• Naar pagina

Het RondoDox-botnet maakt momenteel actief gebruik van een kritieke kwetsbaarheid in het Next.js-framework om servers te infiltreren en te voorzien van malware en cryptominers. Het lek, bekend onder de code CVE-2025-55182 of React2Shell, stelt ongeautoriseerde aanvallers in staat om via een enkel HTTP-verzoek op afstand code uit te voeren. Deze kwetsbaarheid treft frameworks die het React Server Components 'Flight'-protocol implementeren, waaronder Next.js.

Onderzoek van beveiligingsbedrijf CloudSEK wijst uit dat het botnet op 8 december 2025 begon met het scannen naar kwetsbare Next.js-servers, gevolgd door de eerste infecties op 11 december. De aanvalsintensiteit is hoog, met meer dan veertig gedocumenteerde exploitatiepogingen binnen een periode van zes dagen in december. Volgens gegevens van de Shadowserver Foundation waren er op 30 december 2025 wereldwijd nog ruim 94.000 systemen via het internet bereikbaar die vatbaar zijn voor deze exploit. Binnen de Benelux zijn er specifiek 812 systemen in Nederland en 81 in België geïdentificeerd die nog kwetsbaar zijn voor deze aanval.

De operationele strategie van RondoDox is gedurende 2025 verschoven van verkenning en het testen van kwetsbaarheden in het voorjaar naar grootschalige exploitatie en de inzet van een IoT-botnet in de tweede helft van het jaar. Naast servers worden ook consumenten- en bedrijfsrouters van merken zoals Linksys en Wavlink aangevallen om de botnetcapaciteit te vergroten. Zodra een systeem is binnengedrongen, installeert het botnet diverse componenten, waaronder een cryptominer, een botnet-loader en een variant van de Mirai-malware.

Een specifiek onderdeel van de gebruikte payload, genaamd 'bolts', is verantwoordelijk voor het handhaven van de controle over de gecompromitteerde host. Deze component verwijdert malware van concurrerende botnets, dwingt persistentie af via de systeemconfiguratie en beëindigt periodiek alle processen die niet op een whitelist staan. De React2Shell-kwetsbaarheid is eerder ook misbruikt door andere actoren voor het verspreiden van verschillende malwarefamilies. Het tijdig patchen van Next.js-omgevingen en het monitoren van verdachte serverprocessen zijn noodzakelijke stappen om infectie door dit botnet te voorkomen.

Bron 1, 2

Er is een kritiek beveiligingslek ontdekt in de veelgebruikte opensource-webmailsoftware Roundcube. De kwetsbaarheid stelt aanvallers in staat om op afstand e-mailaccounts over te nemen. De Poolse overheid en het Nationaal Cyber Security Centrum hebben officiële waarschuwingen afgegeven vanwege de ernst van het probleem. Roundcube wordt door een breed scala aan organisaties gebruikt voor het beheren van e-mailverkeer via de browser.

De kwetsbaarheid, die de identificatie CVE-2025-68461 draagt, is een cross-site scripting probleem dat aan het licht werd gebracht door een beveiligingsonderzoeker. De aanval kan worden uitgevoerd door een e-mail te versturen die een specifiek geprepareerd SVG-bestand bevat. Wanneer een gebruiker deze e-mail opent, wordt er kwaadaardige JavaScript-code uitgevoerd binnen de browser. Dit proces stelt een aanvaller in staat om e-mails te onderscheppen of de volledige controle over het betreffende e-mailaccount te verkrijgen.

In het verleden zijn beveiligingslekken in deze software vaker gebruikt voor actieve aanvallen op e-mailsystemen. Het misbruik van dergelijke zwakheden is een bekende methode voor het stelen van gevoelige informatie. Vanwege het risico op ongeautoriseerde toegang tot communicatiegegevens wordt de noodzaak voor onmiddellijke actie door systeembeheerders onderstreept.

Om de kwetsbaarheid te verhelpen, zijn er beveiligingsupdates uitgebracht. Gebruikers van de software dienen hun systemen bij te werken naar versies 1.6.12 of 1.5.12. In deze versies is de wijze waarop de webmailclient SVG-bestanden verwerkt gecorrigeerd, waardoor de uitvoering van schadelijke scripts via deze route niet langer mogelijk is.

Bron 1, 2, 3

De cybersecurity-gemeenschap werd eind december 2025 geconfronteerd met een ernstig beveiligingslek in MongoDB, dat de naam Mongobleed heeft gekregen. Deze kwetsbaarheid, geregistreerd onder CVE-2025-14847, stelt ongeauthenticeerde aanvallers in staat om gevoelige gegevens rechtstreeks uit het servergeheugen te ontvreemden. Met een CVSS-score van 8,7 en naar schatting meer dan 87.000 kwetsbare MongoDB-instanties die wereldwijd direct via het internet toegankelijk zijn, wordt dit lek beschouwd als een van de meest urgente bedreigingen voor database-infrastructuur van dit jaar. De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft de kwetsbaarheid op 29 december 2025 toegevoegd aan de lijst met actief misbruikte kwetsbaarheden, waarbij een strikte deadline voor herstel is gesteld voor federale instanties.

De technische oorzaak van Mongobleed ligt in de onjuiste verwerking van inconsistenties in lengteparameters binnen de zlib-gecomprimeerde netwerkberichtheaders van MongoDB Server. Bij het verwerken van specifiek gemanipuleerde gecomprimeerde berichten kan de server ongeïnitialiseerd heap-geheugen terugsturen naar externe clients zonder dat hiervoor enige authenticatie vereist is. Deze fundamentele fout in de decompressielogica stelt aanvallers in staat om fragmenten van in-memory data te lekken. Hieronder vallen kritieke gegevens zoals database-inloggegevens, API-sleutels, authenticatietokens, sessiegegevens en persoonlijk identificeerbare informatie (PII).

Wat Mongobleed bijzonder gevaarlijk maakt, is dat de exploitatie plaatsvindt tijdens de pre-authenticatie-fase van de verbinding. Elke MongoDB-server die aan het internet is blootgesteld en waarbij zlib-compressie is ingeschakeld, is direct vatbaar voor aanvallen. Sinds 26 december 2025 is er publieke proof-of-concept exploitcode beschikbaar, wat de drempel voor misbruik aanzienlijk heeft verlaagd voor zowel opportunistische aanvallers als geavanceerde dreigingsactoren. De aanvalsmethode maakt gebruik van speciaal vervaardigde pakketten met onjuiste lengtevelden, waardoor de server meer geheugen reserveert dan nodig is en vervolgens "vuil" geheugen retourneert dat restanten van eerdere operaties bevat.

Het incident onderstreept dat pre-authenticatie kwetsbaarheden de meest kritieke categorie beveiligingsfouten vormen, omdat ze traditionele toegangscontroles volledig omzeilen. In tegenstelling tot post-authenticatie lekken, waarbij geldige inloggegevens nodig zijn, biedt CVE-2025-14847 onbevoegden toegang tot infrastructuur puur op basis van netwerkconnectiviteit. Dit maakt investeringen in sterke wachtwoorden of multi-factor authenticatie op dat specifieke punt irrelevant. Er worden parallellen getrokken met het Heartbleed-lek uit 2014, hoewel Mongobleed zich specifiek richt op databasesystemen waar doorgaans de meest waardevolle bedrijfsactiva zijn opgeslagen.

De kwetsbaarheid treft MongoDB Server-versies over een periode van bijna tien jaar, inclusief versies 4.4 tot en met 8.2. Oudere, niet langer ondersteunde versies zoals 3.6, 4.0 en 4.2 blijven permanent kwetsbaar omdat hiervoor geen officiële patches worden uitgebracht. Organisaties die hun database-instanties direct aan het internet hebben blootgesteld, blijken geen bescherming te ontlenen aan TLS/SSL-encryptie, aangezien de aanval op protocolniveau plaatsvindt binnen de gecomprimeerde datastroom. Het onderzoek toont aan dat netwerksegmentatie een cruciale defensieve laag is; databaseservers zouden niet direct toegankelijk mogen zijn vanaf onvertrouwde netwerken.

Een belangrijke bevinding voor forensisch onderzoek is dat pogingen tot exploitatie herkenbaar zijn aan een extreem hoge verbindingssnelheid, die kan oplopen tot meer dan 111.000 verbindingen per minuut. Daarnaast is het installeren van een patch alleen onvoldoende om de veiligheid te garanderen. Omdat het lek ongeïnitialiseerd geheugen vrijgeeft, is het onmogelijk om met zekerheid vast te stellen welke gegevens zijn blootgesteld voordat de patch werd toegepast. Daarom is het noodzakelijk om na het patchen direct alle mogelijk gecompromitteerde geheimen te roteren, waaronder database-wachtwoorden, API-sleutels, cloud-toegangssleutels en sessietokens.

Bron 1

Een recent geïdentificeerde kwetsbaarheid in het Moodle-platform, geregistreerd onder kenmerk CVE-2025-26529, vormt een aanzienlijk beveiligingsrisico voor organisaties die gebruikmaken van dit leerbeheersysteem. Het lek bevindt zich in de live-logfunctionaliteit van de site-administratie, een onderdeel dat door beheerders wordt gebruikt om systeemactiviteiten in real-time te monitoren. De kwetsbaarheid ontstaat doordat bepaalde beschrijvingsinformatie in deze logs onvoldoende wordt gesaneerd voordat deze in de beheerdersinterface wordt weergegeven.

Dit gebrek aan data-reiniging maakt een Stored Cross-Site Scripting (XSS) aanval mogelijk. Hierbij kan kwaadaardige code in de database van het platform worden opgeslagen, die vervolgens automatisch wordt uitgevoerd in de browser van een beheerder zodra deze de logpagina opent. Omdat beheerders over de hoogste rechten binnen het systeem beschikken, kan de uitvoering van dergelijke scripts leiden tot de volledige overname van beheersessies.

De ernst van deze kwetsbaarheid wordt versterkt door de mogelijkheid tot escalatie naar Remote Code Execution (RCE). Door de XSS-aanval te combineren met andere zwakheden in de configuratie, kan een aanvaller in staat zijn om op afstand opdrachten uit te voeren op de server die de Moodle-omgeving host. Dit geeft een aanvaller potentieel volledige toegang tot gevoelige gebruikersgegevens, cursusmateriaal en de onderliggende IT-infrastructuur.

Gezien het wijdverbreide gebruik van Moodle binnen het onderwijs en de overheid in Nederland en België, is het noodzakelijk dat systeembeheerders de beschikbare beveiligingsupdates onmiddellijk implementeren. De kwetsbaarheid is aanwezig in diverse actieve versies van het platform en wordt verholpen in de meest recente onderhoudsreleases. Het bijwerken naar de laatste stabiele versie is de enige effectieve maatregel om dit specifieke aanvalsvector te sluiten en de integriteit van de leeromgeving te waarborgen.

Bron 1

The Shadowserver Foundation heeft besloten een ernstige kwetsbaarheid in Fortinet SSL-VPN op te nemen in haar dagelijkse rapportages over kwetsbare HTTP-diensten. Het betreft de kwetsbaarheid met het kenmerk CVE-2020-12812, die al vijf jaar bekend is. Hoewel de fabrikant reeds in juli 2020 beveiligingsupdates beschikbaar stelde, zijn er wereldwijd nog altijd meer dan tienduizend systemen ongepatcht. Uit actuele data blijkt dat deze kwetsbare systemen zich ook in de Benelux bevinden; in Nederland staan nog 48 firewalls open voor dit lek en in België gaat het om 46 systemen.

De betreffende kwetsbaarheid stelt kwaadwillenden in staat om de ingeschakelde tweefactorauthenticatie voor een VPN-account te omzeilen. Dit beveiligingsprobleem doet zich voor wanneer tweefactorauthenticatie is geactiveerd binnen de lokale gebruikersinstellingen en er tegelijkertijd een externe authenticatiemethode voor de gebruiker is ingesteld. Een aanvaller kan door het wijzigen van de gebruikersnaam de extra beveiligingslaag passeren. Vanwege de impact op de toegangsbeveiliging is de ernst van dit lek beoordeeld met een kritieke score van 9,8 op een schaal van tien.

Fortinet heeft recent gewaarschuwd dat deze kwetsbaarheid nog altijd actief wordt uitgebuit, waarbij de aanvallen zich specifiek richten op configuraties die gebruikmaken van het Lightweight Directory Access Protocol ofwel LDAP. The Shadowserver Foundation identificeert via hun rapportage hosts die de kwetsbare service draaien en bevestigt dat deze systemen, inclusief de aantallen in Nederland en België, actief doelwit kunnen zijn van cyberaanvallen.

Bron 1

Onderzoekers van beveiligingsbedrijf Pen Test Partners hebben ernstige kwetsbaarheden aangetroffen in de AI-chatbot van treinvervoerder Eurostar. Door specifieke zwakheden in de onderliggende API was het mogelijk om de geprogrammeerde veiligheidsrestricties, oftewel de guardrails, te omzeilen. Deze tekortkoming stelde kwaadwillenden in staat om cross-site scripting (XSS)-aanvallen uit te voeren en de interne systeeminstructies van de chatbot te achterhalen.

De technische oorzaak van het lek bevond zich in de validatieprocessen van de API. Het systeem controleerde uitsluitend het meest recente bericht van een gebruiker op veiligheidsrisico's, terwijl eerdere berichten in de conversatiegeschiedenis niet opnieuw werden geverifieerd. De onderzoekers demonstreerden dat deze logica kon worden misbruikt door eerst een legitiem en onschuldig bericht te verzenden. Nadat dit bericht door de beveiliging was goedgekeurd, werd de inhoud achteraf gewijzigd naar kwaadaardige code. Omdat de chatbot het bericht reeds als veilig had gemarkeerd en na de wijziging geen nieuwe controle uitvoerde, werd de aanvalscode zonder belemmering verwerkt.

Het proces rondom de verantwoorde melding van deze kwetsbaarheid verliep moeizaam. Pen Test Partners rapporteerde de bevindingen via het officiële vulnerability disclosure-programma van de vervoersmaatschappij, maar ontving aanvankelijk geen reactie. Later werd duidelijk dat de rapporten verloren waren gegaan tijdens de migratie naar een nieuwe meldpagina en een aangepast proces voor het rapporteren van softwarefouten.

Vanwege het uitblijven van een reactie nam Ken Munro, managing partner bij het onderzoeksbureau, via LinkedIn contact op met het hoofd beveiliging van Eurostar om te verifiëren of de melding was aangekomen. Deze escalatie leidde tot een conflict waarbij de beveiligingsfunctionaris van Eurostar de benadering kwalificeerde als afpersing. Pen Test Partners weersprak deze beschuldiging stellig en benadrukte dat er te goeder trouw werd gehandeld nadat de reguliere kanalen faalden. Volgens de onderzoekers ontbrak bovendien elke vorm van dreiging, wat een essentieel onderdeel is van de definitie van afpersing.

Bron 1

De snelle opkomst van op kunstmatige intelligentie gebaseerde Integrated Development Environments, zoals Cursor, Windsurf en Google Antigravity, heeft een aanzienlijk beveiligingsrisico in de softwaretoeleveringsketen blootgelegd. Uit technisch onderzoek is gebleken dat deze applicaties proactief extensies aanbevalen die op de gebruikte marktplaatsen nog niet bestonden. Dit bood kwaadwillenden de mogelijkheid om deze namen te registreren en malafide software te verspreiden onder miljoenen ontwikkelaars wereldwijd.

De kwetsbaarheid vloeit voort uit het feit dat deze AI-ontwikkelomgevingen forks zijn van Visual Studio Code. Hoewel ze de configuratie met aanbevolen extensies van VS Code overnamen, hebben ze geen toegang tot de officiële Microsoft Marketplace. In plaats daarvan maken deze omgevingen gebruik van OpenVSX, een opensource alternatief. Veel van de aanbevolen extensies waren echter wel aanwezig op de Microsoft-marktplaats, maar nog niet geclaimd of geüpload naar OpenVSX. Hierdoor bleven kritieke namespaces openstaan voor registratie door derden.

Het risico manifesteerde zich op twee manieren. Ten eerste via bestandsgebaseerde aanbevelingen, waarbij de omgeving een extensie suggereert zodra een gebruiker een specifiek bestandstype opent, zoals een configuratie voor Azure Pipelines. Ten tweede via softwaregebaseerde aanbevelingen, waarbij de omgeving detecteert welke software op het systeem van de gebruiker staat, zoals PostgreSQL, en daarop een bijbehorende plugin adviseert. Omdat de aanbeveling vanuit de vertrouwde ontwikkelomgeving zelf komt, is de kans op installatie door de gebruiker groot.

Tijdens het onderzoek werden diverse onbeheerde namespaces preventief geclaimd om misbruik te voorkomen, waaronder die voor PostgreSQL, Azure Pipelines en Heroku. Hoewel deze placeholder-extensies geen functionaliteit bevatten en expliciet als zodanig waren gelabeld, werden ze meer dan duizend keer geïnstalleerd. Dit bevestigt het hoge vertrouwen dat gebruikers stellen in de automatische suggesties van hun softwarepakketten.

De afhandeling van de meldingen door de betrokken techbedrijven verliep wisselend. Google erkende de kwetsbaarheid in Antigravity na aanvankelijke afwijzingen en voerde op 1 januari 2026 een volledige correctie door. Andere partijen, waaronder Cursor en Windsurf, hebben tot op heden niet gereageerd op de beveiligingsrapporten. De Eclipse Foundation, beheerder van OpenVSX, heeft in samenwerking met de onderzoekers aanvullende veiligheidsmaatregelen getroffen om de resterende namespaces te verifiëren en de integriteit van het platform te waarborgen.

Bron 1

Microsoft heeft officieel gereageerd op meldingen van een cybersecurity-expert over meerdere potentiële beveiligingslekken in de AI-assistent Copilot. Het technologiebedrijf stelt dat de gevonden problemen niet voldoen aan de criteria voor een beveiligingskwetsbaarheid en heeft de meldingen gesloten zonder reparatie uit te voeren. Deze beslissing onderstreept de groeiende verdeeldheid tussen softwareleveranciers en beveiligingsonderzoekers over de definitie van risico’s binnen generatieve AI-systemen. De kwestie kwam aan het licht nadat cybersecurity-engineer John Russell zijn bevindingen publiceerde over methoden om de veiligheidsmechanismen van Copilot te omzeilen.

De gerapporteerde problemen hebben betrekking op verschillende aspecten van de AI-interface en de onderliggende infrastructuur. Russell toonde aan dat zowel directe als indirecte prompt injection mogelijk was, wat leidde tot het lekken van de systeemprompt. Dit betreft de verborgen instructies die het gedrag van de AI sturen. Daarnaast identificeerde hij een methode om het uploadbeleid voor bestanden te omzeilen. Hoewel Copilot bepaalde risicovolle bestandstypes blokkeert, bleek het mogelijk deze restrictie te passeren door de inhoud te coderen in Base64-tekststrings. De AI decodeert deze informatie vervolgens binnen de sessie, waardoor de beveiligingsfilters voor bestandstypes effectief worden gepasseerd. Verder werd vastgesteld dat commando's konden worden uitgevoerd binnen de geïsoleerde Linux-omgeving van de assistent.

Binnen de professionele beveiligingsgemeenschap is de discussie over deze bevindingen verdeeld. Sommige experts wijzen op eerdere incidenten waarbij AI-modellen ontregeld raakten door verborgen instructies in documenten en ondersteunen de claim dat dit veiligheidsrisico's zijn. Andere onderzoekers stellen echter dat dergelijk gedrag een fundamentele beperking is van Large Language Models, die inherent moeite hebben om instructies van data te scheiden. Volgens deze visie zijn de bevindingen geen technische lekken, maar eigenschappen van de huidige technologie die lastig te verhelpen zijn zonder de functionaliteit van de tool te beperken. Russell spreekt dit tegen door te verwijzen naar concurrerende AI-systemen die deze specifieke manipulaties wel weten te blokkeren, wat zou duiden op ontoereikende invoervalidatie bij de softwaregigant.

Microsoft hanteert een strikte maatstaf bij de beoordeling van AI-gerelateerde meldingen en toetst deze aan hun publieke criteria. Een woordvoerder verklaarde dat de ingediende gevallen buiten de scope vallen omdat er geen kritieke beveiligingsgrens wordt overschreden. Volgens het bedrijf blijft de impact in deze gevallen beperkt tot de individuele omgeving van de gebruiker en worden er geen ongeautoriseerde privileges verkregen over systemen van derden of gevoelige bedrijfsdata. Organisaties zoals OWASP nuanceren dit eveneens door te stellen dat het lekken van een systeemprompt op zichzelf geen groot risico vormt, tenzij die prompt zelf gevoelige informatie bevat of als enige beveiligingsmaatregel dient. Het debat over waar een functionele beperking ophoudt en een beveiligingslek begint, blijft hiermee een centraal punt bij de verdere implementatie van AI in bedrijfsomgevingen.

Bron 1, 2, 3, 4, 5, 6

Google heeft een kritieke kwetsbaarheid in het Android-platform verholpen die betrekking heeft op de implementatie van Dolby-technologie binnen het mobiele besturingssysteem. De kwetsbaarheid, geregistreerd onder kenmerk CVE-2025-54957, bevindt zich in de Dolby Unified Decoder (UDC) versies 4.5 tot en met 4.13. Het defect is specifiek aanwezig in de DD+ Codec, die verantwoordelijk is voor de verwerking van digitale audiosignalen.

Beveiligingsonderzoek wijst uit dat de fout optreedt in het component evo_priv.c van de DD+ bitstream decoder. Tijdens de verwerking van gegevens wordt er in bepaalde gevallen onvoldoende bufferruimte toegewezen. Hierdoor wordt de controle op de geheugengrenzen niet correct uitgevoerd, wat een bufferoverflow kan veroorzaken. Een dergelijke technische fout stelt aanvallers in staat om gegevens te laten uitlekken uit het geheugen van het apparaat.

De beoordeling van de ernst van dit lek loopt uiteen bij de betrokken partijen. Op basis van de CVSS-score is de kwetsbaarheid initieel ingeschaald op 6,5, wat duidt op een gemiddelde impact. Dolby rapporteert dat misbruik in de meeste gevallen leidt tot het vastlopen of onverwacht herstarten van de mediaspeler op het toestel. Het bedrijf waarschuwt echter dat de impact aanzienlijk groter kan zijn wanneer het lek wordt gecombineerd met andere specifieke zwakheden in het Android-systeem, in het bijzonder bij Google Pixel-smartphones.

Google hanteert een hogere risicoclassificatie en heeft CVE-2025-54957 officieel als kritiek bestempeld in het beveiligingsbulletin van januari 2026. Door het uitrollen van deze updates wordt de kwetsbaarheid in de Dolby-decoder op het Android-platform geneutraliseerd. Het installeren van de meest recente beveiligingspatches is noodzakelijk om de integriteit van de getroffen systemen te waarborgen en misbruik van de bufferoverflow te voorkomen.

Bron 1, 2

Gebruikers van het npm-pakket @adonisjs/bodyparser hebben het advies gekregen om software-updates te installeren na de ontdekking van een kritiek beveiligingslek. De kwetsbaarheid, geregistreerd onder de code CVE-2026-21440, heeft een CVSS-score van 9.2 gekregen. Het lek stelt een externe aanzoeker in staat om via een omweg willekeurige bestanden naar de server te schrijven.

De fout bevindt zich in het mechanisme van AdonisJS dat verantwoordelijk is voor de verwerking van multipart-bestanden. @adonisjs/bodyparser is een onderdeel van het AdonisJS-framework, dat veel wordt gebruikt voor de ontwikkeling van webapplicaties en API-servers met TypeScript. Het probleem ontstaat specifiek wanneer de functie MultipartFile.move() wordt aangeroepen zonder dat er een tweede argument voor opties wordt meegegeven of wanneer de bestandsnaam niet handmatig wordt gesaneerd.

In dergelijke gevallen gebruikt de applicatie de ongewijzigde bestandsnaam die door de cliënt is opgegeven. Een kwaadwillende kan een bestandsnaam insturen die pad-traversal-sequenties bevat. Hiermee kan de opslaglocatie van het bestand worden gemanipuleerd, waardoor het buiten de beoogde uploadmap terechtkomt. Indien de configuratie toestaat dat bestaande bestanden worden overschreven, kunnen kritieke systeembestanden of applicatiecode worden aangetast.

Volgens de projectbeheerders kan dit leiden tot Remote Code Execution (RCE) wanneer een aanvaller in staat is om applicatiecode of startscripts te overschrijven die later door de server worden uitgevoerd. De mogelijkheid tot volledige overname van de server is echter afhankelijk van de specifieke bestandsrechten en de inrichting van de serveromgeving. Het lek treft alle versies tot en met 10.1.1 en is verholpen in versie 10.1.2. Ook voor de bètaversies van versie 11 is een fix beschikbaar gesteld in versie 11.0.0-next.6.

Tegelijkertijd is er een vergelijkbaar pad-traversal-lek gerapporteerd in de jsPDF-bibliotheek (CVE-2025-68428), eveneens met een CVSS-score van 9.2. Dit lek stelt aanvallers in staat om via onveilige paden de inhoud van lokale bestanden op het bestandssysteem op te vragen en deze te laten opnemen in gegenereerde PDF-documenten. Dit defect is op 3 januari 2026 gepatcht in jsPDF versie 4.0.0. Alleen de Node.js-builds van deze bibliotheek zijn kwetsbaar.

Bron 1, 2, 3

Er is een kritieke kwetsbaarheid ontdekt in het open-source automatiseringsplatform n8n die geautoriseerde gebruikers in staat stelt om willekeurige systeemcommando's uit te voeren op de onderliggende host. Dit beveiligingslek staat geregistreerd onder kenmerk CVE-2025-68668 en heeft een CVSS-score van 9,9 gekregen. De kwetsbaarheid is geïdentificeerd door onderzoekers van Cyera Research Labs en draagt de codenaam N8scape. Het incident betreft een fout in het beschermingsmechanisme van de applicatie, specifiek binnen de Python Code Node die gebruikmaakt van Pyodide.

Door deze fout ontstaat een mogelijkheid tot een sandbox-bypass. Een gebruiker die beschikt over de rechten om workflows aan te maken of te wijzigen, kan deze zwakte misbruiken om buiten de geïsoleerde omgeving te treden. Hierdoor kunnen commando's worden uitgevoerd met dezelfde privileges als het n8n-proces zelf. Het lek is aanwezig in alle versies van n8n vanaf versie 1.0.0 tot aan versie 2.0.0. De ontwikkelaars hebben in versie 2.0.0 een correctie doorgevoerd door de native Python-implementatie op basis van task runners standaard in te schakelen, wat zorgt voor een betere procesisolatie.

Organisaties die niet onmiddellijk kunnen overstappen naar versie 2.0.0 kunnen mitigerende maatregelen treffen via aanpassingen in de omgevingsvariabelen. Het is mogelijk de Code Node volledig uit te schakelen door de variabele NODES_EXCLUDE in te stellen op n8n-nodes-base.code. Een andere optie is het specifiek deactiveren van Python-ondersteuning in de Code Node door N8N_PYTHON_ENABLED op false te zetten. Tevens kunnen beheerders van oudere versies handmatig de task runner-gebaseerde Python sandbox forceren door de variabelen N8N_RUNNERS_ENABLED en N8N_NATIVE_PYTHON_RUNNER te configureren. Dit lek volgt kort op de reparatie van een andere kritieke kwetsbaarheid, CVE-2025-68613, die eveneens willekeurige code-executie mogelijk maakte.

Bron 1, 2

Het CERT Coordination Center heeft technische details vrijgegeven over een kritieke kwetsbaarheid in de TOTOLINK EX200 draadloze range extender. Het betreft een beveiligingslek in de firmware dat een kwaadwillende in staat stelt om op afstand de volledige controle over het apparaat over te nemen. Doordat de fabrikant geen patch heeft uitgebracht voor dit specifieke probleem, blijven actieve apparaten kwetsbaar voor manipulatie en overname.

De kwetsbaarheid is geregistreerd onder het kenmerk CVE-2025-65606 en bevindt zich in de logica voor foutafhandeling tijdens het uploaden van firmware. Wanneer het uploadmechanisme wordt geconfronteerd met een specifiek gemanipuleerd firmwarebestand, raakt het systeem in een abnormale foutstatus. Deze status triggert onbedoeld het opstarten van een telnet-service met root-rechten, waarvoor geen verdere authenticatie is vereist. Hierdoor kan een aanvaller die de foutconditie succesvol activeert, direct opereren met de hoogste privileges op het systeem.

Om deze aanval uit te voeren, dient een aanvaller in eerste instantie geauthenticeerde toegang te hebben tot de webbeheerinterface van de extender. Pas daarna kan de firmware-uploadfunctionaliteit worden misbruikt. Na een succesvolle exploitatie kan de aanvaller willekeurige commando's uitvoeren, configuratiebestanden wijzigen en permanente toegang tot het netwerk forceren. De ontdekking van dit mechanisme wordt toegeschreven aan beveiliger Leandro Kogan.

Volgens de gegevens van het CERT Coordination Center wordt de TOTOLINK EX200 niet langer actief onderhouden door de leverancier. De meest recente firmware-update voor dit model dateert van februari 2023. Aangezien er geen softwarematige oplossing beschikbaar is, wordt geadviseerd om de toegang tot de beheerinterface strikt te beperken tot vertrouwde netwerken en onbevoegde toegang fysiek of netwerktechnisch onmogelijk te maken. Voor een volledige eliminatie van het risico wordt het vervangen van de hardware door een ondersteund model aangeraden.

Bron 1

Onderzoek van The Shadowserver Foundation heeft een ernstige kwetsbaarheid aan het licht gebracht in diverse DSL-gateways van fabrikant D-Link. Het lek maakt het mogelijk voor kwaadwillenden om commando's te injecteren en deze vervolgens uit te voeren op de getroffen netwerkapparatuur. De kwetsbaarheid bevindt zich in het dnscfg.cgi-endpoint, waar invoer van gebruikers voor DNS-configuraties onvoldoende wordt gevalideerd. Hierdoor ontstaat de mogelijkheid voor aanvallers om de controle over de systemen over te nemen.

De beveiligingswaarschuwing is van toepassing op een reeks specifieke modellen, waaronder de DSL-2740R, DSL-2640B, DSL-2780B en de DSL-526B. Deze apparaten zijn door D-Link geproduceerd en verkocht in de periode tussen 2016 en 2019. Sinds het begin van 2020 vallen deze modellen onder de status 'end-of-life'. Dit betekent dat de fabrikant de actieve ondersteuning heeft gestaakt en dat er geen reguliere firmware-updates of beveiligingspatches meer voor deze apparatuur worden ontwikkeld.

D-Link adviseert gebruikers van de genoemde gateways om de apparatuur niet langer te gebruiken en deze te vervangen door modernere alternatieven die nog wel worden voorzien van beveiligingsupdates. Het bedrijf benadrukt dat het door variaties in productgeneraties en firmware-implementaties complex is om exact vast te stellen of ook andere modellen kwetsbaar zijn. Indien er kwetsbaarheden worden aangetroffen in apparaten die nog wel binnen de officiële ondersteuningstermijn vallen, zal de fabrikant alsnog een update beschikbaar stellen om het lek te dichten.

Bron 1

Veeam heeft beveiligingsupdates uitgebracht voor vier kwetsbaarheden in de Backup & Replication-software. De meest kritieke bevinding, geregistreerd onder CVE-2025-59470, heeft een CVSS-score van 9.0. Dit lek stelt een geautoriseerde gebruiker met de rol van Backup of Tape Operator in staat om op afstand code uit te voeren (remote code execution) als de Postgres-gebruiker. Dit misbruik is mogelijk door het verzenden van een malafide interval- of orderwaarde naar het systeem. Hoewel de CVSS-score kritiek is, classificeert de fabrikant de impact als hoog, omdat de aanval een geautoriseerd account vereist.

De kwetsbaarheden werden geïdentificeerd tijdens interne beveiligingstests. De problemen zijn aanwezig in Veeam Backup & Replication versie 13.0.1.180 en alle eerdere builds binnen de versie 13-reeks. Eerdere productlijnen, waaronder de 12.x-versies, worden volgens de huidige informatie niet beïnvloed door deze specifieke lekken. De kwetsbaarheden zijn definitief verholpen in versie 13.0.1.1071.

Naast de kritieke RCE-kwetsbaarheid zijn de volgende beveiligingslekken gedicht:

CVE-2025-55125 (CVSS 7.2): Stelt een Backup of Tape Operator in staat om remote code execution uit te voeren als root door middel van een gemanipuleerd configuratiebestand.

CVE-2025-59468 (CVSS 6.7): Stelt een Backup Administrator in staat om remote code execution uit te voeren als de Postgres-gebruiker via een malafide wachtwoordparameter.

CVE-2025-59469 (CVSS 7.2): Stelt een Backup of Tape Operator in staat om met root-rechten bestanden naar het systeem te schrijven.
Vanwege de centrale rol van back-upinfrastructuur in de bescherming tegen cyberdreigingen, wordt beheerders geadviseerd de update naar de herstelde versie (13.0.1.1071) met prioriteit uit te voeren.

Bron 1, 2

Het populaire workflow-automationplatform n8n heeft een officiële waarschuwing uitgegeven voor een kritieke beveiligingsfout die aanvallers in staat stelt om op afstand code uit te voeren. De kwetsbaarheid is geregistreerd onder het kenmerk CVE-2026-21877 en heeft de hoogst mogelijke ernstscore van 10.0 gekregen op de CVSS-schaal. Dit wijst op een zeer hoog risico voor de integriteit van de systemen waarop de software draait.

De kern van het probleem ligt bij de mogelijkheid voor een geauthenticeerde gebruiker om onder bepaalde omstandigheden onvertrouwde code te laten uitvoeren door de n8n-service. Volgens het beveiligingsadvies kan misbruik van dit lek leiden tot een volledige compromittering van de getroffen instance. De fout is ontdekt door beveiligingsonderzoeker Théo Lelasseux en treft zowel zelfgehoste installaties als de cloud-omgevingen van het platform.

Alle versies van n8n vanaf 0.123.0 tot en met 1.121.3 zijn vatbaar voor deze kwetsbaarheid. Er is inmiddels een oplossing beschikbaar in versie 1.121.3. Deze specifieke update is weliswaar al sinds november 2025 beschikbaar, maar de officiële waarschuwing voor de kritieke impact is pas recent gecommuniceerd. Gebruikers wordt dringend verzocht hun systemen te controleren en direct te updaten naar de gepatchte versie of een nieuwere uitgave.

Indien een onmiddellijke update technisch niet haalbaar is, adviseert de ontwikkelaar om tijdelijke mitigerende maatregelen te nemen. Het uitschakelen van de Git-node binnen de software en het strikt beperken van de toegang voor gebruikers die niet volledig worden vertrouwd, kan de kans op misbruik verkleinen zolang de noodzakelijke beveiligingsupdate nog niet is uitgevoerd.

Bron 1

De botnet GoBruteforcer, ook bekend onder de naam GoBrut, maakt gebruik van een modulaire architectuur om Linux-servers te infecteren en te exploiteren. De malware is volledig ontwikkeld in de programmeertaal Go en verspreidt zich via een keten van web shells, downloaders en IRC-bots. De primaire focus van deze botnet ligt op het uitvoeren van brute-force aanvallen op diensten die direct verbonden zijn met het internet, waaronder FTP-servers, MySQL- en PostgreSQL-databases en phpMyAdmin-beheerpanelen.

De huidige golf aan incidenten wordt gedreven door het grootschalige hergebruik van serverconfiguraties die door kunstmatige intelligentie zijn gegenereerd. Deze AI-modellen reproduceren vaak standaardvoorbeelden met generieke gebruikersnamen zoals appuser en myuser. Wanneer beheerders deze suggesties ongewijzigd overnemen in productieomgevingen, ontstaan er voorspelbare aanvalspunten die door de botnet worden uitgebuit. Daarnaast vormen verouderde softwareomgevingen, zoals XAMPP-installaties die standaard FTP-toegang en beheerdersinterfaces met minimale beveiliging aanbieden, een aanzienlijk risico.

Onderzoek wijst uit dat wereldwijd miljoenen databases en bestandsoverdrachtservers publiek bereikbaar zijn via hun standaardpoorten. Schattingen geven aan dat meer dan 50.000 van deze servers direct kwetsbaar zijn voor de inloggegevens die GoBruteforcer hanteert. Sinds medio 2025 is een geavanceerdere variant van de malware actief die gebruikmaakt van een sterk geobfusteerde IRC-bot, verbeterde persistentie op het systeem en methoden om kwaadaardige processen te maskeren. De aanvallers roteren hun doelwitten en wachtwoordlijsten meerdere keren per week om de effectiviteit van de campagnes te maximaliseren.

Een specifiek deel van de campagnes is gericht op databases van crypto- en blockchainprojecten. Op gecompromitteerde hosts zijn tools aangetroffen voor het scannen van TRON-saldi en het automatisch onderscheppen van tokens op de TRON- en Binance Smart Chain-netwerken. In een van de onderzochte gevallen werd een bestand met circa 23.000 TRON-adressen gevonden. Analyse van transacties op de blockchain bevestigt dat deze financieel gemotiveerde aanvallen in de praktijk hebben geleid tot het succesvol buitmaken van digitale activa door de beheerders van de botnet.

De operatoren van GoBruteforcer maken gebruik van Command and Control-servers (C2) om taken uit te sturen naar geïnfecteerde systemen. Deze taken bevatten specifieke lijsten met inloggegevens die zijn afgestemd op de doelgroep, variërend van algemene operationele accounts tot sectorgerichte gebruikersnamen in de cryptosector. De combinatie van zwakke wachtwoorden en het gebruik van standaard AI-configuraties biedt de aanvallers een efficiënte methode voor initiële toegang zonder dat hiervoor complexe exploits noodzakelijk zijn.

Bron 1

Een ernstig beveiligingslek in de OpenCTI-software stelt aanvallers in staat om zonder de juiste autorisatie volledige werkomgevingen te verwijderen. De kwetsbaarheid, geregistreerd onder CVE-2025-61781, heeft een CVSS-score van 7.1 en treft alle installaties met een versienummer lager dan 6.8.1. Omdat OpenCTI breed wordt ingezet voor het beheer van cyberdreigingsinformatie, vormt dit defect een direct risico voor de beschikbaarheid van kritieke data binnen organisaties.

De kern van het probleem bevindt zich in een specifieke GraphQL-mutatie, de WorkspacePopoverDeletetionMutation. Door een gebrek aan adequate eigendomscontroles kunnen dreigingsactoren met beperkte toegangsrechten de autorisatie omzeilen. Wanneer een aanvaller over een actief UUID van een gebruiker beschikt, kan deze via een door de gebruiker gecontroleerde SQL-sleutel objecten binnen de werkomgeving wissen. Dit omvat onder meer dashboards en specifieke onderzoeksdossiers.

Technisch gezien valt het lek onder de categorieën van onjuiste autorisatie en het ongecontroleerd aanpassen van objectattributen. Hoewel de vertrouwelijkheid van de gegevens niet direct in het geding is, is de impact op de operationele continuïteit groot. Een succesvolle exploitatie leidt tot de vernietiging van de werkomgeving zonder dat daar interactie van een legitieme gebruiker voor nodig is. Er zijn momenteel geen aanwijzingen dat er al publieke exploitatiecodes circuleren of dat er actief misbruik van de fout is gemaakt.

Beheerders dienen systemen zo snel mogelijk bij te werken naar versie 6.8.1 of een latere uitvoering om het risico te mitigeren. Naast het doorvoeren van deze updates is het noodzakelijk om de monitoring te verscherpen op verdachte activiteiten die kunnen duiden op pogingen tot ongeautoriseerde verwijderingen. Het installeren van de patch is afdoende voor toekomstige beveiliging, maar biedt geen herstel voor systemen die mogelijk in het verleden al zijn getroffen.

Bron 1, 2, 3

Het Nationaal Cyber Security Centrum (NCSC) heeft een waarschuwing afgegeven voor een kritieke kwetsbaarheid in de automatiseringssoftware n8n. Dit lek, aangeduid als Ni8mare en geregistreerd onder CVE-2026-21858, stelt ongeauthenticeerde aanvallers in staat om op afstand code uit te voeren (Remote Code Execution). De ernst van de kwetsbaarheid is vastgesteld op de maximale score van 10.0.

De kwetsbaarheid bevindt zich in de manier waarop n8n omgaat met specifieke, formuliergebaseerde workflows. Een aanvaller kan via deze weg toegang krijgen tot bestanden op de onderliggende server zonder dat daarvoor voorafgaande authenticatie nodig is. Dit maakt het mogelijk om inloggegevens van beheerders te stelen, waarna met admin-rechten nieuwe workflows kunnen worden gecreëerd om kwaadaardige code op het systeem te draaien.

De potentiële schade is aanzienlijk omdat n8n vaak fungeert als de centrale infrastructuur voor automatisering binnen organisaties. Het systeem is doorgaans gekoppeld aan diverse gevoelige bronnen, waaronder klantendatabases, Google Drive-omgevingen, OpenAI API-sleutels, betaalverwerkers en CI/CD-pipelines. Wereldwijd worden naar schatting 100.000 servers door dit beveiligingslek geraakt.

Gezien de publicatie van een proof-of-concept (PoC) en het wijdverbreide gebruik van de software, acht het NCSC de kans op misbruik zeer waarschijnlijk. Gebruikers wordt dringend geadviseerd om de beschikbare beveiligingsupdate direct te installeren. Daarnaast luidt het advies om n8n-servers alleen via het internet bereikbaar te maken wanneer dit strikt noodzakelijk is en om voor alle aangemaakte formulieren binnen de software authenticatie te vereisen.

Bron 1, 2, 3

Onderzoekers hebben een ernstig beveiligingslek vastgesteld in elektrische rolstoelen van de fabrikant Whill, waarmee kwaadwillenden de volledige besturing van het apparaat kunnen overnemen. De kwetsbaarheid is geregistreerd onder de code CVE-2025-14346 en heeft een ernstscore van 9.3 tot 9.8 toegekend gekregen, wat duidt op een zeer hoog risico. Het probleem is specifiek aanwezig in de modellen C2 en F, die ook op de Nederlandse markt worden aangeboden.

De beveiligingsfout bevindt zich in de bluetooth-implementatie van de rolstoelen. Deze functionaliteit wordt normaliter gebruikt om via een app de rolstoel te vergrendelen, instellingen te wijzigen of het apparaat op afstand te besturen. Uit analyse blijkt dat de bluetooth-verbinding geen authenticatie vereist. Hierdoor kan een aanvaller die zich binnen het bereik van het bluetooth-signaal bevindt, direct verbinding maken met de rolstoel zonder dat de gebruiker hiervoor toestemming geeft of enige handeling hoeft te verrichten.

Na het tot stand brengen van de verbinding kan een aanvaller de fysieke controle over de rolstoel overnemen. Dit omvat het aanpassen van configuratieprofielen, het negeren van de ingestelde snelheidslimiet en het besturen van de bewegingen. De ontdekkers van het lek, QED Secure Solutions, hebben via een demonstratievideo aangetoond hoe een kwetsbare rolstoel op deze wijze met hoge snelheid een trap afgestuurd kon worden. Hoewel de initiële koppeling nabijheid vereist, blijft de controle over het apparaat behouden zelfs als de afstand tussen de aanvaller en de rolstoel daarna groter wordt.

Volgens informatie van het Amerikaanse cyberagentschap CISA heeft de fabrikant op 29 december een beveiligingsupdate uitgebracht. Er is echter nog onduidelijkheid over de effectiviteit van deze patch, aangezien de onderzoekers deze niet ter verificatie hebben ontvangen. Daarnaast is niet bevestigd of de update automatisch naar de rolstoelen wordt gepusht of dat gebruikers zelf actief een updateprocedure moeten starten om het lek te dichten.

Bron 1, 2, 3

Cisco heeft een beveiligingsupdate uitgebracht voor een kwetsbaarheid in de Cisco Identity Services Engine (ISE), een oplossing die wordt gebruikt voor netwerktoegangsbeheer en de implementatie van zero-trust architecturen. Het lek, bekend onder kenmerk CVE-2026-20029, stelt aanvallers met beheerdersrechten in staat om toegang te krijgen tot gevoelige informatie op ongepatchte apparaten. Hoewel er momenteel geen meldingen zijn van actief misbruik, waarschuwt Cisco dat er publieke proof-of-concept exploitcode beschikbaar is die door aanvallers kan worden misbruikt.

De kwetsbaarheid wordt veroorzaakt door het onjuist parsen van XML-bestanden die worden verwerkt door de webgebaseerde beheerinterface van Cisco ISE en de Cisco ISE Passive Identity Connector (ISE-PIC). Een aanvaller kan dit lek uitbuiten door een kwaadaardig bestand naar de applicatie te uploaden. Een succesvolle exploitatie stelt de aanvalspartij in staat om willekeurige bestanden van het onderliggende besturingssysteem te lezen. Deze bestanden kunnen gevoelige gegevens bevatten die normaal gesproken afgeschermd zijn, zelfs voor beheerders. Om de kwetsbaarheid te kunnen misbruiken, moet de aanvaller beschikken over geldige administratieve inloggegevens.

Het beveiligingslek is aanwezig in verschillende versies van Cisco ISE, ongeacht de specifieke apparaatconfiguratie. Cisco adviseert organisaties die werken met versies ouder dan 3.2 om over te stappen naar een ondersteunde release waarin het lek is gedicht. Voor versie 3.2 en versie 3.3 is het lek verholpen vanaf Patch 8. Voor versie 3.4 is de oplossing beschikbaar in Patch 4. De meest recente softwareversie 3.5 is niet vatbaar voor deze kwetsbaarheid. Het bedrijf benadrukt dat eventuele tijdelijke maatregelen of mitigaties slechts als noodoplossing moeten worden gezien en dat het installeren van de software-updates noodzakelijk is om de blootstelling volledig weg te nemen.

Naast de patch voor ISE heeft Cisco gelijktijdig diverse kwetsbaarheden in het IOS XE-besturingssysteem aangepakt. Deze fouten stelden externe aanvallers zonder authenticatie in staat om de Snort 3-detectiemotor te herstarten. Dit kon leiden tot een denial-of-service of het verkrijgen van gevoelige informatie uit de datastroom. Voor deze specifieke IOS XE-kwetsbaarheden is op dit moment geen publieke exploitcode bekend en er zijn geen aanwijzingen dat deze actief worden misbruikt.

Cisco wijst erop dat eerdere kwetsbaarheden in ISE, zoals CVE-2025-20337, in het verleden doelwit zijn geweest van actieve exploitatie door dreigingsgroepen voor de inzet van malware. Daarnaast blijft een maximale beveiligingsfout in Cisco AsyncOS (CVE-2025-20393) momenteel nog wachten op een definitieve patch. Voor die specifieke situatie adviseert het bedrijf om de toegang tot de apparatuur te beperken tot vertrouwde hosts en deze achter firewalls te plaatsen om het netwerkverkeer te filteren.

Bron 1, 2

Onderzoekers op het gebied van cyberbeveiliging hebben elf ernstige beveiligingslekken openbaar gemaakt in Coolify, een veelgebruikt open-source platform voor het zelf hosten van applicaties en databases. Deze kwetsbaarheden kunnen leiden tot het volledig overnemen van servers door middel van authenticatie-omzeiling en het op afstand uitvoeren van willekeurige code. De ernst van de situatie wordt onderstreept door het feit dat meerdere lekken de hoogst mogelijke score van 10.0 op de CVSS-schaal hebben gekregen.

Een aanzienlijk deel van de gevonden problemen betreft command injection-kwetsbaarheden. Zo maken de lekken CVE-2025-66209 en CVE-2025-66210 het voor geautoriseerde gebruikers mogelijk om via de back-up- en importfunctionaliteiten van databases commando's uit te voeren op de hostserver of beheerde servers. Dit kan resulteren in een volledige compromittering van de infrastructuur en het ontsnappen uit containers. Vergelijkbare risico's zijn vastgesteld bij het beheer van PostgreSQL-configuraties, dynamische proxy-instellingen en het koppelen van bestandsdirectories, waarbij aanvallers met specifieke rechten root-toegang op de servers kunnen verkrijgen.

Naast deze technische tekortkomingen in de database- en proxyfuncties, zijn er lekken gevonden die te maken hebben met de invoer van Git-repositories en Docker Compose-bestanden. Kwetsbaarheden zoals CVE-2025-59157 en CVE-2025-64419 stellen gebruikers in staat om via invoervelden voor broncode of configuratiebestanden systeemcommando's uit te voeren met root-privileges. Ook is er een lek ontdekt, geregistreerd onder CVE-2025-64420, waarbij laag-geprivilegieerde gebruikers de private sleutel van de root-gebruiker kunnen inzien, wat directe ongeautoriseerde toegang tot de server via SSH mogelijk maakt.

Op het gebied van interfacebeveiliging is CVE-2025-59158 geïdentificeerd, een opgeslagen cross-site scripting-kwetsbaarheid. Hierdoor kan een gebruiker met weinig rechten kwaadaardige scripts injecteren die worden uitgevoerd in de browser van een beheerder wanneer deze specifieke projecten of middelen probeert te verwijderen.

Gegevens van het platform Censys tonen aan dat er wereldwijd bijna 53.000 Coolify-instanties direct via het internet bereikbaar zijn. Hoewel de grootste concentraties zich op dit moment in Duitsland, de Verenigde Staten en Frankrijk bevinden, vormt de aard van deze lekken een risico voor alle gebruikers van het platform. Hoewel er geen concrete aanwijzingen zijn dat de kwetsbaarheden reeds actief worden misbruikt, is een onmiddellijke update naar de meest recente versies noodzakelijk. De meeste lekken zijn verholpen in versies vanaf 4.0.0-beta.451 en 4.0.0-beta.420.7, hoewel de herstelstatus van enkele specifieke kwetsbaarheden (zoals CVE-2025-64420 en CVE-2025-64424) nog niet volledig is bevestigd.

Bron 1, 2, 3

Onderzoek door beveiligingsbedrijf Huntress toont aan dat drie kwetsbaarheden in VMware ESXi waarschijnlijk al een jaar voordat er officiële beveiligingsupdates verschenen, werden misbruikt bij aanvallen. Het gaat om de beveiligingslekken met de kenmerken CVE-2025-22224, CVE-2025-22225 en CVE-2025-22226. Deze kwetsbaarheden werden op 4 maart 2025 gepatcht door Broadcom voor diverse producten, waaronder VMware ESXi, Workstation Pro/Player, Fusion, Cloud Foundation en het Telco Cloud Platform.

De gevaarlijkste kwetsbaarheid binnen deze reeks is CVE-2025-22224. Dit betreft een out-of-bounds write waardoor een aanvaller vanuit een virtuele machine (VM) code kan uitvoeren op de onderliggende host-server. Deze vorm van een 'virtual machine escape' heeft een impactscore van 9.3 op een schaal van 10 gekregen. De andere twee lekken maken het mogelijk om informatie uit het procesgeheugen te lekken of de sandbox-beveiliging van de software te doorbreken. Hoewel Broadcom bij de release van de patches vorig jaar al meldde dat er misbruik was waargenomen, werd de startdatum van deze activiteiten niet gespecificeerd.

De analyse van Huntress is gebaseerd op een aangetroffen exploit-toolkit die specifiek is ontworpen voor aanvallen op VMware ESXi-hypervisors. In deze toolkit werd een bestandspad gevonden met de datum 19 februari 2024. Volgens de onderzoekers is dit een indicatie dat de kwetsbaarheden al geruime tijd voor het beschikbaar komen van de patches bekend waren bij aanvallers. De toolkit wordt gebruikt om een backdoor op de hypervisor te installeren, wat de aanvaller blijvende toegang verschaft.

De onderzochte toolkit ondersteunt 155 verschillende ESXi-builds, verspreid over de versies 5.1 tot en met 8.0. Een aanzienlijk deel van deze versies is inmiddels end-of-life en wordt niet langer door de fabrikant ondersteund. Volgens recente gegevens van The Shadowserver Foundation zijn wereldwijd nog ongeveer 34.000 ESXi-servers niet voorzien van de noodzakelijke updates van maart 2025. In Nederland zijn naar schatting 803 servers nog altijd kwetsbaar voor deze aanvalsmethode, terwijl in België 40 kwetsbare systemen zijn gedetecteerd.

Bron 1, 2

Uit cijfers van Google blijkt dat het afgelopen jaar een recordaantal kwetsbaarheden in het Windows-besturingssysteem actief is misbruikt door aanvallers. Het gaat hierbij specifiek om beveiligingslekken waarvoor op het moment van de aanval nog geen patch of software-update beschikbaar was. Google houdt deze gegevens bij in een doorlopend overzicht van misbruikte kwetsbaarheden in veelgebruikte softwareproducten. In totaal werden er vorig jaar 43 van dergelijke kwetsbaarheden vastgesteld waarbij pas na de ontdekking van het actieve misbruik een beveiligingsupdate werd uitgebracht.

Van dit totaal van 43 incidenten vonden er 18 plaats binnen Windows. Dit is het hoogste aantal actief aangevallen lekken in het besturingssysteem van Microsoft dat tot nu toe door Google is geregistreerd. De cijfers laten een stijgende lijn zien vergeleken met voorgaande jaren; in 2024 werden er 9 van dit soort kwetsbaarheden waargenomen en in 2023 waren dat er 12. De geconstateerde misbruikte lekken in Windows waren nagenoeg allemaal gericht op het verhogen van gebruikersrechten. Hierdoor kan een aanvaller die reeds toegang heeft verkregen tot een systeem de controle uitbreiden of specifieke beveiligingsbarrières omzeilen om het systeem verder te compromitteren.

Naast de gegevens over Windows bevat de rapportage ook cijfers over andere softwareleveranciers. Google registreerde in de eigen producten 8 actief misbruikte kwetsbaarheden, die hoofdzakelijk betrekking hadden op de browser Chrome. Dit is een daling ten opzichte van 2024, toen er nog 16 van dergelijke beveiligingslekken werden genoteerd. Bij Apple werd een lichte stijging waargenomen naar 9 misbruikte kwetsbaarheden in 2025, waar dit er in 2024 nog 5 waren. Dit aantal ligt echter lager dan in 2023, toen er 20 incidenten werden gemeld die vooral betrekking hadden op iOS en WebKit.

Bron 1

Softwarebedrijf SmarterTools heeft een kritieke kwetsbaarheid in de mailserversoftware SmarterMail verholpen zonder hier direct ruchtbaarheid aan te geven. Beveiligingsbedrijf watchTowr stelt dat de leverancier het lek, geregistreerd onder kenmerk CVE-2025-52691, al in oktober vorig jaar heeft gedicht. De kwetsbaarheid heeft de maximale impactscore van 10.0 en stelt ongeauthenticeerde aanvallers in staat om willekeurige bestanden te uploaden en code uit te voeren op de server. SmarterMail wordt veelgebruikt als alternatief voor Microsoft Exchange op Windows- en Linux-systemen.

De Singaporese overheid waarschuwde op 29 december voor het lek en adviseerde gebruikers onmiddellijk te updaten naar build 9413. Uit analyse van watchTowr blijkt echter dat deze specifieke build al sinds 10 oktober 2025 beschikbaar was. In de destijds gepubliceerde release notes werd geen melding gemaakt van de specifieke CVE of de ernst van het lek; er werd volstaan met de omschrijving algemene beveiligingsverbeteringen. Hierdoor waren beheerders zich maandenlang niet bewust van het acute risico dat hun niet-geüpdatete systemen liepen.

De strategie van SmarterTools heeft geleid tot verontwaardiging bij klanten, die hun onvrede uiten op het ondersteuningsforum van de leverancier. Het bedrijf verdedigt de keuze door te stellen dat het stilhouden van de details bedoeld was om klanten tijd te geven voor de update zonder aanvallers informatie te verschaffen. Naar aanleiding van de kritiek heeft SmarterTools gisteren alsnog een informatieve e-mail naar gebruikers gestuurd. Op het forum maken diverse beheerders inmiddels melding van malware op hun servers, hoewel een direct verband met misbruik van dit specifieke lek nog niet officieel is bevestigd.

Bron 1

Antivirusfabrikant Trend Micro heeft een dringende waarschuwing afgegeven voor een kritiek beveiligingslek in het beheerplatform Apex Central. De kwetsbaarheid, geregistreerd onder kenmerk CVE-2025-69258, stelt ongeauthenticeerde aanvallers in staat om op afstand willekeurige code uit te voeren met SYSTEM-rechten. Het Nationaal Cyber Security Centrum (NCSC) heeft de impact van dit lek gewaardeerd met een score van 9.8 op een schaal van 10, wat wijst op een zeer hoog risico voor de integriteit van de getroffen systemen.

Apex Central fungeert als de centrale spil voor het beheer van Trend Micro-beveiligingsoplossingen op gateways, mailservers, fileservers en endpoints. Door het beveiligingslek kan een aanvaller een specifiek geformatteerd bericht naar de server sturen. Dit resulteert erin dat een kwaadaardig DLL-bestand wordt geladen binnen een proces van Apex Central, waardoor de aanvaller volledige controle over het systeem kan verkrijgen met de hoogste rechten.

De ontdekking van het lek wordt toegeschreven aan beveiligingsonderzoekers van Tenable. Uit de chronologie van de melding blijkt dat de eerste rapportage al op 26 augustus vorig jaar plaatsvond. Vanwege technische complicaties bij Trend Micro, waaronder problemen met het ontsleutelen van de rapportage-e-mails, vertraagde de afhandeling. Pas na tussenkomst van de MITRE Corporation eind november werd het onderzoek door Trend Micro opgepakt. Op 1 december volgde de erkenning van het probleem, waarbij de fabrikant excuses maakte voor de vertraging in de communicatie.

Gezien het feit dat kwetsbaarheden in dit platform in het verleden doelgericht zijn ingezet bij aanvallen op organisaties, is de publicatie van de updates van groot belang voor de operationele veiligheid. Trend Micro heeft inmiddels patches beschikbaar gesteld om het lek te dichten. Beheerders van Apex Central worden dringend geadviseerd deze updates direct te installeren om misbruik te voorkomen.

Bron 1, 2

Het totale volume aan publiekelijk bekendgemaakte softwarekwetsbaarheden is in 2025 gestegen naar een recordhoogte van 48.185 CVE-meldingen. Dit betekent een toename van 20,6 procent in vergelijking met het voorgaande jaar. Uit een analyse van de National Vulnerability Database en de officiële CVE-lijst blijkt dat deze groei grotendeels wordt veroorzaakt door een verschuiving in het type software waarin kwetsbaarheden worden gerapporteerd.

Waar in het verleden de meeste CVE-meldingen afkomstig waren van grote leveranciers van besturingssystemen, werd de data in 2025 voor een belangrijk deel beïnvloed door beveiligingslekken in plugins van derden voor WordPress. Twee specifieke autoriteiten op het gebied van WordPress-beveiliging, Patchstack en Wordfence, waren gezamenlijk verantwoordelijk voor meer dan 10.000 van de geregistreerde kwetsbaarheden. Het onderzoek benadrukt dat deze lekken zich vrijwel uitsluitend voordoen in externe uitbreidingen en niet in de kernsoftware van het CMS-platform.

Ondanks de sterke stijging van het aantal meldingen is de gemiddelde ernst van de gevonden lekken stabiel gebleven. De gemiddelde CVSS-score bedroeg 6,60, waarbij de meeste kwetsbaarheden in de categorie 'medium' vielen. Desondanks werden bijna 19.000 lekken als hoog of kritiek geclassificeerd. De enorme hoeveelheid meldingen dwingt organisaties tot een strengere prioritering, waarbij niet alleen naar de ernstscore wordt gekeken, maar vooral naar de vraag of een kwetsbaarheid daadwerkelijk uitbuitbaar is binnen de specifieke bedrijfsomgeving.

De distributie van de meldingen over het jaar vertoonde aanzienlijke pieken. De maand december was verantwoordelijk voor 11 procent van het jaarlijkse totaal, en op 26 februari werden bijna 800 kwetsbaarheden op één dag gepubliceerd. De dinsdag blijft de drukste dag voor publicaties vanwege de vaste releasecycli van diverse softwareleveranciers. Een knelpunt bij de verwerking van deze data is dat 42,4 procent van de CVE-meldingen geen specifieke productidentificatie (CPE) bevatte, wat geautomatiseerde detectie door beveiligingsteams bemoeilijkt.

Voor het jaar 2026 wordt een verdere groei verwacht naar ongeveer 55.000 publicaties, wat een stijging van 15 procent ten opzichte van 2025 zou betekenen. Deze voortdurende toename van het volume aan kwetsbaarheden stelt de huidige methoden voor vulnerability management voor aanzienlijke schaalbaarheidsproblemen.

Bron 1

De monitoring van honeypot-sensoren in de derde week van januari 2026 geeft een helder inzicht in de kwetsbaarheden die momenteel door aanvallers worden geëxploiteerd. De verzamelde data tonen aan dat cybercriminele activiteiten in de Benelux zich concentreren op een mix van kritieke lekken in moderne webframeworks en hardnekkige zwakheden in oudere netwerkapparatuur.

Dreigingsbeeld in Nederland

In Nederland wordt de hoogste aanvalsactiviteit waargenomen op de kwetsbaarheid CVE-2023-38646 binnen Metabase. Met 59 unieke aanvalspogingen in de afgelopen 24 uur blijft dit een prioritair doelwit. Daarnaast is er een significante verschuiving zichtbaar naar recentere lekken uit 2025. CVE-2025-55182, een kritiek lek in Meta’s React Server Components, wordt op grote schaal gescand en staat bekend om zijn associatie met ransomware-aanvallen.

Ook de infrastructuur van Citrix NetScaler (CVE-2025-5777) en netwerkapparatuur van Cisco (CVE-2019-1653) vertonen constante activiteit. De data wijzen erop dat aanvallers gericht zoeken naar systemen die nog niet zijn bijgewerkt naar de meest recente beveiligingsversies van eind 2025.

Situatie in België

In België ligt het absolute aantal gedetecteerde aanvallen lager, maar de aard van de doelwitten is vergelijkbaar. De Huawei Home Gateway HG532 en MVPower DVR-systemen vormen hier de meest gescande categorieën, wat wijst op aanhoudende botnetactiviteit gericht op IoT-apparaten.

Net als in Nederland verschijnen ook in de Belgische statistieken de nieuwe lekken in React Server Components en CrushFTP. De aanwezigheid van diverse kwetsbaarheden die op de Known Exploited Vulnerabilities (KEV) lijst staan, zoals die in Draytek-routers, onderstreept dat Belgische infrastructuren continu worden getoetst op publiekelijk bekende zwakheden.

Detectie via honeytokens

De analyse benadrukt tevens de rol van honeytokens als effectief instrument binnen de cyber kill chain. Een honeytoken is een lokaas in de vorm van digitale gegevens die geen legitieme functie hebben. Zodra een aanvaller interactie heeft met dit token, volgt een onmiddellijke melding. Deze methode is privacyvriendelijk en technisch minder complex dan traditionele Intrusion Detection Systems (IDS), maar wordt in de praktijk nog beperkt toegepast. Het biedt organisaties een manier om zijwaartse bewegingen van indringers vroegtijdig te signaleren.

Overzicht

De actuele status van digitale dreigingen wordt momenteel sterk bepaald door een reeks kritieke kwetsbaarheden, waarbij de zogenaamde hype-score de mate van publieke belangstelling en urgentie op sociale media en nieuwsplatforms weergeeft. In de afgelopen vierentwintig uur zijn er tien specifieke kwetsbaarheden geïdentificeerd die een aanzienlijk risico vormen voor de integriteit van systemen.

Bovenaan de lijst staat CVE-2025-31324 in SAP NetWeaver Visual Composer met een kritieke score van 10.0. Door het ontbreken van een autorisatiecontrole kunnen aanvallers kwaadaardige binaire bestanden uploaden en webshells plaatsen, wat leidt tot volledige controle over het systeem. Een vergelijkbare maximale score van 10.0 is toegekend aan CVE-2025-20188 in Cisco IOS XE Software voor Wireless LAN Controllers. Hierbij maakt een harde JSON Web Token (JWT) het voor externe aanvallers mogelijk om met root-rechten bestanden te uploaden en opdrachten uit te voeren.

Ook binnen de infrastructuur voor automatisering en servers zijn ernstige lekken geconstateerd. De Erlang/OTP SSH-server vertoont in CVE-2025-32433 een fout in de protocolafhandeling, waardoor code-uitvoering zonder voorafgaande authenticatie mogelijk is. Voor het platform n8n zijn twee kritieke kwetsbaarheden gemeld: CVE-2026-21858, waarbij content-type verwarring misbruikt kan worden voor het lezen van bestanden, en CVE-2025-68613, waarbij geauthenticeerde gebruikers code kunnen uitvoeren buiten de isolatie van de runtime.

Beveiligingsoplossingen zelf zijn eveneens doelwit. CVE-2025-0108 betreft een authenticatie-bypass in de webinterface van Palo Alto Networks PAN-OS firewalls, die actief wordt misbruikt voor het uitvoeren van PHP-scripts. Daarnaast is er in Trend Micro Apex Central een LoadLibraryEX-kwetsbaarheid (CVE-2025-69258) ontdekt, waarmee aanvallers via poort 20001 en een kwaadaardige DLL code kunnen uitvoeren met SYSTEM-rechten.

Op het gebied van softwareontwikkeling en besturingssystemen zijn er risico's bij React Server Components (CVE-2025-55182), waarbij onveilige deserialisatie remote code execution mogelijk maakt. Voor mobiele platformen en Linux-omgevingen is CVE-2025-38352 relevant; een raceconditie in de kernel die kan leiden tot verhoogde rechten op Android-apparaten. Tot slot wordt gewezen op CVE-2025-46279 in de Apple Kernel, een rechtenprobleem dat inmiddels is verholpen in de updates voor macOS 26.2 en iOS/iPadOS 26.2.

Overzicht

Een zeer ernstig beveiligingslek in de automatiseringssoftware n8n vormt momenteel een actuele dreiging voor tienduizenden systemen wereldwijd. Volgens recente gegevens van The Shadowserver Foundation zijn er op dit moment nog zo’n zestigduizend servers niet bijgewerkt. Onder de kwetsbare systemen bevinden zich veertienhonderd servers in Nederland en ruim honderd in België. De kwetsbaarheid, die de naam Ni8mare draagt en geregistreerd staat als CVE-2026-21858, heeft de hoogst mogelijke ernstscore van 10.0 gekregen.

De kwetsbaarheid bevindt zich in n8n, een applicatie die veelvuldig wordt gebruikt om taken tussen verschillende platforms en services te automatiseren. Door het lek kunnen ongeauthenticeerde aanvallers toegang krijgen tot gevoelige bestanden op de server. Dit gebeurt via specifieke workflows die op formulieren zijn gebaseerd. Zodra een aanvaller toegang heeft tot deze bestanden, kunnen administrator-inloggegevens worden ontvreemd. Met deze toegangsrechten is het mogelijk om nieuwe workflows te creëren die kwaadaardige code uitvoeren op het volledige systeem.

Het Nationaal Cyber Security Centrum (NCSC) heeft gewaarschuwd dat misbruik van dit lek zeer waarschijnlijk is, aangezien er inmiddels publiekelijk bewijs is dat de kwetsbaarheid daadwerkelijk kan worden misbruikt via zogeheten proof-of-concept exploitcode. Hoewel het aantal kwetsbare servers sinds 9 januari is gedaald van 105.000 naar 60.000, blijft het risico voor de overgebleven systemen onverminderd hoog. Vooral in de Verenigde Staten staan met 27.000 installaties de meeste kwetsbare servers, maar de aanwezigheid van vele kwetsbare systemen in de Benelux vormt een direct risico voor de lokale digitale infrastructuur.

Bron 1

In de untgz-utility van de zlib-bibliotheek versie 1.3.1.2 is een ernstige kwetsbaarheid vastgesteld die kan leiden tot een globale bufferoverflow. Dit lek stelt kwaadwillenden in staat om via de commandoregel het geheugen van een systeem te corrumperen. De fout is direct terug te voeren op de wijze waarop de software gebruikersinvoer verwerkt zonder de omvang daarvan te controleren.

De technische kern van het probleem bevindt zich in de functie TGZfname(). Hierbij wordt gebruikgemaakt van een strcpy-aanroep die gegevens kopieert naar een statische globale buffer van exact 1.024 bytes. Omdat er geen limiet is ingesteld voor de lengte van de archiefnaam die als parameter wordt meegegeven, kan een invoer die de bufferomvang overschrijdt, gegevens buiten de gereserveerde geheugenruimte schrijven. Dit proces vindt plaats op het moment dat de functie wordt geactiveerd, nog voordat de utility begint met het daadwerkelijk openen of verwerken van een archiefbestand.

Onderzoek heeft uitgewezen dat de kwetsbaarheid eenvoudig te reproduceren is. Door de utility aan te roepen met een argument dat de gereserveerde 1.024 bytes overschrijdt, ontstaat er een out-of-bounds write. Dit leidt tot geheugencorruptie die invloed kan hebben op aangrenzende globale variabelen en objecten. Omdat de fout in het globale geheugensegment optreedt en niet op de stack, heeft de corruptie een blijvende impact op het verdere verloop van het programma.

De gevolgen van deze kwetsbaarheid zijn aanzienlijk. Naast het veroorzaken van systeemcrashes en denial-of-service, kan het lek afhankelijk van de specifieke systeemconfiguratie, compilerinstellingen en geheugenopbouw worden misbruikt voor de uitvoering van kwaadaardige code. De aanval vereist geen verhoogde privileges en de complexiteit om de fout te triggeren is minimaal, wat het een urgent risico maakt voor systemen waarin deze specifieke utility is geïntegreerd.

Bron 1

Onderzoekers van SUSE hebben kritieke kwetsbaarheden blootgelegd in InputPlumber, een hulpprogramma voor invoerapparaten op Linux dat een kernonderdeel vormt van besturingssystemen zoals SteamOS. De beveiligingslekken zijn geregistreerd onder de identificatienummers CVE-2025-66005 en CVE-2025-14338 en stellen aanvallers in staat om ongeautoriseerde UI-invoer te injecteren en denial-of-service condities te veroorzaken op getroffen systemen. De problemen komen voort uit inadequate autorisatiemechanismen binnen de D-Bus-interface en treffen alle versies van InputPlumber die ouder zijn dan v0.69.0.

InputPlumber functioneert door diverse fysieke Linux-invoerapparaten te combineren tot virtuele apparaten en draait hierbij met volledige rootrechten. Dit verhoogde bevoegdheidsniveau maakt de ontdekte fouten bijzonder risicovol, aangezien het ontbreken van correcte authenticatie betekent dat elke gebruiker op het systeem toegang kan krijgen tot de D-Bus-service. Zelfs accounts met lage privileges kunnen hierdoor communiceren met het proces en kritieke acties uitvoeren die normaal gesproken beperkt zouden moeten blijven tot beheerders of het systeem zelf.

Een van de ernstigste scenario's die door de onderzoekers is geschetst, betreft de injectie van gebruikersinvoer. Kwaadwillenden kunnen via de kwetsbare interface virtuele toetsenbordapparaten aanmaken en toetsaanslagen injecteren in de actieve sessie van een gebruiker. Dit mechanisme kan direct leiden tot het uitvoeren van willekeurige code binnen de context van de ingelogde gebruiker, wat resulteert in een compromittering van de sessie en de bijbehorende data. Dit vormt een specifiek risico voor gamingsystemen waar de sessie van de gebruiker vaak langdurig actief is.

Naast de injectieaanvallen is de software vatbaar gebleken voor denial-of-service aanvallen en informatielekken. De methode om samengestelde apparaten aan te maken accepteert bestandspaden van cliënten, wat misbruikt kan worden om geheugenuitputting te triggeren door speciale bestanden zoals /dev/zero door te geven. Dezelfde functionaliteit stelt aanvallers in staat om te testen of bepaalde bestanden op het systeem bestaan. Hierdoor kan gevoelige informatie uitlekken over bestanden die normaal niet toegankelijk zijn voor gebruikers met beperkte rechten, zoals de commandogeschiedenis van de rootgebruiker.

De ontwikkelaars van InputPlumber hebben de problemen inmiddels verholpen door over te schakelen op correcte Polkit-authenticatie, autorisatie standaard in te schakelen en systemd-hardening toe te passen. Valve heeft reeds gereageerd door SteamOS 3.7.20 uit te brengen, waarin de update naar InputPlumber v0.69.0 is verwerkt. Systeembeheerders van Linux-systemen die gebruikmaken van deze utility dienen de update onmiddellijk toe te passen om misbruik van de D-Bus-interface te voorkomen.

Bron 1

Beveiligingsonderzoekers hebben een kritieke kwetsbaarheid vastgesteld in de React Router-bibliotheek, een essentieel onderdeel voor veel moderne webapplicaties. Het lek, geregistreerd onder kenmerk CVE-2025-61686, stelt kwaadwillenden in staat om via een directory traversal-aanval toegang te verkrijgen tot serverbestanden of deze ongeautoriseerd te wijzigen. Met een ernstscore van 9.8 op de CVSS-schaal wordt de kwetsbaarheid als zeer ernstig beschouwd vanwege de potentiële impact en het relatieve gemak van exploitatie via het netwerk.

De technische oorzaak van het probleem ligt in de functie createFileSessionStorage wanneer deze wordt gebruikt met ongetekende cookies. Door sessiecookies op een specifieke manier te manipuleren, kan een aanvaller het systeem dwingen om bestanden te lezen of te schrijven buiten de beoogde sessiemappen. Hoewel de aanval beperkt is tot bestanden die voldoen aan de formaten van sessiebestanden, kan dit leiden tot het aanpassen van sessiegegevens die door de applicatielogica worden geretourneerd. In specifieke gevallen, afhankelijk van de rechten van het webserverproces en de configuratie van het bestandssysteem, kunnen ook gevoelige serverbestanden binnen het bereik van een aanval komen.

De kwetsbaarheid is aanwezig in verschillende pakketten binnen het ecosysteem van React Router en Remix. Getroffen versies omvatten @react-router/node van versie 7.0.0 tot en met 7.9.3, evenals de pakketten @remix-run/deno en @remix-run/node in alle versies tot en met 2.17.1. De effectiviteit van een poging tot misbruik hangt nauw samen met de permissies die aan de webserver zijn toegekend op het onderliggende besturingssysteem.

Beheerders en ontwikkelaars worden dringend geadviseerd om de getroffen software te updaten naar de herstelde versies. Voor @react-router/node is dat versie 7.9.4 of hoger. Gebruikers van Remix dienen over te stappen naar versie 2.17.2 of hoger voor zowel de Deno- als de Node-pakketten. De uitgebrachte beveiligingspatches introduceren noodzakelijke padvalidatie en opschoning om de directory traversal-route te blokkeren. Aanvullend wordt aangeraden om het gebruik van ongetekende cookies in sessie-implementaties te controleren en waar mogelijk de toegang van de webserver tot het bestandssysteem verder te beperken.

Bron 1

In het veelgebruikte Apache Struts 2-framework is een kritieke kwetsbaarheid ontdekt die aanvallers de mogelijkheid biedt om gevoelige gegevens te stelen en servers te compromitteren. Het lek, bekend onder de identificatie CVE-2025-68493, is een XML external entity (XXE) injectiekwetsbaarheid die miljoenen applicaties wereldwijd treft.

De zwakte bevindt zich in de XWork-component van het framework. Deze component is verantwoordelijk voor het verwerken van XML-configuratiebestanden. Het beveiligingslek ontstaat doordat de component XML-invoer niet strikt valideert, waardoor kwaadwillenden externe entiteiten kunnen injecteren. Dit kan leiden tot de diefstal van configuratiebestanden en inloggegevens van databases, maar ook tot Server-Side Request Forgery (SSRF) en Denial of Service (DoS) aanvallen. Onderzoekers van ZAST.AI hebben de fout ontdekt en gerapporteerd aan de Apache Foundation, die de ernst van de kwetsbaarheid als aanzienlijk heeft geclassificeerd.

De kwetsbaarheid is aanwezig in een groot aantal versies van het framework. Het betreft de versies 2.0.0 tot en met 2.3.37, versies 2.5.0 tot en met 2.5.33 en de moderne versies 6.0.0 tot en met 6.1.0. Omdat zowel actieve als verouderde versies (End-of-Life) kwetsbaar zijn, is de impact op de infrastructuur van organisaties potentieel groot.

Apache heeft een beveiligingsupdate uitgebracht in de vorm van Struts versie 6.1.1. Deze nieuwe versie dicht het lek en behoudt de achterwaartse compatibiliteit om de overstap voor beheerders te vergemakkelijken. Voor systemen waar een directe upgrade niet mogelijk is, kunnen tijdelijke maatregelen worden getroffen op JVM-niveau of via de configuratie van de SAXParserFactory om de toegang tot externe entiteiten handmatig te blokkeren. Het onmiddellijk inventariseren van gebruikte Struts-versies en het toepassen van de beschikbare patch is noodzakelijk om misbruik te voorkomen.

Bron 1

Een ernstige kwetsbaarheid in de open source AI-coding agent OpenCode stelt externe websites in staat om willekeurige code uit te voeren op de systemen van gebruikers. Het lek, geregistreerd onder kenmerk CVE-2026-22812, vereist geen enkele interactie van de gebruiker. Volgens beveiligingsonderzoeker Vladimir Panteleev is de impact van deze kwetsbaarheid vastgesteld op een score van 8.8 op de schaal van 10, wat wijst op een hoog risicoprofiel voor getroffen systemen.

De oorzaak van de kwetsbaarheid ligt in een ongeauthenticeerde HTTP-server die in versies ouder dan 1.0.216 automatisch door de software werd opgestart. Deze server maakte het voor willekeurige websites mogelijk om opdrachten uit te voeren op het systeem waar OpenCode actief was. In eerste instantie werd getracht dit probleem op te lossen door de CORS-policy (Cross-Origin Resource Sharing) aan te passen, maar de server bleef in de daaropvolgende versies nog steeds ongemerkt en automatisch op de achtergrond draaien, waardoor externe verbindingen mogelijk bleven.

Sinds versie 1.1.10 is de configuratie van de software aangepast en staat de betreffende server standaard uitgeschakeld. Uit de analyse van de onderzoeker blijkt echter dat de ontwikkelaars van OpenCode de kwetsbaarheid CVE-2026-22812 niet expliciet hebben vermeld in hun officiële uitingen. Gebruikers wordt geadviseerd om onmiddellijk te updaten naar de meest recente versie en te controleren of de HTTP-server inderdaad gedeactiveerd is.

Ondanks de doorgevoerde verbeteringen in versie 1.1.10 zijn volgens de onderzoeker nog niet alle beveiligingsproblemen verholpen. Er zou nog steeds een kwetsbaarheid aanwezig zijn die specifiek betrekking heeft op domeinen die eindigen op *.opencode.ai. Deze domeinen zouden in staat zijn om alsnog code uit te voeren op de systemen van gebruikers. Het is daarom noodzakelijk voor IT-professionals om de configuratie van de AI-assistent nauwgezet te monitoren.

Bron 1

Er is een kritiek beveiligingslek vastgesteld in Gogs, een platform dat wordt gebruikt voor het zelf hosten van Git-repositories voor softwareontwikkeling. Het lek, bekend onder de aanduiding CVE-2025-8110, wordt volgens officiële rapportages van het Amerikaanse cyberagentschap CISA en beveiligingsonderzoekers al geruime tijd actief misbruikt. De eerste incidenten waarbij deze kwetsbaarheid werd geëxploiteerd, dateren van juli vorig jaar.

De kwetsbaarheid is een path traversal-lek dat aanvallers de mogelijkheid biedt om bestanden te schrijven buiten de daarvoor bestemde mappen op de server. Door gevoelige systeem- of configuratiebestanden te overschrijven, kunnen kwaadwillenden de controle over de server verkrijgen en willekeurige code uitvoeren. Onderzoek heeft uitgewezen dat dit lek in de praktijk wordt aangewend om malware te installeren op kwetsbare systemen. In december vorig jaar werd de impact van de kwetsbaarheid becijferd op zeker zevenhonderd gecompromitteerde servers.

Hoewel de melding over dit lek al in de zomer van vorig jaar bij de ontwikkelaars van Gogs werd ingediend, is een fix om de kwetsbaarheid te mitigeren pas zeer recent beschikbaar gesteld. Vanwege het aangetoonde misbruik en het risico op gegevensinbreuk zijn overheidsinstanties in de Verenigde Staten inmiddels verplicht om hun systemen te patchen of het gebruik van de software te staken. Voor beheerders van Gogs-installaties is het noodzakelijk om de beschikbare update toe te passen om verdere exploitatie van dit lek te voorkomen.

Bron 1, 2

Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft een ernstige kwetsbaarheid in de Gogs-software toegevoegd aan de lijst van actief misbruikte beveiligingslekken. Gogs is een populair open-source platform, geschreven in de programmeertaal Go, dat organisaties gebruiken als alternatief voor diensten zoals GitHub of GitLab om hun eigen code-repositories te beheren. Het agentschap bevestigt dat de kwetsbaarheid is ingezet bij zero-day aanvallen, wat directe actie vereist van beheerders die deze systemen aan het internet hebben gekoppeld.

De kwetsbaarheid, met kenmerk CVE-2025-8110, betreft een fout die uitvoering van code op afstand (RCE) mogelijk maakt. Het probleem bevindt zich in de PutContents API van de software, waar een path traversal-zwakte aanwezig is. Hierdoor kunnen geauthenticeerde aanvallers beveiligingsmaatregelen omzeilen die waren geïmplementeerd voor een eerder gepatchte RCE-fout. Kwaadwillenden kunnen door het aanmaken van symbolische links bestanden buiten de repository overschrijven. Door specifiek configuratiebestanden van Git te manipuleren, zoals de sshCommand-instelling, kunnen aanvallers het doelsysteem dwingen om willekeurige commando's uit te voeren.

Het beveiligingslek werd in juli ontdekt door onderzoekers van Wiz tijdens een analyse van een malware-infectie op een Gogs-server. De onderzoekers rapporteerden de bevindingen op 17 juli aan de ontwikkelaars. Na de erkenning van het rapport op 30 oktober zijn vorige week patches uitgebracht die validatie toevoegen aan de invoerpunten waar bestanden worden weggeschreven. Uit de disclosedata blijkt dat er op 1 november een tweede aanvalsgolf plaatsvond waarbij deze kwetsbaarheid als zero-day werd ingezet. Tijdens het onderzoek naar deze campagnes werden wereldwijd meer dan veertienhonderd blootgestelde Gogs-servers aangetroffen, waarvan ruim zevenhonderd systemen tekenen van compromittering vertoonden.

Vanwege het actieve misbruik heeft CISA Amerikaanse federale overheidsinstanties de opdracht gegeven hun systemen uiterlijk 2 februari 2026 te patchen. Het agentschap waarschuwt dat dit type kwetsbaarheid een frequente aanvalsvector vormt voor kwaadwillende actoren en aanzienlijke risico's met zich meebrengt. Indien het installeren van updates of mitigaties niet direct mogelijk is, wordt geadviseerd het gebruik van de software te staken.

Om het risico op misbruik te verkleinen, wordt beheerders van Gogs-servers aangeraden de standaardinstelling voor openbare registratie uit te schakelen en toegang tot de server te beperken via een VPN of een allow list. Voor het detecteren van een mogelijke inbreuk dienen logbestanden geanalyseerd te worden op verdacht gebruik van de PutContents API. Daarnaast kan de aanwezigheid van repositories met willekeurige namen van exact acht tekens, die tijdens de aanvalsperiodes zijn aangemaakt, wijzen op een succesvolle aanval.

Bron 1, 2, 3

ServiceNow heeft een kritieke kwetsbaarheid in het ServiceNow AI-platform verholpen die ongeautoriseerde gebruikers de mogelijkheid bood om de identiteit van andere gebruikers aan te nemen. Dit beveiligingslek, geregistreerd onder CVE-2025-12420, heeft een CVSS-score van 9.3 gekregen. Door deze fout konden aanvallers zonder authenticatie handelingen verrichten namens legitieme gebruikers en de acties uitvoeren waartoe die gebruikers binnen het systeem gemachtigd waren.

De kwetsbaarheid werd in oktober 2025 ontdekt en gerapporteerd door beveiligingsonderzoeker Aaron Costello. ServiceNow heeft de tekortkoming op 30 oktober 2025 aangepakt door beveiligingsupdates uit te rollen naar de meeste gehoste omgevingen. Voor partners en klanten die hun systemen zelf beheren, zijn eveneens patches beschikbaar gesteld om de systemen te beveiligen.

De noodzakelijke updates zijn verwerkt in de volgende softwareversies: Now Assist AI Agents vanaf versie 5.1.18 en 5.2.19, en de Virtual Agent API vanaf versie 3.15.2 en 4.0.4. Hoewel er momenteel geen aanwijzingen zijn dat het lek daadwerkelijk is misbruikt door kwaadwillenden, benadrukt de aard van de kwetsbaarheid grote risico's. Ongeautoriseerde toegang tot de AI-functionaliteiten kan leiden tot het kopiëren van gevoelige bedrijfsgegevens, het wijzigen van dossiers en het onrechtmatig verhogen van gebruikersrechten. Beheerders van het platform wordt geadviseerd de betreffende softwareversies onmiddellijk te controleren en te actualiseren.

Bron 1

Op 13 januari 2026 heeft het Nationaal Cyber Security Centrum een beveiligingsadvies uitgebracht onder kenmerk NCSC-2026-0005. Dit advies betreft meerdere kwetsbaarheden die zijn aangetroffen in de industriële productlijnen van Siemens. Hoewel het NCSC de melding formeel heeft geclassificeerd met de prioriteit 'normaal', bevat de technische analyse kwetsbaarheden met de hoogst mogelijke risicoscore. De betrokken systemen maken deel uit van vitale infrastructuur en productieomgevingen, waaronder Industrial Edge Devices, SCALANCE-netwerkcomponenten, SIMATIC-automatiseringssystemen, SIPLUS-modules en de Telecontrol Server.

De technische aard van de gevonden lekken is divers. Er is onder meer sprake van Path Traversal, waarbij de beperking van padnamen naar afgeschermde mappen onvoldoende is. Daarnaast zijn er kwetsbaarheden vastgesteld in de neutralisatie van invoer bij het genereren van webpagina's, wat kan leiden tot Cross-site Scripting. Andere beveiligingsproblemen betreffen het uitvoeren van processen met onnodige privileges, ongecontroleerd gebruik van systeembronnen en het omzeilen van autorisatie via sleutels die door de gebruiker worden gecontroleerd. Een specifieke kwetsbaarheid, geregistreerd onder CVE-2025-40805, heeft een CVSS-score van 10.0 gekregen. Dit duidt op een kritieke ernst. Andere significante kwetsbaarheden zijn CVE-2025-40942 en CVE-2025-40944, met scores van respectievelijk 8.8 en 8.7.

Indien een aanvaller deze kwetsbaarheden succesvol uitbuit, kunnen de gevolgen variëren van een Denial-of-Service, waardoor systemen vastlopen, tot manipulatie van gegevens en het omzeilen van beveiligingsmaatregelen. In de meest ernstige gevallen is het mogelijk om op afstand willekeurige code uit te voeren met root- of beheerdersrechten (Remote Code Execution) of toegang te verkrijgen tot gevoelige systeemdata. Voor het uitvoeren van deze aanvallen is toegang tot de productieomgeving vereist. Het NCSC merkt op dat het niet publiek toegankelijk hebben van dergelijke omgevingen de standaard zou moeten zijn.

Het advies heeft betrekking op een groot aantal specifieke hardware- en softwareproducten. Dit omvat diverse versies van de Siemens Industrial Edge Cloud Device en Device Kits voor verschillende processorarchitecturen. Ook de SCALANCE LPE-serie, diverse SIMATIC Automation Workstations en I/O-modules uit de ET 200-reeks zijn kwetsbaar bevonden. Verder worden in het rapport vele varianten van de SIMATIC HMI Unified Comfort Panels genoemd, evenals industriële pc's zoals de SIMATIC IPC-serie en de IOT2050 gateways.

Siemens heeft beveiligingsupdates beschikbaar gesteld om deze kwetsbaarheden te adresseren. Voor situaties waarin directe patching niet mogelijk is of waarvoor nog geen update beschikbaar is, heeft de fabrikant mitigerende maatregelen gepubliceerd om de risico's te beperken. Systeembeheerders wordt geadviseerd de specifieke referenties van de leverancier te raadplegen voor de juiste implementatie van deze oplossingen.

Bron 1

Het Nationaal Cyber Security Centrum (NCSC) heeft op 13 januari 2026 een beveiligingsadvies gepubliceerd onder het kenmerk NCSC-2026-0006. Dit advies heeft betrekking op het verhelpen van meerdere kwetsbaarheden in diverse producten van softwareleverancier SAP. De melding is geclassificeerd met de prioriteit normaal, maar omvat een reeks technische gebreken die de vertrouwelijkheid, integriteit en beschikbaarheid van bedrijfskritische systemen in gevaar kunnen brengen. Systeembeheerders dienen alert te zijn op updates voor onder meer SAP S/4HANA, SAP HANA en SAP NetWeaver.

De aard van de geconstateerde kwetsbaarheden is divers en biedt aanvallers verschillende aanvalsvectoren. Uit de technische specificaties blijkt dat de systemen kwetsbaar zijn voor OS-commando-injectie, SQL-injectie en Code Injection. Daarnaast zijn er problemen vastgesteld met betrekking tot Cross-Site Scripting (XSS), Cross-Site Request Forgery (CSRF) en het ontbreken van cruciale authenticatie voor bepaalde functies. Ook onvoldoende encryptiesterkte en onjuiste autorisatiecontroles maken deel uit van de lijst met beveiligingslekken. Deze zwakheden kunnen door kwaadwillenden worden misbruikt om ongeautoriseerde toegang te verkrijgen tot gevoelige informatie of om systemen volledig te compromitteren.

Een specifiek risico wordt gevormd door de mogelijkheid tot het injecteren van schadelijke ABAP-code in producten zoals SAP S/4HANA en SAP HANA. Indien een aanvaller over beheerdersrechten beschikt, kan deze via deze weg de integriteit van het systeem ernstig aantasten. Andere kwetsbaarheden, zoals die in SAP Fiori Apps, kunnen leiden tot privilege-escalatie, waardoor gebruikers rechten kunnen verkrijgen die niet voor hen bestemd zijn. Het NCSC benadrukt dat de impact op de systemen aanzienlijk is, gezien de centrale rol die deze software speelt in bedrijfsprocessen.

Het advies heeft betrekking op een breed scala aan SAP-producten. De kwetsbaarheden zijn aangetroffen in SAP S/4HANA (zowel Private Cloud als On-Premise), SAP Wily Introscope Enterprise Manager, SAP Landscape Transformation, SAP HANA en de SAP Application Server voor ABAP. Ook SAP NetWeaver, SAP ECC, de SAP Business Connector en SAP Supplier Relationship Management zijn getroffen. Verder dienen organisaties die gebruikmaken van SAP Identity Management en de SAP User Management Engine hun systemen te controleren.

Aan de kwetsbaarheden zijn CVSS-scores toegekend die de ernst van de lekken aanduiden. De hoogste scores in deze reeks zijn vastgesteld op 8.7 (CVSS v4) voor CVE-2026-0500 en CVE-2026-0492. Ook CVE-2026-0498 en CVE-2026-0491 kennen een hoge score van 8.6. Een aanzienlijk deel van de overige CVE's, waaronder CVE-2026-0501 en CVE-2026-0511, heeft een score van 5.3. SAP heeft updates beschikbaar gesteld om deze beveiligingslekken te verhelpen, zoals beschreven in de Security Notes van januari 2026.

Bron 1

De leverancier van surveillancesystemen Hikvision wordt geconfronteerd met twee ernstige beveiligingsproblemen die aanvallers in staat stellen apparatuur te ontregelen. Het betreft twee stack overflow-kwetsbaarheden die zijn geregistreerd als CVE-2025-66176 en CVE-2025-66177. Beide kwetsbaarheden hebben een CVSS v3.1-score van 8.8 gekregen, wat duidt op een hoog risico met een aanzienlijke impact op de beschikbaarheid en integriteit van de systemen.

Onderzoekers hebben vastgesteld dat de kwetsbaarheden zich bevinden in de Search and Discovery-functie, een protocol dat wordt gebruikt voor netwerkdetectie. Een aanvaller die zich op hetzelfde lokale netwerk (LAN) bevindt, kan door het versturen van speciaal samengestelde datapakketten een stack overflow veroorzaken. Dit resulteert in het crashen of disfunctioneren van het getroffen apparaat. De aanval vereist toegang tot het aangrenzende netwerk, zoals een interne kantoorverbinding of gedeelde wifi, maar vereist geen inloggegevens of interactie van een gebruiker om te slagen.

De impact verschilt per CVE-code. CVE-2025-66176 heeft betrekking op specifieke producten in de Access Control-serie. CVE-2025-66177 treft een bredere groep apparaten, waaronder bepaalde modellen uit de NVR-, DVR-, CVR- en IPC-series. De ontdekkingen zijn gedaan door een lid van het Cisco Talos Team en de onafhankelijke onderzoekers Angel Lozano Alcazar en Pedro Guillen Nuñez. Zij benadrukken dat dergelijke denial-of-service aanvallen op kritieke infrastructuur kunnen leiden tot het uitvallen van cameratoezicht.

Hikvision heeft aangegeven dat er firmware-updates beschikbaar zijn via de officiële ondersteuningskanalen om deze lekken te dichten. Als tijdelijke maatregelen voor systemen die nog niet gepatcht kunnen worden, adviseert de fabrikant het toepassen van strikte netwerksegmentatie en het uitschakelen van ongebruikte detectiefuncties. Organisaties die gebruikmaken van deze apparatuur dienen waakzaam te zijn voor ongeautoriseerde apparaten binnen het lokale netwerk.

Bron 1, 2

Een kritieke kwetsbaarheid in het Angular-framework stelt aanvallers in staat om willekeurige JavaScript-code uit te voeren in de browsers van gebruikers. Het lek, geregistreerd onder de identificatie CVE-2026-22610, bevindt zich in de Template Compiler van de software. De fout treft verschillende versies van de pakketten @angular/compiler en @angular/core en heeft een CVSS v4-score van 7.6 gekregen, wat wijst op een hoge ernst.

Het technisch defect wordt veroorzaakt door een onvolledige validatie in het interne saniteringsschema van Angular. Hierbij worden de href en xlink:href attributen van SVG script-elementen onterecht niet aangemerkt als bron-URL's die strikt gecontroleerd moeten worden. Wanneer een applicatie gebruikmaakt van property binding om dynamische data aan deze attributen te koppelen, classificeert de compiler deze invoer als een ongevaarlijke reeks tekens in plaats van een risicovolle bronkoppeling.

Door deze misclassificatie kunnen kwaadaardige payloads, zoals data-URI's of verwijzingen naar externe scripts, de ingebouwde beveiliging omzeilen. Indien de kwetsbaarheid wordt misbruikt, kan een aanvaller toegang krijgen tot sessiecookies, authenticatietokens of gegevens in de lokale opslag van de browser. Dit kan leiden tot de overname van gebruikersaccounts of het uitvoeren van ongeautoriseerde handelingen namens de gebruiker.

De kwetsbaarheid is aanwezig in meerdere versies van het framework. Voor de versies binnen de 19.x, 20.x en 21.x reeksen zijn inmiddels updates beschikbaar gesteld, te weten versie 19.2.18, 20.3.16 en 21.0.7. Voor Angular versie 18.2.14 en alle eerdere versies is geen patch beschikbaar; gebruikers van deze versies moeten upgraden naar een nieuwere versie om het risico te mitigeren.

De mogelijkheid tot exploitatie hangt af van de specifieke inrichting van de webapplicatie. Het risico is aanwezig wanneer SVG script-elementen in templates worden gecombineerd met dynamische bindings voor de getroffen attributen en de data uit een onbetrouwbare bron komt. Beheerders en ontwikkelaars wordt geadviseerd om direct te updaten naar de gepatchte versies. Als tijdelijke maatregel kan het gebruik van dynamische bindings in combinatie met SVG script-elementen worden vermeden, mits aangevuld met strikte validatie aan de serverzijde.

Bron 1

Moxa heeft een kritiek beveiligingsadvies uitgebracht met betrekking tot CVE-2023-38408, een ernstige kwetsbaarheid in OpenSSH die diverse modellen Ethernet-switches van de fabrikant treft. Met een CVSS 3.1-score van 9.8 stelt deze fout ongeauthenticeerde aanvallers op afstand in staat om willekeurige code uit te voeren op kwetsbare apparaten, zonder dat daarvoor interactie van de gebruiker vereist is. De kern van het probleem ligt in een onbetrouwbaar zoekpad binnen de PKCS#11-functionaliteit van de OpenSSH ssh-agent, specifiek in versies voorafgaand aan 9.3p2.

De kwetsbaarheid is technisch geclassificeerd als CWE-428, wat duidt op een probleem met ongeciteerde zoekpaden. Wanneer een SSH-agent wordt doorgestuurd naar een systeem dat onder controle staat van een aanvaller, kan dit leiden tot het uitvoeren van code op afstand. Dit specifieke beveiligingslek wordt beschouwd als een onvolledige reparatie van een eerdere kwetsbaarheid die bekendstaat onder CVE-2016-10009. Succesvol misbruik van deze zwakte kan resulteren in volledige systeemcompromittering, waarbij de vertrouwelijkheid, integriteit en beschikbaarheid van het netwerkapparaat in gevaar komen.

Het beveiligingslek heeft impact op meerdere series switches van Moxa, waarbij specifieke firmwareversies kwetsbaar zijn bevonden. Binnen de EDS-serie betreft het de modellen EDS-G4000, EDS-4008, EDS-4009, EDS-4012, EDS-4014, EDS-G4008, EDS-G4012 en EDS-G4014 die functioneren op firmwareversie 4.1 of eerder. Voor de RKS-serie zijn de getroffen modellen de RKS-G4000, RKS-G4028 en RKS-G4028-L3 indien deze zijn voorzien van firmwareversie 5.0 of ouder. Moxa adviseert gebruikers om contact op te nemen met technische ondersteuning voor de benodigde patches.

Organisaties die gebruikmaken van de getroffen apparatuur uit de EDS-serie dienen te upgraden naar firmwareversie 4.1.58 om het lek te dichten. Gebruikers van de RKS-serie moeten een update uitvoeren naar versie 5.0.4. Zolang patches nog niet zijn geïmplementeerd, adviseert de fabrikant om strikte netwerktoegangscontroles toe te passen, zoals firewalls en toegangscontrolelijsten, om communicatie te beperken tot uitsluitend vertrouwde netwerken. Verder wordt aanbevolen om operationele netwerken te scheiden van bedrijfsnetwerken door middel van VLAN's of fysieke scheiding, onnodige netwerkdiensten uit te schakelen en directe blootstelling van de apparaten aan het internet te vermijden. Het toepassen van multifactorauthenticatie en continue monitoring van netwerkverkeer op afwijkende activiteiten wordt eveneens aangeraden als extra beveiligingslaag.

Bron 1

Tijdens de Patch Tuesday van januari 2026 heeft Microsoft een omvangrijke reeks beveiligingsupdates uitgebracht waarmee 114 kwetsbaarheden worden verholpen. Binnen deze update bevinden zich oplossingen voor drie zogeheten zero-day-kwetsbaarheden. Eén daarvan wordt momenteel actief misbruikt, terwijl de details van de andere twee reeds openbaar waren gemaakt voorafgaand aan de patch. Naast deze specifieke dreigingen pakt de update van deze maand acht kritieke kwetsbaarheden aan, waarvan de meerderheid betrekking heeft op het uitvoeren van externe code.

De meest urgente reparatie in deze cyclus betreft een actief misbruikt lek in de Desktop Window Manager, geregistreerd als CVE-2026-20805. Microsoft classificeert dit als een kwetsbaarheid die leidt tot het vrijgeven van informatie. Een aanvaller die succesvol misbruik weet te maken van deze fout, kan lokaal geheugenadressen uitlezen die gekoppeld zijn aan de externe ALPC-poort. Hoewel Microsoft heeft vastgesteld dat deze kwetsbaarheid in het wild wordt geëxploiteerd, zijn er geen specifieke details vrijgegeven over de aard van de aanvallen of de actoren die hierachter zitten.

Naast de actief uitgebuite kwetsbaarheid zijn er patches uitgebracht voor twee reeds bekende zero-days. De eerste, CVE-2026-21265, heeft betrekking op de veiligheid van het opstartproces. Certificaten die in 2011 zijn uitgegeven voor Windows Secure Boot naderen in 2026 hun vervaldatum. Zonder de updates van deze maand lopen systemen een verhoogd risico dat kwaadwillenden de beveiligde opstartprocedure kunnen omzeilen. De uitgebrachte update vernieuwt de betreffende certificaten om de vertrouwensketen intact te houden.

De tweede openbare zero-day betreft een eerder gemelde kwestie met stuurprogramma's van derden. Het gaat hier om CVE-2023-31096, een kwetsbaarheid in Agere Soft Modem-stuurprogramma's die misbruikt kon worden voor het verhogen van bevoegdheden. Microsoft heeft als definitieve maatregel besloten de kwetsbare drivers, specifiek de bestanden agrsm64.sys en agrsm.sys, met deze update volledig uit het Windows-besturingssysteem te verwijderen.

De overige 114 patches pakken diverse categorieën van kwetsbaarheden aan. De grootste groep bestaat uit 57 fouten die leiden tot een escalatie van bevoegdheden. Daarnaast zijn er 22 kwetsbaarheden opgelost die het uitvoeren van willekeurige code op afstand mogelijk maakten en eveneens 22 lekken die onbedoeld informatie konden vrijgeven. Onder de kritieke updates bevinden zich onder meer reparaties voor Microsoft Office, Excel en de Windows Local Security Authority Subsystem Service (LSASS).

Naast de updates van Microsoft hebben ook andere leveranciers in januari 2026 beveiligingspatches uitgebracht die relevant zijn voor systeembeheerders. Adobe heeft updates beschikbaar gesteld voor meerdere producten, waaronder Illustrator, InDesign en ColdFusion. Cisco heeft een patch uitgebracht voor een kwetsbaarheid in de Identity Services Engine waarvoor publieke exploitcode beschikbaar is. Ook andere partijen zoals Fortinet, SAP, Trend Micro, Veeam en Google (voor Android) hebben deze maand kritieke beveiligingslekken in hun software gedicht.

Naar overzicht

Een kritieke kwetsbaarheid in de serversoftware van SmarterMail stelt wereldwijd duizenden systemen bloot aan directe overname, waarbij ook tientallen servers in de Benelux direct gevaar lopen. Uit recente netwerkscans van 12 en 13 januari 2026 blijkt dat er binnen de Nederlandse landsgrenzen nog 53 servers via het internet bereikbaar zijn die niet over de noodzakelijke beveiligingsupdate beschikken. In België zijn er op dit moment nog 6 kwetsbare installaties gedetecteerd. Wereldwijd gaat het om meer dan 8.000 servers die vatbaar zijn voor deze aanvalsvorm.

De kwetsbaarheid staat geregistreerd onder de code CVE-2025-52691 en heeft de maximale ernstscore van 10.0 toegekend gekregen binnen het Common Vulnerability Scoring System. Het beveiligingslek wordt veroorzaakt door een fout in de verwerking van bestandsuploads, technisch aangeduid als een 'Unrestricted Upload of File with Dangerous Type'. Deze fout stelt kwaadwillenden in staat om zonder inloggegevens of enige vorm van authenticatie willekeurige bestanden naar de mailserver te sturen.

Wanneer een aanvaller erin slaagt een bestand te uploaden, kan dit vervolgens worden uitgevoerd met de rechten van de SmarterMail-dienst zelf. Dit leidt tot 'Remote Code Execution', wat in de praktijk betekent dat een externe partij de volledige controle over de server kan overnemen, data kan stelen of webshells kan plaatsen voor permanente toegang tot het achterliggende netwerk. Het lek bevindt zich in SmarterMail Build 9406 en alle eerdere versies.

De urgentie voor systeembeheerders is hoog aangezien er inmiddels werkende aanvalsscripts, zogenaamde proof-of-concept exploits, publiekelijk beschikbaar zijn op diverse platforms. Deze scripts maken gebruik van eenvoudige HTTP-verzoeken om kwaadaardige code, zoals .aspx-bestanden, te injecteren. Hoewel er nog geen grootschalige automatische aanvalscampagnes zijn bevestigd, verhoogt de beschikbaarheid van deze code de kans op misbruik aanzienlijk.

Om de kwetsbaarheid te verhelpen, is een update naar SmarterMail Build 9413 of de meest recente Build 9483 noodzakelijk. Organisaties die gebruikmaken van deze software wordt geadviseerd de versie van hun installatie direct te verifiëren. Als tijdelijke maatregel of ter controle op reeds plaatsgevonden inbraken, dienen logbestanden geanalyseerd te worden op verdachte uploadactiviteiten en dient de mapstructuur gecontroleerd te worden op de aanwezigheid van onbekende uitvoerbare bestanden.

Bron 1

Fortinet heeft een kritieke beveiligingsfout bekendgemaakt in de cw_acd daemon van FortiOS en FortiSwitchManager. De kwetsbaarheid wordt geclassificeerd als een heap-based buffer overflow (CWE-122). Deze technische tekortkoming stelt een externe, niet-geauthenticeerde actor in staat om op afstand willekeurige code of opdrachten uit te voeren. Dit kan worden gerealiseerd door het verzenden van specifiek geconstrueerde verzoeken via het netwerk naar het kwetsbare proces.

De impact van deze fout is aanzienlijk voor infrastructuren die gebruikmaken van Fortinet-firewalls, Secure Access Service Edge (SASE) oplossingen en gecentraliseerd switchbeheer. Systemen waarbij de fabric-interface is blootgesteld aan onbeveiligde netwerken lopen het grootste risico. De ontdekking van dit lek is gedaan door het interne beveiligingsteam van Fortinet. Hoewel er bij de initiële publicatie op 13 januari 2026 nog geen formeel CVE-nummer beschikbaar was, wordt de ernst van de situatie benadrukt vanwege de mogelijkheid tot volledige systeemovername zonder dat daarvoor geldige inloggegevens vereist zijn.

Overzicht van getroffen systemen en updates

Meerdere versies van Fortinet-software zijn kwetsbaar. Beheerders wordt dringend geadviseerd hun huidige firmwareversies te controleren aan de hand van de onderstaande tabel en de noodzakelijke upgrades uit te voeren.

Product | Kwetsbare Versies | Vereiste Oplossing

FortiOS 7.6 | 7.6.0 t/m 7.6.3 | Upgrade naar 7.6.4 of hoger

FortiOS 7.4 | 7.4.0 t/m 7.4.8 | Upgrade naar 7.4.9 of hoger

FortiOS 7.2 | 7.2.0 t/m 7.2.11 | Upgrade naar 7.2.12 of hoger

FortiOS 7.0 | 7.0.0 t/m 7.0.17 | Upgrade naar 7.0.18 of hoger

FortiOS 6.4 | 6.4.0 t/m 6.4.16 | Upgrade naar 6.4.17 of hoger

FortiSASE 25.2 | 25.2.b | Opgelost in versie 25.2.c

FortiSASE 25.1 | 25.1.a.2 | Migratie naar herstelde release noodzakelijk

FortiSwitchManager 7.2 | 7.2.0 t/m 7.2.6 | Upgrade naar 7.2.7 of hoger

FortiSwitchManager 7.0 | 7.0.0 t/m 7.0.5 | Upgrade naar 7.0.6 of hoger

Mitigatiestrategieën en tijdelijke maatregelen

Indien een onmiddellijke upgrade van de software niet uitvoerbaar is, heeft Fortinet twee technische maatregelen geformuleerd om het risico op misbruik te verkleinen. De eerste maatregel is het uitschakelen van de "fabric"-toegangsrechten op alle netwerkinterfaces. In de configuratie van de systeeminterfaces dient de parameter 'fabric' te worden verwijderd uit de lijst van toegestane toegangsprotocollen.

De tweede maatregel betreft het blokkeren van inkomend CAPWAP-CONTROL verkeer op de UDP-poorten 5246 tot en met 5249. Dit kan worden bewerkstelligd door het instellen van zogenaamde local-in policies. Hierbij wordt uitsluitend verkeer van vooraf gedefinieerde, vertrouwde bron-IP-adressen toegelaten, terwijl al het overige verkeer op deze poorten expliciet wordt geweigerd. Naast deze maatregelen is het noodzakelijk om de systeemlogs te controleren op ongebruikelijke patronen in het cw_acd-proces en beheerinterfaces waar mogelijk logisch te scheiden van het reguliere netwerkverkeer.

Bron 1

Op 13 januari 2026 zijn kritieke beveiligingsupdates uitgebracht voor Node.js om zeven kwetsbaarheden te verhelpen. De updates zijn van toepassing op alle actieve release-lijnen: 20.x, 22.x, 24.x en 25.x. De lekken variëren in ernst van laag tot hoog en kunnen leiden tot het uitlekken van gevoelige gegevens, denial-of-service (DoS) en het omzeilen van ingestelde toegangsrechten.

Beveiligingslekken met hoge ernstgraad

Er zijn drie kwetsbaarheden geïdentificeerd met een hoge impact. CVE-2025-55131 betreft een race-conditie in de vm-module, waardoor ongeïnitialiseerd geheugen in Buffer.alloc en Uint8Array zichtbaar kan worden. Dit brengt het risico met zich mee dat geheime informatie, zoals tokens, wordt blootgesteld. CVE-2025-55130 stelt aanvallers in staat om via symbolische koppelingen (symlinks) beperkingen in het bestandssysteem te omzeilen, waardoor toegang kan worden verkregen tot bestanden die normaal gesproken beschermd zijn door permissievlaggen. Het derde ernstige lek, CVE-2025-59465, veroorzaakt een crash bij HTTP/2-servers door de verwerking van malafide HEADERS-frames, wat leidt tot een remote denial-of-service.

Medium en lage kwetsbaarheden

Naast de kritieke patches zijn er vier lekken met een gemiddelde ernstgraad gedicht. CVE-2025-59466 betreft stack overflow-fouten binnen async_hooks die niet kunnen worden opgevangen, wat kan resulteren in een systeemcrash. CVE-2025-59464 verhelpt een geheugenlek dat optreedt tijdens de verwerking van TLS-clientcertificaten via OpenSSL. Voor de experimentele netwerkmodellen in versie 25.x lost CVE-2026-21636 een probleem op waarbij netwerkpermissies via Unix Domain Sockets konden worden omzeild. CVE-2026-21637 voorkomt servercrashes en het lekken van file descriptors door fouten in TLS-callbacks. Tot slot verhelpt CVE-2025-55132 (lage ernstgraad) een bug waarbij tijdsstempels van bestanden konden worden aangepast zonder de vereiste schrijfrechten.

Beschikbare updates en advies

De beveiligingsoplossingen zijn doorgevoerd in de volgende nieuwe versies:

• Node.js 20.20.0
• Node.js 22.22.0
• Node.js 24.13.0
• Node.js 25.3.0

Onderdeel van deze releases zijn tevens updates voor de componenten c-ares (1.34.6) en undici (6.23.0 of 7.18.0) om bekende kwetsbaarheden in deze bibliotheken aan te pakken. Gebruikers van Node.js wordt geadviseerd om hun installaties op korte termijn bij te werken naar de relevante nieuwe versie om de integriteit en beschikbaarheid van hun systemen te waarborgen.

Bron 1

Fortinet heeft op 13 januari 2026 melding gemaakt van een Server-Side Request Forgery (SSRF) kwetsbaarheid in de FortiSandbox-appliance. Het beveiligingslek stelt geauthenticeerde gebruikers in staat om via gemanipuleerde HTTP-verzoeken verbindingen te initiëren naar interne netwerkbronnen. De leverancier adviseert systeembeheerders updates toe te passen om risico's omtrent het ongeautoriseerd doorsturen van verkeer binnen het interne netwerk te beperken.

De kwetsbaarheid is geregistreerd onder identificatiecode CVE-2025-67685 en staat bij de leverancier bekend onder adviesnummer FG-IR-25-783. Het probleem bevindt zich in de grafische gebruikersinterface (GUI) en komt voort uit een gebrek aan invoervalidatie, geclassificeerd als CWE-918. Hierdoor kunnen aanvallers met beheerdersrechten verzoeken forceren naar localhost of interne IP-adressen via onversleutelde protocollen. Vanwege de vereiste hoge privileges en authenticatie is de ernst van het lek vastgesteld op een CVSSv3-score van 3.4, wat als laag wordt bestempeld.

Hoewel de score beperkt is, kan de kwetsbaarheid in strikt gesegmenteerde of air-gapped omgevingen leiden tot het uitlekken van metadata of toegang verschaffen tot interne services die normaal volledig afgeschermd zijn. De ontdekking van deze fout wordt toegeschreven aan onderzoek van het Trend Micro Zero Day Initiative. Er zijn op het moment van publicatie geen aanwijzingen gevonden dat deze kwetsbaarheid actief wordt misbruikt.

De getroffen softwareversies betreffen FortiSandbox 5.0.0 tot en met 5.0.4. Hiervoor is versie 5.0.5 beschikbaar gesteld als oplossing. Voor alle versies binnen de oudere 4.4, 4.2 en 4.0 reeksen adviseert de leverancier een volledige migratie naar een ondersteunde release. Beheerders wordt geadviseerd om GUI-logs te auditen op afwijkende interne verzoeken vanaf januari 2026 om potentieel misbruik uit te sluiten.

Bron 1

Het Nationaal Cyber Security Centrum heeft een beveiligingsadvies uitgebracht over een kwetsbaarheid in Microsoft SQL Server die inmiddels is verholpen. De zwakheid in de software stelt kwaadwillenden in staat om toegang te verkrijgen tot de debug-functionaliteit zonder dat daar de juiste authenticatie voor aanwezig is. Hierdoor kunnen geheugendumps worden gegenereerd die gevoelige informatie kunnen bevatten.

De ernst van dit lek ligt in het feit dat deze memory-dumps gegevens kunnen bevatten die buiten de directe scope van de SQL-server vallen. Hoewel een aanvaller voor succesvol misbruik reeds over verhoogde rechten binnen de SQL-omgeving moet beschikken, wordt het risico als substantieel beschouwd. Dit type dreiging wordt ook wel geclassificeerd als een insider-threat of een scenario met een kwaadwillende beheerder.

Vanwege de eenvoud van het misbruik en de mogelijke schade door het uitlekken van informatie, wordt een versnelde installatie van updates geadviseerd. Dit is met name van belang voor infrastructuren waar SQL Server draait op systemen met gedeelde resources, zoals cloud-omgevingen en gedeelde hardware-omgevingen. De kwetsbaarheid is geregistreerd onder CVE-2026-20803 en heeft invloed op Microsoft SQL Server 2022 en Microsoft SQL Server 2025 op x64-systemen.

Microsoft heeft updates gepubliceerd die deze kwetsbaarheid verhelpen. Het wordt aanbevolen om deze beveiligingsupdates direct te installeren. Gedetailleerde informatie over de installatie en de specifieke technische kenmerken van de kwetsbaarheid is beschikbaar via de officiële kanalen voor beveiligingsrichtlijnen van de softwarefabrikant.

Bron 1

In diverse onderdelen van Microsoft Azure zijn kwetsbaarheden vastgesteld die de veiligheid van cloudomgevingen in gevaar kunnen brengen. Het Nationaal Cyber Security Centrum (NCSC) heeft hierover een formeel beveiligingsadvies uitgebracht onder referentienummer NCSC-2026-0009. De kwetsbaarheden hebben betrekking op de Azure Connected Machine Agent, het Windows Admin Center en de Azure Core shared client library voor Python.

De technische tekortkomingen in de software maken verschillende aanvalsscenario's mogelijk. Er is onder meer sprake van een stack-based buffer overflow en onjuiste verificatie van cryptografische handtekeningen. Daarnaast is er een probleem geconstateerd bij de deserialisatie van onbetrouwbare gegevens. Een kwaadwillende die reeds over toegang tot het systeem beschikt via voorafgaande authenticatie, kan deze zwakheden misbruiken om zichzelf hogere rechten toe te kennen.

Met deze verhoogde rechten kan een aanvaller toegang krijgen tot gevoelige informatie of code uitvoeren waarvoor oorspronkelijk geen autorisatie was verleend. Voor de Azure Connected Machine Agent is een specifiek lek geïdentificeerd als CVE-2026-21224 met een CVSS-score van 7.8. Het Windows Admin Center is kwetsbaar via CVE-2026-20965, terwijl de Azure Core shared client library voor Python getroffen is door CVE-2026-21226, beide met een score van 7.5.

Microsoft heeft beveiligingsupdates uitgebracht die de beschreven risico's mitigeren. Het installeren van deze updates is noodzakelijk om misbruik te voorkomen. Systeembeheerders en professionele gebruikers kunnen voor specifieke installatie-instructies en technische details terecht bij de officiële documentatie van de softwareleverancier.

Bron 1

Het Nationaal Cyber Security Centrum heeft een uitgebreid beveiligingsadvies uitgebracht onder kenmerk NCSC-2026-0007 naar aanleiding van een reeks kwetsbaarheden in Microsoft Windows. De update van januari 2026 verhelpt diverse lekken in kritieke systeemcomponenten zoals de Windows Kernel, Windows Management Services en Secure Boot. De prioriteit van dit advies is door het NCSC geclassificeerd als normaal, maar de aard van de gedichte lekken varieert aanzienlijk in impact en complexiteit.

In het advies wordt specifieke aandacht gevraagd voor de kwetsbaarheid met kenmerk CVE-2026-21265. Microsoft heeft bevestigd dat informatie over dit lek reeds publiekelijk wordt besproken op diverse fora. Indien een aanvaller dit lek succesvol misbruikt, kan de Secure Boot-beveiliging worden omzeild. Hoewel de impact groot is, schat Microsoft de kans op grootschalig misbruik laag in. Een succesvolle aanval vereist namelijk diepgaande kennis van het specifieke systeem en de aanvaller moet reeds beschikken over verhoogde privileges op het doelapparaat.

Daarnaast bevat de update een oplossing voor CVE-2026-20805, een kwetsbaarheid die als zeroday-lek is geïdentificeerd. Dit betekent dat het lek daadwerkelijk is misbruikt voordat er een officiële patch beschikbaar was. Voor exploitatie van dit specifieke lek is echter lokale toegang tot het systeem vereist, evenals voorafgaande authenticatie van een gebruiker. Vanwege deze drempels wordt ook hier grootschalig misbruik op dit moment niet waarschijnlijk geacht.

Een opvallend onderdeel van deze beveiligingsronde is de definitieve verwijdering van verouderde Broadcom modem drivers voor Agere-modems. Hiermee wordt de kwetsbaarheid CVE-2023-31096 definitief geëlimineerd. Hoewel er voor dit oudere lek al geruime tijd Proof-of-Concept-code beschikbaar was, zijn er geen meldingen van grootschalige incidenten bekend. Door de drivers volledig uit Windows te verwijderen, is het risico voor systemen die deze hardware nog ondersteunden weggenomen.

De technische omschrijving van het NCSC toont aan dat de kwetsbaarheden een breed scala aan aanvalsvectoren beslaan. Er zijn lekken gedicht die betrekking hebben op buffer overflows, race conditions, type confusion en onjuiste invoervalidatie. Indien deze niet worden gepatcht, kunnen kwaadwillenden acties uitvoeren die variëren van het verkrijgen van verhoogde rechten (privilege escalation) en het uitvoeren van willekeurige code tot het manipuleren van gegevens of het veroorzaken van een Denial-of-Service-toestand.

Diverse Windows-onderdelen zoals de Local Security Authority Subsystem Service (LSASS), Windows NTLM en de Windows Media-component zijn in deze update meegenomen. Vooral binnen Windows Management Services zijn tal van lekken met een CVSS-score van 7.8 verholpen, wat wijst op een aanzienlijk risico voor het ongeoorloofd verkrijgen van systeemrechten. Voor organisaties en particuliere gebruikers in Nederland en België is het tijdig installeren van deze beveiligingsupdates de primaire methode om deze vastgestelde risico's te mitigeren.

Bron 1

Microsoft heeft een kwetsbaarheid verholpen in de Microsoft Windows SDK, specifiek binnen de Inbox Component Object Model (COM) objects. Deze architectuur wordt door softwareontwikkelaars gebruikt om applicaties te bouwen die communiceren met Outlook en Exchange. Het lek vormt met name een risico voor zelfontwikkelde software die gebruikmaakt van functies voor het verwerken van e-mail, mappen en de voorvertoning van berichten.

De kwetsbaarheid, geregistreerd onder kenmerk CVE-2026-21219, betreft een Use After Free-fout. Een kwaadwillende kan dit defect misbruiken om zonder voorafgaande authenticatie willekeurige code uit te voeren binnen de context van de kwetsbare applicatie. Voor een succesvolle aanval is interactie van een gebruiker noodzakelijk. Een slachtoffer moet worden misleid om een kwaadaardig bestand te openen of een malafide link te volgen binnen de betreffende software.

Het Nationaal Cyber Security Centrum heeft de prioriteit voor dit advies vastgesteld op Normaal, met een CVSS-score van 7.0. Microsoft heeft inmiddels beveiligingsupdates beschikbaar gesteld om dit probleem te corrigeren. Het wordt aanbevolen om deze updates te installeren via de officiële kanalen van de fabrikant. Verdere technische details over de kwetsbaarheid en de installatie van de updates zijn gedocumenteerd in de beveiligingsrichtlijnen van Microsoft.

Bron 1

Het Nationaal Cyber Security Centrum heeft een beveiligingsadvies uitgebracht naar aanleiding van meerdere kwetsbaarheden die zijn aangetroffen in diverse Microsoft Office-producten. Softwareleverancier Microsoft heeft patches beschikbaar gesteld om deze beveiligingslekken te dichten. De aangetroffen kwetsbaarheden variëren in ernst en aard, waarbij de impact op ongepatchte systemen aanzienlijk kan zijn.

Kwaadwillenden kunnen de beschreven kwetsbaarheden misbruiken om willekeurige code uit te voeren binnen de context van het slachtoffer, toegang te verkrijgen tot gevoelige gegevens of zich voor te doen als een andere gebruiker. Om een aanval succesvol uit te voeren, dient een aanvaller in veel gevallen reeds geauthenticeerd te zijn op het kwetsbare systeem. In andere scenario's is interactie van de gebruiker vereist, waarbij het slachtoffer moet worden misleid om een gemanipuleerd bestand te openen of op een link te klikken.

De technische aard van de verholpen fouten is divers. Het betreft onder meer problemen met onjuiste invoervalidatie, SQL-injectie, Cross-Site Scripting en Server-Side Request Forgery. Daarnaast zijn er diverse geheugenbeheerfouten hersteld, waaronder heap-based buffer overflows, integer underflows en use-after-free kwetsbaarheden. Ook zijn er lekken gedicht die betrekking hebben op onveilige deserialisatie van data en onjuiste toegangscontrole.

Binnen Microsoft Office SharePoint zijn meerdere kwetsbaarheden verholpen, waarbij de CVSS-scores oplopen tot 8.8. Deze scores duiden op een ernstige technische impact, waaronder de mogelijkheid tot het uitvoeren van willekeurige code. Voor Microsoft Excel en Microsoft Word zijn eveneens lekken gedicht die voornamelijk code-uitvoering mogelijk maken, met scores die veelal rond de 7.8 liggen. Een specifiek lek in Excel maakte daarnaast het omzeilen van beveiligingsmaatregelen mogelijk.

De kwetsbaarheden treffen een breed spectrum aan softwareversies. Dit omvat onder meer Microsoft 365 Apps for Enterprise, Office 2016, Office 2019, Office LTSC 2021 en Office LTSC 2024. Ook servertoepassingen zoals SharePoint Enterprise Server 2016, SharePoint Server 2019 en SharePoint Server Subscription Edition zijn vatbaar voor deze lekken. Systeembeheerders en gebruikers wordt geadviseerd kennis te nemen van de door de leverancier beschikbaar gestelde updates en deze te installeren om de beveiligingsrisico's te mitigeren.

Bron 1

Het Nationaal Cyber Security Centrum heeft op 14 januari 2026 melding gemaakt van meerdere kwetsbaarheden in Adobe Dreamweaver Desktop. De beveiligingsproblemen doen zich voor in versie 21.6 en eerdere versies van deze software. De kern van de problematiek betreft een onjuiste validatie van invoer en een gebrekkige neutralisatie van speciale elementen in commando's voor het besturingssysteem, wat ook wel wordt aangeduid als OS Command Injection.

De aangetroffen zwakheden creëren een risico waarbij ongeautoriseerde bestandsmanipulatie mogelijk is. Daarnaast kunnen kwaadwillenden in staat worden gesteld om willekeurige code op het doelsysteem uit te voeren. Voor een succesvolle exploitatie van deze kwetsbaarheden is interactie van de gebruiker vereist. Een aanvalsscenario omvat bijvoorbeeld het verleiden van een gebruiker om een specifiek geprepareerd, kwaadaardig bestand te openen binnen de applicatie.

De ernst van de lekken wordt weerspiegeld in de toegekende CVSS-scores. De kwetsbaarheden met de identificatienummers CVE-2026-21272, CVE-2026-21271, CVE-2026-21268 en CVE-2026-21267 hebben allen een score van 8.6 gekregen. Voor de kwetsbaarheid met kenmerk CVE-2026-21274 is een score van 7.8 vastgesteld. Ondanks dat de prioriteit van de melding als normaal is geclassificeerd, duiden deze waarden op een substantieel risico voor systemen die niet zijn bijgewerkt.

Adobe heeft updates uitgebracht om deze beveiligingslekken te dichten. De beschikbaar gestelde patches zorgen ervoor dat de invoervalidatie op de juiste wijze wordt uitgevoerd, waarmee de mogelijkheid tot misbruik wordt weggenomen. Gebruikers en beheerders van Adobe Dreamweaver Desktop kunnen de software bijwerken naar de nieuwste versie om de beschreven risico's te mitigeren.

Bron 1

Het Nationaal Cyber Security Centrum (NCSC) heeft op 14 januari 2026 een beveiligingsadvies uitgebracht met betrekking tot kritieke kwetsbaarheden in Adobe InDesign Desktop. De kwetsbaarheden hebben betrekking op de softwareversies 21.0 en 19.5.5, evenals alle voorgaande versies. Adobe heeft updates gepubliceerd om deze beveiligingslekken te dichten en de stabiliteit van de systemen te waarborgen.

De technische analyse wijst op verschillende kritieke kwetsbaarheden, waaronder een heap-based buffer overflow en een fout met een onjuist geïnitialiseerde pointer. Deze gebreken stellen aanvallers in staat om willekeurige code uit te voeren op het systeem van een gebruiker. Tevens is er een out-of-bounds read-kwetsbaarheid aangetroffen, waarmee ongeautoriseerde toegang tot gevoelige informatie in het systeemgeheugen kan worden verkregen. De meest urgente kwetsbaarheden, zoals geregistreerd onder CVE-2026-21276 en CVE-2026-21275, hebben een CVSS-score van 7.8 gekregen.

Voor de uitvoering van een aanval is interactie van een gebruiker noodzakelijk. Het beveiligingslek kan worden geëxploiteerd wanneer een gebruiker een specifiek geprepareerd kwaadaardig bestand opent met een kwetsbare versie van Adobe InDesign. Zodra het bestand is geopend, kan de schadelijke code-executie plaatsvinden zonder verdere tussenkomst van de gebruiker. Gezien de ernst van de kwetsbaarheden wordt geadviseerd om de beschikbare beveiligingsupdates direct te installeren.

Bron 1

Fortinet heeft beveiligingsupdates uitgebracht voor een kritieke kwetsbaarheid in FortiFone, een systeem voor VoIP-telefonie. Het lek stelt een ongeauthenticeerde aanvaller in staat om de configuratiegegevens van het apparaat te verkrijgen. De kwetsbaarheid is geregistreerd onder kenmerk CVE-2025-47855 en heeft op de CVSS-schaal een score van 9.3 gekregen, wat duidt op een zeer hoge impact.

Het beveiligingslek bevindt zich in de webportal van de FortiFone-oplossing. Uit de technische analyse blijkt dat het versturen van speciaal geprepareerde verzoeken (requests) naar deze portal voldoende is om toegang te krijgen tot de systeemconfiguratie. Omdat hiervoor geen voorafgaande inloggegevens of autorisatie vereist zijn, kan de kwetsbaarheid door externe partijen op afstand worden misbruikt.

Fortinet heeft bevestigd dat de kwetsbaarheid aanwezig is in specifieke softwareversies van de FortiFone-productlijn. De fabrikant heeft inmiddels gepatchte softwareversies beschikbaar gesteld om het probleem te verhelpen. Het verkrijgen van configuratiebestanden wordt als een ernstig risico beschouwd, aangezien deze bestanden gevoelige parameters en netwerkinformatie bevatten die kunnen worden gebruikt voor verdere aanvallen op de infrastructuur.

De melding van dit nieuwe lek volgt op eerdere rapportages van het Cybersecurity and Infrastructure Security Agency (CISA) over andere kritieke kwetsbaarheden binnen de telefonieproducten van Fortinet. Zo werd vorig jaar CVE-2025-32756 geïdentificeerd, een lek waarbij aanvallers willekeurige commando's konden uitvoeren op FortiVoice-systemen. Hoewel de aard van de huidige kwetsbaarheid (CVE-2025-47855) verschilt, onderstreept het de noodzaak voor het tijdig bijwerken van de betreffende VoIP-systemen.

Bron 1, 2

Fortinet heeft dringende beveiligingsupdates uitgebracht voor zijn SIEM-oplossing (Security Information and Event Management) om een kritieke kwetsbaarheid te verhelpen. Het lek, dat wordt aangeduid als CVE-2025-64155, heeft een CVSS-score van 9.4 en stelt aanvallers in staat om zonder authenticatie op afstand willekeurige code uit te voeren op kwetsbare systemen. Gezien de ernst van het lek en de beschikbaarheid van een proof-of-concept, is onmiddellijke actie door systeembeheerders vereist.

Technische details van de kwetsbaarheid

Het beveiligingsprobleem bevindt zich in de phMonitor-service van FortiSIEM. Dit achtergrondproces communiceert via TCP-poort 7900 en is verantwoordelijk voor het monitoren van de systeemstatus en taakverdeling. De kwetsbaarheid ontstaat door een gebrekkige neutralisatie van speciale elementen in OS-commando's (CWE-78). Wanneer een aanvaller specifieke TCP-verzoeken stuurt die gerelateerd zijn aan logging naar Elasticsearch, kan deze invoer worden gemanipuleerd om commando's uit te voeren op het onderliggende besturingssysteem.

Beveiligingsonderzoekers van Horizon3.ai, die het lek in augustus 2025 ontdekten, hebben de aanvalsmethodiek in detail beschreven. De exploitatie verloopt in twee fasen. Eerst maakt de aanvaller gebruik van 'argument injection' via de phMonitor-service. Hierdoor kan, zonder in te loggen, een willekeurig bestand op het systeem worden geschreven met beheerdersrechten. Vervolgens wordt dit bestand gebruikt voor privilege-escalatie. Door een script te schrijven naar een specifieke locatie die periodiek door een cron-job met root-rechten wordt uitgevoerd, verkrijgt de aanvaller volledige controle over de appliance.

Omdat de phMonitor-service commando's accepteert zonder voorafgaande authenticatie, is netwerktoegang tot poort 7900 voldoende om de kwetsbaarheid te misbruiken.

Getroffen versies en herstelacties

De kwetsbaarheid heeft impact op de Super- en Worker-nodes van FortiSIEM. Fortinet heeft patches beschikbaar gesteld en adviseert beheerders om de software zo snel mogelijk bij te werken.

Voor gebruikers van FortiSIEM versie 7.4 is een upgrade naar versie 7.4.1 of hoger noodzakelijk. Gebruikers van de 7.3-reeks dienen te upgraden naar minimaal versie 7.3.5. Voor de 7.2-tak is versie 7.2.7 of hoger vereist, en systemen die draaien op versie 7.1 moeten worden bijgewerkt naar 7.1.9 of hoger. Oudere installaties in de 6.7- en 7.0-reeksen moeten worden gemigreerd naar een van de ondersteunde vaste releases. FortiSIEM Cloud en versie 7.5 zijn niet kwetsbaar bevonden.

Indien direct patchen niet mogelijk is, adviseert de leverancier als tijdelijke maatregel om de toegang tot de phMonitor-poort (7900) strikt te beperken tot vertrouwde IP-adressen.

Kritiek lek in FortiFone

Naast de update voor FortiSIEM heeft Fortinet ook een patch uitgebracht voor een kritiek lek in FortiFone (CVE-2025-47855). Deze kwetsbaarheid, met een CVSS-score van 9.3, stelt ongeauthenticeerde aanvallers in staat om apparaatconfiguraties te verkrijgen via een gemanipuleerd HTTP-verzoek aan de webportal. Dit treft specifieke versies in de 3.0- en 7.0-reeksen van het platform.

Bron 1, 2, 3, 4, 5

Palo Alto Networks heeft beveiligingsupdates uitgebracht voor een kwetsbaarheid in de GlobalProtect Gateway en Portal-interfaces. Het lek, bekend onder de aanduiding CVE-2026-0227, heeft een CVSS-score van 7.7. De kwetsbaarheid stelt een ongeautoriseerde aanvaller in staat om zonder inloggegevens een denial-of-service (DoS) te veroorzaken. Indien de fout herhaaldelijk wordt getriggerd, kan de firewall in de onderhoudsmodus springen, waardoor de netwerkbeveiliging en de externe toegang worden onderbroken.

De oorzaak van het probleem ligt in een onjuiste afhandeling van uitzonderlijke condities binnen de PAN-OS-software. Het lek is ontdekt door een externe onderzoeker en er is inmiddels een proof-of-concept (PoC) beschikbaar die de werking van de kwetsbaarheid aantoont. De fout is specifiek aanwezig in configuraties waarbij de GlobalProtect-gateway of het portaal is geactiveerd op PAN-OS-apparaten of Prisma Access-omgevingen. De Cloud Next-Generation Firewall van de fabrikant is niet getroffen.

De kwetsbaarheid is aanwezig in diverse versies van PAN-OS, variërend van de oudere 10.1-serie tot de meest recente 12.1-versies. Omdat er geen alternatieve methoden of workarounds zijn om dit specifieke risico te mitigeren, is de installatie van de beschikbare software-updates de enige oplossing. Hoewel er op dit moment geen meldingen zijn van actief misbruik in praktijksituaties, wordt snelle actie geadviseerd vanwege de publieke beschikbaarheid van de exploitatiemethode en de strategische rol die deze firewalls spelen in netwerkinfrastructuren.

Bron

Adobe heeft beveiligingsupdates uitgebracht voor Adobe Illustrator om meerdere kwetsbaarheden te verhelpen. De ontdekte zwakheden hebben betrekking op de versies 29.8.3, 30.0 en eerdere edities van de software. Het Nationaal Cyber Security Centrum heeft de prioriteit van dit beveiligingsadvies ingeschat als normaal.

De eerste kwetsbaarheid wordt veroorzaakt door een probleem met een onbetrouwbaar zoekpad. Dit kan ertoe leiden dat kwaadwillenden willekeurige code kunnen uitvoeren binnen de context van de applicatie. Hiervoor is interactie van de gebruiker vereist, waarbij een speciaal geprepareerd bestand moet worden geopend. De tweede kwetsbaarheid betreft een zogenaamde NULL Pointer Dereference. Wanneer een gebruiker een kwaadaardig bestand opent, kan dit resulteren in het vastlopen of crashen van de applicatie. Beide beveiligingslekken kunnen de normale werking en functionaliteit van de software verstoren.

De kwetsbaarheden zijn geregistreerd onder de kenmerken CVE-2026-21280, met een CVSS-score van 8.6, en CVE-2026-21288 met een score van 5.5. De getroffen producten zijn Adobe Illustrator 2025 en Adobe Illustrator 2026. Adobe adviseert gebruikers en beheerders om de beschikbare updates te installeren om de risico's weg te nemen.

Bron

Een ernstige beveiligingsfout in de WordPress-plugin Modular DS is momenteel het doelwit van actieve uitbuiting. De kwetsbaarheid, bekend als CVE-2026-23550, wordt gekenmerkt door niet-geauthenticeerde privilege-escalatie en beïnvloedt alle versies tot en met 2.5.1. Deze fout is inmiddels verholpen in versie 2.5.2. De plugin kent meer dan 40.000 actieve installaties.

Volgens beveiligingsonderzoekers van Patchstack komt de kwetsbaarheid voort uit het routingmechanisme van de plugin, dat is bedoeld om bepaalde gevoelige routes te beschermen met een authenticatiebarrière. De plugin maakt gebruik van routes onder het prefix "/api/modular-connector/". Deze beveiligingslaag kan omzeild worden door een "origin" parameter ingesteld op "mo" en een willekeurige "type" parameter door te geven, waardoor een verzoek als een directe Modular-aanvraag wordt behandeld.

Zodra de website verbinding heeft gemaakt met Modular en er tokens aanwezig zijn, kan een ongeauthenticeerde aanvaller de auth-middleware omzeilen. Hierdoor worden meerdere routes blootgesteld, waaronder /login/, /server-information/, /manager/, en /backup/. Via deze routes kunnen verschillende acties worden uitgevoerd, zoals het toegang krijgen tot gevoelige systeem- of gebruikersgegevens.

De aanvalsmethoden werden voor het eerst opgemerkt op 13 januari 2026, om ongeveer 2 uur UTC, met HTTP GET-verzoeken naar de endpoint "/api/modular-connector/login/", gevolgd door pogingen om een admin account aan te maken. De aanvallen zijn afkomstig van IP-adressen als 45.11.89.19 en 185.196.0.11.

Gebruikers van de plugin worden met klem aangeraden om zo snel mogelijk te updaten naar de gepatchte versie 2.5.2. Patchstack benadrukt dat deze kwetsbaarheid het gevaar blootlegt van impliciet vertrouwen in interne verzoekpaden wanneer deze worden blootgesteld aan het publieke internet.

Bron

Een ernstig beveiligingslek in de Azure Single Sign-On implementatie van Windows Admin Center stelt Azure virtuele machines en systemen verbonden via Azure Arc bloot aan ongeautoriseerde toegang. De kwetsbaarheid, geregistreerd onder kenmerk CVE-2026-20965, maakt het mogelijk voor aanvallers om beveiligingsgrenzen tussen individuele machines en volledige Azure-omgevingen te doorbreken. Het lek werd ontdekt door Cymulate Research Labs en toont aan hoe onjuiste tokenvalidatie kan leiden tot volledige controle over een tenant.

Microsoft heeft inmiddels een beveiligingsupdate uitgebracht via de Windows Admin Center Azure Extension versie 0.70.00 op 13 januari 2026. Alle installaties ouder dan deze versie blijven kwetsbaar. Om misbruik te maken van het lek moet een aanvaller over lokale administratorrechten beschikken op een Azure VM of Arc-machine met Windows Admin Center, terwijl een geautoriseerde gebruiker verbinding maakt via de Azure Portal. Hoewel er nog geen gevallen van actief misbruik bekend zijn, wordt organisaties geadviseerd om hun systemen met terugwerkende kracht te controleren.

De technische oorzaak ligt bij het gebruik van twee verschillende tokens binnen Windows Admin Center: de WAC.CheckAccess-token voor rolgebaseerde toegang en een browser-gegenereerde Proof-of-Possession token om replay-aanvallen te voorkomen. Er bleek echter geen controle plaats te vinden of de gebruikersnamen op beide tokens overeenkwamen. Daarnaast accepteerde het systeem tokens van andere tenants en werden niet-gateway URL's in de tokens goedgekeurd. Hierdoor konden aanvallers tokens vervalsen en de isolatie van virtuele machines omzeilen.

Een succesvolle aanval stelt een kwaadwillende in staat om zich voor te doen als beheerders binnen verschillende resourcegroepen. Dit kan leiden tot zijwaartse verplaatsing binnen het netwerk, escalatie van privileges, diefstal van inloggegevens en de overname van volledige abonnementen. Om dergelijk misbruik te detecteren, wordt aangeraden om logs te monitoren op verdachte inlogpogingen van externe tenants, specifiek via virtuele accounts die eindigen op @https://www.google.com/search?q=externaltenant.onmicrosoft.com. Ook ongebruikelijke InvokeCommand-activiteit in vertrouwde contexten kan duiden op een inbreuk.

Systeembeheerders dienen de Windows Admin Center Azure Extension direct bij te werken naar versie 0.70.00 of hoger. Tevens is het raadzaam om Network Security Groups en Just-In-Time toegang strikt te beperken tot de gateway en de Windows Admin Center-logs continu te controleren op afwijkingen. Deze kwetsbaarheid onderstreept de risico's bij Azure SSO-implementaties waarbij kleine fouten in validatie de volledige segmentatie van cloudomgevingen teniet kunnen doen.

Bron

Microsoft heeft op 13 januari 2026 kritieke beveiligingsupdates uitgebracht om een kwetsbaarheid in Windows Remote Assistance te verhelpen. Dit beveiligingslek, geregistreerd onder kenmerk CVE-2026-20824, stelt kwaadwillenden in staat om de Mark of the Web (MOTW) beveiligingsfuncties te omzeilen. Deze ingebouwde bescherming is essentieel voor het beperken van risico's bij het openen van bestanden die van onbetrouwbare bronnen zoals het internet zijn gedownload. Het lek is geclassificeerd als een 'Security Feature Bypass' met een 'Important' ernstniveau en een CVSS-score van 5.5.

De kwetsbaarheid wordt veroorzaakt door een fout in de manier waarop Windows Remote Assistance gedownloade inhoud valideert en verwerkt. Een lokale aanvaller kan deze zwakte misbruiken om de MOTW-beveiliging te passeren, wat kan leiden tot aanzienlijke risico's voor de vertrouwelijkheid van gegevens. Voor een succesvolle exploitatie is interactie van de gebruiker vereist. Aanvallers maken hierbij vaak gebruik van social engineering-tactieken, zoals het versturen van kwaadaardige bestanden via e-mail of het misleiden van gebruikers om bestanden te downloaden van gecompromitteerde websites.

De impact van CVE-2026-20824 is breed, aangezien het lek aanwezig is in een groot aantal Windows-versies die veelvuldig worden gebruikt in zowel zakelijke als particuliere omgevingen in Nederland en België. De getroffen systemen omvatten verschillende versies van Windows 10 en Windows 11, evenals Windows Server-edities van 2012 tot en met de recente Windows Server 2025. Voor Windows 10 versie 22H2 is bijvoorbeeld update KB5073724 beschikbaar, terwijl gebruikers van Windows 11 afhankelijk van hun systeemarchitectuur KB5073455 of KB5074109 moeten installeren.

Microsoft benadrukt dat het installeren van deze updates noodzakelijk is voor een goede beveiligingsstatus. Hoewel er momenteel geen aanwijzingen zijn dat het lek actief wordt misbruikt en de kans op grootschalige exploitatie als 'minder waarschijnlijk' wordt ingeschat vanwege technische drempels, blijft de noodzaak tot patchen hoog. Beheerders van enterprise-omgevingen met Windows Server 2019, 2022 of 2025 wordt geadviseerd de specifieke KB-artikelen direct toe te passen om de integriteit van hun systemen te waarborgen.

Bron

Onderzoekers van de onderzoeksgroep Computer Security and Industrial Cryptography van de KU Leuven hebben een kritiek beveiligingslek ontdekt in het Fast Pair-protocol van Google. De kwetsbaarheid, die de naam WhisperPair heeft gekregen en wordt aangeduid als CVE-2025-36911, stelt aanvallers in staat om bluetooth-audioaccessoires zoals draadloze hoofdtelefoons, oortjes en luidsprekers over te nemen. Hierdoor kunnen kwaadwillenden gebruikers volgen en gesprekken afluisteren.

Het lek bevindt zich in de hardware van de accessoires zelf en niet in het besturingssysteem van de gekoppelde smartphone. Dit betekent dat ook iPhone-gebruikers die gebruikmaken van kwetsbare bluetooth-apparaten risico lopen. De fout komt voort uit een onjuiste implementatie van het Fast Pair-protocol door verschillende fabrikanten. Hoewel de specificaties voorschrijven dat apparaten koppelingsverzoeken moeten negeren wanneer ze niet in de koppelmodus staan, dwingen veel fabrikanten deze controle niet af. Hierdoor kan een ongeautoriseerd apparaat een koppeling tot stand brengen zonder dat de gebruiker hiervan op de hoogte is of toestemming geeft.

Een aanval kan worden uitgevoerd met elk apparaat dat over bluetooth beschikt, zoals een laptop of een Raspberry Pi. De aanvaller kan binnen enkele seconden en op een afstand tot veertien meter geforceerd koppelen met apparaten van merken als Google, Sony, JBL, Jabra, Logitech, Marshall, Nothing, OnePlus, Soundcore en Xiaomi. Zodra de koppeling is voltooid, krijgt de aanvaller volledige controle over het audioapparaat. Dit maakt het mogelijk om geluid op hoog volume af te spelen of mee te luisteren via de ingebouwde microfoon van het accessoire.

Daarnaast biedt CVE-2025-36911 de mogelijkheid om de locatie van slachtoffers te volgen via het Find Hub-netwerk van Google. Dit kan gebeuren als het accessoire nog nooit eerder met een Android-toestel is gekoppeld; de aanvaller voegt het apparaat dan toe aan het eigen Google-account. Hoewel slachtoffers na verloop van tijd een melding kunnen krijgen over een onbekende tracker, wordt hierbij hun eigen apparaat getoond, wat ertoe kan leiden dat zij de waarschuwing negeren als een softwarefout.

Google heeft de onderzoekers een beloning van 15.000 dollar toegekend en heeft gedurende een periode van 150 dagen met fabrikanten samengewerkt om beveiligingsupdates te ontwikkelen. Desondanks zijn updates mogelijk nog niet voor alle kwetsbare apparaten beschikbaar. De enige effectieve beveiliging tegen dit lek is het installeren van de nieuwste firmware-updates van de fabrikant. Het uitschakelen van Fast Pair op een Android-telefoon volstaat niet, omdat de functie op de audio-accessoires zelf actief blijft.

Bron

Google heeft details bekendgemaakt over een zeroclick exploit waarmee hackers op afstand code konden uitvoeren op Android-telefoons en hogere rechten konden verkrijgen. Deze aanval, ontdekt door Project Zero, de afdeling van Google die kwetsbaarheden in software onderzoekt, vereiste geen gebruikersinteractie en maakte misbruik van kwetsbaarheden in onder meer de Dolby-audiocodec.

Volgens een blogpostserie van Project Zero was het mogelijk om door het verzenden van een kwaadwillig spraakbericht via Google Messages, code uit te voeren in de Dolby-mediacodec. Vervolgens konden aanvallers via een privilege escalation 'ontsnappen' uit de mediacodec en code met kernelrechten uitvoeren.

De aanval maakte gebruik van twee specifieke bugs. De eerste, CVE-2025-54957, is een out-of-boundswritebug in de Dolby Unified Decoder, die wordt gebruikt om Dolby-audioformaten te decoderen. De tweede bug, CVE-2025-36934, werd gevonden in een kerneldriver en maakte het mogelijk om hogere rechten op de telefoon te verkrijgen.

Het risico op dergelijke zeroclickexploits neemt toe naarmate telefoons meer AI-functies krijgen. In dit geval kon de kwetsbaarheid plaatsvinden doordat AI wordt gebruikt om spraakberichten te transcriberen. Dit vereist dat de berichten direct na ontvangst worden ontsleuteld, in plaats van pas wanneer de gebruiker ze beluistert.

Project Zero ontdekte de aanvalsmogelijkheid op de Pixel 9, maar het team vermoedt dat de kwetsbaarheid ook op andere Android-toestellen aanwezig was. Google biedt vanaf de Pixel 8 een beschermingsmaatregel die de privilege-escalationaanval zou verhinderen, maar deze is alleen actief als gebruikers de optie Geavanceerde bescherming inschakelen. Volgens Google is dezelfde aanval niet mogelijk op iPhones, omdat de Dolby Unified Decoder op deze toestellen een extra beveiliging bevat tegen out-of-boundswriteaanvallen. Project Zero heeft Dolby opgeroepen om deze beveiliging ook op andere platforms te implementeren.

Het is onduidelijk hoe lang de telefoons kwetsbaar zijn geweest voor deze aanval. Project Zero informeerde Dolby op 26 juni 2025 over de bug. Het Pixel-team van Google ontving pas op 8 oktober patches om de bugs te dichten. De daadwerkelijke implementatie van deze patches vond echter pas op 5 januari 2026 plaats. Samsung was de eerste Android-fabrikant die de kwetsbaarheid verhielp, namelijk op 12 november 2025.
Bron

Op 15 januari 2026 zijn er meerdere kritieke kwetsbaarheden onthuld in AVEVA Process Optimization, zo blijkt uit een rapport vrijgegeven door CISA (Cybersecurity and Infrastructure Security Agency). De kwetsbaarheden, aangeduid met CVE-2025-61937, CVE-2025-64691, CVE-2025-61943, CVE-2025-65118, CVE-2025-64729, CVE-2025-65117 en CVE-2025-64769, kunnen een aanvaller in staat stellen op afstand code uit te voeren, SQL-injecties uit te voeren, privileges te escaleren of toegang te krijgen tot gevoelige informatie.

AVEVA Process Optimization wordt wereldwijd ingezet in kritieke productie-industrieën. Het hoofdkantoor van het bedrijf is gevestigd in het Verenigd Koninkrijk. De blootgelegde kwetsbaarheden omvatten onder andere: Incorrecte controle van codegeneratie ('Code Injection'), incorrecte neutralisatie van speciale elementen gebruikt in een SQL-opdracht ('SQL Injection'), ongecontroleerd zoekpad-element, ontbrekende autorisatie, gebruik van potentieel gevaarlijke functies en het versturen van gevoelige informatie in platte tekst.

Christopher Wu van Veracode heeft deze kwetsbaarheden gemeld aan AVEVA, waarna AVEVA de melding heeft doorgegeven aan CISA. Hoewel er momenteel geen meldingen zijn van actieve misbruik van deze specifieke kwetsbaarheden, adviseert CISA gebruikers om defensieve maatregelen te nemen om het risico op exploitatie te minimaliseren.

Aanbevolen maatregelen omvatten: het minimaliseren van de netwerkblootstelling van alle systemen, met name systemen die gebruikt worden voor industriële controle, en ervoor zorgen dat deze niet toegankelijk zijn vanaf het internet. Het lokaliseren van control system netwerken en remote devices achter firewalls, afgescheiden van bedrijfsnetwerken. Indien remote access noodzakelijk is, wordt geadviseerd om gebruik te maken van veilige methoden zoals Virtual Private Networks (VPN's), waarbij men zich bewust moet zijn van eventuele kwetsbaarheden in VPN's zelf en deze dient te updaten naar de meest recente versie. Bovendien benadrukt CISA dat een VPN slechts zo veilig is als de verbonden apparaten.

CISA adviseert organisaties tevens om een grondige impactanalyse en risicobeoordeling uit te voeren voordat defensieve maatregelen worden geïmplementeerd. Aanvullende richtlijnen en aanbevolen werkwijzen zijn beschikbaar op de ICS-webpagina van CISA (cisa.gov/ics).

Daarnaast wijst CISA op het belang van bescherming tegen social engineering aanvallen en adviseert om niet op web links te klikken of bijlagen te openen in ongevraagde e-mailberichten.

Bron

Op 16 januari 2026 heeft het Nationaal Cybersecurity Centrum (NCSC) een beveiligingsadvies uitgebracht met betrekking tot diverse kwetsbaarheden in de ArubaOS-software van Aruba Networks. De beveiligingslekken zijn aangetroffen in de webmanagementinterfaces van de systemen AOS-8 en AOS-10. Deze kwetsbaarheden stellen kwaadwillenden in staat om onder andere willekeurige bestanden te verwijderen, een stack overflow te veroorzaken of commando's uit te voeren via command injection. Daarnaast is er sprake van onjuiste verwerking van invoergegevens, wat de integriteit van de systemen in gevaar kan brengen.

Misbruik van deze beveiligingslekken kan verstrekkende gevolgen hebben voor de veiligheid van het netwerk. Een aanvaller kan ongeautoriseerde toegang verkrijgen tot het systeem, belangrijke bestanden manipuleren of verwijderen en opdrachten uitvoeren met verhoogde privileges. Om deze acties succesvol uit te voeren, moet de kwaadwillende echter wel toegang hebben tot de Command Line of de managementinterface van het betreffende apparaat. Het NCSC benadrukt dat het een best practice is om dergelijke beheerinterfaces niet direct toegankelijk te maken via het publieke internet, maar deze onder te brengen in een afgeschermde beheeromgeving.

De ernst van de verschillende kwetsbaarheden varieert, waarbij de hoogste CVSS-score is vastgesteld op 8.2. In totaal zijn er twaalf CVE-nummers aan dit advies gekoppeld, variërend van kritieke fouten tot minder zware beveiligingsrisico's zoals onveilige overgeërfde permissies en het uitlezen van gegevens buiten de toegestane grenzen. Aruba Networks heeft inmiddels software-updates beschikbaar gesteld om de gedetecteerde kwetsbaarheden in HPE ArubaOS te verhelpen. Gebruikers van de getroffen systemen wordt geadviseerd de updates te installeren om de risico's op misbruik te minimaliseren.

Bron

Op 16 januari 2026 heeft het Nationaal Cybersecurity Centrum (NCSC) een beveiligingsadvies uitgebracht met betrekking tot meerdere kwetsbaarheden in Juniper Networks Junos OS. Deze kwetsbaarheden hebben specifiek betrekking op apparaten uit de SRX- en MX-series, evenals bepaalde configuraties binnen de EX- en QFX-series. De geïdentificeerde problemen variëren van clickjacking en Denial-of-Service (DoS) tot het uitvoeren van ongeautoriseerde acties door ongeauthenticeerde aanvallers.

De technische aard van de kwetsbaarheden is divers en omvat onder andere stack-based buffer overflows, memory leaks, use-after-free scenario's en race conditions. Misbruik van deze zwakheden kan leiden tot ernstige serviceonderbrekingen, netwerkinstabiliteit of het crashen van kritieke processen zoals de routing protocol daemon (rpd) of de chassis management daemon (chassisd). In specifieke gevallen, zoals bij de SRX- en MX-series, kunnen malformed pakketten of specifiek geformuleerde commando's het systeem instabiel maken. Ook zijn er kwetsbaarheden gevonden in de afhandeling van BGP-updates en IS-IS-pakketten die tot netwerkverstoringen kunnen leiden.

Beveiligingsbeheerders wordt geadviseerd de impact op hun netwerkinfrastructuur te beoordelen en de door Juniper Networks beschikbaar gestelde updates te installeren. Deze updates adresseren de verschillende zwakheden om de integriteit en beschikbaarheid van de netwerksystemen te waarborgen. De kwetsbaarheden zijn gecategoriseerd met een normale prioriteit, maar vereisen desondanks tijdige actie om misbruik door kwaadwillenden te voorkomen.

Bron

Het Nationaal Cyber Security Centrum (NCSC) meldt dat er verschillende beveiligingslekken zijn gedicht in TYPO3 CMS. Deze kwetsbaarheden hebben betrekking op specifieke versies van het veelgebruikte content management systeem en kunnen de integriteit van gegevens en de beschikbaarheid van websites ernstig in gevaar brengen. De gevonden gebreken maken het voor kwaadwillenden mogelijk om toegangscontroles op veldniveau te omzeilen, waardoor zij ongeautoriseerde gegevens kunnen invoegen in beveiligde databasevelden. Daarnaast is geconstateerd dat redirect-records zonder enige beperking gemanipuleerd kunnen worden.

Een ander specifiek risico bevindt zich in de recycler-module. Backend-gebruikers die toegang hebben tot deze module kunnen gegevens uit elke databasetabel verwijderen zonder over de vereiste machtigingen te beschikken. Verder is er een gevaar voor systemen waarbij lokale gebruikers schrijftoegang hebben tot de mail-file spool directory. Door onveilige deserialisatie van gegevens kunnen deze gebruikers willekeurige PHP-code uitvoeren op de server. TYPO3 heeft inmiddels updates beschikbaar gesteld om deze kwetsbaarheden, die geregistreerd staan onder verschillende CVE-nummers met een CVSS-score tot 7.1, te verhelpen. Gebruikers en beheerders wordt geadviseerd de beschikbare updates direct door te voeren om de risico's te minimaliseren.

Bron

Cisco heeft beveiligingsupdates beschikbaar gesteld voor een kritieke kwetsbaarheid in de Cisco Secure Email Gateway en de Cisco Secure Email & Web Manager. Het lek, geregistreerd onder kenmerk CVE-2025-20393, werd al sinds eind november vorig jaar misbruikt door aanvallers, terwijl Cisco op 17 december voor het eerst waarschuwde voor de problematiek zonder op dat moment over patches te beschikken. De kwetsbaarheid heeft de maximale impactscore van 10.0 gekregen op een schaal van 1 tot 10.

De beveiligingsfout stelt een kwaadwillende in staat om willekeurige commando's uit te voeren met rootrechten op het onderliggende besturingssysteem van de betreffende appliance. Dit geldt voor zowel de fysieke als de virtuele uitvoeringen van de Secure Email Gateway, voorheen bekend als de Email Security Appliance, en de Secure Email & Web Manager, voorheen de Security Management Appliance. Deze systemen worden in zakelijke omgevingen ingezet voor het filteren van e-mailverkeer tegen diverse digitale dreigingen.

Voorwaarde voor misbruik van dit lek is dat de appliance is geconfigureerd met de Spam Quarantine-functie en dat deze functie direct vanaf het internet bereikbaar is. Cisco benadrukt dat deze specifieke functionaliteit niet standaard is ingeschakeld. In gevallen waarbij aanvallers succesvol een systeem hebben gecompromitteerd, installeren zij een persistent covert channel. Hiermee behouden zij op afstand toegang tot het apparaat, zelfs nadat de initiële aanval heeft plaatsgevonden.

In de herziene versie van het beveiligingsbulletin heeft Cisco gedetailleerde informatie toegevoegd over de specifieke versies die kwetsbaar zijn en de stappen die beheerders moeten ondernemen om de updates te installeren. Hoewel bekend is dat de kwetsbaarheid al geruime tijd actief wordt misbruikt, is het exacte aantal wereldwijd gecompromitteerde systemen op dit moment niet vastgesteld. Beheerders van de genoemde Cisco-oplossingen wordt geadviseerd de beschikbaarheid van de updates voor hun specifieke configuraties te controleren.

Een cross-site scripting (XSS) kwetsbaarheid in het web-based beheerpaneel van de StealC info-stealer malware heeft onderzoekers in staat gesteld om actieve sessies te observeren en informatie te verzamelen over de hardware van de aanvallers.

StealC verscheen begin 2023 en groeide snel in populariteit vanwege zijn vermogen tot ontwijking en uitgebreide data-diefstal. In april van het voorgaande jaar, met de release van versie 2.0, introduceerde de ontwikkelaar Telegram bot ondersteuning voor real-time alerts en een nieuwe builder voor het genereren van StealC builds op basis van templates en aangepaste data-diefstal regels.

De broncode van het beheerpaneel van de malware werd gelekt, waardoor onderzoekers de kans kregen deze te analyseren. CyberArk onderzoekers ontdekten een XSS-kwetsbaarheid waardoor ze browser- en hardware fingerprints van StealC operators konden verzamelen, actieve sessies konden observeren, sessie cookies konden stelen en panel sessies op afstand konden overnemen.

Door de kwetsbaarheid te misbruiken, konden onderzoekers kenmerken van de computers van de dreigingsactoren identificeren, inclusief algemene locatie-indicatoren en computer hardware details. Ze konden ook actieve sessie cookies ophalen, waardoor ze de controle over sessies vanaf hun eigen machines konden verkrijgen.

CyberArk heeft geen specifieke details over de XSS-kwetsbaarheid bekendgemaakt om te voorkomen dat StealC operators deze snel zouden opsporen en repareren. Het rapport belicht het geval van een StealC klant, aangeduid als 'YouTubeTA', die oude, legitieme YouTube kanalen kaapte, waarschijnlijk met behulp van gecompromitteerde inloggegevens, en infecterende links plaatste.

Deze cybercrimineel voerde malware campagnes uit in 2025, waarbij meer dan 5.000 slachtoffer logs werden verzameld en ongeveer 390.000 wachtwoorden en 30 miljoen cookies werden gestolen. Screenshots van het panel van de dreigingsactor tonen aan dat de meeste infecties plaatsvonden wanneer slachtoffers zochten naar gekraakte versies van Adobe Photoshop en Adobe After Effects.

Door gebruik te maken van de XSS-kwetsbaarheid konden de onderzoekers vaststellen dat de aanvaller een Apple M3-gebaseerd systeem gebruikte met Engelse en Russische taalinstellingen, de Oost-Europese tijdzone gebruikte en toegang had tot het internet via Oekraïne. Hun locatie werd blootgelegd toen de dreigingsactor vergat het StealC panel via VPN te verbinden. Dit onthulde hun echte IP-adres, dat was gekoppeld aan de Oekraïense ISP TRK Cable TV.

CyberArk merkt op dat malware-as-a-service (MaaS) platforms een snelle schaalvergroting mogelijk maken, maar ook een significant risico op blootstelling van dreigingsactoren met zich meebrengen.

Onderzoeker Ari Novick verklaarde dat de openbaarmaking van de XSS kwetsbaarheid bedoeld is om de werking van StealC te verstoren, gezien de recente toename van StealC operators. Hij hoopt dat de openbaarmaking leidt tot een heroverweging van het gebruik van StealC, wat kan resulteren in een significante verstoring van de MaaS markt.

Bron

Op 15 januari 2026 heeft het Centre for Cybersecurity Belgium (CCB) een waarschuwing gepubliceerd over meerdere kwetsbaarheden in Elastic Kibana. De kwetsbaarheden, aangeduid als CVE-2026-0532, CVE-2026-0543, CVE-2026-0530 en CVE-2026-0531, betreffen verschillende versies van Kibana 7.x, 8.x en 9.x.

CVE-2026-0532 (CVSS score 8.6) maakt het voor een geauthenticeerde gebruiker met rechten om connectoren te creëren of aan te passen mogelijk om willekeurige bestanden te onthullen via een vervalste JSON payload in de Google Gemini connector configuratie.

CVE-2026-0543 (CVSS score 6.5) stelt een geauthenticeerde gebruiker met view-level rechten in staat om een denial-of-service te veroorzaken voor alle gebruikers door een connector actie uit te voeren met een speciaal vervaardigd e-mailadres.

CVE-2026-0530 (CVSS score 6.5) geeft een geauthenticeerde aanvaller de mogelijkheid om Kibana redundante verwerkingsoperaties te laten uitvoeren die systeembronnen verbruiken door een speciaal vervaardigd verzoek te verzenden, wat leidt tot service degradatie of volledige onbeschikbaarheid.

CVE-2026-0531 (CVSS score 6.5) maakt het voor een geauthenticeerde aanvaller met lage privileges, equivalent aan de viewer rol, mogelijk om Kibana redundante database retrieval operaties te laten uitvoeren door een speciaal vervaardigd bulk retrieval verzoek te verzenden, wat kan leiden tot een crash van de server en volledige onbeschikbaarheid.

Het CCB adviseert om updates voor kwetsbare apparaten met de hoogste prioriteit te installeren na grondige tests. Organisaties wordt aangeraden hun monitoring- en detectiemogelijkheden te verbeteren om verdachte activiteiten te identificeren. Incidenten kunnen worden gemeld via de website van het CCB. Het installeren van updates beschermt tegen toekomstige exploitatie, maar herstelt geen eerdere compromitteringen.

Bron

Het ontwikkelingsteam van de programmeertaal Go heeft noodupdates uitgebracht voor de versies 1.25.6 en 1.24.12. Deze releases adresseren zes beveiligingslekken met een aanzienlijke impact, waaronder risico's op denial-of-service, willekeurige code-executie en problemen met de afhandeling van TLS-verbindingen. De updates zijn van groot belang voor ontwikkelaars en beheerders van systemen die gebruikmaken van de standaardbibliotheek van Go, in het bijzonder bij webservers, cryptografische tools en build-systemen.

Een van de opvallende kwetsbaarheden bevindt zich in het pakket net/http. Bij het verwerken van URL-encoded formulieren met een excessief aantal sleutel-waarde-paren kan geheugenuitputting optreden, waardoor servers onbereikbaar worden. Daarnaast bevat het pakket archive/zip een fout in de indexering van bestandsnamen, wat eveneens kan leiden tot een denial-of-service via speciaal geprepareerde ZIP-archieven.

Ernstigere risico's zijn vastgesteld in de cmd/go toolchain. Een fout in CgoPkgConfig stelt aanvallers in staat om vlag-sanitisatie te omzeilen, wat kan resulteren in de uitvoering van willekeurige code. Ook de verwerking van versiebeheersystemen zoals Git en Mercurial binnen de toolchain vertoonde gebreken. Hierdoor kunnen kwaadaardige moduleversies of domeinen code uitvoeren of bestanden overschrijven via aangepaste paden tijdens het ophalen van modules.

Op het gebied van encryptie zijn er problemen geconstateerd binnen crypto/tls. De functie voor het klonen van configuraties lekte automatisch gegenereerde sessietickets, waardoor onbevoegde hervatting van sessies mogelijk werd. Tevens werden controles op de geldigheid van de volledige certificaatketen soms genegeerd en konden handshake-berichten op een onjuist encryptieniveau worden verwerkt, wat informatielekken tot gevolg kan hebben. Gebruikers wordt geadviseerd direct over te stappen naar de gepatchte versies om deze risico's te mitigeren.

Bron

Onderzoekers van XM Cyber hebben twee beveiligingslekken geïdentificeerd in Google Vertex AI, een platform voor kunstmatige intelligentie. Door standaardconfiguraties in de Vertex AI Agent Engine en Ray op Vertex AI kunnen gebruikers met minimale rechten hun bevoegdheden uitbreiden. Dit gebeurt door het overnemen van Service Agent-rollen, welke door Google Cloud automatisch aan Vertex AI-instanties worden gekoppeld voor interne processen. Omdat deze accounts standaard over brede projectrechten beschikken, ontstaat er een risico wanneer laag-bevoorrechte gebruikers hier toegang toe krijgen.

De eerste aanvalsvector bevindt zich in de Agent Engine. Ontwikkelaars gebruiken hiervoor vaak het Agent Development Kit (ADK), waarbij Python-code wordt verpakt en opgeslagen in Cloud Storage-buckets. Aanvallers die beschikken over de specifieke rechten om reasoning engines bij te werken, kunnen kwaadaardige code uploaden die is vermomd als een legitieme tool. Zodra deze tool wordt aangeroepen, kan er op afstand code worden uitgevoerd op de betreffende instantie. Hiermee kunnen tokens van de Service Agent worden buitgemaakt, wat toegang geeft tot chatgeschiedenissen, LLM-data en opslagbuckets.

De tweede methode richt zich op Ray op Vertex AI, een systeem voor het schalen van AI-werklasten. Hierbij wordt automatisch een Service Agent voor aangepaste code gekoppeld aan de hoofdnode. Gebruikers met een beperkte rol, zoals Vertex AI Viewer, blijken via de Google Cloud Console toegang te kunnen krijgen tot een interactieve shell van de hoofdnode. Ondanks de beperkingen van hun rol verkrijgen zij hiermee root-toegang tot de shell. Via de metadata van de instantie kunnen tokens worden geëxtraheerd, waardoor lees- en schrijfrechten in diensten zoals BigQuery en Cloud Storage kunnen worden verkregen.

Om deze risico's te beperken, wordt geadviseerd om overbodige machtigingen van Service Agents in te trekken door gebruik te maken van aangepaste rollen in plaats van standaardinstellingen. Het uitschakelen van interactieve shells voor hoofdnodes en het grondig valideren van tool-code vóór updates zijn eveneens belangrijke preventieve maatregelen. Google heeft aangegeven dat de bevindingen van de onderzoekers overeenkomen met hoe het systeem momenteel is ontworpen, wat betekent dat organisaties zelf verantwoordelijk zijn voor het aanscherpen van deze standaardconfiguraties.

Bron

Uit recente data van honeypot-sensoren blijkt dat cybercriminelen in week 3/4 van 2026 actief blijven zoeken naar specifieke beveiligingslekken in netwerkinfrastructuur. Deze sensoren, die aanvallen registreren en labelen met de bijbehorende CVE-identificatiecodes, bieden inzicht in de wereldwijde en lokale dreigingslandschappen. Wereldwijd wordt de lijst aangevoerd door een oudere kwetsbaarheid in de Huawei Home Gateway HG532, geregistreerd als CVE-2017-17215. Deze specifieke kwetsbaarheid, die zich richt op IoT-apparatuur, genereerde in de afgelopen vierentwintig uur het hoogste aantal unieke meldingen. Ook diverse SonicWall-producten staan wereldwijd onder verhoogde druk door exploits van CVE-2022-22274 en CVE-2023-0656.

In Nederland toont het dreigingsbeeld een specifieke focus op zakelijke applicaties. De statistieken laten zien dat de kwetsbaarheid CVE-2023-38646 in Metabase momenteel de meest aangevallen zwakke plek is binnen de Nederlandse netwerkomgevingen. Met zestig geregistreerde aanvallen in het afgelopen etmaal staat deze dreiging ver boven de rest. Een andere zorgwekkende ontwikkeling is de exploitatie van CVE-2025-5777 in Citrix NetScaler. Hoewel de volumes hier lager liggen dan bij Metabase, is deze kwetsbaarheid geclassificeerd als bekend bij ransomware-groeperingen en staat deze op de lijst van Known Exploited Vulnerabilities. Ook netwerkapparatuur van Cisco, specifiek de RV320 en RV325 routers, ondervindt nog steeds aanvallen via CVE-2019-1653.

De situatie in België laat een ander patroon zien met aanzienlijk lagere volumes aan gedetecteerde incidenten. De meest geregistreerde activiteit betreft hier een kwetsbaarheid in het framework ThinkPHP5, bekend onder de code CNVD-2018-24942. Daarnaast wordt er incidenteel gezocht naar lekken in Huawei-gateways en de Meta React Server Components, waarbij laatstgenoemde ook in verband wordt gebracht met bekende ransomware-activiteiten. Het aantal unieke IP-adressen dat zich op Belgische systemen richt is momenteel echter minimaal in vergelijking met de wereldwijde en Nederlandse cijfers.

Naast de traditionele detectie via sensoren wordt er binnen de beveiligingsgemeenschap gekeken naar proactieve detectiemethoden zoals honeytokens. Dit zijn stukjes valse data, variërend van wachtwoordbestanden tot URL's, die strategisch worden geplaatst om aanvallers te lokken. Zodra een indringer interactie heeft met zo'n token, wordt er direct een waarschuwing verstuurd naar het beveiligingsteam. Hoewel honeytokens effectief kunnen zijn in verschillende fases van een aanval en privacyvriendelijker zijn dan veel andere monitoringsystemen, worden ze nog relatief weinig ingezet als primair detectiemiddel.

Overzicht

De afgelopen vierentwintig uur hebben diverse kwetsbaarheden veel aandacht gegenereerd op sociale media en binnen beveiligingskringen. De urgentie van deze dreigingen wordt gemeten aan de hand van een zogenaamde hype-score, een cijfer tussen nul en honderd dat de mate van publieke belangstelling en discussie weergeeft. Een hogere score duidt vaak op een grotere ernst van de dreiging of een bredere impact, waardoor beveiligingsteams prioriteiten beter kunnen stellen. Op dit moment voeren specifieke kwetsbaarheden in consumentenelektronica en zakelijke netwerkinfrastructuur de lijst aan.

De lijst wordt aangevoerd door een kwetsbaarheid die bekendstaat als WhisperPair, geregistreerd onder CVE-2025-36911. Dit lek bevindt zich in het koppelproces van Bluetooth-accessoires die gebruikmaken van Google Fast Pair. Door een logische fout in het protocol kunnen aanvallers die zich in de fysieke nabijheid bevinden, verbinding maken met het apparaat. Dit stelt kwaadwillenden in staat om gesprekken af te luisteren of inzicht te krijgen in locatiegegevens. Met een hype-score van vijftien is dit momenteel het meest besproken onderwerp, mede door de brede verspreiding van de getroffen technologie in consumentenproducten.

Direct daarna volgt een ernstige technische kwetsbaarheid in Fortinet FortiSIEM, aangeduid als CVE-2025-64155. Het betreft een OS Command Injection-kwetsbaarheid in de phMonitor-service. Het kritieke aspect van dit lek is dat ongeauthenticeerde aanvallers willekeurige code kunnen uitvoeren, wat kan leiden tot volledige root-toegang op het systeem. Gezien de cruciale rol die SIEM-oplossingen spelen in netwerkbeveiliging, wordt de ernst hiervan onderstreept door een hype-score van dertien. Ook de Cisco Secure Email Gateway trekt nog steeds de aandacht met CVE-2025-20393, waarbij ongeauthenticeerde aanvallers op afstand commando's met root-rechten kunnen uitvoeren via de Spam Quarantine-functie.

In het ecosysteem voor ontwikkelaars is er ophef over CVE-2025-67647 binnen de Svelte-toolkit. Deze kwetsbaarheid kan leiden tot Denial of Service en Server-Side Request Forgery wanneer prerendering wordt gebruikt. Daarnaast wordt er gesproken over een kritieke Remote Code Execution-kwetsbaarheid in React Server Components, veroorzaakt door onveilige deserialisatie. Oudere maar nog steeds relevante discussies richten zich op privilege-escalatie in de Linux-kernel via POSIX CPU timers en diverse kwetsbaarheden in Windows-systemen, waaronder problemen in de SMB-client en de Kernel Streaming-driver die aanvallers in staat stellen hun rechten te verhogen.

Overzicht

Een significante beveiligingskwetsbaarheid is ontdekt in Livewire Filemanager, een veelgebruikte component voor bestandsbeheer geïntegreerd in Laravel webapplicaties. De kwetsbaarheid, geregistreerd als CVE-2025-14894 en voorzien van de vulnerability note VU#650657, stelt niet-geauthenticeerde aanvallers in staat om willekeurige code uit te voeren op kwetsbare servers.

Het probleem ligt in de onvoldoende bestandsvalidatie binnen de `LivewireFilemanagerComponent.php` component. De tool faalt in het afdwingen van adequate validatie van bestandstypes en MIME-types, waardoor aanvallers kwaadaardige PHP-bestanden direct via de webinterface kunnen uploaden.

Zodra deze bestanden zijn geüpload, kunnen ze worden uitgevoerd via de publiek toegankelijke `/storage/` directory, mits het commando `php artisan storage:link` is uitgevoerd tijdens de standaard Laravel setup procedure.

Opmerkelijk is dat de leverancier in de veiligheidsdocumentatie expliciet aangeeft dat bestandsvalidatie buiten het scope van de tool valt, waarmee de verantwoordelijkheid voor validatie bij de ontwikkelaars wordt gelegd. Het kritieke probleem schuilt echter in de architectuur van de tool, die geüploade bestanden direct blootstelt aan executie zonder aanvullende veiligheidsmaatregelen.

Succesvolle exploitatie leidt tot Remote Code Execution (RCE) met de privileges van de webserver gebruiker. Dit maakt een volledige compromittatie van het systeem mogelijk, inclusief onbeperkte lees- en schrijftoegang tot alle bestanden die toegankelijk zijn voor het webserver proces. Aanvallers kunnen vervolgens doorstoten naar verbonden systemen en infrastructuur om ook deze te compromitteren.

De aanval vereist geen authenticatie en kan op afstand worden uitgevoerd door simpelweg een PHP webshell te uploaden naar de applicatie via de upload interface van Livewire Filemanager, en vervolgens de executie te triggeren door het bestand te benaderen via de storage URL.

Op het moment van deze publicatie hebben de leveranciers de kwetsbaarheid nog niet erkend.

CERT/CC adviseert onmiddellijke beschermende maatregelen, waaronder het controleren of `php artisan storage:link` is uitgevoerd en, indien bevestigd, het verwijderen van de web serving functionaliteit voor de `/storage/` directory.

Organisaties die Livewire Filemanager gebruiken, wordt geadviseerd om onmiddellijk bestandsuploadrestricties op applicatieniveau te implementeren, onafhankelijk van de functionaliteit van Livewire. Overweeg het implementeren van strikte allowlist policies die uploads beperken tot veilige bestandstypes en uitgebreide MIME type validatie toepassen. Overweeg tevens om geüploade bestanden buiten de web-toegankelijke directory op te slaan. Schakel de publieke storage link uit indien web serving niet noodzakelijk is voor de werking.

Bron

Een kritieke kwetsbaarheid in Windows SMB client authenticatie maakt het voor aanvallers mogelijk om Active Directory omgevingen te compromitteren via NTLM reflection exploits. Deze kwetsbaarheid, geclassificeerd als een ‘improper access control vulnerability’, stelt aanvallers in staat om via zorgvuldig georkestreerde authenticatie relay attacks over netwerkverbindingen hun privileges te verhogen.

Onderzoek toont aan dat zeven maanden na de release van de security patch in juni 2025, de adoptie van deze patch binnen enterprise infrastructuren nog steeds zeer laag is. Tijdens bijna elke penetratietest worden kwetsbare hosts geïdentificeerd, waaronder domeincontrollers, tier-zero servers en workstations. De kwetsbaarheid exploiteert een fundamenteel mechanisme in Windows NTLM lokale authenticatie.

Wanneer een client een NTLM_CHALLENGE bericht ontvangt dat is gemarkeerd voor lokale authenticatie, creëert het systeem een context object en voegt een context ID in het Reserved veld in. Dit mechanisme, in combinatie met coercion technieken zoals PetitPotam, DFSCoerce en Printerbug, dwingt lsass.exe (draaiend als SYSTEM) om te authenticeren bij servers die onder controle staan van de aanvaller. De server kan vervolgens het SYSTEM token imiteren voor volgende operaties, waardoor een volledige systeemcompromis effectief mogelijk is.

Voor exploitatie is het noodzakelijk om ofwel een kwaadaardig DNS record te registreren in AD DNS (standaard toegestaan voor geauthenticeerde gebruikers), of DNS poisoning uit te voeren binnen het lokale netwerk. Deze eisen met lage privileges vergroten fundamenteel het aanvalsoppervlak, aangezien de meeste organisaties geauthenticeerde gebruikers niet hebben beperkt in het creëren van willekeurige DNS records in AD DNS zones.

Traditionele mitigaties blijken onvoldoende tegen geavanceerde exploitatie vectoren. Hoewel SMB signing doorgaans relay attacks voorkomt, toont onderzoek aan dat succesvolle cross-protocol relays van SMB naar LDAPS mogelijk zijn, zelfs met signing en channel binding ingeschakeld. Deze bypass omvat het strippen van specifieke NTLMSSP flags (Negotiate Always Sign, Negotiate Seal, Negotiate Sign) terwijl de Message Integrity Code behouden blijft. Deze techniek stelt aanvallers in staat om meerdere security controls tegelijkertijd te omzeilen.

De kwetsbaarheid strekt zich verder uit dan conventionele SMB-naar-SMB relays. DepthSecurity onderzoekers hebben succesvolle aanvallen bevestigd tegen ADCS enrollment services, MSSQL databases en WinRM via cross-protocol relay technieken. Meer zorgwekkend is dat SMB-naar-LDAPS reflection attacks aanvallers in staat stellen om Active Directory objecten direct met SYSTEM privileges te manipuleren, waardoor groepslidmaatschapsmodificaties en credential harvesting via DCSync operaties mogelijk worden.

RPC-gebaseerde relay pogingen vertoonden vereisten voor sessie key encryptie die vergelijkbaar zijn met die van SMB signing, wat aantoont dat fundamentele Windows authenticatie mechanismen de impact van de kwetsbaarheid vergroten. Aanvallers authenticeren succesvol bij RPC services, maar stuiten op access controls bij volgende operaties, wat potentiele mogelijkheden voor exploitatie via Net-NTLMv1 authenticatie suggereert.

Volgens DepthSecurity moeten organisaties onmiddellijk de Windows security updates van juni 2025 toepassen als primaire mitigatie. Daarnaast moeten ze signing en channel binding enforcement inschakelen voor alle protocollen, niet alleen SMB. Het herconfigureren van Active Directory DNS zone access control lists om geauthenticeerde gebruikers te beperken in het creëren van DNS records vermindert de haalbaarheid van exploitatie aanzienlijk. Security teams moeten prioriteit geven aan het snel patchen van NTLM coercion technieken en grondige audits uitvoeren van NTLM relay attack methoden binnen hun infrastructuur.

Bron

Securityonderzoekers hebben significante kwetsbaarheden ontdekt in de firmware van Xiaomi's populaire Redmi Buds serie. De kwetsbaarheden treffen modellen van de Redmi Buds 3 Pro tot aan de meest recente Redmi Buds 6 Pro. De ontdekking onthult kritieke fouten in de Bluetooth-implementatie van deze apparaten, waardoor aanvallers toegang kunnen krijgen tot gevoelige informatie of de apparaten offline kunnen dwingen. De exploits maken gebruik van het RFCOMM-protocol en kunnen worden uitgevoerd door een aanvaller binnen radiobereik, zonder dat er ooit een koppeling met het doelapparaat tot stand hoeft te komen.

De kern van het probleem ligt in de manier waarop de Redmi Buds firmware de RFCOMM controle- en signaleringsmechanismen beheert. Hoewel de product specificaties standaard ondersteuning voor profielen zoals HFP en A2DP adverteren, monitoren de apparaten actief niet-gedocumenteerde interne kanalen, vermoedelijk gebruikt voor auxiliary services.

De eerste kwetsbaarheid, geregistreerd als CVE-2025-13834, is een informatielek veroorzaakt door onjuiste bounds checking. Deze fout lijkt op de bekende Heartbleed bug die jaren geleden in webservers werd aangetroffen. Wanneer het apparaat een specifiek geconstrueerd TEST commando ontvangt met een gemanipuleerd lengteveld op zijn controlekanaal, faalt de firmware de aanvraag correct te valideren. In plaats van het misvormde pakket te verwerpen, leest het systeem uit niet-geïnitialiseerd geheugen en stuurt het tot 127 bytes aan data terug naar de aanvaller. Deze out-of-bounds read kan uiterst gevoelige informatie blootleggen die zich in de geheugenpool bevindt, inclusief de telefoonnummers van actieve gesprekspartners.

De tweede kwetsbaarheid, CVE-2025-13328, is een Denial of Service (DoS) fout als gevolg van het onvermogen van de firmware om grote hoeveelheden verkeer te verwerken. Aanvallers kunnen het standaard controlekanaal of niet-gedocumenteerde servicekanalen overspoelen met legitieme TEST commando's of Modem Status Command signaleringsframes. Deze overvloed overweldigt de verwerkingswachtrij van het apparaat, wat leidt tot resource exhaustion. Het resultaat is een firmware crash die de gebruiker geforceerd ontkoppelt van het gekoppelde apparaat.

Het meest alarmerende aspect van deze kwetsbaarheden is de lage drempel voor potentiële aanvallers. Exploitatie vereist geen authenticatie, PIN-koppeling of enige gebruikersinteractie. Een aanvaller heeft enkel het MAC-adres van de doel-oordopjes nodig, wat gemakkelijk kan worden verkregen met behulp van standaard Bluetooth sniffing tools. Tests uitgevoerd door onderzoekers hebben aangetoond dat deze aanvallen succesvol kunnen worden uitgevoerd vanaf ongeveer twintig meter afstand met behulp van standaard dongles, hoewel obstakels zoals muren dit bereik kunnen verminderen.

De operationele impact op de gebruiker varieert van privacy schending tot aanhoudende verstoring. Het informatielek vormt een vertrouwelijkheidsrisico, vooral voor gebruikers die privégesprekken voeren in openbare ruimtes. De aanvaller kan herhaaldelijk het geheugenlek triggeren zonder dat de gebruiker dit merkt. Omgekeerd verstoort de Denial of Service aanval de beschikbaarheid. Zodra de firmware crasht, worden de oordopjes niet meer responsief en worden ze losgekoppeld van de audiobron, zo meldt CERT/CC. Om de functionaliteit te herstellen, moet de gebruiker de oordopjes fysiek terugplaatsen in hun oplaadcase om een reset te initiëren, wat een aanzienlijk ongemak creëert als de aanval geautomatiseerd en herhaald wordt.

Tot op heden heeft Xiaomi geen verklaring afgelegd over een firmware patch of specifieke remediëringsplannen. De kwetsbaarheden zijn toegeschreven aan de onderzoekers Choongin Lee, Jiwoong Ryu en Heejo Lee. Totdat een firmware update de onjuiste bounds-checking en resource-management problemen aanpakt, wordt gebruikers geadviseerd Bluetooth uit te schakelen op hun mobiele apparaten wanneer ze hun oordopjes niet actief gebruiken, vooral in publieke omgevingen met een hoge dichtheid waar het risico op lokale RF exploitatie het grootst is.

Bron

Onderzoekers van het CISPA Helmholtz Center for Information Security in Duitsland hebben een nieuwe hardwarematige kwetsbaarheid in AMD-processoren onthuld, met de naam StackWarp. Deze kwetsbaarheid stelt aanvallers met bevoorrechte controle over een hostserver in staat om kwaadaardige code uit te voeren binnen vertrouwelijke virtuele machines (CVM's), waardoor de integriteit van AMD Secure Encrypted Virtualization met Secure Nested Paging (SEV-SNP) in gevaar komt. De kwetsbaarheid treft AMD Zen 1 tot en met Zen 5 processoren.

"In de context van SEV-SNP stelt deze kwetsbaarheid kwaadaardige VM [virtual machine] hosts in staat de stack pointer van de gast-VM te manipuleren," aldus onderzoekers Ruiyi Zhang, Tristan Hornetz, Daniel Weber, Fabian Thomas en Michael Schwarz. "Dit maakt het kapen van zowel de controle- als de datastroom mogelijk, waardoor een aanvaller remote code execution en privilege escalation binnen een vertrouwelijke VM kan bereiken."

AMD heeft de kwetsbaarheid geregistreerd als CVE-2025-29943 (CVSS v4 score: 4.6) en classificeert het als een 'medium-severity', incorrecte toegangscontrole bug. De kwetsbaarheid zou een aanvaller met admin-rechten in staat stellen de configuratie van de CPU-pipeline te wijzigen, waardoor de stack pointer in een SEV-SNP gast corrumpeert.

De volgende productlijnen worden getroffen:

* AMD EPYC 7003 Series Processors
* AMD EPYC 8004 Series Processors
* AMD EPYC 9004 Series Processors
* AMD EPYC 9005 Series Processors
* AMD EPYC Embedded 7003 Series Processors
* AMD EPYC Embedded 8004 Series Processors
* AMD EPYC Embedded 9004 Series Processors
* AMD EPYC Embedded 9005 Series Processors

Hoewel SEV is ontworpen om het geheugen van beschermde VM's te versleutelen en te isoleren van de onderliggende hypervisor, tonen de nieuwe bevindingen van CISPA aan dat de beveiliging kan worden omzeild zonder de plaintext geheugen van de VM te lezen. In plaats daarvan wordt een microarchitecturale optimalisatie genaamd 'stack engine' aangevallen, die verantwoordelijk is voor versnelde stack operaties.

"De kwetsbaarheid kan worden misbruikt via een voorheen ongedocumenteerde control bit aan de hypervisor-zijde," aldus Zhang in een verklaring. "Een aanvaller die een hyperthread parallel met de doel-VM uitvoert, kan deze gebruiken om de positie van de stack pointer binnen de beschermde VM te manipuleren."

Dit maakt op zijn beurt omleiding van program flow of manipulatie van gevoelige data mogelijk. De StackWarp-aanval kan worden gebruikt om geheimen uit SEV-beveiligde omgevingen te onthullen en VM's in gevaar te brengen die worden gehost in AMD-aangedreven cloudomgevingen. Specifiek kan het worden misbruikt om een RSA-2048 private key te herstellen van een enkele foutieve signature, waardoor OpenSSH password authenticatie en sudo's password prompt worden omzeild en kernel-mode code execution in een VM wordt bereikt.

De chipfabrikant heeft microcode updates voor de kwetsbaarheid uitgebracht in juli en oktober 2025. AGESA patches voor EPYC Embedded 8004 en 9004 Series Processors staan gepland voor release in april 2026.

De ontwikkeling bouwt voort op een eerdere studie van CISPA die CacheWarp (CVE-2023-20592, CVSS v3 score: 6.5) beschreef, een software fault aanval op AMD SEV-SNP, die aanvallers in staat stelt controle flow te kapen, in te breken in versleutelde VM's en privilege escalation binnen de VM uit te voeren. Beide aanvallen zijn hardware architectural attacks.

"Voor beheerders van SEV-SNP hosts zijn er concrete stappen te ondernemen: Controleer eerst of hyperthreading is ingeschakeld op de betreffende systemen. Zo ja, plan dan een tijdelijke uitschakeling voor CVM's die bijzonder hoge integriteitseisen stellen," aldus Zhang. "Tegelijkertijd moeten alle beschikbare microcode- en firmware-updates van de hardwareleveranciers worden geïnstalleerd. StackWarp is weer een voorbeeld van hoe subtiele microarchitecturale effecten systeemniveau beveiligingsgaranties kunnen ondermijnen."
Bron

Er is een kritieke kwetsbaarheid ontdekt in de Virtual Agent API en de Now Assist AI Agents applicatie van ServiceNow die ongeauthenticeerde aanvallers in staat stelt om zich voor te doen als elke willekeurige gebruiker. Het lek stelt kwaadwillenden in staat om op afstand geprivilegieerde AI-agenten uit te voeren en volledige controle over het systeem te verkrijgen. De kwetsbaarheid is geregistreerd onder CVE-2025-12420 en werd onthuld door beveiligingsonderzoeker Aaron Costello van AppOmni. Het probleem ontstaat door een combinatie van een hardcoded platform-breed geheim en onveilige logica voor het koppelen van accounts, waardoor beveiligingslagen zoals multifactorauthenticatie en single sign-on volledig kunnen worden omzeild.

De exploitatiemethode, die de naam BodySnatcher draagt, maakt misbruik van specifieke ontwerpfouten binnen de AI-infrastructuur van ServiceNow. Channel providers voor AI-agenten werden geleverd met identieke authenticatietokens voor alle klantinstanties, wat resulteerde in een universele mogelijkheid om authenticatie te omzeilen. Het mechanisme voor automatische koppeling vertrouwde elke aanvrager die dit gedeelde token combineerde met een geldig e-mailadres. Hierdoor werden externe entiteiten direct gekoppeld aan ServiceNow-accounts zonder verdere verificatie. Aanvallers kunnen deze zwakheden via de Virtual Agent API combineren om beheerdersrechten over te nemen en acties uit te voeren via de Record Management AI-agent.

Een aanvaller heeft enkel het e-mailadres van een doelwit nodig om beheerders te imiteren en AI-agenten in te zetten voor het creëren van backdoors met volledige systeemprivileges. Dit geeft nagenoeg onbeperkte toegang tot bedrijfsnetwerken, klantdata, financiële gegevens en intellectueel eigendom. Tijdens demonstraties wisten onderzoekers succesvol administratieve accounts aan te maken, rechten te verhogen en wachtwoorden te resetten zonder enige vorm van legitieme aanmelding. De aanval is op afstand uitvoerbaar tegen elke instantie die kwetsbare versies van de applicaties gebruikt, zelfs als de betreffende AI-agenten inactief lijken.

Na de melding van AppOmni op 23 oktober 2025 heeft ServiceNow direct actie ondernomen. De leverancier rolde patches uit tegen 30 oktober 2025, waarbij inloggegevens werden geroteerd en de Record Management AI-agent uit klantomgevingen werd verwijderd. Er is een kennisbankartikel gepubliceerd onder nummer KB2587317 met details over de oplossing. Beveiligingsteams dienen te verifiëren of de Now Assist AI Agents zijn bijgewerkt naar versie 5.1.18 of 5.2.19 en de Virtual Agent API naar versie 3.15.2 of 4.0.4 om misbruik te voorkomen.

Bron

Een kritieke zero-day kwetsbaarheid in Cloudflare's Web Application Firewall (WAF) stelde aanvallers in staat om beveiligingscontroles te omzeilen en direct toegang te krijgen tot beschermde origin-servers via een validatiepad voor certificaten.

Beveiligingsonderzoekers van FearsOff ontdekten dat verzoeken gericht aan de directory /.well-known/acme-challenge/ de origins konden bereiken, zelfs wanneer klantgeconfigureerde WAF-regels alle ander verkeer expliciet blokkeerden.

Het Automatic Certificate Management Environment (ACME) protocol automatiseert SSL/TLS certificaatvalidatie door te vereisen dat Certificate Authorities (CA's) het domeinbezit verifiëren. In de HTTP-01 validatiemethode verwachten CA's dat websites een eenmalig token serveren op /.well-known/acme-challenge/{token}. Dit pad bestaat op bijna elke moderne website als een stille onderhoudsroute voor geautomatiseerde certificaatuitgifte. Het ontwerp is bedoeld om deze toegang te beperken tot een enkele validatiebot die één specifiek bestand controleert, en niet als een open toegangspoort tot de origin-server.

FearsOff onderzoekers ontdekten de kwetsbaarheid tijdens het beoordelen van applicaties waar WAF-configuraties globale toegang blokkeerden en alleen specifieke bronnen toestonden. Tests onthulden dat verzoeken gericht aan het ACME challenge pad de WAF-regels volledig omzeilden, waardoor de origin-server direct kon reageren in plaats van Cloudflare's blokkeerpagina terug te geven.

Om te bevestigen dat dit geen tenant-specifieke misconfiguratie was, creëerden onderzoekers gecontroleerde demonstratiehosts op cf-php.fearsoff.org, cf-spring.fearsoff.org en cf-nextjs.fearsoff.org. Normale verzoeken naar deze hosts stootten, zoals verwacht, op blokkeerpagina's, maar ACME-padverzoeken retourneerden door de origin gegenereerde reacties, doorgaans framework 404-fouten.

De kwetsbaarheid ontstond door de edge-netwerkverwerkingslogica van Cloudflare voor ACME HTTP-01 challenge paden. Wanneer Cloudflare challenge tokens serveerde voor zijn eigen beheerde certificaatbestellingen, schakelde het systeem WAF-functies uit om interferentie met CA-validatie te voorkomen. Een kritieke fout ontstond echter: als het aangevraagde token niet overeenkwam met een door Cloudflare beheerde certificaatbestelling, omzeilde het verzoek de WAF-evaluatie volledig en ging direct naar de klant-origin. Deze logicafout transformeerde een smalle uitzondering voor certificaatvalidatie in een brede beveiligingsbypass die alle hosts achter Cloudflare-bescherming beïnvloedde.

De bypass stelde onderzoekers in staat om meerdere aanvalsvectoren tegen gangbare webframeworks te demonstreren. Op Spring/Tomcat-applicaties verkregen servlet path traversal-technieken met behulp van ..;/ toegang tot gevoelige actuator endpoints die procesomgevingen, databasecredentials, API-tokens en cloudkeys blootlegden. Next.js server-side rendering applicaties lekten operationele gegevens via directe origin-reacties die nooit bedoeld waren voor publieke internettoegang. PHP applicaties met local file inclusion kwetsbaarheden werden exploiteerbaar, waardoor aanvallers toegang kregen tot het bestandssysteem via kwaadaardige padparameters. Naast framework-specifieke aanvallen werden account-level WAF-regels die waren geconfigureerd om verzoeken op basis van custom headers te blokkeren volledig genegeerd voor ACME-padverkeer.

FearsOff meldde de kwetsbaarheid via Cloudflare's HackerOne bug bounty programma op 9 oktober 2025. Cloudflare startte de validatie op 13 oktober 2025 en HackerOne beoordeelde het probleem op 14 oktober 2025. Het bedrijf implementeerde een permanente fix op 27 oktober 2025, waarbij de code werd aangepast om beveiligingsfuncties alleen uit te schakelen wanneer verzoeken overeenkomen met geldige ACME HTTP-01 challenge tokens voor de specifieke hostname.

Post-fix testing bevestigde dat WAF-regels nu uniform van toepassing zijn op alle paden, inclusief de voorheen kwetsbare ACME challenge route. Cloudflare verklaarde dat er geen klantactie vereist is en bevestigde dat er geen bewijs van kwaadaardige exploitatie is gevonden.
Bron

De afgelopen 24 uur zijn er diverse ernstige kwetsbaarheden die veel aandacht trekken op sociale media en binnen de beveiligingsgemeenschap. De zogenaamde hype-score, die de mate van belangstelling en urgentie in openbare bronnen weergeeft, toont aan dat vooral lekken in veelgebruikte protocollen en infrastructuur momenteel prioriteit krijgen bij beveiligingsteams. Met een score van 24 staat CVE-2025-36911, ook bekend als WhisperPair, bovenaan de lijst. Dit betreft een kwetsbaarheid in het op sleutels gebaseerde koppelingsproces van Bluetooth-audioaccessoires die gebruikmaken van het Google Fast Pair-protocol.

Direct daarop volgt CVE-2025-60021 met een aanzienlijke score van 21. Deze kwetsbaarheid is geïdentificeerd als een remote command injection in Apache bRPC, waarbij specifiek het /pprof/heap eindpunt wordt geraakt. Voor beheerders van deze systemen vormt dit een acuut risico dat onmiddellijke aandacht vereist. Daarnaast zijn er diverse kwetsbaarheden in Apple-software aan het licht gekomen die eveneens hoog scoren in de trendinglijsten. Zo betreft CVE-2025-43300 een out-of-bounds write in het Apple Image I/O framework die geactiveerd kan worden door gemanipuleerde afbeeldingsbestanden. Ook het CoreAudio framework bevat een geheugencorruptiekwetsbaarheid, geregistreerd als CVE-2025-31200, terwijl CVE-2025-31201 een lek beschrijft waarmee Pointer Authentication kan worden omzeild.

Naast consumentenelektronica en frameworks zijn er ook kwetsbaarheden in zakelijke netwerkapparatuur en ontwikkeltools die de aandacht trekken. Fortinet FortiSIEM heeft te kampen met een OS Command Injection kwetsbaarheid in de Super en Worker nodes via de phMonitor-service, geregistreerd onder CVE-2025-64155. Cisco Secure Email Gateway appliances zijn kwetsbaar voor CVE-2025-20393, een geval van onjuiste inputvalidatie dat kan leiden tot remote command execution. Tot slot zijn er browsergerelateerde problemen gevonden in Google Chrome’s ANGLE-component en WebKit, evenals een veiligheidslek in de pnpm package manager die HTTP-tarball dependencies verwerkt zonder integriteitshashes.

Bron

Op 13 januari 2026 zijn er zeven kwetsbaarheden onthuld in AVEVA Process Optimization (voorheen ROMeo) 2024.1 en eerdere versies. Een van deze kwetsbaarheden is van kritieke aard en stelt niet-geauthenticeerde aanvallers in staat om op afstand code uit te voeren met SYSTEM-rechten. Deze situatie vormt een direct risico voor industriële procesbesturingsomgevingen wereldwijd.

De meest ernstige kwetsbaarheid maakt het voor niet-geauthenticeerde aanvallers mogelijk om op afstand code uit te voeren met de hoogste systeemrechten. Dit wordt mogelijk gemaakt door een kritieke code-injectie kwetsbaarheid in de API-laag van de applicatie. Een aanvaller kan deze kwetsbaarheid misbruiken om willekeurige code uit te voeren met volledige systeemrechten op de "taoimr" service, wat mogelijk de gehele Model Application Server en de aangesloten infrastructuur in gevaar kan brengen.

De aanval vereist geen gebruikersinteractie, is van lage complexiteit en kan op afstand via het netwerk worden uitgevoerd. Dit maakt de kwetsbaarheid bijzonder gevaarlijk voor organisaties die kwetsbare versies van de software gebruiken.

Naast de kritieke kwetsbaarheid zijn er ook andere ernstige problemen aan het licht gekomen, waaronder:

* Code-injectie via macrofunctionaliteit, waardoor geauthenticeerde gebruikers hun rechten kunnen escaleren van een standaard OS-gebruiker naar systeemniveau.
* SQL-injectie kwetsbaarheden in de Captive Historian component, die aanvallers SQL Server administratieve toegang verlenen.
* Een DLL hijacking kwetsbaarheid, waardoor geauthenticeerde gebruikers willekeurige code kunnen laden en hun rechten kunnen verhogen tot systeemniveau.

Deze aanvalsvectoren demonstreren gezamenlijk geavanceerde manieren om kwetsbare systemen volledig te compromitteren.

AVEVA adviseert gebruikers dringend om onmiddellijk actie te ondernemen. Organisaties dienen te upgraden naar AVEVA Process Optimization 2025 of hoger om alle geïdentificeerde kwetsbaarheden te patchen. Als een tijdelijke defensieve maatregel wordt aanbevolen om netwerkfirewallregels te implementeren die de toegang tot de taoimr service (standaard poorten 8888/8889) beperken tot alleen vertrouwde bronnen. Daarnaast moeten strikte toegangscontrolelijsten worden toegepast op installatie- en datamappen, en moet rigoureus change management worden gehandhaafd voor projectbestanden.

De kwetsbaarheden werden ontdekt tijdens een geplande penetratietest door Veracode security researcher Christopher Wu, in samenwerking met CISA.

Organisaties die AVEVA Process Optimization omgevingen gebruiken, wordt geadviseerd om het patchen onmiddellijk te prioriteren om misbruik van deze kritieke kwetsbaarheden in hun industriële controle systemen infrastructuur te voorkomen.
Bron

Een kritieke remote command-injectie kwetsbaarheid is ontdekt in Apache bRPC's ingebouwde heap profiler service, die alle versies vóór 1.15.0 op alle platforms treft. De kwetsbaarheid, gedocumenteerd door CybersecurityNews.com op 20 januari 2026, stelt ongeauthenticeerde aanvallers in staat om willekeurige systeemcommando's uit te voeren door de parameter validatie mechanismen van de profiler te manipuleren.

Het probleem situeert zich in het heap profiler service endpoint (/pprof/heap), dat er niet in slaagt de `extra_options` parameter voldoende te saneren voordat deze wordt doorgegeven aan de uitvoering van systeemcommando's. Dit ontwerpgebrek maakt het voor aanvallers mogelijk om kwaadaardige commando's te injecteren die worden uitgevoerd met de privileges van het bRPC-proces. De oorzaak ligt in onvoldoende input validatie in de jemalloc memory profiling component, die door de gebruiker geleverde parameters behandelt als vertrouwde command-line argumenten zonder enige vorm van ontsnapping of validatie.

De kwetsbaarheid heeft vooral impact op implementaties die de ingebouwde heap profiler van bRPC gebruiken voor jemalloc memory profiling. Elk systeem dat het /pprof/heap endpoint openstelt aan niet-vertrouwde netwerken loopt een significant risico op volledige systeemcompromittatie. Succesvolle exploitatie verleent aanvallers remote code execution mogelijkheden zonder dat authenticatie vereist is. Een geslaagde aanval kan resulteren in laterale beweging binnen de netwerkinfrastructuur, data exfiltratie, service verstoring, of het vestigen van permanente backdoor toegang.

Organisaties die kwetsbare bRPC versies in productieomgevingen draaien, wordt aangeraden onmiddellijk actie te ondernemen. Apache bRPC versies 1.11.0 tot en met 1.14.x zijn kwetsbaar. Versie 1.15.0 en later bevatten de benodigde security patches om deze kwetsbaarheid te verhelpen.

Er zijn twee mitigatiemethoden beschikbaar:

1. **Upgrade naar Apache bRPC versie 1.15.0 of later:** Deze versies bevatten de officiële patch die het parameter validatie probleem oplost.
2. **Handmatige patch toepassen:** Indien een onmiddellijke versie upgrade niet haalbaar is, kan de security patch handmatig worden toegepast vanuit de officiële Apache bRPC GitHub repository (PR #3101).

Organisaties wordt geadviseerd om te prioriteren naar een gepatchte versie om het aanvalsoppervlak te elimineren. Handmatig patchen moet worden beschouwd als een tijdelijke maatregel in afwachting van een complete versie upgrade. CybersecurityNews.com benadrukt het belang van proactieve monitoring en het volgen van beveiligingsupdates om dergelijke kwetsbaarheden in de toekomst te voorkomen.
Bron

Een kritiek beveiligingslek in de WordPress-plugin Advanced Custom Fields: Extended (ACF: Extended) stelt tienduizenden websites bloot aan potentiële overname door aanvallers. Ondanks dat er al een maand een beveiligingsupdate beschikbaar is, hebben veel websites deze nog niet geïnstalleerd. De ontwikkelaars van ACF: Extended hebben bovendien nagelaten om expliciet te vermelden dat de update het kritieke lek verhelpt.

Advanced Custom Fields (ACF) is een populaire plugin die extra functionaliteiten aan WordPress toevoegt en door meer dan twee miljoen websites wordt gebruikt. ACF: Extended is een uitbreiding op ACF die verdere verbeteringen belooft en actief is op meer dan honderdduizend websites. Het lek in ACF: Extended (CVE-2025-14533) maakt het mogelijk voor een ongeauthenticeerde aanvaller om zich als administrator te registreren, waardoor volledige controle over de website verkregen kan worden. Deze aanval is echter alleen mogelijk indien de beheerder bepaalde opties voor het registratieformulier heeft ingeschakeld, een configuratie die volgens securitybedrijf Wordfence waarschijnlijk niet wijdverspreid is.

Ondanks de genoemde voorwaarden voor misbruik, heeft de kwetsbaarheid een hoge impactscore van 9.8 op een schaal van 1 tot 10. De ontwikkelaars werden op 11 december 2025 op de hoogte gesteld van het lek en brachten op 14 december 2025 versie 0.9.2.2 uit, waarin het probleem is opgelost. Opvallend is dat de release notes de aanwezigheid van het beveiligingslek niet expliciet vermelden. Er wordt slechts gesproken over het toevoegen van "een beveiligingsmaatregel".

Uit cijfers van WordPress.org blijkt dat ongeveer 60.000 websites de update nog niet hebben uitgevoerd, waardoor ze kwetsbaar blijven. Professionals wordt aangeraden om direct te controleren of ze gebruik maken van ACF: Extended en zo ja, of de meest recente versie (0.9.2.2 of hoger) is geïnstalleerd. Het negeren van deze update kan leiden tot ernstige beveiligingsincidenten, waaronder volledige overname van de website en compromittering van gevoelige data. Beheerders die registratieformulieren aanbieden, wordt aangeraden de instellingen van deze formulieren te controleren en onnodige opties uit te schakelen om het risico verder te beperken. De combinatie van een kritiek lek en het uitblijven van adequate communicatie door de ontwikkelaar maakt deze situatie extra risicovol.
Bron

Een kritieke authenticatiekwetsbaarheid in de VIGI-surveillancecamerareeks van TP-Link is aan het licht gekomen. Deze kwetsbaarheid stelt aanvallers op lokale netwerken in staat om administratieve inloggegevens te resetten zonder autorisatie. De impact is aanzienlijk, aangezien succesvolle exploitatie volledige controle over de camera's mogelijk maakt.

De kwetsbaarheid, geregistreerd als CVE-2026-0629, bevindt zich in de wachtwoordherstel functie van de webinterface van de camera's. De CVSS v4.0 score van 8.7 wijst op een hoge mate van ernst. De oorzaak ligt in een onjuiste manipulatie van de client-side state binnen deze wachtwoordherstel functie. Een aanvaller met toegang tot het lokale netwerk (LAN) kan deze zwakte misbruiken om het beheerderswachtwoord te resetten zonder enige vorm van verificatie. Dit verleent volledige administratieve toegang tot het betreffende apparaat.

Een significant risico is dat exploitatie geen verhoogde privileges, gebruikersinteractie of complexe netwerkaanvallen vereist. Dit maakt de kwetsbaarheid eenvoudig te misbruiken voor vrijwel iedereen met LAN-connectiviteit. De CVSS v4.0 vector (4.0/AV: A/AC: L/AT: N/PR: N/UI: N/VC:H/VI:H/VA:H/SC: N/SI: N/SA: N) bevestigt dit. Aanvallers kunnen aanzienlijke schade toebrengen aan de vertrouwelijkheid, integriteit en beschikbaarheid van de systemen via toegang tot een aangrenzend netwerk met een lage complexiteit.

Succesvolle exploitatie geeft aanvallers de mogelijkheid om de controle over de VIGI-camera's volledig over te nemen. Dit omvat het wijzigen van configuraties en het uitschakelen van beveiligingsfuncties. Bovendien kunnen aanvallers toegang krijgen tot opgenomen beelden of de gecompromitteerde apparaten gebruiken als springplank voor laterale bewegingen binnen het netwerk. Organisaties die VIGI-camera's gebruiken in kritieke surveillance-infrastructuren lopen dus aanzienlijke operationele en veiligheidsrisico's.

De kwetsbaarheid treft een breed scala aan producten, namelijk 28 verschillende VIGI-cameraseries, waaronder populaire varianten zoals de Cx45, Cx55, Cx85 en InSight series. Deze wijdverspreide impact benadrukt de noodzaak van onmiddellijke patching in alle implementaties.

TP-Link heeft firmware-updates uitgebracht die de kwetsbaarheid verhelpen voor alle getroffen apparaatmodellen. Organisaties worden dringend verzocht om de nieuwste firmwareversies onmiddellijk te downloaden en te implementeren via het Download Center op de TP-Link website. Het advies benadrukt dat apparaten kwetsbaar blijven totdat ze zijn gepatcht en dat TP-Link geen aansprakelijkheid aanvaardt voor incidenten die voortvloeien uit het niet implementeren van de aanbevolen beveiligingsupdates.

Gebruikers kunnen patches downloaden via de region-specifieke downloadcentra van TP-Link. CVE-2026-0629 vormt een significant beveiligingsrisico voor organisaties die TP-Link VIGI-surveillance-infrastructuur gebruiken. Het gemak van exploitatie, in combinatie met het brede scala aan getroffen producten, maakt onmiddellijke firmware-updates een kritieke prioriteit voor het behoud van de netwerkbeveiliging en het voorkomen van ongeautoriseerde administratieve toegang tot de surveillancesystemen.
Bron

Apache Airflow-gebruikers worden gewaarschuwd voor meerdere kwetsbaarheden in versies ouder dan 3.1.6 die kunnen leiden tot het onthullen van gevoelige authenticatiegegevens en geheimen in logboeken en gebruikersinterfaces. Beide problemen komen voort uit onvoldoende maskering van gevoelige data tijdens rendering en logging, wat de proxy credentials en database geheimen in productieomgevingen in gevaar kan brengen.

De eerste kwetsbaarheid, CVE-2025-68675, treft alle Apache Airflow versies voor 3.1.6. Het probleem ligt in de manier waarop Airflow proxy configuraties binnen Connection objecten behandelt. Proxy URL's bevatten vaak ingebedde authenticatiegegevens in het formaat http://username:password@proxy-host:port. Omdat de proxy velden niet als gevoelig gemarkeerd waren, werden deze gegevens niet automatisch gemaskeerd tijdens het renderen of loggen van taken. Dit creëert een aanzienlijk risico, omdat taaklogboeken vaak toegankelijk zijn voor meerdere teamleden, worden opgeslagen in gecentraliseerde logging systemen en worden gearchiveerd voor compliance doeleinden. Een aanvaller of onbevoegde gebruiker met leesrechten tot de logs kan zo de proxy credentials extraheren en gebruiken om netwerkverkeer van getroffen workflows te onderscheppen of om te leiden. Organisaties die taken uitvoeren die gebruik maken van proxy-geauthenticeerde verbindingen lopen een verhoogd risico op compromittering van credentials.

De tweede kwetsbaarheid, CVE-2025-68438, introduceert een ander, maar even problematisch blootstellingspad. Wanneer gerenderde template velden de geconfigureerde [core] max_templated_field_length drempel overschrijden, gebruikt het serialisatieproces een secrets masker instantie die geen user-registered mask_secret() patronen heeft. Dit betekent dat custom-registered secret patterns niet worden toegepast vóór het afbreken van het veld en worden weergegeven in de Rendered Templates UI. Gevoelige waarden die zijn opgeslagen in templated fields, zoals API keys, database wachtwoorden of encrypted tokens, kunnen hierdoor in cleartext in de web interface verschijnen. De truncation operatie vindt plaats na serialisatie, maar vóór de voltooiing van de maskering, waardoor delen van geheimen worden blootgesteld aan elke gebruiker met toegang tot de Airflow web UI.

Beide kwetsbaarheden vereisen authenticatie tot de Airflow omgeving, maar vertegenwoordigen ook insider threats en risico's op laterale bewegingen binnen het netwerk. Organisaties met strikte log retention policies lopen het risico op langere blootstellingsperiodes, omdat gelekte credentials voor onbepaalde tijd toegankelijk kunnen blijven in gearchiveerde logs.

Apache Airflow 3.1.6 adresseert beide problemen door proxy velden correct als gevoelig te markeren en ervoor te zorgen dat user-registered mask patterns worden toegepast vóór template truncation. Alle getroffen gebruikers wordt aangeraden onmiddellijk te upgraden. Voor omgevingen die niet direct kunnen upgraden, biedt het implementeren van restrictieve toegangscontroles op logs systemen en de Airflow web UI een tijdelijke mitigerende maatregel.
Bron

In de officiële Git Model Context Protocol (MCP) server van Anthropic, mcp-server-git, zijn drie beveiligingslekken ontdekt. Deze kwetsbaarheden, die onder bepaalde omstandigheden kunnen worden misbruikt om willekeurige bestanden te lezen of te verwijderen en code uit te voeren, zijn opgelost in de versies 2025.9.25 en 2025.12.18 na een melding in juni 2025.

Volgens beveiligingsonderzoeker Yarden Porat van Cyata kunnen de lekken worden uitgebuit via prompt injectie. Dit betekent dat een aanvaller die invloed kan uitoefenen op wat een AI-assistent leest – bijvoorbeeld via een kwaadaardig README-bestand, een gemanipuleerde issue-beschrijving of een gecompromitteerde webpagina – deze kwetsbaarheden kan gebruiken zonder directe toegang tot het systeem van het slachtoffer.

Mcp-server-git is een Python-pakket en een MCP-server die een reeks ingebouwde tools biedt voor het programmatisch lezen, zoeken en manipuleren van Git-repositories via large language models (LLM's). De beveiligingsproblemen zijn:

* **CVE-2025-68143** (CVSS score: 8.8 [v3] / 6.5 [v4]): Een path traversal-kwetsbaarheid die ontstaat doordat de git_init tool willekeurige bestandssysteempaden accepteert tijdens het aanmaken van een repository zonder validatie. Dit is verholpen in versie 2025.9.25.
* **CVE-2025-68144** (CVSS score: 8.1 [v3] / 6.4 [v4]): Een argument injection-kwetsbaarheid die ontstaat doordat de git_diff en git_checkout functies door de gebruiker beheerste argumenten direct doorgeven aan git CLI-commando's zonder sanitatie. Dit is verholpen in versie 2025.12.18.
* **CVE-2025-68145** (CVSS score: 7.1 [v3] / 6.3 [v4]): Een path traversal-kwetsbaarheid die ontstaat door een ontbrekende padvalidatie bij het gebruik van de --repository flag om operaties te beperken tot een specifiek repositorypad. Dit is verholpen in versie 2025.12.18.

Succesvolle exploitatie van deze kwetsbaarheden kan een aanvaller in staat stellen om elke directory op het systeem om te zetten in een Git-repository, elk bestand te overschrijven met een leeg diff-bestand en toegang te krijgen tot elke repository op de server.

Cyata documenteerde een aanvalsscenario waarbij de drie kwetsbaarheden konden worden gecombineerd met de Filesystem MCP-server om naar een ".git/config"-bestand te schrijven (meestal te vinden in de verborgen .git directory) en remote code execution te bereiken door een aanroep naar git_init te triggeren via prompt injectie. Dit gebeurt door:

1. git_init te gebruiken om een repository aan te maken in een beschrijfbare directory.
2. De Filesystem MCP-server te gebruiken om een kwaadaardig .git/config bestand te schrijven met een clean filter.
3. Een .gitattributes bestand te schrijven om het filter op bepaalde bestanden toe te passen.
4. Een shell script te schrijven met de payload.
5. Een bestand te schrijven dat het filter triggert.
6. git_add aan te roepen, dat het clean filter uitvoert en de payload activeert.

Als reactie op de bevindingen is de git_init tool uit het pakket verwijderd en zijn er extra validaties toegevoegd om path traversal te voorkomen. Gebruikers van het Python-pakket wordt aangeraden te updaten naar de nieuwste versie voor optimale bescherming.

"Dit is de canonieke Git MCP-server, degene die ontwikkelaars zouden moeten kopiëren," aldus Shahar Tal, CEO en medeoprichter van Agentic AI-beveiligingsbedrijf Cyata. "Als de beveiligingsgrenzen zelfs in de referentie-implementatie doorbroken worden, is dit een signaal dat het hele MCP-ecosysteem dieper onder de loep moet worden genomen. Dit zijn geen edge cases of exotische configuraties, ze werken direct uit de doos."
Bron

De Android-applicatie WPair is ontwikkeld om de CVE-2025-36911 kwetsbaarheid, die miljoenen bluetooth-audioapparaten wereldwijd treft, te identificeren en te demonstreren. Deze kwetsbaarheid, ook wel bekend als WhisperPair, is ontdekt door onderzoekers van KU Leuven en betreft een kritieke authenticatie bypass in Google’s Fast Pair protocol.

CVE-2025-36911 is een systemisch probleem in de implementatie van Fast Pair bij diverse fabrikanten en chipsets. De kern van het probleem ligt bij een gebrekkige verificatie van de pairing mode. Veel apparaten negeren pairing-verzoeken van ongeautoriseerde bronnen niet wanneer ze zich niet expliciet in de pairing-modus bevinden. Hierdoor kunnen aanvallers binnen enkele seconden een verbinding forceren tot op een afstand van 14 meter. Cruciaal is dat de aanval geen interactie van de gebruiker of fysieke toegang tot het apparaat vereist, wat het bijzonder gevaarlijk maakt voor consumenten audioapparatuur.

WPair biedt drie functionaliteiten voor scanning en testen. De BLE Scanner detecteert Fast Pair-apparaten in de omgeving door te zoeken naar apparaten die de 0xFE2C service UUID uitzenden. De Vulnerability Tester voert niet-invasieve controles uit om de patch-status te bepalen zonder een verbinding tot stand te brengen. Voor geautoriseerd beveiligingsonderzoek biedt de Exploit-functie een demonstratie van de volledige aanvalsketen, inclusief key-based pairing bypass, BR/EDR address extraction en Bluetooth Classic bonding. Post-exploitatie mogelijkheden omvatten toegang tot het Hands-Free Profile voor microfoonfunctionaliteit. Gebruikers kunnen live audio streaming inschakelen naar de speaker van hun telefoon of opgenomen audio opslaan als M4A-bestanden voor forensische analyse.

De kwetsbaarheid stelt aanvallers in staat om apparaten te kapen zonder toestemming, waardoor ze de controle kunnen krijgen over het afspelen van audio, gesprekken kunnen opnemen en mogelijk persistent tracking kunnen opzetten via Google’s Find Hub Network. Indien een apparaat nog nooit met een Android-apparaat verbonden is geweest, kunnen aanvallers het aan hun eigen account toevoegen voor locatie tracking, door misbruik te maken van het mechanisme dat de eerste Account Key writer aanwijst als de eigenaar van het apparaat.

Fabrikanten die getroffen zijn, omvatten JBL, Harman Kardon, Sony, Marshall en vele anderen, wat naar schatting honderden miljoenen gebruikers wereldwijd treft.

Google heeft dit probleem als kritiek geclassificeerd en de onderzoekers een beloning van $15.000 toegekend. De disclosure window van 150 dagen is in januari 2026 geëindigd en fabrikanten brengen nu patches uit. WPair sluit expliciet Find Hub Network provisioning functionaliteit uit om ethische grenzen rond stalkerware implementatie te handhaven.

WPair vereist Android 8.0 of hoger met Bluetooth LE support en de juiste locatierechten. De applicatie is beschikbaar als een precompiled APK en als gecompileerde bron via Gradle. Security onderzoekers dienen te verifiëren dat ze schriftelijke toestemming hebben alvorens apparaten te testen die ze niet zelf bezitten.

Deze tool vertegenwoordigt een belangrijke vooruitgang in vulnerability assessment voor het IoT-audio-ecosysteem, waardoor fabrikanten en security teams getroffen apparaten kunnen identificeren die onmiddellijke firmware-updates vereisen.
Bron

Cybersecuritybedrijf Palo Alto Networks heeft een kwetsbaarheid ontdekt in de Azure Private Endpoint architectuur van Microsoft, die Azure-resources kan blootstellen aan denial-of-service (DoS) aanvallen. Uit onderzoek blijkt dat meer dan 5% van de Azure storage accounts momenteel configuraties heeft die gevoelig zijn voor dit probleem. De kwetsbaarheid kan ook andere diensten treffen, waaronder Key Vault, CosmosDB, Azure Container Registry (ACR), Function Apps en OpenAI accounts.

Azure Private Link biedt een private en veilige manier om verbinding te maken met ondersteunde Azure-resources en Azure-gehoste custom services via het Azure backbone netwerk. De kwetsbaarheid ontstaat in een situatie waarbij een Private DNS zone gekoppeld is aan een Virtual Network (VNET), maar er geen "A" record bestaat voor de storage account binnen de context van dat VNET. Dit leidt tot een mislukte DNS-resolutie, waardoor VM's geen verbinding meer kunnen maken met de storage account, zelfs als de publieke endpoint toegankelijk blijft.

De risico's zijn aanwezig in verschillende scenario's: accidenteel door interne netwerkbeheerders, accidenteel door externe leveranciers, of kwaadwillig door aanvallers die toegang hebben verkregen tot een Azure omgeving. Een DoS-aanval op storage accounts kan bijvoorbeeld leiden tot het falen van Azure Functions binnen Function Apps en daaropvolgende updates. Ook kan een DoS-aanval op Key Vaults processen beïnvloeden die afhankelijk zijn van geheimen in de vault.

Microsoft biedt een fallback naar internet optie die dit probleem gedeeltelijk adresseert. Deze optie zorgt ervoor dat de DNS resolver terugvalt op het publieke internet wanneer een record niet gevonden kan worden. Een andere oplossing is het handmatig toevoegen van een record voor de getroffen resource in de Private DNS zone.

Palo Alto Networks adviseert organisaties om hun Azure omgevingen te scannen op resources die gevoelig zijn voor DoS-aanvallen. Dit kan door individuele resources te scannen of door gebruik te maken van Azure Resource Graph Explorer. Met behulp van specifieke queries kunnen virtual networks worden geïdentificeerd die gekoppeld zijn aan een blob storage Private DNS zone en virtual networks die interageren met blob storage resources zonder Private Endpoint verbindingen.

Het is essentieel om de beperkingen van Azure Private Link te begrijpen om netwerken die erop vertrouwen te beveiligen. Met bepaalde configuraties kan de binaire aard van Azure Private Link leiden tot connectiviteitsverlies en DoS-aanvallen. Palo Alto Networks biedt bescherming en mitigatie via verschillende producten, waaronder Cortex Cloud en Unit 42 Cloud Security Assessment.

De bevindingen zijn gedeeld met de Cyber Threat Alliance (CTA) om snel bescherming te bieden aan klanten en kwaadwillende cyberactoren te verstoren.
Bron

Er is een ernstig beveiligingslek ontdekt in OpenStack keystonemiddleware waardoor kwaadwillenden volledige beheerdersrechten kunnen verkrijgen binnen cloudomgevingen. De kwetsbaarheid heeft de identificatiecode CVE-2026-22797 gekregen en draagt een CVSS-score van 9.9, wat duidt op een zeer kritieke ernstgraad. Het lek bevindt zich specifiek in de manier waarop de authenticatiesoftware omgaat met inkomende headers, waardoor het mogelijk is om beveiligingscontroles te omzeilen via spoofing.

De problematiek centreert zich rond de zogeheten external_oauth2_token middleware, die inkomende authenticatie-headers niet correct schoont voordat OAuth 2.0 tokens worden verwerkt. Een geauthenticeerde aanvaller op afstand kan hierdoor identiteitsheaders vervalsen, zoals X-Is-Admin-Project, X-Roles of X-User-Id. Door deze manipulatie is het mogelijk privileges te escaleren of zich voor te doen als andere gebruikers, inclusief beheerders met volledige toegang tot het systeem. Dit vormt een aanzienlijk risico voor de vertrouwelijkheid en integriteit van data binnen getroffen omgevingen, waarbij aanvallers toegang kunnen krijgen tot vertrouwelijke bronnen en lateraal door het netwerk kunnen bewegen.

Het beveiligingslek treft specifieke versies van de software, namelijk OpenStack keystonemiddleware versies 10.5 tot en met 10.7 vóór update 10.7.2, versies 10.8 en 10.9 vóór update 10.9.1, en versies 10.10 tot en met 10.12 vóór update 10.12.1. Alle implementaties die gebruikmaken van de genoemde middleware zijn kwetsbaar. Aangezien OpenStack veelvuldig wordt ingezet voor het beheer van publieke, private en hybride cloudomgevingen in datacenters en bij grote organisaties, kan de impact van misbruik aanzienlijk zijn.

Systeembeheerders wordt geadviseerd om met de hoogste prioriteit updates te installeren voor de kwetsbare installaties na een grondige testprocedure. Naast het patchen is het noodzakelijk om monitoring- en detectiecapaciteiten op te schalen om verdachte activiteiten te identificeren, aangezien een software-update geen oplossing biedt voor eventuele compromittering die in het verleden al heeft plaatsgevonden. Op de peildatum van 20 januari 2026 waren er nog geen meldingen van actief misbruik van dit lek in het wild.

Bron

De afgelopen vierentwintig uur hebben diverse ernstige beveiligingslekken veel aandacht getrokken op sociale media en binnen de beveiligingsgemeenschap. Uit gegevens over trending kwetsbaarheden blijkt dat vooral producten van Apple en Google onderwerp van gesprek zijn vanwege actief misbruik en kritieke fouten in veelgebruikte frameworks. De zogeheten hype-score, die de urgentie en aandacht voor specifieke CVE's meet, laat zien dat systeembeheerders en beveiligingsteams momenteel alert moeten zijn op diverse fronten, variërend van mobiele besturingssystemen tot zakelijke softwarepakketten.

De lijst wordt aangevoerd door CVE-2025-43300, een kwetsbaarheid in het Image I/O-framework van Apple. Deze fout kan worden misbruikt wanneer een apparaat een kwaadaardig afbeeldingbestand verwerkt, wat leidt tot geheugencorruptie en mogelijk het uitvoeren van willekeurige code op afstand. Apple heeft dit probleem inmiddels aangepakt met verbeterde controles in updates voor onder meer iOS, iPadOS en macOS. Een andere prominente kwetsbaarheid is CVE-2025-14174, die zowel componenten van Google Chrome als Apple's WebKit raakt. Google heeft bevestigd dat er een exploit in omloop is voor deze fout in de ANGLE-component, terwijl Apple waarschuwt dat de WebKit-variant mogelijk is misbruikt in geavanceerde aanvallen gericht op specifieke individuen.

Naast deze problemen is ook CVE-2025-43529 een veelbesproken onderwerp. Dit betreft een use-after-free kwetsbaarheid in WebKit, ontdekt door Google's Threat Analysis Group. Ook hierbij geldt dat het lek mogelijk is ingezet bij gerichte aanvallen op gebruikers van oudere iOS-versies. Apple heeft updates uitgebracht voor een breed scala aan apparaten, waaronder iPhones, iPads en Macs, om dit risico te mitigeren. In dezelfde categorie van geavanceerde dreigingen vallen CVE-2025-31201 en CVE-2025-31200. De eerste betreft een zwakte in de RPAC-beveiligingsfunctie, terwijl de tweede zich bevindt in het CoreAudio-framework. Beide lekken zouden volgens rapporten zijn misbruikt in zeer geavanceerde aanvallen tegen specifieke doelwitten.

Buiten het ecosysteem van Apple en Google zijn er ook ernstige meldingen over zakelijke software. CVE-2025-61882 betreft een kwetsbaarheid in de Oracle E-Business Suite die op afstand en zonder authenticatie kan worden misbruikt, wat kan leiden tot volledige overname van het systeem. Oracle benadrukt het belang van het installeren van de beschikbare updates. Tot slot is er aandacht voor CVE-2025-60021, een command injection kwetsbaarheid in Apache bRPC. Door onvoldoende validatie van invoer kunnen aanvallers via de heap profiler-service op afstand commando's uitvoeren op de server.

Bron

Nvidia heeft een dringende beveiligingsupdate uitgebracht om een kritieke kwetsbaarheid in Nsight Graphics voor Linux te verhelpen. Het lek, aangeduid als CVE-2025-33206, kan aanvallers in staat stellen om willekeurige code uit te voeren op kwetsbare systemen. De kwetsbaarheid is geclassificeerd als "Hoog" met een CVSS-score van 7.8.

De kwetsbaarheid in Nvidia Nsight Graphics voor Linux stelt aanvallers in staat om kwaadaardige commando's te injecteren. Een succesvolle exploitatie kan leiden tot ongeautoriseerde code-uitvoering, privilege-escalatie, datamanipulatie of denial-of-service aanvallen. Hoewel de kwetsbaarheid lokale toegang en gebruikersinteractie vereist om te worden geactiveerd, vormt het een significant risico voor ontwikkelings- en grafisch-gerelateerde workloads.

De oorzaak van de kwetsbaarheid ligt in onvoldoende inputvalidatie bij de verwerking van commando's, gecategoriseerd onder CWE-78 (Improper Neutralization of Special Elements used in an OS Command). Aanvallers met lokale systeemtoegang kunnen kwaadaardige inputs fabriceren om te ontsnappen aan de beoogde commandocontexten en willekeurige systeemcommando's uitvoeren met verhoogde privileges.

De aanval vereist lokale toegang en gebruikersinteractie (UI: R), wat betekent dat een aanvaller een gebruiker moet misleiden om een specifieke actie uit te voeren. Echter, eenmaal geactiveerd, verleent de kwetsbaarheid ongeautoriseerde code-uitvoeringsmogelijkheden met een grote impact op vertrouwelijkheid, integriteit en beschikbaarheid van het systeem.

Alle versies van Nvidia Nsight Graphics voor Linux vóór versie 2025.5 zijn kwetsbaar. Organisaties die Nsight Graphics gebruiken, moeten onmiddellijk upgraden naar versie 2025.5 of later om de kwetsbaarheid te verhelpen. Nvidia heeft versie 2025.5 beschikbaar gesteld via het officiële Nvidia developer portal. Gebruikers worden aangeraden deze update zo snel mogelijk te downloaden en te installeren.

Totdat patches kunnen worden uitgerold, wordt organisaties aangeraden de lokale toegang tot systemen met kwetsbare versies te beperken en het principe van de minste privileges te implementeren. Dit houdt in dat gebruikers alleen toegang krijgen tot de resources die ze nodig hebben om hun taken uit te voeren.

Aanvullende details en de meest recente beveiligingsbulletins zijn beschikbaar op de officiële Nvidia Product Security pagina, waar ook abonnementsopties voor beveiligingsmeldingen worden aangeboden. Het is aan te raden om je te abonneren op deze meldingen om op de hoogte te blijven van toekomstige beveiligingsproblemen en updates. Nvidia benadrukt het belang van het snel toepassen van de update om de veiligheid van de systemen te waarborgen.
Bron

Een kritieke command injection kwetsbaarheid in Zoom Node Multimedia Routers (MMR's) stelt kwaadwillenden in staat om op afstand code uit te voeren op de getroffen systemen. De kwetsbaarheid, geregistreerd als CVE-2026-22844, heeft een CVSS severity rating van 9.9, wat de hoogst mogelijke score is. Dit duidt op een extreem gevaarlijke dreiging die onmiddellijke maatregelen vereist.

Het beveiligingslek bevindt zich in Zoom Node MMR versies vóór 5.2.1716.0 en treft twee primaire deployment scenario's: Zoom Node Meetings Hybrid (ZMH) en Zoom Node Meeting Connector (MC) omgevingen. De kwetsbaarheid vereist slechts netwerktoegang en minimale privileges om te worden misbruikt; gebruikersinteractie is niet nodig.

Een aanvaller met geldige inloggegevens als deelnemer aan een vergadering kan dit beveiligingslek gebruiken om remote code execution te verkrijgen, direct op de MMR-infrastructuur. Het kritieke karakter van de kwetsbaarheid komt voort uit de netwerktoegankelijkheid en de mogelijkheid om het gehele systeem te compromitteren. De CVSS vector is CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H.

De impact is hoog op het gebied van vertrouwelijkheid, integriteit en beschikbaarheid. Aanvallers kunnen gegevens stelen, systeemconfiguraties wijzigen en diensten tegelijkertijd verstoren. Organisaties die Zoom Node Meetings, Hybrid of Meeting Connector deployments gebruiken, lopen een direct risico.

De kwetsbaarheid richt zich specifiek op MMR-modules met versies vóór 5.2.1716.0, waardoor versie-identificatie en patching de belangrijkste stappen voor mitigatie zijn. Zoom wijst de ontdekking toe aan haar eigen Offensive Security team.

Zoom adviseert beheerders dringend om de betreffende MMR-modules onmiddellijk te updaten naar versie 5.2.1716.0 of later. Het bedrijf heeft gedetailleerde instructies gepubliceerd via de support documentatie "Managing Updates for Zoom Node," die stapsgewijze instructies biedt voor het implementeren van patches op de Zoom Node infrastructuur.

Organisaties moeten deze update als kritiek beschouwen en met dezelfde urgentie behandelen als reacties op zero-day kwetsbaarheden. Gezien de lage complexiteit van de aanval en de behoefte aan slechts basis toegang op deelnemersniveau, is het risico op misbruik aanzienlijk in real-world omgevingen.

Organisaties die Zoom Node deployments gebruiken, dienen onmiddellijk hun huidige MMR-versies te verifiëren en zonder vertraging patches te implementeren. Gezien de kritieke severity rating en het gemak van exploitatie, vertegenwoordigt deze kwetsbaarheid een aanzienlijk veiligheidsrisico dat dringende aandacht vereist in alle betrokken omgevingen. Het negeren van deze waarschuwing kan leiden tot ernstige schade aan de betrokken systemen en data. Het is cruciaal dat beheerders proactief handelen om de risico's te minimaliseren.
Bron

Oracle heeft een kritieke patch update uitgebracht voor januari 2026, waarmee 337 nieuwe beveiligingslekken in een breed scala aan productfamilies worden gedicht. Deze omvangrijke beveiligingsupdate is bedoeld om wijdverspreide risico's in enterprise systemen te mitigeren. De patch omvat essentiële fixes voor Oracle's uitgebreide productecosysteem, waaronder databasesystemen, middleware, communicatieplatforms en financiële applicaties.

Een van de meest ernstige kwetsbaarheden, CVE-2025-66516 in Oracle Commerce Guided Search, heeft een CVSS-score van 10.0, de hoogste score. Dit lek is op afstand te misbruiken zonder authenticatie via de Apache Tika integratie.

Databaseproducten ontvingen 18 nieuwe beveiligingspatches, die kwetsbaarheden in Oracle Database Server (7 patches), Oracle APEX, Oracle Essbase, Oracle GoldenGate (5 patches) en Oracle Graph Server aanpakken. De Oracle Communications suite is bijzonder zwaar getroffen met 56 nieuwe patches, gevolgd door Oracle Financial Services Applications met 38 patches voor bank-, facturerings- en compliancesystemen.

Het overzicht van de lekken laat zien dat 115 kwetsbaarheden op afstand exploiteerbaar zijn zonder authenticatie. Dit is een groot probleem voor systemen die aan het internet zijn blootgesteld. CVSS-scores variëren van 2.4 tot 10.0, waarbij kritieke infrastructuurcomponenten zoals Oracle Fusion Middleware 51 patches bevatten en meerdere exposures met een hoge ernstgraad.

Talrijke kwetsbaarheden hebben betrekking op zwakke plekken in componenten van derden, waaronder Apache Tika, Spring Framework, Apache Commons libraries en OpenSSL. Deze afhankelijkheden creëren gelijktijdige, trapsgewijze exposure in meerdere producten. Verschillende kwetsbaarheden vereisen geen gebruikersinteractie, waardoor geautomatiseerde exploitatie mogelijk is via netwerkprotocollen zoals HTTP, HTTPS en TLS.

Oracle benadrukt met klem het onmiddellijk toepassen van patches, waarbij wordt opgemerkt dat er actieve pogingen tot exploitatie zijn tegen systemen waarop geen patches zijn geïnstalleerd. Organisaties moeten de kwetsbaarheden met de hoogste scores prioriteren, terwijl ze patches testen in niet-productieomgevingen. Het advies beveelt expliciet aan om te upgraden naar actief ondersteunde productversies tijdens de Premier of Extended Support fasen.

Deze driemaandelijkse Critical Patch Update cyclus wordt voortgezet met releases gepland voor 21 april, 21 juli en 20 oktober 2026. Organisaties die diverse Oracle-omgevingen beheren, worden geconfronteerd met aanzienlijke complexiteit op het gebied van patchbeheer, wat gecoördineerde implementatiestrategieën vereist.

De omvang van deze update, 337 kwetsbaarheden in tientallen productfamilies, onderstreept Oracle's toewijding aan responsieve beveiliging en benadrukt tegelijkertijd het aanzienlijke aanvalsoppervlak van enterprise installaties. Beveiligingsteams moeten snelle beoordeling en implementatie prioriteren om de exposure van de hoogst scorende kwetsbaarheden te beperken voordat bedreigers exploits bewapenen.
Bron

GitLab heeft beveiligingsupdates uitgebracht voor de community en enterprise edities van het platform. De belangrijkste kwetsbaarheid betreft een omzeiling van tweefactorauthenticatie, gevolgd onder CVE-2026-0723. De oorzaak is een ongecontroleerde returnwaarde in de authenticatiediensten. Een aanvaller die het account ID van een doelwit kent kan hiermee 2FA passeren door vervalste apparaatresponsen in te dienen. GitLab geeft aan dat het probleem is verholpen.

Daarnaast zijn twee kwetsbaarheden met hoge ernst verholpen die tot een denial of service toestand kunnen leiden in GitLab CE/EE. Onder CVE-2025-13927 kunnen speciaal geprepareerde verzoeken met onjuist geformatteerde authenticatiedata een storing veroorzaken. Onder CVE-2025-13928 speelt onjuiste autorisatievalidatie in API-endpoints, wat eveneens tot uitval kan leiden.

Verder zijn twee kwetsbaarheden met middelmatige ernst opgelost. CVE-2025-13335 beschrijft een storing die kan ontstaan door verkeerd geconfigureerde wiki documenten die de cyclusdetectie omzeilen. CVE-2026-1102 gaat over herhaalde onjuist geformatteerde SSH authenticatieverzoeken die tot uitval kunnen leiden.

De oplossingen zijn beschikbaar in GitLab 18.8.2, 18.7.2 en 18.6.4. Beheerders van zelfbeheerinstallaties wordt geadviseerd direct te upgraden. GitLab.com draait al op de gepatchte versie en voor GitLab Dedicated zijn geen acties nodig. Voor organisaties in Nederland en België die zelf GitLab beheren staan de onderhoudsreleases gereed.

Publieke metingen laten zien dat wereldwijd bijna 6.000 GitLab CE instanties rechtstreeks aan het internet zijn blootgesteld en dat er bij een internetbreed zoekplatform meer dan 45.000 systemen met een GitLab vingerafdruk zichtbaar zijn. In Nederland zijn 61 en in België 17 GitLab instanties publiek toegankelijk. In juni 2025 pakte GitLab eerder al meerdere problemen met hoge ernst aan. Het platform telt naar eigen zeggen meer dan 30 miljoen geregistreerde gebruikers en wordt gebruikt door meer dan de helft van de Fortune 100.

Bron

Op de eerste dag van de Pwn2Own Automotive 2026 competitie in Tokio hebben security researchers het Tesla Infotainment System gehackt en daarmee een prijs van $516.500 in de wacht gesleept. Tijdens de competitie, die plaatsvindt tijdens de Automotive World auto conferentie van 21 tot 23 januari, werden in totaal 37 zero-day vulnerabilities gedemonstreerd.

Team Synacktiv Team verdiende $35.000 door een information leak en een out-of-bounds write flaw aan elkaar te koppelen, waardoor ze root-toegang kregen tot het Tesla Infotainment System via een USB-gebaseerde aanval. Ze demonstreerden tevens een aanval op een Sony XAV-9500ES digital media receiver, waarbij ze drie kwetsbaarheden combineerden om root-level code execution te verkrijgen, wat hen een extra $20.000 opleverde.

Team Fuzzware.io incasseerde $118.000 door een Alpitronic HYC50 Charging Station, een Autel charger en een Kenwood DNR1007XR navigatie receiver te hacken. PetoWorks ontving $50.000 voor het aaneenschakelen van drie zero-day bugs om root-privileges te verkrijgen op een Phoenix Contact CHARX SEC-3150 charging controller. Team DDOS verdiende $72.500 door de ChargePoint Home Flex, de Autel MaxiCharger en het Grizzl-E Smart 40A vehicle charging station te compromitteren.

Op de tweede dag van Pwn2Own zullen vier teams de Grizzl-E Smart 40A aanvallen, de Autel MaxiCharger wordt drie keer getarget en twee teams proberen root-toegang te verkrijgen tot de ChargePoint Home Flex. Elke succesvolle poging levert de hackers $50.000 op. Team Fuzzware.io zal ook proberen de Phoenix Contact CHARX SEC-3150 vehicle charger te hacken voor een potentiële beloning van $70.000.

Leveranciers hebben 90 dagen de tijd om security fixes te ontwikkelen en uit te brengen voordat TrendMicro's Zero Day Initiative de details van de kwetsbaarheden openbaar maakt. Dit volgt op de exploitatie en rapportage van de zero-day flaws tijdens de Pwn2Own contest.

De Pwn2Own Automotive 2026 hacking competitie richt zich op automotive technologieën, waaronder in-vehicle infotainment (IVI) systemen, elektrische voertuig (EV) chargers en car operating systems (zoals Automotive Grade Linux). Tijdens de competitie worden volledig gepatchte systemen aangevallen.

De Pwn2Own Automotive 2025 competitie eindigde met een totaalbedrag van $886.250 aan prijzengeld voor de hackers, die 49 zero-day vulnerabilities hadden blootgelegd. Tijdens de eerste Pwn2Own Automotive contest in 2024 werd $1.323.750 uitgereikt, na het demonstreren van 49 zero-day bugs in verschillende elektrische autosystemen en het twee keer hacken van Tesla.
Bron

Beveiligingsonderzoekers hebben kwetsbaarheden ontdekt in Chainlit, een populair open-source framework voor kunstmatige intelligentie (AI). Deze lekken, die de naam "ChainLeak" hebben gekregen, kunnen aanvallers in staat stellen gevoelige data te stelen en zich lateraal binnen een getroffen organisatie te bewegen.

Zafran Security meldt dat de ernstige kwetsbaarheden misbruikt kunnen worden om API-sleutels van cloudomgevingen te lekken, gevoelige bestanden te stelen of Server-Side Request Forgery (SSRF)-aanvallen uit te voeren op servers die AI-applicaties hosten.

Chainlit is een framework voor het ontwikkelen van conversationele chatbots. Volgens de Python Software Foundation is het pakket de afgelopen week meer dan 220.000 keer gedownload, met een totaal van 7,3 miljoen downloads tot nu toe.

De details van de twee gevonden kwetsbaarheden zijn als volgt:

* **CVE-2026-22218 (CVSS score: 7.1):** Een arbitrary file read-kwetsbaarheid in de "/project/element" update flow. Een geauthenticeerde aanvaller kan hierdoor de inhoud van elk bestand dat leesbaar is voor de service, in hun eigen sessie ophalen, omdat er geen validatie plaatsvindt van user-controller velden.
* **CVE-2026-22219 (CVSS score: 8.3):** Een SSRF-kwetsbaarheid in de "/project/element" update flow wanneer geconfigureerd met de SQLAlchemy data layer backend. Een aanvaller kan willekeurige HTTP-verzoeken naar interne netwerkdiensten of cloud metadata endpoints sturen vanaf de Chainlit-server en de ontvangen antwoorden opslaan.

"De twee Chainlit-kwetsbaarheden kunnen op verschillende manieren worden gecombineerd om gevoelige data te lekken, privileges te escaleren en lateraal binnen het systeem te bewegen," aldus Gal Zaban en Ido Shani, onderzoekers bij Zafran. "Zodra een aanvaller arbitrary file read-toegang heeft op de server, stort de beveiliging van de AI-applicatie snel in. Wat in eerste instantie een afgebakende fout lijkt, wordt directe toegang tot de meest gevoelige geheimen en de interne staat van het systeem."

Een aanvaller kan bijvoorbeeld CVE-2026-22218 gebruiken om "/proc/self/environ" te lezen, waardoor waardevolle informatie zoals API-sleutels, credentials en interne bestandspaden kunnen worden verkregen. Deze informatie kan worden gebruikt om dieper in het gecompromitteerde netwerk door te dringen en zelfs toegang te krijgen tot de applicatiebroncode. Het kan ook worden gebruikt om databasebestanden te lekken als de setup SQLAlchemy gebruikt met een SQLite backend als datalaag.

Na een melding aan Chainlit op 23 november 2025, zijn beide kwetsbaarheden opgelost in versie 2.9.4, die op 24 december 2025 werd uitgebracht.

"Naarmate organisaties snel AI-frameworks en componenten van derden adopteren, worden lang bestaande klassen van softwarekwetsbaarheden direct in AI-infrastructuren ingebed," aldus Zafran. "Deze frameworks introduceren nieuwe en vaak slecht begrepen aanvalsoppervlakken, waar bekende kwetsbaarheden AI-systemen direct in gevaar kunnen brengen."

De onthulling van ChainLeak volgt op de melding van een kwetsbaarheid in Microsoft's MarkItDown Model Context Protocol (MCP) server, genaamd MCP fURI, door BlueRock. Deze kwetsbaarheid maakt willekeurige aanroepen van URI-resources mogelijk, waardoor organisaties worden blootgesteld aan privilege escalation, SSRF en data-inbreuk. De tekortkoming treft de server wanneer deze draait in een Amazon Web Services (AWS) EC2 instance met behulp van IDMSv1.

"Deze kwetsbaarheid stelt een aanvaller in staat om de Markitdown MCP tool convert_to_markdown uit te voeren om een willekeurige uniform resource identifier (URI) aan te roepen," aldus BlueRock. "Het ontbreken van enige begrenzing op de URI stelt elke gebruiker, agent of aanvaller die de tool aanroept in staat om toegang te krijgen tot elke HTTP- of bestandbron."

"Bij het verstrekken van een URI aan de Markitdown MCP server, kan dit worden gebruikt om de instance metadata van de server op te vragen. Een gebruiker kan dan credentials voor de instance verkrijgen als er een rol aan gekoppeld is, waardoor toegang wordt verkregen tot het AWS account, inclusief de access en secret keys."

BlueRock's analyse van meer dan 7.000 MCP-servers toonde aan dat meer dan 36,7% waarschijnlijk is blootgesteld aan vergelijkbare SSRF-kwetsbaarheden. Om het risico te beperken, wordt aangeraden om IMDSv2 te gebruiken ter beveiliging tegen SSRF-aanvallen, private IP blocking te implementeren, de toegang tot metadata services te beperken en een allowlist te creëren om data-exfiltratie te voorkomen.
Bron

Een ernstige beveiligingskwetsbaarheid is ontdekt in de populaire binary-parser npm bibliotheek. Succesvolle exploitatie van deze kwetsbaarheid kan leiden tot de uitvoering van willekeurige JavaScript code. De kwetsbaarheid, geregistreerd als CVE-2026-1245 (CVSS score: N/A), treft alle versies van de module voorafgaand aan versie 2.3.0, waarin het probleem is verholpen. Patches voor de kwetsbaarheid zijn uitgebracht op 26 november 2025.

Binary-parser is een veelgebruikte parser builder voor JavaScript, die ontwikkelaars in staat stelt binaire data te parsen. Het ondersteunt een breed scala aan gangbare datatypes, waaronder integers, floating-point waarden, strings en arrays. Het pakket wordt wekelijks ongeveer 13.000 keer gedownload.

Volgens een advies van het CERT Coordination Center (CERT/CC) houdt de kwetsbaarheid verband met een gebrek aan sanitatie van door de gebruiker aangeleverde waarden, zoals parser veldnamen en encoding parameters. Dit gebeurt wanneer de JavaScript parser code dynamisch wordt gegenereerd tijdens runtime met behulp van de "Function" constructor.

De npm bibliotheek bouwt JavaScript broncode als een string die de parsing logic vertegenwoordigt. Vervolgens wordt deze gecompileerd met behulp van de Function constructor en gecached als een uitvoerbare functie om buffers efficiënt te parsen. Echter, als gevolg van CVE-2026-1245, kan door een aanvaller gecontroleerde input in de gegenereerde code terechtkomen zonder adequate validatie. Dit kan ervoor zorgen dat de applicatie niet-vertrouwde data parseert, wat resulteert in de uitvoering van willekeurige code. Applicaties die uitsluitend statische, hard-coded parser definities gebruiken, worden niet getroffen door de kwetsbaarheid.

"In getroffen applicaties die parser definities construeren met behulp van niet-vertrouwde input, kan een aanvaller mogelijk willekeurige JavaScript code uitvoeren met de privileges van het Node.js proces," aldus CERT/CC. "Dit kan toegang geven tot lokale data, manipulatie van applicatie logic of uitvoering van systeemcommando's, afhankelijk van de deployment omgeving."

Deze kwetsbaarheid kan ernstige gevolgen hebben voor applicaties die afhankelijk zijn van binary-parser voor het verwerken van binaire data. Een succesvolle aanval kan leiden tot datalekken, verstoring van de dienstverlening en zelfs volledige controle over het systeem. Het is daarom van groot belang dat gebruikers van binary-parser de nodige maatregelen nemen om zich te beschermen.

Beveiligingsonderzoeker Maor Caplan wordt gecrediteerd voor het ontdekken en rapporteren van de kwetsbaarheid. Gebruikers van binary-parser wordt aangeraden te upgraden naar versie 2.3.0 en te vermijden dat door de gebruiker gecontroleerde waarden worden doorgegeven aan parser veldnamen of encoding parameters. Het updaten van de library is cruciaal om het risico op exploitatie te minimaliseren en de integriteit van de applicatie te waarborgen. Daarnaast wordt aanbevolen om de input validatie processen te versterken, om te voorkomen dat kwaadaardige code in de applicatie terechtkomt.
Bron

Op 21 januari 2026 is bekend geworden dat er aanzienlijke zero-day kwetsbaarheden zijn ontdekt in verschillende populaire JavaScript package managers, waaronder npm, pnpm, vlt en Bun. Deze kwetsbaarheden omzeilen cruciale beveiligingsmaatregelen die na de grootschalige Shai-Hulud aanval op npm in november vorig jaar geïmplementeerd werden. Het rapport, afkomstig van Koi.ai, waarschuwt dat de standaard adviezen om lifecycle scripts uit te schakelen en lockfiles vast te leggen, niet langer voldoende bescherming bieden.

Na de Shai-Hulud aanval, waarbij meer dan 700 packages werden gecompromitteerd en 25.000 repositories werden blootgesteld, werd het uitschakelen van lifecycle scripts middels de `--ignore-scripts` flag en het vastleggen van lockfiles (package-lock.json, pnpm-lock.yaml, etc.) de gouden standaard. Lifecycle scripts zijn commando’s die automatisch tijdens de package installatie uitgevoerd worden, zoals `preinstall`, `install`, en `postinstall`. Lockfiles daarentegen, bevatten exacte versies en integriteitshashes van alle packages in de dependency tree, waardoor onverwachte wijzigingen tegengegaan zouden moeten worden.

Het onderzoek van Koi.ai onthult echter dat deze mechanismen te omzeilen zijn. Zo vonden ze bypasses voor script execution prevention in npm, pnpm, vlt en Bun. Een voorbeeld hiervan is een kwetsbaarheid in npm waarbij een malafide `.npmrc` bestand, opgenomen in een git dependency, gebruikt kan worden om willekeurige code uit te voeren, zelfs met `--ignore-scripts` ingeschakeld. Pnpm en vlt vertoonden dan weer kwetsbaarheden in de afhandeling van git dependencies en tarball extractie, waardoor ongeautoriseerde code-uitvoering mogelijk werd.

Daarnaast werden er tekortkomingen in de lockfile integriteitscontroles ontdekt. Zowel pnpm als vlt bleken HTTP tarball dependencies zonder integriteitshashes op te slaan. Dit maakt het mogelijk voor een aanvaller om een malicious dependency te introduceren die bij de eerste installatie onschadelijke code bevat en later, bijvoorbeeld tijdens een CI/CD run, kwaadaardige code serveert.

Opvallend is dat npm, nu onder beheer van Microsoft, het rapport van Koi.ai afwees met de uitleg dat gebruikers zelf verantwoordelijk zijn voor het beoordelen van de content van de packages die ze installeren. Dit terwijl npm’s eigen bug bounty programma expliciet “Arbitrary script execution upon package install with the --ignore-scripts flag” als een focusgebied benoemt. Pnpm, vlt en Bun daarentegen reageerden snel en brachten binnen enkele weken patches uit voor de gerapporteerde kwetsbaarheden.

Koi.ai adviseert gebruikers om lockfiles te blijven vastleggen, `--ignore-scripts` (of equivalente instellingen) te gebruiken en hun package managers up-to-date te houden. Daarnaast wordt aangeraden om de keuze van de package manager te heroverwegen, waarbij pnpm en vlt als alternatieven worden genoemd die meer granulaire beveiligingscontroles bieden. Koi.ai's product, Wings, is ontworpen om dergelijke dreigingen te detecteren door het gedrag van packages tijdens installatie te monitoren.

Bron

Het OpenSSL-project heeft via de eigen mailinglijst aangekondigd dat op dinsdag 27 januari tussen 14.00 en 18.00 uur nieuwe beveiligingsreleases beschikbaar komen. Het gaat om updates die één of meerdere kwetsbaarheden verhelpen waarvan de hoogste ernst als “High” is aangemerkt. Verdere technische details zijn niet vooraf gedeeld.

De aangekondigde versies zijn OpenSSL 3.6.1, 3.5.5, 3.4.4, 3.3.6 en 3.0.19. Voor betalende klanten verschijnen daarnaast de extended-support uitgaven 1.0.2zn en 1.1.1ze. Volgens het projectteam betreft het security-fix releases.

De classificatie “High” betekent in dit geval dat het probleem niet in standaardconfiguraties optreedt of minder eenvoudig te misbruiken is. Daarom is de kwalificatie niet “Critical”. Tegelijkertijd kan een High-kwetsbaarheid ernstige gevolgen hebben, bijvoorbeeld diefstal van private keys of de mogelijkheid tot het uitvoeren van code op afstand.

Het OpenSSL-team benadrukt geen inhoudelijke details vrij te geven vóór de releases. Sinds 2002 zijn er in totaal 22 High-impact kwetsbaarheden voor OpenSSL gerapporteerd; in de afgelopen drie jaar ging het om slechts twee gevallen. Dat onderstreept dat dergelijke meldingen relatief zeldzaam zijn.

OpenSSL behoort tot de meest gebruikte cryptografische bibliotheken voor het beveiligen van internetverkeer. Organisaties in Nederland en België die OpenSSL gebruiken kunnen op 27 januari nieuwe versies verwachten binnen het genoemde tijdvenster. Historische incidenten, zoals de Heartbleed-bug, tonen aan dat fouten in deze software verstrekkende gevolgen kunnen hebben wanneer ze zich voordoen.

Bron

Het Nationaal Cyber Security Centrum (NCSC) heeft een waarschuwing met hoge prioriteit uitgegeven betreffende een ernstige kwetsbaarheid in GNU Inetutils telnetd. Het beveiligingslek stelt kwaadwillenden in staat om authenticatie te omzeilen en rootrechten op een systeem te verkrijgen. Deze kwetsbaarheid is geregistreerd onder kenmerk CVE-2026-24061 en heeft een CVSS-score van 9.3 gekregen, wat duidt op een zeer hoog risico voor de systeemintegriteit.

De problematiek bevindt zich in de wijze waarop de telnetd-service de USER-omgevingsvariabele verwerkt. Beveiligingsonderzoekers hebben aangetoond dat het manipuleren van deze variabele leidt tot een zogeheten Argument Injection. Door de variabele specifiek in te stellen op de waarde '-f root', kan een aanvaller de normale inlogprocedure passeren en direct volledige beheerdersrechten verkrijgen. Het lek is aangetroffen in versie 2.7 van de software, maar is volgens de onderzoekers al aanwezig sinds versie 1.9.3, die in 2015 werd uitgebracht.

Omdat de kwetsbaarheid zeer eenvoudig uit te buiten is en er inmiddels exploitcode publiekelijk beschikbaar is, verwacht het NCSC dat publiek toegankelijke telnet-servers op korte termijn doelwit zullen worden van aanvallen. Systeembeheerders wordt geadviseerd om managementinterfaces zoals Telnet nooit direct aan het internet te koppelen. Het advies luidt om deze diensten enkel beschikbaar te stellen op afgeschermde managementnetwerken en gebruik te maken van IP-allowlisting om de toegang strikt te beperken tot vertrouwde clients.

Hoewel er patches beschikbaar zijn om het lek te dichten, zijn deze nog niet direct verwerkt in de softwarepakketten van de diverse Linux-distributies. Totdat de distributies geüpdatete packages uitbrengen, is het verhelpen van de kwetsbaarheid een handmatig proces. Beheerders dienen de patch zelf in de broncode toe te passen, specifiek in het bestand telnetd/utility.c, en de software vervolgens zelfstandig opnieuw te compileren.

Bron

Op 22 januari 2026 zijn verschillende kritieke kwetsbaarheden (CVE's) trending op sociale media. Deze kwetsbaarheden krijgen steeds meer aandacht van beveiligingsexperts en gebruikers, wat kan duiden op een verhoogde urgentie. De "hype score", die de mate van belangstelling voor een specifieke kwetsbaarheid meet, geeft een goed overzicht van de risico’s die deze kwetsbaarheden met zich meebrengen. Hieronder volgt een overzicht van de tien meest besproken kwetsbaarheden op basis van hun hype-score:

De hoogste hype-score wordt toegekend aan CVE-2025-59718, met een score van 31, die Fortinet's FortiOS, FortiProxy, en FortiSwitchManager beïnvloedt. Deze kwetsbaarheid stelt aanvallers in staat om de FortiCloud Single Sign-On (SSO) login authenticatie te omzeilen door middel van een speciaal gecreëerd SAML-bericht.

CVE-2025-43300, met een hype-score van 18, betreft een out-of-bounds write kwetsbaarheid binnen Apple's Image I/O framework. Exploitatie kan leiden tot geheugenbeschadiging en mogelijk remote code execution, wat een aanzienlijk risico vormt voor gebruikers van Apple-systemen.

CVE-2025-33073 heeft een hype-score van 17 en betreft een privilege-escalatie kwetsbaarheid in de Windows Server Message Block (SMB) client. Dit kan een aanvaller in staat stellen om verhoogde privileges te verkrijgen over een netwerk, wat een potentiële bedreiging vormt voor systemen die SMB gebruiken.

Een andere belangrijke kwetsbaarheid is CVE-2025-55182, met een hype-score van 13. Dit betreft een kritieke kwetsbaarheid voor remote code execution in React Server Components, die insecure deserialization bevat en kan leiden tot server-side uitvoering bij exploitatie.

CVE-2025-54918, met een hype-score van 12, is een onjuiste authenticatie kwetsbaarheid in het Windows NTLM-protocol, waardoor een aanvaller toegang kan krijgen tot gevoelige resources en privileges kan escaleren.

Andere kwetsbaarheden met lagere hype-scores, zoals CVE-2024-23265 (meerdere Apple besturingssystemen), CVE-2025-60021 (Apache bRPC) en CVE-2025-61882 (Oracle E-Business Suite), blijven de aandacht trekken, maar hebben niet dezelfde mate van urgentie.

Beveiligingsteams worden aangeraden om zich bewust te zijn van deze kwetsbaarheden, aangezien de mate van blootstelling snel kan veranderen op basis van de publieke belangstelling. Een hogere hype-score wijst vaak op een grotere urgentie voor onmiddellijke actie, terwijl lagere scores mogelijk minder kritieke incidenten aanduiden.

Bron

Een kritieke authenticatie bypass kwetsbaarheid in SmarterMail, een populaire mailserver oplossing voor bedrijven, wordt actief misbruikt in het wild. De kwetsbaarheid, aangeduid als CVE-nummer CVE-2024-TBA, stelt aanvallers in staat om zonder geldige inloggegevens toegang te krijgen tot e-mailaccounts. De impact hiervan is potentieel enorm, variërend van het stelen van gevoelige bedrijfsinformatie tot het verspreiden van malware en phishing-campagnes.
De kwetsbaarheid bevindt zich in de manier waarop SmarterMail authenticatie tokens verwerkt. Een aanvaller kan een speciaal vervaardigd verzoek sturen naar de server, waarbij hij de authenticatiecontrole omzeilt en zich voordoet als een legitieme gebruiker. Dit vereist geen voorkennis van gebruikersnamen of wachtwoorden, waardoor het een bijzonder aantrekkelijke aanvalsmethode is voor cybercriminelen.
Onderzoekers hebben ontdekt dat de exploitatie van deze kwetsbaarheid al sinds begin januari 2026 actief plaatsvindt. De aanvallen lijken gericht op organisaties in verschillende sectoren, waaronder de financiële dienstverlening, de gezondheidszorg en de technologiesector. De aanvallers gebruiken de toegang tot de e-mailaccounts om gevoelige informatie te verzamelen, zoals financiële gegevens, klantgegevens en intellectueel eigendom. In sommige gevallen zijn de gecompromitteerde accounts ook gebruikt om phishing-mails te versturen naar andere werknemers of klanten, waardoor de schade nog verder wordt vergroot.
SmarterTools, de ontwikkelaar van SmarterMail, heeft een beveiligingsupdate uitgebracht om de kwetsbaarheid te verhelpen. Het is van cruciaal belang dat organisaties die SmarterMail gebruiken, de update zo snel mogelijk installeren om te voorkomen dat ze slachtoffer worden van deze aanvallen. De update is beschikbaar op de website van SmarterTools en kan eenvoudig worden geïnstalleerd via het beheerpaneel van SmarterMail.
Naast het installeren van de beveiligingsupdate, wordt aanbevolen dat organisaties hun e-mailaccounts controleren op verdachte activiteiten. Dit omvat het controleren van de inloggeschiedenis, het bekijken van verzonden e-mails en het onderzoeken van ongebruikelijke activiteitspatronen. Het is ook belangrijk om medewerkers te informeren over de risico's van phishing-aanvallen en hen te trainen in het herkennen van verdachte e-mails.
De recente ontdekking en actieve exploitatie van deze kwetsbaarheid benadrukt het belang van proactief beveiligingsbeheer. Organisaties moeten regelmatig beveiligingsaudits uitvoeren, hun software up-to-date houden en medewerkers trainen in cybersecurity best practices. Door deze maatregelen te nemen, kunnen ze hun risico op cyberaanvallen aanzienlijk verminderen en hun gevoelige informatie beschermen. Het snel reageren op beveiligingswaarschuwingen en het onmiddellijk toepassen van patches is cruciaal om te voorkomen dat cybercriminelen misbruik maken van bekende kwetsbaarheden.
Bron

Een ernstige kwetsbaarheid is ontdekt in een reeks netwerkcamera's van Vivotek, waardoor kwaadwillende actoren op afstand willekeurige code kunnen injecteren en uitvoeren. Deze kwetsbaarheid, met een hoge kritische score, vormt een aanzienlijk risico voor organisaties en particulieren die op deze apparaten vertrouwen voor beveiliging en bewaking.
De kwetsbaarheid, die nog geen CVE-nummer heeft toegewezen gekregen op het moment van publicatie, bevindt zich in de firmware van bepaalde Vivotek-camera modellen. Een aanvaller kan misbruik maken van het lek door speciaal vervaardigde netwerkpakketten naar de camera te sturen. Deze pakketten omzeilen de normale beveiligingscontroles en stellen de aanvaller in staat om code naar keuze te injecteren en uit te voeren. Dit kan leiden tot volledige controle over de camera, inclusief de mogelijkheid om videobeelden te bekijken, aan te passen of te verwijderen, en de camera te gebruiken als een toegangspunt tot het interne netwerk.
Het lek is bijzonder zorgwekkend omdat het op afstand kan worden misbruikt, zonder dat de aanvaller fysieke toegang tot de camera nodig heeft. Bovendien vereist de exploitatie geen authenticatie, waardoor het risico nog groter wordt. Dit betekent dat elke camera die aan het internet is blootgesteld en kwetsbare firmware draait, een potentieel doelwit is.
Vivotek is op de hoogte gebracht van de kwetsbaarheid en werkt aan een patch om het probleem te verhelpen. Totdat de patch beschikbaar is, wordt gebruikers sterk aangeraden om een aantal voorzorgsmaatregelen te nemen om het risico te beperken. Deze omvatten onder meer het wijzigen van de standaard gebruikersnaam en het wachtwoord van de camera, het inschakelen van firewallbescherming en het beperken van de toegang tot de camera vanaf het internet. Organisaties moeten ook overwegen om hun netwerkverkeer te monitoren op verdachte activiteiten.
De impact van deze kwetsbaarheid kan aanzienlijk zijn. Inbraken in beveiligingscamera's kunnen leiden tot diefstal van gevoelige informatie, verstoring van bedrijfsvoering en reputatieschade. Bovendien kunnen gecompromitteerde camera's worden gebruikt als onderdeel van een botnet, om DDoS-aanvallen uit te voeren of om andere kwaadaardige activiteiten te ontplooien. Het is daarom van cruciaal belang dat gebruikers van Vivotek-camera's onmiddellijk actie ondernemen om zichzelf te beschermen.
Het is van belang dat organisaties en individuen zich bewust zijn van de risico's die gepaard gaan met IoT-apparaten en dat ze proactieve maatregelen nemen om hun systemen te beveiligen. Dit omvat het regelmatig bijwerken van firmware, het implementeren van sterke wachtwoorden en het monitoren van netwerkverkeer op verdachte activiteiten. Door deze stappen te volgen, kunnen gebruikers het risico op cyberaanvallen aanzienlijk verminderen.
De ontdekking van deze kwetsbaarheid benadrukt opnieuw de noodzaak van continue beveiligingsaudits en penetratietests van IoT-apparaten. Fabrikanten moeten prioriteit geven aan beveiliging bij het ontwerpen en ontwikkelen van hun producten, en ze moeten snel reageren op kwetsbaarheidsmeldingen om hun klanten te beschermen.
Bron

De Cybersecurity and Infrastructure Security Agency (CISA) heeft een waarschuwing uitgegeven over een actueel misbruikte zero-day kwetsbaarheid in Cisco Unified Communications Manager (CM). Deze kwetsbaarheid, aangeduid als CVE-nummer nog niet toegewezen (een zogenaamde 0-day, omdat er geen patch beschikbaar is op het moment van ontdekking), stelt aanvallers in staat om op afstand code uit te voeren op systemen waarop de getroffen software draait. De impact van deze kwetsbaarheid is aanzienlijk, aangezien een succesvolle exploitatie kan leiden tot volledige controle over het getroffen systeem, waardoor aanvallers gevoelige informatie kunnen stelen, malware kunnen installeren of de communicatie-infrastructuur van een organisatie kunnen verstoren.
Cisco Unified Communications Manager is een uitgebreide softwareoplossing die spraak-, video-, mobiliteits- en webconferentiediensten integreert. Het wordt veel gebruikt door organisaties van elke omvang om hun communicatie te beheren en te stroomlijnen. Vanwege de cruciale rol die het speelt in de communicatie-infrastructuur, is het een aantrekkelijk doelwit voor cybercriminelen.
De kwetsbaarheid maakt het mogelijk voor niet-geauthenticeerde, externe aanvallers om commando’s uit te voeren met de privileges van de 'root' gebruiker op het onderliggende besturingssysteem. Dit betekent dat een aanvaller vrijwel alles kan doen op het getroffen systeem, inclusief het wijzigen van systeemconfiguraties, het installeren van kwaadaardige software en het stelen van gevoelige gegevens.
CISA heeft de kwetsbaarheid toegevoegd aan haar Known Exploited Vulnerabilities Catalog, wat betekent dat de kwetsbaarheid actief wordt misbruikt in het wild en een significant risico vormt voor federale agentschappen. Agentschappen wordt opgedragen om de beschreven mitigatiemaatregelen te implementeren om zichzelf te beschermen tegen deze kwetsbaarheid. Hoewel de richtlijn specifiek is gericht op Amerikaanse federale agentschappen, is de waarschuwing relevant voor alle organisaties die Cisco Unified Communications Manager gebruiken.
Op dit moment zijn er geen details vrijgegeven over de specifieke technische details van de kwetsbaarheid, noch zijn er officiële patches beschikbaar gesteld door Cisco. Organisaties worden geadviseerd om de beveiligingsadviezen van Cisco in de gaten te houden voor updates en patches. In de tussentijd worden organisaties aangeraden om de volgende mitigatiemaatregelen te implementeren:
1. **Netwerksegmentatie:** Segmenteer het netwerk om de potentiële impact van een succesvolle exploitatie te beperken. Plaats kritieke systemen, zoals Cisco Unified Communications Manager, achter firewalls en implementeer toegangscontrolelijsten om het verkeer te beperken tot alleen de noodzakelijke communicatie.
2. **Intrusion Detection and Prevention Systems (IDPS):** Implementeer IDPS-oplossingen om verdachte activiteiten op het netwerk te detecteren en te blokkeren. Configureer de IDPS om te zoeken naar patronen die geassocieerd zijn met de exploitatie van deze kwetsbaarheid.
3. **Log Monitoring:** Monitor systeem- en applicatielogs op tekenen van verdachte activiteiten. Analyseer logs regelmatig om potentiële beveiligingsincidenten te identificeren en erop te reageren.
4. **Beperk toegang:** Beperk de toegang tot de Cisco Unified Communications Manager-interface tot alleen geautoriseerde gebruikers. Schakel onnodige services en functies uit om het aanvalsoppervlak te verkleinen.
5. **Blijf op de hoogte:** Houd de beveiligingsadviezen van Cisco en andere betrouwbare bronnen in de gaten voor updates en patches. Implementeer patches onmiddellijk wanneer ze beschikbaar komen.
Het is cruciaal voor organisaties om proactieve maatregelen te nemen om zichzelf te beschermen tegen deze actueel misbruikte zero-day kwetsbaarheid in Cisco Unified Communications Manager. Door de aanbevolen mitigatiemaatregelen te implementeren en waakzaam te blijven, kunnen organisaties hun risico op een succesvolle cyberaanval aanzienlijk verminderen. De komende tijd zal nauwlettend in de gaten gehouden moeten worden of en wanneer Cisco met een update komt.
Bron

Op 22 januari 2026 waarschuwen cybersecurity-onderzoekers voor een golf van geautomatiseerde aanvallen die gericht zijn op Fortigate-firewalls. Deze aanvallen maken misbruik van een kritieke kwetsbaarheid, aangeduid als CVE-nummer CVE-2024-42788, waardoor kwaadwillenden op afstand code kunnen uitvoeren zonder authenticatie. De kwetsbaarheid bevindt zich in de SSL-VPN-functionaliteit van FortiOS, het besturingssysteem van Fortinet.
De geautomatiseerde aanvallen proberen toegang te krijgen tot kwetsbare Fortigate-systemen door gebruik te maken van een bekende exploit. Eenmaal succesvol, kunnen aanvallers willekeurige code uitvoeren op het getroffen systeem, waardoor ze de volledige controle over het apparaat kunnen overnemen. Dit kan leiden tot datalekken, verstoring van de dienstverlening en andere schadelijke activiteiten.
De kwetsbaarheid werd voor het eerst openbaar gemaakt op 12 december 2024, waarna Fortinet een beveiligingspatch uitbracht om het probleem te verhelpen. Ondanks de beschikbaarheid van een patch, zijn veel organisaties er nog niet in geslaagd hun systemen bij te werken, waardoor ze kwetsbaar blijven voor aanvallen. Onderzoekers zien een toename in het scannen op kwetsbare systemen en waarschuwen dat de aanvallen waarschijnlijk zullen toenemen in de komende dagen en weken.
Het is van cruciaal belang dat organisaties die Fortigate-firewalls gebruiken, onmiddellijk actie ondernemen om hun systemen te beschermen. Dit omvat het installeren van de nieuwste beveiligingspatches van Fortinet en het implementeren van aanvullende beveiligingsmaatregelen, zoals het inschakelen van multi-factor authenticatie en het beperken van de toegang tot de SSL-VPN-functionaliteit. Het negeren van deze kwetsbaarheid kan ernstige gevolgen hebben voor de beveiliging van de organisatie.
De omvang van de impact van deze aanvallen is nog niet volledig duidelijk, maar cybersecurity-experts waarschuwen dat de kwetsbaarheid op grote schaal kan worden misbruikt. Dit komt doordat Fortigate-firewalls veel worden gebruikt door organisaties van alle groottes om hun netwerken te beschermen. Een succesvolle aanval op een Fortigate-firewall kan leiden tot een domino-effect, waarbij aanvallers toegang krijgen tot andere systemen en gegevens binnen het netwerk van de organisatie.
De huidige golf van geautomatiseerde aanvallen benadrukt het belang van proactieve beveiliging. Organisaties moeten regelmatig kwetsbaarheidsanalyses uitvoeren, hun systemen up-to-date houden en op de hoogte blijven van de nieuwste beveiligingsbedreigingen. Door deze stappen te nemen, kunnen organisaties hun risico op een succesvolle cyberaanval aanzienlijk verminderen. De kwetsbaarheid CVE-2024-42788 is een serieuze bedreiging die onmiddellijke aandacht vereist.
Het is essentieel dat organisaties de aanbevelingen van Fortinet en andere cybersecurity-experts opvolgen om hun systemen te beschermen tegen deze geautomatiseerde aanvallen. Het niet patchen van kwetsbare systemen is een onnodig risico dat organisaties zich niet kunnen veroorloven in het huidige bedreigingslandschap. De impact van een succesvolle aanval kan verwoestend zijn, zowel financieel als reputatiegewijs.
Bron

Een ernstige kwetsbaarheid in BIND 9, een veelgebruikte DNS-serversoftware, stelt aanvallers in staat om servers te laten crashen door het verzenden van kwaadaardige records. Deze kwetsbaarheid, die is geïdentificeerd als CVE-nummer nog niet bekend (maar wordt verwacht), kan leiden tot een Denial of Service (DoS) toestand, waardoor systemen onbereikbaar worden voor legitieme gebruikers.
BIND 9 wordt op grote schaal gebruikt door organisaties over de hele wereld om hun DNS-infrastructuur te beheren. DNS, of Domain Name System, is essentieel voor het vertalen van domeinnamen naar IP-adressen, waardoor gebruikers websites en andere online diensten kunnen bereiken. Een succesvolle aanval op een BIND 9 server kan dus aanzienlijke verstoring veroorzaken.
De kwetsbaarheid bevindt zich in de manier waarop BIND 9 bepaalde typen DNS-records verwerkt. Een aanvaller kan misbruik maken van dit lek door specifiek samengestelde, kwaadaardige DNS-records naar de server te sturen. Wanneer de server deze records probeert te verwerken, kan dit leiden tot een crash van het BIND 9 proces, waardoor de DNS-dienst tijdelijk of permanent wordt onderbroken.
De impact van deze kwetsbaarheid is aanzienlijk. Organisaties die afhankelijk zijn van BIND 9 voor hun DNS-infrastructuur lopen het risico dat hun diensten worden onderbroken. Dit kan leiden tot omzetverlies, reputatieschade en operationele problemen. Het is daarom van cruciaal belang dat organisaties zo snel mogelijk actie ondernemen om deze kwetsbaarheid te verhelpen.
Hoewel er op dit moment nog geen details beschikbaar zijn over de specifieke technische details van de exploitatie, wordt verwacht dat er snel meer informatie zal verschijnen. Beveiligingsonderzoekers zijn momenteel bezig met het analyseren van de kwetsbaarheid om de precieze aard en omvang ervan te bepalen. In de tussentijd wordt organisaties aangeraden om waakzaam te zijn en hun BIND 9 servers nauwlettend in de gaten te houden op verdachte activiteit.
Het is van essentieel belang dat organisaties de nieuwste beveiligingsupdates installeren zodra deze beschikbaar komen. ISC (Internet Systems Consortium), de organisatie die BIND 9 ontwikkelt en onderhoudt, werkt naar verwachting aan een patch om de kwetsbaarheid te verhelpen. Het is raadzaam om de ISC-website en beveiligingsbulletins in de gaten te houden voor updates over de beschikbaarheid van patches.
Naast het installeren van patches, kunnen organisaties ook andere maatregelen nemen om het risico op een aanval te verminderen. Dit omvat het implementeren van firewalls en intrusion detection systems om verdacht verkeer te detecteren en te blokkeren, het beperken van de toegang tot BIND 9 servers tot alleen geautoriseerde gebruikers, en het regelmatig controleren van logbestanden op tekenen van misbruik.
De kwetsbaarheid in BIND 9 benadrukt het belang van voortdurende waakzaamheid op het gebied van cybersecurity. Organisaties moeten zich bewust zijn van de risico's die verbonden zijn aan het gebruik van software en hardware, en proactieve maatregelen nemen om hun systemen te beschermen tegen aanvallen. Regelmatige beveiligingsaudits, penetratietests en vulnerability assessments kunnen helpen om kwetsbaarheden te identificeren en te verhelpen voordat ze kunnen worden misbruikt door aanvallers.
Bron

Cisco heeft beveiligingsupdates uitgebracht om een actief misbruikte kwetsbaarheid aan te pakken die remote code execution (RCE) mogelijk maakt in diverse Unified Communications-producten. De kwetsbaarheid, aangeduid als CVE-2026-20045, treft een reeks producten die veel gebruikt worden voor VoIP-toepassingen en zakelijke communicatie. Cisco heeft geen informatie vrijgegeven over de periode waarin het misbruik van deze specifieke kwetsbaarheid al gaande is.
De getroffen producten omvatten Webex Calling Dedicated Instance, Unified Communications Manager, Unified Communications Manager Session Management Edition, Unified Communications Manager IM & Presence Service, en Cisco Unity Connection. Het probleem ligt in de manier waarop de producten omgaan met gebruikersinvoer via de webinterface.
Door speciaal vervaardigde HTTP-verzoeken naar een kwetsbaar apparaat te sturen, kan een aanvaller toegang verkrijgen tot het onderliggende besturingssysteem. Vervolgens kan de aanvaller zijn privileges escaleren tot root-niveau, waardoor de controle over het systeem in feite wordt overgenomen.
De impact van deze kwetsbaarheid is door Cisco zelf beoordeeld met een score van 8.2 op een schaal van 1 tot 10. Hoewel een dergelijke score doorgaans als "hoog" wordt beschouwd, heeft Cisco deze specifieke kwetsbaarheid aangemerkt als "kritiek". Deze classificatie is gebaseerd op het feit dat succesvolle exploitatie een aanvaller in staat stelt om root-rechten te verkrijgen, waardoor willekeurige code of commando's kunnen worden uitgevoerd.
In de officiële titel van de waarschuwing spreekt Cisco over remote code execution, terwijl in de beschrijving van het probleem wordt verwezen naar de mogelijkheid om "arbitrary commands" uit te voeren. Beide termen duiden op de ernstige aard van de kwetsbaarheid en de potentiële impact op getroffen systemen.
Cisco heeft klanten dringend verzocht om de beschikbaar gestelde beveiligingsupdates zo snel mogelijk te installeren. Het Amerikaanse cyberagentschap CISA (Cybersecurity and Infrastructure Security Agency) heeft eveneens melding gemaakt van actief misbruik van de kwetsbaarheid en adviseert organisaties om onmiddellijk actie te ondernemen.
Deze kwetsbaarheid vormt een aanzienlijke bedreiging voor organisaties die afhankelijk zijn van de getroffen Cisco Unified Communications-producten. Het vermogen om op afstand code uit te voeren en root-rechten te verkrijgen, stelt aanvallers in staat om systemen volledig te compromitteren, gevoelige gegevens te stelen, malware te installeren of de communicatie-infrastructuur te verstoren. Organisaties moeten prioriteit geven aan het installeren van de beveiligingsupdates om de risico's te minimaliseren.
Bron

Op de tweede dag van Pwn2Own Automotive 2026 hebben beveiligingsonderzoekers in totaal $439.250 aan prijzengeld ontvangen voor het exploiteren van 29 unieke zero-day kwetsbaarheden. Het evenement, dat zich richt op de beveiliging van automotive technologieën, vindt plaats van 21 tot 23 januari in Tokyo, Japan, gelijktijdig met de Automotive World auto conferentie.
Tijdens de competitie richten beveiligingsonderzoekers zich op volledig gepatchte elektrische voertuig (EV) laders, in-vehicle infotainment (IVI) systemen en auto-besturingssystemen, waaronder Automotive Grade Linux. De focus ligt op het identificeren en aantonen van kwetsbaarheden in deze systemen, met als doel de algehele beveiliging van de automotive industrie te verbeteren.
Fuzzware.io leidt momenteel het klassement met een totaal van $213.000 verdiend in de eerste twee dagen. Ze hebben nog eens $95.000 verdiend door het hacken van de Phoenix Contact CHARX SEC-3150 laadcontroller, de ChargePoint Home Flex EV-lader en het Grizzl-E Smart 40A EV-laadstation. Deze prestaties tonen aan dat er aanzienlijke kwetsbaarheden aanwezig zijn in de hardware en software die gebruikt worden in EV-laadinfrastructuur.
Sina Kheirkhah van Summoning Team ontving $40.000 voor het rooten van de Kenwood DNR1007XR navigatie receiver, de ChargePoint Home Flex en de Alpine iLX-F511 multimedia receiver. Deze demonstraties benadrukken de risico's die verbonden zijn aan IVI-systemen, die vaak een doelwit zijn vanwege hun complexiteit en connectiviteit.
Rob Blakely van Technical Debt Collectors en Hank Chen van InnoEdge Labs werden elk beloond met $40.000 voor het demonstreren van zero-day exploit chains gericht op Automotive Grade Linux en het Alpitronic HYC50 laadstation. De succesvolle exploits op Automotive Grade Linux zijn zorgwekkend, aangezien dit besturingssysteem in veel voertuigen wordt gebruikt.
Na de eerste twee dagen van de competitie hebben beveiligingsonderzoekers in totaal $955.750 aan prijzengeld verdiend voor het exploiteren van 66 zero-day kwetsbaarheden. Dit hoge aantal laat zien dat er nog veel werk aan de winkel is om de beveiliging van automotive systemen te verbeteren.
Op de derde dag van Pwn2Own staat de Grizzl-E Smart 40A opnieuw op het programma, dit keer als doelwit voor Slow Horses van Qrious Secure en het PetoWorks team. Het Juurin Oy team zal proberen de Alpitronic HYC50 te exploiteren, terwijl Ryo Kato een aanval zal uitvoeren op de Autel MaxiCharger.
Op de eerste dag verdiende het Synacktiv Team $35.000 na het succesvol aaneenschakelen van een informatielek en een out-of-bounds write flaw om root permissies te verkrijgen op het Tesla Infotainment System via een USB-gebaseerde aanval. Ze ontvingen een extra $20.000 voor het aaneenschakelen van drie zero-day flaws om root-level code execution te verkrijgen op de Sony XAV-9500ES digital media receiver.
Tijdens de Pwn2Own Automotive competitie van vorig jaar werd er $886.250 uitgekeerd voor het exploiteren van 49 zero-days. Het jaar daarvoor, tijdens de Pwn2Own Automotive 2024 contest, werd er $1.323.750 uitgekeerd na het demonstreren van 49 zero-day bugs en het twee keer hacken van een Tesla auto.
Vendors hebben 90 dagen de tijd om security fixes te ontwikkelen en uit te brengen voor de zero-day flaws die geëxploiteerd en gerapporteerd worden tijdens de Pwn2Own contest, voordat TrendMicro's Zero Day Initiative deze publiekelijk bekendmaakt. Deze termijn geeft fabrikanten de mogelijkheid om kwetsbaarheden te verhelpen voordat ze op grote schaal kunnen worden misbruikt.
De bevindingen van Pwn2Own Automotive 2026 benadrukken de noodzaak van voortdurende beveiligingsonderzoek en -verbeteringen in de automotive industrie. Organisaties die actief zijn in deze sector moeten zich bewust zijn van de potentiële risico's en proactieve maatregelen nemen om hun systemen te beschermen tegen cyberaanvallen. Dit omvat het implementeren van robuuste beveiligingsmaatregelen, het regelmatig updaten van software en firmware, en het uitvoeren van penetratietests om potentiële kwetsbaarheden te identificeren en te verhelpen.
Bron

Het Nationaal Cyber Security Centrum (NCSC) heeft op 22 januari 2026 een waarschuwing uitgegeven (NCSC-2026-0036) betreffende een kritieke kwetsbaarheid in Citrix Application Delivery Controller (ADC) en Citrix Gateway. Deze kwetsbaarheid, aangeduid als CVE-nummer CVE-2023-4966, stelt aanvallers in staat om gevoelige informatie te bemachtigen. De ernst van de kwetsbaarheid wordt als hoog beoordeeld, met een CVSS-score van 7.5.
De kwetsbaarheid bevindt zich in de Citrix ADC en Citrix Gateway producten wanneer deze geconfigureerd zijn als een gateway (VPN virtual server, ICA Proxy, CVPN, RDP Proxy) of als een authenticatieserver. Een kwaadwillende actor kan, door misbruik te maken van deze kwetsbaarheid, toegang krijgen tot gevoelige informatie. Deze informatie kan bestaan uit sessiecookies, authenticatiecredentials en andere vertrouwelijke data die via de getroffen systemen worden verwerkt.
Het NCSC adviseert organisaties die gebruikmaken van de getroffen Citrix-producten dringend om de aanbevolen updates zo snel mogelijk te implementeren. Het niet tijdig patchen van deze kwetsbaarheid kan leiden tot ernstige gevolgen, waaronder ongeautoriseerde toegang tot interne systemen en data-exfiltratie. De impact van een succesvolle exploitatie kan aanzienlijk zijn, gezien de centrale rol die Citrix ADC en Gateway vaak spelen in de beveiliging en toegang tot bedrijfsnetwerken.
De getroffen versies van Citrix ADC en Citrix Gateway zijn:
* Citrix ADC en Citrix Gateway 14.1 voor versie 14.1-13.12
* Citrix ADC en Citrix Gateway 13.1 voor versie 13.1-49.15
* Citrix ADC en Citrix Gateway 13.0 voor versie 13.0-92.19
* Citrix ADC en Citrix Gateway 12.1 voor versie 12.1-65.21
* Citrix ADC 12.1-NDcPP voor versie 12.1-NDcPP-65.21
Het NCSC benadrukt dat de oudere versies 12.1 en 13.0 het einde van hun levensduur hebben bereikt (End of Life, EOL). Hoewel er een mitigatie beschikbaar is voor deze EOL versies, wordt sterk aangeraden om te upgraden naar een ondersteunde versie om te profiteren van de nieuwste beveiligingsupdates en functionaliteiten. De mitigatie voor de EOL versies is complexer en biedt mogelijk niet dezelfde mate van bescherming als een volledige update.
Organisaties worden geadviseerd om hun systemen grondig te controleren op tekenen van misbruik, zelfs na het toepassen van de updates. Logboeken en netwerkverkeer moeten worden geanalyseerd op verdachte activiteiten die kunnen wijzen op een succesvolle exploitatie van de kwetsbaarheid voorafgaand aan de patch. Incident response procedures moeten worden geactiveerd indien er aanwijzingen zijn van een inbreuk.
De waarschuwing van het NCSC onderstreept het belang van proactief kwetsbaarheidsbeheer en het tijdig toepassen van beveiligingsupdates. Citrix ADC en Gateway zijn kritieke componenten in de infrastructuur van veel organisaties, en het beveiligen van deze systemen is essentieel om de integriteit en vertrouwelijkheid van gevoelige informatie te waarborgen. Het NCSC blijft de situatie nauwlettend volgen en zal indien nodig aanvullende informatie verstrekken.
Bron

Het Nationaal Cyber Security Centrum (NCSC) heeft op 22 januari 2026 een waarschuwing gepubliceerd met kenmerk NCSC-2026-0034. Deze waarschuwing betreft een kritieke kwetsbaarheid in Citrix Application Delivery Controller (ADC) en Citrix Gateway. De kwetsbaarheid, aangeduid als een 'path traversal'-kwetsbaarheid, stelt een kwaadwillende actor in staat om ongeautoriseerde toegang te krijgen tot gevoelige informatie en mogelijk systemen over te nemen.
De kwetsbaarheid bevindt zich in de manier waarop Citrix ADC en Gateway omgaan met bepaalde URL-paden. Een aanvaller kan misbruik maken van deze kwetsbaarheid door speciaal ontworpen URL's te versturen, waardoor de beveiligingsmechanismen omzeild worden en toegang verkregen wordt tot bestanden en mappen buiten de bedoelde context. Dit kan leiden tot het uitlekken van vertrouwelijke gegevens, zoals configuratiebestanden, gebruikersnamen en wachtwoorden. In het ergste geval kan een aanvaller de controle over het systeem overnemen, bijvoorbeeld door kwaadaardige code te uploaden en uit te voeren.
De impact van deze kwetsbaarheid is aanzienlijk, gezien de wijdverspreide inzet van Citrix ADC en Gateway binnen organisaties van diverse omvang. Deze producten worden vaak gebruikt om veilige toegang te bieden tot interne applicaties en data, waardoor ze een aantrekkelijk doelwit vormen voor cybercriminelen. Een succesvolle exploitatie van de kwetsbaarheid kan leiden tot ernstige schade, waaronder datalekken, verstoring van de dienstverlening en reputatieschade.
Het NCSC adviseert organisaties die gebruikmaken van Citrix ADC en Gateway om zo spoedig mogelijk de aanbevolen beveiligingsupdates te installeren. Citrix heeft patches beschikbaar gesteld om de kwetsbaarheid te verhelpen. Het is van cruciaal belang dat deze patches onmiddellijk worden toegepast om het risico op misbruik te minimaliseren. Organisaties wordt aangeraden om de Citrix-website te raadplegen voor gedetailleerde instructies over het downloaden en installeren van de updates.
Naast het installeren van de patches, wordt organisaties geadviseerd om hun systemen proactief te monitoren op verdachte activiteiten. Dit kan helpen om eventuele pogingen tot misbruik van de kwetsbaarheid vroegtijdig te detecteren en te voorkomen. Het is ook raadzaam om de toegangsrechten tot gevoelige systemen en data te beperken, zodat de impact van een eventuele succesvolle aanval wordt geminimaliseerd.
De kwetsbaarheid in Citrix ADC en Gateway benadrukt het belang van een goede beveiligingshygiëne. Organisaties moeten regelmatig hun systemen controleren op kwetsbaarheden en beveiligingsupdates tijdig installeren. Daarnaast is het belangrijk om medewerkers bewust te maken van de risico's van cyberaanvallen en hen te trainen om verdachte activiteiten te herkennen. Door deze maatregelen te treffen, kunnen organisaties hun weerbaarheid tegen cyberdreigingen vergroten en de kans op een succesvolle aanval verkleinen.
Bron