (KEV) catalogus, op basis van bewijs van actieve exploitatie. Deze kwetsbaarheden vormen een significant risico voor de federale overheid.

De toegevoegde kwetsbaarheden zijn: CVE-2008-0015, een remote code execution kwetsbaarheid in de Microsoft Windows Video ActiveX Control; CVE-2020-7796, een Server-Side Request Forgery (SSRF) kwetsbaarheid in Synacor Zimbra Collaboration Suite (ZCS); CVE-2024-7694, een unrestricted upload van bestanden met gevaarlijke types kwetsbaarheid in TeamT5 ThreatSonar Anti-Ransomware; en CVE-2026-2441, een use-after-free kwetsbaarheid in Google Chromium CSS.

Binding Operational Directive (BOD) 22-01 verplicht federale civiele uitvoerende tak (FCEB) agentschappen om de geïdentificeerde kwetsbaarheden te verhelpen voor de gestelde deadline, om FCEB-netwerken te beschermen tegen actieve bedreigingen. Hoewel BOD 22-01 alleen van toepassing is op FCEB-agentschappen, adviseert CISA alle organisaties om hun blootstelling aan cyberaanvallen te verminderen door prioriteit te geven aan tijdige herstel van KEV-catalogus kwetsbaarheden als onderdeel van hun vulnerability management praktijk.

CISA zal de catalogus blijven aanvullen met kwetsbaarheden die aan de gestelde criteria voldoen.

Bron: CISA | Bron 2: cve.org

De Cybersecurity and Infrastructure Security Agency (CISA) heeft op 17 februari 2026 een ICS Advisory (ICSA-26-048-01) gepubliceerd over zes kwetsbaarheden in Siemens Simcenter Femap en Simcenter Nastran. Dit zijn veelgebruikte softwarepakketten voor eindige-elementenanalyse (FEA) in industriele en technische omgevingen.

De kwetsbaarheden zitten in de manier waarop de software bestanden in NDB- en XDB-formaat verwerkt. Wanneer een gebruiker een speciaal geprepareerd bestand opent, kan de applicatie crashen of - in het ergste geval - kan een aanvaller willekeurige code uitvoeren op het systeem. Dit type aanval vereist wel dat een gebruiker het kwaadaardige bestand daadwerkelijk opent, bijvoorbeeld via een phishingmail of een gedeelde netwerklocatie.

Het gaat om zes kwetsbaarheden met de volgende CVE-nummers: CVE-2026-23715, CVE-2026-23716, CVE-2026-23717, CVE-2026-23718, CVE-2026-23719 en CVE-2026-23720. Alle versies van Simcenter Femap en Simcenter Nastran voor versie V2512 zijn kwetsbaar.

Siemens heeft versie V2512 uitgebracht waarin alle zes kwetsbaarheden zijn verholpen. Organisaties die deze software gebruiken wordt aangeraden zo snel mogelijk te updaten. Siemens heeft de details gepubliceerd in beveiligingsadvies SSA-965753.

Bron: CISA | Bron 2: Siemens ProductCERT | Bron 3: cve.org

Een kritieke Remote Code Execution (RCE)-kwetsbaarheid in Mozilla Firefox werd veroorzaakt door een simpele typfout in de WebAssembly garbage collection code van de SpiderMonkey JavaScript engine. Een ontwikkelaar typte per ongeluk "&" (bitwise AND) in plaats van "|" (bitwise OR).

Security researcher Erge ontdekte de fout tijdens het bestuderen van de Firefox 149 Nightly source code, op zoek naar inspiratie voor een CTF-challenge. Hij slaagde erin de kwetsbaarheid te exploiteren en code uit te voeren binnen het Firefox renderer proces.

De kwetsbaarheid werd geïntroduceerd in commit fcc2f20e35ec tijdens het refactoren van WebAssembly GC array metadata in het bestand js/src/wasm/WasmGcObject.cpp. De problematische regel luidde `oolHeaderOld->word = uintptr_t(oolHeaderNew) & 1;` terwijl dit `oolHeaderOld->word = uintptr_t(oolHeaderNew) | 1;` had moeten zijn.

Door pointer alignment evalueert de bitwise AND operatie met 1 altijd naar 0. Hierdoor sloeg de code nul op in plaats van de bedoelde forwarding pointer met de minst significante bit gezet. Deze typfout creëerde een memory-corruption kwetsbaarheid door out-of-line (OOL) WebAssembly arrays incorrect te taggen als inline (IL) arrays. Dit zorgde ervoor dat de garbage collector geheugenreferenties verkeerd behandelde.

De bug bevindt zich in SpiderMonkey's WebAssembly GC implementatie en treft specifiek de `WasmArrayObject::obj_moved()` functie, die wordt aangeroepen wanneer de garbage collector Wasm arrays verplaatst tussen geheugenlocaties. Wanneer een OOL array wordt verplaatst, moet de GC een forwarding pointer achterlaten in de header van de oude buffer, zodat Ion (SpiderMonkey's JIT compiler) de nieuwe locatie van de data kan vinden. De forwarding pointer wordt onderscheiden van normale headers door de LSB op 1 te zetten. De typfout zorgde ervoor dat de forwarding pointer op 0 werd gezet, wat onbedoeld voldeed aan de voorwaarde om een array te identificeren als inline in de `isDataInline()` functie: `return (headerWord & 1) == 0;`.

Deze kwetsbaarheid is alleen te triggeren binnen WebAssembly functies die geoptimaliseerd zijn door Ion, omdat het mechanisme niet bestaat in de Baseline compiler. Researcher Erge ontwikkelde een proof-of-concept exploit die arbitrary read/write primitives en volledige RCE bereikte via de volgende stappen:

1. Een minor garbage collection triggeren, waardoor 0 wordt opgeslagen in de forwarding pointer.

2. Ion's `wasm::Instance::updateFrameForMovingGC` functie identificeert de array incorrect als inline vanwege de nul forwarding pointer.

3. De functie retourneert het oude array adres in plaats van het nieuwe, waardoor stack frame updates worden voorkomen.

4. Een use-after-free (UAF) conditie creëren, omdat Ion doorgaat met het gebruiken van het vrijgegeven array geheugen.

5. Heap spraying uitvoeren met waarden zoals `0x41414141` om vrijgegeven geheugen terug te winnen.

6. Arbitrary read/write bereiken door de geïnterpreteerde OOL array base address te controleren.

7. ASLR omzeilen door objecten te sprayen die binary-relative pointers bevatten.

8. Een vtable overschrijven om RIP te kapen en arbitrary systeemcommando's uit te voeren.

De uiteindelijke exploit genereerde succesvol een shell (`/bin/sh`) door de `system()` functie aan te roepen.

De kwetsbaarheid trof alleen Firefox 149 Nightly builds en bereikte nooit een release versie, waardoor wijdverspreide exploitatie werd voorkomen. Mozilla's security team reageerde snel om de fout te patchen, en beide security researchers die de bug onafhankelijk ontdekten, ontvingen een gedeelde bounty beloning.

Bron: Erge | Bron 2: kqx.io

De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft op dinsdag vier beveiligingslekken toegevoegd aan haar Known Exploited Vulnerabilities (KEV) catalogus, waarbij het bewijs van actieve exploitatie in het wild wordt aangehaald.

De lijst met kwetsbaarheden is als volgt:

* CVE-2026-2441 (CVSS score: 8.8) - Een use-after-free kwetsbaarheid in Google Chrome die een externe aanvaller in staat zou kunnen stellen heap corruptie te exploiteren via een speciaal vervaardigde HTML-pagina.

* CVE-2024-7694 (CVSS score: 7.2) - Een arbitrary file upload kwetsbaarheid in TeamT5 ThreatSonar Anti-Ransomware versies 3.4.5 en eerder, die een aanvaller in staat zou kunnen stellen om kwaadaardige bestanden te uploaden en arbitrary system command execution op de server te bereiken.

* CVE-2020-7796 (CVSS score: 9.8) - Een server-side request forgery (SSRF) kwetsbaarheid in Synacor Zimbra Collaboration Suite (ZCS) die een aanvaller in staat zou kunnen stellen om een speciaal vervaardigd HTTP-verzoek naar een remote host te sturen en ongeautoriseerde toegang te verkrijgen tot gevoelige informatie.

* CVE-2008-0015 (CVSS score: 8.8) - Een stack-based buffer overflow kwetsbaarheid in Microsoft Windows Video ActiveX Control die een aanvaller in staat zou kunnen stellen om remote code execution te bereiken door het opzetten van een speciaal vervaardigde webpagina.

De toevoeging van CVE-2026-2441 aan de KEV-catalogus komt dagen nadat Google heeft erkend dat "een exploit voor CVE-2026-2441 in het wild bestaat." Het is momenteel niet bekend hoe de kwetsbaarheid wordt misbruikt, maar dergelijke informatie wordt doorgaans achtergehouden totdat een meerderheid van de gebruikers is bijgewerkt met een fix om te voorkomen dat andere dreigingsactoren zich bij de exploitatie aansluiten.

Wat betreft CVE-2020-7796, een rapport gepubliceerd door threat intelligence firm GreyNoise in maart 2025 onthulde dat een cluster van ongeveer 400 IP-adressen actief meerdere SSRF-kwetsbaarheden exploiteerde, waaronder CVE-2020-7796, om kwetsbare instanties in de VS, Duitsland, Singapore, India, Litouwen en Japan te targeten.

"Wanneer een gebruiker een webpagina bezoekt die een exploit bevat die wordt gedetecteerd als Exploit:JS/CVE-2008-0015, kan deze verbinding maken met een remote server en andere malware downloaden," aldus Microsoft in zijn threat encyclopedia. Het zei ook dat het op de hoogte is van gevallen waarin de exploit wordt gebruikt om Dogkild te downloaden en uit te voeren, een worm die zich verspreidt via verwisselbare schijven.

De worm heeft de mogelijkheid om extra binaries op te halen en uit te voeren, bepaalde systeembestanden te overschrijven, een lange lijst van beveiligingsgerelateerde processen te beëindigen en zelfs het Windows Hosts-bestand te vervangen in een poging te voorkomen dat gebruikers toegang krijgen tot websites die zijn gekoppeld aan beveiligingsprogramma's.

Het is momenteel onduidelijk hoe de TeamT5 ThreatSonar Anti-Ransomware kwetsbaarheid wordt misbruikt. Federal Civilian Executive Branch (FCEB) agentschappen wordt aanbevolen om de nodige fixes toe te passen voor 10 maart 2026, voor optimale bescherming.

Bron: CISA | Bron 2: microsoft.com | Bron 3: twcert.org.tw

De afgelopen 24 uur trekken tien kwetsbaarheden bijzonder veel aandacht op sociale media. De zogenaamde hype-score, een cijfer tussen 0 en 100, geeft aan hoeveel belangstelling een CVE krijgt op basis van besprekingen in verschillende bronnen zoals sociale media, nieuwsberichten en andere openbare platforms. Een hogere score wijst op grotere urgentie of een ernstiger dreiging, wat beveiligingsteams helpt om snel te bepalen welke kwetsbaarheden prioriteit verdienen.

Op nummer 1 staat CVE-2025-32433 met de maximale hype-score van 10. Deze kwetsbaarheid in de Erlang/OTP SSH-server stelt aanvallers in staat om zonder authenticatie willekeurige code uit te voeren via netwerkaccess. De flaw zit in de verwerking van SSH-protocolberichten. De CVE werd gepubliceerd op 17 april 2025.

Drie kwetsbaarheden delen de tweede positie met een hype-score van 8. CVE-2025-13176, gepubliceerd op 30 januari 2026, betreft een DLL injection-probleem in ESET Inspect Connector voor Windows waarbij een lokale aanvaller via een aangepast configuratiebestand een kwaadaardige DLL kan laden met verhoogde privileges. CVE-2025-59793, bekend gemaakt op 17 februari 2026, is een SQL injection-kwetsbaarheid in Apartment Management System v1.0 in het bestand /setting/admin.php via het ddlBranch-argument, waardoor aanvallers database-informatie kunnen manipuleren of extraheren. Voor CVE-2025-32355, eveneens gepubliceerd op 17 februari 2026, is geen informatie beschikbaar, mogelijk is de CVE nog niet publiek bekend gemaakt of is het identifier incorrect.

Met een hype-score van 5 volgen vier kwetsbaarheden. CVE-2020-7796 uit 18 februari 2020 betreft een Server-Side Request Forgery in Zimbra Collaboration Suite versies voor 8.8.15 Patch 7 wanneer de WebEx zimlet is geïnstalleerd, waarbij aanvallers ongeautoriseerde requests kunnen versturen. CVE-2025-8088, gepubliceerd op 8 augustus 2025, is een path traversal-kwetsbaarheid in WinRAR voor Windows waarmee aanvallers via kwaadaardige archief-bestanden willekeurige code kunnen uitvoeren, deze werd geëxploiteerd in phishing-aanvallen met RomCom malware en is gepatcht in versie 7.13.

CVE-2024-7694 uit 12 augustus 2024 betreft een file upload-kwetsbaarheid in TeamT5 ThreatSonar Anti-Ransomware waarbij remote aanvallers met admin-rechten kwaadaardige bestanden kunnen uploaden om willekeurige systeemcommando's uit te voeren, deze staat in de CISA KEV Catalog. CVE-2025-68947, bekend gemaakt op 13 januari 2026, is een driver-kwetsbaarheid in NSecsoft NSecKrnl Windows driver waarbij lokale aanvallers via IOCTL requests processen van andere gebruikers kunnen beëindigen, inclusief SYSTEM en Protected Processes, deze wordt gebruikt door Black Basta ransomware.

De lijst wordt afgesloten met CVE-2025-31125, met een hype-score van 4, een arbitrary file read-kwetsbaarheid in Vite JavaScript framework uit 31 maart 2025 waarbij ongeauthenticeerde aanvallers via gemanipuleerde HTTP requests willekeurige bestanden kunnen lezen bij gebruik van --host configuratie, gepatcht in meerdere versies. Tot slot CVE-2024-43468 met score 3, een SQL injection in Microsoft Configuration Manager uit 8 oktober 2024 waarbij ongeauthenticeerde aanvallers via netwerkaccess naar een Management Point willekeurige SQL queries kunnen uitvoeren op de site database, wat kan leiden tot mogelijk RCE en credential theft.

Bron

Dell waarschuwt organisaties voor een kritieke kwetsbaarheid in Dell RecoverPoint for Virtual Machines, die al bijna twee jaar in het geheim is misbruikt. De kwetsbaarheid, aangeduid als CVE-2026-22769, heeft een CVSS-score van 10.0. RecoverPoint for Virtual Machines is een softwarematige oplossing voor back-up en disaster recovery die wordt geïnstalleerd op VMware ESXi-servers.

Volgens Dell betreft het lek hardcoded inloggegevens waardoor een ongeauthenticeerde aanvaller op afstand toegang kan krijgen tot het onderliggende besturingssysteem van de server met 'root-level persistence'. Google meldt dat de aanvallersgroep UNC6201 al sinds halverwege 2024 misbruik maakt van dit lek.

De aanvallers gebruiken het lek om commando's als root uit te voeren op de appliance. Ze installeren webshells en backdoors om toegang tot het gecompromitteerde systeem te behouden. Daarnaast maken ze tijdelijke nieuwe netwerkpoorten aan op bestaande virtuele machines die op een ESXI-server draaien. Via deze poorten bewegen de aanvallers zich naar interne en SaaS-omgevingen van de getroffen organisaties.

Google heeft Indicators of Compromise (IOC's) gedeeld waarmee organisaties kunnen controleren of hun systemen zijn gehackt via dit Dell-lek. Dell adviseert organisaties om de update voor CVE-2026-22769 zo snel mogelijk te installeren. Het is onbekend hoeveel organisaties via de kwetsbaarheid zijn aangevallen.

Bron: Dell

Een kritieke kwetsbaarheid in VoIP-telefoons van fabrikant Grandstream maakt het mogelijk voor een ongeauthenticeerde remote aanvaller om als root code op kwetsbare toestellen uit te voeren. Dit stelt securitybedrijf Rapid7 in een analyse. Na het uitvoeren van code kan de aanvaller een malafide SIP-proxy instellen om telefoongesprekken af te luisteren, wat nagenoeg onzichtbaar is. Grandstream heeft firmware-updates uitgebracht om het probleem te verhelpen.

De kwetsbaarheid, aangeduid als CVE-2026-2329, bevindt zich in een API endpoint van de VoIP-telefoon dat zonder authenticatie toegankelijk is voor remote aanvallers. Dit endpoint, dat standaard draait en remote toegankelijk is, is ontwikkeld om configuratiewaardes van de telefoon op te vragen. Een aanvaller kan hier misbruik van maken door een speciaal geprepareerd request naar de telefoon te sturen, wat leidt tot een stack buffer overflow.

Via de buffer overflow kan een aanvaller willekeurige code als root uitvoeren. Daarnaast is het ook mogelijk om via de kwetsbaarheid secrets van de telefoon te stelen, zoals inloggegevens van lokale en SIP-accounts. Tevens kan een aanvaller bij de telefoon een malafide SIP-proxy instellen en zo gesprekken afluisteren. Volgens de onderzoekers is het probleem om gesprekken via een proxy te onderscheppen niet een specifiek probleem voor Grandstream VoIP-telefoons, maar laat het de gevolgen zien waar remote code execution bij VoIP-telefoons toe kan leiden.

Rapid7 deelde details van de kwetsbaarheid op 22 januari met Grandstream. De fabrikant kwam vervolgens op 2 februari met firmware-updates voor de Grandstream GXP1610, GXP1615, GXP1620, GXP1625, GXP1628, en GXP1630 modellen. Op 18 februari zijn details van het probleem openbaar gemaakt, alsmede proof-of-concept exploitcode. De impact van CVE-2026-2329 is op een schaal van 1 tot en met 10 beoordeeld met een 9.3.

Bron: Rapid7

Novee Security heeft 16 zero-day kwetsbaarheden onthuld in populaire PDF-platforms, waaronder kritieke OS Command Injection, DOM-based XSS, SSRF en Path Traversal flaws in Apryse WebViewer (voorheen PDFTron) en Foxit PDF cloud services. Deze kwetsbaarheden treffen miljoenen enterprise gebruikers wereldwijd. Apryse en Foxit zijn op de hoogte gesteld en patches of mitigaties zijn gecoördineerd voorafgaand aan de publicatie.

Apryse WebViewer functioneert op drie lagen: een React-gebaseerde UI iframe die input accepteert van query strings, postMessage, remote JSON configuratie en URL fragments; een JavaScript/WebAssembly document engine voor het parseren en renderen; en een server-side SDK voor HTML-to-PDF conversie en thumbnail generatie. Novee's onderzoek combineerde menselijke intuïtie met een AI agent swarm. Onderzoekers identificeerden kwetsbaarheidspatronen en codeerden die in drie gespecialiseerde agents: Tracer, Resolver en Bypass.

De meest ernstige bevinding is een Critical OS Command Injection (CVSS 9.8) in de Foxit PDF SDK voor Web’s Node.js signature server. De `md` parameter van de POST request body wordt direct via string concatenation doorgegeven aan `process.execSync()`, met een `switch` statement dat een `default` case mist, waardoor shell metacharacters ongewijzigd blijven. Een ongeauthenticeerde POST request is voldoende voor remote code execution.

Een SSRF kwetsbaarheid (CVE-2025-70400, High) in Apryse WebViewer’s server-side iFrame rendering component stelt aanvallers in staat de server willekeurige content te laten fetchen en renderen, waardoor interne netwerk toegang en metadata wordt blootgesteld. CVE-2025-70402 (Critical) maakt misbruik van een trust boundary failure in Apryse WebViewer’s `uiConfig` query parameter, die wordt opgehaald als een remote URL, geparsed als JSON en toegepast op de UI. Een malicious `glyphfield` geïnjecteerd via de `uiConfig` JSON stroomt in `dangerouslySetInnerHTMLinIcon.js` zonder sanitization.

CVE-2025-70401 (High) is een Stored DOM XSS via het PDF annotation/T(author) field. De malicious author string stroomt via WebViewer’s Core layer in React’s internal `he()` DOM reconciliation helper, die het direct toewijst aan `innerHTML` zonder encoding. CVE-2025-66500 (Medium) treft Foxit’s `webplugins.foxit.com` embedded calculator component, wiens `postMessage` handler `t.data.origin` valideert—een volledig door de aanvaller gecontroleerd JSON veld in plaats van de browser-enforced `event.origin`.

Een High-severity Path Traversal in Foxit’s Collaboration Add-on (CVSS 7.5) staat unauthenticated directory listing toe via de `username` query parameter. Een enkele GET request — `GET /collab/api/files/list?username=../../../../etc`— retourneerde volledige `/etc/` directory listings inclusief `passwd`, `hosts` en `os-release`. Daarnaast zijn er 10 Stored XSS kwetsbaarheden in Foxit’s platform.

Gebruikers en enterprise teams die afhankelijk zijn van Apryse WebViewer of Foxit PDF SDK voor Web wordt aangeraden om beschikbare patches direct toe te passen, server-side signature server deployments te auditen op de missende `default` case in switch-based input validatie, en strikte Content-Security-Policy en `postMessage` origin validatie af te dwingen over alle embedded PDF componenten.

Bron: Novee Security | Bron 2: novee.security

Microsoft heeft bevestigd dat een bug in Microsoft 365 Copilot ervoor zorgt dat de AI-assistent sinds eind januari vertrouwelijke e-mails samenvat. Dit probleem omzeilt data loss prevention (DLP) policies die organisaties gebruiken om gevoelige informatie te beschermen.

Volgens een service alert, geregistreerd onder CW1226324 en voor het eerst ontdekt op 21 januari, beïnvloedt deze bug de "work tab" chatfunctie van Copilot. De bug leest en vat onjuist e-mails samen die zijn opgeslagen in de mappen Verzonden items en Concepten van gebruikers. Dit betreft ook berichten met vertrouwelijkheidslabels die expliciet zijn ontworpen om de toegang door geautomatiseerde tools te beperken.

Copilot Chat, de AI-gestuurde chat van Microsoft, stelt gebruikers in staat om te interageren met AI-agents. Microsoft begon in september 2025 met de uitrol van Copilot Chat naar Word, Excel, PowerPoint, Outlook en OneNote voor betalende Microsoft 365-bedrijven.

Microsoft verklaarde dat e-mailberichten van gebruikers met een vertrouwelijkheidslabel onjuist worden verwerkt door Microsoft 365 Copilot chat. De 'work tab' Chat van Microsoft 365 Copilot vat e-mailberichten samen, zelfs als deze e-mailberichten een gevoeligheidslabel hebben en een DLP-beleid is geconfigureerd.

Microsoft heeft inmiddels bevestigd dat een niet-gespecificeerde codefout de oorzaak is en is begin februari begonnen met het uitrollen van een oplossing. Het bedrijf zegt de implementatie te blijven volgen en neemt contact op met een deel van de getroffen gebruikers om te controleren of de oplossing werkt.

Microsoft heeft geen definitieve tijdlijn gegeven voor de volledige oplossing en heeft niet bekendgemaakt hoeveel gebruikers of organisaties zijn getroffen. Het incident is aangemerkt als een advies, wat doorgaans wordt gebruikt om serviceproblemen met een beperkte omvang of impact te beschrijven.

Bron: Microsoft

Een onderzoeker van Cisco Talos heeft een manier gevonden om de hardwarematige Code Read-out Protection (RDP) op de Socomec DIRIS M-70 gateway te omzeilen. In plaats van fysieke debugging, koos de onderzoeker voor een "good enough" emulatie-aanpak. Door zich te richten op het emuleren van slechts één thread, die verantwoordelijk is voor de Modbus-protocolafhandeling, toonde de auteur aan hoe een gestroomlijnde emulatiestrategie effectief kwetsbaarheden aan het licht kan brengen in complexe industriële Internet of Things (IoT)-apparaten.

De M-70 gateway is essentieel voor datacommunicatie via RS485- en Ethernet-netwerken en ondersteunt industriële communicatieprotocollen zoals Modbus RTU, Modbus TCP, BACnet IP en SNMP (v1, v2 en v3). Deze gateway is cruciaal voor energiebeheer in sectoren als kritieke infrastructuur, datacenters, de gezondheidszorg en de energiesector.

De onderzoeker stuitte op een debugging-probleem door de aanwezigheid van Code Read-out Protection (RDP) Level 1, een functie van STM32-microcontrollers die flashgeheugen beschermt. Dit niveau voorkomt het uitlezen van flashgeheugen tijdens debugger-toegang (bijv. JTAG), waardoor debugging van de actieve software werd verhinderd.

Het project bood twee belangrijke mogelijkheden met betrekking tot code- en geheugentoegang. Ten eerste was er een niet-versleuteld firmware-updatebestand beschikbaar, waardoor de code die naar flash zou worden geschreven toegankelijk was. Ten tweede was toegang tot SRAM toegestaan terwijl een debugger was aangesloten met RDP Level 1 ingeschakeld. Dit maakte het mogelijk om de inhoud van SRAM te dumpen tijdens de uitvoering van het apparaat en een momentopname van dynamische gegevens te maken.

De onderzoeker gebruikte de Unicorn Engine, een CPU-emulatieframework, om de Modbus-threadcode in een gecontroleerde softwareomgeving uit te voeren. De emulator werd geïmplementeerd met een toegangspunt in de Modbus-verwerkingsthread, na ontvangst van netwerkgegevens. Registers werden aangepast om te verwijzen naar gegevens afkomstig van de emulator, waarna de emulatie kon beginnen.

Vanwege de vele berichttypen die de Modbus-thread ondersteunt, werd AFL-fuzzing geïntegreerd in het Unicorn-script. AFL gebruikt coverage-guided test case generatie om het aantal verschillende onderzochte codepaden te maximaliseren. Voor het triëren van crashes werd udbserver gebruikt, een plugin voor de Unicorn engine die het debuggen van Unicorn-geëmuleerde code binnen GDB mogelijk maakt.

De Qiling framework werd gebruikt om code coverage visueel te observeren. De code coverage data van meerdere test inputs werd vergeleken om punten te identificeren waarop hun executiepaden uiteenliepen. Deze aanpak maakte snelle identificatie van de oorzaken van de crashes gegenereerd door AFL mogelijk.

Deze fuzzing campagne leidde tot de ontdekking van meerdere Modbus-berichten die een denial of service in het apparaat veroorzaakten, wat resulteerde in zes CVE's: CVE-2025-54848 t/m CVE-2025-54851 en CVE-2025-55221, CVE-2025-55222. De fabrikant is op de hoogte gesteld en heeft patches uitgebracht.

Bron: Cisco Talos | Bron 2: sec.cloudapps.cisco.com | Bron 3: github.com

Notepad++ heeft een beveiligingsupdate uitgebracht om een kwetsbaarheid te verhelpen die werd misbruikt door een Chinese dreigingsactor. Deze actor kaapte het update-mechanisme van de software om selectief malware te verspreiden onder specifieke doelwitten.

De update naar versie 8.9.2 bevat een "dubbele vergrendeling", zoals ontwikkelaar Don Ho het noemt, die het updateproces "robuust en effectief onuitbuitbaar" moet maken. Dit omvat de verificatie van het ondertekende installatieprogramma dat van GitHub wordt gedownload (geïmplementeerd in versie 8.8.9 en later), evenals de nieuw toegevoegde verificatie van de ondertekende XML die wordt geretourneerd door de update server op notepad-plus-plus[.]org.

Naast deze verbeteringen zijn er beveiligingsgerichte wijzigingen doorgevoerd in WinGUp, de auto-updater component:

* Verwijdering van libcurl.dll om het risico op DLL side-loading te elimineren.

* Verwijdering van twee onveilige cURL SSL-opties: CURLSSLOPT_ALLOW_BEAST en CURLSSLOPT_NO_REVOKE.

* Beperking van plugin management uitvoering tot programma's die zijn ondertekend met hetzelfde certificaat als WinGUp.

De update verhelpt ook een high-severity kwetsbaarheid (CVE-2026-25926, CVSS score: 7.3) die kan leiden tot arbitrary code execution in de context van de draaiende applicatie. "Een Unsafe Search Path kwetsbaarheid (CWE-426) bestaat bij het starten van Windows Explorer zonder een absolute executable path," aldus Ho. "Dit kan de uitvoering van een kwaadaardige explorer.exe mogelijk maken als een aanvaller de process working directory kan controleren. Onder bepaalde omstandigheden kan dit leiden tot arbitrary code execution in de context van de draaiende applicatie."

Deze ontwikkeling volgt op de bekendmaking van Notepad++ dat een inbreuk op het niveau van de hostingprovider ervoor zorgde dat dreigingsactoren vanaf juni 2025 updateverkeer konden kapen en verzoeken van bepaalde gebruikers konden omleiden naar kwaadaardige servers om een vergiftigde update te leveren. Het probleem werd begin december 2025 ontdekt.

Volgens Rapid7 en Kaspersky stelden de gemanipuleerde updates de aanvallers in staat om een eerder ongedocumenteerde backdoor genaamd Chrysalis te leveren. Het supply chain incident, bijgehouden onder de CVE identifier CVE-2025-15556 (CVSS score: 7.7), is toegeschreven aan een Chinese hacking groep genaamd Lotus Panda.

De aanval zou gericht zijn geweest op individuen en organisaties in Vietnam, El Salvador, Australië, de Filipijnen, de VS, Zuid-Amerika en Europa, verspreid over cloud hosting, energie, financiële, overheids-, productie- en softwareontwikkelingssectoren, volgens gegevens van Kaspersky en Palo Alto Networks Unit 42.

Notepad++ gebruikers wordt aangeraden om te updaten naar versie 8.9.2 en ervoor te zorgen dat de installatieprogramma's worden gedownload van het officiële domein.

Bron: notepad-plus-plus | Bron 2: github.com

Een grootschalige beveiligingsfout heeft de privégesprekken van miljoenen gebruikers blootgelegd, doordat een onbeveiligde database online toegankelijk was. Het lek, ontdekt door een onafhankelijke onderzoeker genaamd Harry, onthulde ongeveer 300 miljoen berichten van meer dan 25 miljoen gebruikers van Chat & Ask AI, een populaire app met meer dan 50 miljoen downloads in de Google Play en Apple App Stores.

De app, eigendom van het Turkse technologiebedrijf Codeway, fungeert als een ‘wrapper’ en biedt een enkele toegangspoort voor gebruikers om te communiceren met bekende AI-modellen zoals ChatGPT van OpenAI, Gemini van Google en Claude van Anthropic. Door de functie als toegangspoort tot meerdere systemen, kan een enkele technische fout een grote impact hebben op de privacy van de wereldwijde gebruikersbasis.

De oorzaak van het datalek was een Firebase misconfiguratie, waarbij de ‘Security Rules’ van Firebase, een Google-service voor het beheren van app-data, per ongeluk op publiek stonden. Hierdoor kon iedereen data lezen of verwijderen zonder wachtwoord. De blootgestelde data bevatte volledige chatgeschiedenissen en de specifieke namen die gebruikers aan hun AI-bots gaven. Ook werden ‘diep persoonlijke en verontrustende verzoeken’ gevonden, zoals ‘discussies over illegale activiteiten en verzoeken om hulp bij zelfdoding’.

Harry bouwde een tool om andere apps te scannen op dezelfde zwakte en ontdekte dat 103 van de 200 geteste iOS-apps hetzelfde probleem vertoonden, waardoor tientallen miljoenen bestanden werden blootgesteld. Hij heeft een website gemaakt waar gebruikers kunnen controleren of hun apps risico lopen.

Harry informeerde Codeway op 20 januari 2026 over het probleem. Hoewel het bedrijf de fout naar verluidt binnen enkele uren na de melding in al zijn apps heeft verholpen, is de database mogelijk lange tijd kwetsbaar geweest.

James Wickett, CEO van DryRun Security, merkte op dat het recente AI-chat app lek geen nieuwe exploit was, maar een bekende backend misconfiguratie, die gevaarlijker werd door de gevoeligheid van de betrokken data. Hij voegde eraan toe dat prompt injectie, data lekkage en onveilige output handling geen academische kwesties meer zijn zodra AI-systemen zijn aangesloten op echte producten.

Bron: 404media.co

De Duitse overheid heeft vastgesteld dat een kritieke kwetsbaarheid in Ivanti EPMM sinds de zomer van 2025 wordt misbruikt bij aanvallen. Ivanti bracht op 29 januari 2026 beveiligingsupdates uit voor dit probleem, dat bekend staat als CVE-2026-1281. Recentelijk bleek dat ook de Ivanti EPMM-servers van de Autoriteit Persoonsgegevens (AP) en de Raad voor de rechtspraak gehackt zijn.

Ivanti Endpoint Manager Mobile (EPMM) is een softwareoplossing voor het beheer van mobiele apparaten (MDM). Organisaties kunnen hiermee de mobiele apparaten van hun medewerkers op afstand beheren, bijvoorbeeld met betrekking tot toegestane applicaties of beleid. Een gecompromitteerde EPMM-server kan aanzienlijke gevolgen hebben.

Het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, ontdekte tijdens het onderzoek naar de aanvallen dat het misbruik al sinds de zomer van 2025 plaatsvindt. Het BSI adviseert organisaties die willen nagaan of hun Ivanti EPMM-server is gehackt, om hun systemen vanaf juli 2025 te onderzoeken. Het Nederlandse Cyber Security Centrum (NCSC) heeft eerder al scripts gepubliceerd om gehackte Ivanti EPMM-servers te detecteren. Het NCSC geeft aan dat er vervolgonderzoek nodig is om vast te stellen of de EPMM-server daadwerkelijk is gehackt bij het misbruik waarover de Duitse overheid bericht.

De Duitse autoriteiten hebben code oranje afgegeven voor de kwetsbaarheid, wat betekent dat organisaties onmiddellijk maatregelen moeten nemen, omdat het beveiligingslek tot een grote verstoring van de normale bedrijfsvoering kan leiden. Vorige week meldde The Shadowserver Foundation al een grote toename van pogingen om het Ivanti-lek te misbruiken.

Bron: NCSC

Een kritieke kwetsbaarheid in beveiligingscamera's van fabrikant Honeywell stelt een aanvaller in staat om mee te kijken met de videostream en mogelijk verdere aanvallen uit te voeren. Het Amerikaanse cyberagentschap CISA waarschuwt hiervoor. De vier verschillende typen beveiligingscamera's worden volgens CISA wereldwijd gebruikt, waaronder in vitale sectoren.

De beveiligingscamera's bevatten een API endpoint dat toegankelijk is voor een ongeauthenticeerde aanvaller. Via dit endpoint kan een aanvaller op afstand het e-mailadres aanpassen dat is ingesteld voor het resetten van het wachtwoord. Deze functie is bedoeld voor beheerders die hun wachtwoord zijn vergeten. Een aanvaller kan zo het wachtwoord resetten en inloggen op de camera. Vervolgens kan er met de videostream worden meegekeken, maar CISA waarschuwt dat een aanvaller zijn toegang tot de camera ook kan gebruiken om het achterliggende netwerk verder te compromitteren.

De impact van de kwetsbaarheid, aangeduid als CVE-2026-1670, is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Honeywell roept klanten op om contact op te nemen over een beveiligingsupdate. Het probleem speelt bij de Honeywell HIB2PI, SMB NDAA MVO-3, PTZ WDR 2MP 32M en PTZ WDR 2MP 32M.

Bron: CISA

Een kritieke authenticatie bypass kwetsbaarheid in de better-auth API keys plugin maakt het voor niet-geauthenticeerde aanvallers mogelijk om bevoorrechte API-sleutels te genereren voor willekeurige gebruikers.

Het beveiligingslek, geregistreerd als CVE-2025-61928, treft alle versies van de better-auth library vóór 1.3.26. Dit pakket kent ongeveer 300.000 wekelijkse npm downloads en verzorgt authenticatie voor organisaties variërend van startups tot ondernemingen zoals Equinor.

De kwetsbaarheid werd ontdekt op 1 oktober 2025, toen de geautomatiseerde SAST scanner van ZeroPath de canary branch van better-auth analyseerde tijdens het bouwen van third-party dependency assessment workflows voor grote organisaties.

ZeroPath ontdekte dat het lek zich bevindt in de createApiKeyhandler binnen de API keys plugin. De handler bepaalt of authenticatie vereist is met behulp van een conditional die controleert op de aanwezigheid van een sessie en of een userId veld in de request body voorkomt.

Wanneer er geen sessie bestaat, maar wel een userId is opgenomen in de JSON body, evalueert de authRequired variabele als false, waardoor de handler een user object direct construeert uit input die door de aanvaller wordt beheerd.

Deze foutieve control flow slaat de validatie branch over die normaal gesproken bevoorrechte velden zoals rateLimitMax, remaining, refillAmount en permissions blokkeert.

Hierdoor kan een niet-geauthenticeerde aanvaller een enkel POST request sturen naar /api/auth/api-key/create met het user ID van een slachtoffer in de body en een volledig geldige API-sleutel ontvangen die aan dat account is gekoppeld.

Dezelfde foutieve logica beïnvloedt ook de updateApiKeyhandler, waardoor het aanvalsoppervlak wordt uitgebreid naar credential modificatie. Het kwetsbare code pad bestaat in elke release die de API keys plugin bevat, wat betekent dat alle eerdere versies vatbaar zijn.

De impact is significant omdat API-sleutels doorgaans langer meegaan dan browser sessies en vaak verhoogde automatiserings privileges hebben. Met een geldige sleutel in handen kan een aanvaller multi-factor authenticatie volledig omzeilen en systematische account overnames scripten over bekende of te raden account identifiers.

Organisaties die de better-auth API keys plugin gebruiken, moeten onmiddellijk upgraden naar versie 1.3.26 of later, die de foutieve autorisatie controle verhelpt. Na de upgrade moeten alle API-sleutels die tijdens het exposure window via de plugin zijn gegenereerd, worden geroteerd en ongebruikte credentials ongeldig worden verklaard.

Verdedigers moeten applicatie- en reverse-proxy logs controleren op niet-geauthenticeerde aanroepen naar /api/auth/api-key/create of /api/auth/api-key/update, met name requests zonder geauthenticeerde sessie cookies waarbij de body de velden userId, rateLimitMax of permissions instelt.

Elke dubbelzinnige log activiteit rechtvaardigt een volledige credential heruitgifte voor getroffen accounts, gevolgd door monitoring op API gebruik afkomstig van onbekende IP-adressen of service tokens.

De beheerders van Better-auth reageerden snel na verantwoordelijke openbaarmaking en leverden binnen 24 uur een patch. De GitHub Security Advisory GHSA-99h5-pjcv-gr6v en CVE-2025-61928 toewijzing werden kort daarna gepubliceerd. De gecoördineerde tijdlijn van ontdekking tot publieke advisory besloeg slechts acht dagen, wat een sterke vendor responsiviteit weerspiegelt.

Bron: GitHub

OpenAI heeft in samenwerking met crypto-investeringsfirma Paradigm EVMbench geïntroduceerd, een nieuwe benchmark om het vermogen van AI-agents te evalueren bij het detecteren, patchen en exploiteren van ernstige kwetsbaarheden in smart contracts. Deze release markeert een significante stap in het meten van AI-capaciteiten binnen economisch belangrijke omgevingen, aangezien smart contracts routinematig meer dan $100 miljard aan open-source crypto assets beveiligen.

EVMbench maakt gebruik van 120 gecureerde kwetsbaarheden afkomstig uit 40 security audits, waarvan de meerderheid afkomstig is van open code auditcompetities op platforms zoals Code4rena. De benchmark bevat ook kwetsbaarheidsscenario's uit het security auditing proces van de Tempo blockchain, een Layer 1 ontworpen voor stablecoin betalingen, waardoor EVMbench's scope wordt uitgebreid naar betalingsgerichte smart contract code.

EVMbench evalueert AI-agents in drie verschillende capability modes, elk gericht op een andere fase van de smart contract security lifecycle. Om reproduceerbare evaluatie te ondersteunen, ontwikkelde OpenAI een Rust-gebaseerde harness die contracten deterministisch deployt en onveilige RPC-methoden beperkt. Alle exploit taken worden uitgevoerd in een geïsoleerde lokale Anvil omgeving in plaats van op live netwerken.

Frontier model performance op EVMbench onthult duidelijke gedragsverschillen tussen de taaktypen. In de exploit mode behaalde GPT‑5.3‑Codex een score van 72.2%, een aanzienlijke verbetering ten opzichte van GPT‑5, dat ongeveer zes maanden eerder 31.9% scoorde. Agents presteren consistent het best op exploit taken, waarbij het doel expliciet is: fondsen wegnemen en itereren tot succes. Detect en patch modes blijven moeilijker, waarbij agents soms stoppen na het identificeren van een enkele kwetsbaarheid in plaats van het voltooien van een volledige audit, en moeite hebben met het verwijderen van subtiele fouten zonder de bestaande contractfunctionaliteit te breken.

OpenAI erkende dat EVMbench niet volledig de moeilijkheid van real-world smart contract security weerspiegelt, en dat het gradingsysteem momenteel geen onderscheid kan maken tussen echte kwetsbaarheden en false positives wanneer agents problemen vinden buiten de human-auditor baseline. Naast de benchmark release heeft OpenAI $10 miljoen aan API credits toegezegd via het Cybersecurity Grant Program om defensief security onderzoek te versnellen, met name voor open-source software en kritieke infrastructuur. Het bedrijf kondigde ook de uitbreiding aan van Aardvark, zijn security research agent, via een private beta program. EVMbench’s taken, tooling en evaluatie framework zijn publiekelijk vrijgegeven om verder onderzoek naar AI-gedreven cybercapaciteiten te ondersteunen.

Bron: OpenAI

Het Model Context Protocol (MCP), een standaard ontwikkeld door Anthropic om AI-assistenten met externe systemen te verbinden, blijkt aanzienlijke veiligheidsrisico's te introduceren. Volgens een analyse door Praetorian in februari 2026, kunnen cybercriminelen MCP-servers gebruiken om interacties te onderscheppen, te monitoren en te manipuleren.

MCP-servers fungeren als brug tussen AI-agents en de onderliggende infrastructuur. Aanvallers kunnen deze servers gebruiken om ongeautoriseerde toegang te verkrijgen, ongeacht of de servers lokaal of via SaaS-providers worden gehost. Dit maakt het mogelijk om beveiligde omgevingen te infiltreren zonder traditionele beveiligingsalarmen te activeren.

Met behulp van een custom validatietool genaamd MCPHammer, hebben de onderzoekers aangetoond dat aanvallers deze verbinding kunnen misbruiken om willekeurige code uit te voeren met de privileges van de gebruiker en gevoelige lokale data te exfiltreren, inclusief credentials en bestanden. Daarnaast kunnen kwaadaardige MCP-servers stilletjes persistence mechanismen installeren of AI-responses vergiftigen, waardoor gebruikersgedrag wordt gemanipuleerd zonder dat de gebruiker zich bewust is van de inbreuk.

Een specifiek risico betreft supply chain aanvallen gericht op package manager configuraties die worden gebruikt om deze servers te deployen. Het ecosysteem vertrouwt grotendeels op uvx voor het uitvoeren van Python-gebaseerde servers, die dynamisch packages downloaden gespecificeerd in een configuratiebestand. Aanvallers kunnen dit exploiteren door package namen te registreren die lijken op populaire, legitieme namen (typosquatting). Als een gebruiker een configuratie met een kleine fout kopieert, downloadt en voert het systeem onbedoeld de code van de aanvaller uit bij het opstarten. Bovendien, als een legitieme package wordt gecompromitteerd of een verwijderde package naam opnieuw wordt geregistreerd door een dreigingsactor, zullen verouderde configuraties automatisch de kwaadaardige versie ophalen. Dit resulteert in een zero-click aanvalsvector waarbij code-executie direct plaatsvindt wanneer de agent start, waardoor tool approval prompts worden omzeild.

Om deze risico's te beperken, moeten organisaties strikte reviewprocessen implementeren voor alle MCP-serverinstallaties en deze behandelen als potentieel kwaadaardige code. Security teams moeten tool permissions auditen om "always allow" instellingen te minimaliseren en monitoren op ongebruikelijke data flows tussen verbonden services. Het is essentieel om gebruikers te informeren over de gevaren van chained tool calls om deze stille inbraken te voorkomen.

Bron: Praetorian

Het Cyber Security Centrum België (CCB) waarschuwt voor een kritieke kwetsbaarheid in F5 BIG-IP AFM en DDoS Hybrid Defender versie 17. De kwetsbaarheid, aangeduid als CVE-2026-2507, kan leiden tot een Denial-of-Service (DoS) aanval. De CVSS score is 7.5.

Het risico niveau van de kwetsbaarheid wordt als hoog ingeschat. Het CCB adviseert beheerders om onmiddellijk de betreffende software te patchen om misbruik te voorkomen. Het CCB biedt via haar website de mogelijkheid om incidenten te melden.

Bron: CCB

De laatste 24 uur zijn verschillende kritieke kwetsbaarheden trending op sociale media, waarbij twee lekken in Fortinet FortiWeb de lijst aanvoeren met de hoogste hype-scores. De hype-score is een cijfer tussen 0 en 100 dat weergeeft hoeveel belangstelling er is voor een bepaalde kwetsbaarheid, berekend op basis van de frequentie en intensiteit waarmee het lek wordt besproken in bronnen zoals sociale media, nieuwsberichten en andere publieke platforms.

Op de eerste plaats staat CVE-2025-64446, een kritieke relative path traversal kwetsbaarheid in Fortinet FortiWeb die een hype-score van 17 heeft. Het lek treft versies 8.0.0 tot 8.0.1, 7.6.0 tot 7.6.4, 7.4.0 tot 7.4.9, 7.2.0 tot 7.2.11 en 7.0.0 tot 7.0.11. Ongeauthenticeerde aanvallers kunnen via HTTP- of HTTPS-requests admin-toegang verkrijgen tot de web application firewall. Voor deze kwetsbaarheid is een exploit bekend. De kwetsbaarheid werd gepubliceerd op 14 november 2025.

Eveneens met een hype-score van 17 staat CVE-2025-58034 op de tweede plaats. Dit betreft een OS command injection kwetsbaarheid in Fortinet FortiWeb waarbij geauthenticeerde aanvallers ongeautoriseerde code kunnen uitvoeren via HTTP-requests of CLI-commando's. Deze zero-day wordt actief geëxploiteerd en werd gemeld door Trend Micro. Ook voor dit lek is een exploit bekend. De publicatiedatum was 18 november 2025.

Op de derde positie staat CVE-2020-7796 met een hype-score van 7, een kritieke SSRF-kwetsbaarheid in Zimbra Collaboration Suite voor versie 8.8.15 Patch 7 wanneer de WebEx zimlet is geïnstalleerd. Aanvallers kunnen ongeautoriseerde requests naar de server sturen en toegang krijgen tot beschermde bronnen. Dit lek werd gepubliceerd op 18 februari 2020 en er is een exploit bekend.

CVE-2025-13176, eveneens met hype-score 7, betreft een DLL injection kwetsbaarheid in ESET Inspect Connector voor Windows. Lokale aanvallers kunnen via een aangepast configuratiebestand een kwaadaardige DLL laden met verhoogde privileges door gebrekkige privilege management. Deze kwetsbaarheid werd gepubliceerd op 30 januari 2026.

Op plaats vijf staat CVE-2024-7694, een file upload kwetsbaarheid in TeamT5 ThreatSonar Anti-Ransomware. Onvoldoende validatie stelt remote aanvallers met admin-rechten in staat kwaadaardige bestanden te uploaden en systeemcommando's uit te voeren. Deze kwetsbaarheid staat op de CISA KEV-lijst en er is een exploit bekend. Publicatiedatum was 12 augustus 2024.

CVE-2025-68947 heeft een hype-score van 5 en betreft een driver kwetsbaarheid in de NSecsoft NSecKrnl Windows driver. Lokale aanvallers kunnen via IOCTL-requests processen van andere gebruikers beëindigen, inclusief SYSTEM en Protected Processes. Dit lek wordt gebruikt als BYOVD attack surface door de Black Basta ransomware. Gepubliceerd op 13 januari 2026.

Met een hype-score van 4 staat CVE-2025-8088 op de zevende plaats. Dit is een path traversal kwetsbaarheid in WinRAR voor Windows waarbij aanvallers via kwaadaardige archiefbestanden willekeurige code kunnen uitvoeren. Het lek werd geëxploiteerd in phishing-aanvallen voor RomCom malware en is gepatcht in versie 7.13. De kwetsbaarheid werd ontdekt door ESET en gepubliceerd op 8 augustus 2025.

CVE-2025-30208, eveneens met hype-score 4, betreft een kwetsbaarheid in de Vite frontend development tool voor vers SQL-commando's uit te voeren en database-informatie te compromitteren. Ook deze kwetsbaarheid werd gepubliceerd op 17 februari 2026.

Bron

Microsoft heeft een beveiligingslek in Windows Admin Center gedicht dat een aanvaller in staat zou kunnen stellen zijn privileges te verhogen. De kwetsbaarheid, aangeduid als CVE-2026-26119, heeft een CVSS-score van 8.8 op een schaal van 10.

Windows Admin Center is een lokaal geïnstalleerde, browser-gebaseerde toolset waarmee gebruikers hun Windows Clients, Servers en Clusters kunnen beheren zonder verbinding met de cloud.

Volgens Microsoft maakt de "improper authentication in Windows Admin Center" het mogelijk voor een geautoriseerde aanvaller om privileges te verhogen via een netwerk. De aanvaller zou de rechten verkrijgen van de gebruiker die de betreffende applicatie draait.

De kwetsbaarheid werd ontdekt en gerapporteerd door Semperis-onderzoeker Andrea Pierini. Het beveiligingsprobleem is verholpen in Windows Admin Center versie 2511, die in december 2025 werd uitgebracht.

Hoewel Microsoft geen melding maakt van actieve exploitatie van deze kwetsbaarheid, wordt deze wel beoordeeld als "Exploitation More Likely".

Technische details met betrekking tot CVE-2026-26119 worden momenteel nog geheim gehouden, maar dat zou binnenkort kunnen veranderen. Pierini gaf op LinkedIn aan dat de kwetsbaarheid, onder bepaalde omstandigheden, "een volledig domeincompromis mogelijk kan maken, beginnend vanaf een standaard gebruiker".

Bron: Microsoft

De Cybersecurity and Infrastructure Security Agency (CISA) heeft op 19 februari 2026 een ICS Advisory (ICSA-26-050-01) uitgebracht betreffende kwetsbaarheden in de EnOcean SmartServer IoT. Meer details over de kwetsbaarheden en mogelijke mitigerende maatregelen zijn te vinden in de advisory zelf en de bijbehorende CSAF file op Github. CISA biedt tevens diverse no-cost cyber services aan en benadrukt het belang van "secure by design" principes. Organisaties worden aangemoedigd om cyber issues te melden bij CISA en hun business te beveiligen.

Bron: CISA | Bron 2: github.com | Bron 3: cwe.mitre.org

Splunk heeft een ernstige kwetsbaarheid in Splunk Enterprise voor Windows bekendgemaakt, waardoor een lokale gebruiker met beperkte rechten zijn privileges kan escaleren naar SYSTEM-niveau via een DLL search-order hijacking aanval. De kwetsbaarheid, aangeduid als CVE-2026-20140 en gepubliceerd op 18 februari 2026 onder advies SVD-2026-0205, heeft een CVSSv3.1 score van 7.7 (Hoog) en valt onder CWE-427 (Uncontrolled Search Path Element).

De kwetsbaarheid bevindt zich in Splunk Enterprise voor Windows versies lager dan 10.2.0, 10.0.3, 9.4.8, 9.3.9 en 9.2.12. Een aanvaller die beschikt over toegang met lage privileges tot een Windows-systeem waarop Splunk Enterprise draait, kan dit lek misbruiken door een directory te creëren op de systeemdrive waarop Splunk is geïnstalleerd en daar een kwaadaardige DLL in te plaatsen. Wanneer de Splunk Enterprise-service opnieuw start, kan de applicatie onbedoeld die malafide DLL laden vanwege de onveilige zoekvolgorde van de bibliotheek. Aangezien de service met SYSTEM-niveau privileges draait, erft de geïnjecteerde code die verhoogde rechten, waardoor de aanvaller effectief volledige controle over de hostmachine krijgt.

De CVSS-vector onthult verschillende belangrijke kenmerken van deze aanval. De vereiste van lokale toegang (AV:L) beperkt misbruik op afstand, maar de hoge complexiteit (AC:H) en de noodzaak van gebruikersinteractie (UI:R) laten enterprise-omgevingen nog steeds een aanzienlijk risico lopen, met name in gedeelde of multi-user Windows-implementaties. De scope change (S:C) met hoge scores voor Confidentiality, Integrity en Availability onderstreept de ernstige impact zodra een succesvolle compromis optreedt. Het is ook vermeldenswaardig dat deze kwetsbaarheid geen invloed heeft op niet-Windows Splunk-implementaties, waar de ernst als Informationeel wordt beoordeeld.

Splunk heeft de kwetsbaarheid verholpen in versies 10.2.0, 10.0.3, 9.4.8, 9.3.9 en 9.2.12. Organisaties die Splunk Enterprise op Windows gebruiken, worden dringend verzocht om onmiddellijk de juiste patch toe te passen. Waar onmiddellijke patching niet haalbaar is, moeten beheerders de schrijfrechten op directories binnen de systeemdrive beperken om ongeautoriseerde DLL-plaatsing te voorkomen. Er zijn momenteel geen actieve detecties of exploits in het wild gemeld. De kwetsbaarheid is op verantwoorde wijze gemeld door beveiligingsonderzoeker Marius Gabriel Mihai.

Bron: Splunk

GitHub heeft een beveiligingsupdate uitgebracht voor GitHub Enterprise Server, waarmee twee significante kwetsbaarheden zijn verholpen. De kwetsbaarheden, die impact hebben op versies vóór 3.20, 3.19.2, 3.18.5 en 3.17.11, stellen aanvallers in staat tot ongeautoriseerde acties binnen de serveromgeving.

De eerste kwetsbaarheid betreft een autorisatieprobleem in repositories die fork-ondersteuning bieden. Dit lek stelde kwaadwillenden in staat om ongeautoriseerde pull-requests samen te voegen. Dit betekent dat een aanvaller code-wijzigingen kon doorvoeren zonder de juiste toestemming, wat de integriteit van de codebasis in gevaar brengt.

De tweede kwetsbaarheid betreft een ontbrekende autorisatie bij het uploaden van inhoud naar de migratie-export van een andere gebruiker. Een aanvaller kon hierdoor ongeautoriseerde data toevoegen aan de migratie-export van een andere gebruiker.

GitHub heeft de problemen erkend en heeft de nodige patches uitgebracht in GitHub Enterprise Server versies 3.20, 3.19.2, 3.18.5 en 3.17.11. Gebruikers van eerdere versies worden dringend aangeraden om te upgraden naar een van deze versies om blootstelling aan de genoemde risico's te minimaliseren.

Bron: NCSC

Microsoft heeft een kritiek beveiligingslek in Teams verholpen, waardoor een ongeautoriseerde aanvaller mogelijk informatie had kunnen stelen. De kwetsbaarheid, aangeduid als CVE-2026-21535, betrof een 'Improper access control' in Microsoft Teams, waardoor een ongeautoriseerde aanvaller informatie over een netwerk kon bemachtigen. Verdere details over de aard van de gestolen informatie of de precieze werking van de kwetsbaarheid worden niet gegeven in het artikel.

De kwetsbaarheid is door een externe onderzoeker gemeld aan Microsoft. Het bedrijf geeft aan dat er geen aanwijzingen zijn dat het lek actief is misbruikt. Gebruikers hoeven geen actie te ondernemen, omdat de kwetsbaarheid volledig door Microsoft is verholpen. De vermelding van CVE-2026-21535 is bedoeld om meer transparantie te bieden, aldus Microsoft.

Bron: Microsoft

Er is een Proof-of-Concept (PoC) gepubliceerd voor een kritieke remote code execution (RCE) kwetsbaarheid in de moderne Windows Notepad applicatie, aangeduid als CVE-2026-20841. Microsoft heeft deze kwetsbaarheid gepatcht als onderdeel van de Patch Tuesday release van februari 2026.

De kwetsbaarheid, die voortkomt uit command injection, werd ontdekt door Cristian Papa en Alasdair Gorniak van Delta Obscura en verder geanalyseerd door Nikolai Skliarenko en Yazhi Wang van het TrendAI Research team. Een succesvolle exploitatie stelt een aanvaller in staat om willekeurige commando's uit te voeren in de security context van de gebruiker, door deze te misleiden een speciaal geprepareerd Markdown bestand te openen en op een kwaadaardige hyperlink te klikken.

De moderne Windows Notepad, gedistribueerd via de Microsoft Store, ondersteunt Markdown rendering voor bestanden met de extensie .md. Wanneer een Markdown bestand wordt geopend, tokenized Notepad de inhoud en rendert links interactief. De kwetsbare functie, sub_140170F60(), behandelt klik events op deze links en geeft de link waarde door aan de Windows API call ShellExecuteExW() na minimale filtering.

Deze filtering verwijdert slechts voorloop- en volgbackslash en forward slash karakters, en blokkeert geen kwaadaardige protocol URI's zoals file:// en ms-appinstaller://. Deze kunnen worden gebruikt om remote of lokale, door de aanvaller gecontroleerde bestanden te laden en uit te voeren zonder standaard Windows security waarschuwingen te activeren. Omdat ShellExecuteExW() geconfigureerde systeem protocol handlers aanroept, kan het aanvalsoppervlak zich uitbreiden naar additionele protocollen, afhankelijk van de configuratie van het systeem.

Volgens de Zero Day Initiative write-up, omvat exploitatie het versturen van een kwaadaardig bestand naar het slachtoffer via e-mail, een download link, of social engineering. Het slachtoffer moet vervolgens overgehaald worden om het bestand in Notepad te openen en Ctrl + click op de embedded malicious link te gebruiken. Hoewel .md bestanden niet standaard geassocieerd zijn met Notepad, kunnen gebruikers die ze handmatig openen de Markdown rendering triggeren, waardoor de kwetsbaarheid exploiteerbaar wordt.

De kwetsbaarheid treft Notepad versies 11.2508 en eerder. De fix is beschikbaar via de Microsoft Store in build 11.2510 en later. De legacy Notepad.exe is niet getroffen. Microsoft geeft aan dat er geen workarounds zijn en dat gebruikersinteractie een vereiste is voor exploitatie. Organisaties wordt aangeraden automatische Microsoft Store updates in te schakelen en versie compliance af te dwingen om volledige herstel te garanderen. Een publieke proof-of-concept is reeds op GitHub geplaatst.

Bron: Zero Day Initiative | Bron 2: github.com

Google heeft een belangrijke beveiligingsupdate uitgebracht voor de Chrome Stable Channel om meerdere kwetsbaarheden aan te pakken, waaronder ernstige fouten in de browser's core engines. De techgigant kondigde de uitrol aan van versies 145.0.7632.109/110 voor Windows en Mac, evenals 144.0.7559.109 voor Linux. Deze update wordt momenteel gedistribueerd naar de wereldwijde gebruikersbasis en bevat drie specifieke beveiligingsfixes die potentiële misbruikrisico's verminderen.

Beveiligingsteams en individuele gebruikers wordt sterk aangeraden deze patches onmiddellijk toe te passen om te voorkomen dat aanvallers deze bugs gebruiken voor het uitvoeren van willekeurige code of browserinstabiliteit. De meest kritieke aspecten van deze update richten zich op memory-handling errors in PDFium en V8.

Het eerste high-severity probleem, getrackt als CVE-2026-2648, betreft een heap buffer overflow in PDFium, de default PDF rendering engine die door de browser wordt gebruikt. Security researcher Soiax meldde deze kwetsbaarheid. Heap buffer overflows kunnen doorgaans leiden tot een crash of een dreigingsactor in staat stellen willekeurige code uit te voeren op het doelsysteem.

De tweede high-severity flaw, CVE-2026-2649, is een integer overflow kwetsbaarheid in de V8 JavaScript engine. Dit probleem werd ontdekt door JunYoung Park (@candymate) van het KAIST Hacking Lab. Integer overflows in de rendering engine kunnen vaak worden misbruikt om beveiligingscontroles te omzeilen of het geheugen te beschadigen.

Naast de high-severity flaws, adresseert de update een medium-severity kwetsbaarheid die intern door Google is gevonden. Getrackt als CVE-2026-2650, dit probleem is een heap buffer overflow in de Media component.

In overeenstemming met het security disclosure policy van Google is toegang tot specifieke bug details en exploit demonstraties momenteel beperkt. Deze voorzorgsmaatregel voorkomt dat dreigingsactoren de patch reverse-engineeren voordat een meerderheid van de actieve gebruikers hun browsers succesvol hebben geüpdatet.

Gebruikers kunnen het updateproces handmatig starten door naar het Chrome menu te navigeren, Help te selecteren en op About Google Chrome te klikken. De browser zal automatisch controleren op beschikbare updates en de nieuwe versie downloaden. Om de installatie te voltooien en ervoor te zorgen dat de security patches actief zijn, moeten gebruikers de browser opnieuw opstarten.

Bron: chromereleases.googleblog.com

Het Cyber Security Centre Belgium (CCB) waarschuwt voor een kritieke OS Command Injection kwetsbaarheid in IceWarp. De kwetsbaarheid, aangeduid als CVE-2025-14500, heeft een CVSS score van 9.8 en vereist onmiddellijke patching. Het risiconiveau is geclassificeerd als "Kritiek".

De kwetsbaarheid treft de volgende versies van IceWarp: versie 14.2.0.9, versie 14.1.0.19, versie 14.0.0.18, en versie 13.0.3.13. Het CCB adviseert gebruikers van deze versies om direct de nieuwste security updates te installeren. Een OS Command Injection kwetsbaarheid stelt aanvallers in staat om willekeurige commando's uit te voeren op het onderliggende besturingssysteem van de server, wat kan leiden tot volledige controle over het systeem.

Het CCB benadrukt het belang van snelle actie om misbruik van deze kwetsbaarheid te voorkomen. Organisaties worden aangeraden om hun IceWarp installaties te controleren en de beschikbare patches zo snel mogelijk toe te passen. Meer informatie over de kwetsbaarheid en de beschikbare updates is te vinden op de IceWarp support website. Het CCB biedt via haar website ook informatie over het melden van incidenten en vulnerability policies.

Bron: CCB | Bron 2: nvd.nist.gov | Bron 3: support.icewarp.com

Het AI-bedrijf Anthropic is begonnen met de uitrol van een nieuwe beveiligingsfunctie voor Claude Code, genaamd Claude Code Security. Deze functie is ontworpen om de softwarecode van een gebruiker te scannen op kwetsbaarheden en patchvoorstellen te genereren. De mogelijkheid is momenteel beschikbaar in een beperkte research preview voor Enterprise- en Team-klanten.

Volgens een aankondiging van Anthropic is het doel van Claude Code Security om AI in te zetten als hulpmiddel bij het opsporen en oplossen van kwetsbaarheden. Dit is bedoeld als tegenmaatregel tegen aanvallen waarbij kwaadwillenden dezelfde tools gebruiken om het ontdekken van kwetsbaarheden te automatiseren. Anthropic stelt dat AI-agents steeds beter in staat zijn om beveiligingslekken te detecteren die anders aan menselijke aandacht zouden ontsnappen. Deze mogelijkheden zouden ook door aanvallers gebruikt kunnen worden om sneller dan voorheen misbruikbare zwakke punten te ontdekken. Claude Code Security is ontworpen om dit type AI-gestuurde aanval te counteren door verdedigers een voordeel te geven en de basisbeveiliging te verbeteren.

Anthropic beweert dat Claude Code Security verder gaat dan statische analyses en het scannen op bekende patronen. Het systeem zou redeneringen toepassen op de codebasis, net als een menselijke beveiligingsonderzoeker. Het begrijpt hoe verschillende componenten met elkaar interageren, traceert datastromen door de hele applicatie en signaleert kwetsbaarheden die mogelijk worden gemist door op regels gebaseerde tools.

Elk van de geïdentificeerde kwetsbaarheden wordt onderworpen aan een "multi-stage verificatieproces" waarbij de resultaten opnieuw worden geanalyseerd om valse positieven eruit te filteren. Aan de kwetsbaarheden wordt ook een prioriteit toegekend om teams te helpen zich op de belangrijkste te concentreren. De resultaten worden weergegeven in het Claude Code Security dashboard, waar teams de code en de voorgestelde patches kunnen beoordelen en goedkeuren. Anthropic benadrukt dat de besluitvorming van het systeem wordt gestuurd door een human-in-the-loop (HITL) benadering. Claude biedt ook een betrouwbaarheidsscore voor elke bevinding. Er wordt niets toegepast zonder menselijke goedkeuring: Claude Code Security identificeert problemen en stelt oplossingen voor, maar ontwikkelaars nemen altijd de beslissing.

Bron: Anthropic | Bron 2: claude.com

Microsoft waarschuwt organisaties dat de support voor Windows Server 2016, Windows 10 Enterprise 2016 Long-Term Servicing Branch (LTSB) en Windows IoT Enterprise LTSB 2016 binnenkort afloopt. De support voor Windows Server 2016 eindigt op 12 januari 2027. De twee Windows 10-versies ontvangen vanaf 13 oktober 2026 geen beveiligingsupdates meer.

Organisaties die niet op tijd kunnen upgraden naar een ondersteunde Windows-versie, kunnen tegen betaling beveiligingsupdates blijven ontvangen via het Extended Security Updates (ESU)-programma. Voor Windows 10 Enterprise 2016 LTSB kost dit in het eerste jaar 61 dollar per computer, in het tweede jaar 122 dollar en in het derde en laatste jaar 244 dollar.

Voor de kosten van het verlengen van de support voor Windows IoT Enterprise LTSB 2016 verwijst Microsoft organisaties naar de fabrikant van de onderliggende apparatuur. De ESU-prijzen voor Windows Server 2016 zullen in de komende maanden bekend worden gemaakt.

Bron: Microsoft

Het Amerikaanse cyberagentschap CISA heeft gemeld dat er actief misbruik wordt gemaakt van een cross-site scripting (XSS) kwetsbaarheid in Roundcube Webmail. De beveiligingsupdates voor dit probleem zijn eind vorig jaar uitgebracht. Roundcube Webmail is opensource-webmailsoftware die wereldwijd door diverse organisaties wordt gebruikt.

De kwetsbaarheid, aangeduid als CVE-2025-68461, maakt cross-site scripting mogelijk. Een aanvaller kan een e-mail versturen met een speciaal geprepareerd SVG-bestand om JavaScript-code uit te voeren in de browser van een gebruiker. Hierdoor kan een aanvaller bijvoorbeeld e-mails stelen of een e-mailaccount overnemen, zo waarschuwde het Nationaal Cyber Security Centrum (NCSC) eerder over de kwetsbaarheid.

Volgens het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security wordt het XSS-lek actief misbruikt. Er zijn geen details over deze specifieke aanvallen verstrekt. In het verleden zijn beveiligingslekken in Roundcube vaker gebruikt bij aanvallen. De kwetsbaarheid is verholpen in versies 1.6.12 en 1.5.12.

Bron: CISA | Bron 2: advisories.ncsc.nl | Bron 3: nvd.nist.gov

Het Cyber Security Center Belgium (CCB) waarschuwt voor een heap buffer overflow kwetsbaarheid in ImageMagick, aangeduid als CVE-2026-23876. Deze kwetsbaarheid kan worden misbruikt om het geheugen te beschadigen en mogelijk systemen te compromitteren. Er is een Proof of Concept (PoC) beschikbaar, wat de urgentie van het patchen van getroffen systemen benadrukt.

De kwetsbaarheid heeft een CVSS-score van 8.1 volgens CVSS:3.1, wat wijst op een hoog risico. Het CCB adviseert onmiddellijk actie te ondernemen om de risico's te minimaliseren.

ImageMagick is een veelgebruikte software suite voor het bewerken en converteren van afbeeldingen in diverse formaten. Een heap buffer overflow kan optreden wanneer de software meer data in een geheugengebied schrijft dan is toegewezen, wat kan leiden tot onvoorspelbaar gedrag, crashes of het uitvoeren van kwaadaardige code.

Het CCB raadt aan de getroffen systemen zo snel mogelijk te patchen om potentiële aanvallen te voorkomen. Meer informatie over de kwetsbaarheid en de bijbehorende patch is te vinden in de security advisories van ImageMagick op GitHub. Het CCB biedt tevens de mogelijkheid om incidenten te melden via hun website.

Bron: CCB | Bron 2: github.com | Bron 3: nvd.nist.gov

Een recent ontdekte kwetsbaarheid in de populaire jsPDF-bibliotheek stelt miljoenen webontwikkelaars bloot aan PDF Object Injection-aanvallen. Hierdoor kunnen aanvallers op afstand willekeurige objecten en acties insluiten in gegenereerde PDF-documenten. De kwetsbaarheid, geregistreerd als CVE-2026-25755, beïnvloedt de `addJS`-methode die wordt gebruikt om JavaScript-code in PDF-bestanden in te sluiten.

Het probleem ontstaat door onvoldoende sanitatie van door de gebruiker aangeleverde input in het `javascript.js`-bestand binnen jsPDF. De kwetsbare code concateneert niet-gesanitiseerde input direct in de PDF-stream, waardoor een sluitende haak niet wordt ge-escaped. Aanvallers kunnen een payload injecteren, zoals `) >> /Action ...`, om de `/JS`-string voortijdig te beëindigen en willekeurige PDF-structuren te injecteren, waardoor ze volledige controle krijgen over ingesloten objecten.

In tegenstelling tot typische JavaScript-gebaseerde XSS-aanvallen, manipuleert deze kwetsbaarheid direct PDF-objecthiërarchieën. Dit stelt aanvallers in staat om acties uit te voeren of documentstructuren te wijzigen, zelfs als JavaScript is uitgeschakeld in de viewer.

De kritieke gevolgen omvatten:

* **JS-disabled execution:** Geïnjecteerde PDF-acties (bijvoorbeeld `/OpenAction`) kunnen automatisch worden geactiveerd, waardoor JavaScript-beperkingen worden omzeild.

* **Documentmanipulatie:** Aanvallers kunnen de `/Annots` of `/Signatures`-secties injecteren, versleutelen of wijzigen om metadata aan te passen, phishing uit te voeren of het uiterlijk van de PDF te veranderen.

* **Cross-viewer risico:** Lichtgewicht PDF-viewers, vooral mobiele of embedded viewers, kunnen geïnjecteerde acties uitvoeren vanwege strikte naleving van de PDF-objectparsingregels.

Security researcher ZeroXJacks, die het probleem ontdekte, demonstreerde een proof-of-concept dat een crafted `addJS`-payload gebruikt om aangepaste PDF-acties te activeren wanneer het document wordt geopend. Dit benadrukt een ernstig risico voor applicaties die dynamisch PDF's genereren op basis van gebruikersinvoer. De onderliggende fout komt voort uit ontbrekende inputvalidatie en escaping volgens de PDF-specificatie.

Ontwikkelaars wordt sterk aangeraden om te updaten naar jsPDF versie 4.1.0 of hoger, waar input correct wordt gesanitiseerd door haakjes en backslashes te escapen. Totdat de patch is geïnstalleerd, moeten gebruikers vermijden om niet-vertrouwde of door de gebruiker gegenereerde content in te sluiten met behulp van `addJS` of gerelateerde methoden, en strikte inputvalidatie afdwingen op elke client-side PDF-creatie workflow.

Bron: ZeroXJacks | Bron 2: github.com

Een security bulletin dat op 19 februari 2026 is uitgebracht, adresseert een kwetsbaarheid in HPE Telco Service Activator (TSA) waardoor aanvallers toegangsrestricties kunnen omzeilen. Volgens HPE is het probleem te wijten aan de Undertow HTTP server core die door het product wordt gebruikt.

De kwetsbaarheid, aangeduid als CVE-2025-12543, is het gevolg van een onjuiste inputvalidatie waarbij de server de "Host" header in inkomende HTTP-requests niet correct valideert. In veel implementaties vertrouwen applicaties en gateways op de "Host" header om allowlists af te dwingen, requests te routeren of securityregels toe te passen. Wanneer deze header kan worden misbruikt, kan een aanvaller functionaliteit bereiken die eigenlijk geblokkeerd zou moeten zijn door host-gebaseerde controles, waardoor de bedoelde restricties effectief worden omzeild.

HPE beoordeelt CVE-2025-12543 met een CVSS v3.1 base score van 8.3 en een vector van CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:L. De "Network" vector en "No privileges required" geven aan dat de kwetsbaarheid op afstand te misbruiken is zonder authenticatie. "User interaction required" suggereert dat exploitatie mogelijk vereist dat een slachtoffer actie onderneemt, zoals het volgen van een crafted link of het triggeren van een specifiek request path via een browser of client workflow.

De kwetsbaarheid treft klanten die HPE Telco Service Activator versies gebruiken die ouder zijn dan de huidige versie. HPE stelt dat een update naar de meest recente versie van Telco Service Activator het probleem oplost. Het wordt aangeraden om de upgrade te prioriteren, vooral wanneer de interface bereikbaar is vanaf niet-vertrouwde netwerken.

Bron: HPE

Verschillende Android-apps voor geestelijke gezondheid, met miljoenen downloads in de Google Play Store, bevatten beveiligingslekken die gevoelige medische informatie van gebruikers kunnen blootleggen. In één van de apps ontdekten beveiligingsonderzoekers meer dan 85 medium- en high-severity kwetsbaarheden die misbruikt zouden kunnen worden om therapiegegevens en privacy van gebruikers in gevaar te brengen. Sommige van de producten zijn AI-gestuurde companions die zijn ontworpen om mensen te helpen die lijden aan klinische depressie, verschillende vormen van angst, paniekaanvallen, stress en bipolaire stoornis.

Sergey Toshin, oprichter van mobile security bedrijf Oversecured, stelt dat data over geestelijke gezondheid unieke risico's met zich meebrengt. Op het dark web brengen therapiegegevens $1.000 of meer per record op, veel meer dan creditcardnummers. Oversecured heeft tien mobiele apps gescand die worden aangeprezen als tools die kunnen helpen bij verschillende psychische problemen, en ontdekte in totaal 1.575 beveiligingsproblemen (54 met een hoge severity, 538 met een medium severity en 983 met een lage severity).

Hoewel geen van de ontdekte problemen kritiek is, kunnen er veel worden gebruikt om inloggegevens te onderscheppen, meldingen te spoofen, HTML-injectie uit te voeren of de gebruiker te lokaliseren. De onderzoekers gebruikten de Oversecured scanner om de APK-bestanden van de tien mental health applicaties te controleren op bekende kwetsbaarheidspatronen in tientallen categorieën. In een rapport dat met BleepingComputer werd gedeeld, zeggen de onderzoekers dat sommige van de geverifieerde apps door de gebruiker geleverde URI's parseren zonder adequate validatie.

Een therapie-app met meer dan een miljoen downloads gebruikt Intent.parseUri() op een extern beheerde string en lanceert het resulterende messaging object (intent) zonder de doelcomponent te valideren. Hierdoor kan een aanvaller de app dwingen om een interne activiteit te openen, zelfs als deze niet bedoeld is voor externe toegang. Aangezien deze interne activiteiten vaak authenticatietokens en sessiedata verwerken, kan misbruik een aanvaller toegang geven tot de therapiegegevens van een gebruiker.

Een ander probleem is het lokaal opslaan van gegevens op een manier die leesrechten geeft aan elke app op het apparaat. Afhankelijk van de opgeslagen informatie kan dit therapiegegevens blootleggen, zoals therapie-items, Cognitive Behavioral Therapy (CBT) sessie notities en verschillende scores. Oversecured ontdekte ook plaintext configuratiegegevens, waaronder backend API endpoints en een hardcoded Firebase database URL, binnen de APK resources. Bovendien gebruiken sommige van de kwetsbare apps de cryptografisch onveilige java.util.Random klasse voor het genereren van sessietokens of encryptiesleutels. Volgens de onderzoekers ontbreekt het bij de meeste van de 10 apps aan enige vorm van root detectie. Op een rooted (jailbroken) apparaat heeft elke app met root privileges toegang tot alle lokaal opgeslagen gezondheidsdata.

Oversecured zegt dat zes van de tien geanalyseerde apps geen high-severity bevindingen hadden, maar nog steeds medium-severity problemen vertoonden die hun algehele security posture verzwakken. De onderzoekers merken op dat deze apps enkele van de meest gevoelige persoonlijke gegevens in mobile verzamelen en opslaan: transcripten van therapiesessies, mood logs, medicatieschema's, indicatoren van zelfbeschadiging, en in sommige gevallen informatie die wordt beschermd onder HIPAA.

Het collectieve aantal downloads voor de door Oversecured gescande apps is meer dan 14,7 miljoen, en slechts vier hebben deze maand nog een update ontvangen. Voor de rest was de datum van de laatste update zo recent als november 2025 of zelfs september 2024. De scans van Oversecured vonden plaats tussen 22 en 23 januari en waren gericht op de nieuwste app versies die op dat moment beschikbaar waren. De onderzoekers kunnen niet bevestigen of een van de ontdekte kwetsbaarheden is verholpen. BleepingComputer heeft afgezien van het delen van de namen van de getroffen apps, omdat de kwetsbaarheden nog steeds worden bekendgemaakt door Oversecured.

Bron: Oversecured | Bron 2: blog.qualys.com

Google heeft een kritieke beveiligingsupdate uitgebracht voor zijn Chrome-browser en rolt versie 145.0.7632.116/117 uit naar Windows- en macOS-gebruikers, terwijl Linux-gebruikers versie 144.0.7559.116 ontvangen. De update wordt de komende dagen en weken geleidelijk uitgerold en dicht drie ernstige kwetsbaarheden die gebruikers aan aanzienlijke risico's kunnen blootstellen als ze niet worden gepatcht.

De update is urgent, aangezien alle drie de CVE's als 'hoog' zijn beoordeeld, een classificatie die Google reserveert voor kwetsbaarheden met een aanzienlijk exploitatiepotentieel. Twee van de lekken hebben betrekking op out-of-bounds geheugentoegang, een type bug dat vaak dient als basis voor remote code execution of sandbox escape chains in combinatie met andere exploits.

Het eerste probleem, CVE-2026-3061, is een out-of-bounds read kwetsbaarheid in Chrome's Media component, gerapporteerd door beveiligingsonderzoeker Luke Francis op 9 februari 2026. Out-of-bounds reads in media processing pipelines zijn met name zorgwekkend omdat ze kunnen worden getriggerd via kwaadaardig gemaakte mediabestanden of webgebaseerde content, waardoor drive-by exploitatie via gecompromitteerde websites een realistisch aanvalsvector is.

CVE-2026-3062 treft Tint, de WebGPU shader compiler die intern door Chrome wordt gebruikt, en omvat zowel out-of-bounds read als write condities. Gerapporteerd door onderzoeker Cinzinga op 11 februari 2026, is dit lek aantoonbaar de meest technisch ernstige van de drie. Out-of-bounds write kwetsbaarheden in graphics of shader processing kunnen leiden tot geheugenbeschadiging, waardoor aanvallers mogelijk willekeurige code kunnen uitvoeren binnen het renderer proces. Naarmate WebGPU meer wordt gebruikt, vormen kwetsbaarheden in componenten zoals Tint een groeiend aanvalsoppervlak.

De derde kwetsbaarheid, CVE-2026-3063, betreft een inadequate implementatie in Chrome DevTools, gerapporteerd door M. Fauzan Wijaya (Gh05t666nero) op 17 februari 2026. Hoewel deze categorie doorgaans minder ernstig is dan geheugenbeschadigingsbugs, kunnen inadequate implementaties in developer tooling cross-origin data leaks, privilege abuse of het omzeilen van security boundaries mogelijk maken onder specifieke omstandigheden.

Google heeft aangegeven dat de toegang tot gedetailleerde bugrapporten beperkt zal blijven totdat de meerderheid van de gebruikers de fix heeft ontvangen. Gebruikers wordt aangeraden naar chrome://settings/help te navigeren om hun huidige versie te controleren en handmatig een update te activeren in plaats van te wachten op de automatische uitrol. Enterprise administrators wordt geadviseerd prioriteit te geven aan het pushen van deze update via hun management platforms, gezien de 'hoge' severity ratings. Google crediteerde ook zijn interne security teams voor het leveren van extra fixes door middel van continue audits, fuzzing en vulnerability research programma's die externe bug bounty bijdragen aanvullen.

Bron: chromereleases.googleblog.com

SolarWinds heeft een beveiligingsupdate uitgebracht voor Serv-U om vier kritieke kwetsbaarheden te verhelpen. Deze kwetsbaarheden kunnen een ongeauthenticeerde aanvaller in staat stellen om code als root uit te voeren en zo volledige controle over de FTP-server te krijgen.

De kwetsbaarheden betreffen Insecure Direct Object Reference (IDOR), type confusion en 'broken access control' kwetsbaarheden, aangeduid als CVE-2025-40538, CVE-2025-40539, CVE-2025-40540 en CVE-2025-40541. De impact van de beveiligingslekken is beoordeeld met een score van 9.1 op een schaal van 1 tot en met 10.

SolarWinds Serv-U is software die organisaties in staat stelt een server op te zetten om bestanden uit te wisselen via FTP, FTPS en SFTP. In het verleden zijn er al meerdere kwetsbaarheden in dit product actief misbruikt bij aanvallen, waaronder ransomware-aanvallen, zo meldt het Amerikaanse cyberagentschap CISA.

SolarWinds roept klanten op om te updaten naar Serv-U 15.5.4. Het bedrijf is niet bekend met actief misbruik van de recent ontdekte kwetsbaarheden.

Bron: SolarWinds | Bron 2: cisa.gov

Mozilla heeft vandaag Firefox 148 gelanceerd, die is voorzien van een 'AI-killswitch' en extra bescherming tegen cross-site scripting (XSS) aanvallen. De nieuwe versie verhelpt tevens meer dan vijftig kwetsbaarheden in de browser.

De 'AI Controls' bieden gebruikers de mogelijkheid om alle AI-features binnen de browser uit- of in te schakelen. Deze optie werd door de Firefox-ontwikkelaars intern een 'AI-killswitch' genoemd. Via AI Controls zijn verschillende opties te regelen, waaronder het vertalen van websites, link previews die informatie over de gelinkte pagina geven en de aanwezigheid van chatbots binnen de browser.

Een andere belangrijke toevoeging aan Firefox 148 is een betere bescherming tegen XSS-aanvallen. Mozilla legt uit dat een XSS-kwetsbaarheid zich voordoet wanneer een website onbedoeld aanvallers willekeurige HTML of JavaScript laat injecteren via door gebruikers gegenereerde content. Via deze aanval kunnen aanvallers interacties van gebruikers monitoren en manipuleren en continu gebruikersdata blijven stelen zolang de kwetsbaarheid is te misbruiken. Vaak weten aanvallers via XSS cookies te stelen om zo toegang tot accounts te krijgen.

Firefox 148 is voorzien van de Sanitizer API, waarmee webontwikkelaars niet vertrouwde HTML kunnen 'sanitizen' voordat die in het Document Object Model (DOM) terechtkomt. De API moet onbetrouwbare HTML omzetten naar veilige HTML, wat het doet door bepaalde elementen en attributen uit de HTML van gebruikers weg te halen. Firefox is volgens Mozilla de eerste browser die met de Sanitizer API is uitgerust. Het is wel aan webontwikkelaars om hier nu gebruik van te maken.

Daarnaast heeft Mozilla 51 kwetsbaarheden in Firefox verholpen, wat voor de browser een groot aantal is. Het gaat om meerdere 'memory safety bugs' en Mozilla denkt dat deze problemen met genoeg moeite te misbruiken zijn voor het uitvoeren van willekeurige code op de systemen van Firefox-gebruikers, waarbij alleen het bezoeken van een malafide of gehackte website of het te zien krijgen van een besmette advertentie voldoende is. Updaten naar Firefox 148 kan via de automatische updatefunctie en Firefox.com.

Bron: Mozilla

Broadcom heeft op 24 februari 2026 security advisory VMSA-2026-0001 uitgebracht, waarin drie kwetsbaarheden in VMware Aria Operations worden beschreven. Deze kwetsbaarheden vormen een risico, waaronder remote code execution (RCE). Organisaties die gebruikmaken van de getroffen producten wordt aangeraden om prioriteit te geven aan het patchen om potentiële exploits te minimaliseren.

VMware Aria Operations, een sleutelcomponent in producten zoals VMware Cloud Foundation, Telco Cloud Platform en Telco Cloud Infrastructure, kampt met command injection (CVE-2026-22719, CVSS 8.1), stored cross-site scripting (CVE-2026-22720, CVSS 8.0) en privilege escalation (CVE-2026-22721, CVSS 6.2).

Het meest kritieke probleem, CVE-2026-22719, stelt niet-geauthenticeerde aanvallers in staat om willekeurige commando's uit te voeren tijdens support-assisted productmigraties, wat mogelijk kan leiden tot volledige remote code execution.

CVE-2026-22720 stelt gebruikers met privileges in staat om aangepaste benchmarks te creëren om scripts te injecteren voor administratieve acties, terwijl CVE-2026-22721 vCenter-gebruikers met toegang in staat stelt om te escaleren naar beheerdersrechten in Aria Operations. Alle problemen vallen onder de categorie "Important severity", met patches die nu beschikbaar zijn voor alle getroffen versies.

De getroffen implementaties omvatten VMware Aria Operations 8.x en eerdere bundels in Cloud Foundation 9.x/5.x/4.x, Telco Cloud Platform 5.x/4.x en Telco Cloud Infrastructure 3.x/2.x.

Er bestaat een workaround voor CVE-2026-22719 via KB430349, maar niet voor de andere kwetsbaarheden, wat het belang van upgrades benadrukt. Release notes bevestigen fixes in versies zoals Aria Operations 8.18.6 en Cloud Foundation 9.0.2.0.

Beheerders moeten implementaties verifiëren aan de hand van de matrix en zo snel mogelijk updates toepassen, aangezien misbruik tijdens migraties cloudactiviteiten in gevaar kan brengen. De meldingen zijn afkomstig van Tobias Anders (Deutsche Telekom Security), Sven Nobis en Lorin Lehawany (ERNW).

Bron: support.broadcom.com

CISA heeft op 24 februari 2026 een ICS Advisory (ICSA-26-055-02) gepubliceerd over kwetsbaarheden in de Schneider Electric EcoStruxure Building Operation Workstation.

De advisory verwijst naar meerdere CVE's: CVE-2025-29628, CVE-2025-29629, CVE-2025-29631 en CVE-2025-1242. Details over deze kwetsbaarheden zijn te vinden op de website van het National Vulnerability Database (NVD).

Bron: CISA | Bron 2: github.com | Bron 3: nvd.nist.gov

Microsoft heeft de optionele cumulatieve update KB5077241 voor Windows 11 uitgebracht. Deze update bevat 29 wijzigingen, waaronder verbeteringen aan BitLocker, een nieuwe tool voor het testen van de netwerksnelheid en native System Monitor (Sysmon) functionaliteit.

KB5077241 is een preview-update die aan het einde van elke maand wordt geleverd. Hiermee kunnen beheerders Windows bugfixes, nieuwe functies en verbeteringen testen voordat ze algemeen beschikbaar komen tijdens de Patch Tuesday release van de volgende maand. In tegenstelling tot Patch Tuesday cumulatieve updates, bevatten maandelijkse niet-beveiligingspreview-updates geen beveiligingsfixes en worden alleen kwaliteitsverbeteringen uitgerold.

Met de optionele update van februari 2026 heeft Microsoft de betrouwbaarheid van BitLocker verbeterd, waardoor apparaten niet langer vastlopen na het invoeren van de herstelsleutel. Ook is er een ingebouwde netwerksnelheidstest toegevoegd voor Ethernet, Wi-Fi en mobiele verbindingen in de Windows-taakbalk. Deze kan worden geopend via de Wi-Fi of Cellular Quick Settings, of door met de rechtermuisknop op het netwerkpictogram in het systeemvak te klikken.

Daarnaast is er een optie toegevoegd om een nieuw File Explorer-venster te openen door de Shift-toets of de middelste muisknop ingedrukt te houden. De betrouwbaarheid is verbeterd wanneer pc's uit de slaapstand komen en de tijd die een pc nodig heeft om uit de slaapstand te komen is verkort, vooral bij zware belasting.

De optionele update van deze maand introduceert native System Monitor (Sysmon) functionaliteit (standaard uitgeschakeld) en schakelt automatisch Quick Machine Recovery (QMR) in op Windows Professional-apparaten die geen lid zijn van een domein en niet zijn ingeschreven voor enterprise endpoint management.

KB5077241 kan worden geïnstalleerd door Windows Settings te openen, op Windows Update te klikken en vervolgens op 'Check for Updates'. Omdat dit een preview-update is, wordt u gevraagd deze te installeren door op de link 'Download and install' te klikken. U kunt deze update ook handmatig installeren na het downloaden van de Microsoft Update Catalog.

Eenmaal geïnstalleerd, zal deze optionele niet-beveiligingsupdate Windows 11 25H2 en 24H2 apparaten bijwerken naar builds 26200.7922 en 26100.7922, respectievelijk.

De preview-update van februari 2026 wordt geleverd met verdere verbeteringen, waarvan enkele van de belangrijkste hieronder worden uitgelicht:

* Wanneer de taakbalk is ingesteld op niet-gecombineerd en u een app open hebt met meerdere vensters, verplaatsen ze niet langer allemaal als een set naar het overloopgebied wanneer er niet genoeg ruimte op de taakbalk is. Alleen de vensters die niet passen, verplaatsen naar het overloopmenu. Deze wijziging voorkomt dat het overloopmenu verschijnt met een grote ongebruikte ruimte.

* Het is mogelijk om WebP (.webp) afbeeldingen in te stellen als bureaubladachtergrond via Instellingen > Persoonlijke instellingen > Achtergrond, of door met de rechtermuisknop op de afbeelding in File Explorer te klikken.

* Deze update voegt ondersteuning toe voor Remote Server Administration Tools (RSAT) op Windows 11 Arm64-apparaten. IT-beheerders kunnen nu tools zoals Active Directory Domain Services en Lightweight Directory Services Tools, Active Directory Certificate Services Tools, Server Manager, Group Policy Management Tools, DNS Server Tools en DHCP Server Tools installeren en gebruiken. Deze tools zijn beschikbaar als optionele functies en kunnen worden geïnstalleerd via Instellingen > Systeem > Optionele functies of via Configuratiescherm > Programma's > Windows-onderdelen in- of uitschakelen.

* De responsiviteit van de Windows Update-instellingenpagina is verbeterd.

Microsoft voegde eraan toe dat een opnieuw ontworpen Startmenu, geïntroduceerd met de niet-beveiligingsupdate van oktober 2025 (KB5067036), geleidelijk wordt uitgerold naar Windows-apparaten, waarbij meer pc's deze bijgewerkte Startmenu-ervaring in de loop van de tijd ontvangen. Het bedrijf is ook nog steeds bezig met het pushen van bijgewerkte batterijpictogrammen naar meer Windows-apparaten om het gemakkelijker te maken om de huidige batterijstatus in één oogopslag te zien, een functie die ook in oktober 2025 begon uit te rollen.

Ook werden bijgewerkte Secure Boot-certificaten uitgerold ter vervanging van de originele certificaten uit 2011 die eind juni 2026 verlopen. Microsoft onthulde in januari dat het van plan is om verlopende Secure Boot-certificaten op in aanmerking komende Windows 11-systemen te vernieuwen, na een waarschuwing in november aan beheerders om de beveiligingscertificaten bij te werken voordat ze verlopen.

Bron: Microsoft

Cisco heeft kwetsbaarheden in de Cisco Catalyst SD-WAN Manager verholpen, waaronder een kritieke kwetsbaarheid (CVE-2026-20127) die actief wordt misbruikt. De kwetsbaarheden betreffen de authenticatiemechanismen van de Cisco Catalyst SD-WAN Controller en Manager producten. Een niet-geauthenticeerde externe aanvaller kan het authenticatieproces omzeilen en zo administratieve privileges op de getroffen systemen verkrijgen.

Na misbruik van CVE-2026-20127 kan een aanvaller de kwetsbaarheid CVE-2022-20775 gebruiken om de rechten te escaleren tot root. Dit kan door het systeem te downgraden naar een versie waarin CVE-2022-20775 niet is verholpen, de rechten via deze kwetsbaarheid te verhogen en vervolgens het systeem terug te zetten naar de oorspronkelijke versie. Het verkrijgen van root-level privileges leidt tot ongeautoriseerde toegang tot gevoelige informatie en de mogelijkheid om willekeurige bestanden te overschrijven, wat kan resulteren in verdere exploitatie of systeeminstabiliteit.

Het Nationaal Cyber Security Centrum (NCSC) verwacht op korte termijn een publieke Proof of Concept (PoC) en grootschalige pogingen tot misbruik van CVE-2026-20127. Het NCSC adviseert daarom dringend om de update zo spoedig mogelijk te installeren.

Bron: NCSC

Een kritieke kwetsbaarheid in de UPnP-functie van diverse routers, wifi-extenders en andere netwerkapparaten van Zyxel stelt een ongeauthenticeerde aanvaller in staat om op afstand toegang te verkrijgen en willekeurige OS-commando's uit te voeren. Zyxel heeft firmware-updates uitgebracht om dit probleem te verhelpen. Volgens Zyxel is misbruik in een standaardconfiguratie niet mogelijk.

Het beveiligingslek, aangeduid als CVE-2025-13942, bevindt zich in de UPnP-functie van de netwerkapparaten. Door een speciaal geprepareerd SOAP request naar poort 38400 van het apparaat te sturen, kan een ongeauthenticeerde remote aanvaller command injection uitvoeren. Zyxel benadrukt dat WAN-toegang tot de kwetsbare netwerkapparaten standaard is uitgeschakeld. De aanval is alleen op afstand mogelijk als zowel WAN-toegang als de kwetsbare UPnP-functie zijn ingeschakeld.

De impact van het probleem is beoordeeld met een score van 9.8 op een schaal van 1 tot 10. De kwetsbaarheid is aanwezig in achttien verschillende netwerkapparaten van Zyxel, waaronder routers, Gpon voip gateways en wifi-extenders. De beveiligingsonderzoeker die het probleem ontdekte, zegt de komende maanden meer details te zullen geven, maar heeft inmiddels proof-of-concept exploitcode met technische informatie gedeeld.

Bron: Zyxel

Cybersecurity onderzoekers van Check Point Research hebben meerdere beveiligingslekken ontdekt in Anthropic's Claude Code, een AI-gedreven coding assistant. Deze kwetsbaarheden kunnen leiden tot remote code execution en het stelen van API-credentials.

De lekken maken misbruik van verschillende configuratiemechanismen, waaronder Hooks, Model Context Protocol (MCP) servers en omgevingsvariabelen. Hierdoor kunnen willekeurige shell commando's worden uitgevoerd en Anthropic API-sleutels worden ontvreemd wanneer gebruikers onvertrouwde repositories klonen en openen, aldus Check Point Research.

De geïdentificeerde kwetsbaarheden vallen onder drie categorieën:

1. Een code-injectie kwetsbaarheid (geen CVE-nummer, CVSS score: 8.7) die voortkomt uit een bypass van de gebruikers toestemming bij het starten van Claude Code in een nieuwe directory. Dit kan resulteren in willekeurige code-executie zonder extra bevestiging via onbetrouwbare project hooks, gedefinieerd in .claude/settings.json. Deze kwetsbaarheid is verholpen in versie 1.0.87 in september 2025.

2. CVE-2025-59536 (CVSS score: 8.7) is een code-injectie kwetsbaarheid die het mogelijk maakt om automatisch willekeurige shell commando's uit te voeren bij de initialisatie van de tool, wanneer een gebruiker Claude Code start in een onbetrouwbare directory. Deze kwetsbaarheid is verholpen in versie 1.0.111 in oktober 2025.

3. CVE-2026-21852 (CVSS score: 5.3) is een informatielek in de project-laad flow van Claude Code. Hierdoor kan een kwaadaardige repository data ontvreemden, inclusief Anthropic API-sleutels. Deze kwetsbaarheid is verholpen in versie 2.0.65 in januari 2026.

Volgens een advisory van Anthropic voor CVE-2026-21852, zou Claude Code API requests versturen voordat de trust prompt getoond wordt, inclusief het potentieel lekken van de API-sleutels van de gebruiker, als een gebruiker Claude Code zou starten in een door een aanvaller gecontroleerde repository en de repository een settings file bevat die ANTHROPIC\_BASE\_URL instelt op een door de aanvaller gecontroleerd endpoint.

Met andere woorden, het simpelweg openen van een crafted repository is voldoende om de actieve API-sleutel van een ontwikkelaar te ontvreemden, geauthenticeerd API-verkeer om te leiden naar externe infrastructuur en credentials te onderscheppen. Dit kan de aanvaller in staat stellen om dieper door te dringen in de AI-infrastructuur van het slachtoffer. Dit kan potentieel inhouden dat toegang wordt verkregen tot gedeelde projectbestanden, cloud-opgeslagen data wordt aangepast of verwijderd, kwaadaardige content wordt geüpload en zelfs onverwachte API-kosten worden gegenereerd.

Succesvolle exploitatie van de eerste kwetsbaarheid kan leiden tot stealthy execution op de machine van een ontwikkelaar zonder enige extra interactie, behalve het lanceren van het project. CVE-2025-59536 bereikt een soortgelijk doel. Het belangrijkste verschil is dat repository-gedefinieerde configuraties, gedefinieerd via .mcp.json en claude/settings.json bestanden, door een aanvaller kunnen worden misbruikt om expliciete gebruikersgoedkeuring te overrulen voorafgaand aan interactie met externe tools en services via het Model Context Protocol (MCP). Dit wordt bereikt door de optie "enableAllProjectMcpServers" in te stellen op true.

Check Point stelt dat configuratiebestanden effectief onderdeel worden van de execution layer, nu AI-gedreven tools het vermogen krijgen om autonoom commando's uit te voeren, externe integraties te initialiseren en netwerkcommunicatie te initiëren. Wat ooit werd beschouwd als operationele context beïnvloedt nu direct het systeemgedrag. Dit verandert fundamenteel het dreigingsmodel. Het risico is niet langer beperkt tot het uitvoeren van onvertrouwde code, maar strekt zich nu uit tot het openen van onvertrouwde projecten. In AI-gedreven ontwikkelomgevingen begint de supply chain niet alleen met broncode, maar ook met de automatiseringslagen eromheen.

Bron: Check Point | Bron 2: github.com

Wereldwijd zijn ongeveer negenhonderd FreePBX-telefooncentrales geïnfecteerd met malware, waaronder ruim twintig in Nederland. Dat meldt The Shadowserver Foundation op basis van eigen onderzoek. FreePBX is software voor het beheer van telefooncentrales die op Asterisk VoIP-servers draaien en wordt door diverse organisaties en bedrijven gebruikt.

De afgelopen maanden zijn twee kwetsbaarheden in FreePBX actief misbruikt bij aanvallen. Het gaat om CVE-2025-57819 en CVE-2025-64328. Via CVE-2025-57819 kan een aanvaller zonder inloggegevens als administrator inloggen. Vervolgens is remote code execution en het aanpassen van de database via SQL injection mogelijk, waardoor volledige controle over het systeem kan worden verkregen.

CVE-2025-64328 is een kwetsbaarheid in de admin-interface waardoor een geauthenticeerde aanvaller willekeurige shellcommando's op de onderliggende server kan uitvoeren. "Een aanvaller kan dit gebruiken om als de asterisk user remote toegang tot het systeem te krijgen", aldus het beveiligingsbulletin. Updates voor dit probleem zijn in november uitgebracht.

Recentelijk rapporteerde Fortinet dat aanvallers CVE-2025-64328 gebruiken om een webshell op kwetsbare FreePBX-servers te installeren. Via deze webshell kunnen aanvallers toegang tot de server behouden en verdere aanvallen uitvoeren. The Shadowserver Foundation heeft ongeveer negenhonderd FreePBX-systemen gedetecteerd die met een webshell zijn besmet, waarbij vermoedelijk gebruik is gemaakt van CVE-2025-64328. Vierhonderd van de gecompromitteerde systemen bevinden zich in de Verenigde Staten, terwijl in Nederland 24 besmette servers zijn aangetroffen.

Bron: Anoniem

Een recent bevestigde kwetsbaarheid in de telnet daemon (telnetd) in GNU Inetutils herintroduceert een 27 jaar oude security flaw. Deze stelt aanvallers in staat om root-toegang te verkrijgen door misbruik te maken van onjuiste opschoning van omgevingsvariabelen, zonder dat authenticatie vereist is.

De kwetsbaarheid, geregistreerd als CVE-2026-24061, bevindt zich in GNU Inetutils tot en met versie 2.7 en maakt het mogelijk om authenticatie op afstand te omzeilen. Dit gebeurt wanneer een kwaadwillende client "-f root" als waarde voor de USER-omgevingsvariabele meegeeft.

Deze ontdekking, gerapporteerd door security researcher Ron Ben Yizhak, leidde tot een dieper onderzoek naar de vraag of de geest van CVE-1999-0073, een kwetsbaarheid uit 1999 die aanvallers in staat stelde om omgevingsvariabelen zoals LD_LIBRARY_PATH te injecteren om systeembibliotheken te ondermijnen, nog steeds moderne telnet-implementaties achtervolgt.

Het kernprobleem ligt in de manier waarop telnetd /bin/login start. Omdat beide processen in een root-to-root context draaien, zet de Linux kernel AT_SECURE op 0 in de auxiliary vector van het proces. Deze waarde is cruciaal; wanneer positief, signaleert AT_SECURE de dynamic linker (ld-linux.so) en glibc om de secure-execution mode te activeren. Dit zorgt ervoor dat gevaarlijke omgevingsvariabelen zoals LD_LIBRARY_PATH, GCONV_PATH en andere automatisch worden verwijderd of geneutraliseerd.

Met AT_SECURE op nul, behandelt de dynamic linker de sessie als volledig vertrouwd, wat betekent dat elke omgevingsvariabele die door een telnet client wordt doorgegeven zonder beperking wordt geaccepteerd. Dit verschuift de verantwoordelijkheid voor opschoning volledig naar telnetd zelf, een verantwoordelijkheid die het niet nakomt.

Hoewel een recente commit (4db2f19f) unsetenv("CREDENTIALS_DIRECTORY") introduceerde om een deel van het probleem aan te pakken, blijft de fix gevaarlijk onvolledig. Telnetd probeert momenteel schadelijke variabelen te blokkeren met behulp van een blacklist-aanpak, waarbij wordt gefilterd op prefix of volledige variabelenaam. Onderzoekers hebben bevestigd dat dit onvoldoende is.

Een aanvaller kan GNU gettext-specifieke variabelen zoals OUTPUT_CHARSET en LANGUAGE, samen met de glibc-variabele GCONV_PATH, rechtstreeks via het telnet-protocol injecteren. Door een mismatch in de character set te declareren (bijvoorbeeld door ISO-8859-1 te injecteren tegen een UTF-8 systeem), misleidt een aanvaller gettext om iconv_open() aan te roepen. Omdat AT_SECURE 0 is, volgt iconv_open() blindelings de door de aanvaller geleverde GCONV_PATH om een aangepast gconv-modules bestand te lokaliseren, en laadt vanaf daar willekeurige shared objects als root.

In een proof of concept van Justin Swartz injecteerde een lokale gebruiker met weinig privileges (abuser) omgevingsvariabelen via een standaard telnet-sessie om een kwaadaardige shared library (libcash2trash.so) te laden. Toen /bin/login probeerde een gelokaliseerde prompt weer te geven, activeerde gettext de exploit chain. De payload werd stilletjes uitgevoerd voordat de verbinding werd verbroken, waarbij /bin/sh werd gekopieerd met SUID/SGID permissies. Het resulterende binary draaide met euid=0 (root) en egid=0 (root), waardoor volledige root privileges werden verleend aan de gebruiker zonder privileges. Er werd geen telnetd authenticatie uitgevoerd of vereist.

Onderzoekers suggereren het consolideren van een enkele CVE voor "Improper environment sanitization in telnetd" om zowel de CREDENTIALS_DIRECTORY vector als deze dynamic linker escape volledig te dekken. De aanbevolen oplossing is om af te stappen van het gebrekkige blacklist model. Het opbouwen van een strikte whitelist van veilige omgevingsvariabelen voor /bin/login, in combinatie met rigoureuze input sanitization op hun waarden, wordt beschouwd als de enige betrouwbare lange termijn oplossing, vergelijkbaar met de OpenSSH AcceptEnv-style aanpak.

Organisaties die nog steeds telnet services draaien, worden dringend verzocht om telnetd onmiddellijk uit te schakelen en te migreren naar SSH. Waar telnet niet kan worden vermeden, is het upgraden van GNU Inetutils en het toepassen van strikte network-level access controls essentieel totdat een uitgebreide patch wordt uitgebracht.

Bron: CyberSecurityNews

De Wireshark Foundation heeft Wireshark 4.6.4 uitgebracht, een onderhoudsupdate voor de netwerkprotocolanalysator. Deze release verhelpt meerdere beveiligingslekken en lost functionele bugs op die de stabiliteit en prestaties kunnen beïnvloeden.

De update is cruciaal omdat het problemen oplost die gebruikers blootstellen aan Denial-of-Service (DoS)-aanvallen via specifieke protocol dissectors. Wireshark gebruikt deze dissectors om netwerkverkeer te decoderen.

De 4.6.4-release lost drie specifieke beveiligingsproblemen op die in eerdere versies zijn geïdentificeerd. Deze kwetsbaarheden hebben betrekking op geheugenuitputting en crash loops in protocol dissectors.

Naast beveiligingspatches biedt Wireshark 4.6.4 stabiliteitsverbeteringen. Een prestatieprobleem met betrekking tot "Expert Info" is opgelost; voorheen vertoonde deze functie kwadratische prestatievermindering, waardoor deze aanzienlijk trager werd naarmate het datavolume toenam.

Hoewel er geen nieuwe protocollen zijn geïntroduceerd in deze release, is de ondersteuning voor een breed scala aan bestaande protocollen bijgewerkt om een nauwkeurige decodering te garanderen. Bijgewerkte protocollen zijn onder meer Art-Net, BGP, IEEE 802.11, IPv6, MySQL, NAS-5GS en Socks. De ondersteuning voor capture-bestanden is ook verbeterd voor BLF- en pcapng-indelingen.

Gebruikers wordt geadviseerd om onmiddellijk te updaten naar Wireshark 4.6.4 om ervoor te zorgen dat hun analyseomgeving veilig en stabiel is. De nieuwste versie kan rechtstreeks van de Wireshark Foundation-website worden gedownload.

Bron: Wireshark

Een kritieke kwetsbaarheid in het ServiceNow AI Platform, een enterprise AI-platform, is gepatcht. Het lek, aangeduid als CVE-2026-0542, maakt ongeauthenticeerde remote code execution (RCE) mogelijk en vormt een aanzienlijk risico voor organisaties die het platform gebruiken.

De kwetsbaarheid bevindt zich in de sandbox-omgeving van het platform. Onder bepaalde omstandigheden kan deze worden misbruikt om RCE te bereiken. Dit betekent dat een aanvaller kwaadaardige code kan uitvoeren op het getroffen systeem zonder authenticatie of credentials. Hoewel de exacte technische details niet openbaar zijn gemaakt om misbruik te voorkomen, benadrukt ServiceNow de ernst van een ongeauthenticeerde RCE-kwetsbaarheid. Dergelijke kwetsbaarheden zijn zeer gewild bij dreigingsactoren, omdat ze een directe manier bieden om een systeem te compromitteren zonder dat gebruikersinteractie of gestolen inloggegevens nodig zijn.

ServiceNow heeft naar eigen zeggen proactieve stappen ondernomen om deze kwetsbaarheid aan te pakken. Volgens hun security advisory (KB2693566) heeft het bedrijf op 6 januari 2026 een security update uitgerold naar de getroffen gehoste klantinstanties. Er zijn ook security updates beschikbaar gesteld aan self-hosted klanten en partners. ServiceNow geeft aan dat er op het moment van de security advisory geen actieve misbruik van deze kwetsbaarheid tegen klantinstanties bekend was. Het bedrijf adviseert klanten om de verstrekte updates of nieuwere versies onmiddellijk toe te passen, als ze dat nog niet hebben gedaan. Klanten die hebben deelgenomen aan het January Patching Program zouden de juiste update al hebben ontvangen. Organisaties die ServiceNow gebruiken, wordt geadviseerd om de security advisory te bekijken en de nodige patches onmiddellijk toe te passen om hun omgevingen te beschermen tegen mogelijke misbruik van CVE-2026-0542.

Bron: ServiceNow

Google API-sleutels, die voorheen als ongevaarlijk werden beschouwd, kunnen nu gebruikt worden om te authenticeren bij de Gemini AI-assistent en toegang te krijgen tot private data. Dit probleem werd ontdekt door onderzoekers van Truffle Security, die bijna 3.000 dergelijke sleutels vonden bij het scannen van internetpagina's van organisaties in diverse sectoren, inclusief Google zelf.

Voorheen werden Google Cloud API-sleutels niet als gevoelige data beschouwd en konden ze zonder risico online worden gepubliceerd. Echter, met de introductie van Gemini en de mogelijkheid voor ontwikkelaars om de LLM API in projecten te activeren, veranderde dit. De API-sleutels, die gebruikt worden om functionaliteit in projecten uit te breiden (zoals het laden van Maps, YouTube embeds, usage tracking of Firebase services), fungeren nu ook als authenticatie voor Gemini API.

Een kwaadwillende actor kan een API-sleutel van de broncode van een website kopiëren en toegang krijgen tot private data via de Gemini API. Omdat het gebruik van de Gemini API niet gratis is, kan een aanvaller de toegang misbruiken en API-calls maken ten koste van het slachtoffer. Truffle Security waarschuwt dat het maximaliseren van API-calls een slachtoffer duizenden dollars per dag kan kosten, afhankelijk van het model en de context window.

Truffle Security scande de Common Crawl dataset van november 2025 en vond meer dan 2.800 actieve Google API-sleutels die publiekelijk in code waren blootgesteld. Sommige van deze sleutels werden gebruikt door grote financiële instellingen, beveiligingsbedrijven en recruitment firms. Truffle Security meldde het probleem aan Google op 21 november 2025 en deelde samples van Google's eigen infrastructuur. Google classificeerde het probleem op 13 januari 2026 als een "single-service privilege escalation".

Google verklaarde aan BleepingComputer dat ze op de hoogte zijn van het rapport en maatregelen hebben getroffen om het probleem aan te pakken. Zo worden proactieve maatregelen genomen om gelekte API-sleutels die toegang proberen te krijgen tot de Gemini API te detecteren en blokkeren. Nieuwe AI Studio keys zullen standaard een Gemini-only scope hebben en gelekte API-sleutels zullen worden geblokkeerd voor toegang tot Gemini. Daarnaast zullen er proactieve notificaties worden verzonden wanneer lekken worden gedetecteerd.

Ontwikkelaars wordt aangeraden om te controleren of Gemini (Generative Language API) is ingeschakeld op hun projecten en alle API-sleutels in hun omgeving te auditen om te bepalen of er publiekelijk blootgestelde sleutels zijn. Indien dit het geval is, moeten deze onmiddellijk worden geroteerd. Truffle Security adviseert om de TruffleHog open-source tool te gebruiken om live, blootgestelde sleutels in code en repositories te detecteren.

Bron: Truffle Security | Bron 2: github.com | Bron 3: blog.qualys.com

De Cybersecurity and Infrastructure Security Agency (CISA) heeft op 26 februari 2026 een ICS Advisory (ICSA-26-057-04) uitgegeven met betrekking tot kwetsbaarheden in de EV2GO ev2go.io laadpalen.

Er zijn verschillende kwetsbaarheden geïdentificeerd in de EV2GO laadpalen, waaronder een mogelijkheid tot het uitvoeren van ongeautoriseerde acties en het verkrijgen van gevoelige informatie. CISA adviseert gebruikers en beheerders van deze laadpalen om de aanbevolen mitigatiemaatregelen te implementeren om het risico op misbruik te minimaliseren. Deze maatregelen omvatten onder meer het updaten van de firmware naar de nieuwste versie en het implementeren van sterke authenticatie.

CISA benadrukt het belang van "secure by design" principes en biedt diverse gratis cybersecurity services en tools aan om organisaties te helpen hun digitale weerbaarheid te vergroten. Het agentschap moedigt bedrijven aan om cyberincidenten te melden via de daarvoor bestemde kanalen. Meer details over de specifieke kwetsbaarheden, waaronder CVE-2026-1241, zijn te vinden op de National Vulnerability Database (NVD).

Bron: CISA | Bron 2: github.com | Bron 3: nvd.nist.gov

De Japanse cybersecurityfirma Trend Micro heeft deze week patches uitgebracht voor twee kritieke kwetsbaarheden in Apex One, een endpoint security platform voor Windows systemen. De lekken stellen aanvallers in staat om op afstand code uit te voeren (RCE) op kwetsbare systemen. Apex One detecteert en reageert op diverse dreigingen, waaronder malware, spyware, malicious tools en kwetsbaarheden.

De eerste kwetsbaarheid, CVE-2025-71210, is een path traversal fout in de Trend Micro Apex One management console. Hierdoor kunnen ongeautoriseerde aanvallers kwaadaardige code uitvoeren op systemen die niet zijn voorzien van de nieuwste beveiligingsupdates.

De tweede kwetsbaarheid, CVE-2025-71211, is eveneens een path traversal fout in de Apex One management console, vergelijkbaar met CVE-2025-71210, maar dan in een ander uitvoerbaar bestand. Trend Micro adviseert dat succesvolle exploitatie vereist dat aanvallers toegang hebben tot de Trend Micro Apex One Management Console. Klanten die het IP-adres van hun console extern hebben blootgesteld, wordt aangeraden om maatregelen te treffen, zoals het beperken van de bron, indien dit nog niet is gedaan.

Trend Micro benadrukt dat, ondanks dat er specifieke voorwaarden nodig zijn voor een succesvolle exploit, klanten dringend wordt aangeraden om zo snel mogelijk te updaten naar de nieuwste builds. Om deze kritieke beveiligingsproblemen aan te pakken, heeft Trend Micro de kwetsbaarheden in de SaaS Apex One-versies gepatcht en Critical Patch Build 14136 uitgebracht. Deze patch verhelpt ook twee high-severity privilege escalation fouten in de Windows agent en nog vier andere die de macOS agent beïnvloeden.

Hoewel Trend Micro niet heeft aangegeven dat deze specifieke kwetsbaarheden actief worden misbruikt, waarschuwt het bedrijf dat andere Apex One kwetsbaarheden in het verleden wel zijn misbruikt. Zo waarschuwde Trend Micro in augustus 2025 voor een actief geëxploiteerde Apex One RCE kwetsbaarheid (CVE-2025-54948). Ook in september 2022 (CVE-2022-40139) en september 2023 (CVE-2023-41179) werden zero-days in Apex One verholpen die actief werden misbruikt. De U.S. Cybersecurity and Infrastructure Security Agency (CISA) houdt momenteel 10 Trend Micro Apex kwetsbaarheden bij die zijn of nog steeds worden misbruikt.

Bron: Trend Micro | Bron 2: cisa.gov | Bron 3: blog.qualys.com

Een kritieke kwetsbaarheid in Junos OS Evolved, het netwerkbesturingssysteem dat draait op PTX Series routers van Juniper Networks, kan een niet-geauthenticeerde aanvaller in staat stellen om op afstand code uit te voeren met root-privileges.

PTX Series routers zijn ontworpen voor hoge prestaties, lage latentie en schaalbaarheid, en worden vaak gebruikt door internetproviders, telecommunicatiediensten en cloudnetwerktoepassingen.

Het beveiligingsprobleem, aangeduid als CVE-2026-21902, wordt veroorzaakt door een incorrecte toewijzing van rechten in het 'On-Box Anomaly Detection' framework. Dit framework zou alleen toegankelijk moeten zijn voor interne processen via de interne routing interface. De fout maakt het echter mogelijk om het framework te benaderen via een extern blootgestelde poort, aldus Juniper Networks in een security advisory.

Omdat de service als root draait en standaard is ingeschakeld, zou een succesvolle exploitatie een aanvaller die zich al op het netwerk bevindt in staat stellen om zonder authenticatie de volledige controle over het apparaat te krijgen.

Het probleem treft Junos OS Evolved versies vóór 25.4R1-S1-EVO en 25.4R2-EVO op PTX Series routers. Oudere versies kunnen ook worden getroffen, maar de leverancier beoordeelt geen releases die het einde van de engineering- of end-of-life (EoL) fase hebben bereikt. Versies vóór 25.4R1-EVO en standaard (niet-Evolved) Junos OS versies worden niet beïnvloed door CVE-2026-21902.

Juniper Networks heeft fixes geleverd in de versies 25.4R1-S1-EVO, 25.4R2-EVO en 26.2R1-EVO van het product. Juniper's Security Incident Response Team (SIRT) verklaart dat het zich niet bewust was van kwaadwillige exploitatie van de kwetsbaarheid op het moment van publicatie van het security bulletin.

Als onmiddellijke patching niet mogelijk is, adviseert de leverancier om de toegang tot de kwetsbare endpoints te beperken tot vertrouwde netwerken met behulp van firewallfilters of Access Control Lists (ACL's). Als alternatief kunnen beheerders de kwetsbare service volledig uitschakelen met behulp van de opdracht 'request pfe anomalies disable'.

Juniper Networks producten zijn doorgaans een aantrekkelijk doelwit voor geavanceerde hackers, omdat de netwerkapparatuur wordt gebruikt door serviceproviders die een hoge bandbreedte vereisen, zoals cloud datacenters en grote ondernemingen. In maart 2025 werd onthuld dat Chinese cyber-spionage acteurs custom backdoors aan het inzetten waren op EoL Junos OS MX routers om een set van 'TinyShell' backdoor varianten te installeren. In januari 2025 was er een malware campagne genaamd 'J-magic' die zich richtte op Juniper VPN gateways die gebruikt werden in de halfgeleider-, energie-, productie- en IT-sectoren, waarbij netwerk-sniffing malware werd ingezet die werd geactiveerd bij ontvangst van een "magic packet". In december 2024 werden Juniper Networks Smart routers het doelwit van Mirai botnet campagnes, waardoor ze werden ingelijfd in distributed denial of service (DDoS) zwermen.

Bron: Juniper | Bron 2: nvd.nist.gov

Juniper heeft een kritieke kwetsbaarheid verholpen in Junos OS Evolved, specifiek voor PTX Series apparaten. De kwetsbaarheid, aangeduid als NCSC-2026-0073, bevindt zich in het On-Box Anomaly Detection framework van Junos OS Evolved dat op PTX Series apparaten draait. Door een onjuiste toewijzing van rechten kunnen ongeauthenticeerde, externe aanvallers op afstand code met rootprivileges uitvoeren. Dit geeft hen volledige controle over het apparaat.

De kwetsbaarheid kan op afstand via het netwerk worden misbruikt zonder authenticatie. Het On-Box Anomaly Detection framework is ontworpen om uitsluitend door interne processen via de interne routinginstantie te worden benaderd en mag niet via een extern blootgestelde poort toegankelijk zijn.

Juniper heeft een oplossing beschikbaar gesteld om het risico op misbruik te verkleinen. Het NCSC adviseert de toegang tot het On-Box Anomaly Detection framework te beperken tot alleen vertrouwde netwerken en hosts. Dit kan worden gedaan door middel van toegangslijsten of firewallfilters, waarbij uitsluitend de expliciet vereiste verbindingen worden toegestaan en alle overige verbindingen worden geblokkeerd.

Als alternatief kan de service volledig worden uitgeschakeld met het commando: **request pfe anomalies disable**.

Bron: NCSC

GitLab heeft een reeks kwetsbaarheden verholpen die van invloed zijn op de beschikbaarheid van de service en de integriteit van de configuraties binnen de CI/CD-processen. De kwetsbaarheden zijn aanwezig in versies 9.0 tot maar niet inclusief 18.7.5, 18.8 tot maar niet inclusief 18.8.5, en 18.9 tot maar niet inclusief 18.9.1.

De gepatchte problemen omvatten verschillende Denial of Service (DoS) en beveiligingsproblemen die zowel door geauthenticeerde als ongeauthenticeerde gebruikers misbruikt konden worden. Specifieke voorbeelden van misbruik zijn het creëren van speciaal vervaardigde triggers via de GitLab API, het versturen van speciaal vervaardigde bestanden naar de container registry, en het injecteren van scripts in de Mermaid sandbox UI.

Door deze kwetsbaarheden te exploiteren, kunnen aanvallers de beschikbaarheid van de GitLab-service verstoren en de integriteit van de CI/CD-processen aantasten. Het Nationaal Cyber Security Centrum (NCSC) adviseert gebruikers van GitLab om de nieuwste versies te installeren om deze risico's te mitigeren.

Bron: NCSC

Gevoelige persoonsgegevens die organisaties beheren, zijn wereldwijd toegankelijk via verkeerd geconfigureerde Mendix-applicaties. Het Dutch Institute for Vulnerability Disclosure (DIVD) waarschuwt dat dit probleem zich voordoet bij overheden, gemeenten, banken, zorginstellingen, hogescholen, e-learning platformen, autodealers en interne platformen.

Het DIVD benadrukt dat het geen kwetsbaarheid in Mendix zelf betreft, maar configuratiefouten. Mendix biedt een "low-code" ontwikkelplatform voor applicaties. Wereldwijd hebben organisaties dit onjuist ingericht, waardoor onbevoegden toegang krijgen tot gevoelige gegevens, mogelijk zonder in te loggen. In één geval kregen onderzoekers toegang tot kopieën van 650.000 identiteitsbewijzen.

In andere gevallen konden onderzoekers financiële gegevens inzien en wijzigen, en waren (bijzondere) persoonsgegevens, contractinformatie of medische persoonsgegevens toegankelijk. Bij een platform voor financiële transacties konden de onderzoekers het rekeningnummer van de ontvangende partij wijzigen.

Er zijn inmiddels meer dan tweeduizend verkeerd geconfigureerde systemen geïdentificeerd en het onderzoek loopt nog. Organisaties worden opgeroepen om de autorisatie-instellingen van hun Mendix-applicaties te controleren. Er moet worden gecontroleerd of anonieme bezoekers data kunnen benaderen, en wat zichtbaar wordt na het inloggen. De onderzoekers vonden situaties waarin een accountregistratie en -activatie direct toegang gaf tot de volledige database.

Bron: DIVD

De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft nieuwe details vrijgegeven over RESURGE, een malware-implant dat gebruikt wordt bij zero-day aanvallen die CVE-2025-0282 exploiteren om Ivanti Connect Secure apparaten te compromitteren. De update benadrukt de mogelijkheid van het implantaat om onopgemerkt latent te blijven op de apparaten en de "geavanceerde netwerk-level ontwijkings- en authenticatietechnieken" die het gebruikt voor heimelijke communicatie met de aanvaller.

CISA documenteerde de malware oorspronkelijk op 28 maart vorig jaar en meldde dat het reboots kan overleven, webshells kan creëren voor het stelen van inloggegevens, accounts kan aanmaken, wachtwoorden kan resetten en privileges kan escaleren. Volgens onderzoekers van incident response bedrijf Mandiant werd de kritieke CVE-2025-0282 kwetsbaarheid sinds half december 2024 als een zero-day geëxploiteerd door een dreigingsactor die intern wordt aangeduid als UNC5221, gelinkt aan China.

De geüpdatete analyse van CISA verschaft aanvullende technische informatie over RESURGE, een kwaadaardig 32-bit Linux Shared Object bestand genaamd libdsupgrade.so dat werd onttrokken aan een gecompromitteerd apparaat. Het implantaat wordt beschreven als een passieve command-and-control (C2) implant met rootkit, bootkit, backdoor, dropper, proxying en tunneling mogelijkheden. In plaats van een beacon naar de C2 stuurt, wacht het oneindig op een specifieke inkomende TLS-verbinding, waardoor netwerkmonitoring wordt omzeild, aldus CISA.

Wanneer geladen onder het ‘web’ proces, onderschept het de ‘accept()’ functie om inkomende TLS-pakketten te inspecteren voordat ze de webserver bereiken. Het zoekt naar specifieke verbindingspogingen van een externe aanvaller die worden geïdentificeerd met behulp van het CRC32 TLS fingerprint hashing schema. Als de fingerprint niet overeenkomt, wordt het verkeer doorgestuurd naar de legitieme Ivanti server.

CISA beschrijft verder dat de dreigingsactor ook een nep Ivanti certificaat gebruikt om te verifiëren dat ze met het implantaat communiceren en niet met de Ivanti webserver. Het agentschap benadrukt dat het certificaat alleen bedoeld is voor authenticatie en verificatie, en niet voor het versleutelen van communicatie. Het vervalste certificaat helpt de actor ook om detectie te voorkomen door de legitieme server na te bootsen. Omdat het vervalste certificaat ongecodeerd over het internet wordt verzonden, kunnen verdedigers het volgens CISA gebruiken als een netwerksignatuur om een actieve compromittering te detecteren.

Na fingerprint validatie en authenticatie met de malware, zet de dreigingsactor beveiligde toegang op afstand naar het implantaat op met behulp van een Mutual TLS sessie die is versleuteld met het Elliptic Curve protocol. "Statische analyse geeft aan dat het RESURGE implantaat de EC-sleutel van de externe actors zal opvragen voor encryptie, en deze ook zal verifiëren met een hard-coded EC Certificate Authority (CA) sleutel," aldus CISA.

Door legitiem TLS/SSH verkeer na te bootsen, bereikt het implantaat stealth en persistentie, aldus het Amerikaanse cybersecurity agentschap. Een ander geanalyseerd bestand is een variant van de SpawnSloth malware genaamd liblogblock.so, dat deel uitmaakt van het RESURGE implantaat. Het belangrijkste doel is het manipuleren van logs om kwaadaardige activiteit op gecompromitteerde apparaten te verbergen. Een derde bestand dat CISA analyseerde is dsmain, een kernel extractie script dat het open-source script 'extract_vmlinux.sh' en de BusyBox verzameling van Unix/Linux utilities bevat.

Met deze bestanden kan RESURGE coreboot firmware images decoderen, wijzigen en opnieuw coderen en de inhoud van het bestandssysteem manipuleren voor persistentie op boot-niveau. "CISA's geüpdatete analyse toont aan dat RESURGE latent op systemen kan blijven totdat een externe actor probeert verbinding te maken met het gecompromitteerde apparaat," aldus het agentschap. Om deze reden kan het kwaadaardige implantaat "dormant en onopgemerkt blijven op Ivanti Connect Secure apparaten en blijft het een actieve dreiging." CISA adviseert systeembeheerders om de bijgewerkte indicators of compromise (IoCs) te gebruiken om sluimerende RESURGE infecties te ontdekken en ze van Ivanti apparaten te verwijderen.

Bron: CISA | Bron 2: coreboot.org

Beveiligingsonderzoekers hebben een ernstige kwetsbaarheid, genaamd "ClawJacked", ontdekt in de populaire AI-agent OpenClaw. Deze kwetsbaarheid stelt een kwaadaardige website in staat om op de achtergrond toegang te forceren tot een lokaal draaiende instantie en deze over te nemen. Oasis Security ontdekte het probleem en meldde het aan OpenClaw, waarna een fix werd uitgebracht in versie 2026.2.26 op 26 februari.

OpenClaw is een zelf-gehost AI-platform dat recentelijk in populariteit is gestegen, omdat het AI-agents in staat stelt om autonoom berichten te verzenden, commando's uit te voeren en taken te beheren op meerdere platforms. Volgens Oasis Security wordt de kwetsbaarheid veroorzaakt doordat de OpenClaw gateway service standaard aan localhost bindt en een WebSocket interface beschikbaar stelt. Omdat browser cross-origin policies geen WebSocket verbindingen naar localhost blokkeren, kan een kwaadaardige website die door een OpenClaw gebruiker wordt bezocht, JavaScript gebruiken om stilletjes een verbinding te openen naar de lokale gateway en authenticatie proberen zonder waarschuwingen te activeren.

Hoewel OpenClaw rate limiting bevat om brute-force aanvallen te voorkomen, is het loopback adres (127.0.0.1) standaard uitgezonderd, zodat lokale CLI sessies niet per ongeluk worden geblokkeerd. De onderzoekers ontdekten dat ze het OpenClaw management wachtwoord met honderden pogingen per seconde konden brute-forcen, zonder dat mislukte pogingen werden vertraagd of gelogd. Zodra het juiste wachtwoord is geraden, kan de aanvaller zich stilletjes registreren als een vertrouwd apparaat, omdat de gateway automatisch device pairings van localhost goedkeurt zonder dat gebruikersbevestiging vereist is.

Oasis Security legt uit dat ze in hun labtests een constante snelheid van honderden wachtwoordgokken per seconde behaalden, enkel en alleen met browser JavaScript. Met die snelheid is een lijst van veelvoorkomende wachtwoorden in minder dan een seconde uitgeput, en een groot woordenboek zou slechts minuten duren. Een door een mens gekozen wachtwoord maakt geen schijn van kans.

Met een geauthenticeerde sessie en admin rechten kan de aanvaller rechtstreeks met het AI-platform communiceren, credentials dumpen, verbonden nodes weergeven, credentials stelen en applicatielogs lezen. Oasis zegt dat dit een aanvaller in staat zou kunnen stellen om de agent te instrueren om messaging histories te doorzoeken op gevoelige informatie, bestanden van verbonden apparaten te exfiltreren, of willekeurige shell commando's uit te voeren op gekoppelde nodes, wat effectief resulteert in volledige workstation compromise, geactiveerd vanuit een browsertabblad.

Oasis deelde een demonstratie van deze aanval, die laat zien hoe deze kan worden gebruikt om gevoelige data te stelen via de OpenClaw kwetsbaarheid. Oasis rapporteerde het probleem aan OpenClaw, inclusief technische details en proof-of-concept code, en het werd binnen 24 uur na openbaarmaking verholpen. De fix verscherpt WebSocket security checks en voegt extra bescherming toe om te voorkomen dat aanvallers localhost loopback verbindingen misbruiken om logins te brute-forcen of sessies te kapen, zelfs als die verbindingen zijn geconfigureerd om te worden vrijgesteld van rate limiting. Organisaties en ontwikkelaars die OpenClaw gebruiken, wordt aangeraden om onmiddellijk te updaten naar versie 2026.2.26 of later om te voorkomen dat hun installaties worden gekaapt.

Met de enorme populariteit van OpenClaw richten security onderzoekers zich op het identificeren van kwetsbaarheden en aanvallen die gericht zijn op het platform. Dreigingsactoren zijn gezien die de "ClawHub" OpenClaw skills repository misbruiken om kwaadaardige skills te promoten die infostealing malware implementeren of gebruikers misleiden om kwaadaardige commando's op hun apparaten uit te voeren.

Bron: Oasis | Bron 2: hubs.li

In de DuckDuckGo browser voor Android is een kritieke Universal Cross-Site Scripting (UXSS) kwetsbaarheid ontdekt. Deze kwetsbaarheid, met een CVSS score van 8.6, stelt niet-vertrouwde cross-origin iframes in staat om willekeurige JavaScript code uit te voeren in de top-level origin. De kwetsbaarheid werd oorspronkelijk beschreven in een Medium-post door security researcher Dhiraj Mishra.

De oorzaak van het probleem ligt in de "AutoconsentAndroid" JavaScript bridge, een native component die wordt geïnjecteerd in webpagina's geladen door de DuckDuckGo Android applicatie (com.duckduckgo.mobile.android). Deze bridge is ontworpen om naadloze communicatie tussen de native Android code van de browser en de weergegeven webpagina te faciliteren. Echter, de bridge implementeerde geen adequate security checks, wat leidde tot een ernstige schending van de Same-Origin Policy (SOP).

De "AutoconsentAndroid" bridge accepteert berichten van elke frame, inclusief frames geladen van verschillende origins (cross-origin iframes), zonder de origin van de aanroeper te valideren of een secret token voor authenticatie te vereisen. Wanneer de bridge een bericht ontvangt, verwerkt een interne `evalhandler` functie dit en activeert de `webView.evaluateJavascript(…)` methode. In de context van Android WebViews voert deze methode de meegeleverde JavaScript code direct uit binnen het top-level document, in plaats van de geïsoleerde iframe waar het bericht vandaan komt.

Een kwaadaardige iframe ingebed in een legitieme webpagina kan de `AutoconsentAndroid` bridge gebruiken als proxy. Door een crafted bericht met kwaadaardige JavaScript te verzenden, kan de iframe de top-level pagina dwingen deze uit te voeren. Dit omzeilt de Same-Origin Policy, een fundamenteel security mechanisme dat voorkomt dat scripts op de ene webpagina toegang krijgen tot gevoelige data op een andere webpagina.

Door een gebruiker te misleiden een website te bezoeken die een verborgen kwaadaardige iframe bevat, kan een aanvaller willekeurige code uitvoeren over volledig verschillende origins. Dit kan gebruikt worden om gevoelige informatie zoals sessie cookies en authenticatie tokens te stelen, en om onzichtbaar kwaadaardige content te injecteren in elke vertrouwde website die de gebruiker bezoekt via de kwetsbare browser.

DuckDuckGo heeft het probleem inmiddels verholpen in recente releases van de Android browser. Gebruikers en enterprise beheerders wordt geadviseerd om hun DuckDuckGo applicatie bij te werken naar de laatste beschikbare versie.

Bron: Dhiraj Mishra

Google heeft gewaarschuwd voor een actief aangevallen kwetsbaarheid in Androidtelefoons (CVE-2026-21385), en een kritiek beveiligingslek (CVE-2026-0006) waardoor toestellen op afstand zonder interactie van gebruikers overgenomen kunnen worden. Er zijn updates uitgebracht om de problemen te verhelpen. Tijdens de patchronde van maart zijn in totaal 129 kwetsbaarheden gepatcht, waaronder de aangevallen kwetsbaarheid en tien beveiligingslekken die als kritiek zijn aangemerkt.

Het aangevallen beveiligingslek (CVE-2026-21385) bevindt zich in Androidtelefoons die gebruikmaken van Qualcomm chipsets. Het gaat om het onderdeel dat verantwoordelijk is voor de beeldweergave. Via de kwetsbaarheid kan een aanvaller die al toegang tot een toestel heeft een integer overflow veroorzaken. Verdere details zijn niet door Google of Qualcomm gegeven. De impact van CVE-2026-21385 is als 'high' beoordeeld. Kwetsbaarheden in deze categorie maken het mogelijk voor aanvallers om beveiligingsmaatregelen te omzeilen, toegang tot privégegevens te krijgen of rechten te verhogen, zonder dat hiervoor enige interactie van gebruikers voor is vereist. Google geeft geen details over de waargenomen aanvallen, zoals waarvoor het lek werd gebruikt, wie allemaal doelwit waren en sinds wanneer de aanvallen plaatsvinden. In totaal zijn meer dan 230 Qualcomm chipsets kwetsbaar. Om misbruik van het probleem te kunnen maken moet een aanvaller al toegang tot de telefoon hebben. Dit kan via een andere kwetsbaarheid die remote code execution mogelijk maakt of wanneer gebruikers een malafide app installeren.

Daarnaast zijn er ook updates voor tien kritieke kwetsbaarheden verschenen. Eén daarvan is volgens Google het gevaarlijkst, het gaat om CVE-2026-0006. Dit beveiligingslek in het System-onderdeel van Android 16 maakt remote code execution op telefoons mogelijk, zonder interactie van gebruikers. Wederom geeft Google geen verdere informatie over het probleem. Drie kritieke kwetsbaarheden in de Android kernel maken het mogelijk voor aanvallers die al toegang hebben om hun rechten naar die van System te verhogen, waardoor vergaande controle over de telefoon wordt verkregen.

Google werkt met zogeheten patchniveaus, waarbij een datum het patchniveau weergeeft. Toestellen die de maart updates ontvangen zullen '2026-03-01' of '2026-03-05' als patchniveau hebben. Fabrikanten die willen dat hun toestellen dit patchniveau krijgen moeten in dit geval alle updates van het Android bulletin van maart aan hun eigen updates toevoegen, om die vervolgens onder hun gebruikers uit te rollen. De updates zijn beschikbaar gesteld voor Android 14, 15, 16 en 16-qpr2. Fabrikanten van Androidtoestellen zijn volgens Google tenminste een maand geleden over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Google maakte vorige maand bekend dat 40 procent van de Androidtelefoons geen updates meer ontvangt.

Bron: source.android.com | Bron 2: docs.qualcomm.com

Begin 2026 is er data buitgemaakt bij de recepten- en maaltijdplanningsservice Provecho. Het datalek omvat 713.000 unieke e-mailadressen, gebruikersnamen en de accounts die de makers van de accounts volgden. Provecho is op de hoogte gesteld van de claims rondom dit incident.

Het advies is om direct je wachtwoord te wijzigen op elk account waar het getroffen wachtwoord werd gebruikt. Waar mogelijk wordt aangeraden om two-factor authenticatie (2FA) in te schakelen voor een extra beveiligingslaag. In Nederland adviseert Veiliginternetten.nl mensen over hun online veiligheid.

Bron: Have I Been Pwned | Bron 2: veiliginternetten.nl

Google heeft kwetsbaarheden in Android verholpen. De update bevat ook updates voor closed-source componenten van Qualcomm, Imagination Technologies, Unisoc en MediaTek.

Samsung heeft eveneens kwetsbaarheden in Samsung Mobile verholpen die relevant zijn voor Samsung mobiele apparaten. Een kwaadwillende kan deze kwetsbaarheden misbruiken om een Denial-of-Service (DoS) te veroorzaken, zichzelf verhoogde rechten toe te kennen, toegang te krijgen tot gevoelige gegevens of willekeurige code uit te voeren.

Om de kwetsbaarheden succesvol te misbruiken, moet de kwaadwillende het slachtoffer misleiden om een malafide app te installeren en uit te voeren, of om een malafide link te volgen. Google heeft, zoals gebruikelijk, weinig inhoudelijke informatie over de kwetsbaarheden beschikbaar gesteld.

Bron: NCSC

Een kritieke kwetsbaarheid in het AI platform Langflow maakt het mogelijk voor aanvallers om op afstand schadelijke code uit te voeren via de CSV dataverwerking agent. De kwetsbaarheid, geregistreerd als CVE-2026-27966, heeft een kritieke score van 10.0 op 10.0, wat betekent dat onmiddellijke actie vereist is.

Het probleem ligt in de manier waarop de CSV Agent node is geprogrammeerd in Langflow. Deze node stelt gebruikers in staat om een language model (LLM) te verbinden met een CSV bestand om de data te bevragen of te analyseren. De ontwikkelaars hebben echter een specifieke instelling, `allow_dangerous_code=True`, hardcoded. Omdat deze instelling altijd is ingeschakeld, wordt automatisch een tool in LangChain (het framework waarop Langflow is gebouwd) ingeschakeld, genaamd `python_repl_ast`. Deze tool is ontworpen om Python code uit te voeren. Omdat er geen manier is om dit uit te schakelen in de gebruikersinterface, staat de deur open voor aanvallers.

Een aanvaller kan deze zwakte misbruiken met behulp van een techniek die prompt injection wordt genoemd. Ze kunnen een zorgvuldig samengestelde prompt naar de chat input sturen om de AI te misleiden een systeemcommando uit te voeren. Een aanvaller kan bijvoorbeeld een prompt invoeren die het systeem instrueert om de Python tool te gebruiken om een nieuw bestand te maken of een commando uit te voeren op het besturingssysteem van de server. Omdat de instelling voor gevaarlijke code is ingeschakeld, voert de server het commando direct uit zonder te controleren of het veilig is. Hierdoor kan de aanvaller volledige controle over de server krijgen, wat leidt tot een volledige compromittering van het systeem. Ze kunnen data stelen, bestanden verwijderen of kwaadaardige software installeren. Iedereen met toegang tot de Langflow chat interface kan potentieel de server overnemen zonder speciale privileges of gebruikersinteractie.

Om dit probleem op te lossen, wordt gebruikers aangeraden onmiddellijk te updaten naar Langflow versie 1.8.0, zoals geadviseerd in de officiële Langflow security advisory gepubliceerd op GitHub. De patch wijzigt het standaardgedrag, waarschijnlijk door de optie voor gevaarlijke code op false te zetten of deze volledig te verwijderen, waardoor de automatische uitvoering van schadelijke commando's wordt voorkomen.

Gebruikers wordt geadviseerd hun systemen te controleren en de update toe te passen om hun omgevingen te beschermen tegen aanvallen op afstand.

Bron: Langflow | Bron 2: github.com

Kwetsbaarheden & CVE's

3.0 Kwetsbaarheden:

► CVE's Trending

► Top 10 misbruikte kwetsbaarheden

► JANUARI 2026

01 februari 2026 | kritieke kwetsbaarheid in Moltbook lekt e mails, tokens en api sleutels

01 februari 2026 | Top 10 CVE's trending op sociale media: kritieke kwetsbaarheden in SolarWinds, WebKit en meer

02 februari 2026 | Ivanti publiceert urgente fixes voor kritieke zero-day kwetsbaarheden

02 februari 2026 | Shutdown bug in Windows treft meer systemen na januari update

02 februari 2026 | Zestienhonderd Ivanti EPMM-servers toegankelijk vanaf internet

02 februari 2026 | Microsoft lost bug op die wachtwoord-aanmeldoptie liet verdwijnen

02 februari 2026 | OpenClaw bug maakt remote overname met één klik mogelijk

03 februari 2026 | Trending kwetsbaarheden tonen kritieke lekken in Firefox en macOS

03 februari 2026 | Kwetsbaarheid ontdekt in draadloze toegangspunten van Hikvision

03 februari 2026 | XXE-kwetsbaarheid in Apache Syncope laat aanvallers gebruikerssessies kapen

03 februari 2026 | Actief misbruik van lek in React Native Metro-server en Windows gemeld

03 februari 2026 | Docker dicht kritieke kwetsbaarheid in Ask Gordon AI-integratie

03 februari 2026 | CISA waarschuwt voor SolarWinds kwetsbaarheid en roept op tot patching

03 februari 2026 | Kritieke kwetsbaarheid in ASUSTOR NAS maakt volledige systeemovername mogelijk

03 februari 2026 | Kritiek lek in Odoo op NixOS geeft volledige toegang tot databasemanager

03 februari 2026 | Foxit PDF Editor Cloud kwetsbaarheden maken uitvoering willekeurige JavaScript code mogelijk

03 februari 2026 | Kritieke kwetsbaarheid in Synectix LAN 232 TRIO maakt systeemreset mogelijk

03 februari 2026 | CISA waarschuwt voor ernstige kwetsbaarheid in Mitsubishi Electric FREQSHIP-mini

03 februari 2026 | Kritieke kwetsbaarheid in Avation Light Engine Pro maakt volledige overname mogelijk

04 februari 2026 | Google verhelpt ernstige kwetsbaarheden in Chrome V8 en libvpx met update

04 februari 2026 | CISA waarschuwt voor actieve exploitatie van vijf jaar oude GitLab SSRF-kwetsbaarheid

04 februari 2026 | FreePBX-servers geïnfecteerd met webshell via recente kwetsbaarheid

04 februari 2026 | Actief misbruik kritiek lek in SolarWinds Web Help Desk gemeld

04 februari 2026 | Kritiek authenticatielek in EspoCRM vereist onmiddellijke patch

05 februari 2026 | Notepad++ reageert op hack auto-updater WinGup

05 februari 2026 | NCSC waarschuwt Ivanti EPMM-klanten: ga uit van hack en meld je

05 februari 2026 | CISA waarschuwt voor ransomwaremisbruik van VMware ESXi kwetsbaarheid CVE-2025-22225

05 februari 2026 | Kritieke kwetsbaarheden in Go, VMware en SolarWinds trending op sociale media

05 februari 2026 | WatchGuard VPN Client voor Windows bevat kwetsbaarheid

05 februari 2026 | Kritieke RCE-kwetsbaarheid ontdekt in n8n workflow automation tool

05 februari 2026 | Veertig procent Androidtelefoons ontvangt geen updates meer

05 februari 2026 | Kwetsbaarheid in Open62541 kan denial-of-service veroorzaken

05 februari 2026 | Kwetsbaarheid in Hitachi Energy XMC20 maakt vervalsingsaanvallen mogelijk

05 februari 2026 | Hackers misbruiken React2Shell om servers te kapen

05 februari 2026 | Kritieke kwetsbaarheden in n8n blootgelegd met publieke exploits

05 februari 2026 | Kritieke kwetsbaarheden in Ilevia EVE X1 Server maken systeemcompromittering mogelijk

05 februari 2026 | Kritieke kwetsbaarheden in Ivanti Endpoint Manager Mobile actief misbruikt

05 februari 2026 | Kritiek beveiligingslek in Cisco Meeting Management laat aanvallers bestanden uploaden

06 februari 2026 | Claude Opus 46 vindt 500 high-severity kwetsbaarheden in diverse systemen

06 februari 2026 | F5 Networks dicht kritieke lekken in BIG-IP

06 februari 2026 | Cisco dicht kritieke kwetsbaarheid in Meeting Management

06 februari 2026 | Fortinet waarschuwt voor SQL Injection lek in FortiClientEMS

07 februari 2026 | Overzicht van meest trending kwetsbaarheden en kritieke beveiligingslekken

07 februari 2026 | OpenClaw v2026.2.6 uitgebracht met verbeterde beveiligingsfuncties

07 februari 2026 | Zero-day kwetsbaarheid ontdekt in BeyondTrust Remote Access producten

07 februari 2026 | Nmap Unleashed tool maakt netwerkscannen toegankelijker

08 februari 2026 | Overzicht van meest trending kwetsbaarheden en kritieke beveiligingslekken

09 februari 2026 | Kritieke pre-auth RCE kwetsbaarheid in BeyondTrust Remote Support en PRA

09 februari 2026 | Samsung dicht kritieke lekken in Android met beveiligingsupdate

09 februari 2026 | Kritieke kwetsbaarheid in FortiClientEMS maakt code-executie op afstand mogelijk

09 februari 2026 | Actieve exploitatie SolarWinds Web Help Desk RCE-kwetsbaarheid

09 februari 2026 | SolarWinds en Livewire voeren lijst aan van kritieke trending kwetsbaarheden

09 februari 2026 | Meerdere organisaties gehackt via kritiek Ivanti EPMM-lek

09 februari 2026 | Microsoft waarschuwt voor aanvallen op SolarWinds Help Desk

09 februari 2026 | Aanval met één prompt breekt veiligheidsmechanismen van LLM's

09 februari 2026 | Warlock ransomware gijzelt SmarterTools netwerk via lek in SmarterMail

10 februari 2026 | Crypto Scanner: Nieuwe tool detecteert kwantum-gevoelige cryptografie

10 februari 2026 | Kwetsbaarheid in Axios maakt Denial-of-Service mogelijk op Node.js servers

10 februari 2026 | Kritieke kwetsbaarheid in Libpng legt miljoenen systemen bloot

10 februari 2026 | Kritieke SQL-injectie kwetsbaarheid gepatcht in FortiClientEMS

10 februari 2026 | Augustus: Open-source scanner voor LLM-kwetsbaarheden met 210+ aanvallen

10 februari 2026 | Ivanti dicht authentication bypass in Endpoint Manager

10 februari 2026 | SAP dicht reeks kwetsbaarheden in diverse bedrijfsproducten

10 februari 2026 | Microsoft rolt nieuwe Secure Boot-certificaten uit voor juni 2026

10 februari 2026 | FortiSandbox kwetsbaarheid stelt aanvallers in staat opdrachten uit te voeren

10 februari 2026 | Kritieke authenticatie bypass in FortiOS maakt LDAP-omzeiling mogelijk

10 februari 2026 | ILOVEPOOP toolkit misbruikt React2Shell kwetsbaarheid voor malware

10 februari 2026 | ZAST.AI haalt $6 miljoen op voor AI-codebeveiliging zonder valse meldingen

10 februari 2026 | Microsoft dicht kwetsbaarheden in Office-componenten

10 februari 2026 | Siemens dicht kwetsbaarheden in diverse industriële producten

10 februari 2026 | Microsoft dicht kwetsbaarheden in Azure-componenten

10 februari 2026 | CISA waarschuwt voor kwetsbaarheden in AVEVA PI Data Archive

10 februari 2026 | Microsoft brengt cumulatieve updates KB5077181 & KB5075941 uit voor Windows 11

10 februari 2026 | Microsoft dicht zes zero-days met Patch Tuesday van februari 2026

10 februari 2026 | Microsoft dicht reeks kwetsbaarheden in Windows