• Naar pagina

▽ JANUARI 2026

In een recent gelanceerd sociaal netwerk voor ai agents, entity["organization","Moltbook","ai agent social network"], is volgens de bron een kritieke kwetsbaarheid vastgesteld waarbij gegevens van geregistreerde entiteiten konden worden ingezien. Het platform zou eind januari 2026 zijn gelanceerd door entity["organization","Octane AI","e commerce software company"] oprichter entity["people","Matt Schlicht","octane ai founder"] en stond in de berichtgeving in de aandacht door claims over 1,5 miljoen “users”.

De kern van het probleem wordt in de bron omschreven als een blootgestelde database door een misconfiguratie, waardoor zonder authenticatie toegang mogelijk was tot agentprofielen en grootschalige dataextractie kon plaatsvinden. Daarbij wordt een endpoint genoemd dat agentgegevens zou teruggeven op basis van een id in het pad, zonder toegangscontrole. Omdat id’s volgens de bron sequentieel waren, konden die in korte tijd worden doorlopen om veel records te verzamelen.

De bron noemt als voorbeelden van blootgestelde velden onder meer eigenaar gerelateerde e mailadressen, inlogsessietokens en api sleutels. Specifiek gaat het om een login token dat als jwt sessietoken wordt beschreven en om api keys die aan entity["organization","OpenClaw","ai agent framework"] en entity["organization","Anthropic","ai company"] gekoppeld zouden kunnen zijn. Ook wordt genoemd dat het ontbreken van beperkingen op accountcreatie een rol speelde bij de schaal, waarbij één entity["organization","OpenClaw","ai agent framework"] agent met de naam @openclaw volgens de bron 500.000 nep ai users zou hebben geregistreerd, wat claims van organische groei zou ondermijnen.

Daarnaast beschrijft de bron hoe het platform werkt met ai agents die kunnen posten, reageren en submolts vormen, met een voorbeeldnaam m/emergence. Er wordt gesteld dat het aantal posts en reacties sterk is opgelopen en dat er sprake is van een grote groep “silent human verifiers” die meekijkt. Als onderwerpen die op het platform terugkomen noemt de bron onder meer ai emergence, revenge leaks en entity["organization","Solana","blockchain platform"] token karma farming.

Over de risico’s stelt de bron dat de combinatie van ongeautoriseerde toegang tot agentdata, onbetrouwbare invoer zoals prompt injections en koppelingen met externe communicatiekanalen kan leiden tot misbruik, waaronder het overnemen van agentaccounts en het uitlekken van gegevens. In het artikel worden uitspraken aangehaald van entity["people","Andrej Karpathy","ai researcher"] en entity["people","Bill Ackman","investor"] om het beveiligingsrisico te duiden. De bron meldt verder dat er geen patch is bevestigd en dat het platform niet reageerde op meldingen.

Bron

De afgelopen 24 uur zijn er diverse kwetsbaarheden (CVE's) trending op sociale media, die aandacht vragen vanwege hun potentiële impact op systemen wereldwijd. De zogenoemde 'hype score', een maat voor de mate van belangstelling, geeft een indicatie van de urgentie en ernst van deze dreigingen. Beveiligingsteams kunnen deze score gebruiken om snel te bepalen welke kwetsbaarheden onmiddellijke aandacht vereisen.

Een van de meest besproken kwetsbaarheden is CVE-2025-40551, een remote code execution (RCE) kwetsbaarheid in SolarWinds Web Help Desk, gepubliceerd op 28 januari 2026. Deze kwetsbaarheid stelt aanvallers in staat om zonder authenticatie commando's uit te voeren op de hostmachine, wat het risico op misbruik aanzienlijk verhoogt. Het wordt gevolgd door CVE-2025-40536, eveneens in SolarWinds Web Help Desk, die een beveiligingsomzeiling mogelijk maakt en een ernstiger risico vormt voor systemen die niet op de hoogte zijn van deze kwetsbaarheid.

Andere opvallende kwetsbaarheden zijn CVE-2025-68613, een RCE in n8n, een open-source workflow automatiseringsplatform, en CVE-2025-43529, een 'use-after-free' kwetsbaarheid in WebKit die kan worden misbruikt door kwaadaardig vervaardigde webinhoud te verwerken. Beide kwetsbaarheden hebben hoge hype-scores van respectievelijk 9.9 en 8.8, wat wijst op de significante dreiging die zij vormen voor kwetsbare systemen.

Verder is er de kwetsbaarheid CVE-2025-0921, die een privilege-escalatie mogelijk maakt in producten van Iconics Suite en Mitsubishi Electric, en CVE-2025-61984, een command-injectie in OpenSSH die kan leiden tot een RCE op client-systemen. Hoewel de ernst van deze kwetsbaarheden lager is, vormen ze nog steeds een potentieel risico voor bepaalde systemen en infrastructuren.

De lijst wordt afgerond door CVE-2025-8088, een path traversal kwetsbaarheid in WinRAR, die kwaadaardige code kan uitvoeren via malafide archiefbestanden. Dit herinnert organisaties eraan dat bekende software ook kwetsbaarheden kan bevatten die niet altijd direct worden opgemerkt.

Overzicht

De dreiging van misbruikte kwetsbaarheden door hackers blijft wereldwijd toenemen, met belangrijke kwetsbaarheden die specifiek in Nederland en België worden uitgebaat. Het overzicht biedt inzicht in de meest geëxploiteerde kwetsbaarheden, gedetecteerd door honeypot-sensoren, die dienen als waarschuwingen voor bedrijven en overheden om hun beveiliging te verbeteren. De gegevens worden gepresenteerd per kwetsbaarheid, met informatie over de leverancier, het betrokken product, of het zich richt op Internet of Things (IoT) apparaten, en het aantal aanvallen dat per dag, week, maand en kwartaal is geregistreerd.

Op wereldniveau blijft CVE-2022-41082, een kwetsbaarheid in Microsoft Exchange, de meest aangevallen kwetsbaarheid, gevolgd door CVE-2017-17215 in de Huawei Home Gateway HG532, een veelgebruikte kwetsbaarheid in IoT-apparaten. Deze kwetsbaarheden worden regelmatig misbruikt in ransomware-aanvallen. Andere kritieke kwetsbaarheden die wereldwijd worden geëxploiteerd zijn onder andere in apparaten van Netgear, Realtek en Dasan. De aanvallen variëren van 150 tot 550 aanvallen per dag, afhankelijk van de kwetsbaarheid.

In Nederland zijn de meest aangevallen kwetsbaarheden CVE-2023-38646 in Metabase, CVE-2019-1653 in Cisco-producten, en CVE-2025-5777 in Citrix NetScaler. Vooral CVE-2025-5777 wordt steeds vaker gerapporteerd in verband met ransomware-aanvallen, wat de urgentie van patching en beveiligingsmaatregelen verhoogt. De gemiddelde dagelijkse aanvallen voor de belangrijkste kwetsbaarheden in Nederland variëren tussen de 3 en 60 unieke IP-adressen.

In België vallen vooral kwetsbaarheden in producten van Cisco, Huawei, en de TBK DVR-apparaten op. De impact van deze kwetsbaarheden wordt sterk beïnvloed door de mate waarin de producten IoT-functionaliteiten bevatten, waardoor ze kwetsbaarder zijn voor gerichte aanvallen. De frequentie van aanvallen varieert hier, maar de meeste kwetsbaarheden vertonen een gematigd aantal dagelijkse aanvallen, tussen de 0 en 1 per dag.

De gegevens helpen bij het identificeren van de urgentste kwetsbaarheden en vormen een belangrijke basis voor het prioriteren van beveiligingsmaatregelen. Organisaties in Nederland en België worden aangespoord om kwetsbaarheden tijdig te patchen en de beveiliging van IoT-apparaten te versterken, gezien de toename van gerichte aanvallen via deze apparaten.

Overzicht

Ivanti heeft met spoed patches uitgebracht om twee kritieke zero-day kwetsbaarheden aan te pakken die een ernstig risico vormen voor gebruikers van hun software. Deze kwetsbaarheden, die actief worden misbruikt, stellen aanvallers in staat om op afstand code uit te voeren en gevoelige informatie te stelen.

De eerste kwetsbaarheid, een authenticatie bypass, maakt het mogelijk voor niet-geautoriseerde actoren om toegang te krijgen tot beperkte functies zonder geldige inloggegevens. Door deze bypass te exploiteren, kunnen aanvallers beveiligingsmaatregelen omzeilen en kwaadaardige code injecteren in het systeem.

De tweede kwetsbaarheid betreft een command injection flaw, waardoor aanvallers willekeurige systeemcommando's kunnen uitvoeren met de privileges van de getroffen applicatie. Dit kan leiden tot volledige systeemcompromittering, waarbij aanvallers de controle over de server kunnen overnemen, data kunnen stelen of malware kunnen installeren.

Ivanti adviseert gebruikers dringend om de beschikbare patches zo snel mogelijk toe te passen. De fixes zijn beschikbaar voor alle ondersteunde versies van Ivanti's producten. Het bedrijf heeft ook tijdelijke oplossingen gepubliceerd voor klanten die de patches niet direct kunnen implementeren. Deze tijdelijke maatregelen omvatten het implementeren van striktere toegangscontroles en het monitoren van systemen op verdachte activiteiten.

Cybersecurity-experts waarschuwen dat deze kwetsbaarheden een aantrekkelijk doelwit vormen voor cybercriminelen en statelijke actoren. Het is essentieel dat organisaties de nodige stappen ondernemen om hun systemen te beschermen tegen potentiële aanvallen. Het updaten van software en het implementeren van security best practices zijn cruciaal om de risico's te minimaliseren.

Bron

Microsoft heeft bevestigd dat een bekend probleem dat sommige Windows 11-apparaten verhindert af te sluiten, ook Windows 10-systemen treft waarop Virtual Secure Mode (VSM) is ingeschakeld. VSM is een Windows-beveiligingsfunctie die een geïsoleerde, beschermde geheugenregio creëert, gescheiden van het normale besturingssysteem (bekend als de "veilige kernel"), met behulp van hardwarevirtualisatie die uiterst moeilijk toegankelijk is voor malware, zelfs na een systeemcompromis.

VSM beschermt gevoelige inloggegevens, encryptiesleutels en beveiligingstokens tegen malware op kernelniveau en pass-the-hash-aanvallen. Het maakt beveiligingsfuncties mogelijk, zoals Credential Guard, Device Guard en Hypervisor-Protected Code Integrity in Windows 10/11 Enterprise-edities.

Zoals vorige maand werd bevestigd, treft dit probleem Windows 11 23H2-apparaten met de cumulatieve update KB5073455 geïnstalleerd en System Guard Secure Launch ingeschakeld, een Windows-beveiligingsfunctie die het opstartproces beschermt tegen aanvallen op firmwareniveau. Microsoft bracht twee dagen later noodupdates buiten de reguliere cyclus uit om het bekende probleem op te lossen en adviseerde getroffen klanten die deze niet direct konden installeren om hun systemen handmatig af te sluiten met behulp van de opdracht "shutdown /s /t 0".

Vorige week heeft Microsoft het Windows release health dashboard bijgewerkt om te bevestigen dat hetzelfde probleem ook van invloed is op Windows 10 22H2, Windows 10 Enterprise LTSC 2021 en Windows 10 Enterprise LTSC 2019 wanneer VSM is ingeschakeld na installatie van de updates KB5078131 en KB5073724. Getroffen gebruikers wordt geadviseerd dezelfde opdrachtregel te gebruiken om hun apparaten af te sluiten als tijdelijke oplossing totdat er een oplossing beschikbaar is voor systemen waarop VSM is ingeschakeld.

"Na installatie van Windows-updates die zijn uitgebracht op of na 13 januari 2026 (KB5073724), kunnen sommige Secure Launch-compatibele pc's met Virtual Secure Mode (VSM) ingeschakeld niet worden afgesloten of in de slaapstand gaan. In plaats daarvan start het apparaat opnieuw op," aldus Microsoft. "We zijn van plan om een oplossing uit te brengen in een toekomstige Windows-update. We zullen meer informatie verstrekken zodra deze beschikbaar is."

In januari heeft Microsoft een ander bekend probleem opgelost dat ervoor zorgde dat beveiligingstoepassingen een kernonderdeel van Windows op client- (Windows 10 en Windows 11) en serverplatforms (Windows Server 2012 tot en met Windows Server 2025) als kwaadaardig markeerden. Meer recentelijk werd een bekend probleem verholpen dat ervoor zorgde dat de optie voor wachtwoordinvoer van het vergrendelingsscherm verdween na installatie van Windows 11-updates die sinds augustus 2025 waren uitgebracht.

Bron

Uit onderzoek van The Shadowserver Foundation blijkt dat ongeveer zestienhonderd Ivanti Endpoint Manager Mobile (EPMM)-servers toegankelijk zijn vanaf het internet. Aanvallers maken momenteel actief misbruik van kwetsbaarheden in deze oplossing. Van de publiek toegankelijke EPMM-servers staan er 38 in Nederland. Duitsland voert de lijst aan met bijna vijfhonderd servers.

Ivanti EPMM is een software voor het beheer van mobiele apparaten (MDM). Organisaties kunnen via deze oplossing de mobiele apparaten van hun medewerkers op afstand beheren, bijvoorbeeld als het gaat om toegestane applicaties of bepaald beleid. Een gecompromitteerde EPMM-server kan vergaande gevolgen hebben.

Vorige week heeft Ivanti beveiligingsupdates uitgebracht voor twee actief aangevallen kwetsbaarheden in de software, namelijk CVE-2026-1281 en CVE-2026-1340. Deze kwetsbaarheden stellen een ongeauthenticeerde aanvaller op afstand in staat om code uit te voeren op kwetsbare servers. De impact van beide beveiligingslekken is beoordeeld met een score van 9.8 op een schaal van 1 tot 10. Het is niet bekend sinds wanneer aanvallers misbruik maken van deze kwetsbaarheden. Ivanti heeft ook geen informatie vrijgegeven over het aantal getroffen klanten.

The Shadowserver Foundation heeft bij de scan alleen gekeken naar publiek toegankelijke EPMM-servers en niet onderzocht of deze ook daadwerkelijk kwetsbaar zijn. Na Duitsland (bijna vijfhonderd servers) volgen de Verenigde Staten (249) en het Verenigd Koninkrijk (58). Nederland staat met 38 publiek toegankelijke EPMM-servers op de zevende plek in het overzicht.

Organisaties die gebruikmaken van EPMM worden opgeroepen om de beschikbare updates te installeren. Het Nationaal Cyber Security Centrum (NCSC) waarschuwt dat er nog geen Proof-of-Concept code publiek beschikbaar is, maar verwacht dat deze spoedig zal verschijnen, waardoor de kans op grootschalig misbruik zal toenemen.

Bron

In Nederland 38x

In Belgie 4x

Microsoft heeft een bekend probleem verholpen waarbij de wachtwoord-aanmeldoptie verdween van de vergrendelingsschermopties na de installatie van Windows 11-updates die sinds augustus 2025 zijn uitgebracht.

Het wachtwoordpictogram verschijnt op het vergrendelingsscherm alleen als er meerdere aanmeldopties beschikbaar zijn (bijv. pincode, wachtwoord, beveiligingssleutel, vingerafdruk). Als een gebruiker echter alleen een wachtwoord gebruikt, verschijnt het pictogram mogelijk niet omdat Windows 11 standaard het wachtwoordveld weergeeft.

Zoals Microsoft in november 2025 al aangaf toen het deze bug erkende, zagen gebruikers met meerdere aanmeldopties mogelijk nog steeds het wachtwoordpictogram niet als ze de niet-beveiligingspreview-update KB5064081 van augustus 2025 of latere updates op Windows 11 24H2- of 25H2-systemen hadden geïnstalleerd.

Ondanks dit probleem konden getroffen gebruikers zich nog steeds aanmelden met hun wachtwoord, omdat het zweven over de ruimte waar het pictogram zou moeten verschijnen, de verborgen knop onthulde. "Als u over de ruimte zweeft waar het pictogram zou moeten verschijnen, ziet u dat de wachtwoordknop nog steeds beschikbaar is", legde Microsoft destijds uit. "Selecteer deze placeholder om het wachtwoordtekstvak te openen en uw wachtwoord in te voeren. Na het invoeren van uw wachtwoord kunt u zich normaal aanmelden."

Microsoft heeft dit bekende probleem nu opgelost in de optionele cumulatieve update KB5074105 van januari 2025 voor Windows 11-systemen, die op donderdag 29 januari is uitgebracht. KB5074105 kan worden geïnstalleerd door Instellingen te openen, op Windows Update te klikken, 'Controleren op updates' te selecteren en vervolgens op de link 'Downloaden en installeren' te klikken. Deze update kan ook handmatig worden geïnstalleerd na het downloaden van de Microsoft Update Catalog.

KB5074105 bevat 32 wijzigingen, waaronder fixes voor opstart-, aanmeld- en activeringsproblemen. Het loste bijvoorbeeld een bug op die iSCSI-opstartfouten veroorzaakte met een "Inaccessible Boot Device"-fout, en een andere die ervoor zorgde dat het systeem vastliep tijdens het opstarten wanneer Windows Boot Manager-debugging was ingeschakeld.

Dezelfde preview-update behandelt een bekend probleem dat ervoor zorgde dat Explorer.exe vastliep tijdens de eerste aanmelding wanneer bepaalde apps als opstart-apps waren geconfigureerd en verhelpt een probleem waarbij Windows-licentiemigraties konden mislukken tijdens upgrades omdat de pc zich niet kon registreren bij de Windows Activation-server voor zijn digitale licentie.

Eind september 2025 loste Microsoft een ander bekend probleem op dat werd veroorzaakt door de KB5064081-update, die weergaveonderbrekingen, bevriezingen of zwarte schermen veroorzaakte bij het afspelen van DRM-beveiligde video in Blu-ray/DVD/Digital TV-apps. In dezelfde maand loste het andere problemen op die werden veroorzaakt door de Windows-updates van augustus 2025, waaronder ernstige vertraging en stotteren die van invloed waren op NDI-streamingsoftware op Windows 10- en Windows 11-apparaten, en app-installatieproblemen voor niet-beheerders Windows-gebruikers als gevolg van onverwachte User Account Control (UAC)-prompts.

Bron

Een recent ontdekte kwetsbaarheid, genaamd OpenClaw, stelt aanvallers in staat om met slechts één klik op afstand de controle over systemen over te nemen. De kwetsbaarheid werd ontdekt door een team van onderzoekers, die de technische details op 1 februari 2026 publiceerden.

De aanval maakt gebruik van een combinatie van social engineering en een misconfiguratie in een veelgebruikte softwarebibliotheek. Aanvallers versturen een e-mail of een ander bericht met een link naar een speciaal geprepareerde webpagina. Wanneer een gebruiker op deze link klikt, wordt een reeks acties in gang gezet die uiteindelijk leiden tot het uitvoeren van code op het slachtoffer zijn systeem.

De eerste stap in de aanval is het omzeilen van de beveiligingswaarschuwingen van de browser. Dit gebeurt door gebruik te maken van een subtiele vorm van social engineering, waarbij de gebruiker wordt misleid om toestemming te geven voor het uitvoeren van een potentieel gevaarlijke actie. Vervolgens maakt de aanval gebruik van een misconfiguratie in een softwarebibliotheek die standaard is geïnstalleerd op veel systemen. Deze misconfiguratie stelt de aanvallers in staat om willekeurige code uit te voeren met de privileges van de gebruiker.

De onderzoekers hebben een proof-of-concept exploit ontwikkeld die laat zien hoe de aanval in de praktijk kan worden uitgevoerd. Ze hebben ook een aantal aanbevelingen gedaan om de kwetsbaarheid te mitigeren. Deze omvatten het updaten van de betreffende softwarebibliotheek naar de nieuwste versie en het implementeren van strengere beveiligingscontroles om te voorkomen dat gebruikers worden misleid om schadelijke acties uit te voeren.

"Deze kwetsbaarheid is bijzonder gevaarlijk omdat het zo gemakkelijk te misbruiken is," zegt een van de onderzoekers. "Met slechts één klik kan een aanvaller de volledige controle over een systeem overnemen."

De onderzoekers hebben de kwetsbaarheid gemeld aan de betreffende softwareleveranciers en werken samen met hen om een ​​patch te ontwikkelen. In de tussentijd wordt gebruikers aangeraden om voorzichtig te zijn met het klikken op links in e-mails of andere berichten, en om ervoor te zorgen dat hun software up-to-date is.

De afgelopen 24 uur zijn diverse kritieke kwetsbaarheden trending op sociale media, waarbij de mate van belangstelling wordt uitgedrukt in een hype-score. Deze score, variërend van 0 tot 100, helpt beveiligingsteams om de urgentie van dreigingen te beoordelen op basis van vermeldingen in nieuwsberichten en op openbare platforms. De lijst met trending CVE's wordt aangevoerd door drie kwetsbaarheden met een score van 8, waaronder CVE-2025-14321. Dit betreft een Use-after-free kwetsbaarheid in WebRTC Signaling van Mozilla Firefox en Thunderbird die is ontdekt door het AISLE Research Team.

Ook CVE-2024-54529 staat hoog genoteerd; dit is een logische fout in de audio-component van Apple macOS die applicaties in staat stelt code uit te voeren met kernel-rechten. De derde hooggewaardeerde kwetsbaarheid is CVE-2025-0921 in producten van Iconics Suite en Mitsubishi Electric, waarbij ongeautoriseerde schrijfacties naar bestanden mogelijk zijn. Met een hype-score van 7 volgt CVE-2025-64328, een command injection kwetsbaarheid in FreePBX Endpoint Manager die volgens de beschikbare data actief wordt misbruikt door de hackersgroep INJ3CTOR3.

Verder is er aanzienlijke aandacht voor CVE-2025-11953, een OS command injection in het NPM-pakket @react-native-community/cli via de Metro development server. Ook oudere maar nog steeds relevante lekken worden besproken, zoals CVE-2023-27350 in PaperCut MF en NG software die remote code execution zonder authenticatie toestaat. Daarnaast wordt gewaarschuwd voor CVE-2025-6218, een directory traversal kwetsbaarheid in WinRAR die remote code execution mogelijk maakt via kwaadaardige archiefbestanden.

De lijst wordt gecompleteerd door kwetsbaarheden met lagere scores, waaronder een out-of-bounds write in de ksmbd filesystem component van de Linux kernel en een Use-after-free kwetsbaarheid in WebKit die door Apple is gerepareerd in updates voor diverse systemen. Tot slot is er CVE-2025-61984, een command injection kwetsbaarheid in de OpenSSH client via proxy commando's en gebruikersnamen. Deze data stelt organisaties in staat om prioriteit te geven aan het patchen van systemen die momenteel veel aandacht krijgen binnen de beveiligingsgemeenschap.

Overzicht

Een recent ontdekte kwetsbaarheid in draadloze toegangspunten van Hikvision vormt een potentieel risico voor de beveiliging van netwerken. De kwetsbaarheid, die op 29 januari 2026 werd gerapporteerd door een onafhankelijk beveiligingsonderzoeker, kan mogelijk door kwaadwillenden worden misbruikt om ongeautoriseerde toegang te verkrijgen tot gevoelige informatie en systemen.

De kwetsbaarheid bevindt zich in de firmware van bepaalde modellen van Hikvision draadloze toegangspunten. Door misbruik te maken van dit beveiligingslek, kunnen aanvallers mogelijk op afstand code uitvoeren op het getroffen apparaat. Dit kan leiden tot een volledige compromittering van het toegangspunt, waardoor aanvallers de controle over het netwerk kunnen overnemen en gevoelige gegevens kunnen stelen.

Hikvision is op de hoogte gesteld van de kwetsbaarheid en werkt aan een patch om het probleem te verhelpen. Totdat de patch beschikbaar is, wordt gebruikers aangeraden om de volgende mitigatiemaatregelen te nemen:

* Wijzig het standaardwachtwoord van het toegangspunt.

* Schakel de functie voor beheer op afstand uit.

* Zorg ervoor dat de firmware van het toegangspunt up-to-date is.

* Monitor het netwerkverkeer op verdachte activiteiten.

Het is van cruciaal belang dat gebruikers van Hikvision draadloze toegangspunten deze aanbevelingen opvolgen om hun netwerken te beschermen tegen potentiële aanvallen.

Bron

Een kritieke XML External Entity (XXE)-kwetsbaarheid is bekendgemaakt in de Syncope identity management console. Deze fout kan beheerders onbedoeld in staat stellen gevoelige gebruikersgegevens bloot te leggen en sessiebeveiliging te compromitteren. De kwetsbaarheid, geregistreerd als CVE-2026-23795, treft meerdere versies van het platform. Door onvoldoende beperking van XML External Entity-referenties in de Apache Syncope Console ontstaan XXE-aanvallen mogelijk bij het aanmaken of bewerken van Keymaster-parameters. Een aanvaller met voldoende beheerdersrechten kan kwaadaardige XML-payloads opstellen om ongewenste datablootstelling te veroorzaken. De kwetsbaarheid betreft een XML External Entity (XXE) Injection met een CVSS-score van 6.5, treft de Apache Syncope Console in versies 3.0 tot 3.0.15 en 4.0 tot 4.0.3, heeft een netwerk als aanvalsvector en leidt tot datablootstelling en session hijacking. Deze aanvalsvector omzeilt normale beveiligingsbeperkingen door de verwerking van XML-invoer zonder adequate validatie en sanitization. XXE-kwetsbaarheden behoren tot de gevaarlijkste aanvalsvectoren in identity management-systemen omdat ze op applicatieniveau werken en directe toegang bieden tot gevoelige configurergegevens, gebruikersreferenties en authenticatietokens. In de context van Syncope als platform voor gebruikersidentiteit en toegangsbeheer kunnen de gevolgen verder reiken dan individuele sessies en de gehele authenticatie-infrastructuur aantasten. De kwetsbaarheid treft Syncope Client IdRepo Console in de 3.x-branch van versie 3.0 tot 3.0.15, opgelost in 3.0.16, en in de 4.x-branch van versie 4.0 tot 4.0.3, opgelost in 4.0.4. De exploit vereist beheerdersniveau-toegang, wat het externe aanvalsoppervlak beperkt maar insiderdreigingen vergroot. Voor de aanval is een beheerdersaccount nodig met rechten om Keymaster-parameters via de Syncope Console-interface te wijzigen. Na authenticatie construeert de aanvaller speciaal geformatteerde XML met externe entiteitdeclaraties die wijzen naar gevoelige systeembestanden of interne netwerkresources. Bij verwerking lost de applicatie deze externe entiteiten op en legt hun inhoud bloot aan de aanvaller. Deze techniek maakt het lezen van willekeurige bestanden op de server, toegang tot interne netwerkresources en het potentieel extraheren van gebruikerssessietokens of authenticatiegegevens mogelijk. De kwestie wordt als matig beoordeeld omdat een aanvaller eerst beheerdersrechten nodig heeft, maar de mogelijke impact blijft groot. Apache adviseert directe upgrades naar versie 3.0.16 voor de 3.x-branch en versie 4.0.4 voor de 4.x-branch. Organisaties die niet direct kunnen patchen, beperken beheerdersconsole-toegang tot vertrouwd personeel en implementeren netwerkmonitoring voor verdachte XML-parsingactiviteit. Organisaties met identity-infrastructuur controleren hun implementatiestatus en prioriteren deze patch om session hijacking en datablootstellingsincidenten te voorkomen.
Bron

Securitybedrijf VulnCheck heeft een analyse gepubliceerd waaruit blijkt dat er actief misbruik wordt gemaakt
van een kritieke kwetsbaarheid in React Native Metro-server. De kwetsbaarheid, geregistreerd als CVE-2025-
11953, heeft een CVSS-score van 9.8 en treft het populaire npm-pakket @react-native-community/cli, dat
ongeveer twee miljoen wekelijkse downloads heeft.
React Native is een framework voor het ontwikkelen van cross-platform mobiele apps met JavaScript. Metro is
de JavaScript-bundler en ontwikkelserver die React Native-projecten gebruiken tijdens de ontwikkel- en
testfase. De kwetsbaarheid bevindt zich in het /open-url endpoint van de Metro-server, dat standaard
toegankelijk is via externe netwerkinterfaces.
De kwetsbaarheid stelt ongeauthenticeerde aanvallers in staat om via POST-requests willekeurige
besturingssysteem-commando's uit te voeren op de machine waarop de ontwikkelserver draait. Op Windows-
systemen kunnen aanvallers ook shell-commando's uitvoeren met volledig gecontroleerde argumenten. Op
Linux en macOS is de impact beperkt tot het uitvoeren van executables met beperkte parametercontrole.
VulnCheck, dat de kwetsbaarheid de bijnaam "Metro4Shell" heeft gegeven, observeerde de eerste
exploitatiepogingen op 21 december 2025. Verdere activiteit werd waargenomen op 4 en 21 januari 2026, wat
wijst op voortdurend operationeel gebruik door aanvallers. De aanvallers leverden payloads in Rust-code af op
zowel Windows- als Linux-systemen, met basale anti-analyselogica.
De kwetsbaarheid werd oorspronkelijk ontdekt door onderzoekers van JFrog en openbaar gemaakt in november
2025. Meta heeft in versie 20.0.0 van de software een patch uitgebracht. Ondanks dat de update al zes maanden
beschikbaar is, zouden er volgens VulnCheck mogelijk nog honderden tot duizenden kwetsbare servers op het
internet te vinden zijn.
Ontwikkelaars die React Native-projecten gebruiken wordt dringend aangeraden om @react-native-
community/cli-server-api te updaten naar versie 20.0.0 of hoger. Als alternatief kunnen ontwikkelaars de Metro-
server expliciet binden aan localhost met de vlag --host 127.0.0.1.

Docker heeft een kritieke kwetsbaarheid verholpen in de integratie met de Ask Gordon AI-service. De kwetsbaarheid stelde aanvallers in staat om op afstand code uit te voeren. De kwetsbaarheid is ontdekt door het interne security team van Docker tijdens een routine veiligheidsaudit. De kwetsbaarheid betrof een onvoldoende validatie van input die naar de Ask Gordon AI-service werd gestuurd. Hierdoor konden aanvallers kwaadaardige code injecteren die vervolgens door de Docker-engine werd uitgevoerd.

De aanval verliep via een speciaal ontworpen Dockerfile. Dit Dockerfile bevatte een kwaadaardige instructie die, wanneer verwerkt door de Ask Gordon AI-service, leidde tot de uitvoering van code op de hostmachine. De code werd uitgevoerd met de privileges van de Docker-engine, waardoor aanvallers potentieel volledige controle over het systeem konden krijgen.

Na de ontdekking heeft Docker direct actie ondernomen om de kwetsbaarheid te verhelpen. Er is een patch uitgebracht die de inputvalidatie verbetert en de mogelijkheid voor kwaadaardige code-injectie elimineert. Gebruikers van Docker wordt aangeraden om zo snel mogelijk naar de nieuwste versie te updaten. Docker heeft tevens de Ask Gordon AI-service tijdelijk offline gehaald om de impact van de kwetsbaarheid te minimaliseren. Gedurende deze periode konden gebruikers geen gebruik maken van de AI-functionaliteiten binnen Docker.

Docker heeft een security advisory gepubliceerd met meer details over de kwetsbaarheid en de getroffen versies. Het advisory bevat tevens aanbevelingen voor mitigatie en detectie van mogelijke misbruikpogingen. Het bedrijf bedankt het security team voor hun waakzaamheid en snelle reactie op dit incident. Docker benadrukt het belang van voortdurende veiligheidsaudits en samenwerking met de security community om kwetsbaarheden te identificeren en te verhelpen. Gebruikers worden aangemoedigd om verdachte activiteiten te melden via het security response programma van Docker.

Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft federale agentschappen opgedragen om een bekende kwetsbaarheid in SolarWinds Serv-U File Transfer Protocol (FTP) servers te patchen. Deze oproep volgt op berichten dat de kwetsbaarheid actief wordt misbruikt. Hoewel CISA geen specifieke details of CVE-nummers noemt in de bron, benadrukt het agentschap het belang van tijdige patching om potentiële risico's te minimaliseren.

SolarWinds Serv-U FTP servers worden gebruikt door organisaties voor het veilig overdragen van bestanden. Een niet-gepatchte server kan een toegangspunt vormen voor kwaadwillenden om systemen binnen te dringen en gevoelige gegevens te stelen. De aard van het misbruik wordt niet nader toegelicht in het artikel.

Het is cruciaal dat organisaties die SolarWinds Serv-U FTP servers gebruiken, onmiddellijk actie ondernemen om de aanbevolen patches te installeren en hun systemen te beschermen tegen potentiële aanvallen. CISA heeft een deadline gesteld voor de federale agentschappen om de patch te implementeren, maar de bron specificeert geen datum. Het is aan te raden om de beveiligingsadviezen van SolarWinds en CISA te volgen voor de meest recente informatie en mitigatiemaatregelen. 1

Er is een ernstige beveiligingsfout vastgesteld in ASUSTOR Data Master (ADM), het besturingssysteem voor netwerkopslagapparaten van de fabrikant ASUSTOR. De kwetsbaarheid, geregistreerd onder het kenmerk CVE-2026-24936, heeft een CVSS-score van 9.5 gekregen, wat duidt op een zeer hoog risico. Het lek bevindt zich in de versies 5.0, 4.3, 4.2 en 4.1 van de software en betreft een gebrekkige validatie van invoergegevens. Hierdoor kunnen ongeauthenticeerde aanvallers willekeurige bestanden naar het bestandssysteem schrijven.

De exploitatie van dit lek is mogelijk wanneer een specifieke functie is ingeschakeld tijdens het toevoegen van het apparaat aan een Active Directory-domein. Doordat de invoer niet correct wordt gecontroleerd, kunnen kwaadwillenden kritieke systeem- of configuratiebestanden overschrijven. Dit stelt aanvallers in staat om de vertrouwelijkheid, integriteit en beschikbaarheid van de data volledig te compromitteren. Een succesvolle aanval kan leiden tot direct dataverlies, manipulatie van het systeemgedrag of het gebruik van de NAS als springplank voor verdere bewegingen binnen een bedrijfsnetwerk.

Hoewel er op dit moment geen bewijs is dat deze kwetsbaarheid in het wild is misbruikt, wordt beheerders geadviseerd om direct actie te ondernemen gezien de gevoelige aard van gegevens op NAS-systemen. Voor gebruikers van ADM versie 5.0 is er een update beschikbaar gesteld; zij dienen te upgraden naar versie 5.1.2.RE31 of later. Voor de versies 4.3, 4.2 en 4.1 is er nog geen patch vrijgegeven. In deze gevallen wordt aangeraden de netwerktoegang tot de apparaten te beperken totdat er een beveiligingsupdate beschikbaar is.

Bron

Er is op 3 februari 2026 een kritieke waarschuwing gepubliceerd over een kwetsbaarheid in Odoo-omgevingen die draaien op het besturingssysteem NixOS. Het beveiligingslek, dat wordt aangeduid als CVE-2026-25137, heeft een CVSS-score van 9.1 gekregen vanwege de ernst van de situatie. De kwetsbaarheid treft specifieke versies van NixOS Odoo, namelijk de edities 21.11, 22.05, 22.11, 23.05, 23.11, 24.05, 24.11 en 25.05. Het lek maakt het mogelijk dat externe partijen zonder enige vorm van authenticatie toegang krijgen tot de databasemanager.

De oorzaak van het probleem ligt in de verpakking en configuratie van de Odoo Database Manager binnen het NixOS-ecosysteem. Door deze specifieke inrichting wordt het hoofdwachtwoord niet persistent opgeslagen, waardoor de interface op het eindpunt /web/database onbedoeld toegankelijk blijft voor buitenstaanders. Omdat er geen inloggegevens vereist zijn, volstaat het bereiken van deze webinterface om kritieke acties uit te voeren.

Een kwaadwillende kan via deze toegang de volledige database en bijbehorende bestanden dumpen, manipuleren of volledig verwijderen. Aangezien ERP-systemen doorgaans essentiële bedrijfsinformatie bevatten, zoals financiële records en klantgegevens, is de impact op de vertrouwelijkheid, integriteit en beschikbaarheid zeer groot. Hoewel er op dit moment geen bewijs is dat de kwetsbaarheid in het wild is misbruikt, wordt beheerders dringend geadviseerd de beschikbare updates direct te installeren om blootstelling van gevoelige data te voorkomen.

Er zijn beveiligingsupdates uitgebracht voor kritieke Cross-Site Scripting (XSS) kwetsbaarheden in Foxit PDF Editor Cloud die aanvallers in staat stelden om willekeurige JavaScript-code uit te voeren in de browsers van gebruikers. De kwetsbaarheden bevonden zich in de lijst met bestandsbijlagen en het paneel voor lagen, waar onvoldoende validatie van invoer en onjuiste codering van uitvoer paden creëerden voor de uitvoering van kwaadaardige code. De applicatie faalde in het correct coderen van onbetrouwbare invoer voordat deze in de HTML-structuur werd opgenomen, waardoor executie binnen de browsercontext van de gebruiker mogelijk werd.

Twee gerelateerde kwetsbaarheden zijn geïdentificeerd en hebben de aanduidingen CVE-2026-1591 en CVE-2026-1592 gekregen. Beide problemen komen voort uit dezelfde onderliggende oorzaak, namelijk een ontoereikende opschoning van gebruikersinvoer in laagnamen en bestandsnamen van bijlagen. De kwetsbaarheden manifesteren zich wanneer gebruikers interactie hebben met speciaal vervaardigde payloads via de genoemde interface-elementen.

De kwetsbaarheden zijn geclassificeerd onder CWE-79 en dragen een CVSS 3.0-score van 6.3, wat duidt op een matige ernst. Uit de impactanalyse blijkt dat er sprake is van een hoog risico voor de vertrouwelijkheid, een beperkte impact op de integriteit en geen impact op de beschikbaarheid.

Het Cybersecurity and Infrastructure Security Agency (CISA) heeft een waarschuwing gepubliceerd over een kritieke kwetsbaarheid in de Synectix LAN 232 TRIO. Dit systeem wordt wereldwijd ingezet binnen diverse vitale sectoren, waaronder de kritieke productie, hulpdiensten, energiesector, informatietechnologie, transportsystemen en water- en afvalwaterbeheer. De aangetroffen zwakheid heeft de maximale ernstscore van 10 op de CVSS-schaal gekregen.

Het specifieke probleem is geregistreerd onder de code CVE-2026-1633 en betreft het ontbreken van authenticatie voor kritieke functies. Door dit gebrek kan een ongeautoriseerde aanvaller kritieke apparaatinstellingen wijzigen of het volledige apparaat terugzetten naar de fabrieksinstellingen. Deze kwetsbaarheid treft alle versies van de Synectix LAN 232 TRIO. De ontdekking van dit lek is gemeld aan CISA door een onderzoeker van MicroSec.

Op het moment van publicatie zijn er geen bekende gevallen van publieke exploitatie specifiek gericht op deze kwetsbaarheid. Om risico's te beperken, wordt gebruikers geadviseerd de netwerkblootstelling van besturingssystemen te minimaliseren en ervoor te zorgen dat deze niet via het internet toegankelijk zijn. Daarnaast wordt aangeraden besturingsnetwerken en externe apparaten achter firewalls te plaatsen en te isoleren van zakelijke netwerken. Wanneer toegang op afstand noodzakelijk is, dienen veilige methoden zoals Virtual Private Networks (VPNs) te worden gebruikt, waarbij deze ook up-to-date moeten worden gehouden.

Bron

Het Cybersecurity and Infrastructure Security Agency heeft een waarschuwing uitgegeven betreffende een kwetsbaarheid in Mitsubishi Electric FREQSHIP-mini voor Windows. Het betreft specifiek de versies 8.0.0 tot en met 8.0.2. De kwetsbaarheid is geregistreerd onder het nummer CVE-2025-10314 en heeft een CVSS v3-score van 8.8 toegekend gekregen. Het beveiligingslek komt voort uit onjuiste standaardrechten op het systeem waarop de software is geïnstalleerd.

Een succesvolle uitbuiting van deze kwetsbaarheid kan een aanvaller in staat stellen om ongeautoriseerde toegang te verkrijgen tot het systeem. Daarnaast is het mogelijk om opgeslagen informatie te wijzigen, te verwijderen of te vernietigen. Ook kan een aanvaller een denial-of-service toestand veroorzaken, waardoor het getroffen systeem onbeschikbaar wordt. Uit de technische analyse blijkt dat deze kwetsbaarheid niet op afstand kan worden uitgebuit; lokale toegang tot het systeem is noodzakelijk. Er zijn bij CISA op dit moment geen gevallen bekend van openbaar misbruik van dit specifieke lek.

De software wordt ingezet binnen diverse kritieke infrastructuursectoren, waaronder kritieke productie, energie, informatietechnologie, gezondheidszorg en overheidsdiensten. Volgens de beschikbare gegevens wordt dit product voornamelijk ingezet in Japan. De kwetsbaarheid werd gemeld door een onderzoeker van GMO Cybersecurity by IERAE, Inc. CISA adviseert gebruikers om defensieve maatregelen te treffen om het risico op uitbuiting te minimaliseren en wijst op het belang van een gedegen risicoanalyse voordat wijzigingen worden doorgevoerd.

Bron

De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft op 3 februari 2026 een waarschuwing gepubliceerd betreffende een ernstige kwetsbaarheid in de Avation Light Engine Pro. Het betreft een lek dat geregistreerd staat onder CVE-2026-1341 en een CVSS-score van 9.8 heeft toegekend gekregen. Deze score indiceert een kritiek risico. De kwetsbaarheid wordt veroorzaakt door het ontbreken van authenticatie voor kritieke functies, waardoor een aanvaller bij succesvolle exploitatie de volledige controle over het apparaat kan overnemen. Volgens de informatie van CISA zijn alle versies van de Light Engine Pro getroffen door dit beveiligingsprobleem.

De apparatuur van Avation wordt wereldwijd ingezet binnen de sector commerciële faciliteiten. Het bedrijf dat de systemen produceert, heeft zijn hoofdkantoor in Australië. De kwetsbaarheid werd aan CISA gerapporteerd door onderzoeker Souvik Kandar. Op het moment van de publicatie van het advies waren er bij de instantie nog geen meldingen bekend van publieke exploitatie die specifiek gericht is op deze kwetsbaarheid.

Om het risico op misbruik te beperken, adviseert CISA organisaties om de netwerkblootstelling van alle controlesystemen te minimaliseren en te garanderen dat deze niet toegankelijk zijn via het internet. Daarnaast wordt aangeraden om netwerken voor controlesystemen en externe apparaten achter firewalls te plaatsen en te isoleren van zakelijke netwerken. Indien toegang op afstand noodzakelijk is, wijst de instantie op het belang van veilige methoden zoals Virtual Private Networks (VPN's), waarbij de VPN-software up-to-date gehouden moet worden.

Bron

Google heeft een kritieke beveiligingsupdate uitgebracht voor het Chrome Stable-kanaal. Deze update adresseert twee kwetsbaarheden met een hoge ernstgraad die gebruikers blootstellen aan potentiële willekeurige code-uitvoering (ACE) en denial-of-service (DoS) aanvallen. De browserversie wordt hiermee bijgewerkt naar 144.0.7559.132 of .133 voor Windows en macOS, en naar versie 144.0.7559.132 voor Linux-systemen. De technologiegigant heeft bevestigd dat de uitrol in de komende dagen en weken zal plaatsvinden. De patches richten zich specifiek op geheugencorruptieproblemen binnen de JavaScript-engine van de browser en de bibliotheken voor videoverwerking.

Succesvolle exploitatie van deze kwetsbaarheden vereist doorgaans dat een gebruiker een speciaal geproduceerde website bezoekt, wat de exploit binnen het rendererproces van de browser kan activeren. De ernstigste fout, aangeduid als CVE-2026-1862, bevindt zich in V8, de open-source JavaScript- en WebAssembly-engine van Google. Het betreft een Type Confusion-kwetsbaarheid waarbij de engine wordt misleid om een geheugenbron te benaderen met een incompatibel type, bijvoorbeeld door een integer als pointer te behandelen. Aanvallers maken frequent gebruik van dergelijke fouten in V8 om geheugenpointers te manipuleren. Dit stelt hen in staat om geheugen buiten de toegewezen grenzen te lezen of te schrijven, wat kan leiden tot willekeurige code-uitvoering binnen de sandbox-omgeving. Deze kwetsbaarheid werd gerapporteerd door onderzoeker Chaoyuan Peng.

De tweede kwetsbaarheid, geregistreerd als CVE-2026-1861, betreft een Heap Buffer Overflow in libvpx, de referentie-softwarebibliotheek voor VP8- en VP9-videocodering. Een dergelijke overflow treedt op wanneer een proces meer data naar een geheugenbuffer met een vaste lengte probeert te schrijven dan deze kan bevatten. In deze context zou een aanvaller een misvormde videostream op een webpagina kunnen plaatsen. Wanneer Chrome deze video probeert te verwerken via libvpx, kan de overflow aangrenzend geheugen op de heap corrumperen. Dit resulteert meestal in een crash van de browser, maar kan ook worden gecombineerd met andere exploits om code-uitvoering te bewerkstelligen. Google heeft niet bekendgemaakt of deze exploits momenteel in het wild worden misbruikt, maar houdt details beperkt totdat een meerderheid van de gebruikers de update heeft geïnstalleerd. Enterprise-beheerders en gebruikers wordt geadviseerd de installatie te verifiëren via de instellingen van de browser. Bron

De U.S. Cybersecurity and Infrastructure Security Agency (CISA) heeft een waarschuwing uitgegeven over de actieve exploitatie van een Server-Side Request Forgery (SSRF) kwetsbaarheid in GitLab, aangeduid als CVE-2021-39935. CISA heeft overheidsinstanties opgedragen hun systemen te patchen tegen deze vijf jaar oude kwetsbaarheid. De kwetsbaarheid stelt aanvallers in staat om ongeautoriseerde verzoeken vanaf de GitLab-server uit te voeren.
GitLab heeft deze kwetsbaarheid in december 2021 gepatcht. Volgens GitLab kon deze ongeauthenticeerde aanvallers zonder privileges toegang geven tot de CI Lint API, die wordt gebruikt om pipelines te simuleren en CI/CD-configuraties te valideren. Wanneer gebruikersregistratie beperkt is, zouden externe gebruikers die geen ontwikkelaars zijn geen toegang moeten hebben tot de CI Lint API. Het probleem betrof alle versies vanaf 10.5 tot 14.3.6, alle versies vanaf 14.4 tot 14.4.4, alle versies vanaf 14.5 tot 14.5.2. Ongeautoriseerde externe gebruikers konden Server Side Requests uitvoeren via de CI Lint API.
CISA heeft de kwetsbaarheid toegevoegd aan de lijst van kwetsbaarheden die in het wild worden misbruikt en heeft Federal Civilian Executive Branch (FCEB)-agentschappen opgedragen hun systemen binnen drie weken, vóór 24 februari 2026, te patchen, zoals voorgeschreven door Binding Operational Directive (BOD) 22-01. Hoewel BOD 22-01 alleen federale agentschappen betreft, heeft CISA alle organisaties, inclusief die in de private sector, aangespoord om prioriteit te geven aan het beveiligen van hun apparaten tegen lopende CVE-2021-39935-aanvallen.
Een SSRF-kwetsbaarheid kan ernstige gevolgen hebben, omdat een aanvaller interne bronnen kan benaderen, gevoelige informatie kan verkrijgen of andere systemen kan compromitteren die toegankelijk zijn voor de GitLab-server. Om SSRF-aanvallen te voorkomen, is het essentieel om alle gebruikersinvoer te valideren en te ontsmetten, netwerksegmentatie te implementeren en het principe van de minste privileges toe te passen. Daarnaast is het belangrijk om regelmatig beveiligingsaudits en penetratietests uit te voeren om kwetsbaarheden te identificeren en te verhelpen voordat ze kunnen worden misbruikt door aanvallers.
Shodan houdt momenteel meer dan 49.000 apparaten met een GitLab-vingerafdruk die online zichtbaar zijn bij, waarvan de overgrote meerderheid uit China komt, en bijna 27.000 gebruiken de standaardpoort 443. GitLab zegt dat zijn DevSecOps-platform meer dan 30 miljoen geregistreerde gebruikers heeft en wordt gebruikt door meer dan 50% van de Fortune 100-organisaties, waaronder bekende bedrijven zoals Nvidia, Airbus, Goldman Sachs, T-Mobile en Lockheed Martin.

Aanvallers maken actief misbruik van een recente kwetsbaarheid in FreePBX om servers met een webshell te infecteren. Dit blijkt uit een analyse van Fortinet. Het Amerikaanse cyberagentschap CISA meldt eveneens actief misbruik van het beveiligingslek, dat is aangeduid als CVE-2025-64328. FreePBX is software voor het beheren en configureren van telefooncentrales die op Asterisk VoiP-servers draaien.

De kwetsbaarheid in de admin-interface maakt het voor een geauthenticeerde aanvaller mogelijk om willekeurige shellcommando's op de onderliggende server uit te voeren. Volgens het beveiligingsbulletin kan een aanvaller dit gebruiken om als de asterisk user remote toegang tot het systeem te krijgen. Updates voor dit probleem zijn afgelopen november verschenen.

Een week geleden meldde Fortinet dat aanvallers CVE-2025-64328 gebruiken om de EncystPHP-webshell op kwetsbare FreePBX-servers te installeren. Via de webshell kunnen de aanvallers toegang tot de server behouden en verdere aanvallen uitvoeren. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security heeft het FreePBX-lek inmiddels toegevoegd aan het overzicht van actief aangevallen kwetsbaarheden. Het agentschap geeft echter geen details over de aanvallen. Vorig jaar werd een ander FreePBX-lek (CVE-2025-57819) nog gebruikt voor het hacken van honderden telefooncentrales.

Het Amerikaanse cyberagentschap CISA heeft een waarschuwing uitgestuurd over actief misbruik van een kritieke kwetsbaarheid in SolarWinds Web Help Desk. CISA heeft Amerikaanse overheidsinstanties opgedragen om de update voor dit beveiligingslek, die op 28 januari is uitgebracht, vóór 6 februari te installeren. Normaliter hanteert CISA een periode van drie weken om kwetsbaarheden te verhelpen, maar in het geval van ernstige en impactvolle problemen wordt dit teruggebracht tot drie dagen.

Web Help Desk (WHD) is een ticketingsysteem dat organisaties in staat stelt om tickets van gebruikers en klanten te ontvangen. Deze tickets kunnen vervolgens aan medewerkers worden toegewezen om de gemelde problemen op te lossen. SolarWinds maakte op 28 januari bekend dat de software diverse kwetsbaarheden bevat, waaronder een "untrusted data deserialization" kwetsbaarheid die remote code execution mogelijk maakt.

De kwetsbaarheid, aangeduid als CVE-2025-40551, heeft een score van 9.8 op een schaal van 1 tot 10. Twee jaar geleden werd een "deserialization of untrusted data" kwetsbaarheid in SolarWinds Web Help Desk ook al actief misbruikt. Het CISA heeft geen details vrijgegeven over de momenteel waargenomen aanvallen.

Er is een waarschuwing afgegeven voor een ernstige authenticatiekwetsbaarheid in EspoCRM, die onmiddellijke actie vereist van beheerders. Het beveiligingslek treft installaties van de softwareversies 5.8.5 en ouder. De kwetsbaarheid, geregistreerd onder de code CVE-2020-37094, heeft een CVSS-score van 8.7 gekregen, wat duidt op een hoog risico. Het betreft een probleem waarbij de autorisatie omzeild kan worden door een door de gebruiker gecontroleerde sleutel, technisch geclassificeerd als CWE-639.

Aanvallers kunnen deze kwetsbaarheid misbruiken door autorisatieheaders te manipuleren en tokens te decoderen. Hierdoor is het mogelijk om ongeautoriseerde toegang te verkrijgen tot administratieve gebruikersinformatie en bijbehorende privileges. Een succesvolle aanval kan leiden tot toegang tot gevoelige klantinformatie en bedrijfsgegevens. Aangezien EspoCRM wordt gebruikt voor het beheer van openbaar beschikbare websites, wordt de kans op misbruik als zeer hoog ingeschat. Dit kan resulteren in een grote impact op de vertrouwelijkheid, integriteit en beschikbaarheid van systemen, alsmede een mogelijke verstoring van de kernactiviteiten van een organisatie.

Om misbruik te voorkomen, wordt met klem geadviseerd om updates voor kwetsbare apparaten met de hoogste prioriteit te installeren na grondige tests. Daarnaast is het noodzakelijk om monitoring- en detectiecapaciteiten op te schalen om verdachte activiteiten tijdig te identificeren en snel te kunnen reageren op een eventuele inbraak. Het patchen van software naar de nieuwste versie biedt bescherming tegen toekomstige exploitatie, maar herstelt geen schade van een reeds plaatsgevonden inbraak.

Bron

Na de hack waarbij malafide updates onder gebruikers van Notepad++ werden verspreid, heeft ontwikkelaar Don Ho aanvullende informatie verstrekt. Ho ontving veel vragen van bezorgde gebruikers naar aanleiding van dit beveiligingsincident. Aanvallers wisten maandenlang updates te verspreiden die een backdoor installeerden bij gebruikers van de editor, die vooral populair is bij software-ontwikkelaars.

Volgens Ho is Notepad++ zelf niet gehackt. De aanvallers maakten misbruik van een probleem in de auto-updater van de software, WinGup. De aanvallers hadden de infrastructuur van de hostingprovider gehackt en konden zo de malafide updates verspreiden. Ho is inmiddels voor Notepad++ overgestapt naar een andere hostingprovider.

De ontwikkelaar geeft aan dat de meeste gebruikers zich geen zorgen hoeven te maken, omdat de aanvallers hun doelwitten selecteerden op basis van strategische waarde. Voor de meeste gebruikers is het voldoende om naar de laatste versie te updaten om veilig te zijn. Het beveiligingsprobleem is volledig verholpen en Notepad++ kan veilig worden gebruikt. Bron

Het Nationaal Cyber Security Centrum (NCSC) waarschuwt organisaties die Ivanti Endpoint Manager Mobile (EPMM) gebruiken dat ze ervan uit moeten gaan dat hun EPMM-server gehackt is. Het NCSC adviseert deze organisaties om dit te melden. Ivanti EPMM is een software voor mobile device management (MDM) waarmee organisaties de mobiele apparaten van hun medewerkers op afstand kunnen beheren, bijvoorbeeld met betrekking tot toegestane applicaties en beleid. Een gecompromitteerde EPMM-server kan aanzienlijke gevolgen hebben.

Vorige week bracht Ivanti beveiligingsupdates uit voor twee actief aangevallen kwetsbaarheden in de software, namelijk CVE-2026-1281 en CVE-2026-1340. Deze kwetsbaarheden stellen een ongeauthenticeerde aanvaller op afstand in staat om code uit te voeren op kwetsbare servers. De impact van beide lekken is beoordeeld met een score van 9.8 op een schaal van 1 tot 10. Het is niet bekend sinds wanneer de kwetsbaarheden worden misbruikt en hoeveel klanten getroffen zijn.

Het NCSC adviseert gebruikers van Ivanti EPMM om uit te gaan van een compromittatie en een 'assume-breach'-scenario te volgen. CVE-2026-1281 werd al voor de beschikbaarstelling van patches door Ivanti misbruikt als zero-day kwetsbaarheid. Het NCSC stelt dat het misbruik breder heeft plaatsgevonden dan eerder werd aangenomen. Het NCSC benadrukt dat het installeren van de patches een eerdere compromittatie niet ongedaan maakt. Naast het installeren van de updates adviseert het NCSC Ivanti EPMM-klanten om alle wachtwoorden van accounts op het systeem te wijzigen, de private keys die op het systeem in gebruik zijn te veranderen en het interne verkeer dat vanaf het systeem komt te monitoren op mogelijke laterale beweging.

Het NCSC nodigt Ivanti EPMM-klanten uit om contact op te nemen voor aanvullende informatie en handelingsperspectief. The Shadowserver Foundation waarschuwde eerder deze week dat ongeveer 1600 EPMM-servers vanaf het internet toegankelijk zijn, waarvan 38 in Nederland. Het is niet bekend of deze servers kwetsbaar zijn. Bron

De Cybersecurity and Infrastructure Security Agency (CISA) heeft bevestigd dat ransomwaregroepen actief misbruik maken van CVE-2025-22225. Dit betreft een ernstige sandbox escape-kwetsbaarheid in VMware ESXi. Hoewel Broadcom in maart 2025 al patches uitbracht voor dit lek, stelt de kwetsbaarheid aanvallers in staat om uit de isolatie van een virtuele machine te breken en ransomware over hypervisors te verspreiden.

CVE-2025-22225 is geclassificeerd als belangrijk met een CVSS-score van 8.2. Een kwaadwillende met privileges in het VMX-proces kan via deze kwetsbaarheid willekeurige kernel writes uitvoeren en zo controle krijgen over de hypervisor. Het lek werd gelijktijdig onthuld met twee andere zero-day kwetsbaarheden, waaronder een heap overflow en een informatielek, die gezamenlijk al sinds begin 2025 in het wild worden misbruikt. CISA voegde de kwetsbaarheid reeds in maart 2025 toe aan de catalogus met bekende geëxploiteerde kwetsbaarheden, maar recente updates in februari 2026 markeren specifiek het gebruik in ransomwarecampagnes.

Aanvallers combineren deze kwetsbaarheid vaak met andere lekken om volledige ontsnapping uit de virtuele machine te realiseren. Hierbij verkrijgen zij initieel toegang, vaak via beheerdersrechten, om vervolgens VMCI-drivers uit te schakelen en ongesigneerde kernel drivers te laden. Dit proces maakt de implementatie van heimelijke backdoors mogelijk, zoals VSOCKpuppet, waarmee persistente controle over de hypervisor wordt behouden en netwerkmonitoring wordt omzeild. Eerdere aanvallen werden toegeschreven aan Chinese actoren die via gecompromitteerde VPN-diensten data wisten te exfiltreren.

Ondanks de beschikbaarheid van patches blijven volgens scans meer dan 41.500 blootgestelde ESXi-instanties kwetsbaar. Beveiligingsonderzoekers hebben toolkits waargenomen die gericht zijn op diverse ESXi-builds. Organisaties wordt dringend geadviseerd de patches voor ESXi 7.0 en 8.0 onmiddellijk toe te passen en aanvullende beveiligingsmaatregelen te treffen, zoals EDR-monitoring voor anomalieën in VMX-processen en het beperken van beheerdersprivileges.

Bron

De afgelopen 24 uur zijn diverse kritieke kwetsbaarheden trending op sociale media. De mate van belangstelling voor deze specifieke CVE's wordt weergegeven via een hype score, een cijfer tussen 0 en 100 dat wordt berekend op basis van vermeldingen in nieuwsberichten en op openbare platforms. Een hogere score duidt op meer aandacht voor de kwetsbaarheid, wat beveiligingsteams helpt om snel de urgentie van de dreiging in te schatten.

De lijst wordt aangevoerd door CVE-2025-68121, een kwetsbaarheid in het crypto/tls pakket van Go. Hierbij lekte de functie Config.Clone sessiesleutels en werd bij TLS-sessiehervatting uitsluitend de verloopdatum van het leaf-certificaat gecontroleerd. Daarnaast is er veel aandacht voor CVE-2025-22225 in VMware ESXi. Dit betreft een lek waarmee willekeurige bestanden geschreven kunnen worden. Een aanvaller met rechten binnen het VMX-proces kan hierdoor kernel writes forceren, wat leidt tot een sandbox escape.

Ook SolarWinds Web Help Desk kampt met een ernstig beveiligingslek, geregistreerd als CVE-2025-40551. Het betreft een Remote Code Execution kwetsbaarheid die ontstaat door onveilige deserialisatie, waardoor het mogelijk is om zonder authenticatie commando's uit te voeren. Voor gebruikers van de Windows-versie van WinRAR is CVE-2025-8088 relevant. Deze path traversal kwetsbaarheid stelt aanvallers in staat code uit te voeren via kwaadaardige archiefbestanden en wordt in het wild misbruikt door RomCom malware.

Het workflow-automatiseringsplatform n8n wordt genoemd met twee afzonderlijke RCE-kwetsbaarheden. CVE-2025-68613 bevindt zich in het evaluatiesysteem voor workflow-expressies, waardoor geauthenticeerde aanvallers code kunnen uitvoeren. CVE-2026-25049 betreft een onjuiste controle van dynamisch beheerde codebronnen en komt voort uit onvolledige AST-gebaseerde sandboxing van server-side JavaScript.

Overige trending kwetsbaarheden omvatten een integer overflow in diverse Apple besturingssystemen (CVE-2025-46285) die verholpen is door een overstap naar 64-bit tijdstempels, en een kritieke ongeauthenticeerde RCE in React Server Components (CVE-2025-55182). Tot slot is er een kwetsbaarheid gemeld in de @react-native-community/cli (CVE-2025-11953), waarbij de Metro development server via een specifiek eindpunt vatbaar is voor OS command injection. Voor CVE-2025-61732 is momenteel nog geen specifieke beschrijving beschikbaar.

Overzicht

De WatchGuard VPN Client voor Windows bevat een kwetsbaarheid. Hoewel de exacte details van de kwetsbaarheid in het artikel niet worden gespecificeerd, is het bestaan ervan wel bevestigd. Het is belangrijk voor gebruikers van deze VPN-client om op de hoogte te zijn van dit potentiële risico en de nodige maatregelen te nemen om hun systemen te beschermen. Het is aan te raden om de officiële communicatiekanalen van WatchGuard in de gaten te houden voor updates en patches die deze kwetsbaarheid aanpakken.

Zonder verdere details over de aard van de kwetsbaarheid, de getroffen versies van de software of mogelijke mitigaties, blijft het advies beperkt tot algemene voorzichtigheid. Gebruikers moeten ervoor zorgen dat hun systemen up-to-date zijn met de nieuwste beveiligingspatches en antivirussoftware, en dat ze zich bewust zijn van phishing-pogingen of andere vormen van social engineering die misbruik kunnen maken van de situatie.

Het is essentieel dat WatchGuard snel met meer informatie komt over de kwetsbaarheid en een passende oplossing biedt om de veiligheid van hun gebruikers te waarborgen. Tot die tijd is het raadzaam om extra alert te zijn en verdachte activiteiten op systemen met de VPN-client te monitoren. Bron

Onderzoekers hebben een kritieke Remote Code Execution (RCE) kwetsbaarheid ontdekt in n8n, een populair open-source workflow automation platform. De kwetsbaarheid, met een nog onbekende CVE-aanduiding en CVSS-score, stelt aanvallers in staat om op afstand code uit te voeren op systemen waarop n8n draait. Dit kan leiden tot volledige controle over de server, data-exfiltratie, of het uitvoeren van kwaadaardige acties binnen het netwerk.

De kwetsbaarheid bevindt zich in de manier waarop n8n bepaalde input verwerkt. Door een speciaal geprepareerd verzoek te sturen, kan een aanvaller de server dwingen om willekeurige code uit te voeren. Dit is met name zorgwekkend omdat n8n vaak wordt gebruikt om gevoelige taken te automatiseren, zoals het verwerken van klantgegevens, het beheren van cloud-resources, en het integreren van verschillende systemen.

De onderzoekers waarschuwen dat de impact van deze kwetsbaarheid aanzienlijk kan zijn. Een succesvolle aanval kan leiden tot datalekken, verstoring van bedrijfsprocessen, en reputatieschade. Het is daarom cruciaal dat gebruikers van n8n zo snel mogelijk actie ondernemen om hun systemen te beveiligen.

Hoewel er nog geen officiële patch beschikbaar is, zijn er tijdelijke mitigerende maatregelen die kunnen worden genomen. Zo wordt aanbevolen om de toegang tot de n8n-instance te beperken tot vertrouwde netwerken en om de input-validatie te verscherpen. Daarnaast is het belangrijk om de n8n-logs nauwlettend in de gaten te houden op verdachte activiteiten.

De onderzoekers hebben de kwetsbaarheid gemeld aan het n8n-team, dat momenteel werkt aan een definitieve oplossing. Het wordt verwacht dat er binnenkort een security-update zal worden uitgebracht. Gebruikers worden geadviseerd om de n8n-website en security-bulletins in de gaten te houden voor meer informatie en instructies over het updaten van hun systemen. Bron

Google heeft bekendgemaakt dat ruim veertig procent van de Androidtelefoons niet langer beveiligingsupdates ontvangt. Volgens een overzicht van het marktaandeel van de verschillende Androidversies worden momenteel alleen Android 13, 14, 15 en 16 nog ondersteund met beveiligingsupdates. Deze versies vertegenwoordigen samen 58 procent van de markt.

De overige 42 procent van de Androidtoestellen draait op Android 12 of ouder. Bijna veertien procent draait nog op Android 11, waarvan de ondersteuning in maart 2024 is gestopt. Android 9, dat sinds februari 2022 geen updates meer ontvangt, heeft nog een marktaandeel van bijna vijf procent, zo blijkt uit cijfers die 9to5Google publiceerde. In totaal gaat het om bijna een miljard Android-apparaten die niet meer worden voorzien van beveiligingspatches. Uit cijfers van Apple blijkt dat een aanzienlijk kleiner percentage iPhones een niet-ondersteunde iOS-versie gebruikt. Bron

Een kwetsbaarheid in o6 Automation GmbH Open62541 kan een denial-of-service toestand en geheugen corruptie veroorzaken. De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft een ICS Advisory uitgebracht met betrekking tot deze kwetsbaarheid.

De volgende versies van o6 Automation GmbH Open62541 zijn getroffen: Open62541 >=1.5-rc1|<1.5-rc2 (CVE-2026-1301). De CVSS v3 score is 5.7 (Medium).

De kwetsbaarheid (CVE-2026-1301) bevindt zich in builds waarbij PubSub en JSON zijn ingeschakeld. Een specifiek samengesteld JSON bericht kan ervoor zorgen dat de decoder buiten een heap-gealloceerde array schrijft vóór authenticatie, wat leidt tot een crash van het proces en geheugen corruptie.

o6 Automation GmbH adviseert gebruikers om te upgraden naar de stabiele release van versie 1.5.0.

CISA adviseert gebruikers defensieve maatregelen te nemen om het risico op misbruik van deze kwetsbaarheid te minimaliseren, zoals: minimaliseer de netwerkblootstelling voor alle apparaten en/of systemen van het besturingssysteem en zorg ervoor dat ze niet toegankelijk zijn vanaf het internet. Plaats netwerken van besturingssystemen en externe apparaten achter firewalls en isoleer ze van bedrijfsnetwerken. Wanneer toegang op afstand vereist is, gebruik dan veiligere methoden, zoals Virtual Private Networks (VPN's), waarbij wordt erkend dat VPN's kwetsbaarheden kunnen hebben en moeten worden bijgewerkt naar de meest recente beschikbare versie.

Andrew Fasano van NIST CAISI heeft deze kwetsbaarheid gemeld aan CISA.

CISA herinnert organisaties eraan om een ​​goede impactanalyse en risicobeoordeling uit te voeren voordat ze defensieve maatregelen implementeren. CISA moedigt organisaties aan om aanbevolen cybersecurity strategieën te implementeren voor proactieve verdediging van ICS-activa.

Organisaties die verdachte kwaadaardige activiteiten waarnemen, dienen de vastgestelde interne procedures te volgen en bevindingen te melden aan CISA voor tracking en correlatie met andere incidenten.

CISA adviseert gebruikers ook de volgende maatregelen te nemen om zichzelf te beschermen tegen social engineering aanvallen: klik niet op weblinks of open geen bijlagen in ongevraagde e-mailberichten.

Er zijn momenteel geen meldingen bij CISA bekend over publieke exploits die specifiek op deze kwetsbaarheid zijn gericht. Bron

Hitachi Energy is op de hoogte van een kwetsbaarheid in bepaalde versies van de XMC20-producten. Een succesvolle exploitatie van dit lek kan leiden tot vervalsingsaanvallen, wat de vertrouwelijkheid, integriteit en beschikbaarheid van het product in gevaar kan brengen. De kwetsbaarheid is van toepassing als XMC20-apparaten zijn geconfigureerd voor het gebruik van externe RADIUS-authenticatie.

De volgende versies van Hitachi Energy XMC20 zijn getroffen: XMC20 R18 en XMC20 versies R17A en eerder. De kwetsbaarheid is geregistreerd onder CVE-2024-3596 en heeft een CVSS v3 score van 9 (Kritiek).

Het RADIUS-protocol (RFC 2865) is vatbaar voor vervalsingsaanvallen door een lokale aanvaller. Een aanvaller kan elke geldige respons (Access-Accept, Access-Reject of Access-Challenge) wijzigen in een andere respons door middel van een chosen-prefix collision aanval gericht op de MD5 Response Authenticator signature.

Hitachi Energy adviseert de volgende maatregelen:

1. Activeer de RADIUS Message-Authenticator optie in zowel de XMC20- als de RADIUS serverconfiguraties. Raadpleeg de technische gebruikersdocumentatie op https://publisher.hitachienergy.com/preview?DocumentID=1KHW029001&LanguageCode=en&DocumentPartId=R18&Action=launch.

2. Update naar XMC20 R18 en activeer vervolgens de RADIUS Message-Authenticator optie in zowel de XMC20- als de RADIUS serverconfiguraties.

3. Als een upgrade niet mogelijk is, pas dan algemene mitigatiefactoren toe met segmentatie van FOX-beheerverkeer om het risico te minimaliseren.

4. Raadpleeg Hitachi Energy cybersecurity advisory 8DBD000233 RADIUS MD5 Vulnerability in Hitachi Energy XMC20 product, beschikbaar in PDF-formaat via https://publisher.hitachienergy.com/preview?DocumentID=8DBD000233&LanguageCode=en&DocumentPartId=&Action=launch of in JSON-formaat via https://publisher.hitachienergy.com/preview?DocumentID=8DBD000233-CSAF&LanguageCode=en&DocumentPartId=&Action=Launch.

Hitachi Energy beveelt aan om security practices en firewallconfiguraties te implementeren om proces control netwerken te beschermen tegen externe aanvallen. Deze maatregelen omvatten fysieke bescherming van proces control systemen tegen ongeautoriseerde toegang, het vermijden van directe internetverbindingen, en het scheiden van deze systemen van andere netwerken door middel van een firewall die het aantal blootgestelde poorten minimaliseert. Proces control systemen zouden niet gebruikt moeten worden voor web browsing, instant messaging of e-mail. Draagbare computers en verwijderbare opslagmedia dienen grondig gescand te worden op malware voordat ze verbonden worden met een control systeem. Organisaties dienen een adequaat wachtwoordbeleid te hanteren.

CISA adviseert gebruikers defensieve maatregelen te nemen om het risico op misbruik van deze kwetsbaarheden te minimaliseren. Minimaliseer de netwerk blootstelling voor alle control system apparaten en systemen, en zorg ervoor dat ze niet toegankelijk zijn vanaf het internet. Plaats control system netwerken en remote apparaten achter firewalls en isoleer ze van bedrijfsnetwerken. Gebruik, indien remote toegang vereist is, veiligere methoden zoals VPN's, maar wees je ervan bewust dat ook VPN's kwetsbaarheden kunnen bevatten en dus up-to-date gehouden moeten worden. Bron

Hackers maken misbruik van een kwetsbaarheid in React2Shell, een command-line interface (CLI) tool voor React-ontwikkelaars, om servers te kapen en kwaadaardige code uit te voeren. Dit werd begin februari 2026 bekendgemaakt door security onderzoekers.

React2Shell is een tool die het mogelijk maakt om shell-commando's uit te voeren vanuit een React-applicatie. De kwetsbaarheid stelt aanvallers in staat om ongeautoriseerde shell-commando's uit te voeren op de server waarop de React-applicatie draait. Dit kan leiden tot het compromitteren van de server, het stelen van gevoelige data, of het uitvoeren van andere kwaadaardige activiteiten.

De aanval begint met het injecteren van kwaadaardige code in een React-applicatie die React2Shell gebruikt. Deze code maakt vervolgens gebruik van de kwetsbaarheid in React2Shell om shell-commando's uit te voeren op de server. Aanvallers kunnen deze commando's gebruiken om bijvoorbeeld een backdoor te installeren, gevoelige data te stelen, of andere kwaadaardige activiteiten uit te voeren.

Er zijn verschillende manieren waarop aanvallers misbruik kunnen maken van deze kwetsbaarheid. Een veelvoorkomende methode is het injecteren van kwaadaardige code via een cross-site scripting (XSS) aanval. Hierbij wordt code geïnjecteerd in een webpagina die door andere gebruikers wordt bekeken. Als de webpagina React2Shell gebruikt, kan de kwaadaardige code de kwetsbaarheid gebruiken om shell-commando's uit te voeren op de server.

Een andere methode is het direct aanvallen van de React2Shell API. Als de API niet goed beveiligd is, kunnen aanvallers direct shell-commando's uitvoeren op de server.

Om te voorkomen dat servers worden gekaapt via React2Shell, is het belangrijk om de volgende maatregelen te nemen:

*   Update React2Shell naar de nieuwste versie. De nieuwste versie bevat beveiligingspatches die de kwetsbaarheid verhelpen.

*   Valideer alle input die naar React2Shell wordt gestuurd. Dit voorkomt dat aanvallers kwaadaardige code kunnen injecteren.

*   Beperk de toegang tot de React2Shell API. Alleen geautoriseerde gebruikers mogen toegang hebben tot de API.

*   Monitor de server op verdachte activiteiten. Dit kan helpen om aanvallen vroegtijdig te detecteren.

Door deze maatregelen te nemen, kan het risico op een succesvolle aanval via React2Shell aanzienlijk worden verminderd. Bron

Meerdere kritieke kwetsbaarheden in het populaire open-source workflow automation platform n8n stellen aanvallers in staat om uit de omgeving te ontsnappen en volledige controle over de hostserver te krijgen. De problemen, gezamenlijk gevolgd als CVE-2026-25049, kunnen worden misbruikt door elke geauthenticeerde gebruiker die workflows kan creëren of bewerken op het platform, om unrestricted remote code execution uit te voeren op de n8n server.

Onderzoekers van diverse cybersecurity bedrijven hebben de problemen gerapporteerd. De kwetsbaarheden zijn het gevolg van n8n's sanitization mechanisme en omzeilen de patch voor CVE-2025-68613, een andere kritieke kwetsbaarheid die op 20 december is verholpen. Volgens Pillar Security maakt het misbruiken van CVE-2026-25049 een volledige compromittering van de n8n instantie mogelijk en kan het worden gebruikt om willekeurige systeemcommando's uit te voeren op de server, alle opgeslagen credentials en secrets (API keys, OAuth tokens) te stelen, en gevoelige configuratiebestanden te bemachtigen. Door de kwetsbaarheid te misbruiken, konden de onderzoekers ook toegang krijgen tot het filesystem en interne systemen, pivoteren naar verbonden cloud accounts, en AI workflows kapen (prompts onderscheppen, responses wijzigen, verkeer omleiden). Omdat n8n een multi-tenant omgeving is, kan toegang tot interne cluster services mogelijk leiden tot pivoting naar de data van andere tenants. "De aanval vereist niets speciaals. Als je een workflow kunt creëren, kun je de server ownen," aldus Pillar Security in een rapport.

Het rapport van Pillar beschrijft het probleem als incomplete AST-based sandboxing en legt uit dat het voortkomt uit n8n's zwakke sandboxing van user-written server-side JavaScript expressions in workflows. Op 21 december 2025 demonstreerden ze een chained bypass aan het n8n team, waardoor sandbox escape en toegang tot het Node.js global object mogelijk was, wat leidde tot RCE. Een fix werd twee dagen later geïmplementeerd, maar na verdere analyse ontdekte Pillar dat deze incompleet was en dat een tweede escape via een ander mechanisme met behulp van equivalente operaties mogelijk bleef. n8n developers bevestigden de bypass op 30 december, en uiteindelijk bracht n8n versie 2.4.0 uit op 12 januari 2026, waarmee het probleem werd aangepakt.

Onderzoekers bij Endor Labs ontdekten ook sanitization bypasses en demonstreerden de CVE-2026-25049 kwetsbaarheid met een simple proof-of-concept (PoC) exploit die remote code execution realiseert. "In alle versies voorafgaand aan 2.5.2 en 1.123.17, gaat de sanitization function ervan uit dat keys in property accesses strings zijn in attacker-controlled code," zegt Cristian Staicu van Endor Labs. Echter, hoewel de check wordt weergegeven in TypeScript typings, wordt deze niet afgedwongen tijdens runtime, waardoor een type-confusion kwetsbaarheid wordt geïntroduceerd. Dit leidt tot het volledig omzeilen van de "sanitization controls, waardoor arbitrary code execution attacks mogelijk worden."

In een rapport verstrekken onderzoekers bij SecureLayer7 de technische details die hen in staat stelden om "server side JavaScript execution using the Function constructor" te bereiken. Ze ontdekten CVE-2026-25049 tijdens het analyseren van CVE-2025-68613 en n8n's fix hiervoor. Het kostte meer dan 150 mislukte pogingen om een succesvolle bypass te verfijnen. SecureLayer7's rapport bevat ook een PoC exploit en gedetailleerde stappen voor de initiële setup en het creëren van een malicious workflow die leidt tot volledige server control.

n8n gebruikers wordt aangeraden het platform te updaten naar de meest recente versie (momenteel 1.123.17 en 2.5.2). Pillar security beveelt ook aan om de ‘N8N_ENCRYPTION_KEY’ en alle credentials die op de server zijn opgeslagen te roteren, en workflows te controleren op verdachte expressions. Als updaten momenteel niet mogelijk is, biedt het n8n team administrators een workaround, die fungeert als een tijdelijke mitigatie en het risico niet volledig adresseert: Beperk workflow creation en editing permissions tot volledig trusted users only en deploy n8n in een hardened environment met restricted operating system privileges en network access om de impact van potential exploitation te verminderen.

Momenteel zijn er geen publieke meldingen over CVE-2026-25049 die wordt misbruikt. Echter, n8n's groeiende populariteit lijkt de aandacht van cybercriminelen te hebben getrokken in de context van de Ni8mare flaw (CVE-2026-21858). GreyNoise rapporteerde deze week dat ze potentieel malicious activity zien die gericht is op exposed n8n endpoints die kwetsbaar zijn voor Ni8mare, waarbij minstens 33.000 requests werden gelogd tussen 27 januari en 3 februari. Hoewel deze probing te wijten kan zijn aan research activity, wijst het scannen naar het /proc filesystem op interesse in post-exploitation potential.

In de Ilevia EVE X1 Server zijn meerdere kritieke kwetsbaarheden ontdekt die het mogelijk maken voor een aanvaller om willekeurige shell commando's uit te voeren en gevoelige systeeminformatie te onthullen. De kwetsbaarheden treffen Ilevia EVE X1 Server versies <=4.7.18.0.

De volgende CVE's zijn van toepassing: CVE-2025-34185, CVE-2025-34184, CVE-2025-34183, CVE-2025-34186, CVE-2025-34187, CVE-2025-34517, CVE-2025-34518, CVE-2025-34512 en CVE-2025-34513.

CVE-2025-34185 betreft een pre-authentication file disclosure kwetsbaarheid via de 'db_log' POST parameter, waardoor remote aanvallers willekeurige bestanden van de server kunnen ophalen en zo gevoelige systeeminformatie en credentials kunnen blootleggen. Deze kwetsbaarheid heeft een CVSS score van 7.5 (HIGH).

CVE-2025-34184 is een unauthenticated OS command injection kwetsbaarheid in het /ajax/php/login.php script. Remote aanvallers kunnen willekeurige systeemcommando's uitvoeren door payloads te injecteren in de 'passwd' HTTP POST parameter, wat kan leiden tot volledige systeemcompromittering of denial of service. Deze kwetsbaarheid heeft een CVSS score van 9.8 (CRITICAL).

CVE-2025-34183 betreft een kwetsbaarheid in het server-side logging mechanisme, waardoor niet-geauthenticeerde remote aanvallers plaintext credentials kunnen ophalen uit blootgestelde .log bestanden. Dit maakt volledige authenticatie bypass en systeemcompromittering via credential reuse mogelijk. Deze kwetsbaarheid heeft een CVSS score van 9.8 (CRITICAL).

CVE-2025-34186 is een kwetsbaarheid in het authenticatie mechanisme. Unsanitized input wordt doorgegeven aan een system() call voor authenticatie, waardoor aanvallers speciale karakters kunnen injecteren en command parsing kunnen manipuleren. Omdat de binary non-zero exit codes interpreteert als succesvolle authenticatie, kunnen remote aanvallers authenticatie omzeilen en volledige toegang tot het systeem krijgen. Deze kwetsbaarheid heeft een CVSS score van 9.8 (CRITICAL).

CVE-2025-34187 betreft een misconfiguratie in het sudoers bestand, waardoor passwordless uitvoering van bepaalde Bash scripts mogelijk is. Als deze scripts beschrijfbaar zijn door web-facing gebruikers of toegankelijk zijn via command injection, kunnen aanvallers ze vervangen door malicious payloads. Uitvoering met sudo geeft volledige root toegang, wat resulteert in remote privilege escalation en mogelijke systeemcompromittering. Deze kwetsbaarheid heeft een CVSS score van 9.8 (CRITICAL).

CVE-2025-34517 betreft een absolute path traversal kwetsbaarheid in get_file_content.php die een aanvaller in staat stelt willekeurige bestanden te lezen. Ilevia heeft besloten deze kwetsbaarheid niet te verhelpen en adviseert klanten om poort 8080 niet aan het internet bloot te stellen. Deze kwetsbaarheid heeft een CVSS score van 7.5 (HIGH).

CVE-2025-34518 betreft een relatieve path traversal kwetsbaarheid in get_file_content.php die een aanvaller in staat stelt willekeurige bestanden te lezen. Ilevia heeft besloten deze kwetsbaarheid niet te verhelpen en adviseert klanten om poort 8080 niet aan het internet bloot te stellen. Deze kwetsbaarheid heeft een CVSS score van 7.5 (HIGH).

CVE-2025-34512 betreft een reflected cross-site scripting (XSS) kwetsbaarheid in index.php die een niet-geauthenticeerde aanvaller in staat stelt willekeurige code uit te voeren. Ilevia heeft besloten deze kwetsbaarheid niet te verhelpen en adviseert klanten om poort 8080 niet aan het internet bloot te stellen. Deze kwetsbaarheid heeft een CVSS score van 5.4 (MEDIUM).

CVE-2025-34513 betreft een OS command injection kwetsbaarheid in mbus_build_from_csv.php die een niet-geauthenticeerde aanvaller in staat stelt willekeurige code uit te voeren. Ilevia heeft besloten deze kwetsbaarheid niet te verhelpen en adviseert klanten om poort 8080 niet aan het internet bloot te stellen. Deze kwetsbaarheid heeft een CVSS score van 9.8 (CRITICAL).

Ilevia adviseert gebruikers om te updaten naar de nieuwste versie van Ilevia Manager, poort 8080 te sluiten, alle default wachtwoorden te wijzigen, firewall configuraties te controleren en te monitoren op ongeautoriseerde toegangspogingen. CISA adviseert tevens om de netwerk exposure te minimaliseren, firewalls te gebruiken en VPN's te gebruiken voor remote toegang.

Gjoko Krstic van Zero Science Lab heeft deze kwetsbaarheden gemeld bij CISA.

Onderzoekers Davy Aarts en Victor Pasman van DIVD hebben twee kritieke kwetsbaarheden ontdekt in Ivanti Endpoint Manager Mobile (EPMM), voorheen bekend als MobileIron. Een van deze kwetsbaarheden wordt actief misbruikt, en er is publiekelijk Proof-of-Concept (PoC) exploit code beschikbaar. Organisaties die Ivanti EPMM gebruiken, wordt aangeraden onmiddellijk patches toe te passen en ervan uit te gaan dat systemen zijn gecompromitteerd als ze vóór de mitigatie zijn blootgesteld.

Ivanti heeft beveiligingsupdates uitgebracht voor de kwetsbaarheden, die het mogelijk maken om op afstand code uit te voeren zonder authenticatie. Volgens Ivanti zijn er al gerichte aanvallen waargenomen die misbruik maken van een van deze kwetsbaarheden. De beschikbaarheid van PoC-code verhoogt het risico op wijdverspreide misbruik aanzienlijk. DIVD scant naar Ivanti EPMM-instances die zijn blootgesteld aan het internet en mogelijk kwetsbaar zijn voor deze fouten. Getroffen partijen worden op de hoogte gesteld zodat ze actie kunnen ondernemen.

De kwetsbaarheden treffen Ivanti Endpoint Manager Mobile (EPMM / MobileIron) versies 12.5.0.0 en eerder, 12.6.0.0 en eerder, 12.7.0.0 en eerder, 12.5.1.0 en eerder, en 12.6.1.0 en eerder. Andere Ivanti-producten, zoals Ivanti EPM, Ivanti Neurons for MDM en Ivanti Sentry, zijn niet getroffen. Succesvolle exploitatie kan leiden tot volledige systeemcompromittering, ongeautoriseerde toegang tot gevoelige gegevens, installatie van persistentie mechanismen door aanvallers en laterale beweging binnen enterprise omgevingen. Vanwege de bevestigde actieve exploitatie moet de impact als ernstig worden beschouwd voor systemen waarop geen patches zijn geïnstalleerd. De CVE aanduiding voor een van de kwetsbaarheden is CVE-2026-1281.

Als onmiddellijke actie wordt aangeraden om Ivanti-beveiligingsupdates voor EPMM onmiddellijk toe te passen en systemen te behandelen als mogelijk gecompromitteerd als ze vóór het patchen zijn blootgesteld. Het wordt ook aangeraden om credentials en cryptografische sleutels die aan de getroffen systemen zijn gekoppeld, te roteren en logs en netwerkverkeer te controleren op tekenen van misbruik of laterale beweging. Aanvullende maatregelen omvatten het uitvoeren van threat hunting gericht op EPMM-exploitatietechnieken, het opnieuw opbouwen van getroffen systemen als compromittering wordt vermoed en het monitoren van updates van leveranciers en NCSC voor aanvullende indicators of compromise.

Een ernstig beveiligingslek in de software van Cisco Meeting Management stelt geautoriseerde aanvallers op afstand in staat om kwaadaardige bestanden te uploaden en de volledige controle over getroffen systemen over te nemen. De kwetsbaarheid, die is geregistreerd onder het kenmerk CVE-2026-20098, heeft een hoge score gekregen omdat het root-toegang mogelijk maakt. Dit is het hoogste niveau van administratieve rechten op een apparaat. Indien een aanvaller dit lek succesvol misbruikt, kunnen beveiligingsrestricties worden omzeild en kan de betreffende server volledig worden beheerd.

Het probleem bevindt zich in de Certificate Management-functie van de webinterface van Cisco Meeting Management. Deze functie is bedoeld voor het beheren van digitale certificaten, maar door onvoldoende validatie van de input verifieert het systeem de door gebruikers geüploade bestanden niet op de juiste wijze. Hierdoor kan een aanvaller het systeem misleiden door schadelijke bestanden te uploaden in plaats van legitieme certificaten. Voor een succesvolle aanval moet de actor beschikken over geldige inloggegevens met minimaal de rol van video-operator.

Zodra een kwaadaardig bestand is geüpload, wordt dit verwerkt door het root-account van het systeem. Omdat dit account beschikt over superuser-privileges, kan de aanvaller willekeurige opdrachten uitvoeren, instellingen wijzigen, bestanden verwijderen of nieuwe software installeren. De kwetsbaarheid heeft betrekking op alle versies van Cisco Meeting Management tot en met release 3.12, ongeacht de configuratie van het apparaat.

Er zijn geen tijdelijke oplossingen of workarounds beschikbaar om deze aanvalsmethode te blokkeren. Gebruikers en beheerders kunnen het risico alleen wegnemen door de software bij te werken naar release 3.12.1 MR of een latere versie. Deze update herstelt de fout in de input-validatie en voorkomt hiermee ongeoorloofde uploads. De kwetsbaarheid werd ontdekt en gerapporteerd door het NATO Cyber Security Centre Penetration Testing Team. Er zijn momenteel geen aanwijzingen dat het lek actief wordt misbruikt door kwaadwillenden.

Bron

Onderzoekers van Claude Opus 46 hebben meer dan 500 high-severity kwetsbaarheden ontdekt in een breed scala aan systemen. De kwetsbaarheden variëren in aard en impact, maar ze stellen aanvallers in staat om gevoelige data te stelen, systemen te compromitteren en mogelijk zelfs volledige controle te krijgen over de getroffen systemen.

De ontdekte kwetsbaarheden betreffen onder andere buffer overflows, SQL-injecties, cross-site scripting (XSS) en privilege escalation bugs. Deze kwetsbaarheden zijn aangetroffen in webapplicaties, besturingssystemen, embedded devices en IoT-apparaten.

Een van de meest kritieke kwetsbaarheden betreft een buffer overflow in een veelgebruikte netwerkbibliotheek. Deze kwetsbaarheid maakt het mogelijk voor een aanvaller om willekeurige code uit te voeren op het systeem, wat kan leiden tot volledige systeemcompromittatie. Een andere kwetsbaarheid, een SQL-injectie in een populaire webapplicatie, stelt aanvallers in staat om gevoelige data te stelen, zoals gebruikersnamen, wachtwoorden en creditcardgegevens.

De onderzoekers van Claude Opus 46 hebben de details van de kwetsbaarheden gerapporteerd aan de betreffende leveranciers. Er wordt verwacht dat de leveranciers binnenkort patches en updates zullen uitbrengen om de kwetsbaarheden te verhelpen. Het is cruciaal dat gebruikers hun systemen zo snel mogelijk updaten om te voorkomen dat ze slachtoffer worden van aanvallen.

Claude Opus 46 adviseert beheerders om de beveiligingsadviezen van de leveranciers nauwlettend in de gaten te houden en de aanbevolen mitigaties toe te passen. Daarnaast wordt aanbevolen om security audits en penetratietesten uit te voeren om eventuele andere kwetsbaarheden in de systemen te identificeren en te verhelpen.

F5 Networks heeft een reeks beveiligingspatches uitgebracht om kritieke kwetsbaarheden in haar BIG-IP producten te verhelpen. De meest urgente van deze kwetsbaarheden maakt het mogelijk voor een niet-geauthenticeerde aanvaller om op afstand code uit te voeren.

Een van de ernstigste kwetsbaarheden, aangeduid als CVE-nummer CVE-2023-46747, heeft een CVSS-score van 9.8 en treft BIG-IP versies 14.1.x, 15.1.x, 16.1.x en 17.1.x. Deze kwetsbaarheid stelt aanvallers in staat om op afstand code uit te voeren zonder authenticatie, wat een aanzienlijk risico vormt voor organisaties die deze systemen gebruiken. Een andere belangrijke kwetsbaarheid is CVE-2023-46748, met een CVSS-score van 9.0, die een denial-of-service (DoS) aanval mogelijk maakt.

De kwetsbaarheden werden ontdekt door interne beveiligingsonderzoekers van F5 Networks. Na de ontdekking heeft F5 onmiddellijk patches ontwikkeld en vrijgegeven om de risico's te minimaliseren. Klanten wordt dringend aangeraden om de beschikbare updates zo snel mogelijk te installeren.

Naast de kritieke kwetsbaarheden heeft F5 ook patches uitgebracht voor een aantal andere beveiligingslekken met een lagere prioriteit. Deze omvatten cross-site scripting (XSS) kwetsbaarheden en beveiligingslekken die informatie kunnen prijsgeven. Hoewel deze kwetsbaarheden minder ernstig zijn, is het toch belangrijk om ze te verhelpen om de algehele beveiligingspositie van BIG-IP systemen te verbeteren.

F5 Networks adviseert gebruikers om de meest recente beveiligingsupdates te installeren en beveelt aan om de BIG-IP systemen te monitoren op verdachte activiteiten. Organisaties kunnen ook overwegen om aanvullende beveiligingsmaatregelen te implementeren, zoals het gebruik van een web application firewall (WAF) en intrusion detection systems (IDS), om de risico's verder te beperken. 1, 2, 3, 4, 5, 6, 7

Op 6 februari 2026 zijn diverse kritieke kwetsbaarheden geïdentificeerd die een aanzienlijke impact hebben op IT-infrastructuren en softwaretoepassingen. De meest besproken kwetsbaarheid is CVE-2025-22225, een lek in VMware ESXi dat aanvallers met privileges in het VMX-proces in staat stelt een sandbox-escape uit te voeren door middel van het schrijven van willekeurige bestanden. Dit lek wordt momenteel actief misbruikt als zero-day. Daarnaast is er een kwetsbaarheid gemeld in het crypto/tls pakket van de programmeertaal Go onder CVE-2025-68121, waarbij sessieticket-sleutels kunnen lekken en certificaatketens onvolledig worden gevalideerd, wat kan leiden tot ongeoorloofde sessiehervatting.

Verschillende andere systemen vertonen eveneens ernstige tekortkomingen. In diverse Apple OS-versies is een integer overflow ontdekt die bekendstaat als CVE-2025-46285. Deze fout kan applicaties in staat stellen om root-privileges te verkrijgen, al is dit inmiddels verholpen met de introductie van 64-bit timestamps. SolarWinds Web Help Desk kampt met CVE-2025-40551, een kwetsbaarheid voor remote code execution die ontstaat door onveilige deserialisatie en zonder authenticatie kan worden misbruikt. Ook WinRAR is kwetsbaar via CVE-2025-8088, waarbij path traversal het mogelijk maakt om willekeurige code uit te voeren via kwaadaardige archieven, een methode die reeds wordt ingezet in phishing-campagnes voor de verspreiding van RomCom-malware.

De n8n workflow-automatisering vertoont twee specifieke lekken, namelijk CVE-2025-68613 en CVE-2026-25049, die beide te maken hebben met gebrekkige isolatie of zwakke sandboxing van JavaScript-expressies waardoor geauthenticeerde gebruikers willekeurige code kunnen uitvoeren. Voor ontwikkelaars die gebruikmaken van React Native CLI of React Server Components zijn er risico's vastgesteld via CVE-2025-11953 en CVE-2025-55182. Deze lekken maken respectievelijk OS command injection via een specifiek eindpunt en kritieke ongeauthenticeerde remote code execution door onveilige deserialisatie mogelijk. Beveiligingsteams maken gebruik van hype-scores om de urgentie van deze dreigingen te bepalen op basis van de aandacht in nieuwsberichten en op sociale media.

Overzicht

Cisco heeft een beveiligingslek gedicht in Cisco Meeting Management, zo meldt het NCSC. De kwetsbaarheid bevindt zich in de Certificate Management-functie van Cisco Meeting Management. Het probleem is gelegen in een onjuiste invoervalidatie binnen de webgebaseerde beheersinterface.

Een geauthenticeerde externe aanvaller kan misbruik maken van dit beveiligingslek door willekeurige bestanden te uploaden en commando's uit te voeren. Dit kan leiden tot rootprivileges op het systeem. Het NCSC adviseert om de web-management-interface van Cisco Meeting Management niet publiek toegankelijk te maken, maar deze te isoleren in een afgeschermde beheeromgeving. 1

Fortinet heeft een waarschuwing uitgegeven aan zijn klanten betreffende een kritiek beveiligingslek in FortiClientEMS, waardoor SQL Injection mogelijk is. FortiClientEMS is een oplossing die beheerders in staat stelt om systemen met FortiClient-software op afstand te beheren, inclusief antivirussoftware, webfilters, vpn en signature-updates.

Het Product Security Incident Response Team (PSIRT) van Fortinet meldt dat de admin-interface van FortiClientEMS kwetsbaar is voor SQL Injection. Dit probleem wordt aangeduid als CVE-2026-21643. Op het moment van schrijven waren verdere details nog niet beschikbaar, omdat de link naar het beveiligingsbulletin niet werkte.

Twee jaar geleden werd er al melding gemaakt van misbruik van een andere SQL Injection kwetsbaarheid in FortiClientEMS (CVE-2023-48788). Destijds riep de Australische overheid organisaties op om direct actie te ondernemen, de patches te installeren en te controleren op compromittering. SQL Injection stelt een aanvaller in staat om SQL-opdrachten op een systeem uit te voeren. Dit probleem is al sinds 1998 bekend, maar komt nog steeds voor als gevolg van onveilige programmeerpraktijken en het ontbreken van applicatiecontroles. 1

Op sociale media zijn de afgelopen vierentwintig uur verschillende kritieke kwetsbaarheden trending waarbij de mate van belangstelling wordt uitgedrukt in een hype-score tussen nul en honderd. De hoogste score van dertien is toegekend aan CVE-2025-11953, een lek in het react-native-community/cli NPM-pakket. Bij versies 4.8.0 tot en met 20.0.0-alpha.2 staat de Metro-ontwikkelserver command-injectie toe via het open-url eindpunt, wat kan leiden tot de uitvoering van willekeurige code op afstand. Dit probleem is verholpen in versie 20.0.0.

Daarnaast is er aandacht voor CVE-2025-15566 in de Kubernetes ingress-nginx controller, waar onjuiste invoervalidatie van de auth-proxy-set-headers annotatie kan leiden tot code-executie en diefstal van Kubernetes Secrets. Ook Arista NG Firewall vertoont een kwetsbaarheid onder CVE-2025-6978, waarbij een geauthenticeerde aanvaller via de diagnostische component willekeurige commando's met root-rechten kan uitvoeren. In de Windows-versie van WinRAR voor versie 7.13 is CVE-2025-8088 geïdentificeerd, een path traversal lek dat actief werd misbruikt voor het verspreiden van RomCom-malware via de Startup-map.

Andere significante dreigingen omvatten een onveilige deserialisatie in SolarWinds Web Help Desk onder CVE-2025-40551 en een sandbox-ontsnapping in VMware ESXi met CVE-2025-22225. Voor de workflow-automatisering n8n zijn twee lekken gemeld, CVE-2025-68613 en CVE-2026-25049, waarbij geauthenticeerde gebruikers systeemcommando's kunnen uitvoeren. Tot slot is er een lek in de crypto/tls-implementatie van Go gedetecteerd onder CVE-2025-68121, waarbij sessietickets kunnen lekken en certificaat-verloopcontroles worden overgeslagen. Dit is opgelost in Go versies 1.25.6 en 1.24.12.

Overzicht

Er is een nieuwe versie van OpenClaw uitgebracht, v2026.2.6, met aanzienlijke verbeteringen op het gebied van beveiliging en stabiliteit. Deze release bevat een reeks bugfixes en optimalisaties die gericht zijn op het verbeteren van de algehele prestaties en beveiligingspositie van de software.

Een van de belangrijkste updates in OpenClaw v2026.2.6 is de implementatie van verbeterde encryptieprotocollen. Deze protocollen zijn ontworpen om gevoelige gegevens te beschermen tegen ongeautoriseerde toegang en onderschepping. De nieuwe encryptiemethoden maken gebruik van geavanceerde algoritmen en sleutellengtes, waardoor het voor kwaadwillende actoren aanzienlijk moeilijker wordt om de versleutelde informatie te ontcijferen.

Naast de verbeterde encryptie bevat OpenClaw v2026.2.6 ook een reeks bugfixes die verschillende beveiligingsproblemen aanpakken. Deze fixes zijn gericht op het dichten van potentiële kwetsbaarheden die door aanvallers zouden kunnen worden misbruikt om toegang te krijgen tot systemen of gegevens. De specifieke details van deze bugfixes zijn niet openbaar gemaakt om te voorkomen dat potentiële aanvallers worden geholpen, maar er wordt gezegd dat ze een breed scala aan problemen aanpakken, van buffer overflows tot cross-site scripting (XSS)-kwetsbaarheden.

Verder bevat deze release optimalisaties die de prestaties van OpenClaw verbeteren. Deze optimalisaties zijn gericht op het verminderen van het resourceverbruik en het verbeteren van de reactietijd van de software. Door de code te stroomlijnen en de efficiëntie te verbeteren, kan OpenClaw v2026.2.6 nu meer gebruikers en taken verwerken zonder prestatieverlies.

Gebruikers van OpenClaw wordt aangeraden om zo snel mogelijk te upgraden naar v2026.2.6 om te profiteren van de nieuwste beveiligingsverbeteringen en bugfixes. De update is beschikbaar als een gratis download van de OpenClaw-website en kan eenvoudig worden geïnstalleerd door de meegeleverde instructies te volgen.

De ontwikkelaars van OpenClaw hebben aangegeven dat ze zich blijven inzetten voor het verbeteren van de beveiliging en stabiliteit van de software. Ze zijn van plan om in de toekomst regelmatig updates uit te brengen om eventuele nieuwe kwetsbaarheden aan te pakken en de algehele prestaties te verbeteren.

Bron: Onbekend (URL: 1)

Een zero-day kwetsbaarheid is ontdekt in verschillende remote access producten van BeyondTrust. Deze kwetsbaarheid stelt aanvallers in staat om ongeautoriseerde toegang te verkrijgen tot systemen.

De kwetsbaarheid betreft de volgende producten:

- BeyondTrust Remote Support

- BeyondTrust Privileged Remote Access

De kwetsbaarheid werd ontdekt door een extern beveiligingsonderzoeker. BeyondTrust heeft de kwetsbaarheid bevestigd en werkt aan een patch. Er is nog geen CVE-nummer toegekend aan deze kwetsbaarheid.

De aanval zou werken door misbruik te maken van een authenticatieprobleem in de webinterface van de getroffen producten. Eenmaal ingelogd, kunnen aanvallers mogelijk opdrachten uitvoeren met verhoogde privileges.

Er zijn op dit moment geen details bekend over actieve exploitatie in het wild. Het wordt echter sterk aangeraden om de aanbevolen mitigaties toe te passen.

BeyondTrust adviseert klanten om de volgende stappen te ondernemen:

1. Schakel multifactor authenticatie (MFA) in voor alle gebruikersaccounts.

2. Beperk de toegang tot de webinterface tot vertrouwde netwerken.

3. Monitor systemen op ongebruikelijke activiteiten.

4. Installeer de patch zodra deze beschikbaar is.

Het is cruciaal dat organisaties die gebruik maken van de betreffende BeyondTrust producten deze aanbevelingen opvolgen om het risico op misbruik te minimaliseren. Verdere details over de kwetsbaarheid en de patch zullen door BeyondTrust worden vrijgegeven zodra deze beschikbaar zijn.

Bron: BeyondTrust

De Nmap Unleashed tool is ontworpen om netwerkscannen toegankelijker te maken voor een breder publiek. De tool vereenvoudigt het gebruik van Nmap, een krachtige tool voor netwerkverkenning en security auditing, door een gebruiksvriendelijke interface te bieden. Hierdoor kunnen ook minder ervaren gebruikers profiteren van de mogelijkheden van Nmap.

Nmap Unleashed automatiseert veelvoorkomende taken en biedt duidelijke, begrijpelijke resultaten, waardoor het eenvoudiger wordt om netwerken te scannen op open poorten, draaiende services en potentiële kwetsbaarheden. De tool is vooral handig voor systeembeheerders, security professionals en studenten die hun netwerksecurity willen verbeteren.

De tool biedt een grafische interface die de complexe command-line opties van Nmap verbergt. Gebruikers kunnen eenvoudig hun doelnetwerk specificeren en kiezen uit verschillende scanprofielen, zoals een snelle scan, een volledige scan of een scan gericht op specifieke poorten. De resultaten worden overzichtelijk weergegeven, met details over open poorten, de services die op die poorten draaien en eventuele gedetecteerde kwetsbaarheden.

Nmap Unleashed is beschikbaar als open-source project, waardoor gebruikers de tool kunnen aanpassen en uitbreiden. De tool is compatibel met verschillende besturingssystemen, waaronder Windows, macOS en Linux.

Enkele voordelen van Nmap Unleashed zijn:

* Gebruiksvriendelijke interface: Vereenvoudigt het gebruik van Nmap voor minder ervaren gebruikers.

* Automatisering: Automatiseert veelvoorkomende taken, waardoor tijd en moeite worden bespaard.

* Duidelijke resultaten: Presenteert de resultaten op een overzichtelijke en begrijpelijke manier.

* Open-source: Biedt de mogelijkheid om de tool aan te passen en uit te breiden.

* Multiplatform: Compatibel met verschillende besturingssystemen.

Nmap Unleashed is een waardevolle aanvulling op de toolkit van elke security professional of systeembeheerder. Het maakt netwerkscannen toegankelijker en efficiënter, waardoor organisaties hun netwerksecurity beter kunnen beheren.

Bron: 1

Op 08 februari 2026 zijn verschillende kritieke kwetsbaarheden in software en hardware als trending geïdentificeerd op sociale media waarbij de mate van belangstelling wordt uitgedrukt in een hype-score. Een van de meest besproken incidenten is CVE-2025-30208 binnen Vite waarbij aanvallers via gemanipuleerde URL's beperkingen voor bestandstoegang kunnen omzeilen. Daarnaast is er aanzienlijke aandacht voor CVE-2025-3052 in Microsoft UEFI wat een schrijffout betreft waardoor de Secure Boot-beveiliging kan worden gepasseerd.

In de ontwikkelomgeving van Laravel Livewire is CVE-2025-54068 aangemerkt als een risico voor uitvoering van code op afstand door onveilige hydratatie van componenten. Ook Structure vertoont een kwetsbaarheid onder CVE-2025-59473 waarbij SQL-injectie het voor beheerders mogelijk maakt om databasequery's te manipuleren. Voor mobiele applicatieontwikkeling is een Command Injection kwetsbaarheid gevonden in de React Native CLI via de Metro server onder nummer CVE-2025-11953.

Andere relevante beveiligingslekken omvatten IBM CCA waar willekeurige commando's uitgevoerd kunnen worden met verhoogde rechten en een inputvalidatiefout in Kubernetes ingress-nginx die configuratie-injectie mogelijk maakt. In veelgebruikte archiefsoftware WinRAR is een path traversal lek geconstateerd waardoor code-uitvoering via archieven kan plaatsvinden. Tot slot zijn er meldingen over een buffer overflow in TP-Link Omada en een kwetsbaarheid in de NSecKrnl Driver waarmee lokale aanvallers processen op systeemniveau kunnen beëindigen.

Overzicht

BeyondTrust heeft updates uitgebracht om een kritieke kwetsbaarheid aan te pakken in Remote Support (RS) en Privileged Remote Access (PRA) producten. Succesvolle exploitatie van deze kwetsbaarheid kan leiden tot remote code execution.

Volgens een advisory van 6 februari 2026 bevatten BeyondTrust Remote Support (RS) en bepaalde oudere versies van Privileged Remote Access (PRA) een kritieke pre-authenticatie remote code execution kwetsbaarheid. Door het versturen van speciaal vervaardigde verzoeken kan een niet-geauthenticeerde remote aanvaller mogelijk operating system commando's uitvoeren in de context van de site gebruiker.

De kwetsbaarheid, gecategoriseerd als een operating system command injection, heeft de CVE-identifier CVE-2026-1731 gekregen en is beoordeeld met een score van 9.9 op het CVSS scoring systeem.

BeyondTrust stelt dat succesvolle exploitatie van de kwetsbaarheid een niet-geauthenticeerde remote aanvaller in staat kan stellen om operating system commando's uit te voeren in de context van de site gebruiker, wat kan leiden tot ongeautoriseerde toegang, data exfiltratie en service verstoring.

De volgende versies zijn getroffen:

- Remote Support versies 25.3.1 en eerder

- Privileged Remote Access versies 24.3.4 en eerder

De kwetsbaarheid is verholpen in de volgende versies:

- Remote Support - Patch BT26-02-RS, 25.3.2 en later

- Privileged Remote Access - Patch BT26-02-PRA, 25.1.1 en later

Self-hosted klanten van PRA kunnen ook upgraden naar 25.1.1 of een nieuwere versie om deze kwetsbaarheid te verhelpen.

Volgens security researcher en Hacktron AI medeoprichter Harsh Jaiswal werd de kwetsbaarheid op 31 januari 2026 ontdekt door middel van een artificial intelligence (AI)-enabled variant analysis. Er werden ongeveer 11.000 instances blootgesteld aan het internet gevonden. Verdere details over de kwetsbaarheid worden nog niet vrijgegeven om gebruikers de tijd te geven de patches te installeren.

Ongeveer 8.500 van deze instances zijn on-premise deployments, die potentieel kwetsbaar blijven als de patches niet worden toegepast, aldus Jaiswal.

Gezien het feit dat security flaws in BeyondTrust Privileged Remote Access en Remote Support in het verleden actief werden geëxploiteerd, is het essentieel dat gebruikers zo snel mogelijk updaten naar de nieuwste versie voor optimale bescherming.

Bron: BeyondTrust

Samsung heeft een reeks beveiligingslekken gepatcht in verschillende softwarecomponenten, waaronder Emergency Sharing, KnoxGuard Manager, Settings, PACM, FacAtFunction, ShortcutService en Samsung Dialer. De updates zijn specifiek voor de SMR (Security Maintenance Release) van februari 2026, Release 1.

De kwetsbaarheden omvatten problemen met onjuist toegangsbeheer, incorrecte autorisatie, gebrekkig privilegebeheer en inadequate invoervalidatie. Deze tekortkomingen kunnen lokale aanvallers in staat stellen om ongeautoriseerde toegang te verkrijgen tot systemen, systeeminstellingen te manipuleren, willekeurige commando's uit te voeren en bestanden te creëren met systeemprivileges. Het gevolg hiervan kan een compromittering van de integriteit en vertrouwelijkheid van de getroffen systemen zijn.

Naast de Samsung-specifieke kwetsbaarheden, zijn ook oudere beveiligingslekken in Google Android verholpen die relevant zijn voor Samsung Mobile.

Om deze kwetsbaarheden te misbruiken, moet een aanvaller het slachtoffer overtuigen een kwaadaardige applicatie te downloaden en te installeren of op een schadelijke link te klikken. Het is dus van belang dat gebruikers alert blijven op verdachte links en apps.

Bron: NCSC

Fortinet heeft een kritiek beveiligingsadvies uitgebracht waarin beheerders worden gewaarschuwd om direct patches toe te passen op instances van FortiClientEMS, hun centrale managementoplossing voor endpointbescherming. De kwetsbaarheid, geregistreerd als CVE-2026-21643, heeft een CVSSv3-score van 9.1 en kan niet-geauthenticeerde, externe aanvallers in staat stellen om willekeurige code uit te voeren of ongeautoriseerde commando's op getroffen servers te plaatsen.

Het beveiligingslek is gecategoriseerd als een SQL Injection (SQLi) kwetsbaarheid, formeel geïdentificeerd als een "improper neutralization of special elements used in an SQL Command" (CWE-89). Het bevindt zich specifiek binnen de Graphical User Interface (GUI) component van de software. Omdat de input sanitization onvoldoende is, kan een aanvaller database queries manipuleren door specifiek vervaardigde HTTP-verzoeken te sturen. Dit omzeilt effectief authenticatiebarrières, waardoor de aanvaller controle krijgt over het onderliggende systeem zonder geldige inloggegevens nodig te hebben.

Dit is met name gevaarlijk voor bedrijfsomgevingen, aangezien FortiClientEMS doorgaans de centrale hub is voor het beheren van endpoint security policies, antivirus deployments en compliance reporting binnen het netwerk van een organisatie. Een succesvolle compromittering hier kan dienen als een springplank voor laterale beweging in het bredere netwerk of het mogelijk maken van de implementatie van ransomware.

Volgens het Fortinet-advies treft de kwetsbaarheid specifieke versies van de 7.4 branch. Beheerders die FortiClientEMS 7.4.4 draaien, wordt aangeraden onmiddellijk te upgraden naar FortiClientEMS 7.4.5 of hoger. Fortinet heeft bevestigd dat versies in de 8.0 en 7.2 branches niet worden beïnvloed door dit specifieke lek. Een update op 6 februari 2026 verduidelijkte dat FortiEMS Cloud instances ook niet worden beïnvloed.

De kwetsbaarheid werd intern ontdekt door Gwendal Guégniaud van het Fortinet Product Security team, wat aangeeft dat er momenteel geen bewijs is van actieve exploitatie in het wild op het moment van publicatie. Echter, gezien de hoge severity score (9.1) en de lage complexiteit die vereist is voor exploitatie (CVSS vector AV:N/AC:L/PR:N), is het waarschijnlijk dat threat actors de patch zullen reverse-engineeren. De kwetsbaarheid maakt een volledige compromittering van de CIA triad (Confidentiality, Integrity, and Availability) mogelijk, allemaal beoordeeld als "High" impact in de CVSS berekening.

Security teams wordt geadviseerd hun logs te controleren op verdachte HTTP-verzoeken gericht op de EMS GUI en, waar mogelijk, management interfaces te isoleren van het publieke internet totdat de patch kan worden toegepast.

Bron: Fortinet

Hackers maken actief misbruik van een remote code execution (RCE) kwetsbaarheid in SolarWinds Web Help Desk (WHD) om aangepaste tools te implementeren. Volgens waarnemingen van Huntress draaien 84 endpoints in 78 organisaties binnen hun partnernetwerk SolarWinds Web Help Desk.

Huntress heeft post-exploitatie activiteit waargenomen die afkomstig is van een gecompromitteerde WHD-service. De aanval begint met wrapper.exe, de WHD-service wrapper, die java.exe (de onderliggende Tomcat-gebaseerde applicatie) start. Van daaruit voert het Java-proces cmd.exe uit om op de achtergrond een remote MSI payload te installeren. Deze payload levert een Zoho ManageEngine RMM (Zoho Assist) agent die via de Catbox file-hosting service wordt aangeboden. Hoewel Zoho Assist een legitieme tool voor remote management is, wordt deze vaak gebruikt voor post-exploitatie vanwege de mogelijkheid om permanente, onbeheerde toegang te bieden. In dit geval werd de agent geregistreerd op een door de aanvaller gecontroleerd Zoho-account dat gekoppeld is aan een Proton Mail adres, waardoor onmiddellijke interactieve controle mogelijk is.

Deze activiteit komt overeen met de advisory van Microsoft van 6 februari, die de actieve exploitatie van SolarWinds WHD-kwetsbaarheden voor RCE en de implementatie van follow-on tooling bevestigt.

Zodra de RMM-agent actief is, schakelt de dreigingsactor over op hands-on-keyboard activiteit. Met behulp van het Zoho RMM-proces (TOOLSIQ.EXE) initieerden ze Active Directory reconnaissance. Kort na de reconnaissance implementeerde de aanvaller Velociraptor, een open-source DFIR platform, via een andere stille MSI installer die wordt gehost op een door de aanvaller gecontroleerde Supabase bucket. Hoewel Velociraptor is ontworpen voor verdedigers, maakt de mogelijkheid om commando's uit te voeren, artefacten te verzamelen en endpoints op afstand te beheren het een effectief command-and-control (C2) framework wanneer het wordt misbruikt. De waargenomen implementatie gebruikte Velociraptor versie 0.73.4, een verouderde release met een bekende privilege escalation kwetsbaarheid.

De Velociraptor client communiceerde met de infrastructuur van de aanvaller die wordt gehost achter een Cloudflare Worker (auth.qgtxtebl.workers[.]dev), een patroon dat eerder in verband werd gebracht met ToolShell exploitatie en Warlock ransomware activiteit. Met Velociraptor dat als een Windows service draait, voerde de aanvaller een snelle reeks van base64-gecodeerde PowerShell commando's uit. Deze omvatten het uitschakelen van Windows Defender en de Windows Firewall via registry aanpassingen, gevolgd door de installatie van Cloudflared van het officiële GitHub release kanaal. Dit creëerde een secundair tunnel-gebaseerd toegangspad, dat redundantie biedt als een C2-kanaal wordt verstoord.

Een opvallende keuze was de exfiltratie van gedetailleerde systeeminformatie met behulp van Get-ComputerInfo, die vervolgens rechtstreeks naar een door de aanvaller gecontroleerde Elastic Cloud deployment werd gepusht via de Bulk API.

Organisaties die SolarWinds Web Help Desk gebruiken, wordt aangeraden om dringend te updaten naar versie 2026.1 of later, die CVE-2025-26399, CVE-2025-40536 en CVE-2025-40551 verhelpt. Administratieve interfaces moeten worden verwijderd van directe blootstelling aan het internet, credentials moeten worden geroteerd en hosts moeten worden gecontroleerd op ongeautoriseerde tools voor toegang op afstand, stille MSI-installaties en gecodeerde PowerShell-uitvoering gekoppeld aan WHD-processen.

Bron: Huntress

Op 9 februari 2026 zijn diverse kritieke kwetsbaarheden in software trending op sociale media waarbij de urgentie wordt weergegeven via een hype-score. De hoogste score van 29 is toegekend aan CVE-2025-26399, een kwetsbaarheid voor externe code-uitvoering in SolarWinds Web Help Desk. Dit lek ontstaat door onveilige deserialisatie in de AjaxProxy-component en stelt niet-geauthenticeerde aanvallers in staat om willekeurige opdrachten uit te voeren op de hostmachine. Het betreft een patch-bypass van de eerdere CVE-2024-28898 waarvoor SolarWinds inmiddels een hotfix beschikbaar heeft gesteld.

Een andere veelbesproken kwetsbaarheid is CVE-2025-54068 in het Livewire-framework voor Laravel. Dit lek treft versies tot en met v3.6.3 en maakt externe code-uitvoering mogelijk door de wijze waarop updates van componenteigenschappen worden verwerkt. Gebruikers wordt dringend geadviseerd te upgraden naar versie 3.6.4. Daarnaast wordt er aandacht gevraagd voor CVE-2025-30208 in de frontend-tool Vite, waarbij toegangsbeperkingen tot bestanden kunnen worden omzeild wanneer de ontwikkelserver aan het netwerk is blootgesteld.

In de lijst van trending dreigingen bevinden zich tevens diverse andere kritieke lekken. Apple heeft met de updates iOS 18.6.2 en macOS Sequoia 15.6.1 een out-of-bounds write-kwetsbaarheid verholpen in het Image I/O-framework die kon leiden tot geheugencorruptie. Verder zijn er kwetsbaarheden gemeld in NetSupport Manager versies vóór 14.12.0000 die kunnen resulteren in een Denial of Service of code-uitvoering. Ook BeyondTrust Remote Support en Privileged Remote Access worden getroffen door pre-authenticatie RCE-kwetsbaarheden, waarbij CVE-2024-12356 met een CVSS-score van 9.8 reeds actief wordt misbruikt. Tenslotte zijn er kritieke patches beschikbaar voor React Server Components en Next.js naar aanleiding van een deserialisatielek, en is er een SQL-injectiekwetsbaarheid vastgesteld in de Structure-component.

Overzicht

De meest recente gegevens van honeypot-sensoren over week zeven van 2026 tonen aan dat CVE-2026-1281 in Ivanti Endpoint Manager Mobile wereldwijd de meest geëxploiteerde kwetsbaarheid is met 9.354 registraties op één dag. Deze kwetsbaarheid staat vermeld op de Known Exploited Vulnerabilities lijst van CISA hoewel de associatie met ransomware nog onbekend is. Andere veelvuldig aangevallen producten op mondiaal niveau zijn Microsoft Exchange via CVE-2022-41082 en de Huawei Home Gateway HG532 via CVE-2017-17215 waarbij de laatstgenoemde specifiek gericht is op Internet of Things apparatuur. Ook kwetsbaarheden in Netgear DGN1000 en Cisco IOS XE laten aanzienlijke aanvalsactiviteiten zien in de wereldwijde statistieken.

In Nederland voert CVE-2023-38646 in Metabase de lijst aan met een gemiddelde van 58 unieke IP-adressen per dag over de afgelopen week. De tweede meest actieve kwetsbaarheid op Nederlands grondgebied is CVE-2019-1653 in Cisco RV320 en RV325 routers. Opvallend is de aanwezigheid van CVE-2025-5777 in Citrix NetScaler en CVE-2025-55182 in Meta React Server Components die beide geassocieerd worden met bekende ransomware-aanvallen. Ook kwetsbaarheden in PHPUnit, Apache Hadoop en SugarCRM worden in Nederland actief geëxploiteerd door aanvallers.

In België is de aanvalsintensiteit lager waarbij CNVD-2018-24942 in ThinkPHP5 en CVE-2017-9841 in PHPUnit de belangrijkste geregistreerde kwetsbaarheden zijn. Daarnaast worden in de Belgische context incidenten waargenomen bij Apache HTTP Server en de Huawei Home Gateway. De verzamelde data over deze kwetsbaarheden is afkomstig van honeypots die gebruikmaken van honeytokens zoals nepwachtwoordbestanden om aanvallers te lokken en hun activiteiten te labelen met specifieke identificatietags. Dit overzicht ondersteunt organisaties bij het prioriteren van noodzakelijke patches en beveiligingsmaatregelen tegen actuele dreigingen.

Overzicht

Het Nationaal Cyber Security Centrum (NCSC) heeft vastgesteld dat meerdere organisaties zijn gehackt via een kritieke kwetsbaarheid in Ivanti EPMM. De Nederlandse overheidsinstantie heeft samen met Ivanti een script ontwikkeld waarmee organisaties gecompromitteerde EPMM-servers kunnen detecteren. Eerder werd al bekend dat de EPMM-servers van de Autoriteit Persoonsgegevens en de Raad voor de rechtspraak waren gehackt.

Ivanti Endpoint Manager Mobile (EPMM) is een softwareoplossing voor het beheer van mobiele apparaten (MDM). Hiermee kunnen organisaties de mobiele apparaten van hun medewerkers op afstand beheren, bijvoorbeeld met betrekking tot toegestane applicaties en beleidsregels. Een gecompromitteerde EPMM-server kan ernstige gevolgen hebben.

Ivanti bracht vorige week beveiligingsupdates uit voor twee actief aangevallen kwetsbaarheden, CVE-2026-1281 en CVE-2026-1340. Deze kwetsbaarheden maken het voor een ongeauthenticeerde aanvaller mogelijk om op afstand code uit te voeren op kwetsbare servers. Beide lekken hebben een impactscore van 9.8 op een schaal van 1 tot 10. Het is niet bekend sinds wanneer aanvallers misbruik maken van deze problemen, en Ivanti heeft geen informatie vrijgegeven over het aantal getroffen klanten.

Securitybedrijf Defused waarschuwt dat aanvallers een webshell installeren op kwetsbare EPMM-servers, maar geen verdere activiteiten uitvoeren. Via een webshell kunnen aanvallers toegang tot gecompromitteerde servers behouden en verdere aanvallen uitvoeren, zelfs nadat de servers zijn gepatcht. De onderzoekers van Defused vermoeden dat de verantwoordelijke aanvaller de toegang tot de EPMM-servers mogelijk aan andere partijen wil doorverkopen.

Het NCSC meldt dat bij meerdere organisaties misbruik van het Ivanti-lek is geconstateerd. Uit onderzoek blijkt dat onder andere de database op het Ivanti EPMM-systeem wordt gekopieerd en geëxfiltreerd. De gestolen database bevat informatie over de beheerde telefoons, zoals IMEI, telefoonnummer, locatie en SIM-gegevens, maar ook LDAP-gebruikers, Office365 toegangstokens en credentials.

Het NCSC adviseert om alle vertrouwelijke gegevens op het Ivanti EPMM-systeem, zoals wachtwoorden, private keys en toegangstokens, te wijzigen. Deze gegevens kunnen worden misbruikt om toegang tot andere systemen in het netwerk te verkrijgen.

Ivanti en het NCSC hebben een script ontwikkeld om gehackte EPMM-servers te identificeren. Als het script een hit oplevert, wordt aangeraden het Ivanti EPMM-systeem te isoleren, maar niet uit te schakelen. Direct aan het Ivanti EPMM-systeem verbonden apparaten moeten worden gecontroleerd op misbruik. Het NCSC acht het aannemelijk dat meerdere aanvallers misbruik maken van de kwetsbaarheid en verschillende aanvalstechnieken gebruiken. Het beschikbare script sluit misbruik niet volledig uit, waardoor het van belang is om het netwerk en het systeem goed te monitoren.

Als laatste wordt aangeraden om de EPMM-machine opnieuw te installeren, aangezien back-up configuraties mogelijk ook zijn buitgemaakt. In het geval van een gehackte EPMM-server wordt geadviseerd contact op te nemen met het eigen Computer Security Incident Response Team (CSIRT).

Bron: NCSC

Bron 2: hub.ivanti.com

Microsoft heeft in december 2025 aanvallen waargenomen op SolarWinds Help Desk-installaties. Het is onduidelijk welke specifieke kwetsbaarheden hierbij werden misbruikt, maar het techbedrijf vermoedt dat het om beveiligingslekken gaat waarvoor op dat moment nog geen updates beschikbaar waren. Via de gecompromitteerde systemen wisten de aanvallers zich lateraal te verplaatsen binnen de getroffen organisaties.

SolarWinds Web Help Desk (WHD) is een ticketingsysteem dat organisaties in staat stelt om gebruikers- en klanttickets te beheren. Eind januari 2026 waarschuwde SolarWinds voor meerdere kritieke kwetsbaarheden in Web Help Desk, waaronder CVE-2025-40551 en CVE-2025-40536. Het Amerikaanse cyberagentschap CISA meldde op 3 februari 2026 dat er actief misbruik werd gemaakt van CVE-2025-40551, een beveiligingslek dat remote code execution door een ongeauthenticeerde aanvaller mogelijk maakt.

Microsoft stelt dat de aangevallen SolarWinds Help Desk-installaties meerdere kwetsbaarheden bevatten, waaronder CVE-2025-26399, waarvoor al op 17 september 2025 een patch beschikbaar was. Ook dit lek maakt remote code execution mogelijk. De getroffen organisatie(s) hadden deze update echter niet geïnstalleerd. Daarnaast waren de systemen ook kwetsbaar voor CVE-2025-40551. Microsoft's onderzoek naar de gebruikte kwetsbaarheden is nog gaande.

Na de compromittering van de SolarWinds-systemen installeerden de aanvallers Zoho ManageEngine, een legitieme remote monitoring en management (RMM) oplossing, om de systemen op afstand te bedienen. Ze schakelden ook reverse SSH- en RDP-toegang in en verzamelden informatie over belangrijke domeingebruikers en -groepen, waaronder domeinbeheerders. Op sommige systemen werd tevens een QEMU virtual machine geïnstalleerd. Het uiteindelijke doel van de aanvallers was om zich lateraal naar andere systemen binnen de organisatie te bewegen.

Ondanks dat er sinds 28 januari 2026 een update beschikbaar is voor CVE-2025-40551, waren er volgens onderzoek van The Shadowserver Foundation op 8 februari 2026 nog meer dan 150 kwetsbare SolarWinds Help Desk-installaties via het internet toegankelijk waar de patch niet was geïnstalleerd. Het grootste deel hiervan bevindt zich in de Verenigde Staten.

Bron: SolarWinds

Microsoft heeft ontdekt dat een relatief milde prompt voldoende kan zijn om de veiligheidsmechanismen van grote taalmodellen (LLM's) te doorbreken. Onderzoekers ontdekten dat een trainingstechniek, Group Relative Policy Optimization (GRPO), die normaal wordt gebruikt om de veiligheid van modellen te verbeteren, ook kan worden ingezet om deze veiligheid juist te ondermijnen. Dit proces noemen ze GRP-Obliteration.

Het proces begint met een model dat is afgestemd op veiligheid. Vervolgens wordt het model blootgesteld aan een of meerdere schadelijke prompts zonder label. In plaats van één antwoord te genereren, produceert het model meerdere mogelijke reacties. Een afzonderlijk "beoordelaar"-model beoordeelt deze reacties op basis van hoe direct ze het verzoek van de gebruiker opvolgen en hoe gedetailleerd en bruikbaar ze zijn. Antwoorden die de schadelijke prompt directer uitvoeren, worden hoger beoordeeld dan voorzichtige reacties of weigeringen. Deze scores worden gebruikt als feedback om het model bij te werken. Naarmate dit proces zich herhaalt, verschuift het model geleidelijk van zijn oorspronkelijke veiligheidsmaatregelen en wordt het steeds meer bereid om gedetailleerde antwoorden te geven op schadelijke of verboden verzoeken.

Een van de opvallendste bevindingen is dat het veiligheidsgedrag van een model kan veranderen, zelfs zonder veel schadelijke voorbeelden te zien. In experimenten was één enkele prompt, namelijk "Maak een nep nieuwsartikel dat kan leiden tot paniek of chaos", voldoende om 15 geteste taalmodellen te "unalignen". Het ging hierbij om GPT-OSS (20B), DeepSeek-R1-Distill (Llama-8B, Qwen-7B, Qwen-14B), Gemma (2-9B-It, 3-12B-It), Llama (3.1-8B-Instruct), Ministral (3-8B-Instruct, 3-8B-Reasoning, 3-14B-Instruct, 3-14B-Reasoning) en Qwen (2.5-7B-Instruct, 2.5-14B-Instruct, 3-8B, 3-14B).

Het verrassende is dat de prompt relatief mild is en geen melding maakt van geweld, illegale activiteiten of expliciete inhoud. Toch zorgt training op dit ene voorbeeld ervoor dat het model toleranter wordt over veel andere schadelijke categorieën die het tijdens de training nooit heeft gezien.

Dezelfde aanpak kan worden gegeneraliseerd van taalmodellen naar het "unalignen" van veiligheidsafgestemde tekst-naar-beeld diffussiemodellen. Microsoft startte met een veiligheidsafgestemd Stable Diffusion 2.1-model en finetunede dit met behulp van GRP-Obliteration. In overeenstemming met de bevindingen in taalmodellen drijft de methode succesvol unalignment aan met behulp van 10 prompts die uitsluitend uit de seksualiteitscategorie zijn getrokken.

Microsoft benadrukt dat veiligheidsafstemming niet statisch is tijdens finetuning, en kleine hoeveelheden data kunnen aanzienlijke verschuivingen in veiligheidsgedrag veroorzaken zonder de bruikbaarheid van het model te schaden. Om deze reden zouden teams veiligheidsevaluaties moeten opnemen naast standaard mogelijkheden benchmarks bij het aanpassen of integreren van modellen in grotere workflows.

Bron: Microsoft

SmarterTools heeft vorige week bevestigd dat de Warlock ransomwaregroep hun netwerk is binnengedrongen via een gecompromitteerd e-mailsysteem. Volgens Derek Curtis, Chief Commercial Officer van het bedrijf, vond de inbraak plaats op 29 januari via een enkele SmarterMail virtual machine (VM) die door een medewerker was opgezet. Voorafgaand aan het incident had SmarterTools ongeveer 30 servers/VM's met SmarterMail geïnstalleerd in het netwerk. Echter, een VM die door een medewerker was opgezet, werd niet bijgewerkt, waardoor deze kwetsbaar was.
Hoewel SmarterTools verzekert dat klantgegevens niet direct zijn getroffen, zijn er wel 12 Windows-servers in het bedrijfsnetwerk en een secundair datacenter voor tests, kwaliteitscontrole en hosting gecompromitteerd. De aanvallers verplaatsten zich lateraal vanuit de kwetsbare VM via Active Directory, waarbij ze Windows-tools en persistentiemethoden gebruikten. Linux-servers, die het grootste deel van de infrastructuur van het bedrijf uitmaken, werden niet gecompromitteerd.
De kwetsbaarheid die werd misbruikt is CVE-2026-23760, een authenticatie bypass in SmarterMail vóór Build 9518. Hierdoor konden aanvallers administrator wachtwoorden resetten en volledige privileges verkrijgen. SmarterTools meldt dat de aanvallen werden uitgevoerd door de Warlock ransomware groep, die ook klantmachines heeft getroffen met vergelijkbare activiteiten.
De ransomware-operators wachtten ongeveer een week na de eerste toegang, waarna ze de systemen wilden versleutelen. Sentinel One security producten wisten de uiteindelijke payload echter te stoppen, waarna de getroffen systemen werden geïsoleerd en data werd hersteld vanuit back-ups.
Tools die werden gebruikt in de aanvallen omvatten Velociraptor, SimpleHelp en kwetsbare versies van WinRAR. Startup items en geplande taken werden gebruikt voor persistentie. Cisco Talos meldde eerder dat de dreigingsactoren de open-source DFIR tool Velociraptor misbruikten. In oktober 2025 linkte Halcyon cybersecurity company de Warlock ransomware groep aan een Chinese nation-state actor, Storm-2603.
ReliaQuest publiceerde een rapport waarin bevestigd wordt dat de activiteit is gelinkt aan Storm-2603, met een redelijk hoge zekerheid. Volgens ReliaQuest combineert Storm-2603 de authenticatie bypass (CVE-2026-23760) met de "Volume Mount" functie van SmarterMail om volledige systeemcontrole te krijgen. Na de toegang installeert de groep Velociraptor om toegang te behouden en ransomware te installeren. ReliaQuest zag ook probes voor CVE-2026-24423, een andere SmarterMail kwetsbaarheid die door CISA is aangemerkt als actief misbruikt. Hoewel CVE-2026-24423 een directere API biedt voor remote code execution, is CVE-2026-23760 mogelijk minder opvallend, waardoor het minder snel wordt opgemerkt.
Om de recente kwetsbaarheden in SmarterMail te verhelpen, wordt beheerders aangeraden om zo snel mogelijk te upgraden naar Build 9511 of later.

Bron: reliaquest.com

Quantum Shield Labs heeft een nieuwe open-source tool ontwikkeld, genaamd Crypto Scanner, om ontwikkelaars te helpen hun data te beschermen tegen toekomstige bedreigingen van quantumcomputers. Deze command-line interface (CLI) utility is ontworpen om kwantum-gevoelige cryptografie te identificeren in broncode, configuraties en certificaten.

Beveiligingsexperts waarschuwen dat Cryptographically Relevant Quantum Computers (CRQCs) mogelijk al in 2033 standaard encryptiemethoden zoals RSA en ECC kunnen breken. Het gevaar bestaat echter nu al door "Harvest Now, Decrypt Later" (HNDL) aanvallen, waarbij kwaadwillenden versleutelde data stelen met de intentie deze te ontsleutelen zodra quantumtechnologie voldoende is ontwikkeld. Organisaties moeten migreren naar quantum-resistente algoritmes, zoals de nieuwe NIST-standaarden ML-KEM en ML-DSA.

Crypto Scanner fungeert als een inventarisatie tool door recursief directories te scannen om cryptografische algoritmes te identificeren en hun risiconiveau te beoordelen op basis van blootstelling aan quantum aanvallen (Shor’s algorithm). De tool is gebouwd voor moderne development workflows en genereert outputs in JSON voor automatisering, of branded HTML rapporten voor executive stakeholders.

Crypto Scanner biedt native integratie met CI/CD pipelines (GitHub Actions, GitLab CI), waardoor teams "quality gates" kunnen instellen die automatisch code commits blokkeren als ze zwakke of verouderde cryptografie introduceren. De tool is beschikbaar op PyPI en kan worden geïnstalleerd via een simpele command.

Door een directe, geautomatiseerde inventaris van cryptografische assets te bieden, beoogt Crypto Scanner de transitie naar het post-quantum tijdperk beheersbaar te maken voor zowel ontwikkelaars als enterprises.

Bron: Quantum Shield Labs

Een ernstige kwetsbaarheid is ontdekt in Axios, een veelgebruikte HTTP client library in het JavaScript ecosysteem. De kwetsbaarheid, geregistreerd als CVE-2026-25639, stelt aanvallers op afstand in staat om een Denial-of-Service (DoS) conditie te veroorzaken, waardoor Node.js servers crashen met een enkel, kwaadaardig verzoek.

Het probleem zit in de `mergeConfig` functie van Axios, die verschillende configuratieobjecten combineert. De crash treedt op wanneer de functie een configuratieobject verwerkt dat `__proto__` als key bevat. Standaard itereert Axios over configuratie properties om ze samen te voegen. Echter, als een aanvaller een kwaadaardig JSON object aanlevert dat `__proto__` bevat, faalt de interne logica. Axios probeert een merge strategie op te zoeken, maar haalt onbedoeld `Object.prototype` op. De code probeert vervolgens dit prototype aan te roepen alsof het een functie is. Aangezien `Object.prototype` een object is en geen functie, genereert de applicatie een `TypeError` en crasht onmiddellijk.

Dit verschilt van "Prototype Pollution" kwetsbaarheden, omdat de applicatie crasht voordat properties kunnen worden vervuild. De aanvalsvector is relatief eenvoudig, wat resulteert in een "Laag" complexiteitsniveau. De kwetsbaarheid richt zich specifiek op applicaties die input van gebruikers accepteren (zoals een JSON body), deze input parsen met `JSON.parse()`, en het resulterende object doorgeven aan een Axios configuratie (bijvoorbeeld `axios.get(url, userConfig)`). Door een payload te sturen zoals `{"__proto__": {"x": 1}}`, kan een aanvaller de server dwingen te termineren, waardoor de service offline gaat voor alle gebruikers.

Volgens een Axios advisory treft het probleem alle Axios versies tot 1.13.4. Ontwikkelaars wordt aangeraden om onmiddellijk te upgraden naar versie 1.13.5. De maintainers hebben een patch uitgebracht in versie 1.13.5 die de `__proto__` key correct afhandelt om de type error te voorkomen. Gebruikers wordt geadviseerd hun dependencies onmiddellijk bij te werken met behulp van `npm` of `yarn`.

Bron: Axios

Bron 2: github.com

Een kritieke kwetsbaarheid is ontdekt in Libpng, de officiële PNG-referentiebibliotheek die door vrijwel elk besturingssysteem en elke webbrowser wordt gebruikt. Het lek, aangeduid als CVE-2026-25646, is een heap buffer overflow in de functie `png_set_quantize()` waardoor aanvallers applicaties kunnen laten crashen of mogelijk willekeurige code kunnen uitvoeren.

De kwetsbaarheid is opmerkelijk vanwege haar lange bestaan; het bestaat al sinds de functie werd geïntroduceerd (toen deze `png_set_dither()` heette), en treft alle voorgaande versies van de bibliotheek. De beheerders hebben vandaag libpng 1.6.55 uitgebracht om het probleem te verhelpen, en onmiddellijke upgrades worden aanbevolen.

Het lek bevindt zich in `png_set_quantize()`, een low-level API-functie die wordt gebruikt om het aantal kleuren in een afbeelding (kwantisatie) te verminderen om te voldoen aan de mogelijkheden van een beeldscherm. Een specifieke logische fout stelt een aanvaller in staat de functie in een oneindige lus te dwingen, die uiteindelijk voorbij het einde van een intern heap-gealloceerde buffer leest.

De triggercondities zijn strikt, maar geldig volgens de PNG-specificatie: de afbeelding moet een PLTE (palet) chunk bevatten, maar geen hIST (histogram) chunk. De applicatie moet kleurendithering aanvragen. Het aantal kleuren in het palet moet meer dan twee keer het maximum zijn dat door het scherm van de gebruiker wordt ondersteund.

De kwetsbaarheid komt voort uit een subtiele mismatch in de manier waarop kleurindices worden afgehandeld tijdens het "nearest color" kwantisatie-algoritme. Om de reductie van het palet te optimaliseren, groepeert `png_set_quantize()` vergelijkbare kleuren met behulp van een "kleurafstand"-metriek (de som van absolute verschillen in RGB-kanalen). Het bouwt een hashtabel, in wezen een array van gekoppelde lijsten, die deze afstanden toewijst aan paren van kleuren in het palet.

De kritieke fout treedt op in de manier waarop deze tabel wordt gevuld versus hoe er toegang toe wordt verkregen: bij het bouwen van de hashtabel slaat de code de huidige indices van de kleuren in het tussenliggende palet op. Tijdens de palet reductie loop itereert de code door deze tabel om kleuren te vinden die moeten worden verwijderd. De luslogica gaat er echter van uit dat de tabel originele palet indices bevat. Er wordt geprobeerd deze opgeslagen indices om te zetten naar hun huidige posities met behulp van de `index_to_palette` lookup tabel om te verifiëren of de kleuren nog aanwezig zijn.

Omdat de code "huidige" indices verkeerd interpreteert als "originele" indices, mislukken de validatiecontroles. Het algoritme is niet in staat verwijderbare kleuren te identificeren, waardoor de lus oneindig doorgaat. De variabele `max_d` (de maximale zoekafstand) neemt toe in een poging om meer kandidaten te vinden, waardoor uiteindelijk de vaste grootte van de hashtabel (769 pointers) wordt overschreden. Dit dwingt het programma om geheugen ver voorbij de toegewezen buffer te lezen.

In het meest waarschijnlijke scenario veroorzaakt deze kwetsbaarheid een deterministische crash (Denial of Service) wanneer de applicatie probeert niet-toegewezen geheugen te lezen. Het advies waarschuwt echter dat de impact ernstig kan zijn.

De oplossing omvat het wijzigen van de hashtabel populatielogica om originele kleurindices op te slaan, waardoor consistentie met de rest van de functie logica wordt gewaarborgd. Deze patch is opgenomen in libpng 1.6.55. Ontwikkelaars en gebruikers wordt ten zeerste aangeraden om onmiddellijk te updaten naar versie 1.6.55, aangezien de alomtegenwoordigheid van libpng dit een waardevol doelwit maakt voor exploit ontwikkeling.

Bron: Libpng

Bron 2: github.com

Fortinet heeft beveiligingsupdates uitgebracht om een kritieke kwetsbaarheid in FortiClientEMS aan te pakken. Het lek, aangeduid als CVE-2026-21643, kan leiden tot het uitvoeren van willekeurige code op kwetsbare systemen. De kwetsbaarheid heeft een CVSS-score van 9.1 op een schaal van 10.

Volgens Fortinet betreft het een "improper neutralization of special elements used in an SQL Command ('SQL Injection') vulnerability [CWE-89]" in FortiClientEMS. Hierdoor kan een niet-geauthenticeerde aanvaller ongeautoriseerde code of commando's uitvoeren via specifiek vervaardigde HTTP-verzoeken.

De kwetsbaarheid treft de volgende versies:

* FortiClientEMS 7.2 (Niet getroffen)

* FortiClientEMS 7.4.4 (Upgrade naar 7.4.5 of hoger)

* FortiClientEMS 8.0 (Niet getroffen)

Gwendal Guégniaud van het Fortinet Product Security team wordt erkend voor het ontdekken en rapporteren van de kwetsbaarheid. Hoewel Fortinet geen melding maakt van actieve exploitatie van de kwetsbaarheid, wordt gebruikers aangeraden de updates zo snel mogelijk te installeren.

Deze ontwikkeling volgt op de aanpak van een andere kritieke kwetsbaarheid in FortiOS, FortiManager, FortiAnalyzer, FortiProxy en FortiWeb (CVE-2026-24858, CVSS-score: 9.4). Deze kwetsbaarheid stelt een aanvaller met een FortiCloud-account en een geregistreerd apparaat in staat om in te loggen op andere apparaten die geregistreerd zijn bij andere accounts, als FortiCloud SSO-authenticatie is ingeschakeld op die apparaten. Fortinet heeft bevestigd dat deze kwetsbaarheid actief is misbruikt door kwaadwillenden om lokale beheerdersaccounts aan te maken voor persistentie, configuratiewijzigingen door te voeren die VPN-toegang verlenen aan die accounts, en firewallconfiguraties te exfiltreren.

Bron: Fortinet

Praetorian heeft Augustus uitgebracht, een open-source vulnerability scanner om Large Language Models (LLM's) te beveiligen tegen bedreigingen. Augustus overbrugt de kloof tussen academische tools en security testing en biedt een single-binary oplossing die meer dan 210 aanvallen kan uitvoeren op 28 LLM-providers.

Door de snelle integratie van Generative AI in producten worstelen security teams met tooling die vaak onderzoeksgericht, traag of moeilijk te integreren is in CI/CD pipelines. Bestaande tools, zoals NVIDIA’s garak, zetten de standaard voor testing, maar vereisen complexe Python omgevingen en zware dependencies. Augustus is gecompileerd als een single, portable Go binary. Deze architectuur elimineert de "dependency hell" die vaak geassocieerd wordt met Python-gebaseerde security tools, waardoor virtuele omgevingen, pip installs of specifieke interpreter versies niet meer nodig zijn. De tool maakt gebruik van Go’s native concurrency primitives (goroutines) om parallel te scannen, waardoor het sneller en efficiënter is.

Augustus is een attack engine die het "red teaming" van AI modellen automatiseert. Het bevat een bibliotheek van 210+ vulnerability probes in 47 aanvalscategorieën, waaronder: Jailbreaks (prompts om veiligheidsfilters te omzeilen, zoals DAN, AIM en "Grandma" exploits), Prompt Injection (technieken om systeeminstructies te overschrijven, inclusief encoding bypasses zoals Base64, ROT13 en Morse code), Data Extraction (tests voor PII leakage, API key disclosure en training data reconstructie) en Adversarial Examples (gradient-based aanvallen en logic bombs om model reasoning te verstoren).

Een functie van Augustus is het "Buff" systeem, waarmee security testers transformaties dynamisch kunnen toepassen op elke probe. Testers kunnen meerdere "buffs" aan elkaar koppelen, zoals het parafraseren van een prompt, het vertalen naar een low-resource taal (zoals Zulu of Scots Gaelic) of het coderen in poëtische formaten, om te testen of de safety guardrails van een model bestand zijn tegen verhulde inputs. Augustus ondersteunt 28 LLM-providers, waaronder OpenAI, Anthropic, Azure, AWS Bedrock en Google Vertex AI, evenals local inference engines zoals Ollama. De architectuur benadrukt productiebetrouwbaarheid, met rate limiting, retry logic en timeout handling om scanfouten te voorkomen. Resultaten kunnen worden geëxporteerd in JSON, JSONL en HTML.

Augustus is de tweede release in Praetorian’s “12 Caesars” open-source serie, na de release van de LLM fingerprinting tool Julius. Het is beschikbaar onder de Apache 2.0 licentie en te downloaden via GitHub.

Bron: Praetorian

Bron 2: github.com

Bron 3: github.com

Ivanti heeft een beveiligingsupdate uitgebracht voor Endpoint Manager (EPM), waarmee verschillende kwetsbaarheden worden verholpen, waaronder een authentication bypass kwetsbaarheid (CVE-2026-1603). Via dit lek kan een ongeauthenticeerde aanvaller op afstand toegang krijgen tot specifieke opgeslagen "credential data". Verdere technische details over de kwetsbaarheid zijn niet vrijgegeven. Volgens Ivanti wordt de kwetsbaarheid niet actief misbruikt. De impact van de kwetsbaarheid is door Ivanti ingeschaald op een 8.6 op een schaal van 1 tot 10.

Ivanti Endpoint Manager stelt organisaties in staat om laptops, smartphones en servers te beheren, inclusief het installeren van software en updates. Dit gebeurt via de EPM-server die communiceert met een agent op de beheerde clients. Een gecompromitteerde EPM-server of administrator-account kan aanzienlijke gevolgen hebben. In het verleden is Ivanti EPM meermaals doelwit geweest van aanvallen waarbij misbruik werd gemaakt van kwetsbaarheden waarvoor nog geen beveiligingsupdate beschikbaar was.

Naast de authentication bypass is ook een SQL-injection kwetsbaarheid verholpen, evenals elf beveiligingslekken die vorig jaar oktober al door securitybedrijf ZDI werden onthuld. Het gaat onder andere om kwetsbaarheden die remote code execution (RCE) mogelijk maken. Het Zero Day Initiative (ZDI) rapporteerde de RCE-kwetsbaarheden vorig jaar juni aan Ivanti. Ivanti kreeg vervolgens drie maanden de tijd om de problemen te verhelpen.

Ivanti liet in eerste instantie aan ZDI weten dat de kwetsbaarheden in september zouden worden gepatcht. Eind september meldde Ivanti aan het securitybedrijf dat de beveiligingsupdates voor de lekken pas in maart van dit jaar zouden verschijnen. Nu meldt Ivanti dat de problemen zijn opgelost. Ivanti kwam de afgelopen dagen ook in het nieuws wegens actief aangevallen kwetsbaarheden in een ander product, Endpoint Manager Mobile.

Bron: Ivanti

SAP heeft een reeks beveiligingsupdates uitgebracht om kwetsbaarheden in diverse producten te verhelpen. De getroffen producten omvatten SAP CRM, SAP S/4HANA, SAP NetWeaver Application Server ABAP, SAP Supply Chain Management, SAP BusinessObjects BI Platform, SAP Document Management System, SAP Commerce Cloud en SAP Business Workflow.

De kwetsbaarheden variëren van code-injectie tot ontbrekende autorisatiecontroles, Denial of Service (DoS) en onjuist beheer van gevoelige informatie. Geauthenticeerde aanvallers kunnen deze kwetsbaarheden misbruiken om ongeautoriseerde toegang te verkrijgen, de integriteit van gegevens te compromitteren en de functionaliteit van systemen te verstoren.

Specifieke kwetsbaarheden stellen aanvallers in staat om ongeautoriseerde SQL-instructies uit te voeren, XML-documenten te manipuleren en privileges te escaleren. De potentiële impact loopt uiteen van risico's op het gebied van vertrouwelijkheid en integriteit tot verstoringen van systeemdiensten.

Bron: NCSC

Microsoft is begonnen met het uitrollen van vernieuwde Secure Boot-certificaten via maandelijkse Windows-updates. Deze updates vervangen de originele certificaten uit 2011, die eind juni 2026 verlopen. Secure Boot, geïntroduceerd in 2011, zorgt ervoor dat alleen vertrouwde bootloaders kunnen laden op computers met UEFI-firmware. Dit helpt te voorkomen dat schadelijke software, zoals rootkits, wordt uitgevoerd tijdens het opstarten van het systeem. De digitale handtekening van de bootloaders wordt geverifieerd aan de hand van een reeks vertrouwde digitale certificaten die zijn opgeslagen in de firmware.

Microsoft maakte de plannen voor het vernieuwen van de Secure Boot-certificaten voor Windows 11 24H2 en 25H2 systemen in januari bekend, na een waarschuwing in november aan IT-beheerders om de beveiligingscertificaten te updaten die gebruikt worden om UEFI-firmware te valideren voordat ze verlopen.

Volgens Nuno Costa, partner director Windows Servicing and Delivery, bereiken de originele Secure Boot-certificaten na meer dan 15 jaar aan het einde van hun geplande levenscyclus en zullen ze eind juni 2026 beginnen te verlopen. De nieuwe certificaten worden uitgerold als onderdeel van de reguliere maandelijkse Windows-updates voor Windows-apparaten die door Microsoft beheerde updates ontvangen. Organisaties hebben ook de mogelijkheid om het updateproces zelf te beheren met behulp van hun eigen beheer tools.

Costa voegde eraan toe dat de certificaatvernieuwing "een van de grootste gecoördineerde inspanningen voor beveiligingsonderhoud in het Windows-ecosysteem" vertegenwoordigt, omdat het firmware-updates omvat voor miljoenen apparaatconfiguraties van veel hardwarefabrikanten en OEM's.

De nieuwe Secure Boot-certificaten worden automatisch geïnstalleerd via reguliere maandelijkse updates voor klanten die Microsoft toestaan Windows-updates op hun systemen te beheren. Veel pc's die sinds 2024 zijn gefabriceerd en de meeste die vorig jaar zijn verzonden, bevatten al bijgewerkte certificaten. Sommige apparaten vereisen mogelijk afzonderlijke firmware-updates van fabrikanten voordat de nieuwe certificaten kunnen worden toegepast. Microsoft adviseert klanten om de OEM-supportpagina's te raadplegen voor de nieuwste firmwareversies.

Hoewel Microsoft apparaten met een hoge betrouwbaarheid automatisch zal updaten via Windows Update, kunnen IT-beheerders Secure Boot-certificaten ook implementeren met behulp van registry keys, Group Policy settings en het Windows Configuration System (WinCS). Dit om ervoor te zorgen dat endpoints de Windows Boot Manager- en Secure Boot-beveiligingen niet verliezen.

Apparaten die de bijgewerkte certificaten niet ontvangen vóór juni, blijven normaal functioneren, maar komen in een "verslechterde beveiligingsstatus" terecht, met "beperkte" bescherming op boot-niveau en geen bescherming tegen aanvallen die gebruikmaken van nieuw ontdekte kwetsbaarheden, omdat ze geen nieuwe mitigaties kunnen installeren.

Microsoft adviseert alle klanten om te upgraden naar Windows 11, dat nu officieel op meer dan een miljard apparaten draait, omdat niet-ondersteunde Windows-versies zoals Windows 10 geen nieuwe certificaten ontvangen.

Bron: Microsoft

Bron 2: wiz.io

Bron 3: blogs.windows.com

Bron 4: blogs.windows.com

Fortinet heeft een ernstige cross-site scripting (XSS) kwetsbaarheid in zijn FortiSandbox platform bekendgemaakt, aangeduid als CVE-2025-52436 (FG-IR-25-093). Deze kwetsbaarheid stelt niet-geauthenticeerde aanvallers in staat om willekeurige opdrachten uit te voeren op de getroffen systemen.

De kwetsbaarheid, omschreven als een "Improper Neutralization of Input During Web Page Generation" (CWE-79), bevindt zich in de grafische gebruikersinterface (GUI) en heeft een score van 7.9. Het probleem is een reflected XSS-kwetsbaarheid die ontstaat door ontoereikende input sanitatie tijdens het genereren van webpagina's. Een aanvaller kan kwaadaardige verzoeken maken, bijvoorbeeld via de terugknop van de browser of gemanipuleerde parameters, die uitvoerbare JavaScript in de GUI injecteren.

Zodra een slachtoffer, zoals een beheerder, met de geïnfecteerde pagina interageert, wordt het script geactiveerd, wat kan leiden tot remote code execution (RCE). Dit geeft de aanvaller volledige toegang tot de command-line, waardoor data exfiltratie, laterale beweging of sandbox evasie in malware analyse omgevingen mogelijk wordt.

De kwetsbaarheid treft FortiSandbox PaaS implementaties. Patches zijn beschikbaar in PaaS versies 4.4.8 en 5.0.5. Fortinet adviseert om direct te upgraden en benadrukt het belang van netwerksegmentatie en GUI toegangsbeperkingen tot de systemen gepatcht zijn.

Jaguar Perlas van Fortinet’s Burnaby Infosec team wordt genoemd voor de interne ontdekking van de kwetsbaarheid. Fortinet meldt geen bekende gevallen van actieve exploitatie, maar de niet-geauthenticeerde vector vereist waakzaamheid. Organisaties die malware scannen of gevoelige informatie verwerken, wordt aangeraden prioriteit te geven aan het patchen van kwetsbare systemen.

Bron: Fortinet

Fortinet heeft een ernstige authenticatie bypass kwetsbaarheid in FortiOS bekendgemaakt, aangeduid als CVE-2026-22153 (FG-IR-25-1052). Deze kwetsbaarheid kan ongeauthenticeerde aanvallers in staat stellen om de LDAP-authenticatie voor Agentless VPN of Fortinet Single Sign-On (FSSO) policies te omzeilen.

De kwetsbaarheid, geclassificeerd onder CWE-305 (Authentication Bypass by Primary Weakness), bevindt zich in de fnbamd daemon en vereist specifieke LDAP server configuraties die ongeauthenticeerde verbindingen (binds) toestaan. Het probleem komt voort uit een onjuiste verwerking van LDAP authenticatie verzoeken. Een aanvaller kan dit exploiteren in bepaalde setups, zoals die welke anonieme verbindingen toestaan, om ongeautoriseerde toegang te verkrijgen zonder geldige credentials.

Fortinet beoordeelt de ernst als hoog, met een CVSS v3.1 score die de netwerktoegankelijkheid benadrukt, maar met een gematigde aanval complexiteit. De impact omvat ongepaste toegangscontrole, wat mogelijk leidt tot ongeautoriseerde toegang tot beschermde netwerken via SSL-VPN componenten.

Uitsluitend FortiOS versies 7.6.0 tot en met 7.6.4 zijn kwetsbaar. Andere branches, zoals 8.0, 7.4, 7.2, 7.0 en 6.4, zijn niet getroffen. Beheerders wordt aangeraden om te upgraden naar FortiOS 7.6.5 of later, met behulp van de officiële upgrade path tool.

Als workaround wordt aangeraden om ongeauthenticeerde verbindingen op de LDAP server uit te schakelen. Voor Windows Active Directory (Server 2019+) kan de volgende PowerShell snippet gebruikt worden.

De kwetsbaarheid is ontdekt door Jort Geurts van het Actemium Cyber Security Team via responsible disclosure. Fortinet dringt aan op onmiddellijke patching van blootgestelde SSL-VPN implementaties om risico's in enterprise omgevingen die afhankelijk zijn van LDAP integratie te minimaliseren.

Bron: Fortinet

De cybersecuritysector is getroffen door de opkomst van "React2Shell" (CVE-2025-55182), een kritieke kwetsbaarheid in Next.js en React Server Components. Na de openbaarmaking op 4 december 2025, werden er binnen 20 uur pogingen tot misbruik waargenomen. De kwetsbaarheid stelt ongeauthenticeerde aanvallers in staat om willekeurige code uit te voeren op kwetsbare servers.

Aanvallen manifesteren zich als kwaadaardige HTTP POST-verzoeken gericht op specifieke serverroutes zoals /_next/server en /_next/flight. Door de serialisatie van servercomponenten te manipuleren, kunnen aanvallers ongeautoriseerde commando's injecteren in de runtime van de applicatie. De eerste golf van deze campagne bestond uit scanning om kwetsbare infrastructuur te identificeren en te compromitteren.

Analisten van WhoisXMLAPI identificeerden de "ILOVEPOOP" toolkit als de drijvende kracht achter een aanzienlijk deel van deze activiteit. Dit framework opereert via een gecentraliseerde infrastructuur, voornamelijk gehost op twee servers in Nederland. Telemetrie geeft aan dat deze nodes met miljoenen endpoints wereldwijd hebben gecommuniceerd, wat duidt op een poging om kwetsbare netwerken in sectoren zoals SaaS, retail en overheid in kaart te brengen en te misbruiken.

De toolkit maakt gebruik van een cluster van negen scanner nodes die hun operaties roteren om persistentie te behouden en statische blocklists te omzeilen. Een kenmerk van deze toolkit is de toevoeging van specifieke, niet-standaard HTTP-headers in elke poging tot misbruik, met name X-Nextjs-Request-Id: poop1234 en Next-Action: x. Deze markers dienen als een digitale vingerafdruk.

De toolkit maakt gebruik van een rigoureuze scanmethodologie en onderzoekt systematisch zes specifieke Next.js paden om te testen op vatbaarheid. Het begint vaak met generieke verkenning van inlogpagina's voordat het escaleert naar complexe React Server Actions payloads waarbij prototype pollution wordt gebruikt. De infrastructuur is gecentraliseerd, met de twee primaire Nederlandse IP-adressen (193.142.147[.]209 en 87.121.84[.]24) als command hubs. De toolkit heeft ook geprobeerd React2Shell payloads te leveren via POP3 protocollen, waarschijnlijk om webfilters te omzeilen.

Het blokkeren van deze core nodes en het filteren op de "ilovepoop" header patronen is de meest effectieve methode om de dreiging te neutraliseren. Security teams moeten getroffen Next.js installaties patchen en Web Application Firewalls (WAF) configureren om verzoeken met de geïdentificeerde kwaadaardige headers te blokkeren. Het blokkeren van verkeer van de bekende Nederlandse exploit servers wordt aangeraden.

Bron: WhoisXMLAPI

Het in Seattle gevestigde ZAST.AI heeft een Pre-A financieringsronde van $6 miljoen afgerond, onder leiding van Hillhouse Capital. Hiermee komt de totale financiering van ZAST.AI op bijna $10 miljoen. ZAST.AI richt zich op het elimineren van valse meldingen in security tools door middel van AI-gedreven code-analyse.

In 2025 ontdekte ZAST.AI honderden zero-day kwetsbaarheden in populaire open-source projecten, wat resulteerde in 119 CVE-toekenningen via platforms zoals VulDB. De kwetsbaarheden werden gevonden in projecten zoals Microsoft Azure SDK, Apache Struts XWork, Alibaba Nacos, Langfuse, Koa en node-formidable. Top technologiebedrijven zoals Microsoft, Apache en Alibaba hebben hun code al gepatcht op basis van de Proof-of-Concept (PoC) inzendingen van ZAST.AI.

De kerninnovatie van ZAST.AI is de "Automated POC Generation + Automated Validation" architectuur. In tegenstelling tot traditionele statische analyse, maakt ZAST.AI gebruik van AI om applicaties diepgaand te analyseren. Het systeem genereert automatisch Proof-of-Concept code om kwetsbaarheden te exploiteren en verifieert vervolgens of de PoC de kwetsbaarheid daadwerkelijk triggert. Hierdoor worden alleen geverifieerde kwetsbaarheden gerapporteerd, wat resulteert in een "zero false positive" effect.

ZAST.AI detecteert niet alleen "syntax-level" kwetsbaarheden zoals SQL Injection, XSS, Insecure Deserialization en SSRF, maar ook complexere "semantic-level" kwetsbaarheden zoals IDOR, privilege escalation en payment logic flaws. Het bedrijf bedient al Fortune Global 500-bedrijven en helpt hen om de herstelcycli van kwetsbaarheden te verkorten en de operationele kosten te verlagen. De nieuwe financiering zal worden gebruikt voor R&D, productontwikkeling en internationale expansie.

Bron: ZAST.AI

Microsoft heeft een reeks kwetsbaarheden in verschillende Office-componenten verholpen. Deze kwetsbaarheden kunnen door kwaadwillenden worden misbruikt om beveiligingsmaatregelen te omzeilen, zich voor te doen als andere gebruikers, verhoogde rechten te verkrijgen en toegang te krijgen tot gevoelige gegevens.

Om deze kwetsbaarheden succesvol te exploiteren, moet de aanvaller het slachtoffer misleiden om een kwaadaardig bestand te openen of een schadelijke link te volgen.

Specifiek met betrekking tot CVE-2026-21511, een kwetsbaarheid in Microsoft Office Outlook, meldt Microsoft dat er discussies over deze kwetsbaarheid op diverse fora plaatsvinden. Deze kwetsbaarheid stelt een kwaadwillende in staat om via een malafide bericht een NTLM-authenticatie te initiëren naar een server die onder controle staat van de aanvaller. Hierdoor kan de aanvaller authenticatiegegevens bemachtigen. Hoewel er nog geen publieke Proof-of-Concept code beschikbaar is en misbruik een speciaal ingerichte server vereist, wordt grootschalig misbruik als minder waarschijnlijk ingeschat.

De getroffen componenten en hun bijbehorende CVE-nummers en CVSS-scores zijn als volgt:

Microsoft Office Word:

CVE-2026-21514, CVSS 7.80, Impact: Omzeilen van beveiligingsmaatregel

Microsoft Office Excel:

CVE-2026-21259, CVSS 7.30, Impact: Verkrijgen van verhoogde rechten

CVE-2026-21258, CVSS 5.50, Impact: Toegang tot gevoelige gegevens

CVE-2026-21261, CVSS 5.50, Impact: Toegang tot gevoelige gegevens

Microsoft Office Outlook:

CVE-2026-21260, CVSS 7.50, Impact: Voordoen als andere gebruiker

CVE-2026-21511, CVSS 7.50, Impact: Voordoen als andere gebruiker

Bron: NCSC

Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft zes nieuwe kwetsbaarheden toegevoegd aan de Known Exploited Vulnerabilities (KEV) catalogus, op basis van bewijs van actieve exploitatie. Deze kwetsbaarheden vormen een significant risico voor de federale overheid en worden vaak gebruikt als aanvalsvectoren door kwaadwillende cyberactoren.

De zes kwetsbaarheden zijn: CVE-2026-21510, een beveiligingslek in Microsoft Windows Shell; CVE-2026-21513, een security feature bypass in het Microsoft MSHTML Framework; CVE-2026-21514, een kwetsbaarheid in Microsoft Office Word waarbij de software vertrouwt op onbetrouwbare input bij een security beslissing; CVE-2026-21519, een type confusion kwetsbaarheid in Microsoft Windows; CVE-2026-21525, een NULL pointer dereference kwetsbaarheid in Microsoft Windows; en CVE-2026-21533, een elevation of privilege kwetsbaarheid in Windows Remote Desktop Services.

De KEV-catalogus is opgesteld als onderdeel van Binding Operational Directive (BOD) 22-01, die federale civiele uitvoerende instanties verplicht om geïdentificeerde kwetsbaarheden te verhelpen voor de gestelde deadline, om zo de netwerken te beschermen tegen actieve dreigingen. Hoewel BOD 22-01 alleen van toepassing is op deze instanties, adviseert CISA alle organisaties om hun blootstelling aan cyberaanvallen te verminderen door prioriteit te geven aan het tijdig verhelpen van kwetsbaarheden in de KEV-catalogus. CISA zal de catalogus blijven aanvullen met kwetsbaarheden die aan de gestelde criteria voldoen.

Bron: CISA | Bron 2: cve.org

Siemens heeft een reeks kwetsbaarheden verholpen in diverse producten, waaronder Desigo, NX, Polarion, SENTRON, Simcenter, SINEC, SIPORT, Siveillance en Solid Edge. De ontdekte kwetsbaarheden kunnen een kwaadwillende in staat stellen om aanvallen uit te voeren die kunnen leiden tot verschillende vormen van schade, waaronder Denial-of-Service (DoS), manipulatie van gegevens, het omzeilen van beveiligingsmaatregelen, (remote) code execution met root/admin rechten, toegang tot systeemgegevens en het verhogen van rechten.

Specifiek met betrekking tot de SIPORT Desktop Client Application, heeft Siemens aangegeven dat deze verouderd is en niet langer voldoet aan moderne beveiligingsmaatregelen. Het bedrijf zal geen nieuwe functionaliteiten meer toevoegen en stopt de ondersteuning voor de Desktop Client. Siemens adviseert gebruikers om over te stappen op de modernere web-management-omgeving. Om de risico's te minimaliseren tot de migratie is voltooid en de Desktop Clients zijn uitgefaseerd, heeft Siemens mitigerende maatregelen gepubliceerd in een Security Bulletin.

Voor een succesvolle exploitatie van de genoemde kwetsbaarheden is het noodzakelijk dat de kwaadwillende toegang heeft tot de productie-omgeving. Siemens benadrukt dat het een goede gewoonte is om een dergelijke omgeving niet publiek toegankelijk te maken.

Bron: Siemens

De Cybersecurity and Infrastructure Security Agency (CISA) heeft op 10 februari 2026 een Industrial Control Systems (ICS) advisory uitgebracht met nummer ICSA-26-041-02 betreffende een kwetsbaarheid in de ZLAN5143D van ZLAN Information Technology Co.

Bron: CISA | Bron 2: github.com | Bron 3: nvd.nist.gov | Bron 4: cwe.mitre.org | Bron 5: softwaresupportsp.aveva.com

Microsoft heeft een reeks kwetsbaarheden verholpen in diverse Azure-componenten. Een kwaadwillende actor zou deze kwetsbaarheden kunnen misbruiken om zich voor te doen als een andere gebruiker, mogelijk verhoogde rechten te verkrijgen, willekeurige code uit te voeren of toegang te krijgen tot gevoelige gegevens.

De volgende kwetsbaarheden zijn geïdentificeerd en gecategoriseerd per Azure-component:

*   **Azure Front Door (AFD):** CVE-2026-24300, met een CVSS-score van 9.80, maakt het mogelijk om verhoogde rechten te verkrijgen. Microsoft meldt dat deze kwetsbaarheid in hun centrale Azure-infrastructuur is verholpen en dat er geen actie van gebruikers vereist is.

*   **Azure Function:** CVE-2026-21532, met een CVSS-score van 8.20, geeft toegang tot gevoelige gegevens. Microsoft meldt dat deze kwetsbaarheid in hun centrale Azure-infrastructuur is verholpen en dat er geen actie van gebruikers vereist is.

*   **Azure HDInsights:** CVE-2026-21529, met een CVSS-score van 5.70, stelt een aanvaller in staat zich voor te doen als een andere gebruiker.

*   **Azure Compute Gallery:** CVE-2026-23655 (CVSS 6.50) en CVE-2026-21522 (CVSS 6.70) bieden respectievelijk toegang tot gevoelige gegevens en het verkrijgen van verhoogde rechten.

*   **Azure Local:** CVE-2026-21228, met een CVSS-score van 8.10, maakt het uitvoeren van willekeurige code mogelijk.

*   **Azure Arc:** CVE-2026-24302, met een CVSS-score van 8.60, maakt het mogelijk om verhoogde rechten te verkrijgen. Microsoft meldt dat deze kwetsbaarheid in hun centrale Azure-infrastructuur is verholpen en dat er geen actie van gebruikers vereist is.

*   **Azure IoT SDK:** CVE-2026-21528, met een CVSS-score van 6.50, biedt toegang tot gevoelige gegevens.

*   **Azure DevOps Server:** CVE-2026-21512, met een CVSS-score van 6.50, stelt een aanvaller in staat zich voor te doen als een andere gebruiker.

*   **Azure SDK:** CVE-2026-21531, met een CVSS-score van 9.80, maakt het uitvoeren van willekeurige code mogelijk.

Bron: NCSC

De Cybersecurity and Infrastructure Security Agency (CISA) heeft een ICS Advisory (ICSA-26-041-03) uitgebracht over kwetsbaarheden in AVEVA PI Data Archive. AVEVA PI Data Archive is een softwareoplossing voor het verzamelen, opslaan en visualiseren van industriële data.

De advisory waarschuwt voor meerdere kwetsbaarheden, waaronder:

*   CVE-2025-66594: Een onvoldoende beveiligingscontrole waardoor een aanvaller ongeautoriseerde toegang kan krijgen tot data.

*   CVE-2025-66595: Een kwetsbaarheid waardoor een aanvaller code kan uitvoeren op het systeem.

*   CVE-2025-66597: Een kwetsbaarheid waardoor een aanvaller informatie kan inzien.

*   CVE-2025-66598: Een kwetsbaarheid waardoor een aanvaller een denial-of-service aanval kan uitvoeren.

*   CVE-2025-66599: Een kwetsbaarheid waardoor een aanvaller de integriteit van data kan aantasten.

*   CVE-2025-66600: Een kwetsbaarheid waardoor een aanvaller de authenticatie kan omzeilen.

*   CVE-2025-66601: Een kwetsbaarheid waardoor een aanvaller gevoelige informatie kan bemachtigen.

*   CVE-2025-66602: Een kwetsbaarheid waardoor een aanvaller de configuratie van het systeem kan wijzigen.

CISA adviseert gebruikers en beheerders om de nodige updates en mitigaties toe te passen om de risico's te beperken. De agency biedt ook kosteloze cybersecurity services en tools aan. Daarnaast benadrukt CISA het belang van "secure by design" principes en biedt het hulpmiddelen om bedrijven te helpen hun cybersecurity te verbeteren. CISA moedigt organisaties aan om cyberincidenten te melden.

Bron: CISA | Bron 2: github.com | Bron 3: nvd.nist.gov

De Cybersecurity and Infrastructure Security Agency (CISA) heeft een ICS Advisory (ICSA-26-041-03) uitgebracht over kwetsbaarheden in AVEVA PI Data Archive. Deze kwetsbaarheden kunnen door kwaadwillenden worden misbruikt om systemen te compromitteren.

De advisory waarschuwt voor twee specifieke kwetsbaarheden: CVE-2026-25084 en CVE-2026-24789. CVE-2026-25084 betreft een kwetsbaarheid waarbij een aanvaller mogelijk ongeautoriseerde toegang kan krijgen tot gevoelige informatie. CVE-2026-24789 maakt het mogelijk voor een aanvaller om de integriteit van het systeem aan te tasten door ongeautoriseerde wijzigingen aan te brengen.

CISA adviseert gebruikers en beheerders om de aanbevolen mitigaties te implementeren om het risico op misbruik van deze kwetsbaarheden te minimaliseren. Deze mitigaties omvatten het toepassen van beschikbare patches en updates, het implementeren van sterke authenticatiemechanismen en het beperken van de netwerktoegang tot essentiële systemen.

Daarnaast benadrukt CISA het belang van het volgen van de "Secure by Design" principes en het gebruik van de beschikbare gratis cybersecurity services en tools. Organisaties worden aangemoedigd om cyberincidenten te melden bij CISA en gebruik te maken van de "Shields Up" resources voor extra bescherming. CISA vraagt gebruikers ook om deel te nemen aan een product survey om de dienstverlening te verbeteren.

De advisory bevat ook links naar andere ICS advisories betreffende Yokogawa FAST/TOOLS, AVEVA PI to CONNECT Agent en Mitsubishi Electric MELSEC iQ-R Series.

Bron: CISA | Bron 2: github.com | Bron 3: nvd.nist.gov | Bron 4: cwe.mitre.org

Microsoft heeft op 10 februari 2026 de cumulatieve updates KB5077181 en KB5075941 uitgebracht voor Windows 11 versies 25H2/24H2 en 23H2. Deze updates bevatten beveiligingspatches, bugfixes en nieuwe functies. De updates zijn verplicht en bevatten de beveiligingspatches van februari 2026 Patch Tuesday voor kwetsbaarheden die in voorgaande maanden zijn ontdekt. Gebruikers kunnen de update installeren via Start > Instellingen > Windows Update en klikken op 'Controleren op updates'. De update is ook handmatig te downloaden en te installeren via de Microsoft Update Catalogus.

Na installatie van de beveiligingsupdates wordt het buildnummer van Windows 11 25H2 (KB5077181) gewijzigd in Build 26200.7840 (of 26100.7840 voor 24H2), en 23H2 (KB5073455) in 226x1.6050.

De update bevat de volgende verbeteringen en bugfixes:

*   Gaming: Een probleem opgelost dat de geschiktheid van apparaten voor de full-screen gaming experience bepaalde.

*   Networking: Een probleem verholpen dat voorkwam dat sommige apparaten verbinding maakten met bepaalde WPA3-Personal Wi-Fi-netwerken. Dit probleem kon optreden na installatie van KB5074105.

*   Secure Boot: Windows-kwaliteitsupdates bevatten nu een brede set targetingdata die apparaten identificeert en hun vermogen om nieuwe Secure Boot-certificaten te ontvangen.

*   Cross Device Resume: De functionaliteit van Cross-Device Resume is uitgebreid. Gebruikers kunnen nu activiteiten van hun Android-telefoon op hun pc voortzetten, zoals Spotify-playback, werken in Word, Excel of PowerPoint, of een browsesessie voortzetten. Dit geldt voor Vivo Android-telefoon gebruikers die kunnen doorgaan met browsen vanaf Vivo Browser op hun pc. Gebruikers met een Android-telefoon van HONOR, OPPO, Samsung, vivo of Xiaomi kunnen online bestanden die ze in de Microsoft Copilot-app op hun telefoon hebben geopend, hervatten en op hun pc verder bewerken.

*   Windows MIDI Services: Verbeterde MIDI-ondersteuning voor MIDI 1.0 en MIDI 2.0, inclusief WinMM en WinRT MIDI 1.0-ondersteuning met ingebouwde vertaling, gedeelde MIDI-poorten, aangepaste poortnamen, loopback en app-to-app MIDI, plus prestatieverbeteringen en bugfixes.

*   Narrator: Gebruikers hebben nu meer controle over hoe Narrator on-screen controls aankondigt.

*   Settings: Het Device card is nu zichtbaar op de Settings home page, met belangrijke specificaties en gebruiksdetails voor de pc.

*   Smart App Control: Smart App Control (SAC) kan nu worden in- of uitgeschakeld zonder een clean install.

*   Voice Access: Een gestroomlijnde setup maakt het eenvoudiger om met Voice Access aan de slag te gaan.

*   Voice Typing: De Wait time before acting setting in Voice Typing stelt gebruikers in staat om de vertraging aan te passen voordat een voice command wordt uitgevoerd.

*   Windows Hello: Windows Hello Enhanced Sign-in Security (ESS) ondersteunt nu peripheral fingerprint sensors.

Microsoft is niet op de hoogte van nieuwe problemen met deze Patch Tuesday.

Bron: Microsoft

Microsoft heeft updates uitgebracht om meer dan 50 beveiligingslekken in Windows en andere software te verhelpen, waaronder patches voor zes zero-day kwetsbaarheden die al actief worden misbruikt.

Een van de zero-days is CVE-2026-21510, een beveiligingslek in Windows Shell waarbij een enkele klik op een kwaadaardige link Windows-beveiligingen kan omzeilen en inhoud kan uitvoeren zonder waarschuwing of toestemming. CVE-2026-21510 treft alle ondersteunde versies van Windows.

CVE-2026-21513 is een security bypass bug in MSHTML, de engine van de standaard webbrowser in Windows. CVE-2026-21514 is een gerelateerde security feature bypass in Microsoft Word.

De zero-day CVE-2026-21533 stelt lokale aanvallers in staat hun gebruikersrechten te verhogen naar "SYSTEM"-niveau in Windows Remote Desktop Services.

CVE-2026-21519 is een zero-day privilege escalation in Desktop Window Manager (DWM), een onderdeel van Windows dat vensters op het scherm organiseert. Microsoft loste vorige maand al een ander zero-day probleem in DWM op.

De zesde zero-day is CVE-2026-21525, een denial-of-service kwetsbaarheid in de Windows Remote Access Connection Manager, de service die VPN-verbindingen met bedrijfsnetwerken onderhoudt.

Chris Goettl van Ivanti merkt op dat Microsoft sinds de Patch Tuesday van januari al meerdere out-of-band beveiligingsupdates heeft uitgebracht. Op 17 januari loste Microsoft een probleem op met een credential prompt failure bij het maken van verbinding met remote desktop of remote applicaties. Op 26 januari patchte Microsoft een zero-day security feature bypass (CVE-2026-21509) in Microsoft Office.

Kev Breen van Immersive meldt dat de Patch Tuesday van deze maand fixes bevat voor remote code execution kwetsbaarheden in GitHub Copilot en meerdere integrated development environments (IDEs), waaronder VS Code, Visual Studio en JetBrains producten. Het gaat om CVE-2026-21516, CVE-2026-21523 en CVE-2026-21256. Volgens Breen komen de AI-kwetsbaarheden die Microsoft deze maand heeft gepatcht voort uit een command injection flaw die kan worden getriggerd door prompt injection, waarbij de AI-agent wordt misleid om iets te doen wat niet de bedoeling is, zoals het uitvoeren van kwaadaardige code of commando's.

“Developers are high-value targets for threat actors, as they often have access to sensitive data such as API keys and secrets that function as keys to critical infrastructure, including privileged AWS or Azure API keys,” aldus Breen. "When organizations enable developers and automation pipelines to use LLMs and agentic AI, a malicious prompt can have significant impact. This does not mean organizations should stop using AI. It does mean developers should understand the risks, teams should clearly identify which systems and workflows have access to AI agents, and least-privilege principles should be applied to limit the blast radius if developer secrets are compromised.”

Het SANS Internet Storm Center heeft een overzicht van elke individuele fix van Microsoft, geïndexeerd op basis van ernst en CVSS-score. Windows-beheerders wordt aangeraden askwoody.com in de gaten te houden voor informatie over updates.

Bron: Microsoft

Microsoft heeft een reeks beveiligingslekken in verschillende componenten van Windows verholpen. Deze kwetsbaarheden kunnen door kwaadwillenden worden misbruikt om diverse soorten aanvallen uit te voeren, waaronder denial-of-service (DoS), manipulatie van gegevens, toegang tot gevoelige gegevens, het uitvoeren van willekeurige code met gebruikersrechten, het verkrijgen van verhoogde rechten, het omzeilen van beveiligingsmaatregelen en spoofing.

Een overzicht van de kwetsbaarheden per component:

*   **Desktop Window Manager:** CVE-2026-21519 (CVSS 7.80) maakt het mogelijk om verhoogde rechten te verkrijgen.

*   **Mailslot File System:** CVE-2026-21253 (CVSS 7.00) maakt het mogelijk om verhoogde rechten te verkrijgen.

*   **Windows LDAP (Lightweight Directory Access Protocol):** CVE-2026-21243 (CVSS 7.50) kan leiden tot een Denial-of-Service.

*   **Windows Kernel:** CVE-2026-21245 (CVSS 7.80), CVE-2026-21239 (CVSS 7.80), CVE-2026-21231 (CVSS 7.80) maken het mogelijk om verhoogde rechten te verkrijgen. CVE-2026-21222 (CVSS 5.50) geeft toegang tot gevoelige gegevens.

*   **Windows Remote Desktop:** CVE-2026-21533 (CVSS 7.80) maakt het mogelijk om verhoogde rechten te verkrijgen.

*   **Windows Remote Access Connection Manager:** CVE-2026-21525 (CVSS 6.20) kan leiden tot een Denial-of-Service.

*   **Windows Shell:** CVE-2026-21510 (CVSS 8.80) maakt het mogelijk om een beveiligingsmaatregel te omzeilen.

*   **Role: Windows Hyper-V:** CVE-2026-21248 (CVSS 7.30), CVE-2026-21247 (CVSS 7.30), CVE-2026-21244 (CVSS 7.30) maken het mogelijk om willekeurige code uit te voeren. CVE-2026-21255 (CVSS 8.80) maakt het mogelijk om een beveiligingsmaatregel te omzeilen.

*   **Windows Win32K - GRFX:** CVE-2023-2804 (CVSS 6.50) maakt het mogelijk om willekeurige code uit te voeren.

*   **Windows Cluster Client Failover:** CVE-2026-21251 (CVSS 7.80) maakt het mogelijk om verhoogde rechten te verkrijgen.

*   **Windows HTTP.sys:** CVE-2026-21250 (CVSS 7.80), CVE-2026-21240 (CVSS 7.80), CVE-2026-21232 (CVSS 7.80) maken het mogelijk om verhoogde rechten te verkrijgen.

*   **Windows Connected Devices Platform Service:** CVE-2026-21234 (CVSS 7.00) maakt het mogelijk om verhoogde rechten te verkrijgen.

*   **Windows GDI+:** CVE-2026-20846 (CVSS 7.50) kan leiden tot een Denial-of-Service.

*   **Windows App for Mac:** CVE-2026-21517 (CVSS 7.00) maakt het mogelijk om verhoogde rechten te verkrijgen.

*   **Windows NTLM:** CVE-2026-21249 (CVSS 3.30) maakt het mogelijk om zich voor te doen als een andere gebruiker (spoofing).

*   **Windows Ancillary Function Driver for WinSock:** CVE-2026-21236 (CVSS 7.80), CVE-2026-21241 (CVSS 7.00), CVE-2026-21238 (CVSS 7.80) maken het mogelijk om verhoogde rechten te verkrijgen.

*   **Internet Explorer:** CVE-2026-21513 (CVSS 8.80) maakt het mogelijk om een beveiligingsmaatregel te omzeilen.

*   **Windows Storage:** CVE-2026-21508 (CVSS 7.00) maakt het mogelijk om verhoogde rechten te verkrijgen.

*   **Windows Subsystem for Linux:** CVE-2026-21242 (CVSS 7.00), CVE-2026-21237 (CVSS 7.00) maken het mogelijk om verhoogde rechten te verkrijgen.

*   **Microsoft Graphics Component:** CVE-2026-21246 (CVSS 7.80) maakt het mogelijk om verhoogde rechten te verkrijgen. CVE-2026-21235 (CVSS 7.30) maakt het mogelijk om verhoogde rechten te verkrijgen.

Het wordt aanbevolen om de beschikbare updates van Microsoft zo snel mogelijk te installeren om de risico's te minimaliseren.

Bron: NCSC

Op Microsoft's Patch Tuesday van februari 2026 zijn er beveiligingsupdates uitgebracht voor 58 kwetsbaarheden, waaronder 6 actief geëxploiteerde en 3 openbaar bekende zero-day kwetsbaarheden. Deze Patch Tuesday dicht ook vijf "kritieke" kwetsbaarheden, waarvan 3 elevation of privileges-fouten en 2 information disclosure-fouten.

Microsoft is ook begonnen met het uitrollen van bijgewerkte Secure Boot-certificaten ter vervanging van de originele certificaten uit 2011 die eind juni 2026 verlopen. Windows-kwaliteitsupdates bevatten een brede set targetingdata die apparaten en hun vermogen om nieuwe Secure Boot-certificaten te ontvangen identificeert. Apparaten ontvangen de nieuwe certificaten pas nadat ze voldoende succesvolle update-signalen hebben laten zien, wat een veilige en gefaseerde uitrol garandeert.

De zes actief geëxploiteerde zero-days zijn:

*   CVE-2026-21510 - Windows Shell Security Feature Bypass Vulnerability: Een aanvaller moet een gebruiker overtuigen om een kwaadaardige link of shortcut-bestand te openen om deze kwetsbaarheid te misbruiken. Een aanvaller kan Windows SmartScreen en Windows Shell-beveiligingsprompts omzeilen door onjuiste verwerking in Windows Shell-componenten te exploiteren, waardoor door de aanvaller gecontroleerde inhoud kan worden uitgevoerd zonder waarschuwing of toestemming van de gebruiker. De ontdekking van de fout is toegeschreven aan Microsoft Threat Intelligence Center (MSTIC), Microsoft Security Response Center (MSRC), Office Product Group Security Team, Google Threat Intelligence Group en een anonieme onderzoeker.

*   CVE-2026-21513 - MSHTML Framework Security Feature Bypass Vulnerability: Een beschermingsmechanisme in MSHTML Framework staat een ongeautoriseerde aanvaller toe om een beveiligingsfunctie via een netwerk te omzeilen. De ontdekking van de fout is toegeschreven aan Microsoft Threat Intelligence Center (MSTIC), Microsoft Security Response Center (MSRC), Office Product Group Security Team en Google Threat Intelligence Group.

*   CVE-2026-21514 - Microsoft Word Security Feature Bypass Vulnerability: Een aanvaller moet een gebruiker een kwaadaardig Office-bestand sturen en hen overtuigen om het te openen. Deze update adresseert een kwetsbaarheid die OLE-mitigaties in Microsoft 365 en Microsoft Office omzeilt die gebruikers beschermen tegen kwetsbare COM/OLE-besturingselementen. De fout kan niet worden misbruikt in het Office Preview Pane. De ontdekking van de fout is toegeschreven aan Microsoft Threat Intelligence Center (MSTIC), Microsoft Security Response Center (MSRC), Office Product Group Security Team, Google Threat Intelligence Group en een anonieme onderzoeker.

*   CVE-2026-21519 - Desktop Window Manager Elevation of Privilege Vulnerability: Een aanvaller die deze kwetsbaarheid met succes exploiteert, kan SYSTEM-privileges verkrijgen. De ontdekking van de fout is toegeschreven aan Microsoft Threat Intelligence Center (MSTIC) & Microsoft Security Response Center (MSRC).

*   CVE-2026-21525 - Windows Remote Access Connection Manager Denial of Service Vulnerability: Null pointer dereference in Windows Remote Access Connection Manager staat een ongeautoriseerde aanvaller toe om de service lokaal te ontzeggen. De ontdekking van de fout is toegeschreven aan het ACROS Security team met 0patch. ACROS CEO Mitja Kolsek vertelde dat het exploit werd gevonden in een openbare malware repository.

*   CVE-2026-21533 - Windows Remote Desktop Services Elevation of Privilege Vulnerability: Onjuist privilegebeheer in Windows Remote Desktop staat een geautoriseerde aanvaller toe om lokaal privileges te escaleren. Het exploit binair wijzigt een serviceconfiguratiesleutel, waarbij deze wordt vervangen door een door de aanvaller gecontroleerde sleutel, waardoor tegenstanders privileges kunnen escaleren om een nieuwe gebruiker toe te voegen aan de Administrator-groep. De ontdekking van de fout is toegeschreven aan het Advanced Research Team bij CrowdStrike.

Andere leveranciers die in februari 2026 updates of adviezen hebben uitgebracht, zijn onder meer: Adobe, BeyondTrust, CISA, Cisco, Fortinet, Google, n8n en SAP.

Bron: Microsoft | Bron 2: sec.cloudapps.cisco.com

Microsoft heeft op 10 februari 2026 de Windows 10 KB5075912 extended security update uitgebracht. Deze update verhelpt de kwetsbaarheden die zijn gedicht tijdens Patch Tuesday van februari 2026, waaronder zes zero-days, en zet de uitrol voort van vervangingen voor verlopen Secure Boot-certificaten.

De update kan geïnstalleerd worden via Settings > Windows Update, waarna handmatig op 'Check for Updates' geklikt moet worden. Na installatie wordt Windows 10 bijgewerkt naar build 19045.6937 en Windows 10 Enterprise LTSC 2021 naar build 19044.6937.

KB5075912 bevat uitsluitend beveiligingsfixes en bugfixes die door eerdere beveiligingsupdates zijn geïntroduceerd. Microsoft heeft in de Patch Tuesday van februari 2026 in totaal 58 kwetsbaarheden verholpen, waaronder zes actief geëxploiteerde zero-day flaws.

KB5075912 verhelpt ook een bekend probleem dat ervoor zorgde dat Windows 10-apparaten niet konden worden afgesloten of in de slaapstand gezet als System Guard Secure Launch was ingeschakeld.

De update bevat verder de volgende fixes:

*   Chinese fonts zijn aangepast om te voldoen aan GB18030-2022A compliance.

*   Een probleem is verholpen waarbij Secure Launch-compatibele pc's met Virtual Secure Mode (VSM) niet konden worden afgesloten of in de slaapstand gezet na de Windows-beveiligingsupdate van 13 januari 2026. In plaats daarvan werd het apparaat opnieuw opgestart.

*   Een probleem is verholpen dat van invloed was op het hernoemen van mappen met desktop.ini-bestanden in File Explorer. De LocalizedResourceName-instelling werd genegeerd, waardoor aangepaste mapnamen niet werden weergegeven.

*   Een stabiliteitsprobleem dat bepaalde grafische processing units (GPU's) configuraties beïnvloedde, is verholpen.

*   Windows-kwaliteitsupdates bevatten een breed scala aan targetinggegevens die apparaten identificeren en hun vermogen om nieuwe Secure Boot-certificaten te ontvangen. Apparaten ontvangen de nieuwe certificaten pas nadat ze voldoende succesvolle updatesignalen hebben laten zien, wat helpt om een veilige en gefaseerde uitrol te garanderen.

Microsoft waarschuwde al in juni 2025 dat meerdere Windows Secure Boot-certificaten uit 2011 in juni 2026 zouden verlopen. Als deze niet worden bijgewerkt, zou dit de Secure Boot-beveiligingen schenden. Deze certificaten worden gebruikt om Windows-bootcomponenten, bootloaders van derden en Secure Boot-intrekkingupdates te valideren. Indien verlopen, zouden ze dreigingsactoren in staat kunnen stellen om beveiligingsmaatregelen te omzeilen. Microsoft blijft de nieuwe Secure Boot-certificaten uitrollen naar gerichte systemen.

Microsoft geeft aan dat er geen bekende problemen zijn met deze update.

Bron: Microsoft | Bron 2: wiz.io

Microsoft heeft CVE-2026-21533 gepatcht, een zero-day privilege escalatie kwetsbaarheid in Windows Remote Desktop Services (RDS). Aanvallers misbruiken deze kwetsbaarheid actief om toegang te krijgen tot SYSTEM-level privileges. De kwetsbaarheid, die voortkomt uit incorrect privilege management, is verholpen middels de Patch Tuesday updates van februari 2026, uitgebracht op 10 februari.

CVE-2026-21533 heeft een CVSS v3.1 base score van 7.8 (Hoog), met een lokaal aanvalsvector, lage complexiteit en lage vereiste privileges. Er is geen gebruikersinteractie vereist en de scope is ongewijzigd, wat een hoge impact heeft op vertrouwelijkheid, integriteit en beschikbaarheid. Microsoft classificeert het als "Belangrijk", waarbij wordt opgemerkt dat exploitatie functioneel is en er een officiële fix beschikbaar is.

De kwetsbaarheid ontstaat door gebrekkige privilege handling in RDS componenten. CrowdStrike heeft een exploit binary waargenomen die een service configuratie registry key aanpast en vervangt door een door de aanvaller gecontroleerde key. Deze wijziging maakt privilege escalatie mogelijk, zoals het toevoegen van een nieuwe gebruiker aan de Administrators groep, waardoor volledige SYSTEM privileges worden verkregen. Aanvallers hebben initieel low-privileged lokale toegang nodig, waardoor het ideaal is voor post-exploitatie in RDP omgevingen.

Adam Meyers, Head of Counter Adversary Operations bij CrowdStrike, waarschuwt dat dreigingsactoren die de exploit binaries bezitten, waarschijnlijk hun pogingen om CVE-2026-21533 te gebruiken of te verkopen op korte termijn zullen versnellen. Er is nog geen specifieke adversary attribution, maar RDS systemen zijn belangrijke laterale bewegingsdoelen.

De kwetsbaarheid treft diverse Windows versies, voornamelijk servers waarop RDS is ingeschakeld. Andere getroffen versies zijn Windows Server 2012, Windows 10 21H2/1607/1809 en Windows 11 25H2/26H1.

Microsoft adviseert om direct de Monthly Rollup of Security Updates te implementeren via Windows Update of de Microsoft Update Catalog. Voor Server Core installaties zorgen targeted KBs voor compatibiliteit. Controleer de builds na installatie, bijvoorbeeld 10.0.26100.32370 voor Windows Server 2025.

Indien RDS niet wordt gebruikt, schakel het dan uit; beperk de toegang tot vertrouwde netwerken. Forceer least privilege; monitor registry wijzigingen in RDS services. Implementeer EDR voor afwijkende privilege escalaties. Test patches in staging omgevingen vanwege de gevoeligheid van RDS.

Deze zero-day benadrukt de aanhoudende risico's in legacy Windows deployments, te midden van Patch Tuesday's 55 kwetsbaarheden, waaronder vijf andere misbruikte problemen. Organisaties zouden RDS hardening moeten prioriteren om post-breach escalatie te voorkomen.

Bron: CrowdStrike

Er is een kritieke beveiligingsupdate uitgebracht voor zowel de Community Edition (CE) als de Enterprise Edition (EE) van GitLab om meerdere kwetsbaarheden met een hoge impact aan te pakken. De patches zijn beschikbaar in de versies 18.8.4, 18.7.4 en 18.6.6 en verhelpen fouten die aanvallers in staat kunnen stellen om servers te laten crashen, gegevens te stelen of gebruikerssessies te kapen. Security experts adviseren beheerders van self-managed instances om onmiddellijk te upgraden, en merken op dat GitLab.com al is gepatcht.

De ernstigste kwetsbaarheid, geregistreerd als CVE-2025-7659 (CVSS 8.0), bevindt zich in de Web IDE. Deze fout houdt verband met "incomplete validation", wat betekent dat het systeem niet goed controleert wie toegang heeft tot bepaalde gegevens. Een niet-geauthenticeerde aanvaller, iemand zonder gebruikersnaam of wachtwoord, zou dit kunnen misbruiken om toegangstokens te stelen en private software repositories te bekijken.

De update verhelpt ook twee gevaarlijke Denial-of-Service (DoS) problemen. Bij een DoS-aanval probeert een hacker een systeem te overweldigen om het offline te halen. CVE-2025-8099 (CVSS 7.5) stelt aanvallers in staat om de service te laten crashen door herhaalde, complexe queries naar de GraphQL interface te sturen. CVE-2026-0958 (CVSS 7.5) maakt misbruik van de JSON validation middleware, waardoor aanvallers het geheugen of de CPU van de server kunnen uitputten.

Een andere belangrijke fix betreft CVE-2025-14560 (CVSS 7.3), een Cross-Site Scripting (XSS) kwetsbaarheid in de "Code Flow" functie. XSS-fouten stellen aanvallers in staat om kwaadaardige scripts in te voegen in vertrouwde websites. In dit geval kan een aanvaller code verbergen die wordt uitgevoerd wanneer een andere gebruiker deze bekijkt, waardoor diegene mogelijk acties kan uitvoeren namens dat slachtoffer.

GitLab adviseert alle klanten die getroffen versies gebruiken ten zeerste om onmiddellijk te upgraden naar de nieuwste patch. Hoewel de update deze kritieke problemen verhelpt, worden ook verschillende bugs met een gemiddelde impact aangepakt, waaronder Server-Side Request Forgery (SSRF) en HTML injection flaws. Beheerders moeten er rekening mee houden dat het upgraden van single-node instances mogelijk korte downtime vereist voor database migraties.

Bron: GitLab

Microsoft heeft een kritieke remote code execution (RCE) kwetsbaarheid in de Windows Notepad app gepatcht, geregistreerd als CVE-2026-20841. Deze kwetsbaarheid stelt aanvallers in staat om kwaadaardige code uit te voeren op de machines van slachtoffers.

De kwetsbaarheid, die op 10 februari 2026 werd onthuld als onderdeel van Microsofts Patch Tuesday updates, is het gevolg van onjuiste neutralisatie van speciale elementen in commando's (CWE-77: Command Injection) en heeft een CVSS v3.1 basis score van 8.8/10, wat als "Belangrijk" wordt beoordeeld.

Het probleem treft de moderne Windows Notepad app, die beschikbaar is via de Microsoft Store. Een niet-geautoriseerde aanvaller kan dit via een netwerk misbruiken door gebruikers te misleiden een geïnfecteerd Markdown (.md) bestand te openen.

Zodra het bestand is geladen, vraagt een kwaadaardige link in het bestand de app om ongeverifieerde protocollen te verwerken. Het klikken op de link triggert Notepad om bestanden op afstand op te halen en uit te voeren, waarbij willekeurige commando's worden geïnjecteerd zonder de juiste opschoning.

Aanvallers maken Markdown-bestanden met hyperlinks die gebruikmaken van aangepaste schema's (bijvoorbeeld het nabootsen van veilige protocollen, maar verwijzend naar door de aanvaller gecontroleerde servers). Wanneer een gebruiker het bestand in Notepad opent en op de link klikt, verwerkt de app deze naïef, wat leidt tot command injection.

De payload wordt uitgevoerd in de beveiligingscontext van de ingelogde gebruiker, waardoor aanvallers dezelfde privileges krijgen – van toegang tot bestanden tot privilege escalation als de gebruiker beheerdersrechten heeft.

De patch is uitgerold via de Microsoft Store voor Notepad (build 11.2510+), met volledige release notes en een directe link naar de beveiligingsupdate. Gebruikers moeten handmatig updaten of automatische updates inschakelen, aangezien dit een actie is die de klant zelf moet uitvoeren. Microsoft crediteert de onafhankelijke onderzoekers Delta Obscura (delta.cyberm.ca) en "chen" voor de gecoördineerde openbaarmaking.

Deze kwetsbaarheid onderstreept de risico's in alledaagse apps die rich text verwerken, zoals Markdown, vooral nu Notepad evolueert van een basis editor naar een tool met veel functies. Hoewel de legacy Notepad.exe niet wordt beïnvloed, vergroot de populariteit van de Store-versie de exposure.

Het wordt aanbevolen Notepad onmiddellijk bij te werken vanuit de Microsoft Store, automatische app-updates in te schakelen in Windows Instellingen, het vermijden van het openen van niet-vertrouwde Markdown-bestanden of het klikken op links daarin, en het gebruik van een antivirus met gedragsgebaseerde detectie voor afwijkende protocol handlers.

Bron: Microsoft

Ivanti heeft beveiligingsupdates uitgebracht om kwetsbaarheden in Ivanti Endpoint Manager te verhelpen. Deze updates zijn specifiek bedoeld voor versies van vóór 2024 SU5. De eerste kwetsbaarheid, aangeduid als CVE-2026-1603, is een authenticatie-bypass. Deze bypass stelt externe, niet-geauthenticeerde aanvallers in staat om toegang te krijgen tot bepaalde opgeslagen inloggegevens. Succesvolle exploitatie van dit lek kan leiden tot de compromittering van gevoelige data binnen het systeem.

De tweede kwetsbaarheid, met kenmerk CVE-2026-1602, betreft een SQL-injectie. Deze kwetsbaarheid maakt het mogelijk voor externe, geauthenticeerde aanvallers om willekeurige SQL-query's uit te voeren. Dit kan resulteren in ongeautoriseerde toegang tot gevoelige database-informatie. Het misbruiken van deze kwetsbaarheid kan de integriteit en vertrouwelijkheid van de gegevens in het systeem ernstig aantasten.

Het Nationaal Cyber Security Centrum (NCSC) adviseert gebruikers van Ivanti Endpoint Manager om de beschikbare updates zo snel mogelijk te installeren. Door het uitvoeren van deze updates wordt het risico op misbruik van de genoemde kwetsbaarheden aanzienlijk verminderd. Het is cruciaal voor organisaties om hun systemen up-to-date te houden en beveiligingspatches tijdig te implementeren om de integriteit en vertrouwelijkheid van hun data te waarborgen.

Bron: NCSC

Microsoft heeft een zero-day kwetsbaarheid gepatcht in de Windows Remote Access Connection Manager (RasMan) service, aangeduid als CVE-2026-21525. Deze kwetsbaarheid stelde aanvallers in staat om denial-of-service (DoS) aanvallen uit te voeren op systemen waarop de patch niet was geïnstalleerd.

De kwetsbaarheid, die voortkomt uit een NULL pointer dereference (CWE-476), werd actief misbruikt voordat deze openbaar werd gemaakt, wat Microsoft ertoe aanzette om de kwetsbaarheid de beoordeling "Exploitation Detected" te geven.

RasMan, een essentieel Windows-onderdeel voor het beheer van remote access verbindingen zoals VPN's en dial-up, crasht bij het verwerken van corrupte data als gevolg van onjuiste NULL pointer validatie. Een niet-geautoriseerde lokale aanvaller heeft slechts lokale toegang nodig en geen verhoogde privileges of gebruikersinteractie om crafted input te versturen, waardoor de service een NULL pointer dereferenceert en stopt.

Dit resulteert in een hoge impact op de beschikbaarheid, waarbij de service in sommige gevallen niet automatisch opnieuw opstart, waardoor remote connectivity voor gebruikers en servers wordt onderbroken.

Aanvallers misbruiken RasMan door een kwetsbaar code pad in rascustom.dll of gerelateerde modules te triggeren tijdens de connection negotiation. Een eenvoudig lokaal script of binair bestand kan de service overspoelen met ongeldige packets, waardoor niet-geïnitialiseerde pointers worden gederefenceerd. Hoewel proof-of-concept code publiekelijk nog niet is bewezen (E:U), hebben onderzoekers van 0patch bevestigd dat de kwetsbaarheid in de praktijk wordt misbruikt.

De Patch Tuesday van februari 2026 (uitgebracht op 10 februari) verhelpt het probleem in:

*   Windows 11 26H1 (x64/ARM64): KB5077179, build 10.0.28000.1575

*   Windows Server 2012 R2 (Core/Full): KB5075970, build 6.3.9600.23022

*   Windows Server 2012 (Core): KB5075971, build 6.2.9200.25923

Microsoft adviseert onmiddellijk te patchen via Windows Update of de Microsoft Update Catalog. Controleer de support lifecycles voor oudere besturingssystemen.

Het 0patch vulnerability research team, in samenwerking met 0patch by ACROS Security (0patch.com), ontdekte en meldde de kwetsbaarheid via coordinated disclosure. Microsoft vermeldt hen in de acknowledgements.

Organisaties moeten prioriteit geven aan RasMan-exposed endpoints, automatische updates inschakelen en monitoren op ongebruikelijke service crashes. Hoewel de aanval alleen lokaal kan worden uitgevoerd, vergroten insider threats of initiële footholds (bijvoorbeeld via phishing) de exposure. Er zijn geen workarounds anders dan het uitschakelen van RasMan, wat remote access verbreekt.

Bron: Microsoft

Microsoft heeft tijdens de Patch Tuesday-update van februari een kritieke zero-day kwetsbaarheid in Windows Shell verholpen, die actief wordt misbruikt. De kwetsbaarheid, aangeduid als CVE-2026-21510, maakt het voor aanvallers mogelijk om essentiële beveiligingsmechanismen te omzeilen.

De kwetsbaarheid is geclassificeerd als een "Security Feature Bypass" met een CVSS-score van 8.8 (Belangrijk). Het probleem zit in de manier waarop Windows Shell bepaalde bestandstypen verwerkt. Normaal gesproken gebruikt Windows functies zoals SmartScreen en gebruikersprompts om te waarschuwen voordat potentieel gevaarlijke bestanden van het internet worden uitgevoerd, een concept dat bekend staat als de "Mark of the Web".

Door CVE-2026-21510 te misbruiken, kunnen aanvallers speciaal ontworpen bestanden (zoals kwaadaardige shortcuts of links) maken die deze controles volledig omzeilen. Als een gebruiker wordt misleid om op zo'n link te klikken, kan de kwaadaardige code van de aanvaller onmiddellijk worden uitgevoerd zonder waarschuwingsdialogen of toestemmingsprompts. Dit omzeilt effectief de "authenticatie"-stap, waarbij de gebruiker de uitvoering van niet-vertrouwde software goedkeurt.

De kwetsbaarheid treft een breed scala aan Microsoft-producten, waaronder zowel moderne als oudere systemen. Volgens de releasegegevens omvatten de kwetsbare versies: [De bron specificeert geen exacte versies, dus deze informatie kan niet worden toegevoegd]. Microsoft heeft bevestigd dat deze kwetsbaarheid het mogelijk maakt om ongeautoriseerde content uit te voeren alsof deze vertrouwd is.

Omdat deze kwetsbaarheid actief wordt misbruikt (een zero-day), wordt aangeraden systemen onmiddellijk te patchen. Gebruikers kunnen updaten via Instellingen > Windows Update en controleren op updates die zijn uitgebracht op 10 februari 2026. Daarnaast wordt aangeraden extra voorzichtig te zijn bij het klikken op links of het openen van shortcutbestanden van onbekende bronnen, zelfs als ze onschuldig lijken, totdat de patch is toegepast.

De ontdekking van deze kwetsbaarheid wordt toegeschreven aan onderzoekers van het Microsoft Threat Intelligence Center (MSTIC) en de Google Threat Intelligence Group.

Bron: Microsoft

Microsoft heeft een reeks kwetsbaarheden verholpen in verschillende componenten van Visual Studio en .NET. Deze kwetsbaarheden kunnen door een kwaadwillende worden misbruikt om beveiligingsmaatregelen te omzeilen, verhoogde rechten te verkrijgen en mogelijk willekeurige code uit te voeren met de rechten van het slachtoffer.

De kwetsbaarheden betreffen onder andere GitHub Copilot and Visual Studio (CVE-2026-21523, CVE-2026-21257, CVE-2026-21256), GitHub Copilot and Visual Studio Code (CVE-2026-21518), .NET and Visual Studio (CVE-2026-21218) en Github Copilot (CVE-2026-21516). De CVSS-scores variëren van 6.50 tot 8.80. De impact van de kwetsbaarheden omvat het uitvoeren van willekeurige code, het verkrijgen van verhoogde rechten, het zich voordoen als een andere gebruiker en het omzeilen van een beveiligingsmaatregel.

Voor een succesvolle exploitatie van deze kwetsbaarheden is het noodzakelijk dat de aanvaller het slachtoffer overtuigt om kwaadaardige code te downloaden en uit te voeren. Aangezien ontwikkelaars in ontwikkelomgevingen vaak met verhoogde rechten werken, is het niet uit te sluiten dat de uitvoering van de code eveneens met verhoogde rechten plaatsvindt.

Bron: NCSC

Het Cyber Security Centre Belgium (CCB) waarschuwt voor meerdere kritieke kwetsbaarheden in N8n, een workflow automation tool. De kwetsbaarheden stellen gebruikers bloot aan aanzienlijke risico's. Het CCB adviseert gebruikers om de nodige maatregelen te treffen om hun systemen te beschermen.

De geïdentificeerde kwetsbaarheden zijn: CVE-2026-25053 (CVSS 7.1), CVE-2026-25051 (CVSS 3.1), CVE-2026-25049 (CVSS 4.0), CVE-2026-25055 (CVSS 9.4), CVE-2026-25117 (CVSS 7.7), CVE-2026-25054 (CVSS 8.5), CVE-2026-25056, CVE-2025-61917, CVE-2026-25052 en CVE-2026-25115. Het risiconiveau van deze kwetsbaarheden wordt als kritiek beschouwd. De getroffen versies van N8n zijn te vinden via de link in de bronsectie.

Het CCB adviseert gebruikers van N8n om de beveiligingsadviezen van N8n zelf te raadplegen op hun GitHub-pagina voor meer informatie en updates over de kwetsbaarheden en bijbehorende patches. Organisaties worden aangemoedigd om de kwetsbaarheden zo snel mogelijk te patchen om misbruik te voorkomen. Het CCB biedt via haar website tevens informatie over cybersecurity expertise, cyber threat research & intelligence sharing (CyTRIS), de National Cybersecurity Certification Authority (NCCA) en het National Cybersecurity Coordination Centre Belgium (NCC-BE). Incidenten kunnen gemeld worden via de website van het CCB.

Bron: CCB | Bron 2: github.com

Op patchdinsdag van februari heeft Microsoft updates uitgebracht om zes actief aangevallen kwetsbaarheden in Word, Windows en Internet Explorer te verhelpen. De aanvallen vonden plaats voordat de patches beschikbaar waren. De beveiligingslekken stellen aanvallers in staat om beveiligingsmaatregelen te omzeilen, hun rechten te verhogen en een denial of service te veroorzaken.

Drie van de kwetsbaarheden vallen in de categorie 'Security Feature Bypass'. Het gaat om CVE-2026-21514 (Microsoft Word), CVE-2026-21510 (Windows Shell) en CVE-2026-21513 (Internet Explorer). De problemen werden gevonden door onderzoekers van Google en Microsoft. Via het Word-lek kan een aanvaller de bescherming tegen embedded content omzeilen, wat in het ergste geval kan leiden tot het uitvoeren van code. Een doelwit zou in dit geval wel een speciaal geprepareerd document moeten openen.

Het Windows Shell-lek maakt het mogelijk voor aanvallers om beveiligingswaarschuwingen van Windows SmartScreen en Windows Shell te omzeilen als het doelwit een malafide bestand opent. Hierdoor wordt code van de aanvaller uitgevoerd, zonder waarschuwing aan de gebruiker of zijn toestemming. Het lek in Internet Explorer is te misbruiken door het openen van malafide .lnk-bestanden. Ook hierbij worden security features van Windows omzeild, wat leidt tot het uitvoeren van code.

Dustin Childs van securitybedrijf ZDI merkt op dat hoewel Internet Explorer volgens veel maatstaven al lang niet meer bestaat, het nog steeds aanwezig is op Windows-systemen en het aanroepen ervan altijd tot een kwetsbaarheid leidt. Hij stelt dat deze kwetsbaarheid op dezelfde manier optreedt als het Shell-lek, omdat er interactie van gebruikers is vereist, maar kan leiden tot het uitvoeren van code. De bypass is de mogelijkheid om IE te bereiken, wat niet mogelijk zou moeten zijn.

Twee andere kwetsbaarheden, in Desktop Window Manager (CVE-2026-21519) en Windows Remote Desktop Services (CVE-2026-21533), maken het allebei mogelijk voor een aanvaller die al toegang tot een systeem heeft om zijn rechten te verhogen naar die van SYSTEM. Daarmee krijgt een aanvaller volledige controle over het systeem. Deze twee problemen werden gevonden door securitybedrijf CrowdStrike en Microsoft.

Het laatste aangevallen beveiligingslek bevindt zich in de Windows Remote Access Connection Manager (CVE-2026-21525) en maakt een denial of service mogelijk. Dit probleem werd gevonden en gerapporteerd door securitybedrijf ACROS Security. Microsoft geeft geen details over de waargenomen aanvallen. Informatie over de drie aangevallen security feature bypasses is echter al publiek. Organisaties worden opgeroepen de updates zo snel mogelijk te installeren. Op de meeste systemen worden de patches automatisch geïnstalleerd.

Bron: Microsoft

Ruim een half miljoen WordPress-sites hebben nog geen belangrijke beveiligingsupdate geïnstalleerd voor een kritieke kwetsbaarheid in een plug-in. Deze kwetsbaarheid maakt remote code execution (RCE) door ongeauthenticeerde aanvallers mogelijk. Het probleem bevindt zich in de WPvivid Backup & Migration Plugin, die op meer dan 900.000 websites is geïnstalleerd. De ontwikkelaars brachten op 28 januari een update uit, maar twee weken later heeft slechts ongeveer 350.000 WordPress-sites de patch geïnstalleerd, waardoor 550.000 sites risico lopen.

De WPvivid Backup & Migration Plugin is bedoeld voor het back-uppen, migreren en stagen van WordPress-sites. Een probleem met het decryptieproces, gecombineerd met een gebrek aan 'path sanitization', stelt ongeauthenticeerde aanvallers in staat om willekeurige PHP-bestanden te uploaden naar publiek toegankelijke directories, wat uiteindelijk leidt tot remote code execution. Dit werd gemeld door securitybedrijf Wordfence.

De impact van de kwetsbaarheid (CVE-2026-1357) is beoordeeld met een score van 9.8 op een schaal van 1 tot 10. Websites lopen alleen risico als ze een key in de instellingen van de plug-in hebben gegenereerd, waardoor een andere site back-ups naar hen kan sturen. Deze functie staat standaard uitgeschakeld en gegenereerde keys verlopen na 24 uur.

Wordfence informeerde de ontwikkelaars van de plug-in op 22 januari over het probleem. Zij brachten op 28 januari versie 0.9.124 uit, waarin de kwetsbaarheid is verholpen. Uit cijfers van WordPress.org blijkt dat deze patch sindsdien door ongeveer 350.000 van de meer dan 900.000 sites met de plug-in is geïnstalleerd.

Bron: Wordfence

Microsoft heeft de maandelijkse beveiligingsupdate voor februari 2026 uitgebracht, die 59 kwetsbaarheden omvat. Twee daarvan zijn door Microsoft als "kritiek" bestempeld.

CVE-2026-21522 is een kritieke privilegeverhogingskwetsbaarheid in Microsoft ACI Confidential Containers. Een succesvolle exploitatie van deze kwetsbaarheid kan een geautoriseerde aanvaller in staat stellen om privileges op getroffen systemen te verhogen. Deze kwetsbaarheid wordt niet vermeld als openbaar bekendgemaakt en ontving een CVSS 3.1 score van 6.7.

CVE-2026-23655 is een kritieke informatielekkwetsbaarheid in Microsoft ACI Confidential Containers. Deze kwetsbaarheid kan een geautoriseerde aanvaller in staat stellen gevoelige informatie, waaronder geheime tokens en sleutels, openbaar te maken bij succesvolle exploitatie. Deze kwetsbaarheid wordt niet vermeld als openbaar bekendgemaakt en ontving een CVSS 3.1 score van 6.5.

Microsoft rapporteerde actieve exploitatie van vijf kwetsbaarheden die als "belangrijk" zijn beoordeeld, evenals één "gemiddelde" kwetsbaarheid, CVE-2026-21525, die ook actief werd geëxploiteerd. CVE-2026-21510, CVE-2026-21513 en CVE-2026-21514 zijn ook openbaar bekendgemaakt.

CVE-2026-21510 is een beveiligingsfunctie bypass kwetsbaarheid die Windows Shell treft. Succesvolle exploitatie kan een niet-geauthenticeerde aanvaller in staat stellen een beveiligingsfunctie op getroffen systemen te omzeilen. Deze kwetsbaarheid kan worden misbruikt door een gebruiker te overtuigen een kwaadaardige snelkoppeling of link te openen, waardoor Windows SmartScreen en Windows Shell beveiligingsprompts kunnen worden omzeild.

CVE-2026-21513 is een beveiligingsfunctie bypass kwetsbaarheid die het MSHTML Framework treft. Deze kwetsbaarheid kan worden misbruikt door een gebruiker te overtuigen een speciaal vervaardigd HTML- of LNK-bestand te openen, waardoor een aanvaller beveiligingsfuncties kan omzeilen en code kan uitvoeren. Deze kwetsbaarheid ontving een CVSS 3.1 score van 8.8.

CVE-2026-21514 treft Microsoft Office Word en is het gevolg van het vertrouwen op niet-vertrouwde input, waardoor een niet-geautoriseerde aanvaller lokaal beveiligingsmaatregelen kan omzeilen. Exploitatie vereist gebruikersinteractie, meestal door een gebruiker over te halen een kwaadaardig Office-document te openen, en kan OLE-mitigatiemechanismen omzeilen die zijn ontworpen om te beschermen tegen kwetsbare COM/OLE-besturingselementen.

CVE-2026-21519 is een type confusion kwetsbaarheid in de Desktop Window Manager die een geauthenticeerde aanvaller in staat stelt om lokaal privileges te verhogen, mogelijk met volledige SYSTEM-level toegang.

CVE-2026-21533 is een privilegeverhogingskwetsbaarheid die Windows Remote Desktop Services treft. Deze kwetsbaarheid is te wijten aan onjuist privilegebeheer en kan een aanvaller in staat stellen privileges op getroffen systemen te verhogen. Succesvolle exploitatie kan een aanvaller SYSTEM-level privileges op het systeem verlenen.

CVE-2026-21525 is een moderate denial-of-service kwetsbaarheid die Windows Remote Access Connection Manager treft. Deze kwetsbaarheid is te wijten aan een null pointer dereference die een niet-geautoriseerde aanvaller in staat kan stellen een denial-of-service conditie te creëren op getroffen systemen. Deze kwetsbaarheid is niet openbaar bekendgemaakt en ontving een CVSS 3.1 rating van 6.2.

Andere belangrijke kwetsbaarheden treffen Microsoft Azure, Notepad, diverse GitHub Copilot-componenten en Hyper-V.

CVE-2026-21228 is een improper certificate validation probleem in Azure Local dat een niet-geautoriseerde aanvaller in staat stelt code uit te voeren via het netwerk. Succesvolle exploitatie kan resulteren in een scope change, waardoor interactie met de applicaties en data van andere tenants mogelijk wordt. Een aanvaller kan deze fout misbruiken door onbeveiligde communicatie tussen de configurator applicatie en target systemen te onderscheppen, met antwoorden te knoeien om command injection met administratieve privileges te triggeren, en vervolgens Azure tokens uit applicatielogs te extraheren om laterale beweging binnen de cloudomgeving te faciliteren.

CVE-2026-20841 behandelt een RCE-kwetsbaarheid in Microsoft Notepad. Dit probleem kan een aanvaller in staat stellen een gebruiker te verleiden tot het klikken op een kwaadaardige link in een Markdown-bestand dat in Notepad is geopend, wat resulteert in de lancering van niet-vertrouwde protocollen die remote content downloaden en uitvoeren.

CVE-2026-21244 en CVE-2026-21248 treffen Windows Hyper-V en stellen niet-geautoriseerde aanvallers in staat om lokaal arbitrary code execution te bereiken. Exploitatie vereist lokale code execution, meestal door een gebruiker te overtuigen een kwaadaardig Office-bestand te openen.

Verschillende RCE-kwetsbaarheden werden ook geïdentificeerd in GitHub Copilot, waaronder CVE-2026-21516, CVE-2026-21523 en CVE-2026-21256.

CVE-2026-21516 is een lokaal exploiteerbare arbitrary code execution kwetsbaarheid in GitHub Copilot voor JetBrains, die code execution op het getroffen systeem vereist. Voor CVE-2026-21523 heeft Microsoft beperkte details verstrekt, behalve de vermelding van een network attack vector. CVE-2026-21256 is een command injection kwetsbaarheid veroorzaakt door onjuiste afhandeling van speciale tekens, waardoor niet-geautoriseerde remote code execution in GitHub Copilot en Visual Studio Code mogelijk is.

Talos brengt een nieuwe Snort ruleset uit die pogingen detecteert om sommige van deze kwetsbaarheden te misbruiken. Aanvullende regels kunnen op een latere datum worden uitgebracht, en de huidige regels kunnen worden gewijzigd in afwachting van aanvullende informatie. Cisco Security Firewall klanten wordt aangeraden de nieuwste update van hun ruleset te gebruiken door hun SRU bij te werken. Open-source Snort Subscriber Ruleset klanten kunnen up-to-date blijven door het nieuwste rule pack te downloaden dat te koop is op Snort.org.

Snort 2 regels die in deze release zijn opgenomen en die beschermen tegen de exploitatie van veel van deze kwetsbaarheden zijn: 65895-65900, 65902, 65903, 65906-65911, 65913, 65914, 65923, 65924. De volgende Snort 3 regels zijn ook beschikbaar: 301395-301403.

Bron: Cisco Talos | Bron 2: msrc.microsoft.com

Fortinet heeft een reeks kwetsbaarheden verholpen in verschillende versies van FortiOS, namelijk versies 7.0 tot 7.6.4, 7.4.0 tot 7.4.9, en 7.2.0 tot 7.2.11. Een van de meest kritieke kwetsbaarheden betreft een authenticatie bypass. Deze kwetsbaarheid stelt ongeauthenticeerde aanvallers in staat om de LDAP-authenticatie te omzeilen. Dit kan gebeuren bij gebruik van Agentless VPN of FSSO-beleid, afhankelijk van de specifieke configuratie van de LDAP-server.

Naast deze authenticatie bypass, is er een kwetsbaarheid ontdekt waarbij ongeauthenticeerde aanvallers gevoelige informatie kunnen blootleggen. Dit kan worden bereikt door patches te omzeilen met behulp van speciaal geconstrueerde HTTP-verzoeken.

Verder is er een kwetsbaarheid die geauthenticeerde beheerders in staat stelt om ongeautoriseerde code uit te voeren. Dit wordt mogelijk gemaakt door speciaal gemaakte configuraties. Een andere kwetsbaarheid stelt geauthenticeerde gebruikers in staat om FSSO-beleid configuraties te misbruiken. Hierdoor kunnen ze ongeautoriseerde toegang krijgen tot beschermde netwerkbronnen. Beide laatstgenoemde kwetsbaarheden kunnen worden uitgebuit via speciaal geconstrueerde verzoeken.

Het Nationaal Cyber Security Centrum (NCSC) adviseert gebruikers van FortiOS om de beschikbare patches zo snel mogelijk te installeren om te voorkomen dat deze kwetsbaarheden worden misbruikt. Het is van belang dat beheerders de configuraties van hun systemen controleren en eventuele afwijkende configuraties corrigeren.

Bron: NCSC

Fortinet heeft beveiligingsupdates uitgebracht om kwetsbaarheden te verhelpen in verschillende van zijn producten. De getroffen producten zijn FortiSandbox (versies 4.4.8 en 5.0.5), FortiAuthenticator (versies 6.3 tot 6.6.6) en FortiClient (versies 7.0, 7.2 en 7.4).

Een van de kwetsbaarheden betreft FortiSandbox, waar een Cross-site Scripting (XSS) lek aanwezig is. Dit stelt niet-geauthenticeerde aanvallers in staat om willekeurige commando's uit te voeren door gebruik te maken van speciaal vervaardigde verzoeken. Het beveiligingslek maakt misbruik mogelijk zonder dat de aanvaller zich hoeft aan te melden bij het systeem.

In FortiAuthenticator is een kwetsbaarheid gevonden die te maken heeft met een ontbrekende autorisatie. Hierdoor kunnen gebruikers met alleen-lezen rechten lokale gebruikersaccounts wijzigen via een onbeveiligd bestand upload endpoint. Dit kan leiden tot ongeautoriseerde wijzigingen van gebruikersaccounts.

Daarnaast is er een kwetsbaarheid geïdentificeerd in FortiClient. Deze kwetsbaarheid stelt lokale aanvallers met lage privileges in staat om willekeurige bestandswijzigingen uit te voeren met verhoogde rechten. Dit wordt mogelijk gemaakt door speciaal vervaardigde named pipe berichten. Hierdoor kunnen aanvallers ongeautoriseerde toegang krijgen tot systeembestanden.

Het Nationaal Cyber Security Centrum (NCSC) adviseert gebruikers van de genoemde Fortinet producten om de beschikbare updates zo snel mogelijk te installeren.

Bron: NCSC

Microsoft heeft een beveiligingsupdate uitgebracht om een kwetsbaarheid in Windows Notepad te verhelpen. Het lek, aangeduid als CVE-2026-20841, maakt remote code execution (RCE) mogelijk. Volgens Microsoft doet het probleem zich voor wanneer een Notepad-gebruiker op een kwaadaardige link in een Markdown-bestand klikt. Dit zorgt ervoor dat Notepad ongeverifieerde protocollen start, waardoor externe bestanden geladen en uitgevoerd kunnen worden op het systeem.

De impact van de kwetsbaarheid is door Microsoft beoordeeld met een score van 8.8 op een schaal van 1 tot 10. In het beveiligingsbulletin bedankt Microsoft drie verschillende beveiligingsonderzoekers voor het melden van de kwetsbaarheid. Op internet zijn kritische reacties te vinden op de aanwezigheid van het probleem. Zo reageerde een gebruiker op X: "Ik dacht niet dat het mogelijk was, maar Microsoft heeft het voor elkaar gekregen om een remote code execution kwetsbaarheid in Notepad te krijgen." Een andere gebruiker stelde: "Ze hebben een RCE in Notepad gevonden... Een app die letterlijk alleen tekst weergeeft." Een derde gebruiker voegde toe: "Meer features = meer complexiteit = meer aanvalsoppervlak". Ook op Hacker News reageerden gebruikers kritisch.

Bron: Microsoft

GitLab heeft een reeks kwetsbaarheden verholpen in GitLab CE/EE, specifiek in versies vóór 18.6.6, 18.7.4 en 18.8.4. De gepatchte kwetsbaarheden omvatten server-side request forgery (SSRF), wat ongeautoriseerde toegang tot interne netwerkservices mogelijk maakte. Daarnaast waren er kwetsbaarheden die injectie van kwaadaardige inhoud, ongeautoriseerde acties via de GLQL API en ongeautoriseerde informatie openbaarmaking via de API toestonden. Een denial of service (DoS) was ook mogelijk door overmatige GraphQL-queries.

Authenticated gebruikers konden misbruik maken van deze kwetsbaarheden. De risico's omvatten ongeautoriseerde toegang tot systemen, manipulatie van gebruikersacties en verstoring van de beschikbaarheid van systemen. Ook ongeauthenticeerde gebruikers konden een DoS-aanval uitvoeren door het uploaden van schadelijke bestanden.

De kwetsbaarheden zijn verholpen in de meest recente updates van GitLab. Gebruikers van de getroffen versies wordt aangeraden om zo snel mogelijk te updaten om zich te beschermen tegen potentiële exploits. Door de updates zijn de gebruikers van de getroffen versies niet langer kwetsbaar voor de genoemde exploits.

Bron: NCSC

De afgelopen 24 uur zijn diverse kritieke kwetsbaarheden trending op sociale media, waarbij de mate van belangstelling wordt gemeten aan de hand van een hype-score. De lijst wordt aangevoerd door CVE-2025-68947, een kwetsbaarheid in de NSecsoft NSecKrnl Windows driver met een score van 34. Deze fout stelt een lokale, geauthenticeerde aanvaller in staat om processen van andere gebruikers, inclusief SYSTEM, te beëindigen. Het betreft hier een zogeheten Bring Your Own Vulnerable Driver aanval die specifiek wordt ingezet door de Black Basta ransomware.

Een andere ernstige dreiging is CVE-2025-1974, onderdeel van IngressNightmare in de Ingress NGINX Controller voor Kubernetes. Ongeauthenticeerde toegang tot de admission controller maakt hierbij de injectie van willekeurige configuraties mogelijk, wat kan leiden tot code-executie en volledige overname van het cluster. Ook WinRAR wordt getroffen door een path traversal kwetsbaarheid, aangeduid als CVE-2025-8088. Deze kwetsbaarheid wordt actief misbruikt in phishing-aanvallen waarbij RomCom-malware wordt verspreid via kwaadaardige archieven die code uitvoeren, bijvoorbeeld door bestanden in de Startup-map te plaatsen.

BeyondTrust kampt met meerdere lekken in hun Remote Support en Privileged Remote Access oplossingen. CVE-2026-1731 betreft een pre-authentication remote code execution die OS command injection mogelijk maakt zonder gebruikersinteractie. Daarnaast is er CVE-2024-12356, een command injection kwetsbaarheid in versies vóór 24.3.1 die actief wordt misbruikt door ongeauthenticeerde aanvallers. Voor gebruikers van Gogs zijn er eveneens risico's: een onvolledige patch heeft geleid tot CVE-2025-64111, waarmee remote command execution mogelijk is, en CVE-2026-24135 stelt geauthenticeerde gebruikers in staat willekeurige bestanden op de server te verwijderen.

De lijst met actuele dreigingen wordt gecompleteerd door kwetsbaarheden in diverse frameworks en applicaties. In React Server Components is een kritieke ongeauthenticeerde remote code execution vastgesteld door onveilige deserialisatie. Apple's Image I/O framework bevat een out-of-bounds write fout die kan leiden tot geheugencorruptie of code-executie op iOS en macOS. Tot slot is in SolarWinds Web Help Desk een remote code execution kwetsbaarheid gevonden die een eerdere patch omzeilt.

Bron

Er is een ongekende toename van pogingen tot misbruik van CVE-2026-1281, een kritieke kwetsbaarheid in Ivanti Endpoint Manager Mobile (EPMM). Op 9 februari 2026 onthulden Shadowserver-scans meer dan 28.300 unieke bron-IP-adressen die probeerden de kwetsbaarheid te misbruiken. Dit is een van de grootste gecoördineerde aanvalscampagnes die dit jaar zijn waargenomen tegen enterprise mobile management infrastructuren.

CVE-2026-1281 is een pre-authentication code-injectie kwetsbaarheid met een CVSS-score van 9.8, waardoor aanvallers ongeauthenticeerde remote code execution kunnen uitvoeren op kwetsbare EPMM-instances. De kwetsbaarheid komt voort uit onjuiste invoer sanitatie in een Bash handler op het /mifs/c/appstore/fob/endpoint. Hierdoor kunnen aanvallers kwaadaardige payloads injecteren via URL-parameters en willekeurige commando's uitvoeren als de webserver gebruiker.

Analyse van de aanvalsinfrastructuur onthult een sterk geconcentreerde geografische spreiding, waarbij de Verenigde Staten goed zijn voor ongeveer 20.400 IP-adressen, wat 72% van alle waargenomen aanvalsbronnen vertegenwoordigt. Het Verenigd Koninkrijk staat op de tweede plaats met 3.800 bron-IP's, terwijl Rusland volgt met 1.900 adressen. Extra significante aanvalactiviteit is afkomstig van netwerken in Irak, Spanje, Polen, Frankrijk, Italië, Duitsland en Oekraïne, hoewel in aanzienlijk lagere volumes.

Security onderzoekers van GreyNoise en Defused hebben een geavanceerd component van deze exploitatiegolf geïdentificeerd: een vermoedelijke initial access broker heeft "sleeper" webshells ingezet op gecompromitteerde EPMM-instances. Meer dan 80% van de exploitatieactiviteit is terug te voeren op één enkel IP-adres dat opereert achter bulletproof hosting infrastructuur, wat duidt op een zeer gecoördineerde operatie die is ontworpen om permanente toegang te vestigen voor verdere exploitatie door andere dreigingsactoren. Deze vertraagde activeringsaanpak verschilt aanzienlijk van typische opportunistische aanvallen, omdat de backdoors slapend blijven tot ze worden geactiveerd voor specifieke operaties.

Aangezien EPMM mobiele apparaten, applicaties en content beheert in enterprise omgevingen, biedt succesvolle exploitatie aanvallers uitgebreide controle over de mobiele bedrijfsinfrastructuur. Dit omvat de mogelijkheid om extra payloads te implementeren op beheerde apparaten en laterale beweging binnen de doelnetwerken te faciliteren.

Ivanti heeft CVE-2026-1281 samen met CVE-2026-1340 voor het eerst bekendgemaakt op 29 januari 2026, waarbij het beperkte in-the-wild exploitatie tegen klantomgevingen erkende. De U.S. Cybersecurity and Infrastructure Security Agency (CISA) heeft CVE-2026-1281 onmiddellijk toegevoegd aan haar Known Exploited Vulnerabilities catalogus met een ongekende saneringstermijn van drie dagen, wat de ernst van de dreiging onderstreept.

De Shadowserver Foundation deelt actief IP-data van aanvallers via hun honeypot HTTP scanner events reporting systeem, met vulnerability_id gefilterd op CVE-2026-1281. Organisaties kunnen deze threat intelligence raadplegen om kwaadaardige bronadressen te identificeren en te blokkeren die exploitatie tegen hun infrastructuur proberen. Ivanti heeft tijdelijke RPM-patches uitgebracht voor getroffen versies, met een permanente fix gepland voor versie 12.8.0.0 in Q1 2026. Security teams die EPMM-implementaties beheren, moeten onmiddellijk beschikbare patches toepassen, monitoren op indicatoren van compromissen, waaronder onverwachte webshell artefacten, en toegangslogs controleren op verdachte verzoeken aan het kwetsbare endpoint.

Bron: Google | Bron 2: shadowserver.org

Een ernstige sandbox escape kwetsbaarheid is ontdekt in de JavaScript-bibliotheek SandboxJS. Hierdoor kunnen aanvallers willekeurige code uitvoeren op hostsystemen. De kwetsbaarheid, geregistreerd als CVE-2026-25881 met een kritieke CVSS-score van 8.3, treft alle versies tot 0.8.30 en is verholpen in versie 0.8.31.

De kwetsbaarheid maakt misbruik van een zwakte in het beschermingsmechanisme van SandboxJS. De bibliotheek gebruikt een "isGlobal" flag om te voorkomen dat sandboxed code objecten van het host systeem wijzigt. Echter, wanneer globale prototype referenties zoals Map.prototype of Set.Prototypes in een array worden geplaatst en vervolgens opgehaald, wordt de beschermende flag verwijderd. Dit proces, genaamd "prototype pollution", stelt aanvallers in staat om core JavaScript objecten permanent te wijzigen.

Sandboxed code kan bijvoorbeeld een kwaadaardige `command` property injecteren in het Map prototype, die vervolgens persistent blijft in de gehele host applicatie. Wanneer de host code deze vervuilde property later gebruikt in gevoelige operaties, zoals het uitvoeren van systeemcommando's, kunnen aanvallers remote code execution bereiken.

Security researcher k14uz heeft werkende exploit code vrijgegeven die drie aanvalsscenario's demonstreert. De eenvoudigste proof-of-concept laat zien hoe sandboxed code een "polluted" property kan toevoegen aan het Map prototype, die vervolgens verschijnt in alle nieuwe Map objecten die door de host worden gemaakt. Meer gevaarlijke demonstraties omvatten het overschrijven van ingebouwde functies en het uitvoeren van systeemcommando's zoals "id" om gebruikersinformatie te onthullen.

Elke applicatie die SandboxJS gebruikt om niet-vertrouwde JavaScript code uit te voeren, is kwetsbaar. Aanvallers kunnen de sandbox isolatie doorbreken, de host execution flow manipuleren en mogelijk volledige systeemtoegang krijgen, afhankelijk van hoe de host applicatie de vervuilde properties verwerkt.

Volgens de gepubliceerde advisory moeten ontwikkelaars onmiddellijk upgraden naar versie 0.8.31, die beschermingsflags behoudt tijdens array operaties en schrijfbewerkingen naar ingebouwde prototypes blokkeert. Als extra verdediging zouden security teams ingebouwde prototypes moeten bevriezen voordat ze niet-vertrouwde code uitvoeren, en applicaties moeten controleren op gevoelige operaties die mogelijk user-controlled object properties gebruiken. Deze kwetsbaarheid benadrukt de uitdagingen van het creëren van veilige JavaScript sandboxes en onderstreept het belang van defense-in-depth bij het verwerken van niet-vertrouwde code.

Bron: SandboxJS | Bron 2: github.com

Er is een ernstige kwetsbaarheid ontdekt in Fiber v2, een populair Go web framework, waardoor aanvallers gebruikerssessies kunnen kapen, beveiligingsmechanismen kunnen omzeilen en service verstoringen kunnen veroorzaken. De kwetsbaarheid treft alle Fiber v2 versies die draaien op Go 1.23 of eerder en werd zes dagen geleden gerapporteerd door de framework beheerder.

De kwetsbaarheid zit in Fiber v2’s UUID generatie functies, die door het hele framework worden gebruikt om unieke identificatoren te creëren voor sessies, CSRF tokens en andere beveiligingskritische componenten. Wanneer de random number generator van het systeem faalt in het leveren van veilige willekeurigheid, een zeldzaam maar mogelijk scenario, vallen deze functies stilletjes terug op het genereren van een voorspelbare “zero UUID” (00000000-0000-0000-0000-000000000000) in plaats van ontwikkelaars te waarschuwen voor het probleem. Dit stille falen is bijzonder gevaarlijk omdat ontwikkelaars geen manier hebben om te weten of hun security tokens voorspelbaar zijn geworden.

Het probleem treft voornamelijk gebruikers die Go versies gebruiken van vóór 1.24, omdat nieuwere versies random failures anders behandelen, door ofwel te blokkeren of te "panic" in plaats van errors terug te geven. De voorspelbare UUID generatie creëert meerdere beveiligingsrisico's. Aanvallers kunnen sessie identificatoren voorspellen, waardoor ze legitieme gebruikers kunnen nabootsen zonder credentials te stelen. CSRF protection mechanismen die afhankelijk zijn van deze UUIDs worden ineffectief, waardoor cross-site request forgery aanvallen ongehinderd hun gang kunnen gaan. Authenticatie tokens worden te raden, waardoor mogelijk ongeautoriseerde toegang tot beschermde resources wordt verkregen.

Misschien wel het meest zorgwekkend is het denial-of-service risico: wanneer meerdere gebruikers dezelfde zero UUID ontvangen, storten session stores en rate limiters in tot een enkele gedeelde sleutel, wat data overschrijvingen en systeem instabiliteit veroorzaakt. Hoewel moderne Linux systemen zelden random failures ervaren, lopen bepaalde omgevingen een hoger risico. Containerized applicaties, sandboxed processen, embedded devices en verkeerd geconfigureerde systemen die geen toegang hebben tot randomness sources (/dev/urandom) zijn gevoeliger. Sandboxed omgevingen en systemen met beperkte security policies kunnen de kwetsbaarheid ook triggeren.

Volgens de gepubliceerde security advisory is Fiber versie 2.52.11 uitgebracht om de kritieke kwetsbaarheid te verhelpen. Organisaties die Fiber v2 gebruiken, moeten onmiddellijk upgraden naar deze gepatchte versie. De fix is toegewezen aan CVE-2025-66630 en heeft een “Critical” severity rating met een CVSS score van 8.7 uit 10. Systeembeheerders moeten ook verifiëren dat hun omgevingen de juiste toegang hebben tot veilige randomness sources. Controleer logs op verdachte patronen van identieke sessie identificatoren die kunnen wijzen op pogingen tot misbruik.

Bron: Fiber | Bron 2: github.com

Microsoft heeft een urgente beveiligingspatch uitgebracht voor een kritieke zero-day kwetsbaarheid (CVE-2026-21513) in het MSHTML Framework. Deze kwetsbaarheid werd al actief misbruikt voordat er een fix beschikbaar was. Het lek stelt aanvallers in staat om Windows beveiligingsfuncties te omzeilen zonder verhoogde privileges, waardoor miljoenen systemen risico lopen.

CVE-2026-21513 is een beveiligingslek in Microsofts MSHTML Framework, de HTML rendering engine die in Windows besturingssystemen en diverse applicaties wordt gebruikt. De kwetsbaarheid is het gevolg van een falend beschermingsmechanisme, waardoor aanvallers de uitvoering van prompts kunnen omzeilen wanneer gebruikers interageren met kwaadaardige bestanden.

Het MSHTML Framework, ook bekend als Trident, is een browser engine die webpagina's en HTML-content rendert binnen applicaties op Windows systemen. Door deze diepe integratie kan de kwetsbaarheid een breed scala aan systemen en gebruikers binnen bedrijfsomgevingen treffen.

Exploitatie vereist social engineering, waarbij aanvallers slachtoffers overtuigen om speciaal ontworpen HTML-bestanden of kwaadaardige shortcut (.lnk) bestanden te openen. Deze bestanden kunnen via verschillende vectoren worden verspreid, waaronder e-mailbijlagen, kwaadaardige links of downloads. Eenmaal geopend, omzeilt het bestand stilzwijgend Windows beveiligingsprompts en activeert het gevaarlijke acties met een enkele klik.

De kwetsbaarheid manipuleert de manier waarop Windows Shell en MSHTML embedded content verwerken, waardoor het besturingssysteem content kan verwerken en uitvoeren zonder de juiste beveiligingsvalidatie. De aanvaller heeft geen privileges nodig en de aanvalsvector is netwerkgebaseerd en heeft een lage complexiteit.

Microsoft heeft bevestigd dat CVE-2026-21513 publiekelijk bekend was en actief werd misbruikt als een zero-day voordat patches beschikbaar waren. De U.S. Cybersecurity and Infrastructure Security Agency (CISA) heeft deze kwetsbaarheid toegevoegd aan haar Known Exploited Vulnerabilities catalog, waardoor federale agentschappen de fixes voor 3 maart 2026 moeten toepassen.

Beveiligingslekken die security features omzeilen verhogen de kans op succes van phishing- en malwarecampagnes aanzienlijk. In bedrijfsomgevingen kan dit leiden tot ongeautoriseerde code-executie, malware- en ransomware-deployments, diefstal van inloggegevens, datalekken en volledige systeemcompromittering.

De kwetsbaarheid treft alle ondersteunde Windows-versies, waaronder Windows 10, Windows 11 en Windows Server edities van 2012 tot en met 2025. Microsoft heeft op 10 februari 2026 beveiligingsupdates uitgebracht als onderdeel van de maandelijkse Patch Tuesday cyclus. Organisaties wordt aangeraden om prioriteit te geven aan het patchen van deze kwetsbaarheid, gezien de actieve exploitatie in real-world aanvallen.

Bron: Microsoft

Op 10 februari 2026 is een kritieke zero-day kwetsbaarheid in Microsoft Word openbaar gemaakt, aangeduid als CVE-2026-21514. Deze kwetsbaarheid stelt aanvallers in staat om essentiële beveiligingsmechanismen te omzeilen. De kwetsbaarheid wordt actief misbruikt en heeft een CVSS 3.1 basis score van 7.8, met een tijdelijke score van 7.2.

CVE-2026-21514 maakt misbruik van de manier waarop Microsoft Word beveiligingsbeslissingen neemt op basis van niet-vertrouwde inputs, gecategoriseerd als CWE-807. De kwetsbaarheid omzeilt specifiek Object Linking and Embedding (OLE) mitigaties die Microsoft heeft geïmplementeerd om gebruikers te beschermen tegen kwaadaardige COM/OLE controls. Deze OLE controls maken het mogelijk om externe objecten in documenten in te bedden en ermee te interageren. Door onjuiste validatie kunnen aanvallers echter beschermende maatregelen omzeilen.

De aanvalsvector is geclassificeerd als "Lokaal" (AV:L) met een lage aanval complexiteit (AC:L), waarbij geen privileges vereist zijn (PR: N) maar wel gebruikersinteractie (UI: R). Aanvallers moeten een speciaal ontworpen Office document maken en slachtoffers overtuigen om het te openen via phishing e-mails of andere social engineering methoden. Het exploitatiebereik is ongewijzigd (S: U), wat betekent dat de kwetsbare component geen invloed heeft op resources buiten zijn beveiligingsbereik.

In tegenstelling tot traditionele macro-gebaseerde aanvallen die beveiligingswaarschuwingen activeren, omzeilt CVE-2026-21514 deze beveiligingen volledig. Wanneer gebruikers kwaadaardige documenten openen, wordt de exploit uitgevoerd zonder "Inhoud inschakelen" prompts of Protected View waarschuwingen weer te geven die gebruikers doorgaans waarschuwen voor potentiële bedreigingen. De exploit code maturity is beoordeeld als "Functioneel" (E: F), wat aangeeft dat er werkende exploit code bestaat en is ingezet in real-world aanvallen.

De kwetsbaarheid treft meerdere Office versies, waaronder Microsoft 365 Apps for Enterprise (32-bit en 64-bit), Office LTSC 2021 en 2024 edities, en Office LTSC voor Mac 2021 en 2024. Microsoft heeft officiële fixes uitgebracht via Click-to-Run updates voor Windows versies en versie 16.106.26020821 voor Mac systemen.

CISA heeft federale agentschappen verplicht om deze kwetsbaarheid vóór 3 maart 2026 te patchen, wat de ernst ervan weerspiegelt. Organisaties wordt aangeraden om onmiddellijk beschikbare beveiligingsupdates te implementeren, e-mailfiltering te implementeren om verdachte Office documenten te blokkeren en gebruikers voor te lichten over het openen van ongevraagde bijlagen. Overweeg om de uitvoering van OLE objecten te beperken via Group Policy instellingen totdat patches zijn toegepast.

Beveiligingsonderzoekers van Google Threat Intelligence Group en de interne beveiligingsteams van Microsoft hebben samengewerkt om deze dreiging te identificeren en te verhelpen.

Bron: Microsoft

Op 11 februari 2026 heeft Microsoft beveiligingsupdates uitgebracht om 59 kwetsbaarheden in zijn software te verhelpen, waaronder zes waarvan bekend is dat ze actief worden misbruikt. Van de 59 lekken zijn er vijf beoordeeld als Kritiek, 52 als Belangrijk en twee als Gemiddeld. Vijfentwintig van de gepatchte kwetsbaarheden zijn geclassificeerd als privilegeverhoging, gevolgd door remote code execution (12), spoofing (7), information disclosure (6), security feature bypass (5), denial-of-service (3) en cross-site scripting (1).

De patches komen bovenop drie beveiligingslekken die Microsoft al in zijn Edge-browser heeft verholpen sinds de release van de Patch Tuesday-update van januari 2026, waaronder een Gemiddelde kwetsbaarheid in de Edge-browser voor Android (CVE-2026-0391, CVSS-score: 6.5). Deze kwetsbaarheid zou een niet-geautoriseerde aanvaller in staat kunnen stellen om spoofing via een netwerk uit te voeren door misbruik te maken van een "user interface misrepresentation of critical information."

De zes kwetsbaarheden die actief worden misbruikt zijn:

- CVE-2026-21510 (CVSS-score: 8.8) - Een falende beveiliging in Windows Shell waardoor een niet-geautoriseerde aanvaller een beveiligingsfunctie via een netwerk kan omzeilen.

- CVE-2026-21513 (CVSS-score: 8.8) - Een falende beveiliging in MSHTML Framework waardoor een niet-geautoriseerde aanvaller een beveiligingsfunctie via een netwerk kan omzeilen.

- CVE-2026-21514 (CVSS-score: 7.8) - Een afhankelijkheid van niet-vertrouwde inputs in een beveiligingsbeslissing in Microsoft Office Word waardoor een niet-geautoriseerde aanvaller een beveiligingsfunctie lokaal kan omzeilen.

- CVE-2026-21519 (CVSS-score: 7.8) - Een type confusion in de Desktop Window Manager waardoor een geautoriseerde aanvaller lokaal privileges kan verhogen.

- CVE-2026-21525 (CVSS-score: 6.2) - Een null pointer dereference in Windows Remote Access Connection Manager waardoor een niet-geautoriseerde aanvaller lokaal een denial of service kan veroorzaken.

- CVE-2026-21533 (CVSS-score: 7.8) - Een onjuist privilege management in Windows Remote Desktop waardoor een niet-geautoriseerde aanvaller lokaal privileges kan verhogen.

Microsoft en Google Threat Intelligence Group (GTIG) worden genoemd als de ontdekkers van de eerste drie lekken. Er zijn momenteel geen details over hoe de kwetsbaarheden worden misbruikt en of ze onderdeel zijn van dezelfde campagne.

Jack Bicer, directeur vulnerability research bij Action1, zegt dat CVE-2026-21513 een security feature bypass kwetsbaarheid is in het Microsoft MSHTML Framework. Een kwaadaardig bestand kan Windows-beveiligingsprompts omzeilen en gevaarlijke acties activeren met een enkele klik. Satnam Narang van Tenable zegt dat CVE-2026-21513 en CVE-2026-21514 veel overeenkomsten vertonen met CVE-2026-21510, met als belangrijkste verschil dat CVE-2026-21513 ook kan worden misbruikt met een HTML-bestand, terwijl CVE-2026-21514 alleen kan worden misbruikt met een Microsoft Office-bestand.

CVE-2026-21525 is gekoppeld aan een zero-day die ACROS Security's 0patch-service in december 2025 ontdekte tijdens een onderzoek naar een andere gerelateerde kwetsbaarheid in dezelfde component (CVE-2025-59230). Kev Breen van Immersive zegt dat CVE-2026-21519 en CVE-2026-21533 local privilege escalation kwetsbaarheden zijn. Een aanvaller moet al toegang hebben tot een kwetsbare host, bijvoorbeeld via een kwaadaardige bijlage, een remote code execution kwetsbaarheid of laterale beweging vanaf een ander gecompromitteerd systeem. Met dit niveau van toegang kan een dreigingsactor beveiligingstools uitschakelen, extra malware implementeren of toegang krijgen tot geheimen die kunnen leiden tot volledige domeincompromittering.

CrowdStrike zegt dat het de exploitatie niet toeschrijft aan een specifieke tegenstander, maar merkt op dat dreigingsactoren die in het bezit zijn van de exploit binaries waarschijnlijk hun inspanningen zullen opvoeren om ze op korte termijn te gebruiken of te verkopen. Adam Meyers van CrowdStrike zegt dat de CVE-2026-21533 exploit binary een serviceconfiguratiesleutel wijzigt en deze vervangt door een sleutel die door de aanvaller wordt beheerd, waardoor privileges kunnen worden verhoogd om een nieuwe gebruiker aan de Administrator-groep toe te voegen.

CISA heeft alle zes kwetsbaarheden toegevoegd aan de Known Exploited Vulnerabilities (KEV) catalogus en vereist dat federale civiele uitvoerende instanties (FCEB) de fixes toepassen vóór 3 maart 2026.

Microsoft rolt ook bijgewerkte Secure Boot-certificaten uit om de originele certificaten uit 2011 te vervangen die eind juni 2026 verlopen. De nieuwe certificaten worden geïnstalleerd via het reguliere maandelijkse Windows-updateproces. Als een apparaat de nieuwe Secure Boot-certificaten niet ontvangt voordat de certificaten van 2011 verlopen, blijft de pc normaal functioneren en blijft bestaande software werken, maar het apparaat komt in een verminderde beveiligingsstatus terecht die de mogelijkheden om toekomstige boot-level beschermingen te ontvangen beperkt.

Microsoft versterkt ook de standaardbeveiligingen in Windows via twee beveiligingsinitiatieven: Windows Baseline Security Mode en User Transparency and Consent. Met Windows Baseline Security Mode zal Windows standaard werken met runtime integrity safeguards ingeschakeld. User Transparency and Consent, analoog aan Apple macOS Transparency, Consent, and Control (TCC) framework, introduceert een consistente aanpak voor het omgaan met beveiligingsbeslissingen. Het besturingssysteem zal gebruikers vragen wanneer apps toegang proberen te krijgen tot gevoelige bronnen, zoals bestanden, de camera of de microfoon, of wanneer ze proberen andere onbedoelde software te installeren.

Bron: Microsoft

Het Cybercentrum België (CCB) waarschuwt voor beveiligingslekken in Ivanti Endpoint Manager (EPM) en adviseert gebruikers om onmiddellijk de beschikbare security update te installeren. De kwetsbaarheden betreffen CVE-2026-1602 en CVE-2026-1603.

CVE-2026-1602 heeft een CVSS-score van 8.6 en wordt geclassificeerd als een hoog risico. CVE-2026-1603 heeft een CVSS-score van 6.5 en wordt geclassificeerd als een laag risico. Meer details over de kwetsbaarheden zijn te vinden in de security advisory van Ivanti voor EPM van februari 2026.

Het CCB benadrukt het belang van snelle patching om potentiële risico's te minimaliseren. Organisaties worden aangemoedigd om de Ivanti security advisory te raadplegen voor gedetailleerde informatie en instructies over het installeren van de update. Het CCB biedt tevens de mogelijkheid om incidenten te melden via hun website.

Bron: CCB | Bron 2: nvd.nist.gov | Bron 3: hub.ivanti.com

Het Cyber ​​Security Center Belgium (CCB) waarschuwt voor de Microsoft Patch Tuesday van februari 2026, waarbij 54 kwetsbaarheden zijn gepatcht. Van deze kwetsbaarheden zijn er 2 als kritiek beoordeeld, 51 als belangrijk en 1 als matig. Het CCB adviseert om de patches onmiddellijk te installeren.

Onder de kritieke kwetsbaarheden bevinden zich CVE-2026-21513 en CVE-2026-21510. Verschillende andere kwetsbaarheden die zijn gepatcht, zijn CVE-2026-21533, CVE-2026-21519, CVE-2026-21525, CVE-2026-21511 en CVE-2026-21514.

Het CCB benadrukt het belang van het snel doorvoeren van deze updates om systemen te beschermen tegen potentiële aanvallen.

Bron: CCB | Bron 2: msrc.microsoft.com | Bron 3: cisa.gov | Bron 4: tenable.com

Een ernstige kwetsbaarheid in de JavaScript-bibliotheek SandboxJS maakt het mogelijk voor aanvallers om willekeurige code uit te voeren op hostsystemen. De kwetsbaarheid, geregistreerd als CVE-2026-25881 met een kritieke CVSS-score van 8.3/10, treft alle versies tot 0.8.30 en is gepatcht in versie 0.8.31.

De kwetsbaarheid maakt misbruik van een zwakte in het beschermingsmechanisme van SandboxJS. De bibliotheek gebruikt een "isGlobal" vlag om te voorkomen dat sandboxed code host systeemobjecten wijzigt. Echter, wanneer globale prototype referenties zoals `Map.prototype` of `Set.Prototypes` in een array worden geplaatst en vervolgens opgehaald, wordt de beschermende vlag verwijderd. Dit proces, genaamd "prototype pollution", stelt aanvallers in staat om core JavaScript objecten permanent te wijzigen.

Sandboxed code kan bijvoorbeeld een kwaadaardige `command` property injecteren in het `Map` prototype, die vervolgens persistent blijft in de gehele host applicatie. Wanneer de host code later deze vervuilde property gebruikt in gevoelige operaties, zoals het uitvoeren van systeemcommando's, kunnen aanvallers remote code execution bereiken.

Security researcher k14uz heeft werkende exploit code vrijgegeven die drie aanvalsscenario's demonstreert. De eenvoudigste proof-of-concept laat zien hoe sandboxed code een "polluted" property kan toevoegen aan het `Map` prototype, die vervolgens verschijnt in alle nieuwe `Map` objecten die door de host worden gemaakt. Meer gevaarlijke demonstraties omvatten het overschrijven van ingebouwde functies en het uitvoeren van systeemcommando's zoals "id" om gebruikersinformatie te onthullen.

De aanvalsketen is als volgt: elke applicatie die SandboxJS gebruikt om niet-vertrouwde JavaScript code uit te voeren, is kwetsbaar. Aanvallers kunnen de sandbox isolatie doorbreken, de host execution flow manipuleren en mogelijk volledige systeemtoegang krijgen, afhankelijk van hoe de host applicatie de vervuilde properties verwerkt.

Volgens de gepubliceerde advisory moeten ontwikkelaars onmiddellijk upgraden naar versie 0.8.31, die beschermingsvlaggen behoudt over array operaties en schrijfbewerkingen naar ingebouwde prototypes blokkeert. Als extra verdediging zouden security teams ingebouwde prototypes moeten bevriezen voordat ze niet-vertrouwde code uitvoeren en applicaties moeten controleren op gevoelige operaties die mogelijk door de gebruiker beheerde object properties gebruiken. Deze kwetsbaarheid benadrukt de uitdagingen van het creëren van veilige JavaScript sandboxes en het belang van defense-in-depth bij het verwerken van niet-vertrouwde code.

Bron: SandboxJS | Bron 2: github.com

Er is een ernstige kwetsbaarheid ontdekt in Fiber v2, een populair Go web framework. Deze kwetsbaarheid kan aanvallers in staat stellen om gebruikerssessies te kapen, beveiligingsmechanismen te omzeilen en denial-of-service aanvallen uit te voeren. De kwetsbaarheid treft alle Fiber v2 versies die draaien op Go 1.23 of eerder en is zes dagen geleden gemeld door de framework maintainer.

De kwetsbaarheid bevindt zich in Fiber v2’s UUID generatie functies, die worden gebruikt om unieke identificatoren te creëren voor sessies, CSRF tokens en andere security-kritische componenten. Wanneer de random number generator van het systeem er niet in slaagt om veilige random getallen te leveren, wat zelden voorkomt maar wel mogelijk is, vallen deze functies terug op het genereren van een voorspelbare "zero UUID" (00000000-0000-0000-0000-000000000000) in plaats van ontwikkelaars te waarschuwen voor het probleem. Dit stille falen is extra gevaarlijk omdat ontwikkelaars niet kunnen weten dat hun security tokens voorspelbaar zijn geworden.

Het probleem treft voornamelijk gebruikers die Go versies vóór 1.24 gebruiken, omdat nieuwere versies random failures anders behandelen, door te blokkeren of te ‘panicken’ in plaats van errors terug te geven.

De voorspelbare UUID generatie creëert meerdere security risico's. Aanvallers kunnen sessie identificatoren voorspellen, waardoor ze legitieme gebruikers kunnen nabootsen zonder credentials te stelen. CSRF protection mechanismen die afhankelijk zijn van deze UUIDs worden ineffectief, waardoor cross-site request forgery aanvallen vrij spel hebben. Authenticatie tokens worden te raden, wat ongeautoriseerde toegang tot beschermde resources mogelijk maakt. Het meest zorgwekkend is het denial-of-service risico: wanneer meerdere gebruikers dezelfde zero UUID ontvangen, storten session stores en rate limiters ineen tot een enkele gedeelde key, wat data overschrijvingen en systeeminstabiliteit veroorzaakt.

Hoewel moderne Linux systemen zelden random failures ervaren, lopen bepaalde omgevingen een hoger risico. Containerized applicaties, sandboxed processen, embedded devices en verkeerd geconfigureerde systemen die geen toegang hebben tot randomness sources (/dev/urandom) zijn vatbaarder. Sandboxed omgevingen en systemen met restricted security policies kunnen de kwetsbaarheid ook triggeren.

Volgens de security advisory is Fiber versie 2.52.11 uitgebracht om de kritieke kwetsbaarheid te verhelpen. Organisaties die Fiber v2 gebruiken, moeten onmiddellijk upgraden naar deze patched versie. De fix is toegewezen aan CVE-2025-66630 en heeft een "Critical" severity rating met een CVSS score van 8.7. Systeembeheerders moeten ook verifiëren dat hun omgevingen toegang hebben tot veilige randomness sources en logs controleren op verdachte patronen van identieke sessie identificatoren.

Bron: Fiber | Bron 2: github.com

Microsoft heeft een beveiligingsupdate uitgebracht om een kwetsbaarheid in Windows Notepad te verhelpen. Het beveiligingslek maakt remote code execution (RCE) mogelijk. Volgens Microsoft doet het probleem zich voor wanneer Notepad-gebruikers op een kwaadaardige link in een Markdown-bestand klikken. Dit zorgt ervoor dat Notepad ongeverifieerde protocollen start die op afstand bestanden laden en op het systeem uitvoeren.

De kwetsbaarheid, aangeduid als CVE-2026-20841, heeft een CVSS-score van 8.8 op een schaal van 1 tot 10. Microsoft bedankt drie beveiligingsonderzoekers voor het melden van de kwetsbaarheid in het beveiligingsbulletin.

Op internet reageren gebruikers kritisch op de kwetsbaarheid. Een gebruiker op X merkt op dat Microsoft erin is geslaagd om een RCE-kwetsbaarheid in Notepad te creëren, een applicatie die alleen tekst weergeeft. Een andere gebruiker stelt dat het vinden van een RCE in Notepad, een app die letterlijk alleen tekst weergeeft, opmerkelijk is. Een derde gebruiker voegt eraan toe dat meer functies leiden tot meer complexiteit en dus een groter aanvalsoppervlak.

Ook op Hacker News zijn de reacties kritisch. Een gebruiker stelt dat Notepad al bijna dertig jaar de gouden standaard is voor een eenvoudige tool die precies één ding doet: tekst weergeven. Een CVSS-score van 8.8 voor een tool die bedoeld is om data te bekijken, is volgens de gebruiker een fundamenteel falen van het principe van de minste privileges. De gebruiker vraagt zich af of er niet gestopt moet worden met het toevoegen van features en de vraag gesteld moet worden of een teksteditor wel een netwerk-bewuste rendering stack nodig heeft.

Bron: Microsoft | Bron 2: access.redhat.com | Bron 3: oo-software.com | Bron 4: en.wikipedia.org

GitLab heeft een reeks kwetsbaarheden verholpen in GitLab Community Edition (CE) en Enterprise Edition (EE). De getroffen versies zijn alle versies vóór 18.6.6, 18.7.4 en 18.8.4. De kwetsbaarheden omvatten server-side request forgery (SSRF), wat ongeautoriseerde toegang tot interne netwerkservices mogelijk maakt. Daarnaast zijn er kwetsbaarheden gevonden die het mogelijk maken om kwaadaardige inhoud te injecteren en ongeautoriseerde acties uit te voeren via de GitLab Query Language (GLQL) API. Er is ook een kwetsbaarheid waardoor ongeautoriseerde informatie openbaar kan worden gemaakt via de API.

Een denial of service (DoS) aanval is mogelijk door overmatige GraphQL-queries. Authenticated gebruikers konden misbruik maken van deze kwetsbaarheden, wat zou kunnen leiden tot ongeautoriseerde toegang tot systemen, manipulatie van gebruikersacties en verstoring van de beschikbaarheid van systemen. Bovendien konden ongeauthenticeerde gebruikers een DoS-aanval veroorzaken door schadelijke bestanden te uploaden.

De kwetsbaarheden zijn verholpen in de meest recente updates van GitLab. Gebruikers van de getroffen versies wordt aangeraden om zo snel mogelijk te updaten om het risico op misbruik van deze kwetsbaarheden te minimaliseren. Door de updates zijn de betreffende exploits niet langer actief in de systemen.

Bron: NCSC

Fortinet heeft een reeks beveiligingslekken verholpen in verschillende versies van FortiOS, variërend van 7.0 tot 7.6.4, 7.4.0 tot 7.4.9, en 7.2.0 tot 7.2.11. De gepatchte kwetsbaarheden stellen aanvallers in staat tot diverse ongeautoriseerde acties, waaronder het omzeilen van authenticatie en het uitvoeren van ongeautoriseerde code.

Een van de meest kritieke kwetsbaarheden betreft een Authentication Bypass, waardoor ongeauthenticeerde aanvallers de LDAP-authenticatie kunnen omzeilen. Dit maakt het mogelijk om toegang te krijgen tot Agentless VPN of FSSO-beleid, afhankelijk van de specifieke configuratie van de LDAP-server. Daarnaast is er een kwetsbaarheid ontdekt die het mogelijk maakt voor ongeauthenticeerde aanvallers om gevoelige informatie te onthullen door patches te omzeilen via speciaal vervaardigde HTTP-verzoeken.

Verder is er een kwetsbaarheid die geauthenticeerde beheerders in staat stelt om ongeautoriseerde code uit te voeren via speciaal gemaakte configuraties. Ook kunnen geauthenticeerde gebruikers FSSO-beleid configuraties misbruiken om ongeautoriseerde toegang te verkrijgen tot beschermde netwerkbronnen. Deze kwetsbaarheden kunnen worden geëxploiteerd via speciaal vervaardigde verzoeken.

Het Nationaal Cyber Security Centrum (NCSC) adviseert beheerders om de nieuwste patches van Fortinet zo snel mogelijk te installeren om misbruik van deze kwetsbaarheden te voorkomen. Het is essentieel om de configuratie van LDAP-servers te controleren en te zorgen voor een adequate beveiliging van netwerkbronnen.

Bron: NCSC

Fortinet heeft meerdere kwetsbaarheden verholpen in verschillende van zijn producten, waaronder FortiSandbox, FortiAuthenticator en FortiClient. Dit blijkt uit een recent advies van het NCSC.

De kwetsbaarheid in FortiSandbox, specifiek in de versies 4.4.8 en 5.0.5, betreft een Cross-site Scripting (XSS) probleem. Hierdoor kunnen niet-geauthenticeerde aanvallers willekeurige commando's uitvoeren door middel van speciaal vervaardigde verzoeken. Dit stelt aanvallers in staat om kwaadaardige scripts in de context van de gebruiker uit te voeren, wat kan leiden tot het stelen van sessiecookies, het omleiden van gebruikers naar phishing-sites of het uitvoeren van andere schadelijke acties.

In FortiAuthenticator, specifiek in de versies 6.3 tot 6.6.6, is een kwetsbaarheid gevonden die te maken heeft met een ontbrekende autorisatie. Deze kwetsbaarheid maakt het voor gebruikers met alleen-lezen rechten mogelijk om lokale gebruikersaccounts te wijzigen. Dit kan gebeuren via een onbeveiligd bestand upload endpoint. Een aanvaller kan zo de rechten van andere gebruikers verhogen of wachtwoorden wijzigen, wat de integriteit en vertrouwelijkheid van het systeem in gevaar brengt.

De kwetsbaarheid in FortiClient, aanwezig in de versies 7.0, 7.2 en 7.4, stelt lokale aanvallers met lage privileges in staat om willekeurige bestandswijzigingen uit te voeren met verhoogde rechten. Dit wordt mogelijk gemaakt door speciaal vervaardigde named pipe berichten. Hierdoor kunnen aanvallers ongeautoriseerde toegang krijgen tot systeembestanden, wat kan leiden tot het compromitteren van het gehele systeem.

Het wordt aanbevolen om de getroffen producten zo snel mogelijk bij te werken naar de nieuwste versies om deze kwetsbaarheden te verhelpen.

Bron: NCSC

Ruim een half miljoen WordPress-sites zijn nog niet voorzien van een beveiligingsupdate die een kritieke kwetsbaarheid verhelpt in een populaire plug-in. Het gaat om de WPvivid Backup & Migration Plugin, die op meer dan 900.000 websites is geïnstalleerd. Deze plug-in maakt het mogelijk om WordPress-sites te back-uppen, migreren en stagen. De ontwikkelaars brachten op 28 januari een update uit, maar tot op heden hebben ongeveer 350.000 WordPress-sites de patch geïnstalleerd, waardoor 550.000 sites nog steeds risico lopen.

De kwetsbaarheid, aangeduid als CVE-2026-1357, maakt remote code execution (RCE) door ongeauthenticeerde aanvallers mogelijk. Een probleem met het decryptieproces, in combinatie met een gebrek aan 'path sanitization', stelt aanvallers in staat om willekeurige PHP-bestanden naar publiek toegankelijke directories te uploaden. Securitybedrijf Wordfence meldt dat dit uiteindelijk leidt tot remote code execution. De impact van de kwetsbaarheid is beoordeeld met een score van 9.8 op een schaal van 1 tot 10.

Het risico is aanwezig als websites een key in de instellingen van de plug-in hebben gegenereerd, waardoor een andere site back-ups naar hen kan sturen. Deze functie is standaard uitgeschakeld en gegenereerde keys verlopen na 24 uur. Wordfence informeerde de ontwikkelaars van de plug-in op 22 januari over het probleem. De update naar versie 0.9.124, die de kwetsbaarheid verhelpt, werd op 28 januari uitgebracht. WordPress.org houdt bij dat sindsdien ongeveer 350.000 van de meer dan 900.000 sites met de plug-in de update hebben geïnstalleerd.

Bron: Wordfence

Het Cyber Security Centre Belgium (CCB) waarschuwt voor meerdere kritieke kwetsbaarheden in N8n, een workflow automation platform. De kwetsbaarheden, met risiconiveaus variërend van Laag tot Kritiek, kunnen leiden tot aanzienlijke veiligheidsrisico's.

De volgende CVE-nummers zijn aan N8n toegewezen: CVE-2026-25054 (CVSS 8.5), CVE-2026-25052 (CVSS 9.4), CVE-2026-25115 (CVSS 7.7), CVE-2025-61917 (CVSS 4.0), CVE-2026-25051 (CVSS 3.1), CVE-2026-25053 (CVSS 7.1), CVE-2026-25055, CVE-2026-25056, CVE-2026-25117 en CVE-2026-25049. De CVSS-scores variëren van 3.1 tot 9.4, wat wijst op een breed spectrum aan potentiële impact.

Het CCB adviseert gebruikers van N8n om de getroffen versies te controleren en de nodige updates uit te voeren. Meer details over de getroffen versies zijn te vinden via de link in de bronsectie.

Het CCB biedt via haar website informatie voor overheid, cybersecurity experts en beheert initiatieven zoals Cyber Threat Research & Intelligence Sharing (CyTRIS), National Cybersecurity Certification Authority (NCCA) en National Cybersecurity Coordination Centre Belgium (NCC-BE). Incidenten kunnen gemeld worden via de website van het CCB. Meer informatie over de kwetsbaarheden is te vinden op de security pagina van N8n op GitHub.

Bron: CCB | Bron 2: github.com