Kwetsbaarheden en CVE’s voor Nederland en België
Actueel overzicht van kritieke softwarekwetsbaarheden, actief misbruikte CVE’s en beveiligingsupdates die relevant zijn voor organisaties in Nederland en België.
Kritieke software kwetsbaarheden, actief misbruikte CVE's en beveiligingsupdates voor NL en BE organisaties.
Actuele kwetsbaarheden en CVE’s
De focus ligt op kwetsbaarheden die actief worden misbruikt, breed worden toegepast of relevant zijn voor organisaties in Nederland en België.
3.0 Kwetsbaarheden:
01 juni 2026 | Kritieke kwetsbaarheid in WP Maps Pro plugin maakt aanmaken beheerdersaccounts mogelijk
Hackers richten zich actief op WordPress websites die kwetsbare versies van de WP Maps Pro plugin gebruiken. Een kritieke kwetsbaarheid, aangeduid als CVE-2026-8732, stelt aanvallers in staat om zonder authenticatie malafide beheerdersaccounts aan te maken. Deze kwetsbaarheid is aanwezig in WP Maps Pro versies 6.1.0 en ouder.
De kwetsbaarheid werd ontdekt en gerapporteerd door securityonderzoeker David Brown. WP Maps Pro is een premium WordPress plugin die gebruikt wordt voor het bouwen van interactieve en aanpasbare kaarten en locatiezoekers. De plugin ondersteunt diverse kaartproviders, waaronder Google Maps en OpenStreetMap, en wordt veel toegepast door bedrijven, vastgoedwebsites, reiswebsites en organisaties die meerdere locaties op een kaart willen weergeven. Er zijn meer dan 15.800 verkopen geregistreerd op de Envato Markt.
De oorzaak van CVE-2026-8732 ligt in een "tijdelijke toegang"-functie binnen de plugin, die oorspronkelijk bedoeld was om ondersteunend personeel van de leverancier toegang te geven tot klantensites voor probleemoplossing. Brown ontdekte dat het AJAX eindpunt dat voor deze functie werd gebruikt, toegankelijk was voor ongeauthenticeerde gebruikers. De beveiliging hiervan was gebaseerd op een publiek blootgestelde noncecontrole in frontend JavaScript, wat de bescherming ineffectief maakte.
Dit gebrek aan beveiliging maakt het mogelijk om een specifiek geconstrueerd verzoek te versturen. Dit verzoek activeert code die een nieuwe WordPress gebruiker aanmaakt, deze de beheerdersrol toewijst, een inlogpagina zonder wachtwoord genereert en deze naar een extern systeem stuurt. Zodra de aanvaller deze URL bezoekt, wordt deze automatisch geauthenticeerd voor het nieuw aangemaakte beheerdersaccount, zonder dat een wachtwoord of andere verificatie vereist is.
Onderzoekers van het WordPress securitybedrijf Defiant hebben waargenomen dat dreigingsactoren proberen misbruik te maken van deze kwetsbaarheid. Zij hebben in de afgelopen 24 uur meer dan 3.600 pogingen geblokkeerd. Met beheerdersrechten op een website kunnen aanvallers persistente backdoors injecteren, inhoud wijzigen, toegang krijgen tot privégegevens, webshells implementeren, kwaadaardige plugins installeren en de gehele website overnemen.
Volgens de onderzoekers van Wordfence wordt, wanneer het verzoek wordt gedaan met de parameter `check_temp` ingesteld op `false`, een nieuwe WordPress gebruiker aangemaakt via `wp_insert_user()` met de vastgelegde rol van beheerder, een willekeurig gegenereerde gebruikersnaam en het vaste e-mailadres `support@flippercode.com`. Vervolgens genereert de functie een "magic login URL" met `generate_login_link()`, slaat deze op als gebruikersmetadata en retourneert deze in de respons.
Brown rapporteerde de kwetsbaarheid op 24 maart aan Wordfence, waarna de leverancier op 16 mei werd geïnformeerd na validatie van de exploit. Op 20 mei werd WP Maps Pro versie 6.1.1 uitgebracht, die de fix voor CVE-2026-8732 bevat. Websitebeheerders wordt dringend aangeraden hun plugins zo snel mogelijk bij te werken, aangezien kwaadaardige activiteit reeds is waargenomen.
Bron: Wordfence
02 juni 2026 | Google waarschuwt voor actief misbruikt beveiligingslek in Androidtelefoons
Google heeft een waarschuwing uitgegeven voor een actief misbruikte kwetsbaarheid in Android telefoons, en heeft hiervoor de benodigde updates beschikbaar gesteld. Naast deze urgentie zijn er ook patches verschenen voor twee andere kritieke beveiligingslekken. Een van deze lekken maakt het mogelijk voor een aanvaller om op afstand de rechten te verhogen, terwijl het andere kan leiden tot een permanente denial of service. Het is echter een zorgwekkende constatering dat een aanzienlijk deel van de Android telefoons deze essentiële updates waarschijnlijk niet zal ontvangen.
De kwetsbaarheid die momenteel actief wordt aangevallen, aangeduid als CVE-2025-48595, bevindt zich in het Android Framework. Dit lek stelt een aanvaller die al toegang heeft tot het apparaat in staat om diens rechten te verhogen. Initiële toegang kan bijvoorbeeld worden verkregen via de installatie van een malafide app door de gebruiker, of door misbruik te maken van een ander beveiligingslek dat remote code execution mogelijk maakt. Google heeft geen verdere details verstrekt over de specifieke methoden die aanvallers gebruiken of de context van de aanvallen waarin dit lek wordt ingezet.
Naast de reeds misbruikte kwetsbaarheid vestigt Google de aandacht op twee andere ernstige Android-lekken. Het meest kritieke probleem is volgens Google CVE-2025-65018. Deze kwetsbaarheid maakt "remote escalation of privilege" mogelijk, wat betekent dat een aanvaller zijn rechten op afstand kan verhogen zonder dat daarvoor aanvullende rechten of interactie van de gebruiker nodig is. Ook hier heeft Google niet nader toegelicht in welke context dit plaatsvindt of wat de precieze gevolgen zijn van deze privilege-escalatie.
Doorgaans worden kwetsbaarheden die leiden tot privilege-escalatie niet als kritiek beoordeeld. Hetzelfde geldt vaak voor lekken die een denial of service (DoS) kunnen veroorzaken. Echter, CVE-2025-64720, een DoS-lek, is door Google wel als kritiek geclassificeerd. Deze beoordeling wordt alleen gebruikt voor beveiligingslekken die een 'permanente denial of service' teweegbrengen, waarbij de enige oplossing het opnieuw installeren van het gehele besturingssysteem of een fabrieksreset is. Verdere specifieke details over dit lek zijn eveneens niet door Google openbaar gemaakt.
De updates die deze kwetsbaarheden verhelpen, resulteren in patchniveaus van '2026-06-01' of '2026-06-05'. Deze patches zijn beschikbaar gesteld voor Android versies 14, 15, 16 en 16-qpr2. Fabrikanten van Android-toestellen zijn ten minste een maand geleden over deze verholpen kwetsbaarheden ingelicht, wat hen de tijd gaf om updates te ontwikkelen. Desondanks zullen niet alle Android-toestellen de updates ontvangen, aangezien sommige modellen niet langer door de fabrikant worden ondersteund of updates op een later tijdstip worden uitgerold. Google maakte recentelijk bekend dat maar liefst 40 procent van de Android telefoons geen updates meer ontvangt, wat een significant risico vormt voor gebruikers.
Bron: source.android.com
02 juni 2026 | Kritieke kwetsbaarheid in MCP Toolbox maakt toegang tot bedrijfsdatabases mogelijk
Een recent onthulde kwetsbaarheid, bijgehouden als CVE-2026-9739, veroorzaakt groeiende bezorgdheid binnen bedrijfsomgevingen die gebruikmaken van MCP Toolbox. Deze zorg is bijzonder relevant voor systemen die Server-Sent Events (SSE) inzetten voor databaseconnectiviteit. De kwetsbaarheid, die momenteel wacht op NVD-verrijking, stelt aanvallers in staat om een DNS-rebindingzwakte te misbruiken, wat kan leiden tot ongeautoriseerde toegang tot backendsystemen.
Beveiligingsonderzoekers hebben vastgesteld dat het probleem voortkomt uit een verkeerd geconfigureerd cross-origin beleid binnen de SSE-implementatie van MCP Toolbox. Ondanks eerdere inspanningen om strengere origin-controles af te dwingen tijdens de bètafase, bleef een cruciale beveiligingsheader te permissief, waardoor systemen kwetsbaar werden voor aanvallen over verschillende domeinen.
De kwetsbaarheid is geclassificeerd onder CWE-942 (Permissive Cross-domain Policy with Untrusted Domains). Deze ontstaat doordat een hardgecodeerde HTTP-antwoordheader de Access-Control-Allow-Origin instelt op een wildcardwaarde. Deze configuratie staat elk extern domein toe om interactie aan te gaan met het SSE-eindpunt, wat de beoogde origin-beperkingen effectief omzeilt. Hoewel ontwikkelaars beveiligingsvlaggen zoals 'allowed-origins' en 'allowed-hosts' introduceerden, werden deze controles tenietgedaan door het wildcardbeleid. Het probleem treft specifiek omgevingen die MCP Toolbox draaien met SSE ingeschakeld onder de v2024-11-05-specificatie, vooral wanneer enterprise databaseconnectoren via SSE-eindpunten worden blootgesteld.
Aanvallers kunnen DNS-rebindingtechnieken gebruiken om de browser van een slachtoffer te misleiden, zodat deze geauthenticeerde verzoeken naar interne MCP Toolbox-diensten stuurt. Door de permissieve cross-origin resource sharing configuratie staat de browser interactie met deze interne eindpunten toe. Dit stelt de aanvaller uiteindelijk in staat om indirecte toegang te verkrijgen tot enterprise databaseconnectoren. Deze vorm van aanval is bijzonder gevaarlijk in cloud- en hybride omgevingen waar interne diensten toegankelijk zijn via webinterfaces, wat het aanvalsoppervlak aanzienlijk vergroot.
CVE-2026-9739 is gecategoriseerd als een DNS-rebindingkwetsbaarheid veroorzaakt door CORS-misconfiguratie en is gekoppeld aan CWE-942. De getroffen component is de MCP Toolbox SSE-handler en de primaire impact is ongeautoriseerde toegang tot interne diensten. Een CVSS-score is nog niet toegekend, aangezien de NVD-beoordeling nog in behandeling is.
Ontwikkelaars hebben de kwetsbaarheid in recente updates aangepakt door de wildcard origin-header te verwijderen en strikte origin-validatie af te dwingen. Organisaties wordt dringend geadviseerd om MCP Toolbox te upgraden naar de nieuwste gepatchte versie en permissieve CORS-beleidsregels in productieomgevingen te vermijden. Essentiële verdedigingsmaatregelen omvatten het beperken van toegestane origins tot vertrouwde domeinen, het uitschakelen van onnodige SSE-eindpunten en het monitoren van netwerkverkeer op ongewone interne verzoeken. Beveiligingsteams moeten ook hun implementaties controleren om blootgestelde SSE-eindpunten te identificeren en ervoor te zorgen dat de juiste toegangscontrolemechanismen aanwezig zijn. De kwetsbaarheid werd publiekelijk onthuld via GitHub-issue #3053 en opgelost in pullrequest #3054 binnen de officiële MCP Toolbox-repository. Dit incident benadrukt hoe verkeerd geconfigureerde cross-origin beleidsregels in moderne streamingtechnologieën, zoals SSE, kritieke beveiligingsrisico's kunnen introduceren indien deze niet correct beveiligd zijn.
Bron: MCP Toolbox | Bron 2: nvd.nist.gov
03 juni 2026 | Kritiek lek in WordPress plug-in Kirki maakt tienduizenden sites kwetsbaar voor overname
Tienduizenden WordPress-websites lopen momenteel gevaar om volledig te worden overgenomen als gevolg van een kritieke kwetsbaarheid in de populaire plug-in Kirki. Hoewel de ontwikkelaars op 18 mei een beveiligingsupdate hebben uitgebracht, hebben veel beheerders deze patch nog niet geïnstalleerd, waardoor hun sites kwetsbaar blijven. Kirki, een 'freeform visual builder' die wordt gebruikt voor het vormgeven en opzetten van WordPress-sites, is actief op meer dan een half miljoen websites.
De kwetsbaarheid, beschreven als een kritieke logicafout, stelt aanvallers in staat om relatief eenvoudig de accounts van beheerders en andere gebruikers over te nemen. Het probleem bevindt zich in de functionaliteit voor het opnieuw instellen van wachtwoorden. Wanneer een gebruiker zijn gebruikersnaam of e-mailadres opgeeft voor een wachtwoordreset, zoekt de plug-in het bijbehorende account en genereert een sleutel om het wachtwoord te resetten. De resetlink zou vervolgens naar het e-mailadres van de gebruiker in de database moeten worden gestuurd.
De logicafout zorgt er echter voor dat de plug-in niet het e-mailadres uit de database gebruikt, maar het e-mailadres dat door de aanvaller is opgegeven in het 'forgot password request'. Dit betekent dat een aanvaller, door simpelweg een geldige gebruikersnaam (zoals die van de beheerder) op te geven en zijn eigen e-mailadres in te vullen, de resetlink voor het admin-account kan ontvangen. Zodra de aanvaller toegang heeft tot deze resetlink, kan deze het wachtwoord van de beheerder wijzigen en daarmee de volledige controle over de website verkrijgen.
Securitybedrijf Wordfence meldt dat de ontwikkelaars van Kirki op 15 mei van de kwetsbaarheid op de hoogte werden gesteld en drie dagen later, op 18 mei, versie 6.0.7 van de plug-in publiceerden. De releasenotes voor deze versie bevatten de vermelding: "Fix: Unauthenticated Privilege Escalation via ‘handle_forgot_password’". Het lek treft specifiek Kirki versies 6.0 tot en met 6.0.6. Volgens gegevens van WordPress.org draaien ongeveer 200.000 websites op versie 6.x van de plug-in, en tienduizenden van deze sites hebben de noodzakelijke update nog niet geïnstalleerd, waardoor zij een aanzienlijk risico lopen op een cyberaanval.
Bron: Wordfence
03 juni 2026 | Kritieke kwetsbaarheid in KMW CCTV camera's maakt ongeautoriseerde toegang mogelijk
Een ernstige beveiligingsfout in KMW CCTV beveiligingscamera's stelt aanvallers in staat om volledige, ongeautoriseerde toegang te verkrijgen tot live camerabeelden en apparaatinstellingen. De kwetsbaarheid, aangeduid als CVE-2026-5386, heeft een hoge CVSS v3 score van 9.1 gekregen, wat de ernstige impact ervan op organisaties die afhankelijk zijn van deze bewakingssystemen benadrukt.
Het probleem komt voort uit een zwakte genaamd "unverified password change" in de getroffen apparaten. Deze zwakte stelt externe aanvallers in staat om authenticatiegegevens te wijzigen zonder de juiste validatie. Eenmaal misbruikt, kunnen dreigingsactoren de controle over de camera overnemen, real-time videostreams bekijken, configuraties aanpassen, of potentieel bewakingsoperaties volledig uitschakelen. Dit creëert aanzienlijke security risico's, vooral in gevoelige omgevingen waar CCTV systemen een cruciale rol spelen in monitoring en veiligheid.
De kwetsbaarheid treft specifieke KMW CCTV modellen, waaronder de KM-IP521 met firmware IPCAM_V4.04.91.230307 en de KM-IP421 met firmware IPCAM_V4.04.53.210416. Deze apparaten worden wereldwijd ingezet in diverse kritieke infrastructuursectoren, waaronder commerciële faciliteiten, overheidsinstellingen, financiële diensten, transportsystemen en productieomgevingen. Gezien hun wijdverspreide gebruik, zou misbruik verstrekkende gevolgen kunnen hebben, zoals het omzeilen van bewaking, spionage en operationele verstoring. Hoewel er momenteel geen bevestigde meldingen zijn van actieve misbruik in het wild, maakt de ernst van de kwetsbaarheid het een doelwit met hoge prioriteit voor dreigingsactoren, met name degenen die zich richten op IoT en zwakheden in industriële controlesystemen.
Vanuit een technisch perspectief stelt de kwetsbaarheid aanvallers in staat om authenticatiecontroles te omzeilen door op maat gemaakte verzoeken te sturen die wachtwoordwijzigingen activeren zonder de identiteit van de aanvrager te verifiëren. Een aanvaller op hetzelfde netwerk, of iemand die apparaten aan het internet blootstelt, zou bijvoorbeeld ongeautoriseerde commando's kunnen uitvoeren om inloggegevens te resetten en binnen enkele seconden administratieve toegang te verkrijgen.
Beveiligingsonderzoeker Souvik Kandar wordt gecrediteerd voor het ontdekken en rapporteren van de kwetsbaarheid aan CISA. Dit type aanval vereist geen geavanceerde vaardigheden, waardoor het bijzonder gevaarlijk is in slecht beveiligde omgevingen. Volgens een recente CISA advisory (ICSA-26-148-06) moeten organisaties de blootstelling verminderen door apparaten van het openbare internet af te houden en achter firewalls of geïsoleerde netwerken te plaatsen. Externe toegang mag alleen via beveiligde kanalen, zoals bijgewerkte VPN's, worden ingeschakeld, en organisaties moeten ervoor zorgen dat alle verbonden systemen strikte beveiligingspraktijken volgen. Regelmatige risicobeoordelingen en impactanalyses worden ook geadviseerd voordat wijzigingen worden geïmplementeerd. Daarnaast worden organisaties aangemoedigd om te controleren op verdachte activiteiten, incident response procedures te volgen en afwijkingen te melden aan relevante autoriteiten voor correlatie en dreigingsopsporing. Het implementeren van defense-in-depth strategieën en het naleven van ICS cybersecurity richtlijnen kan het risico op misbruik aanzienlijk verminderen. Aangezien bewakingsinfrastructuur steeds vaker een doelwit wordt voor cyberaanvallen, benadrukt deze kwetsbaarheid de dringende behoefte aan sterkere beveiligingscontroles in IoT gebaseerde camerasystemen.
Bron: CISA
03 juni 2026 | Microsoft verhelpt kritieke kwetsbaarheden in Windows, waaronder actief misbruikte NETLOGON-lek
Microsoft heeft recentelijk een reeks kwetsbaarheden in Windows verholpen die aanvallers kunnen misbruiken voor verschillende schadelijke doeleinden. Deze lekken, gedetailleerd beschreven door het Nationaal Cyber Security Centrum (NCSC), kunnen leiden tot Denial-of-Service (DoS), het uitvoeren van willekeurige code met root- of gebruikersrechten, het verkrijgen van verhoogde rechten, het omzeilen van beveiligingsmaatregelen en toegang tot gevoelige gegevens.
De ernstigste van deze kwetsbaarheden zijn CVE-2026-40402 in Hyper-V, CVE-2026-41089 in NETLOGON en CVE-2026-41096 in de DNS Client. De kwetsbaarheid in Hyper-V (CVE-2026-40402) maakt het voor een geauthenticeerde kwaadwillende mogelijk om uit een Guest-VM te breken. Dit kan leiden tot toegang tot het geheugen van de host en het potentieel uitvoeren van willekeurige code op de host. De lekken in NETLOGON (CVE-2026-41089) en de DNS Client (CVE-2026-41096) zijn bijzonder gevaarlijk, aangezien een ongeauthenticeerde kwaadwillende op afstand willekeurige code kan uitvoeren op het kwetsbare systeem.
Het NCSC waarschuwt specifiek dat van CVE-2026-41089, de kwetsbaarheid in NETLOGON, inmiddels door diverse partijen actief misbruik wordt gemeld. Domain Controllers die toegankelijk zijn vanaf externe netwerken lopen een hoog risico. Het is dan ook een sterke aanbeveling om een systeem met de rol van Domain Controller niet publiek toegankelijk te hebben. Indien dit toch noodzakelijk is, dienen additionele beveiligingsmaatregelen te worden getroffen.
Naast deze kritieke kwetsbaarheden zijn er nog diverse andere lekken verholpen. Zo zijn er in Windows Projected File System (CVE-2026-34340, CVSS 7.00), Windows Application Identity Subsystem (CVE-2026-34343, CVSS 7.80), een niet-nader gespecificeerde component (CVE-2026-41095, CVSS 7.80), en Windows Remote Desktop (CVE-2026-40398, CVSS 7.80) kwetsbaarheden gepatcht die kunnen leiden tot het verkrijgen van verhoogde rechten.
Ook de Windows Ancillary Function Driver voor WinSock (met CVE-ID's 2026-34344, 2026-34345, 2026-35416, 2026-41088 met CVSS-scores tussen 7.00 en 7.80), de Windows Kernel (CVE-2026-33841, 2026-35420, 2026-40369, alle CVSS 7.80) en Windows Kernel-Mode Drivers (CVE-2026-40408, CVSS 7.80 en CVE-2026-34332, CVSS 8.00) bevatten lekken voor privilege-escalatie of het uitvoeren van willekeurige code. De Windows Secure Boot (CVE-2026-41097, CVSS 6.70) had een kwetsbaarheid voor het omzeilen van beveiligingsmaatregelen. Verder zijn er een willekeurige code-uitvoering in de Windows Native WiFi Miniport Driver (CVE-2026-32161, CVSS 7.50), toegang tot gevoelige gegevens via de Telnet Client (CVE-2026-35423, CVSS 5.40), en privilege-escalatie in Windows Print Spooler Components (CVE-2026-34342, CVSS 7.00) en de Windows SMB Client (CVE-2026-40410, CVSS 7.00) verholpen. Organisaties worden dringend geadviseerd om de relevante patches zo snel mogelijk te installeren om zich te beschermen tegen deze dreigingen.
Bron: NCSC
04 juni 2026 | Kritieke kwetsbaarheid in Microsoft 365 Android apps maakt token-diefstal mogelijk
Onderzoekers hebben een ernstige kwetsbaarheid ontdekt in meerdere Microsoft 365-apps voor Android, waaronder Word, PowerPoint, Excel, Microsoft 365 Copilot, Microsoft Loop en OneNote. Een onbedoeld ingeschakelde ontwikkelaarsvlag in de productie-builds van deze applicaties maakte het mogelijk voor elke app op hetzelfde apparaat om toegangstokens van gebruikers te stelen. Dit kon leiden tot onbevoegde toegang tot e-mails, bestanden, kalenders en de mogelijkheid om berichten te versturen namens de gebruiker, zonder dat een wachtwoord, inlogscherm of toestemming van de gebruiker vereist was.
De kwetsbaarheid, die door beveiligingsbedrijf Enclave "FlagLeft" is genoemd, werd veroorzaakt door een enkele regel code, `setIsDebugMode(true)`, die per ongeluk was achtergelaten in de verzendcode van een gedeelde Microsoft SDK. Dit leidde ertoe dat de controle die de uitwisseling van accounttokens beperkt tot vertrouwde Microsoft apps, werd overgeslagen. Hierdoor konden zogeheten FOCI-tokens (Family of Client IDs) worden onderschept. Deze tokens worden door Microsoft gebruikt voor single sign-on tussen apps en kunnen langdurig worden vernieuwd en hergebruikt, waardoor kwaadaardig verkeer in logs als routinematig zou verschijnen.
Yanir Tsarimi en Ofek Levin van Enclave ontdekten de kwetsbaarheid en bouwden een proof-of-concept die aantoont hoe een niet-geverifieerde app van derden tokens kon bemachtigen en daarmee e-mail kon lezen. Microsoft classificeert dit als een lokale spoofing-kwetsbaarheid, wat betekent dat een kwaadaardige app die al op het apparaat aanwezig is, voldoende is om misbruik te maken van het lek.
Microsoft heeft op 12 mei vier CVE's uitgegeven voor deze kwetsbaarheid, allemaal geclassificeerd als spoofing onder onjuiste toegangscontrole (CWE-284):
* **CVE-2026-41100** voor Microsoft 365 Copilot (CVSS 4.4)
* **CVE-2026-41101** voor Word (CVSS 7.1)
* **CVE-2026-41102** voor PowerPoint (CVSS 7.1)
* **CVE-2026-42832** voor Excel (CVSS 7.7)
Dezelfde kwetsbaarheid werd ook gerapporteerd in Loop en OneNote, hoewel deze geen aparte CVE kregen in de mei-batch. De gepatchte Word-build voor Android is versie 16.0.19822.20190; eerdere versies zijn kwetsbaar. De andere getroffen apps zijn via dezelfde Google updates voor Play gerepareerd.
Volgens Microsoft's Patch Tuesday-release van mei was er geen publiek bewijs dat de kwetsbaarheid vóór de fix actief werd misbruikt. Gebruikers van de getroffen Microsoft 365-apps op Android worden dringend geadviseerd om deze onmiddellijk te updaten via Google Play. Beveiligingsteams die Android-apparaten beheren, moeten de updates via Mobile Device Management (MDM) pushen en bevestigen dat apparaten niet langer op builds ouder dan 16.0.19822.20190 draaien. Aangezien FOCI-refresh-tokens een app-update overleven, wordt voor accounts op apparaten die een oude build samen met onvertrouwde apps hebben gedraaid, aanbevolen de refresh-tokens in te trekken en een nieuwe aanmelding af te dwingen.
Bron: Enclave | Bron 2: msrc.microsoft.com
04 juni 2026 | Kritieke kwetsbaarheden in Progress Sitefinity CMS vereisen onmiddellijke patch
Het Centre for Cybersecurity Belgium (CCB) heeft een waarschuwing uitgegeven voor meerdere kritieke kwetsbaarheden in Progress Sitefinity CMS en Sitefinity Insight. Progress heeft beveiligingsupdates uitgebracht om deze vijf kwetsbaarheden aan te pakken, die geïdentificeerd zijn als CVE-2026-7312, CVE-2026-7198, CVE-2026-7195, CVE-2026-7201 en CVE-2026-7313. Een succesvolle exploitatie van deze lekken kan leiden tot een compromittering van de vertrouwelijkheid, integriteit en beschikbaarheid van getroffen systemen. Het CCB adviseert organisaties met de hoogste prioriteit te patchen na grondige tests.
De meest ernstige kwetsbaarheid, CVE-2026-7312, heeft een CVSS-score van 10.0 (kritiek). Dit betreft een onvoldoende beschermde referentiekwetsbaarheid die een externe, niet-geauthenticeerde aanvaller in staat stelt om plaintext-referenties te verkrijgen die worden gebruikt voor Sitefinity Insight-integraties. Hierdoor kunnen aanvallers potentieel toegang krijgen tot gevoelige gegevens of systemen.
Een andere kritieke kwetsbaarheid is CVE-2026-7198, met een CVSS-score van 9.8. Dit is een kwetsbaarheid in de onjuiste toegangscontrole, die een externe, niet-geauthenticeerde aanvaller de mogelijkheid biedt om toegang te krijgen tot beperkte inhoud. Dit kan leiden tot een volledige compromittering van de getroffen installaties, waardoor aanvallers volledige controle over het systeem kunnen verkrijgen.
Daarnaast is er CVE-2026-7195, met een CVSS-score van 8.8 (hoog risico). Deze kwetsbaarheid betreft een onjuiste invoervalidatie, waardoor een externe, niet-geauthenticeerde aanvaller de vertrouwelijkheid en integriteit van gebruikersaccounts kan compromitteren. Dit kan leiden tot datalekken of manipulatie van accountinformatie.
CVE-2026-7201, eveneens met een CVSS-score van 8.8, is een autorisatie-bypass kwetsbaarheid. Deze stelt een externe, geauthenticeerde aanvaller in staat om eigenschappen van andere gebruikersaccounts te wijzigen, wat potentieel kan leiden tot accountcompromittering. Hoewel authenticatie vereist is, kan eenmaal binnen een aanvaller zijn privileges snel uitbreiden.
Tot slot is er CVE-2026-7313, met een CVSS-score van 8.7 (hoog risico). Dit is ook een onvoldoende beschermde referentiekwetsbaarheid, vergelijkbaar met CVE-2026-7312, maar deze stelt een externe, geauthenticeerde aanvaller in staat om plaintext-referenties te verkrijgen die worden gebruikt voor Sitefinity Insight-integraties.
Het CCB benadrukt dat organisaties hun monitoring- en detectiecapaciteiten moeten opschalen om gerelateerde verdachte activiteiten te identificeren en een snelle reactie te garanderen in geval van een inbraak. Hoewel het patchen van apparaten of software naar de nieuwste versie bescherming biedt tegen toekomstige exploitatie, herstelt dit geen historische compromittering. Bij een inbraak kunnen organisaties een incident melden via de website van het CCB.
Bron: Progress
04 juni 2026 | Autonome AI tool ontdekt twee jaar oude kwetsbaarheid in RCE in Redis
Een kritieke kwetsbaarheid met Remote Code Execution (RCE) in Redis, aangeduid als CVE-2026-23479, is meer dan twee jaar onopgemerkt gebleven voordat deze werd ontdekt door een autonome AI-beveiligingstool genaamd Xint Code. De kwetsbaarheid, die in Redis 7.2.0 werd geïntroduceerd en aanwezig was in elke stabiele versie tot de patches van 5 mei, heeft een CVSS 3.1-score van 8.8 volgens NVD en een CVSS 4.0-score van 7.7 volgens Redis.
De kwetsbaarheid werd gerapporteerd door Team Xint Code, en een volledige technische beschrijving is nu openbaar. De impact wordt vergroot door de wijdverspreide aanwezigheid van Redis in cloudomgevingen. Volgens een analyse van Wiz draaien de meeste Redis-instanties zonder wachtwoord. Hoewel de exploit een geauthenticeerde sessie vereist, beschikt de standaardgebruiker in een standaardimplementatie al over alle privileges die nodig zijn voor de aanvalsketen.
De kwetsbaarheid bevindt zich in de functie `unblockClientOnKey()` in `src/blocked.c`. Deze functie wordt geactiveerd wanneer een sleutelgebeurtenis een geblokkeerde opdracht activeert. De functie voert de in de wachtrij geplaatste opdracht uit via `processCommandAndResetClient()`, maar blijft daarna dezelfde clientpointer gebruiken. Het probleem is dat `processCommandAndResetClient()` de client als neveneffect kan vrijgeven, zoals in de eigen header-commentaar staat vermeld. De aanroepende functie negeert echter de retourwaarde en leest de vrijgegeven structuur toch, wat resulteert in een use-after-free kwetsbaarheid (CWE-416).
Volgens de analyse van Wiz is de bug ontstaan door twee commits: een refactor in januari 2023 (PR #11012) voegde de ongecontroleerde aanroep toe, en een wijziging in maart 2023 (PR #11568) voegde meer clienttoegang toe na deze aanroep. Geen van beide was afzonderlijk gevaarlijk, maar samen leidden ze tot de kwetsbaarheid in versie 7.2.0, die meerdere beveiligingscontroles overleefde.
De aanvalsketen begint met het lekken van een heap-adres. Vervolgens wordt een client vrijgegeven en wordt een nep-client in hetzelfde geheugen geplaatst. Daarna wordt de eigen geheugenboekhouding van Redis misbruikt om een functiepointer te overschrijven. De gepubliceerde exploit werkt in drie fasen:
1. Een eenregelig Lua-script (`EVAL "return tostring(redis.call)" 0`) lekt een heap-pointer.
2. De aanvaller manipuleert de geheugenlimieten van de client, parkeert een opgeblazen client op een stream, verlaagt vervolgens de limieten en activeert deze. Redis geeft de geblokkeerde client midden in een aanroep vrij, waarna een gepipelinede `SET`-opdracht onmiddellijk de vrijgegeven slot terugwint met een nep-clientstructuur.
3. De routine geheugenboekhouding van Redis in `updateClientMemoryUsage()` voert een out-of-bounds decrement uit met door de aanvaller gecontroleerde velden, gericht op de Global Offset Table (GOT) om `strcasecmp()` te herrouteren naar `system()`. De volgende opdracht die Redis verwerkt, wordt dan als shellcommando uitgevoerd.
De officiële Docker-image van Redis vergemakkelijkt de laatste stap, omdat deze slechts gedeeltelijke RELRO bevat, waardoor de GOT tijdens runtime beschrijfbaar blijft. ASLR en PIE bieden hier geen bescherming, aangezien de schrijfoperatie relatief is ten opzichte van een globale variabele waarvan de offset vastligt tijdens het bouwen. De volledige aanvalsketen vereist een geauthenticeerde sessie met `CONFIG SET`, `EVAL`, stream-commando's (`XREAD`/`XADD`), en basis `SET`/`GET`, wat overeenkomt met de ACL-categorieën `@admin`, `@scripting`, `@stream` en `@read`/`@write`. De standaardgebruiker beschikt over al deze privileges, en in de meeste implementaties zijn deze gegroepeerd in één gedeelde applicatie- of operatorrol. Het volledig ontzeggen van `CONFIG` verbreekt deze specifieke keten, hoewel niet de onderliggende use-after-free kwetsbaarheid.
Team Xint Code demonstreerde de werkende RCE tijdens ZeroDay.Cloud 2025, een hackingcompetitie van Wiz in Londen afgelopen december. Theori beschrijft Xint Code als een autonome AI-beveiligingstool die is gebouwd om bugs in grote codebases op te sporen. Redis heeft verklaard geen bewijs te hebben van exploitatie in eigen of klantomgevingen, en er zijn tot op heden geen openbare meldingen van actieve exploitatie in het wild verschenen. De volledige technische keten is nu echter openbaar, wat het risico op verdere exploitatie vergroot.
Beheerders worden dringend geadviseerd te upgraden naar de gepatchte minor-versies: 7.2.14, 7.4.9, 8.2.6, 8.4.3 of 8.6.3, die allemaal op 5 mei zijn uitgebracht. Minor-upgrades binnen een serie zijn bedoeld als drop-in updates. Beheerde Redis-diensten patchen volgens hun eigen schema's, en Redis meldt dat Redis Cloud al is bijgewerkt. Als patchen niet direct mogelijk is, wordt aanbevolen Redis buiten het publieke internet te houden en achter TLS te plaatsen. Daarnaast moeten ACL's worden aangescherpt, zodat geen enkele rol tegelijkertijd `@admin`, `CONFIG` en `@scripting` bezit. Indien Lua niet wordt gebruikt, kan `@scripting` worden geweigerd, wat de initiële lekfase (Stage 1) van de aanval stopt. Prioriteit moet worden gegeven aan internet-geëxposeerde instanties, gedeelde applicatiecredentials en elke rol die `CONFIG`, scripting en stream-toegang combineert. Het wordt ook aanbevolen om breed gedeelde Redis-credentials te roteren.
CVE-2026-23479 is een van de vijf kwetsbaarheden in RCE die vorige maand in Redis zijn bekendgemaakt, en volgt op de RediShell-kwetsbaarheid uit 2025, eveneens een geauthenticeerde use-after-free met Lua-scripting. Het is opmerkelijk dat juist deze kwetsbaarheid door een AI tool is gevonden. Twee commits introduceerden de fout, twee jaar lang bleef deze verborgen, en de kwetsbaarheid bleef in een van de meest gebruikte databases aanwezig totdat een hackingwedstrijd deze aan het licht bracht, terwijl code-reviews dit niet deden.
Bron: Wiz | Bron 2: github.com | Bron 3: nvd.nist.gov
04 juni 2026 | CISA voegt Mirasvit deserialisatiekwetsbaarheid toe aan KEV-catalogus
De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft op 3 juni 2026 een nieuwe kwetsbaarheid toegevoegd aan haar Known Exploited Vulnerabilities (KEV) Catalogus, gebaseerd op bewijs van actieve exploitatie. Het betreft CVE-2026-45247, een kwetsbaarheid in deserialisatie van onbetrouwbare data binnen de Mirasvit Full Page Cache Warmer.
Deze specifieke kwetsbaarheid wordt aangeduid als een deserialisatiekwetsbaarheid voor onbetrouwbare data. Dit type kwetsbaarheid staat bekend als een veelvoorkomende aanvalsvector voor kwaadwillende cyberactoren en vormt een aanzienlijk risico voor federale overheidsinstanties en andere organisaties. Deserialisatiekwetsbaarheden kunnen, indien misbruikt, leiden tot het uitvoeren van willekeurige code en volledige systeemovername.
De KEV Catalogus werd opgericht door de Bindende Operationele Richtlijn (BOD) 22-01: Reducing the Significant Risk of Known Exploited Vulnerabilities. Deze richtlijn stelt de catalogus in als een dynamische lijst van bekende Common Vulnerabilities and Exposures (CVE's) die een significant risico vormen voor de federale civiele uitvoerende instanties. BOD 22-01 vereist dat deze instanties de geïdentificeerde kwetsbaarheden vóór de gestelde deadline herstellen om hun netwerken te beschermen tegen actieve dreigingen.
Hoewel BOD 22-01 formeel alleen van toepassing is op de federale civiele uitvoerende instanties, dringt CISA er bij alle organisaties op aan om hun blootstelling aan cyberaanvallen te verminderen. Dit kan door prioritering van tijdige herstelacties voor kwetsbaarheden die in de KEV Catalogus zijn opgenomen, als onderdeel van hun praktijk voor kwetsbaarheidsbeheer. CISA heeft aangegeven de catalogus te blijven aanvullen met kwetsbaarheden die aan de gespecificeerde criteria voldoen.
Bron: CISA | Bron 2: cve.org
04 juni 2026 | Acer waarschuwt voor kritieke zero-days in Wave 7 routers
Acer heeft bevestigd bezig te zijn met het dichten van twee zero-day kwetsbaarheden met maximale ernst die zijn Wave 7 mesh routers treffen. Deze beveiligingslekken werden gemeld door beveiligingsonderzoeker Gergo Pap en beïnvloeden Wave 7 routers die firmware versie T7c_GBL_1.01.000055 of eerder draaien.
De eerste zero-day, een kwetsbaarheid in gebroken toegangscontrole (broken access control) met de identificatie CVE-2026-49200, stelt niet-geauthenticeerde aanvallers in staat om op afstand toegang te krijgen tot in logbestanden opgeslagen onversleutelde inloggegevens. Volgens Acer is het bestand acer_cgi.log in de firmware van het apparaat toegankelijk zonder authenticatie via de webinterface. Dit bestand bevat inloggegevens in platte tekst voor zowel de webinterface als Telnet, wat kan leiden tot ongeautoriseerde systeemtoegang.
De tweede kwetsbaarheid, CVE-2026-49201, vloeit voort uit een hardgecodeerde cryptografische sleutel. Dit stelt externe aanvallers zonder privileges in staat om persistente backdoor toegang tot de router te verkrijgen. Acer legt uit dat de upload.cgi binary, verantwoordelijk voor het verwerken van apparaatback-ups, een hardgecodeerde AES-encryptiesleutel bevat. Hierdoor kan een aanvaller systeemback-ups ontsleutelen, wijzigen en opnieuw versleutelen, wat de injectie van een persistente backdoor vergemakkelijkt.
Hoewel er nog geen beveiligingspatches beschikbaar zijn voor deze twee kwetsbaarheden, werkt Acer aan oplossingen die naar verwachting eind juni 2026 zullen worden uitgebracht. Het bedrijf adviseert gebruikers om hun apparaten onmiddellijk na het verschijnen van de beveiligingsupdates te updaten. Dit kan door verbinding te maken met de router via Wi-Fi of een Ethernet-kabel, in te loggen op de administratieconsole (http://192.168.76.1 of http://acerconnect.com), te navigeren naar 'System Management' en vervolgens 'Firmware Update', en daar te kiezen voor 'Check for Updates'.
Om de risico's van aanvallen te beperken totdat een patch beschikbaar is, wordt Acer klanten geadviseerd om extern beheer (remote management) uit te schakelen. Indien de firmware dit toelaat, kunnen zij ook de externe internettoegang beperken tot alleen vertrouwde IP-adressen.
Bron: Acer | Bron 2: nvd.nist.gov | Bron 3: 192.168.76.1
04 juni 2026 | Ongepatchte Windows Search URI kwetsbaarheid lekt NTLMv2 hashes
Cybersecurity onderzoekers hebben details openbaar gemaakt over een niet-gepatchte kwetsbaarheid in Windows die kan worden misbruikt om de NTLMv2 hash van een gebruiker te lekken aan een aanvaller. De kwetsbaarheid bevindt zich in de `search:` URI handler, zo meldt Huntress.
Dit nieuwe probleem vertoont overeenkomsten met CVE-2026-33829, een kwetsbaarheid die de `ms-screensketch:` URI handler van de Windows Knipprogramma (Snipping Tool) trof. CVE-2026-33829 was een spoofing kwetsbaarheid die gevoelige informatie aan een onbevoegde actor kon blootstellen en werd door Microsoft in april 2026 gepatcht. Destijds waarschuwde Microsoft dat een aanvaller een gebruiker kon verleiden tot het klikken op een speciaal samengestelde link in een webbrowser of andere URL bron, bijvoorbeeld via een webpagina of e-mailbericht. Als de gebruiker het starten van de link goedkeurde, kon de samengestelde URL de computer aanzetten tot verbinding maken met een SMB-server naar keuze van de aanvaller. Dit zou de NTLMv2 hash van de gebruiker prijsgeven, die een aanvaller vervolgens kon gebruiken om zich als de gebruiker te authenticeren.
Het specifieke probleem met de Knipprogramma URI handler was dat deze een "filePath" parameter accepteerde zonder deze te valideren, en vervolgens contact zocht met elk Universal Naming Convention (UNC) pad dat eraan werd doorgegeven. Dit kon NTLM-authenticatie activeren en de Net-NTLMv2 hash van het slachtoffer blootstellen aan de aanvaller.
De recent ontdekte tekortkoming bereikt hetzelfde doel, maar dan met gebruik van "search:" en "crumb=location:" in plaats van "filePath". Onderzoeker Andrew Schwartz van Huntress merkte op dat het dezelfde NTLM-lekmechanisme gebruikte, hetzelfde Net-NTLMv2 lek produceerde, dezelfde voorwaarden had en dezelfde 'Moderate' classificatie droeg. Het is relevant dat het gebruik van een "crumb" parameter om hashes te stelen (CVE-2023-35636) al in februari 2024 door Varonis werd gedocumenteerd.
Met de buitgemaakte hash kan een dreigingsactor relay aanvallen uitvoeren en diepere toegang tot een netwerk verkrijgen. Na een verantwoorde melding op 15 april 2026, weigerde Microsoft de kwetsbaarheid aan te pakken. Microsoft stelde dat "alleen gevallen van belangrijke en kritieke ernst onze drempel voor patching halen."
Bij afwezigheid van een officiële oplossing wordt geadviseerd om uitgaand SMB (TCP/445 en TCP/139) te blokkeren op hosts die dit niet nodig hebben. Daarnaast is het raadzaam om SMB-signing af te dwingen, zodat buitgemaakte hashes niet kunnen worden doorgesluisd naar interne diensten, en NTLM waar mogelijk uit te schakelen.
Bron: Huntress | Bron 2: msrc.microsoft.com | Bron 3: varonis.com
04 juni 2026 | OpenSSL kondigt belangrijke beveiligingsupdate aan voor 9 juni
Het ontwikkelteam van OpenSSL heeft een belangrijke beveiligingsupdate aangekondigd die op 9 juni zal verschijnen. Deze update is cruciaal, aangezien het één of meerdere kwetsbaarheden verhelpt die als "High" impact zijn bestempeld. De frequentie van dergelijke ernstige lekken in OpenSSL is laag; sinds 2002 zijn er in totaal 22 kwetsbaarheden met een High impact gerapporteerd, waarvan slechts drie in de afgelopen drie en een half jaar. Dit benadrukt de uitzonderlijke aard van de aankomende patch en het belang ervan voor de stabiliteit van het internet.
Details over de specifieke kwetsbaarheden die volgende week worden verholpen, zijn door het OpenSSL-team nog niet vrijgegeven. Echter, beveiligingslekken die de classificatie "High" krijgen, kunnen aanvallers in staat stellen om gevoelige informatie, zoals private keys van servers, te stelen of zelfs remote code uit te voeren op getroffen systemen. De reden dat deze kwetsbaarheden als "High" en niet als "Critical" zijn aangemerkt, ligt doorgaans in het feit dat het probleem niet voorkomt bij standaardconfiguraties of dat misbruik minder eenvoudig te bewerkstelligen is. Dit betekent echter niet dat de dreiging minder serieus is voor organisaties die specifieke configuraties gebruiken of waar aanvallers de benodigde complexiteit kunnen overbruggen.
De geplande releases omvatten OpenSSL versies 4.0.1, 3.6.3, 3.5.7, 3.4.6 en 3.0.21. Deze updates zullen op 9 juni tussen 15.00 en 19.00 uur Nederlandse tijd beschikbaar komen. Voor organisaties met een betaald abonnement op OpenSSL zullen tevens de versies 1.0.2zq en 1.1.1zh worden uitgebracht, wat aangeeft dat ook oudere, maar nog ondersteunde, versies van de software worden gepatcht om een zo breed mogelijke beveiliging te garanderen.
OpenSSL is fundamentele software die wereldwijd wordt ingezet voor het versleutelen van internetverbindingen. Websites, e-maildiensten en vele andere online applicaties maken er gebruik van om het dataverkeer van en naar gebruikers te beveiligen. De impact van kwetsbaarheden in OpenSSL kan dan ook zeer groot zijn voor de gehele internetinfrastructuur. De beruchte Heartbleed Bug in het verleden heeft op indringende wijze aangetoond hoe wijdverspreide problemen in deze software kunnen leiden tot ernstige beveiligingsrisico’s en dataverliezen op mondiale schaal. Het is daarom van essentieel belang dat beheerders van systemen die OpenSSL gebruiken, zich voorbereiden op de aankomende update en deze zo spoedig mogelijk implementeren om potentiële risico’s te minimaliseren.
Bron: OpenSSL | Bron 2: heartbleed.com | Bron 3: rustls.dev
05 juni 2026 | Cisco waarschuwt voor kritiek lek in Unified Communications Manager met publieke exploitcode
Cisco heeft organisaties gewaarschuwd voor een kritieke kwetsbaarheid in de Cisco Unified Communications Manager en heeft kennis van publieke proof of concept exploitcode voor dit probleem. Er zijn updates uitgebracht om het beveiligingslek, geïdentificeerd als CVE-2026-20230, te verhelpen. Cisco Unified Communications Manager is een voice over IP platform dat wordt gebruikt voor het verwerken van telefoongesprekken, essentieel voor communicatie binnen veel bedrijven en instellingen.
De kwetsbaarheid bevindt zich in de manier waarop het voice over IP platform omgaat met specifieke HTTP requests. Een aanvaller, die zich op afstand bevindt en niet geauthenticeerd is, kan door het verzenden van een speciaal geprepareerd HTTP request bestanden naar het onderliggende besturingssysteem schrijven. Deze bestanden kunnen later worden gebruikt om roottoegang tot het systeem te verkrijgen, wat de aanvaller volledige controle geeft over het getroffen systeem. Een belangrijke voorwaarde voor misbruik van dit lek is dat de WebDialer-functie ingeschakeld moet zijn. Deze functie stelt gebruikers in staat om via web- en desktopapplicaties telefoongesprekken te voeren. Standaard staat de WebDialer-functie echter niet ingeschakeld, wat de directe aanvalsvector enigszins beperkt.
De impact van het beveiligingslek is beoordeeld met een CVSS-score van 8.6 op een schaal van 1 tot en met 10. Hoewel kwetsbaarheden doorgaans als kritiek worden beschouwd bij een CVSS-score van 9.0 of hoger, classificeert Cisco dit probleem toch als kritiek vanwege de hoge potentiële impact: de mogelijkheid voor een aanvaller om roottoegang te verkrijgen tot systemen die een cruciale rol spelen in bedrijfscommunicatie. Cisco meldt tevens dat er proof of concept exploitcode online beschikbaar is, waarmee misbruik van het lek kan worden gemaakt. Dit verhoogt het risico op toekomstige aanvallen aanzienlijk, ondanks het feit dat Cisco tot op heden nog geen aanwijzingen van actief misbruik heeft waargenomen. Organisaties die gebruikmaken van Cisco Unified Communications Manager worden met klem geadviseerd om de beschikbaar gestelde updates zo spoedig mogelijk te installeren om hun systemen te beveiligen tegen potentiële aanvallen en de integriteit van hun communicatie-infrastructuur te waarborgen.
Bron: Cisco
05 juni 2026 | Privacy OS Tails patchet ernstig Linux-lek en kwetsbaarheden in Tor
Het privacy OS Tails heeft een noodpatch uitgebracht wegens een ernstige kwetsbaarheid in de Linux-kernel. Dit beveiligingslek, aangeduid als CVE-2026-43503, zou een applicatie die met Tails wordt meegeleverd in staat kunnen stellen om adminrechten te verkrijgen. Het ontwikkelteam van Tails waarschuwt dat indien een aanvaller misbruik weet te maken van een kwetsbaarheid in een dergelijke applicatie, deze controle over de installatie van Tails kan krijgen en gebruikers kan deanonimiseren.
Hoewel het ontwikkelteam benadrukt dat een dergelijke aanval onwaarschijnlijk is, achten zij deze wel uitvoerbaar door een "sterke aanvaller", zoals een overheid of een gespecialiseerd hackingbedrijf. Momenteel is er geen bekend misbruik van deze specifieke kwetsbaarheid.
Naast de patch voor het Linux-lek, heeft de nieuwste versie van het besturingssysteem, Tails 7.8.1, ook verschillende beveiligingslekken in de Tor-client gedicht. Tails, voluit bekend als The Amnesic Incognito Live System, is een volledig op Linux gebaseerd besturingssysteem dat specifiek is ontworpen om de privacy en anonimiteit van zijn gebruikers te waarborgen. Het systeem kan direct vanaf een USB-stick of DVD worden gestart, zonder sporen achter te laten op de hostcomputer. Voor het afschermen van het IP-adres van de gebruiker maakt Tails gebruik van het netwerk van Tor en het OS biedt een reeks applicaties die gericht zijn op privacybescherming.
Het is cruciaal voor gebruikers van Tails om zo snel mogelijk te updaten naar versie 7.8.1 om zich te beschermen tegen de genoemde kwetsbaarheden. Het team achter de Linux-kernel CVE's adviseert algemeen om altijd de nieuwste stabiele kernelversie te installeren voor de meest recente bugfixes en beveiligingsupdates.
Bron: Tails Project | Bron 2: security-tracker.debian.org | Bron 3: blog.torproject.org
05 juni 2026 | Microsoft verhelpt remote code execution kwetsbaarheid in Edge
Microsoft heeft een significante kwetsbaarheid in de Edge-browser gepatcht, die bekendstaat onder het CVE-nummer CVE-2026-45495 en een CVSS-score van 7.5 heeft. Dit beveiligingslek maakt remote code execution (RCE) mogelijk, wat aanvallers in staat stelt om kwaadaardige code op afstand uit te voeren op getroffen systemen. De oorzaak van de kwetsbaarheid ligt in een onjuiste validatie tijdens de verwerking van feedback-logbestanden door de Edge-browser. Dit gebrek aan validatie stelt een aanvaller in staat om bestandsbewerkingen te manipuleren.
Om misbruik te maken van deze kwetsbaarheid is interactie van de gebruiker vereist. Dit kan bijvoorbeeld door het openen van een speciaal vervaardigd bestand of door het bezoeken van een kwaadaardige webpagina die is ontworpen om het lek uit te buiten. Microsoft heeft updates uitgebracht om dit probleem te verhelpen en adviseert gebruikers dringend om hun Edge-browser direct bij te werken naar de nieuwste versie. Op dit moment zijn er geen aanwijzingen dat deze kwetsbaarheid actief wordt misbruikt, noch is er publieke proof of concept (PoC) exploitcode beschikbaar.
Bron: Cybersecurity News
06 juni 2026 | Kritieke kwetsbaarheid in Cisco SD-WAN Manager actief misbruikt
Cisco waarschuwt voor een ernstige kwetsbaarheid in zijn Catalyst SD-WAN Manager, een platform dat voorheen bekendstond als SD-WAN vManage. De kwetsbaarheid heeft het kenmerk CVE-2026-20245 en wordt op dit moment actief misbruikt. Er is nog geen beveiligingsupdate beschikbaar en er zijn geen tijdelijke maatregelen die het probleem volledig wegnemen.
Door onvoldoende controle op door gebruikers aangeleverde invoer kan een aanvaller een speciaal geprepareerd bestand uploaden naar een kwetsbaar systeem. Daarmee voert de aanvaller willekeurige commando's uit als root, de gebruiker met de hoogste rechten op het besturingssysteem. Met die rechten kan een aanvaller gegevens inzien en aanpassen, blijvende toegang opzetten en kwaadaardige software installeren. Cisco heeft gevallen waargenomen waarbij aanvallers via dit lek configuratiewijzigingen naar randapparatuur hebben gestuurd.
Het misbruik vereist wel dat de aanvaller al beschikt over netadmin-rechten op het systeem. Volgens Cisco kan een aanvaller die rechten verkrijgen door eerder bekendgemaakte kwetsbaarheden in SD-WAN aan elkaar te koppelen, zoals CVE-2026-20182 of CVE-2026-20127. Organisaties die deze eerdere lekken al hebben gepatcht, maken het daarmee moeilijker voor een aanvaller om de benodigde netadmin-rechten te bemachtigen.
Omdat er nog geen patch voor CVE-2026-20245 is, adviseert Cisco om te upgraden naar de software die in de advisory voor CVE-2026-20182 wordt genoemd en om de configuratie van de randapparatuur te controleren. Het lek treft alle uitvoeringsvormen, waaronder lokale installaties, Cisco SD-WAN Cloud-Pro, de door Cisco beheerde SD-WAN Cloud en Cisco SD-WAN for Government. Het Nationaal Cyber Security Centrum (NCSC) heeft eveneens een waarschuwing uitgegeven, wat de ernst voor Nederlandse en Belgische organisaties onderstreept.
Organisaties die Cisco SD-WAN Manager gebruiken, wordt aangeraden hun installaties direct te controleren op verdachte activiteit, de aanbevelingen van Cisco op te volgen en de monitoring op ongebruikelijke configuratiewijzigingen aan te scherpen.
Bron: NCSC
06 juni 2026 | CISA voegt actief misbruikte SolarWinds Serv-U kwetsbaarheid toe aan KEV Catalog
De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft recentelijk een nieuwe kwetsbaarheid toegevoegd aan haar Known Exploited Vulnerabilities (KEV) Catalogus. De kwetsbaarheid, geïdentificeerd als CVE-2026-28318, betreft een ongecontroleerde resourceconsumptie in SolarWinds Serv-U. Deze toevoeging is gedaan op basis van concreet bewijs van actieve exploitatie.
Volgens CISA vormt dit type kwetsbaarheid een veelvoorkomende aanvalsvector voor kwaadwillende cyberactoren en brengt het aanzienlijke risico's met zich mee, met name voor federale overheidsinstanties. De KEV Catalogus is opgericht als een dynamische lijst van bekende Common Vulnerabilities and Exposures (CVE's) die een significant risico vormen voor de federale digitale infrastructuur. Dit is vastgelegd in Binding Operational Directive (BOD) 22-01, gericht op het verminderen van het aanzienlijke risico van actief misbruikte kwetsbaarheden.
BOD 22-01 verplicht federale civiele uitvoerende tak van de Amerikaanse overheid (FCEB) om geïdentificeerde kwetsbaarheden tijdig te herstellen. Dit moet gebeuren vóór de vastgestelde deadline om de netwerken van FCEB-instanties te beschermen tegen actieve dreigingen. Hoewel deze richtlijn specifiek van toepassing is op FCEB-instanties, benadrukt CISA met klem dat alle organisaties hun blootstelling aan cyberaanvallen moeten verminderen. Zij dienen dit te doen door prioritering van tijdige remediëring van kwetsbaarheden die in de KEV Catalogus zijn opgenomen, als integraal onderdeel van hun kwetsbaarheidsmanagement.
CISA heeft aangegeven de catalogus voortdurend aan te vullen met kwetsbaarheden die voldoen aan de vastgestelde criteria. De actieve exploitatie van CVE-2026-28318 onderstreept de noodzaak voor brede alertheid en snelle actie binnen de cybersecuritygemeenschap, inclusief organisaties in Nederland en België die gebruikmaken van SolarWinds Serv-U.
Bron: CISA | Bron 2: cve.org
06 juni 2026 | Actieve exploitatie van PAN-OS kwetsbaarheid CVE-2026-0257 waargenomen
Onderzoekers van Palo Alto Networks Unit 42 hebben vastgesteld dat er actief misbruik wordt gemaakt van de kwetsbaarheid CVE-2026-0257 in PAN-OS software. Een nog niet-geïdentificeerde dreigingsacteur probeert hiermee toegang te krijgen tot GlobalProtect omgevingen. Deze kwetsbaarheid betreft een authenticatie-bypass in de portal- en gateway-componenten van kwetsbare versies van de PAN-OS software. Door deze tekortkoming kunnen ongeautoriseerde aanvallers beveiligingscontroles omzeilen en VPN-verbindingen initiëren.
De kwetsbaarheid CVE-2026-0257 is op 29 mei toegevoegd aan de Known Exploited Vulnerability (KEV) catalogus van CISA, wat de urgentie van de situatie onderstreept. Tot op heden is er geen bewijs gevonden van verdere post-toegang activiteiten of laterale beweging binnen de getroffen netwerken. Slechts een klein deel van de onderzochte apparaten heeft daadwerkelijk VPN-sessies tot stand gebracht, wat heeft geleid tot gateway-connected events.
Organisaties wordt geadviseerd om proactief te zoeken naar de indicatoren van deze activiteit die in het rapport zijn gespecificeerd en om incident response protocollen te activeren bij succesvolle gateway-connected events die aan deze indicatoren gekoppeld kunnen worden. Bovendien wordt sterk aanbevolen om het beveiligingsadvies voor CVE-2026-0257 te raadplegen, de beschikbare workarounds en mitigaties te volgen, of te upgraden naar een versie die een oplossing voor dit probleem bevat.
Voor activiteiten die plaatsvonden vóór de publicatie van de Proof of Concept (PoC) op 29 mei 2026, dienen GlobalProtect logs te worden doorzocht op succesvolle login-verbindingen vanaf de volgende IP-adressen: 23.128.228[.]6, 104.207.144[.]154, 146.19.216[.]119, 146.19.216[.]120, 146.19.216[.]125, 179.43.172[.]213, 185.195.232[.]139, 198.12.106[.]60 en 202.144.192[.]47.
Daarnaast wordt aanbevolen om GlobalProtect logs te doorzoeken op succesvolle gateway-connected events vanaf elk IP-adres dat gebruikmaakt van verdachte host-ID's of apparaatnamen. Als onderdeel van de monitoring na de PoC-publicatie, moeten GlobalProtect logs worden gecontroleerd op succesvolle gateway-connected events die overeenkomen met de hard-coded client configuratiewaarden uit de PoC code.
Organisaties worden aangemoedigd om het officiële beveiligingsadvies van Palo Alto Networks te raadplegen voor aanvullende details over de kwetsbaarheid, getroffen producten en configuratiebegeleiding. Rapid7 heeft eveneens een technische analyse van de waargenomen exploitatieactiviteit gepubliceerd. Palo Alto Networks Cortex Xpanse is in staat om publiekelijk blootgestelde PAN-OS gateways en GlobalProtect portals te identificeren. De bevindingen zijn gedeeld met leden van de Cyber Threat Alliance (CTA), die deze intelligentie gebruiken om snel bescherming aan hun klanten te bieden en kwaadwillende cyberactoren systematisch te verstoren.
Bron: Palo Alto Networks Unit 42 | Bron 2: cisa.gov | Bron 3: mastodon.social
06 juni 2026 | Kritieke kwetsbaarheden in Exchange Online en Copilot gepatcht
Microsoft heeft recent kritieke kwetsbaarheden verholpen in zijn veelgebruikte diensten Exchange Online en Copilot. Deze lekken konden aanvallers in staat stellen data te stelen en in sommige gevallen zelfs remote code execution (RCE) uit te voeren. Het techbedrijf heeft verklaard dat er geen aanwijzingen zijn dat de problemen in het wild zijn misbruikt. Hoewel kwetsbaarheden die 'information disclosure' mogelijk maken doorgaans niet als kritiek worden beoordeeld, is dit in het geval van deze vier specifieke kwetsbaarheden in Exchange Online en Copilot wel het geval.
Eén van de gepatchte kwetsbaarheden betreft Microsofts online maildienst Exchange Online, geïdentificeerd als CVE-2026-48579. Dit lek werd veroorzaakt door 'improper authorization', wat wijst op een probleem met de toegangscontrole. Microsoft heeft deze kwetsbaarheid zelf ontdekt en heeft gemeld dat aanvallers deze konden exploiteren om gevoelige informatie te ontvreemden. Verdere technische details over de exacte aard van de improper authorization zijn niet vrijgegeven door Microsoft.
Daarnaast zijn er meerdere beveiligingslekken aangepakt in Microsoft M365 Copilot, specifiek CVE-2026-42824 en CVE-2026-45497. Ook Copilot Chat voor Microsoft Edge bevatte een soortgelijk probleem, aangeduid met CVE-2026-47644. Deze kwetsbaarheden ontstonden doordat de chatbot niet adequaat omging met 'speciale elementen' die in commando's konden worden ingevoegd. Een dergelijke foutieve verwerking kon leiden tot command injection, waardoor aanvallers de mogelijkheid kregen om informatie te stelen of willekeurige code op de getroffen systemen uit te voeren.
Microsoft heeft ervoor gekozen om geen diepgaande technische details over de kwetsbaarheden te publiceren, maar heeft het bestaan ervan uit transparantie wel bekendgemaakt. Voor gebruikers van de betreffende diensten is geen actie vereist; Microsoft heeft de noodzakelijke updates en patches reeds automatisch doorgevoerd.
Bron: Microsoft
06 juni 2026 | Kritieke kwetsbaarheid in WordPress actief misbruikt; nieuwe skimmeraanvallen
Hackers zijn momenteel actief bezig met het misbruiken van een kritieke beveiligingsfout in Everest Forms Pro, een populaire WordPress plugin met ongeveer 4.000 actieve installaties. Deze kwetsbaarheid stelt aanvallers in staat om willekeurige code uit te voeren, wat kan leiden tot een volledige compromittering van de website. Het betreft CVE-2026-3300, een remote code execution bug met een CVSS score van 9.8, die alle versies van de plugin tot en met 1.9.12 treft. Een patch voor deze fout werd op 18 maart 2026 uitgebracht met versie 1.9.13.
Volgens onderzoek van Wordfence is de kwetsbaarheid te wijten aan de `process_filter()` functie van de Calculation Addon. Deze functie concateneert door gebruikers ingediende formulier veldwaarden in een PHP code string zonder adequate escapen, alvorens deze door te geven aan `eval()`. De `sanitize_text_field()` functie die op de invoer wordt toegepast, escapet geen enkele aanhalingstekens of andere PHP code context karakters. Dit maakt het voor ongeauthenticeerde aanvallers mogelijk om willekeurige PHP code op de server te injecteren en uit te voeren door een speciaal geconstrueerde waarde in te dienen in elk string-type formulierveld (tekst, e-mail, URL, selectie, radio) wanneer een formulier de 'Complex Calculation' functie gebruikt. Succesvolle exploitatie kan ongeauthenticeerde kwaadwillende actoren de mogelijkheid geven om malafide beheerdersaccounts aan te maken, web shells te implementeren en andere manieren te creëren om dieper in de server door te dringen en persistente toegang te verkrijgen. Wordfence heeft waargenomen dat aanvallers deze kwetsbaarheid sinds 13 april 2026 misbruiken, met meer dan 29.300 geblokkeerde exploitatiepogingen tot nu toe. Alleen al in de laatste 24 uur vonden 16 aanvalspogingen plaats. De meest voorkomende payload omvat pogingen om een beheerdersaccount genaamd "diksimarina" (e-mailadres diksimarina@gmail.com) aan te maken op de gecompromitteerde site. Deze aanvallen zijn afkomstig van IP-adres 2402:1f00:8000:800::40db.
Naast deze WordPress kwetsbaarheid heeft het Nederlandse e-commerce security bedrijf Sansec gewaarschuwd voor meerdere skimmer campagnes. Eén campagne maakt gebruik van Stripe als command-and-control (C2) server en een data exfiltratie sink. Het doel is om de reputatie van het merk Stripe te misbruiken en Content Security Policy regels en netwerkfilters te omzeilen. Aanvallers behandelen Stripe als gratis infrastructuur voor gestolen kaarten en als code hosting endpoint voor de skimmer, beide achter een domein dat standaard wordt vertrouwd door CSP regels en netwerkfilters. De campagne vertrouwt op Google Tag Manager (GTM) en Stripe domeinen (googletagmanager.com en api.stripe.com), die beide impliciet worden vertrouwd door online winkels. De malicieuze code wordt geladen vanuit een GTM container en uitgevoerd op elke pagina die deze laadt. Op Magento en Adobe Commerce checkout pagina's extraheert de skimmer een geobfusceerde skimmer uit het metadata veld van een Stripe klantaccount (bijvoorbeeld "cus_TfFjAAZQNOYENR"), en slaat financiële informatie, factuur- en e-mailadressen, en telefoonnummers van nietsvermoedende gebruikers op in `localStorage`. De vastgelegde gegevens worden vervolgens terug geëxfiltreerd naar het Stripe account van de aanvaller. Elke gestolen kaart wordt een 'klant' in het account van de aanvaller. Na succes verwijdert de loader de `localStorage` entry om te voorkomen dat hetzelfde record twee keer wordt verzonden. Het Stripe klantrecord met de skimmer zou op 24 december 2025 zijn aangemaakt, wat aangeeft dat de operatie mogelijk al sinds die datum actief is. Sansec identificeerde ook een tweede variant van de loader die Google Firestore in plaats van Stripe gebruikt, met hetzelfde doel, namelijk misbruik maken van een vertrouwde dienst als een covert kanaal dat onwaarschijnlijk wordt geblokkeerd door e-commerce winkels.
Deze bevindingen vallen samen met een grootschalige operatie genaamd GorgonAgora, die een cluster van 5.714 nep .shop storefronts heeft gebruikt. Deze sites imiteren bekende merken zoals Starbucks, Ford, Sony, Mattel, Hasbro, Lego, Disney en Toyota. De checkout pagina's van deze nep-webshops sluizen gestolen kaartgegevens naar één skimmer server in Moldavië. Deze campagne is al sinds augustus 2025 actief. Elke winkel draait dezelfde Medusa.js commerce stack en laadt dezelfde aangepaste checkout SDK, die een nep Stripe iframe rendert en kaartgegevens exfiltreert via een versleutelde WebSocket naar de server in Moldavië. De exfiltratie gebeurt via WebSocket met een AES-256-GCM payload, en de C2 onderhoudt een live 3D Secure relay. Wanneer de bank van het slachtoffer een 3DS challenge retourneert, proxy't de operator deze terug naar de shopper via het nep iframe, zodat de transactie wordt voltooid en de diefstal onzichtbaar blijft.
Bron: Sansec | Bron 2: wordfence.com
06 juni 2026 | Google Chrome patcht recordaantal van 429 kwetsbaarheden
Google heeft een omvangrijke update voor zijn Chrome-browser uitgebracht, waarmee een recordaantal van 429 beveiligingslekken in één keer is verholpen. Van deze kwetsbaarheden zijn er 22 als kritiek aangemerkt, wat potentieel leidt tot remote code execution (RCE). Dit betekent dat aanvallers code op het systeem van gebruikers kunnen uitvoeren simpelweg door het bezoeken van een gecompromitteerde of malafide website, of door blootstelling aan besmette advertenties.
De kritieke problemen manifesteren zich in diverse onderdelen van de browser, waaronder ANGLE, Passwords en GPU. Een significant deel van deze kwetsbaarheden valt in de categorie 'Use after free', een type geheugenlek dat vaak misbruikt wordt voor het uitvoeren van kwaadaardige code. Opmerkelijk is dat Google zelf 371 van de 429 lekken heeft geïdentificeerd. Deze ontdekkingen vonden in een relatief korte periode plaats, waarbij Google de afgelopen weken al eerder omvangrijke updates uitbracht. Zo werden op 27 mei 151 kwetsbaarheden gepatcht, gevolgd door 79 lekken op 12 mei en 127 kwetsbaarheden op 5 mei.
Hoewel er pas vijf maanden van het jaar 2026 zijn verstreken, heeft Google nu al het grootste aantal Chrome-lekken ooit in één jaar gedicht. Het hoge aantal kritieke kwetsbaarheden is eveneens opvallend. Verschillende media berichten dat Google gebruikmaakt van kunstmatige intelligentie (AI) om deze beveiligingslekken op te sporen.
De bijgewerkte versies van Google Chrome zijn 149.0.7827.53 en 149.0.7827.54 voor macOS en Windows, en 149.0.7827.53 voor Linux. Hoewel de update op de meeste systemen automatisch zal plaatsvinden, kan dit proces enkele dagen tot weken in beslag nemen. Gebruikers die direct willen updaten, kunnen een handmatige controle uitvoeren via de browserinstellingen. Voor gebruikers van Microsoft Edge, die eveneens gebaseerd is op Googles Chromium-browser, is op dit moment nog geen vergelijkbare update beschikbaar.
Bron: chromereleases.googleblog.com
08 juni 2026 | Instagram dicht kwetsbaarheid die e-mailadressen en telefoonnummers blootstelde
Instagram heeft op 6 juni 2026 een kritieke logische fout in de webgebaseerde procedure voor het resetten van wachtwoorden verholpen. Deze kwetsbaarheid stelde ongecensureerde e-mailadressen en telefoonnummers bloot die aan gebruikersaccounts waren gekoppeld, waaronder die van hooggeplaatste personen zoals Meta-topman Mark Zuckerberg en model Georgina Rodriguez. Meta, het moederbedrijf van Instagram, rolde naar verluidt binnen enkele uren na de openbaarmaking een noodpatch uit, maar niet voordat screenshots van de proof-of-concept zich verspreidden op sociale media.
De kwetsbaarheid bevond zich in de webinterface voor het resetten van wachtwoorden van Instagram. Het scherm voor accountherstel, dat ontworpen is om slechts gedeeltelijk geredigeerde herstelopties weer te geven, slaagde er niet in om gevoelige contactgegevens correct te maskeren voordat deze aan de aanvragende partij werden gepresenteerd. Onderzoekers ontdekten dat door een standaard wachtwoordreset voor een willekeurige gebruikersnaam te initiëren, de respons volledig zichtbare e-mailadressen en telefoonnummers retourneerde, in plaats van de gedeeltelijk verhulde versies die Instagram normaal toont (bijvoorbeeld m***@fb.com).
Screenshots van de proof-of-concept, gedeeld binnen de beveiligingsgemeenschap, toonden inlogschermen voor accounts zoals dat van Zuckerberg, met meerdere gekoppelde e-mailadressen en een gekoppeld telefoonnummer. Dit vormt een directe schending van Meta's beleid voor dataminimalisatie en mogelijk artikel 25 van de AVG over privacy by design.
De fout werd naar verluidt op 6 juni 2026 voor het eerst opgemerkt en publiekelijk gedemonstreerd door beveiligingsonderzoekers die de infrastructuur voor accountherstel van Meta volgden. Volgens onderzoekers ging het om een logische fout in de webgebaseerde resetprocedure en niet om een API-lek of een inbreuk aan de serverkant.
Meta bevestigde dat het lek snel met een noodpatch is gedicht en stelt dat er geen sprake was van een inbreuk op de eigen systemen.
Dit incident is het meest recente in een reeks beveiligingsproblemen bij Instagram in 2026. In januari maakte vergelijkbaar misbruik van de wachtwoordreset het voor derden mogelijk om massaal reset-e-mails te activeren, wat samenviel met het vermeende lek van 17,5 miljoen Instagram-gebruikersgegevens op darkweb-forums. Begin juni werd een afzonderlijke kwetsbaarheid in Meta's AI-gestuurde ondersteunende chatbot misbruikt door dreigingsactoren die prompt-injectie gebruikten om accounts van hooggeplaatste personen over te nemen, waaronder de gearchiveerde pagina van het Witte Huis en een account gelinkt aan de Amerikaanse Space Force, door de bot te overtuigen om doelaccounts te koppelen aan door aanvallers gecontroleerde e-mailadressen.
Beveiligingsonderzoekers hebben de toenemende frequentie van deze storingen deels toegeschreven aan architectonische beslissingen rond de automatisering van gevoelige accountfuncties door AI, waarbij zij opmerkten dat het verlenen van geprivilegieerde toegang aan AI-systemen voor accountherstel zonder robuuste identiteitsverificatie systemische risico's creëert.
Meta heeft ten tijde van publicatie geen CVE-identificatie voor deze logische fout bekendgemaakt. Gebruikers en beveiligingsteams dienen de beveiligingsadviezen van Meta te blijven volgen voor verdere details.
Bron: Meta
09 juni 2026 | CISA voegt twee actief misbruikte kwetsbaarheden toe aan KEV Catalog
De Amerikaanse Cybersecurity en Infrastructure Security Agency (CISA) heeft op 8 juni 2026 twee nieuwe kwetsbaarheden toegevoegd aan haar Known Exploited Vulnerabilities (KEV) Catalog. Deze toevoeging is gebaseerd op concreet bewijs van actieve misbruik van deze kwetsbaarheden door kwaadwillende cyberactoren. CISA benadrukt dat dergelijke kwetsbaarheden een veelvoorkomende aanvalsvector vormen en aanzienlijke risico's met zich meebrengen voor organisaties.
De twee specifieke kwetsbaarheden die nu zijn opgenomen, zijn:
1. **CVE-2026-42271:** Dit betreft een Command Injection kwetsbaarheid in BerriAI LiteLLM. Een command injection kwetsbaarheid stelt aanvallers in staat om willekeurige commando's uit te voeren op het onderliggende besturingssysteem, wat kan leiden tot volledige controle over het getroffen systeem.
2. **CVE-2026-50751:** Dit is een Improper Authentication kwetsbaarheid in Check Point Security Gateway. Een gebrekkige authenticatie kan aanvallers in staat stellen om beveiligingsmechanismen te omzeilen en ongeautoriseerde toegang te verkrijgen tot beveiligde systemen of functionaliteiten.
De KEV Catalog is opgericht onder de Binding Operational Directive (BOD) 22-01 van CISA, getiteld "Reducing the Significant Risk of Known Exploited Vulnerabilities". Deze richtlijn is specifiek van toepassing op federale civiele uitvoerende overheidsinstanties (Federal Civilian Executive Branch - FCEB agencies) in de Verenigde Staten, en verplicht hen om de geïdentificeerde kwetsbaarheden binnen een gestelde termijn te herstellen om hun netwerken te beschermen tegen actieve dreigingen.
Hoewel BOD 22-01 formeel alleen geldt voor Amerikaanse federale instanties, dringt CISA er bij alle organisaties wereldwijd sterk op aan om hun blootstelling aan cyberaanvallen te verminderen. Dit kan worden bereikt door prioriteit te geven aan het tijdig herstellen van kwetsbaarheden die zijn opgenomen in de KEV Catalog, als integraal onderdeel van hun kwetsbaarheidsbeheerpraktijk. De KEV Catalog wordt continu bijgewerkt met kwetsbaarheden die voldoen aan de gespecificeerde criteria van actieve exploitatie.
Deze waarschuwing onderstreept het belang voor Nederlandse en Belgische organisaties om proactief hun systemen te controleren op de aanwezigheid van BerriAI LiteLLM en Check Point Security Gateway en, indien aanwezig, onmiddellijk de benodigde patches of mitigatiemaatregelen toe te passen. Het negeren van actief misbruikte kwetsbaarheden kan leiden tot ernstige beveiligingsincidenten en dataverlies.
Bron: CISA | Bron 2: cve.org
09 juni 2026 | Aanvallers laten SolarWinds Serv-U FTP-servers crashen via nieuw lek
Aanvallers maken actief misbruik van een recent ontdekt beveiligingslek in SolarWinds Serv-U, waardoor FTP-servers kunnen crashen. Het Amerikaanse cyberagentschap CISA (Cybersecurity and Infrastructure Security Agency) heeft hiervoor gewaarschuwd. De kwetsbaarheid, aangeduid als CVE-2026-28318, stelt een ongeauthenticeerde aanvaller in staat om Serv-U FTP-servers te laten crashen door middel van een speciaal geprepareerd POST request.
SolarWinds Serv-U is software die organisaties gebruiken om een server op te zetten voor het uitwisselen van bestanden via FTP, FTPS en SFTP protocollen. Het bedrijf heeft op 3 juni een hotfix beschikbaar gesteld om de kwetsbaarheid te verhelpen. Twee dagen later, op 5 juni, meldde CISA al op de hoogte te zijn van actief misbruik van dit lek.
Hoewel SolarWinds geen verdere details heeft vrijgegeven over de kwetsbaarheid zelf, en CISA ook geen specifieke informatie heeft gedeeld over het waargenomen misbruik, is de ernst van de situatie duidelijk. In het verleden zijn andere kwetsbaarheden in Serv-U ook doelwit geworden van aanvallen, waarbij aanvallers toegang konden verkrijgen tot bestanden op de FTP-server. De huidige kwetsbaarheid richt zich op het veroorzaken van crashes, wat de beschikbaarheid van kritieke bestandsuitwisselingsdiensten kan ondermijnen. Organisaties die gebruikmaken van SolarWinds Serv-U worden dringend geadviseerd de beschikbare hotfix zo snel mogelijk te implementeren om hun servers te beveiligen tegen deze actieve bedreiging.
Bron: SolarWinds | Bron 2: cisa.gov
09 juni 2026 | Check Point waarschuwt voor actief misbruik kritiek VPN-lek
Check Point heeft een dringende waarschuwing uitgegeven betreffende actief misbruik van een kritieke kwetsbaarheid in zijn Remote Access VPN-oplossing. Dit ernstige beveiligingslek, dat is geïdentificeerd als CVE-2026-50751, stelt een ongeauthenticeerde aanvaller in staat om zonder de noodzaak van een geldig wachtwoord een VPN-verbinding met het bedrijfsnetwerk op te zetten. De leverancier heeft bevestigd dat tientallen organisaties reeds het slachtoffer zijn geworden van aanvallen die misbruik maken van deze kwetsbaarheid.
In reactie op de ontdekking heeft Check Point inmiddels beveiligingsupdates beschikbaar gesteld om het lek te verhelpen. Het is echter zorgwekkend dat het misbruik van de kwetsbaarheid al plaatsvond voordat deze essentiële patches werden uitgebracht. Uit een analyse van verzamelde logbestanden blijkt dat de eerste aanvallen al op 7 mei van dit jaar werden waargenomen. Vanaf begin deze maand was er een aanzienlijke toename in de frequentie van de aanvallen zichtbaar. Check Point detecteerde het verdachte gedrag op 4 juni, waarna een diepgaand onderzoek werd gestart dat uiteindelijk leidde tot de identificatie en bevestiging van het beveiligingslek.
Nadat aanvallers met succes een VPN-verbinding hebben opgezet via CVE-2026-50751, is aanvullende activiteit na authenticatie vereist om verdere toegang tot interne systemen te verkrijgen en de privileges binnen het netwerk te escaleren. In minstens één gedocumenteerd geval van een aangevallen organisatie, resulteerde de succesvolle inbraak in de uitrol van de Qilin-ransomware. Op basis van de waargenomen post-exploitatieactiviteiten stelt Check Point met een gemiddeld niveau van vertrouwen vast dat de aanvallers achter het misbruik van CVE-2026-50751 financieel gemotiveerd zijn en de Qilin-ransomware inzetten als primair instrument voor hun criminele operaties.
Organisaties die gebruikmaken van de Remote Access VPN-oplossingen van Check Point worden met klem geadviseerd om de onmiddellijk beschikbare updates te installeren. Deze updates zijn cruciaal om de kwetsbaarheid te dichten en verdere aanvallen te voorkomen. Tevens heeft Check Point Indicators of Compromise (IoC's) gedeeld, waaronder specifieke IP-adressen en bestandhashes. Deze informatie is bedoeld om organisaties in staat te stellen hun eigen systemen proactief te controleren op tekenen van compromittering en om snel te reageren indien zij het doelwit zijn geweest van deze aanvallen.
Bron: Check Point
09 juni 2026 | Gogs dicht kritieke zero-day kwetsbaarheid voor remote code execution
Gogs, een veelgebruikt platform voor het hosten van code, heeft een kritieke zero-day kwetsbaarheid gedicht die aanvallers in staat stelde Internet-facing instanties te compromitteren en toegang te krijgen tot alle repositories, inclusief private exemplaren. De kwetsbaarheid, een argument injection flaw, heeft nog geen CVE-ID toegewezen gekregen, maar stelt geauthenticeerde aanvallers zonder adminrechten in staat om systemen te exploiteren. Alle Gogs-versies tot en met 0.14.2 en 0.15.0+dev worden getroffen.
Door misbruik te maken van deze kwetsbaarheid kunnen aanvallers de doelserver compromitteren, elke repository (inclusief private) lezen, inloggegevens stelen, lateraal bewegen binnen het netwerk en gehoste broncode wijzigen. Hoewel basisgebruikersrechten vereist zijn voor exploitatie, waarschuwde Rapid7-beveiligingsonderzoeker Jonah Burgess, die de kwetsbaarheid ontdekte en rapporteerde, dat alle Gogs servers met standaardconfiguraties kwetsbaar zijn.
Burgess legde twee weken geleden uit dat Gogs standaard is geconfigureerd met open registratie (DISABLE_REGISTRATION = false) en geen limiet op het aanmaken van repositories (MAX_CREATION_LIMIT = -1). Dit betekent dat een niet-geauthenticeerde aanvaller eenvoudig een account en repository kan aanmaken op een standaard geïnstalleerde instantie. Een geregistreerde gebruiker die een repository aanmaakt, wordt automatisch de eigenaar. Vanaf dat punt kan de optie voor 'rebase merging' met een enkele schakelaar in de instellingen worden ingeschakeld, waarna de volledige exploitketen kan worden uitgevoerd zonder interactie van andere gebruikers.
Tien dagen na de publieke bekendmaking door Rapid7, na een gebrek aan reactie op meerdere statusupdates, brachten de Gogs-maintainers op 7 juni versie 0.14.3 uit om deze kwetsbaarheid te patchen. Ze hebben tevens een CVE-ID aangevraagd. Rapid7 adviseert alle Gogs-gebruikers om onmiddellijk te upgraden, aangezien de fix is geïmplementeerd via pull request #8301.
Voor gebruikers die hun Gogs-instanties niet onmiddellijk kunnen patchen, heeft Rapid7 mitigatiemaatregelen gedeeld:
* Beperk gebruikersregistratie door `DISABLE_REGISTRATION = true` in `app.ini` in te stellen. Dit is de meest effectieve maatregel, aangezien de exploit binnen de repository van een enkele gebruiker kan plaatsvinden.
* Beperk het aanmaken van repositories door `MAX_CREATION_LIMIT = 0` in `app.ini` in te stellen. Dit kan ook per gebruiker worden ingesteld via 'Max Repo Creation' in het adminpaneel. Deze maatregel blokkeert de gemakkelijkste aanvalsroute, maar voorkomt geen exploitatie door gebruikers met schrijftoegang tot bestaande repositories.
* Controleer de instellingen voor rebase merge. Hoewel 'Rebase before merging' per repository kan worden uitgeschakeld onder Instellingen > Geavanceerd, is dit geen effectieve verdediging tegen een kwaadwillende gebruiker die eigenaar is van een repository of adminrechten heeft, aangezien deze de rebase-optie naar eigen inzicht opnieuw kan inschakelen.
Gogs, geschreven in Go en ontworpen als alternatief voor GitHub Enterprise of GitLab, wordt vaak online blootgesteld als platform voor samenwerking op afstand. Internetbeveiligingswaakhond Shadowserver volgt momenteel meer dan 2.300 Internet-exposed Gogs servers, waarvan de meeste zich in Azië (1.839) en Europa (312) bevinden. Shodan vermeldt iets meer dan 1.000 IP-adressen met een Gogs-fingerprint.
Burgess merkte op dat deze kwetsbaarheid sterk lijkt op eerdere argument injection flaws die het Gogs-beveiligingsteam in recente jaren heeft gedicht, zoals CVE-2024-39933, CVE-2024-39932, CVE-2026-26194 en CVE-2024-39930. Het huidige lek bevindt zich echter in een ander codepad (Merge()) dat voorheen niet was aangepakt. Eerder, in december 2026, dichtte Gogs ook al een andere kwetsbaarheid in RCE (CVE-2025-8110) nadat deze actief werd misbruikt in zero-day aanvallen om honderden servers te compromitteren. CISA bevestigde op 12 januari dat CVE-2025-8110 in het wild werd misbruikt en voegde deze toe aan hun catalogus van actief geëxploiteerde kwetsbaarheden.
Bron: Rapid7 | Bron 2: github.com | Bron 3: cisa.gov
09 juni 2026 | Kritieke UniFi OS kwetsbaarheid maakt root-toegang zonder authenticatie mogelijk
Onderzoekers hebben een kritieke keten van drie kwetsbaarheden in de Ubiquiti UniFi OS Server ontdekt die aanvallers in staat stelt om op afstand code uit te voeren met root-rechten, zonder authenticatie. Deze beveiligingsproblemen, aangeduid als CVE-2026-34908, CVE-2026-34909 en CVE-2026-34910, zijn reeds in mei aangepakt en beïnvloeden UniFi OS Server versies 5.0.6 en ouder. Hoewel alle drie de kwetsbaarheden de maximale ernstscore kregen, vermeldde het advies van de leverancier niet dat ze konden worden geketend voor uitvoering van code op afstand. Exploitatie vereist wel toegang tot het netwerk.
CVE-2026-34908 betreft een gebrek in toegangscontrole, waardoor ongeautoriseerde wijzigingen aan kwetsbare systemen mogelijk zijn. CVE-2026-34909 is een path traversal kwetsbaarheid die bestanden op het onderliggende besturingssysteem kan blootstellen. De derde kwetsbaarheid, CVE-2026-34910, is een command injectie kwetsbaarheid waarmee commando’s op de getroffen apparaten kunnen worden uitgevoerd.
Aanvullende technische details van Bishop Fox onderzoekers, die het volledige aanvalspad valideerden op een live UniFi OS Server 5.0.6-instantie, tonen aan hoe deze kwetsbaarheden samenwerken. CVE-2026-34908 en CVE-2026-34909 kunnen worden gebruikt om authenticatie te omzeilen en een kwetsbaar endpoint te bereiken. Eenmaal daar stelt CVE-2026-34910 command injectie mogelijk. Hoewel de geïnjecteerde commando’s aanvankelijk niet als root worden uitgevoerd, ontdekten de onderzoekers dat de sudo-rechten van het serviceaccount privilege-escalatie triviaal maken. Volgens Bishop Fox zijn er geen inloggegevens, gebruikersinteractie of voorafgaande toegang vereist om een root-shell op het doelsysteem te verkrijgen.
Een UniFi OS Server is meer dan een generieke Linux-machine; het is het beheerplatform voor een organisatienetwerk, inclusief, waar deze apparaten zijn geïmplementeerd, de fysieke toegangsdeuren, bewakingscamera’s en de daaraan gekoppelde identiteiten. Root-toegang op het apparaat betekent administratieve controle over alles wat de console beheert, waarschuwt Bishop Fox.
De hoofdoorzaak van de omzeiling van authenticatie ligt in een discrepantie tussen de manier waarop UniFi OS inkomende verzoeken valideert en routeert. Specifiek evalueert de authenticatiecomponent de ruwe aanvraag-URI, terwijl Nginx verzoeken routeert op basis van een genormaliseerde versie van diezelfde URI. Door verzoeken te creëren die in hun ruwe vorm gericht lijken op een van authenticatie vrijgesteld endpoint, maar na normalisatie naar beschermde interne routes leiden, kunnen aanvallers authenticatie omzeilen en backend-services bereiken die niet publiekelijk toegankelijk zouden moeten zijn. Eenmaal binnen kunnen aanvallers een endpoint voor pakketupdates aanvallen met CVE-2026-34910, waarbij ongevalideerde gebruikersinvoer wordt doorgegeven aan een shell-commando om willekeurige commando’s op het systeem uit te voeren. De geïnjecteerde commando’s worden uitgevoerd onder een serviceaccount met hoge privileges en wachtwoordloze sudo-toegang tot verschillende systeembestanden, wat escalatie naar root triviaal maakt.
Hoewel de onderzoekers de Remote Code Execution (RCE) keten valideerden, hebben zij de volledige details of een werkende Proof of Concept (PoC) niet gedeeld. Bishop Fox heeft een gratis detectiescript uitgebracht om beheerders te helpen ontdekken of hun UniFi-instantie kwetsbaar is voor de ongeauthenticeerde RCE-keten. Het script stuurt een speciaal geconstrueerd verzoek dat het kwetsbare codepad bereikt zonder gevaarlijke commando’s uit te voeren, en classificeert het doelsysteem als "kwetsbaar", "gepatcht", "niet getroffen" of "onduidelijk". Het is echter belangrijk op te merken dat het script geen actieve aanvallen detecteert, noch of exploitatie in het verleden heeft plaatsgevonden, of dat persistentie mechanismen of backdoors op het doelsysteem aanwezig zijn. De onderzoekers merken op dat het identificeren van eerdere exploitatie uitdagend kan zijn, omdat de aanval geen authenticatie vereist. Er is geen spoor van mislukte aanmeldingen om naar te zoeken.
Naast het detectiescript kunnen beheerders ook zoeken naar verzoeken die ‘/api/auth/validate-sso/’ bevatten, verzoeken naar ‘ucs/update/latest_package’ monitoren, verdachte onderliggende processen onder ‘ucs-update’ en onverwachte sudo-commando’s. Bishop Fox heeft bevestigd dat de aanvalsketen niet werkt op UniFi OS Server 5.0.8, dus gebruikers wordt geadviseerd om te upgraden naar deze release of een latere versie. Organisaties moeten echter bevestigen dat de update is geïnstalleerd op een systeem dat niet eerder is gecompromitteerd.
Bron: Bishop Fox | Bron 2: github.com | Bron 3: hubs.li
09 juni 2026 | Kritieke Cross-Site Scripting kwetsbaarheden ontdekt in VMware producten
Het Belgisch Centrum voor Cybersecurity (CCB) heeft een waarschuwing uitgegeven voor drie ernstige kwetsbaarheden van het type Cross-Site Scripting (XSS) in verschillende VMware producten. Deze kwetsbaarheden, geïdentificeerd met de CVE-nummers CVE-2026-41723, CVE-2026-41724 en CVE-2026-41722, dragen een hoog risiconiveau met een CVSS v3.1 score van 8.0. Beheerders van de getroffen systemen worden dringend geadviseerd om onmiddellijk de beschikbare patches te installeren.
Cross-Site Scripting (XSS) kwetsbaarheden behoren tot de meest voorkomende webbeveiligingsproblemen. Ze stellen aanvallers in staat om schadelijke scripts uit te voeren in de browser van gebruikers die interactie hebben met de kwetsbare webapplicatie. Dit kan leiden tot diverse kwaadaardige acties, waaronder het stelen van sessiecookies, het omleiden van gebruikers naar phishing-pagina's, het uitvoeren van ongewenste acties namens de gebruiker, of het compromitteren van client-side data. Een succesvolle XSS aanval kan de integriteit en vertrouwelijkheid van gebruikerssessies ernstig ondermijnen.
De specifieke VMware producten die kwetsbaar zijn voor deze XSS-lekken zijn VMware (Telco) Cloud, vSphere Foundation en Aria Operations. De kwetsbaarheden zijn aangetroffen in versie 9.1.0.0 van deze software. Gezien de wijdverspreide adoptie van VMware-oplossingen in bedrijfskritische infrastructuren, waaronder de telecomsector, kan de impact van deze kwetsbaarheden aanzienlijk zijn als ze niet tijdig worden gepatcht.
Broadcom, de leverancier van VMware-producten, heeft beveiligingsadviezen uitgebracht met details over de kwetsbaarheden en de beschikbare oplossingen. Het is van cruciaal belang dat organisaties die de genoemde VMware-producten gebruiken, deze adviezen raadplegen en de aanbevolen patches zonder uitstel implementeren om potentiële exploits te voorkomen. Het negeren van dergelijke waarschuwingen kan leiden tot onbevoegde toegang tot systemen, dataverlies of andere ernstige beveiligingsincidenten. Het CCB benadrukt dat proactief patchen de beste verdediging is tegen dit soort bekende kwetsbaarheden.
Bron: CCB Advisories | Bron 2: nvd.nist.gov
09 juni 2026 | Instagram hersteltool kwetsbaar: 20.225 accounts blootgesteld aan misbruik wachtwoordreset
Meta heeft een beveiligingsincident openbaar gemaakt dat betrekking heeft op een account herstel tool van Instagram. Aanvallers maakten misbruik van een kwetsbaarheid om wachtwoord reset links te verzenden naar e-mailadressen die niet waren gekoppeld aan de beoogde accounts. Dit incident trof in totaal 20.225 personen, waaronder 30 inwoners van de Amerikaanse staat Maine. Het probleem ontstond op 17 april 2026 en werd door Meta ontdekt op 31 mei 2026.
De kwetsbaarheid bevond zich in het "High Touch Support" systeem van Instagram, een AI ondersteund hulpmiddel dat is ontworpen om gebruikers te helpen weer toegang te krijgen tot hun account wanneer zij buitengesloten zijn. Als onderdeel van dit proces konden gebruikers een wachtwoord reset link aanvragen door een e-mailadres op te geven.
Volgens Meta functioneerde de support tool zelf zoals bedoeld, maar veroorzaakte een bug in een afzonderlijk code pad een ernstige validatiefout. Het systeem controleerde niet correct of het e-mailadres dat tijdens het herstelproces werd ingevoerd, overeenkwam met het e-mailadres dat al aan het Instagram account was gekoppeld. Door deze fout kon een onbevoegd persoon een wachtwoord reset aanvragen voor het Instagram account van iemand anders en de reset link naar een e-mailadres sturen dat zij beheerden. Als het beoogde account geen twee factor authenticatie had ingeschakeld, kon de aanvaller het wachtwoord resetten en toegang krijgen tot het account.
Meta is niet op de hoogte van welke specifieke persoonlijke informatie is ingezien. Het bedrijf heeft echter verschillende categorieën accountgegevens opgesomd die mogelijk toegankelijk waren, waaronder e-mailadressen, telefoonnummers, geboortedata, profielinformatie, posts, foto’s, video’s, stories, directe berichten, accountactiviteit, interactiegeschiedenis en verbonden accounts of gekoppelde diensten. De 30 gebruikers uit Maine die in de melding werden genoemd, waren personen van wie de wachtwoorden via de support tool waren gereset, die geen twee factor authenticatie hadden ingeschakeld, en van wie de Instagram accounts waarschijnlijk zijn geopend door een onbevoegde partij. Meta gaf ook aan dat dit aantal een bovengrens is, omdat een deel van de accountactiviteit mogelijk door legitieme accounteigenaren is uitgevoerd.
Na de ontdekking van de kwetsbaarheid heeft Meta de AI ondersteunde support tool op dezelfde dag uitgeschakeld en alle bestaande wachtwoord reset links die via het kwetsbare pad waren gegenereerd, ongeldig gemaakt. Het bedrijf heeft getroffen accounts ook achter een verplicht security checkpoint geplaatst, waarbij gebruikers zich opnieuw moesten authenticeren voordat zij weer toegang kregen. Meta instrueert getroffen gebruikers om hun wachtwoorden te resetten en zich opnieuw te authenticeren via veilige kanalen. Het bedrijf is ook van plan om getroffen gebruikers op 19 juni 2026 elektronisch op de hoogte te stellen en hen aan te bevelen de account security instellingen te controleren en twee factor authenticatie in te schakelen.
Voordat de tool opnieuw wordt geactiveerd, zal Meta de authenticatie controle in het Instagram herstelproces repareren, zodat wachtwoord reset verzoeken worden geverifieerd aan de hand van bestaande accountinformatie. Het bedrijf controleert ook vergelijkbare herstelprocessen op andere Meta platformen op gerelateerde problemen.
Deze melding komt in een periode waarin de account herstelsystemen van Instagram onder druk staan. Op 1 juni maakten hackers misbruik van de AI support bot van Meta om belangrijke Instagram accounts te kapen, waaronder het gearchiveerde Barack Obama White House account, Sephora en John Bentivegna, de Chief Master Sergeant van de U.S. Space Force. Enkele dagen later, op 6 juni, werd een ander wachtwoord reset probleem gemeld, waarbij een Instagram glitch volledige contactgegevens van spraakmakende gebruikers, inclusief e-mailadressen en een telefoonnummer gekoppeld aan Meta CEO Mark Zuckerberg, blootlegde via het wachtwoord reset proces. De melding van Meta in Maine stelt niet dat deze latere incidenten deel uitmaakten van hetzelfde incident; de melding is beperkt tot de AI ondersteunde High Touch Support herstel tool en de 20.225 gebruikers van wie de accounts mogelijk via dat pad zijn getroffen.
Instagram gebruikers die zich zorgen maken over de account security, wordt aangeraden recente login activiteit te controleren, onbekende gekoppelde accounts te verwijderen, hun wachtwoord bij te werken en twee factor authenticatie in te schakelen met een authenticator app of security key, indien beschikbaar.
Bron: Meta Platforms | Bron 2: maine.gov
09 juni 2026 | IBM verhelpt kwetsbaarheden in Aspera High-Speed Transfer producten
IBM heeft recent kwetsbaarheden aangepakt in zijn IBM Aspera High-Speed Transfer Endpoint en Server, met name in versies variërend van 3.7.4 tot en met 4.4.7 Fix Pack 1. Deze beveiligingslekken zijn specifiek gevonden in de asperahttpd-component die deel uitmaakt van beide producten, cruciaal voor de functionaliteit van de snelle gegevensoverdrachtsystemen.
De kwetsbaarheden omvatten een buffer overflow, wat kan leiden tot diverse ernstige gevolgen. Zo kan een ongeauthenticeerde aanvaller misbruik maken van de buffer overflow om de asperahttpd-service te laten crashen. Dit resulteert direct in een Denial-of-Service (DoS), waardoor de beschikbaarheid van de service wordt onderbroken en legitieme gebruikers geen toegang meer hebben tot de overdrachtsmogelijkheden.
Naast DoS-aanvallen kunnen de kwetsbaarheden ook leiden tot het omzeilen van authenticatiemechanismen. Dit betekent dat aanvallers, onder bepaalde omstandigheden, de beveiligingscontroles kunnen omzeilen die normaliter toegang tot het systeem reguleren. Een nog ernstiger gevolg is de mogelijkheid tot de uitvoering van willekeurige code op afstand, wat aanvallers volledige controle over het getroffen systeem kan geven.
Bovendien kan een reeds geauthenticeerde gebruiker de normale autorisatiemechanismen omzeilen. Dit stelt de aanvaller in staat om lokaal opgeslagen bestanden op de server te lezen, zelfs zonder de vereiste toestemming. Deze brede reeks van kwetsbaarheden is vastgesteld in verschillende versies binnen het gespecificeerde bereik van de IBM Aspera High-Speed Transfer-producten, wat de noodzaak van tijdige patching onderstreept. Gebruikers van de getroffen IBM Aspera-producten worden geadviseerd de aangeboden fixes zo spoedig mogelijk te implementeren om de systemen te beveiligen tegen potentiële aanvallen.
Bron: NCSC
09 juni 2026 | CCB waarschuwt voor kritieke kwetsbaarheid in MISP: direct patchen
Het Centrum voor Cybersecurity België (CCB) heeft een urgente waarschuwing uitgegeven betreffende een kritieke kwetsbaarheid in het Malware Information Sharing Platform (MISP). De kwetsbaarheid, geïdentificeerd onder het CVE-nummer CVE-2026-10868, wordt gekenmerkt door een CVSS:4.0 risiconiveau, wat duidt op een zeer hoge ernst en een aanzienlijk risico voor de beveiliging. Het CCB roept alle gebruikers van MISP op om onmiddellijk de noodzakelijke patches toe te passen.
MISP is een open-source softwareplatform dat wereldwijd wordt ingezet door een breed scala aan organisaties, waaronder overheidsinstanties, nationale CERT's (Computer Emergency Response Teams) en bedrijven. Het primaire doel van MISP is het faciliteren van de uitwisseling van cruciale informatie over cyberdreigingen, zoals indicatoren van compromis (IoC's) en de tactieken, technieken en procedures (TTP's) die door aanvallers worden gebruikt. Dit platform stelt analisten op het gebied van beveiliging in staat om effectiever samen te werken en sneller te reageren op nieuwe en zich ontwikkelende cyberdreigingen.
De ontdekking van een kritieke kwetsbaarheid in een systeem dat zo essentieel is voor de coördinatie van cyberbeveiliging, brengt aanzienlijke risico's met zich mee. Potentiële gevolgen kunnen variëren van ongeautoriseerde toegang tot gevoelige dreigingsinformatie tot de manipulatie van gedeelde data, of zelfs de volledige compromittering van MISP-servers. Een succesvolle exploitatie van deze kwetsbaarheid zou niet alleen de operationele integriteit van de gebruikers van het platform ondermijnen, maar ook hun vermogen om effectief cyberdreigingen te detecteren, te analyseren en erop te reageren ernstig belemmeren.
Gezien de ernst van het risico en de wijdverspreide adoptie van MISP binnen de cybersecuritygemeenschap, is de waarschuwing van het CCB van cruciaal belang. Organisaties die MISP gebruiken, moeten de aanbeveling van het CCB serieus nemen en zonder uitstel de vereiste beveiligingsupdates implementeren. Dit is essentieel om hun systemen te beschermen tegen mogelijke aanvallen en de continuïteit van hun dreigingsinformatie-uitwisseling te waarborgen. Het niet tijdig patchen kan leiden tot ernstige beveiligingsincidenten en dataverlies.
Bron: Centrum voor Cybersecurity België (CCB) | Bron 2: nvd.nist.gov | Bron 3: vulnerability.circl.lu
09 juni 2026 | IBM verhelpt kritieke kwetsbaarheden in WebSphere Application Server
Op 09 juni 2026 heeft IBM een reeks kwetsbaarheden verholpen die aanwezig waren in hun WebSphere Application Server en WebSphere Liberty producten. Specifiek zijn de versies 8.5 en 9.0 van deze servers getroffen. De kwetsbaarheden bevinden zich in de Web Server Plug-ins, essentiële componenten die een cruciale rol spelen in de afhandeling van verzoeken binnen deze veelgebruikte IBM omgevingen. Het Nationaal Cyber Security Centrum (NCSC) heeft een waarschuwing uitgegeven over deze kwetsbaarheden, wat de urgentie voor Nederlandse en Belgische organisaties onderstreept om de nodige updates toe te passen.
Eén van de ontdekte zwakke plekken betreft HTTP request smuggling. Dit type kwetsbaarheid stelt aanvallers in staat om zorgvuldig opgestelde HTTP verzoeken te gebruiken. Hiermee kunnen zij beveiligingscontroles omzeilen die normaliter in plaats zijn, of de reguliere verwerking van HTTP verzoeken op de server significant verstoren. Dergelijke aanvallen kunnen leiden tot onverwacht gedrag van de webserver en mogelijk verdere compromittering van de infrastructuur.
De tweede, en potentieel ernstigere, kwetsbaarheid maakt remote code execution (RCE) mogelijk. Dit betekent dat een kwaadwillende actor, door het verzenden van specifiek geconstrueerde verzoeken naar de kwetsbare plug-ins, op afstand willekeurige code kan uitvoeren op het getroffen systeem. De mogelijkheid tot remote code execution geeft aanvallers doorgaans volledige controle over de server, wat kan leiden tot datadiefstal, installatie van malware, of verdere uitbreiding van de aanval binnen het netwerk van een organisatie.
Beide kwetsbaarheden richten zich op kritieke onderdelen die verantwoordelijk zijn voor de communicatie tussen de webserver en de applicatie binnen de IBM WebSphere productsuite. Gezien de wijdverspreide adoptie van IBM WebSphere Application Server en WebSphere Liberty in bedrijfsomgevingen wereldwijd, en ook binnen Nederland en België, is het van groot belang dat organisaties die deze producten gebruiken, de door IBM uitgebrachte patches onmiddellijk implementeren. Het NCSC adviseert organisaties om hun systemen proactief te patchen om potentiële misbruik van deze zwakke plekken te voorkomen en de integriteit en beschikbaarheid van hun webapplicaties te waarborgen.
Bron: NCSC
09 juni 2026 | Kritiek Linux-kernellek geeft lokale aanvaller rootrechten, exploit nu openbaar
Een ernstige use-after-free kwetsbaarheid, aangeduid als CVE-2026-23111, is ontdekt in het nftables-subsysteem van de Linux-kernel. Deze kwetsbaarheid stelt een ongeprivilegieerde lokale aanvaller in staat om volledige rootrechten te verkrijgen op diverse veelgebruikte Linux-distributies, waaronder Debian Bookworm, Debian Trixie, Ubuntu 22.04 LTS en Ubuntu 24.04 LTS.
De fout bevindt zich specifiek in de functie `nft_map_catchall_activate()`. Door een enkele omgekeerde voorwaarde, veroorzaakt door een verkeerd geplaatste operator, slaat de functie inactieve catchall-elementen ten onrechte over tijdens het afbreken, in plaats van ze correct opnieuw te activeren. Dit leidt ertoe dat een chain wordt vrijgegeven zodra het gebruik ervan tot nul daalt, terwijl catchall-verdict-elementen er nog steeds naar verwijzen. Dit resulteert in de use-after-free conditie.
De kwetsbaarheid werd begin 2025 ontdekt en op 5 februari 2026 via een kernelcommit upstream gepatcht. Op 8 juni 2026 publiceerde beveiligingsonderzoeker Oliver Sieber van Exodus Intelligence een gedetailleerde technische analyse, inclusief een werkende exploit. Deze exploit toont een betrouwbaarheid aan van meer dan 99 procent op inactieve systemen. Eerder, in april, had FuzzingLabs al onafhankelijk een reproductie van het probleem gepubliceerd. De kwetsbaarheid kan ook worden misbruikt om uit containers of namespaces te breken, wat de ernst van het probleem verder onderstreept.
Beheerders van de getroffen Linux-distributies wordt dringend geadviseerd om de upstream-kernelpatch toe te passen of te updaten naar een gepatchte kernelversie die door hun distributie wordt aangeboden. Voor Ubuntu systemen kan het beperken van het aanmaken van ongeprivilegieerde user namespaces een gedeeltelijke mitigatie bieden tegen de kwetsbaarheid.
Bron: Exodus Intelligence
10 juni 2026 | Microsoft dicht kwetsbaarheden in Office, waaronder SharePoint, Word en Excel
Microsoft heeft recentelijk een reeks kwetsbaarheden verholpen die diverse Office-producten treffen, waaronder SharePoint, Word, Project en Excel. Kwaadwillenden zouden deze kwetsbaarheden kunnen misbruiken om aanvallen uit te voeren die leiden tot uiteenlopende vormen van schade, variërend van het verkrijgen van verhoogde rechten tot het uitvoeren van willekeurige code. Voor een succesvolle aanval is het vereist dat een slachtoffer wordt misleid tot het openen van een malafide bestand of het volgen van een kwaadaardige link.
Binnen Microsoft Office SharePoint zijn er meerdere kwetsbaarheden gedicht. De meest kritieke is CVE-2026-45484 met een CVSS-score van 8.80, die het mogelijk maakt om verhoogde rechten te verkrijgen. CVE-2026-47298 (CVSS 8.00) en CVE-2026-45454 (CVSS 6.50) kunnen leiden tot het uitvoeren van willekeurige code. Andere kwetsbaarheden, waaronder CVE-2026-45453 (CVSS 5.40) en CVE-2026-45465 (CVSS 5.40), bieden eveneens mogelijkheden voor het voordoen als andere gebruiker. Een groot aantal andere kwetsbaarheden in SharePoint, zoals CVE-2026-45467, CVE-2026-45468, CVE-2026-45479, CVE-2026-47636, CVE-2026-47637, CVE-2026-47638, CVE-2026-47639, CVE-2026-47641, CVE-2026-33113, CVE-2026-45462, CVE-2026-45464, CVE-2026-47634, CVE-2026-47640 en CVE-2026-45481, met CVSS-scores tussen 4.60 en 7.30, stellen een aanvaller in staat zich voor te doen als een andere gebruiker. Tot slot zijn er CVE-2026-48560 (CVSS 5.40) en CVE-2026-48562 (CVSS 4.60), die eveneens impersonatie als impact hebben.
Voor Windows Win32K - GRFX zijn twee kwetsbaarheden verholpen: CVE-2026-44803 en CVE-2026-44812, beide met een CVSS-score van 7.80, die kunnen leiden tot het uitvoeren van willekeurige code.
Microsoft Office Word kent ook meerdere kwetsbaarheden voor het uitvoeren van willekeurige code, waaronder CVE-2026-45475, CVE-2026-45471, CVE-2026-45486, CVE-2026-44819, CVE-2026-44824, CVE-2026-45643 en CVE-2026-45457, alle met een CVSS-score van 7.80. Daarnaast zijn CVE-2026-45485 (CVSS 3.30), CVE-2026-44821 (CVSS 5.50) en CVE-2026-45466 (CVSS 3.30) gedicht, die toegang tot gevoelige gegevens mogelijk maakten.
Microsoft Teams voor Android bevat CVE-2026-42835 (CVSS 8.10), een kwetsbaarheid die kan leiden tot toegang tot gevoelige gegevens. Office voor Android is kwetsbaar via CVE-2026-45649 (CVSS 7.10), waarmee een aanvaller zich kan voordoen als een andere gebruiker.
Microsoft Office Project kent één gedichte kwetsbaarheid, CVE-2026-45483 (CVSS 4.60), met als impact het voordoen als een andere gebruiker.
Algemene kwetsbaarheden die Microsoft Office treffen, omvatten CVE-2026-45472, CVE-2026-45474, CVE-2026-45456, CVE-2026-45458, CVE-2026-45461, CVE-2026-47635 en CVE-2026-45463, die allemaal een hoge CVSS-score van 8.40 hebben en het uitvoeren van willekeurige code mogelijk maken. CVE-2026-45645 (CVSS 7.80) heeft eveneens deze impact. Verder is CVE-2026-45460 (CVSS 4.70) verholpen, die toegang tot gevoelige gegevens kon verschaffen.
Voor Microsoft Office Excel zijn kritieke kwetsbaarheden gepatcht voor het uitvoeren van willekeurige code: CVE-2026-45469, CVE-2026-44817, CVE-2026-44820 en CVE-2026-44823 (alle CVSS 7.80), en CVE-2026-44818 (CVSS 7.00). CVE-2026-44822 (CVSS 8.20) kon leiden tot toegang tot gevoelige gegevens. Andere kwetsbaarheden zijn CVE-2026-45455 (CVSS 3.30) voor toegang tot gevoelige gegevens en CVE-2026-45459 (CVSS 3.30) voor het omzeilen van beveiligingsmaatregelen.
Ten slotte is in Microsoft Office Click-To-Run CVE-2026-47293 (CVSS 7.00) verholpen, die het verkrijgen van verhoogde rechten mogelijk maakte. Organisaties en gebruikers wordt geadviseerd de betreffende updates zo spoedig mogelijk te installeren om zich te beschermen tegen mogelijke misbruik van deze kwetsbaarheden.
Bron: NCSC
10 juni 2026 | Kritieke kwetsbaarheid in Veeam Backup & Replication maakt remote code execution mogelijk
Een kritieke kwetsbaarheid in de software van Veeam maakt het mogelijk om op afstand code uit te voeren op back-upservers. Het bedrijf heeft inmiddels updates uitgebracht om dit probleem te verhelpen. Het beveiligingslek, aangeduid met CVE-2026-44963, bevindt zich specifiek in de back-upsoftware Veeam Backup & Replication, een oplossing die door organisaties wordt gebruikt voor het maken en herstellen van back-ups.
De kwetsbaarheid stelt een geauthenticeerde domain user in staat om willekeurige code uit te voeren op de back-upserver. Volgens Veeam's beveiligingsbulletin treft dit lek uitsluitend versie 12 van Backup & Replication. Bovendien lopen alleen back-upservers die zijn aangesloten bij een domein ("domain-joined") risico. Cybersecurity bedrijf Rapid7 heeft eerder aangegeven dat dit een veelvoorkomende configuratie is binnen organisaties, wat de potentiële impact van het lek vergroot.
Veeam heeft geen melding gemaakt van actief misbruik van deze specifieke kwetsbaarheid. Er zijn echter in het verleden wel andere lekken in de software van Veeam misbruikt bij cyberaanvallen. Het Amerikaanse cyber agentschap CISA houdt een catalogus bij van kwetsbaarheden die actief worden uitgebuit. In deze catalogus staan momenteel vier verschillende kwetsbaarheden in Veeam vermeld, wat het belang van tijdige updates onderstreept. Organisaties die Veeam Backup & Replication versie 12 gebruiken, worden dringend geadviseerd de uitgebrachte updates onmiddellijk te installeren om hun back-up infrastructuur te beveiligen tegen potentiële aanvallen.
Bron: Veeam | Bron 2: cisa.gov | Bron 3: rapid7.com
10 juni 2026 | Kritieke Check Point VPN kwetsbaarheid actief misbruikt door Qilin ransomware
De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft federale overheidsinstanties bevolen om een kritieke kwetsbaarheid in Check Point Remote Access VPN en Mobile Access implementaties te patchen. Deze kwetsbaarheid, aangeduid als CVE-2026-50751, wordt actief misbruikt in zero-day aanvallen door Qilin ransomware-affiliates. Ongeauthenticeerde externe aanvallers kunnen deze beveiligingsfout exploiteren om authenticatie te omzeilen en een Remote Access VPN verbinding tot stand te brengen op kwetsbare Mobile Access/SSL VPN's, Remote Access VPN's of Spark firewalls.
De kwetsbaarheid treft alleen exemplaren die zijn geconfigureerd om het verouderde IKEv1 sleuteluitwisselingsprotocol te gebruiken, in combinatie met security gateways die geen machinecertificaat vereisen voor verbindingen en die legacy Remote Access clients accepteren. De Israëlische cybersecurityfirma Check Point heeft beveiligingsupdates uitgebracht om CVE-2026-50751 aan te pakken. Zij gaven aan dat de exploitatie van de kwetsbaarheid begon op 7 mei en in het weekend daarop een piek vertoonde.
Hoewel deze aanvallen wereldwijd slechts bij "enkele tientallen" organisaties tot inbraken hebben geleid, heeft Check Point ten minste één incident in verband gebracht met de Qilin Ransomware als een Dienst (RaaS) operatie. Qilin heeft sinds zijn verschijning in augustus 2022 meer dan 400 slachtoffers geclaimd op zijn darkweb lek site. Check Point heeft klanten die het IKEv1 sleuteluitwisselingsprotocol gebruiken, sterk aangeraden de beschikbare beveiligingsupdates onmiddellijk toe te passen.
Voor organisaties die niet direct kunnen patchen, heeft Check Point mitigatiemaatregelen gedeeld. Deze omvatten het verwijderen van ondersteuning voor de legacy Remote Access client, het configureren van wereldwijde eigenschappen voor Remote Access VPN authenticatie naar alleen IKEv2, het inschakelen van IPS en het downloaden van de signatures, en het verplicht stellen van authenticatie via machinecertificaten.
CISA heeft CVE-2026-50751 toegevoegd aan zijn Known Exploited Vulnerabilities (KEV) Catalogus en federale civiele uitvoerende instanties (FCEB) bevolen hun apparaten uiterlijk 11 juni te beveiligen, zoals voorgeschreven door de Bindende Operationele Richtlijn (BOD) 22-01. CISA benadrukte dat dit type kwetsbaarheid een veelvoorkomende aanvalsvector is voor kwaadwillende cyberactoren en aanzienlijke risico's vormt voor de federale overheid. Hoewel de richtlijn specifiek is voor Amerikaanse federale instanties, heeft CISA alle beveiligingsteams, inclusief die in de private sector, aangespoord om de patches voor CVE-2026-50751 zo snel mogelijk te implementeren en de netwerken van hun organisaties te beveiligen.
Bron: Check Point | Bron 2: cisa.gov | Bron 3: nvd.nist.gov
10 juni 2026 | CISA voegt kwetsbaarheden in Arista, Chromium en Cisco toe aan misbruikcatalogus
De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft recentelijk drie nieuwe kwetsbaarheden toegevoegd aan haar catalogus van bekende misbruikte kwetsbaarheden (Known Exploited Vulnerabilities - KEV). Deze toevoeging is gebaseerd op concreet bewijs van actieve exploitatie door kwaadwillende cyberactoren. De betreffende kwetsbaarheden vormen een aanzienlijk risico voor federale netwerken en worden door CISA sterk aanbevolen voor onmiddellijke remediëring door alle organisaties.
De drie specifieke kwetsbaarheden die aan de KEV-catalogus zijn toegevoegd, zijn:
* **CVE-2026-7473**: Een kwetsbaarheid in het Arista Extensible Operating System (EOS), omschreven als een 'Incomplete Comparison with Missing Factors Vulnerability'.
* **CVE-2026-11645**: Een kwetsbaarheid in Google Chromium V8, een out-of-bounds read en write kwetsbaarheid.
* **CVE-2026-20245**: Een kwetsbaarheid in Cisco Catalyst SD-WAN Manager, die betrekking heeft op 'Improper Encoding or Escaping of Output'.
Deze typen kwetsbaarheden worden frequent ingezet als aanvalsvector door cybercriminelen en kunnen leiden tot significante risico's. De KEV-catalogus is tot stand gekomen via de Binding Operational Directive (BOD) 22-01, getiteld "Reducing the Significant Risk of Known Exploited Vulnerabilities". Deze richtlijn verplicht federale civiele uitvoerende tak (FCEB) agentschappen om geïdentificeerde kwetsbaarheden vóór een gestelde deadline te herstellen om hun netwerken te beschermen tegen actieve dreigingen.
Hoewel BOD 22-01 primair van toepassing is op FCEB-agentschappen, benadrukt CISA het belang voor alle organisaties om hun blootstelling aan cyberaanvallen te verminderen. Dit kan door prioritering van tijdige remediëring van de kwetsbaarheden die in de KEV-catalogus zijn opgenomen, als een integraal onderdeel van hun kwetsbaarhedenbeheer. CISA zal de catalogus blijven aanvullen met kwetsbaarheden die aan de gespecificeerde criteria voldoen.
Bron: CISA | Bron 2: cve.org
10 juni 2026 | Zes Proto6 kwetsbaarheden in protobuf.js bedreigen Node.js applicaties
Onderzoekers hebben zes kwetsbaarheden ontdekt in protobuf.js, een JavaScript- en TypeScript-implementatie van Protocol Buffers (Protobuf). Deze kwetsbaarheden, gezamenlijk aangeduid als Proto6, kunnen bij succesvolle exploitatie leiden tot remote code execution (RCE) en denial-of-service (DoS) aanvallen op Node.js applicaties. Assaf Morag, beveiligingsonderzoeker bij Cyera, stelt dat in getroffen omgevingen een enkel kwaadaardig Protobuf-schema, descriptor of speciaal gemaakt payload voldoende kan zijn om crashes, runtime corruptie of zelfs code-uitvoering te veroorzaken.
Protobuf is een gratis, open-source en taalagnostisch mechanisme voor het serialiseren van gestructureerde data, oorspronkelijk ontwikkeld en intern gebruikt door Google. De geïdentificeerde kwetsbaarheden treffen Node.js applicaties die protobuf.js gebruiken, clientbibliotheken van Google Cloud, messaging frameworks zoals Baileys, en CI/CD-pijplijnen. Volgens Cyera is elke Node.js dienst die Protobuf-data deserialiseert of code genereert uit schema's met protobuf.js waarschijnlijk getroffen.
De kwetsbaarheden omvatten:
* **CVE-2026-44289 (CVSS score: 7.5):** DoS door onbegrensde Protobuf-recursie.
* **CVE-2026-44290 (CVSS score: 7.5):** Procesbrede DoS bij het laden van schema's met onveilige optiepaden.
* **CVE-2026-44291 (CVSS score: 8.1):** Gadget voor codegeneratie na prototype-vervuiling. Dit is de meest ernstige kwetsbaarheid, die resulteert in code-uitvoering wanneer een Node.js applicatie input accepteert die door een aanvaller wordt beheerd. Vladimir Tokarev, beveiligingsonderzoeker, legt uit dat deze input een prototype-vervuilingsgadget bereikt. Later gebruikt hetzelfde proces protobuf.js om een bericht te coderen of decoderen. Omdat protobuf.js typenamen oplost via eenvoudige eigenschapzoekopdrachten, kan een vervuild Object.prototype ervoor zorgen dat een door een aanvaller beheerde string eruitziet als een geldige Protobuf-primitief. Protobuf.js voegt die string vervolgens in een gegenereerde encoder- of decoderfunctie in en compileert deze met Function(), waardoor de aanvaller willekeurige JavaScript-uitvoering binnen het Node.js-proces verkrijgt.
* **CVE-2026-44292 (CVSS score: 5.3):** Prototype-injectie in gegenereerde berichtconstructors.
* **CVE-2026-44294 (CVSS score: 5.3):** DoS door speciaal geformuleerde veldnamen in gegenereerde code.
* **CVE-2026-44295 (CVSS score: 8.7):** Code-injectie in de statische output van pbjs vanuit speciaal geformuleerde schemanamen.
Cyera heeft vastgesteld dat alle kwetsbaarheden voortkomen uit de manier waarop de bibliotheek schema en metadata standaard als vertrouwd behandelt. Dit gebrek aan validatie kan het gedrag van applicaties beïnvloeden en leiden tot code-uitvoering. Hoewel de exploitatie van deze kwetsbaarheden doorgaans specifieke voorwaarden vereist, komen deze voorwaarden steeds vaker voor in data- en AI-ecosystemen die routinematig data, schema's en configuratiebestanden uitwisselen tussen diensten, repositories, cloudplatforms en integraties met derden.
In een potentieel aanvalsscenario zou een kwaadwillende actor een kwaadaardig Protobuf-schema kunnen introduceren om CI/CD-workflows te vergiftigen, waarbij build-secrets kunnen lekken (CVE-2026-44295). Ook kunnen Node.js-diensten, zoals WhatsApp-bots die zijn gebouwd met Baileys, een TypeScript-bibliotheek voor automatisering van de WhatsApp Web API, crashen door middel van een speciaal geformuleerd bericht (CVE-2026-44292).
De volgende versies van de tool zijn kwetsbaar, namelijk protobuf.js versies ouder dan 7.5.6 en 8.0.2. Patches zijn beschikbaar in protobufjs 7.5.6 en 8.0.2, en protobufjs-cli 1.2.1 en 2.0.2. Gebruikers wordt geadviseerd de nieuwste fixes toe te passen om zich te beschermen tegen mogelijke dreigingen.
Vanwege het intensieve gebruik van protobuf.js in databases, vector stores, inference-pijplijnen, orchestratiesystemen, CI/CD-tools en cloud-SDK's, kan succesvolle exploitatie gevoelige bedrijfs- en AI-workloads op grote schaal beïnvloeden. Moderne software behandelt schema's, metadata en configuratiebestanden steeds vaker als vertrouwde inputs die automatisering, orkestratie en codegeneratie aansturen. Wanneer deze vertrouwensaannames worden doorbroken, kan data gedrag worden, wat nieuwe aanvalsoppervlakken creëert die beveiligingsteams moeten leren identificeren en beheren.
Bron: Cyera
10 juni 2026 | ServiceNow onthult beveiligingsincident door kwetsbaarheid in API
ServiceNow, een wereldwijde leverancier van cloud-gebaseerde platforms voor digitale workflows, heeft een beveiligingsincident openbaar gemaakt. Dit incident omvatte de exploitatie van een kwetsbaarheid in een niet-geauthenticeerde REST API. Aanvallers maakten misbruik van dit beveiligingslek om toegang te verkrijgen tot klantinstellingen en hieruit klantdata op te vragen.
De aard van een niet-geauthenticeerde REST kwetsbaarheid in API betekent doorgaans dat het mogelijk was om via de API toegang te krijgen tot systemen zonder de vereiste inloggegevens of authenticatietokens. Dit type kwetsbaarheid vormt een ernstig risico, aangezien het ongeautoriseerde partijen in staat stelt om interactie te hebben met de API en onderliggende gegevens of functionaliteiten te benaderen.
De succesvolle exploitatie resulteerde in de mogelijkheid voor aanvallers om de klantinstellingen van ServiceNow te benaderen en specifieke klantdata op te vragen. Hoewel de exacte omvang van de gecompromitteerde data en het aantal getroffen klanten niet specifiek zijn vermeld in de openbaarmaking, duidt het vermogen om klantinstellingen te betreden en data op te vragen op een potentieel aanzienlijke inbreuk op de vertrouwelijkheid en integriteit van gegevens.
Gezien de wijdverspreide adoptie van ServiceNow-platforms door bedrijven en organisaties wereldwijd, waaronder een aanzienlijk aantal in Nederland en België, benadrukt dit incident het kritieke belang van robuuste beveiligingsmaatregelen voor alle API-endpoints. Het incident onderstreept tevens de noodzaak voor organisaties om alert te zijn op disclosures van softwareleveranciers en snel te reageren op eventuele aanbevolen mitigatiestappen of patches om hun eigen omgevingen te beschermen tegen vergelijkbare aanvallen.
Bron: Darkweb
10 juni 2026 | SAP dicht kritieke lekken in NetWeaver en Commerce Cloud
SAP heeft in juni 2026 een beveiligingspatchpakket uitgebracht met daarin oplossingen voor vijftien kwetsbaarheden, waarvan vier als kritiek zijn geclassificeerd. Deze kritieke zwakke plekken beïnvloeden de bedrijfskritische platforms SAP NetWeaver en SAP Commerce Cloud.
SAP NetWeaver fungeert als de kernapplicatieplatform en middlewarestack van SAP, die de basis vormt voor tal van SAP-bedrijfstoepassingen, inclusief ERP-systemen. Het platform beheert essentiële functies zoals applicatieservering, integratie, authenticatie, gebruikersbeheer en gegevensverwerking. SAP Commerce Cloud, voorheen bekend als Hybris, is een e-commerceplatform voor bedrijven dat organisaties in staat stelt online winkels, digitale verkoopkanalen, productcatalogi, klantaccounts en orderbeheersystemen te bouwen en te beheren voor zowel B2B- als B2C-handel.
In de recente beveiligingsbulletin van deze maand heeft SAP de volgende kritieke kwetsbaarheden aangepakt:
* **CVE-2026-44748 (CVSS 9.9)**: Een XML Signature kwetsbaarheid in Wrapping in SAP NetWeaver AS ABAP en ABAP Platform. Deze kwetsbaarheid kan leiden tot een authenticatiebypass in SAML-gebaseerde omgevingen. Een geauthenticeerde aanvaller met normale privileges kan een geldig ondertekend bericht verkrijgen en gemodificeerde, ondertekende XML-documenten naar de verificateur sturen. Dit kan ertoe leiden dat onrechtmatig gewijzigde identiteitsinformatie wordt geaccepteerd, wat resulteert in ongeautoriseerde toegang tot gevoelige gebruikersgegevens en een mogelijke verstoring van het normale systeemgebruik.
* **CVE-2026-27671 (CVSS 9.8)**: Een geheugenbeschadigingsfout in SAP NetWeaver/ABAP Platform Application Server ABAP. Deze kwetsbaarheid kan zonder authenticatie worden misbruikt door een aanvaller die speciaal vervaardigde RFC-verzoeken naar kwetsbare endpoints stuurt, waarbij misbruik wordt gemaakt van onjuiste kernelvalidatie om geheugenbeschadiging te veroorzaken.
* **CVE-2026-22732 (CVSS 9.1)**: Een kwetsbaarheid gerelateerd aan Spring Security die SAP Commerce Cloud en SAP Data Hub treft.
* **CVE-2026-40128 (CVSS 9.0)**: Een directory traversal-kwetsbaarheid in de Web Container van SAP NetWeaver Application Server Java.
Naast de kritieke beveiligingsproblemen heeft SAP ook twee kwetsbaarheden met een hoge ernst opgelost. Dit betreft CVE-2026-29145, die meerdere Apache Tomcat-fouten in Commerce Cloud omvat, en CVE-2026-44751, een probleem met een ontbrekende autorisatiecheck in NetWeaver AS ABAP.
De Duitse ondernemingssoftwaregigant heeft tevens diverse SQL-injectie-, path traversal-, cross-site scripting (XSS)-, e-mail spoofing- en autorisatiebypass-problemen in meerdere SAP-producten aangepakt. Gedetailleerde informatie over de kwetsbaarheden en advies voor mitigatie of tijdelijke oplossingen is enkel beschikbaar voor SAP-klanten met een beveiligingsportalaccount. Organisaties die de getroffen producten gebruiken, dienen prioriteit te geven aan het installeren van de patches, met name voor de SAML-authenticatiekwetsbaarheid (CVE-2026-44748) en het geheugenbeschadigingsprobleem (CVE-2026-27671), die als zeer ernstig zijn beoordeeld en een aanzienlijke impact kunnen hebben op bedrijfsomgevingen.
Bron: SAP | Bron 2: cve.org | Bron 3: hubs.li
10 juni 2026 | Siemens verhelpt kwetsbaarheden in diverse industriële producten
Siemens heeft recentelijk een reeks kwetsbaarheden verholpen die aanwezig waren in verschillende van zijn cruciale industriële producten. Deze updates zijn van toepassing op systemen zoals SCALANCE, SIMATIC, SINAMICS, SIPROTEC en TIA Portal, die veelvuldig worden ingezet in industriële productieomgevingen wereldwijd, inclusief in Nederland en België. Het Nationale Cyber Security Centrum (NCSC) heeft hierover een waarschuwing uitgegeven, waarin de urgentie van het toepassen van de patches wordt benadrukt.
De ontdekte kwetsbaarheden boden kwaadwillenden de mogelijkheid om diverse aanvalstypen uit te voeren met potentieel ernstige gevolgen. Een van de risico's betrof Denial-of-Service (DoS) aanvallen, die kunnen leiden tot het platleggen van systemen en kritieke processen, met aanzienlijke operationele verstoringen tot gevolg. Daarnaast bestond de mogelijkheid tot manipulatie van gegevens, waardoor de integriteit van essentiële procesinformatie in gevaar kon komen.
Verder konden aanvallers misbruik maken van de kwetsbaarheden om beveiligingsmaatregelen te omzeilen, wat hen ongeautoriseerde toegang zou kunnen verschaffen tot de systemen. Een bijzonder zorgwekkend risico was de potentie voor Remote Code Execution, waarbij een aanvaller op afstand code kon uitvoeren met root- of administratorrechten. Dit zou hen volledige controle over de getroffen systemen geven. Tenslotte was ook toegang tot systeemgegevens mogelijk, wat kan leiden tot diefstal van gevoelige operationele of intellectuele eigendomsinformatie.
Voor het uitvoeren van deze aanvallen is het een vereiste dat de kwaadwillende toegang heeft tot de productieomgeving waarin de Siemens-producten actief zijn. Het NCSC onderstreept het belang van de reeds bestaande best practice om dergelijke industriële omgevingen niet publiek toegankelijk te maken. Een strikte segmentatie en isolatie van Operational Technology (OT) netwerken ten opzichte van IT-netwerken en het internet is cruciaal om het aanvalsoppervlak te minimaliseren en het risico op ongeautoriseerde toegang te verlagen. Organisaties die de genoemde Siemens-producten gebruiken, worden dringend geadviseerd de door Siemens uitgebrachte patches en updates zo spoedig mogelijk te implementeren om hun systemen te beveiligen tegen deze kwetsbaarheden.
Bron: NCSC
10 juni 2026 | Kritieke kwetsbaarheid verholpen in Microsoft Dynamics (on-premise)
Het Nationaal Cyber Security Centrum (NCSC) heeft geadviseerd over een recent verholpen kwetsbaarheid in Microsoft Dynamics, specifiek gericht op de on-premise implementaties van de bedrijfssoftware. Microsoft heeft een patch uitgebracht om dit beveiligingslek te dichten, dat als ernstig wordt beschouwd vanwege de potentiële impact op bedrijfssystemen.
De kwetsbaarheid stelt een kwaadwillende in staat om, na succesvolle exploitatie, verhoogde rechten te verkrijgen op het getroffen systeem. Dit fenomeen, bekend als privilege-escalatie, betekent dat een aanvaller die al een zekere mate van toegang heeft, deze toegang kan uitbreiden tot een veel hoger niveau. In het ergste geval kan de aanvaller de rechten verhogen tot die van een System Administrator. Het verkrijgen van System Administrator-rechten op een Dynamics systeem kan leiden tot volledige controle over de applicatie en mogelijk ook over de onderliggende serverinfrastructuur. Dit omvat de mogelijkheid om gegevens te manipuleren, te stelen, of kwaadaardige software te installeren die verdere toegang tot het bedrijfsnetwerk mogelijk maakt.
Voor een succesvolle exploitatie van deze kwetsbaarheid is het een vereiste dat de aanvaller reeds geauthenticeerd is op het kwetsbare Dynamics systeem. Dit houdt in dat de aanval niet plaatsvindt zonder enige vorm van initiële toegang, zoals via gestolen inloggegevens, een gecompromitteerd account, of een ander beveiligingslek. Hoewel dit de aanvalsvector beperkt tot reeds gecompromitteerde omgevingen of interne dreigingen, vermindert het de ernst van de kwetsbaarheid niet. Eenmaal binnen het netwerk kan een aanvaller deze kwetsbaarheid gebruiken om laterale beweging te vergemakkelijken en zijn positie te verstevigen binnen de gecompromitteerde infrastructuur.
Organisaties die gebruikmaken van Microsoft Dynamics (on-premise) worden met klem geadviseerd om de door Microsoft uitgebrachte beveiligingsupdates zo snel mogelijk te implementeren. Het tijdig patchen van dergelijke kwetsbaarheden is cruciaal om het risico op misbruik door cybercriminelen en andere kwaadwillende actoren te minimaliseren en de integriteit en vertrouwelijkheid van bedrijfskritische gegevens te waarborgen. Het NCSC benadrukt het belang van een proactief patchbeheer als een fundamentele maatregel binnen de cybersecuritystrategie van elke organisatie.
Bron: NCSC
10 juni 2026 | Microsoft verhelpt kritieke kwetsbaarheden in Exchange Online en Server
Microsoft heeft recentelijk meerdere kwetsbaarheden verholpen in zowel de on-premise versies van Exchange Server als in Exchange Online. Deze kwetsbaarheden kunnen door kwaadwillenden worden misbruikt om zich voor te doen als een andere gebruiker, toegang te verkrijgen tot gevoelige gegevens, en in sommige gevallen zelfs willekeurige code uit te voeren of verhoogde rechten te verkrijgen.
De meest ernstige kwetsbaarheid, aangeduid met CVE-2026-48579, werd ontdekt in Exchange Online. Deze kwetsbaarheid had een CVSS-score van 9.10 en kon leiden tot ongeautoriseerde toegang tot gevoelige gegevens. Microsoft heeft deze specifieke kwetsbaarheid reeds centraal verholpen, wat betekent dat gebruikers van Exchange Online geen verdere actie hoeven te ondernemen. De informatie hierover is primair opgenomen ter kennisgeving.
Voor de on-premise implementaties van Microsoft Exchange Server zijn er echter meerdere andere kwetsbaarheden gepatcht. Deze vereisen aandacht van beheerders. Enkele van deze kwetsbaarheden stellen aanvallers in staat zich voor te doen als andere gebruikers. Dit betreft CVE-2026-45500 (CVSS 6.10), CVE-2026-45501 (CVSS 6.50) en CVE-2026-47631 (CVSS 8.10). Het misbruik hiervan kan leiden tot ongeautoriseerde acties onder de identiteit van een legitieme gebruiker.
Andere kwetsbaarheden in Exchange Server hadden betrekking op de toegang tot gevoelige gegevens. CVE-2026-45502 (CVSS 5.00) en CVE-2026-45503 (CVSS 8.10) vallen onder deze categorie, waarbij aanvallers potentiële toegang kunnen verkrijgen tot vertrouwelijke informatie die op de server is opgeslagen.
Verder zijn er twee kritieke kwetsbaarheden verholpen die verdergaande controle over het systeem mogelijk maken. CVE-2026-45504, met een CVSS-score van 8.80, stond aanvallers toe om verhoogde rechten te verkrijgen binnen het systeem. De meest potentieel schadelijke kwetsbaarheid in de on-premise server, CVE-2026-45583 (CVSS 7.50), maakte het mogelijk om willekeurige code uit te voeren. Dit kan leiden tot volledige compromittering van de getroffen Exchange Server.
Beheerders van Microsoft Exchange Server wordt geadviseerd om de relevante updates zo spoedig mogelijk te installeren om hun systemen te beschermen tegen misbruik van deze verholpen kwetsbaarheden.
Bron: NCSC
10 juni 2026 | Microsoft verhelpt kwetsbaarheden in Developer Tools
Microsoft heeft recentelijk meerdere kwetsbaarheden verholpen in diverse Developer Tools, waaronder Visual Studio Code, GitHub Copilot, Microsoft Live Share Canvas SDK, ASP.NET Core en .NET. Deze lekken konden door kwaadwillenden worden misbruikt om verschillende vormen van schade aan te richten, variërend van manipulatie van gegevens tot het verkrijgen van verhoogde rechten en Denial of aanvallen met Service.
Voor de meeste van deze kwetsbaarheden geldt dat een aanvaller lokale toegang tot het kwetsbare systeem nodig heeft, of het slachtoffer moet misleiden om een kwaadaardig broncodebestand te openen en uit te voeren. Een uitzondering hierop is de kwetsbaarheid in .NET Core (CVE-2026-45591), die zonder voorafgaande authenticatie of gebruikersinteractie kan leiden tot een Denial of Service.
In Visual Studio Code zijn zes kwetsbaarheden aangepakt. CVE-2026-47287, met een CVSS-score van 6.50, kon leiden tot manipulatie van gegevens. Drie andere kwetsbaarheden, CVE-2026-47292 (CVSS 7.80), CVE-2026-40376 (CVSS 7.50) en CVE-2026-47281 (CVSS 9.60), maakten het mogelijk om verhoogde rechten te verkrijgen. De kwetsbaarheid CVE-2026-47284 (CVSS 6.50) gaf toegang tot gevoelige gegevens, terwijl CVE-2026-48569 (CVSS 7.10) een omzeiling van beveiligingsmaatregelen mogelijk maakte.
Een aparte kwetsbaarheid, CVE-2026-45482 met een CVSS-score van 8.40, trof zowel GitHub Copilot als Visual Studio Code en kon eveneens leiden tot het omzeilen van beveiligingsmaatregelen.
De Microsoft Live Share Canvas SDK bevatte CVE-2026-45644 (CVSS 8.00), waardoor aanvallers verhoogde rechten konden verkrijgen. Binnen ASP.NET Core is de eerder genoemde Denial of Service kwetsbaarheid CVE-2026-45591 (CVSS 7.50) verholpen.
Tot slot zijn er twee kwetsbaarheden in .NET aangepakt. CVE-2026-45490 (CVSS 7.80) kon leiden tot het verkrijgen van verhoogde rechten, en CVE-2026-45491 (CVSS 6.20) maakte manipulatie van gegevens mogelijk. Gebruikers van de betreffende Microsoft Developer Tools wordt aangeraden de beschikbare updates zo spoedig mogelijk te installeren om deze risico's te mitigeren.
Bron: NCSC
10 juni 2026 | Microsoft verhelpt kritieke kwetsbaarheden in Azure componenten
Microsoft heeft recentelijk meerdere kwetsbaarheden verholpen binnen verschillende componenten van zijn Azure cloudplatform. Deze beveiligingslekken boden kwaadwillenden de mogelijkheid om zich voor te doen als andere gebruikers, verhoogde rechten te verkrijgen, willekeurige code uit te voeren, en potentieel toegang te krijgen tot gevoelige gegevens. Het National Cyber Security Centrum (NCSC) heeft hierover een advies uitgebracht.
De meest ernstige van de verholpen kwetsbaarheden, met CVE-ID CVE-2026-48567, werd aangetroffen in Azure HorizonDB. Deze kwetsbaarheid, die een CVSS-score van 10.00 heeft, kon worden misbruikt om verhoogde rechten te verkrijgen binnen het systeem. Microsoft heeft deze specifieke kwetsbaarheid reeds centraal verholpen, waardoor gebruikers geen verdere actie hoeven te ondernemen. Het NCSC heeft deze informatie opgenomen ter kennisgeving.
Naast de lekken in HorizonDB zijn er ook kwetsbaarheden geïdentificeerd en gepatcht in andere belangrijke Azure-diensten. In Microsoft Graph is CVE-2026-47655 verholpen, met een CVSS-score van 6.50. Deze kwetsbaarheid kon leiden tot ongeautoriseerde toegang tot gevoelige gegevens.
Voor Azure Stack Edge zijn twee belangrijke kwetsbaarheden aangepakt. CVE-2026-41098, met een CVSS-score van 8.40, maakte het mogelijk voor aanvallers om zich voor te doen als een legitieme gebruiker. Een nog kritiekere kwetsbaarheid, CVE-2026-47643, behaalde een CVSS-score van 9.80 en kon worden uitgebuit om willekeurige code uit te voeren op getroffen systemen.
Ten slotte is in Microsoft Azure Kubernetes Service (AKS) een kwetsbaarheid met CVE-ID CVE-2026-32193 verholpen. Dit lek had een CVSS-score van 8.80 en stelde aanvallers in staat om eveneens willekeurige code uit te voeren, wat een aanzienlijk risico vormde voor de integriteit en veiligheid van containerworkloads.
De snelle reactie van Microsoft op deze kwetsbaarheden onderstreept het belang van continue beveiligingsupdates en patchen om de cloudinfrastructuur te beschermen tegen potentiële aanvallen. Organisaties die gebruikmaken van deze Azure-diensten worden geadviseerd om hun systemen up-to-date te houden en de richtlijnen van Microsoft en het NCSC te volgen.
Bron: NCSC
10 juni 2026 | Microsoft Patch Tuesday lost 3 zero day en 200 kwetsbaarheden op
Microsoft heeft op Patch Tuesday van juni 2026 beveiligingsupdates uitgebracht die in totaal 200 kwetsbaarheden aanpakken, waaronder drie zero day kwetsbaarheden die publiekelijk bekend waren maar waarvan niet bekend is dat ze actief zijn uitgebuit. Deze reeks updates omvat 33 kritieke kwetsbaarheden, waarvan 28 leiden tot remote code execution, 4 tot privilege escalatie en 1 tot informatielekken.
De kwetsbaarheden zijn onderverdeeld in de volgende categorieën: 65 kwetsbaarheden voor privilege escalatie, 19 voor het omzeilen van beveiligingsfuncties, 55 voor remote code execution, 30 voor informatielekken, 7 voor denial of service en 27 voor spoofing. Het totale aantal kwetsbaarheden in deze Patch Tuesday omvat geen eerdere fixes voor Mariner, Azure HorizonDB, Microsoft Copilot, Copilot Chat, M365 Copilot, Microsoft Exchange Online en Microsoft Graph, noch de 360 Microsoft Edge/Chromium kwetsbaarheden die Google deze maand heeft verholpen.
Onder de opmerkelijke kwetsbaarheden bevinden zich **drie** publiekelijk bekendgemaakte zero day lekken:
**CVE-2026-45586 - Windows Collaborative Translation Framework (CTFMON) Privilege Escalatie Kwetsbaarheid**
Microsoft heeft een privilege escalatie kwetsbaarheid in Windows CTFMON gepatcht, die aanvallers SYSTEM-rechten kan verlenen. Microsoft legt uit dat "onjuiste linkresolutie vóór bestandstoegang ('link following') in Windows Collaborative Translation Framework een geautoriseerde aanvaller in staat stelt lokaal privileges te escaleren." Deze kwetsbaarheid, toegeschreven aan een anonieme onderzoeker, is bekend als de "GreenPlasma" zero day, eerder onthuld door beveiligingsonderzoeker Nightmare Eclipse. Nightmare Eclipse heeft een reeks Windows zero day kwetsbaarheden, waaronder BlueHammer, MiniPlasma, RedSun, UnDefend en YellowKey (ook vandaag gepatcht), vrijgegeven uit protest tegen het beleid van Microsoft ten aanzien van hun bug bounty en kwetsbaarheidsopenbaarmakingsprogramma's.
**CVE-2026-49160 - HTTP.sys Denial of Service Kwetsbaarheid**
Een andere gepatchte zero day is een HTTP/2 denial of service kwetsbaarheid, bekend als "HTTP/2 Bomb", ontdekt door onderzoekers van het offensieve beveiligingsbedrijf Calif. Microsoft beschrijft het als "ongecontroleerd resourceverbruik in HTTP/2 dat een ongeautoriseerde aanvaller in staat stelt de dienst via een netwerk te weigeren." De HTTP/2 aanval met Bomb misbruikt de manier waarop het HTTP/2-protocol webverkeerheaders comprimeert en beheert. Hierdoor kunnen aanvallers zeer kleine hoeveelheden data verzenden die servers dwingen om onevenredig grote hoeveelheden geheugen toe te wijzen. Door instellingen voor stroombeheer te manipuleren, kunnen aanvallers het geheugen bezet houden, waardoor de server geen resources kan vrijmaken en mogelijk prestatieproblemen of storingen veroorzaakt. Als mitigatie heeft Microsoft een nieuwe registerinstelling "MaxHeadersCount" geïntroduceerd om het aantal headers in een verzoek te beperken.
**CVE-2026-50507 - Windows BitLocker Security Feature Bypass Kwetsbaarheid**
Microsoft heeft een publiekelijk bekendgemaakte Windows BitLocker bypass kwetsbaarheid gepatcht die lokale aanvallers toegang gaf tot een versleutelde schijf. Microsoft legt uit: "Falen van het beschermingsmechanisme in Windows BitLocker stelt een ongeautoriseerde aanvaller in staat een beveiligingsfunctie te omzeilen met een fysieke aanval." Hoewel Microsoft de kwetsbaarheid toeschreef aan een anonieme onderzoeker, heeft BleepingComputer vernomen dat dit een fix is voor de YellowKey kwetsbaarheid die vorige maand ook publiekelijk werd onthuld door cybersecurity onderzoeker Nightmare Eclipse. De YellowKey kwetsbaarheid kon worden uitgebuit door speciaal geprepareerde bestanden op een USB-stick of EFI-partitie te plaatsen en op te starten in de Windows Recovery Environment (WinRE), waar het ingedrukt houden van de CTRL-toets een command shell activeerde met onbeperkte toegang tot versleutelde BitLocker-beveiligde schijven. De kwetsbaarheid treft voornamelijk systemen die TPM-only BitLocker-beveiliging gebruikten op Windows 11 en Windows Server 2022/2025 apparaten. Microsoft deelde eerder tijdelijke mitigaties voor het probleem, waaronder het inschakelen van TPM+PIN-authenticatie in plaats van uitsluitend te vertrouwen op TPM-beveiliging.
Bron: Microsoft | Bron 2: sec.cloudapps.cisco.com
10 juni 2026 | Microsoft brengt cumulatieve updates KB5094126 en KB5093998 uit voor Windows 11
Microsoft heeft cumulatieve updates KB5094126 en KB5093998 uitgebracht voor Windows 11 versies 25H2/24H2 en 23H2. Deze updates zijn essentieel omdat ze beveiligingskwetsbaarheden verhelpen, bugs oplossen en nieuwe functionaliteiten toevoegen. De updates bevatten de beveiligingspatches van de 'Patch Tuesday' van juni 2026, die verschillende kwetsbaarheden aanpakken die in de voorgaande maanden zijn ontdekt.
Gebruikers kunnen de updates installeren via Windows Update door te navigeren naar Start > Instellingen > Windows Update en vervolgens op 'Controleren op updates' te klikken. Een alternatieve methode is het handmatig downloaden en installeren van de updates via de Microsoft Update Catalog. Dit is de zesde 'Patch Tuesday' release in 2026 en is gebaseerd op versie 24H2, wat betekent dat versie 25H2 dezelfde updates ontvangt zonder exclusieve of afwijkende wijzigingen.
Na de installatie van de beveiligingsupdates zal het buildnummer van Windows 11 25H2 (KB5094126) wijzigen naar 26200.8457 (voor 25H2) en 26100.8457 (voor 24H2). Voor versie 23H2 (KB5093998) zal het buildnummer worden aangepast naar 22631.7079. De updates beloven algemene prestatieverbeteringen en de introductie van een 'Xbox-modus' op meer pc's, wat een console-achtige ervaring op de computer mogelijk maakt. Daarnaast zijn er problemen met de taakbalk opgelost en is de betrouwbaarheid van Windows Hello verbeterd.
De updates bevatten ook diverse nieuwe functies en verbeteringen. 'Shared Audio' maakt het mogelijk voor twee personen om tegelijkertijd naar dezelfde audio te luisteren vanaf één Windows 11 pc, gebruikmakend van Bluetooth LE Audio broadcast technologie. Dit is te activeren via 'Snelle instellingen' op de taakbalk. De vergrootglasfunctionaliteit ('Magnifier') is verbeterd met duidelijkere en consistentere aankondigingen bij gebruik met een schermlezer, en ondersteunt nu ook de vergroting van toegestane beschermde inhoud.
De Taakbeheerder ('Task Manager') biedt nu een beter inzicht in het NPU-gebruik op pc's met een NPU, met optionele kolommen voor NPU, NPU Engine, NPU Dedicated Memory en NPU Shared Memory. Neurale engines die deel uitmaken van een GPU verschijnen nu op de prestatiepagina, wat een completer beeld geeft van AI-gerelateerde activiteit. Een nieuwe optionele 'Isolatie'-kolom op de pagina's 'Processen' en 'Details' toont welke applicaties binnen een AppContainer draaien. Tevens is de weergave van de CPU-snelheid op de prestatiepagina van Taakbeheerder voor virtuele machines verbeterd, zodat er geen onverwacht hoge waarden meer worden getoond na het hervatten vanuit de slaapstand.
De 'Multi-App Camera' functie van Windows 11 maakt het mogelijk dat meerdere applicaties tegelijkertijd toegang hebben tot de camerastream. Een 'Basic Camera'-modus biedt vereenvoudigde camerafunctionaliteit voor probleemoplossing of stabiliteitsverbetering. Beheerders kunnen deze modi nu configureren via Groepsbeleid. Tijdens de Windows-installatie is het nu mogelijk om een aangepaste naam voor de gebruikersmap te kiezen. Tot slot zijn de algemene prestaties verbeterd door een snellere opstart van applicaties en kernshell-ervaringen zoals het Startmenu, Zoeken en het Actiecentrum. Personalisatieverbeteringen omvatten nauwkeurigere kleurselectie en betrouwbaardere behangpersistentie. De Windows Biometric service (WinBio) is geoptimaliseerd voor betere prestaties na het ontwaken uit Modern Standby, en onverwachte authenticatieblokkades in Windows Hello Enhanced Sign-in Security zijn opgelost.
Bron: Microsoft
10 juni 2026 | Kwetsbaarheid in FortiPortal API eindpunten maakt diefstal netwerkgegevens mogelijk
Fortinet heeft een kwetsbaarheid in de API-eindpunten van FortiPortal geïdentificeerd, aangeduid als CVE-2026-49938. Deze kwetsbaarheid, gecategoriseerd als Improper Access Control (CWE-284), kan een geauthenticeerde aanvaller met een organisatiegebruikerrol in staat stellen om gevoelige netwerkconfiguratiegegevens te verkrijgen. Dit gebeurt door middel van zorgvuldig opgestelde HTTP-verzoeken. De kwetsbaarheid heeft een CVSSv3-score van 6.2, wat duidt op een gemiddelde ernst.
De impact van deze kwetsbaarheid ligt in de mogelijkheid voor aanvallers om toegang te krijgen tot configuratie-informatie die normaal gesproken niet voor hun rol bedoeld is. Dit kan leiden tot verdere aanvallen of het blootleggen van kritieke infrastructuurdetails. De kwetsbaarheid is extern ontdekt en vereist geauthenticeerde toegang, wat betekent dat een aanvaller al een legitieme, zij het beperkte, gebruikersrol binnen een organisatie moet hebben. Er zijn momenteel geen aanwijzingen dat deze kwetsbaarheid actief wordt misbruikt.
Fortinet heeft patches en migratie-aanbevelingen uitgebracht om het risico te mitigeren. Gebruikers van FortiPortal 7.4, inclusief versies 7.4.0 tot en met 7.4.7, worden geadviseerd te upgraden naar versie 7.4.8 of hoger. Voor FortiPortal 7.2-gebruikers, die versies 7.2.0 tot en met 7.2.8 draaien, is een upgrade naar versie 7.2.9 of hoger noodzakelijk. Alle versies van FortiPortal 7.0 zijn kwetsbaar en moeten migreren naar een gefixte release. De initiële publicatie van deze informatie vond plaats op 9 juni 2026. Organisaties die FortiPortal gebruiken, worden dringend geadviseerd de aanbevolen updates zo snel mogelijk te implementeren om hun netwerkbeveiliging te waarborgen.
Bron: Fortinet
10 juni 2026 | Kwetsbaarheid in FortiOS en FortiProxy maakt uitvoering van Lua scripts mogelijk
Op 10 juni 2026 heeft Fortinet een beveiligingsadvies uitgebracht over een kwetsbaarheid in FortiOS en FortiProxy, aangeduid als CVE-2025-67862. Deze kwetsbaarheid, geclassificeerd met een CVSSv3 score van 6.0 (Medium), stelt een geauthenticeerde beheerder in staat om Lua-scripts uit te voeren via specifiek geformuleerde CLI-commando's.
De kwetsbaarheid wordt door Fortinet beschreven als een 'Internal Asset Exposed to Unsafe Debug Access Level or State', met een verwijzing naar CWE-1244. Dit betekent dat het misbruik van deze kwetsbaarheid kan leiden tot het uitvoeren van ongeautoriseerde code of commando's op het getroffen systeem. Fortinet heeft vastgesteld dat de kwetsbaarheid extern is ontdekt, maar er zijn geen aanwijzingen dat deze reeds actief wordt misbruikt door kwaadwillenden.
De volgende versies van FortiOS zijn kwetsbaar: 7.6.0 tot en met 7.6.2, 7.4.0 tot en met 7.4.7, en 7.2.0 tot en met 7.2.10. Gebruikers van deze versies wordt geadviseerd te upgraden naar respectievelijk 7.6.3 of hoger, 7.4.8 of hoger, en 7.2.11 of hoger om de kwetsbaarheid te mitigeren.
Voor FortiProxy zijn de kwetsbare versies 7.6.0 tot en met 7.6.3, 7.4.0 tot en met 7.4.10, en 7.2.0 tot en met 7.2.14. Hier is een upgrade naar 7.6.4 of hoger, 7.4.11 of hoger, en 7.2.15 of hoger vereist om de beveiligingslekken te dichten. Fortinet raadt beheerders aan om de aanbevolen upgrade paden te volgen via hun speciale upgrade tool, beschikbaar op de website van het bedrijf. Fortinet heeft het National Cyber Security Centre (NCSC) van het Verenigd Koninkrijk bedankt voor het verantwoordelijk rapporteren van deze kwetsbaarheid.
Bron: Fortinet
10 juni 2026 | Kritieke kwetsbaarheid in FortiSandbox maakt ongeauthenticeerde uitvoering van commando's mogelijk
Een kritieke kwetsbaarheid is ontdekt in FortiSandbox, FortiSandbox Cloud en FortiSandbox PaaS WEB UI, waardoor een ongeauthenticeerde aanvaller ongeautoriseerde commando's kan uitvoeren. Deze kwetsbaarheid, aangeduid als CWE-78 (onjuiste neutralisatie van speciale elementen die worden gebruikt in een besturingssysteemcommando), maakt een 'Second-Order OS Command Injection' mogelijk via JSON-input op de 'start vnc'-functie van de webinterface. De kwetsbaarheid heeft een CVSSv3-score van 9.1, wat de hoge ernst ervan onderstreept.
De kwetsbaarheid is geïdentificeerd als CVE-2026-25089 en werd intern ontdekt en gerapporteerd door Adham El Karn van het Fortinet Product Security team. De initiële publicatie van deze beveiligingsinformatie vond plaats op 9 juni 2026 onder het IR-nummer FG-IR-26-141. De kwetsbaarheid bevindt zich in de GUI-component van de FortiSandbox-producten en vereist geen authenticatie voor misbruik, wat de ernst verder verhoogt. Er zijn op dit moment geen aanwijzingen dat deze kwetsbaarheid actief wordt uitgebuit.
Organisaties die gebruikmaken van de getroffen versies van FortiSandbox-producten worden dringend geadviseerd om zo snel mogelijk te updaten. De volgende versies zijn kwetsbaar:
- FortiSandbox 5.0.0 tot en met 5.0.5 dienen te worden geüpgraded naar versie 5.0.6 of hoger.
- FortiSandbox 4.4.0 tot en met 4.4.8 dienen te worden geüpgraded naar versie 4.4.9 of hoger.
- Voor FortiSandbox Cloud zijn versies 5.0.4 tot en met 5.0.5 getroffen en moeten deze worden geüpgraded naar 5.0.6 of hoger.
- FortiSandbox PaaS-gebruikers met versies 5.0.4 tot en met 5.0.5 moeten eveneens upgraden naar 5.0.6 of hoger.
Niet-getroffen versies omvatten FortiSandbox 5.2, FortiSandbox Cloud 4.4 en 5.2, en FortiSandbox PaaS 4.4, 5.2 en 23.4. De mogelijkheid voor een ongeauthenticeerde aanvaller om via specifiek opgestelde HTTP-verzoeken ongeautoriseerde code of commando's uit te voeren, kan leiden tot een volledige compromittering van het systeem. Het tijdig toepassen van de aanbevolen patches is cruciaal om potentiële risico's te mitigeren en de integriteit van de beveiligingsinfrastructuur te waarborgen.
Bron: Fortinet
11 juni 2026 | NCSC waarschuwt voor misbruik kritieke Ivanti Sentry kwetsbaarheden
Het Nationaal Cyber Security Centrum (NCSC) heeft een waarschuwing uitgegeven over de verhoogde kans op misbruik van twee kritieke kwetsbaarheden in Ivanti Sentry. Deze waarschuwing volgt op de publicatie van een gedetailleerde blogpost door cybersecuritybedrijf watchTowr, waarin technische analyses van de problemen werden gedeeld. Ivanti Sentry is een cruciale gateway die het verkeer tussen mobiele apparaten en mailservers of andere backends van organisaties beheert, versleutelt en beveiligt.
De kwetsbaarheden, geïdentificeerd als CVE-2026-10520 en CVE-2026-10523, zijn uiterst ernstig. Ze kregen respectievelijk een CVSS score van 10.0 en 9.9 op een schaal van 1 tot en met 10. Dit betekent dat aanvallers op afstand volledige controle over Ivanti Sentry servers kunnen verkrijgen. Ivanti bracht gisteren updates uit voor deze lekken en meldde destijds geen kennis te hebben van actief misbruik. De recente blogpost van watchTowr verandert echter de inschatting van het NCSC, waardoor de kans op misbruik aanzienlijk is verhoogd.
Het NCSC benadrukt de ernst van de situatie: "Beide kwetsbaarheden kunnen leiden tot volledige controle over het systeem en worden als zeer ernstig beoordeeld. Misbruik kan leiden tot datalekken, verstoring van bedrijfsprocessen en het misbruiken van beheerdersrechten om verdere schade aan te richten binnen de organisatie." Hoewel er momenteel geen bewijs is van actief misbruik, wordt dit wel verwacht na de openbaarmaking van de technische details.
De overheidsinstantie adviseert Nederlandse en Belgische organisaties die gebruikmaken van Ivanti Sentry om de uitgebrachte updates zo snel mogelijk te installeren. Dit is essentieel om de risico's op datalekken en operationele verstoringen te minimaliseren en de beveiliging van hun infrastructuur te waarborgen tegen potentiële aanvallen.
Bron: NCSC
11 juni 2026 | Path traversal kwetsbaarheid in AI platform Langflow actief misbruikt
Aanvallers maken actief misbruik van CVE-2026-5027, een path traversal kwetsbaarheid met hoge ernst in het AI-ontwikkelingsplatform Langflow. Deze kwetsbaarheid stelt hen in staat om willekeurige bestanden te schrijven naar blootgestelde servers. Langflow is een open-source visueel platform dat veel wordt gebruikt door AI-ontwikkelingsteams voor het bouwen van AI-toepassingen, AI-agenten, Retrieval-Augmented Generation (RAG)-systemen en MCP-gebaseerde workflows. Het platform maakt gebruik van een drag-and-drop-interface in plaats van traditioneel coderen en heeft meer dan 149.000 sterren en 9.200 forks op GitHub verzameld.
CVE-2026-5027 betreft een path traversal-fout in de functionaliteit voor het uploaden van bestanden van Langflow. Het probleem ontstaat doordat de functionaliteit er niet in slaagt om door de gebruiker aangeleverde bestandsnamen correct te saneren. Tenable, dat de kwetsbaarheid begin dit jaar ontdekte, legt uit dat het 'POST /api/v2/files'-endpoint de 'filename'-parameter van de multipart formulierdata niet saneert. Dit stelt een aanvaller in staat om bestanden naar willekeurige locaties op het bestandssysteem te schrijven door gebruik te maken van path traversal-sequenties, zoals '../'.
Tenable heeft het probleem op 27 maart 2026 openbaar gemaakt, ruim twee maanden nadat het de kwestie aanvankelijk had gerapporteerd aan het Langflow-team zonder een reactie te ontvangen. Hoewel Tenable in zijn advies geen melding maakte van een fix, meldde Snyk Security op 30 maart 2026 dat het probleem was opgelost in het langflow-base-pakket versie 0.8.3, terwijl de Langflow-applicatie zelf een patch ontving in versie 1.9.0.
Volgens beveiligingsonderzoeker Caitlin Condon van VulnCheck hebben hun honeypots nu aanvallers gedetecteerd die de kwetsbaarheid misbruiken om testbestanden op kwetsbare instanties te plaatsen. Condon vermeldde op LinkedIn dat "omdat Langflow standaard onverifieerde automatische login mogelijk maakt, er geen inloggegevens vereist zijn om het kwetsbare endpoint te bereiken, en een enkele onverifieerde aanvraag voldoende is om een geldig sessietoken te verkrijgen voordat met de exploitatie wordt doorgegaan."
Condon voegde eraan toe dat Censys-scans ongeveer 7.000 publiekelijk blootgestelde Langflow-instanties identificeerden. Deze Censys-gegevens omvatten echter historische scanresultaten van de afgelopen twaalf maanden en geven mogelijk geen nauwkeurig beeld van het huidige aantal blootgestelde systemen. De exploitatie van CVE-2026-5027 volgt kort op vergelijkbare activiteiten die eerder dit jaar gericht waren op andere kwetsbaarheden in Langflow, waaronder CVE-2026-0770, CVE-2026-21445 en CVE-2026-33017. Vorig jaar waarschuwde het Amerikaanse Cybersecurity & Infrastructure Security Agency (CISA) ook al voor actieve exploitatie van CVE-2025-3248, waarvoor VulnCheck volgens Condon nog steeds activiteit waarneemt, inclusief activiteit gekoppeld aan de Iraanse dreigingsgroep MuddyWater.
Langflow-gebruikers wordt geadviseerd om te upgraden naar de nieuwste release, versie 1.10.0, die eerder vandaag is gepubliceerd.
Bron: Tenable | Bron 2: github.com | Bron 3: security.snyk.io
11 juni 2026 | Met AI ontdekte kritieke kwetsbaarheid in OpenSSL kan leiden tot remote code execution
Een beveiligingsonderzoeker heeft met behulp van kunstmatige intelligentie (AI) een ernstige kwetsbaarheid in OpenSSL ontdekt. Dit lek, aangeduid als CVE-2026-45447, kan in specifieke gevallen mogelijk leiden tot remote code execution, zo heeft het ontwikkelteam van OpenSSL bevestigd. De impact van deze kwetsbaarheid is beoordeeld als 'High', een classificatie die zelden wordt toegekend aan beveiligingslekken in OpenSSL; de afgelopen drieënhalf jaar kregen slechts drie andere kwetsbaarheden deze hoge beoordeling.
OpenSSL is een van de meest gebruikte softwarepakketten voor het versleutelen van internetverbindingen wereldwijd. Het wordt breed ingezet door websites voor het beveiligen van verkeer met bezoekers, maar ook door mailservers en een scala aan andere systemen en applicaties. De kwetsbaarheid CVE-2026-45447 manifesteert zich in een context waarbij berichten worden verwerkt, zoals bij e-mailcommunicatie.
Aanvallers kunnen de kwetsbaarheid misbruiken door een speciaal geprepareerd bericht te versturen dat gesigneerd is met PKCS#7 of S/MIME. Dit kan een 'use-after-free' situatie op het systeem veroorzaken. Het probleem treedt op tijdens de verificatie van de handtekening van het bericht. Dit kan resulteren in een crash van het systeem en, potentieel, de uitvoering van kwaadaardige code op afstand. Het ontwikkelteam van OpenSSL benadrukt in zijn beveiligingsbulletin dat applicaties die de OpenSSL PKCS#7 API's gebruiken voor het verwerken van met PKCS#7 of S/MIME gesigneerde berichten kwetsbaar zijn. Applicaties die hiervoor de CMS API's gebruiken, lopen daarentegen geen risico.
De ontdekking van dit beveiligingslek is gedaan door onderzoeker Thai Duong van Calif.io, in samenwerking met Claude en Anthropic Research. Calif.io staat bekend om zijn gebruik van technologieën gebaseerd op AI voor het opsporen van kwetsbaarheden in diverse software. Naast CVE-2026-45447 zijn er gelijktijdig zeventien andere, minder kritieke kwetsbaarheden in OpenSSL gepatcht. Beheerders en gebruikers wordt geadviseerd om zo spoedig mogelijk te updaten naar de nieuwste versies: OpenSSL 4.0.1, 3.6.3, 3.5.7, 3.4.6, 3.0.21, 1.1.1zh en 1.0.2zq. De laatste twee versies, 1.1.1zh en 1.0.2zq, zijn uitsluitend beschikbaar voor betalende klanten.
Bron: OpenSSL Project
11 juni 2026 | Microsoft dicht drie zeroday kwetsbaarheden na publieke onthulling
Microsoft heeft recentelijk drie zeroday kwetsbaarheden gedicht die aanvallers in staat stelden SYSTEM-privileges te verkrijgen op volledig gepatchte Windows systemen of om met BitLocker beveiligde schijven te omzeilen. Deze kwetsbaarheden, bekend als GreenPlasma, MiniPlasma en YellowKey, werden publiekelijk onthuld door een beveiligingsonderzoeker die de alias "Nightmare Eclipse" gebruikt. De onderzoeker deed dit uit onvrede over het coördinatieproces van kwetsbaarheidsmeldingen door het Microsoft Security Response Center (MSRC).
De privilege-escalatie kwetsbaarheden GreenPlasma (CVE-2026-45586) en MiniPlasma (CVE-2020-17103) werden ontdekt in het Collaborative Translation Framework (CTFMON) en de Cloud Files Mini Filter Driver. Lokale aanvallers konden deze lekken misbruiken om een shell met SYSTEM-rechten te verkrijgen op Windows systemen, zelfs als deze volledig waren bijgewerkt.
De derde kwetsbaarheid, YellowKey (CVE-2026-45585), fungeert als een achterdeur in de Windows Recovery Environment (WinRE), een omgeving die wordt gebruikt voor het herstellen van opstartproblemen in Windows. Aanvallers met fysieke toegang tot de getroffen apparaten konden een YellowKey-exploit gebruiken om de BitLocker-beveiliging te omzeilen op niet-gepatchte Windows 11- en Windows Server 2022/2025-systemen. Microsoft heeft mitigerende maatregelen gedeeld om aanvallen die YellowKey misbruiken te voorkomen, hoewel het bedrijf kritiek uitte op de publieke vrijgave van de proof-of-concept, die volgens hen "de best practices voor gecoördineerde kwetsbaarheidsdisclosure schond."
Alle drie de beveiligingslekken zijn door Microsoft verholpen als onderdeel van de Patch updates voor Tuesday van juni 2026. Het is niet de eerste keer dat Nightmare Eclipse zeroday exploits publiekelijk maakt. Eerder bracht de onderzoeker al proof-of-concept exploits uit voor BlueHammer (CVE-2026-33825) en RedSun (geen specifieke identifier), twee lokale privilege-escalatie zerodays die nu actief worden misbruikt bij aanvallen. Ook lekte de onderzoeker UnDefend, een zeroday waarmee standaardgebruikers Microsoft Defender definitie-updates kunnen blokkeren. Recentelijk, kort na het uitbrengen van de maandelijkse beveiligingspatches, onthulde Nightmare Eclipse nog een Defender zeroday exploit genaamd "RoguePlanet", die aanvallers in staat stelt command prompts met SYSTEM-privileges op te starten.
De reactie van Microsoft op deze reeks zeroday lekken was aanvankelijk dreigementen met juridische stappen. Echter, na aanzienlijke kritiek op sociale media, kwam het bedrijf hierop terug en verklaarde het dat het zou samenwerken met wetshandhavers wanneer beveiligingsonderzoekers "de wet overtreden en zich bezighouden met kwaadwillende activiteiten die daadwerkelijke schade aan onze klanten veroorzaken."
Bron: Microsoft | Bron 2: github.com
11 juni 2026 | Adobe adviseert kritieke update voor ColdFusion met spoed te installeren
Adobe roept beheerders dringend op om een kritieke beveiligingsupdate voor ColdFusion zo snel mogelijk te installeren, waarbij een termijn van 72 uur als voorbeeld wordt genoemd. Deze aanbeveling komt voort uit het feit dat kwetsbaarheden in ColdFusion in het verleden veelvuldig zijn misbruikt bij cyberaanvallen. ColdFusion is een platform dat wordt gebruikt voor de ontwikkeling van webapplicaties.
Volgens Adobe bevat ColdFusion diverse kritieke beveiligingslekken. Deze kwetsbaarheden stellen een aanvaller in staat om willekeurige code uit te voeren op getroffen systemen, beveiligingsmaatregelen te omzeilen, willekeurige bestanden te lezen en de rechten van een gebruiker te verhogen. Hoewel Adobe op dit moment geen kennis heeft van actief misbruik van de zojuist verholpen problemen, benadrukken zij het belang van snelle actie.
De problemen zijn verholpen in ColdFusion 2025 Update 9 en ColdFusion 2023 Update 20. Adobe heeft het installeren van deze updates de hoogste prioriteitsscore toegekend. Dit gebeurt alleen voor producten die in het verleden zijn aangevallen of een aanzienlijk risico lopen om aangevallen te worden. De historie van ColdFusion ondersteunt deze hoge prioriteit. Het Amerikaanse cyberagentschap CISA, dat een overzicht bijhoudt van kwetsbaarheden die actief zijn misbruikt, heeft zestien ColdFusion lekken opgenomen waarvan is bevestigd dat ze bij aanvallen zijn ingezet. Dit onderstreept de noodzaak voor beheerders om de aanbevolen updates onverwijld toe te passen om hun systemen te beschermen tegen potentiële dreigingen.
Bron: Adobe | Bron 2: cisa.gov
11 juni 2026 | Werkende exploit voor Windows 11 kwetsbaarheid te koop voor 10.000 dollar
Op een ondergronds forum is een werkende exploit te koop aangeboden voor lokale privilege escalatie op Windows 11, specifiek voor versies 24H2 en 25H2. De dreigingsactor vraagt 10.000 dollar voor de exploit.
Volgens de aanbieder maakt de exploit misbruik van CVE-2026-40369, een kwetsbaarheid met een CVSS score van 7,8 in een Windows kernelstuurprogramma. Microsoft heeft deze kwetsbaarheid reeds verholpen met de maandelijkse updates van mei 2026. De verkoper claimt dat de exploit meerdere Windows builds ondersteunt zonder aanpassingen en dat deze systeemrechten (SYSTEM rechten) kan verkrijgen.
Verder wordt geadverteerd dat de exploit gangbare procesinjectietechnieken vermijdt en daardoor weinig detectie door endpointbeveiliging veroorzaakt. De betrouwbaarheid van de exploit zou hoger zijn op Intel processors dan op AMD systemen, en de effectiviteit in virtuele omgevingen zou beperkt zijn. Er is geen proof of concept of onafhankelijke validatie van de exploit gepubliceerd, en de claim van de aanbieder is niet geverifieerd.
Organisaties die de updates van mei 2026 nog niet hebben geïnstalleerd, lopen een verhoogd risico. Het wordt dringend geadviseerd om deze updates met spoed te installeren om de kwetsbaarheid te dichten.
Bron: Cybercrimeinfo
12 juni 2026 | Oracle brengt noodpatch uit na datadiefstal van honderden PeopleSoft servers door ShinyHunters
De criminele groepering ShinyHunters claimt de diefstal van data van honderden servers die draaien op Oracle PeopleSoft. De aanvallen zijn gericht op zowel cloud- als on-premises omgevingen van de software van Oracle PeopleSoft. Deze enterprise resource planning (ERP) software suite wordt ingezet voor diverse zakelijke toepassingen, waaronder HR, financiën, salarisadministratie en supply chain management.
Volgens een beveiligingsonderzoeker, die de claim van ShinyHunters op X meldt, heeft de groepering meer dan driehonderd servers van Oracle PeopleSoft gehackt, afkomstig van meer dan honderd verschillende organisaties. De aanvallers lieten tegenover Bleeping Computer weten dat zij een combinatie van zowel oude als nieuwe kwetsbaarheden gebruiken om toegang tot de servers te verkrijgen en deze te compromitteren.
Een van de organisaties die door ShinyHunters als slachtoffer wordt genoemd, is de University of Nottingham in het Verenigd Koninkrijk. Bij deze universiteit zouden persoonlijke gegevens van ruim 450.000 personen zijn gestolen. De gestolen data omvat paspoortnummers, adresgegevens en e-mailadressen van studenten en alumni.
In reactie op de dreiging heeft Oracle op 11 juni 2026 een noodpatch uitgebracht voor een kritiek lek in PeopleSoft. Het beveiligingsbulletin van Oracle, dat betrekking heeft op CVE-2026-35273, maakt echter geen melding van actief misbruik van deze specifieke kwetsbaarheid. Dit staat in contrast met de claims van ShinyHunters over het gebruik van kwetsbaarheden.
ShinyHunters is een bekende dreigingsactor die eerder verantwoordelijk was voor grootschalige datadiefstallen. In Nederland wist de groepering bijvoorbeeld de persoonlijke gegevens van meer dan zes miljoen mensen te stelen bij telecomprovider Odido. Deze data werd destijds op internet gepubliceerd nadat Odido weigerde losgeld te betalen aan de aanvallers. De huidige claims over PeopleSoft onderstrepen de aanhoudende dreiging die uitgaat van deze criminele organisatie en de noodzaak voor organisaties om hun ERP-systemen adequaat te beveiligen en up-to-date te houden.
Bron: Oracle | Bron 2: nottingham.ac.uk
12 juni 2026 | CISA voegt kritieke Ivanti Sentry kwetsbaarheid toe aan lijst van actief misbruikte zwakke plekken
De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft recentelijk een nieuwe kwetsbaarheid, CVE-2026-10520, toegevoegd aan haar 'Known Exploited Vulnerabilities' (KEV) Catalogus. Deze toevoeging volgt op bewijs van actieve exploitatie van de kwetsbaarheid, die betrekking heeft op een OS Command Injection in Ivanti Sentry. CISA waarschuwt dat dit type kwetsbaarheid een veelvoorkomende aanvalsvector is voor kwaadwillende cyberactoren en aanzienlijke risico's met zich meebrengt voor organisaties.
De specifieke kwetsbaarheid, CVE-2026-10520, stelt aanvallers in staat om commando's uit te voeren op het onderliggende besturingssysteem van Ivanti Sentry-apparaten. Dit kan leiden tot volledige controle over het getroffen systeem na succesvolle exploitatie. Gezien de wijdverspreide implementatie van Ivanti-producten in diverse sectoren, is de potentiële impact van deze kwetsbaarheid aanzienlijk.
CISA onderstreept het belang van de KEV-catalogus middels haar Binding Operational Directive (BOD) 26-04, getiteld "Prioritizing Security Updates Based on Risk". Deze richtlijn stelt eisen aan het kwetsbaarhedenbeheer voor Amerikaanse federale civiele uitvoerende tak (FCEB) agentschappen. BOD 26-04 verplicht deze agentschappen om prioriteit te geven aan snelle remediëring van kwetsbaarheden met een hoog risico, met name die in de KEV-catalogus zijn opgenomen en die publiekelijk toegankelijke activa betreffen die volledige controle over het systeem mogelijk maken na exploitatie. De richtlijn stelt ook basisverwachtingen vast voor wanneer agentschappen moeten controleren of dreigingsactoren het systeem al hebben gecompromitteerd voordat de patch werd toegepast.
Hoewel BOD 26-04 specifiek gericht is op FCEB-agentschappen, moedigt CISA alle organisaties, zowel in de publieke als de private sector, aan om een risicogebaseerd kwetsbaarhedenbeheer te hanteren. Een essentieel onderdeel hiervan is het prioritiseren van de remediëring van kwetsbaarheden die in de KEV-catalogus zijn opgenomen, aangezien deze bewezen actief worden misbruikt door cybercriminelen. Dit advies is ook zeer relevant voor organisaties in Nederland en België die Ivanti Sentry-producten gebruiken.
CISA blijft kwetsbaarheden toevoegen aan de catalogus die voldoen aan de gestelde criteria, waaronder een CVE ID, bewijs van exploitatie en duidelijke mitigatierichtlijnen. Organisaties die op de hoogte zijn van een actief misbruikte kwetsbaarheid die nog niet in de KEV-catalogus staat, worden aangemoedigd om deze aan te melden via het KEV Nomination Form van CISA.
Bron: CISA | Bron 2: cve.org
12 juni 2026 | Nieuwe GreatXML exploit omzeilt Windows BitLocker
Beveiligingsonderzoeker Chaotic Eclipse, ook bekend onder de namen Nightmare-Eclipse en MSNightmare, heeft een nieuwe Windows BitLocker-bypass vrijgegeven met de naam GreatXML. Dit gebeurde slechts een dag nadat dezelfde onderzoeker een exploit voor Microsoft Defender publiceerde.
Chaotic Eclipse verklaarde in een blogpost dat de ontdekking van GreatXML toevallig was en slechts vier uur in beslag nam. De onderzoeker merkte op dat gebruikers die ooit de offline scanfunctie van Windows Defender hebben gebruikt, automatisch kwetsbaar zijn voor deze BitLocker-bypass. Het is onzeker of de kwetsbaarheid ook kan worden geactiveerd zonder de offline scanfunctie ooit te hebben gebruikt, hoewel de onderzoeker vermoedt dat dit wel mogelijk is.
De exploit werkt via de volgende stappen:
1. Een XML-bestand ("unattend.xml") en een herstelmap met daarin een ander XML-bestand ("Recovery/WindowsRE/ReAgent.xml") worden naar de root van de herstelpartitie gekopieerd.
2. Vervolgens wordt er opnieuw opgestart naar de Windows Recovery Environment (WinRE) door de Shift-toets ingedrukt te houden tijdens het klikken op 'Opnieuw opstarten' in het Windows-stroommenu.
Als deze stappen correct worden gevolgd, resulteert dit in een shell die wordt gestart met onbeperkte toegang tot het BitLocker-volume.
Chaotic Eclipse voegde eraan toe: "Als de offline scan van Defender nooit is geïnitieerd, moet u ofwel inloggen en deze zelf initiëren, of een manier vinden om op te starten naar WinRE in de offline scanstatus (ik geloof dat dit zeer goed mogelijk moet zijn zonder in te loggen) en de bovenstaande stappen volgen."
De release van GreatXML volgt kort op RoguePlanet, een zero-day kwetsbaarheid in Microsoft Defender die lokale privilege-escalatie (LPE) naar SYSTEM mogelijk maakt. Dit geeft een aanvaller de mogelijkheid om willekeurige code uit te voeren of ongeautoriseerde acties te verrichten. GreatXML is tevens de tweede BitLocker-bypass die door Chaotic Eclipse is uitgebracht, na YellowKey (ook bekend als CVE-2026-45585). Patches voor YellowKey werden deze week door Microsoft uitgebracht als onderdeel van de Patch updates voor Tuesday.
Bron: Chaotic Eclipse | Bron 2: support.microsoft.com | Bron 3: github.com
12 juni 2026 | Kwetsbaarheid in Time4Popcorn maakt installatie van malware mogelijk
Een ernstige kwetsbaarheid in de streaming- en downloadapplicatie Time4Popcorn stelt aanvallers in staat om kwaadaardige updates op systemen van gebruikers te installeren. Dit kan leiden tot infectie met malware. Het Nederlandse cybersecuritybedrijf Eye Security heeft deze kwetsbaarheid gemeld. Aangezien de software niet langer wordt ondersteund, is er geen beveiligingsupdate beschikbaar om het probleem te verhelpen. Time4Popcorn is een afgeleide versie (fork) van de bekende applicatie Popcorn Time en wordt soms ook onder die naam aangeboden.
De kwetsbaarheid, aangeduid met CVE-2026-30612, bevindt zich in de updater van de versies voor Android, macOS en Windows. De updater maakt verbinding met de updateserver via een onbeveiligd kanaal. Dit betekent dat een aanvaller die het communicatieverkeer tussen de applicatie en de server kan onderscheppen en manipuleren, in staat is om zijn eigen kwaadaardige update bij de gebruikers te installeren.
Op systemen met macOS en Windows vindt de installatie van zo'n malafide update volledig op de achtergrond plaats, zonder dat gebruikers hiervan op de hoogte zijn of enige interactie hoeven te verrichten. Bovendien draait de software met uitgebreide rechten; op Windows met 'SYSTEM'-rechten en op macOS met 'root'-rechten, wat aanvallers volledige controle over het getroffen systeem kan geven. Voor Android-gebruikers verschijnt er wel een melding die vraagt of zij een aangeboden APK-bestand willen installeren.
Gezien het feit dat de software niet meer wordt onderhouden, zal er geen officiële patch voor deze kwetsbaarheid worden uitgebracht. Eye Security heeft in een eigen publicatie details gedeeld over hoe de kwetsbare updater handmatig kan worden uitgeschakeld. Echter, voor de meest optimale bescherming adviseert Eye Security om de Time4Popcorn software volledig van het systeem te verwijderen.
Bron: Eye Security | Bron 2: research.eye.security
12 juni 2026 | Microsoft lost BitLocker herstelprobleem op in Windows Server 2025
Microsoft heeft een bekend probleem opgelost dat ervoor zorgde dat sommige Windows Server 2025 systemen in de BitLocker herstelmodus opstartten na de installatie van de beveiligingsupdate van april 2026. BitLocker is een beveiligingsfunctie die opslagschijven versleutelt om gegevensdiefstal te voorkomen. Normaal gesproken zal BitLocker computers dwingen tot herstelmodus na hardwarewijzigingen of gebeurtenissen, zoals Trusted Platform Module (TPM) updates, zodat de toegang tot beveiligde schijven kan worden hersteld wanneer deze niet via het standaard ontgrendelingsmechanisme zijn ontgrendeld.
Microsoft erkende het probleem na de Patch Tuesday van april 2026 en verklaarde toen: "Sommige apparaten met een niet-aanbevolen BitLocker Group Policy configuratie moeten mogelijk hun BitLocker herstelsleutel invoeren bij de eerste herstart na de installatie van deze update." Het bedrijf voegde eraan toe dat in dit scenario de BitLocker herstelsleutel slechts eenmaal hoeft te worden ingevoerd, zolang de Group Policy configuratie ongewijzigd blijft.
Hoewel dit probleem ook invloed kan hebben op sommige Windows 11 systemen, is het onwaarschijnlijk dat het persoonlijke apparaten treft. De getroffen configuraties worden doorgaans alleen aangetroffen op zakelijke systemen die worden beheerd door bedrijfs-IT-teams. Microsoft legde destijds uit dat dit alleen gebeurt onder zeer specifieke omstandigheden, wanneer aan alle volgende voorwaarden is voldaan:
* BitLocker is ingeschakeld op de besturingssysteemschijf.
* De Group Policy "Configure TPM platform validation profile for native UEFI firmware configurations" is geconfigureerd en PCR7 (Platform Configuration Register 7) is opgenomen in het validatieprofiel (of de gelijkwaardige registersleutel is handmatig ingesteld).
* Systeeminformatie (msinfo32.exe) meldt dat de Secure Boot State PCR7 Binding "Not Possible" is.
* Het Windows UEFI CA 2023 certificaat is aanwezig in de Secure Boot Signature Database (DB) van het apparaat, waardoor het apparaat in aanmerking komt voor de 2023-ondertekende Windows Boot Manager als standaard.
* Het apparaat draait nog niet de 2023-ondertekende Windows Boot Manager.
Twee maanden na de bevestiging van het probleem heeft Microsoft deze bug opgelost tijdens de Patch Tuesday van deze maand. De oplossing is opgenomen in de cumulatieve updates KB5094125 voor Windows Server 2025 en KB5093998 voor Windows 11 23H2. In bijgewerkte adviezen stelt Microsoft: "Deze update verhelpt een probleem waarbij sommige apparaten in BitLocker herstel kunnen komen na het bijwerken van bootbestanden op systemen met bepaalde Trusted Platform Module (TPM) validatie-instellingen, inclusief ongeldige PCR7 configuraties." Ter voorkoming van onverwachte BitLocker herstelprompts worden apparaten met deze incompatibele Group Policy configuratie verhinderd de 2023-ondertekende Windows Boot Manager te installeren. Gebruikers die getroffen zijn, zien Event ID 1032 in het systeemgebeurtenislogboek bij het installeren van Windows updates.
IT-beheerders die de updates van deze maand nog niet kunnen implementeren, wordt geadviseerd de Group Policy configuratie te verwijderen voordat zij KB5082063 en latere updates installeren, en ervoor te zorgen dat BitLocker bindingen het PCR7 profiel gebruiken. Degenen die de Group Policy niet vóór de implementatie kunnen verwijderen, kunnen ook een Known Issue Rollback (KIR) toepassen op getroffen apparaten om de automatische overschakeling naar de 2023 Boot Manager, die de BitLocker herstelprompts activeert, te voorkomen.
Microsoft heeft eerder vergelijkbare problemen aangepakt. In augustus 2024 werd een ander probleem opgelost dat BitLocker herstelprompts activeerde op alle ondersteunde Windows-versies na de installatie van de beveiligingsupdates van juli 2024. Meer recentelijk, in mei 2025, bracht Microsoft noodupdates uit om een soortgelijk probleem aan te pakken dat Windows 10 systemen in BitLocker herstel bracht na de installatie van de beveiligingsupdates van mei 2025.
Bron: Microsoft
12 juni 2026 | Adobe InDesign kwetsbaarheden verholpen, risico op uitvoeren van code en datalekken
Adobe heeft recentelijk een reeks kritieke kwetsbaarheden aangepakt in verschillende versies van zijn populaire desktopapplicatie InDesign. Het Nationaal Cyber Security Centrum (NCSC) meldt dat de problemen aanwezig waren in Adobe InDesign Desktop versies 21.3, 20.5.3 en alle eerdere uitgaven. Deze lekken konden misbruikt worden door aanvallers om willekeurige code uit te voeren, gevoelige informatie te lekken of een denial-of-service situatie te veroorzaken.
De kwetsbaarheden manifesteren zich voornamelijk in de manier waarop Adobe InDesign Desktop omgaat met speciaal vervaardigde, kwaadaardige bestanden. Zodra een gebruiker een dergelijk bestand opent binnen de applicatie, kunnen de kwetsbaarheden geactiveerd worden.
Een van de meest ernstige problemen betreft stack-based en heap-based buffer overflow kwetsbaarheden. Deze leiden tot geheugenbeschadiging, wat een aanvaller de mogelijkheid geeft om code uit te voeren met dezelfde rechten als de gebruiker die de applicatie draait. Dit betekent dat een kwaadwillende actor potentieel volledige controle over het systeem kan krijgen als de gebruiker met administratorrechten werkt.
Daarnaast is er een Use After Free kwetsbaarheid ontdekt. Dit type kwetsbaarheid treedt op wanneer een programma probeert geheugen te gebruiken dat al is vrijgegeven, wat eveneens kan resulteren in het uitvoeren van willekeurige code door een aanvaller.
Verder zijn er out-of-bounds write en read kwetsbaarheden geïdentificeerd. Deze veroorzaken ook geheugenbeschadiging en kunnen in bepaalde scenario's leiden tot het uitlekken van gevoelige informatie. Dit kan variëren van systeeminformatie tot persoonlijke gegevens, afhankelijk van de context van de aanval.
Ten slotte is een NULL Pointer Dereference kwetsbaarheid verholpen. Hoewel dit lek minder direct leidt tot code-uitvoering, kan het wel een crash van de applicatie veroorzaken, wat resulteert in een denial-of-service (DoS) situatie. Gebruikers zouden hierdoor hun werk kunnen verliezen of de applicatie niet meer kunnen gebruiken.
Adobe heeft updates uitgebracht die deze kwetsbaarheden verhelpen. Gebruikers van de getroffen versies van Adobe InDesign Desktop worden dringend geadviseerd om hun software zo snel mogelijk te updaten om zich te beschermen tegen potentiële aanvallen.
Bron: NCSC
12 juni 2026 | Adobe verhelpt meerdere kwetsbaarheden in Dreamweaver
Adobe heeft recentelijk een reeks kritieke beveiligingsupdates uitgebracht om meerdere kwetsbaarheden aan te pakken die aanwezig waren in Adobe Dreamweaver Desktop. Deze kwetsbaarheden troffen specifiek versies 21.7 en alle eerdere uitgaven van de software.
Het misbruik van deze kwetsbaarheden is mogelijk wanneer een gebruiker wordt verleid om een specifiek geprepareerd, kwaadaardig bestand te openen direct vanuit de Dreamweaver-applicatie. Deze actie vormt de essentiële interactie van de gebruiker die nodig is voor een succesvolle exploitatie. Zonder deze interactie kunnen de kwetsbaarheden niet worden misbruikt.
De geïdentificeerde beveiligingslekken zijn divers van aard. Een van de meest ernstige betreft de mogelijkheid tot het uitvoeren van willekeurige code. Dit betekent dat een aanvaller, via het openen van een kwaadaardig bestand, onbevoegde programma's of commando's kan uitvoeren op het systeem van het slachtoffer.
Daarnaast was het mogelijk om willekeurige bestanden op het systeem te lezen. Dit was een gevolg van onvoldoende toegangscontrole en onjuiste autorisatie binnen de applicatie, wat kan leiden tot het uitlekken van gevoelige informatie die op het systeem is opgeslagen. Een derde kwetsbaarheid betrof het schrijven van bestanden, wat mogelijk was door onjuiste inputvalidatie. Dit kan aanvallers in staat stellen om bestaande bestanden te overschrijven of nieuwe, kwaadaardige bestanden aan te maken op het systeem van de gebruiker.
Tot slot was er een probleem met het gebruik van onjuist geïnitialiseerde pointers. Dit kon resulteren in geheugenbeschadiging binnen de applicatie. Dergelijke geheugenproblemen kunnen leiden tot instabiliteit van de software, crashes, of zelfs verdere exploitatiemogelijkheden bieden voor aanvallers om controle over het systeem te verkrijgen.
De gevolgen van een succesvolle exploitatie van deze kwetsbaarheden kunnen aanzienlijk zijn. Potentiële risico's omvatten het uitlekken van gevoelige data, waarbij vertrouwelijke informatie van het systeem van de gebruiker kan worden gestolen. Bovendien kunnen aanvallers code uitvoeren met de privileges van de gecompromitteerde gebruiker, wat hen toegang geeft tot de functionaliteiten en data waartoe de gebruiker zelf toegang heeft. Ten slotte bestaat het gevaar van het manipuleren van bestanden op het systeem, waardoor belangrijke documenten kunnen worden gewijzigd, verwijderd of beschadigd. Het is cruciaal voor gebruikers van Adobe Dreamweaver Desktop om hun software tijdig te updaten naar de gepatchte versies om zich tegen deze risico's te beschermen.
Bron: NCSC
12 juni 2026 | Kwetsbaarheden ontdekt in Adobe Acrobat Reader
Adobe heeft recentelijk cruciale beveiligingsupdates uitgebracht om kwetsbaarheden te verhelpen in diverse versies van zijn populaire software, Adobe Acrobat Reader. Specifiek zijn de versies 24.001.30365, 26.001.21651 en alle eerdere uitgaven getroffen door ernstige beveiligingslekken. Deze kwetsbaarheden, die door het Nationaal Cyber Security Centrum (NCSC) onder de aandacht zijn gebracht, vereisen onmiddellijke actie van gebruikers om potentiële risico's te mitigeren.
De ontdekte lekken omvatten een zogeheten 'out-of-bounds write' en meerdere 'Use After Free' fouten. Een out-of-bounds write treedt op wanneer een programma probeert data te schrijven naar een geheugenlocatie buiten de toegewezen grenzen. Dit kan leiden tot onvoorspelbaar gedrag van de applicatie, crashes, of, in het ergste geval, de uitvoering van kwaadaardige code. De Use After Free fouten zijn eveneens kritiek; deze ontstaan wanneer een programma geheugen vrijgeeft, maar vervolgens probeert dit vrijgegeven geheugen opnieuw te gebruiken. Omdat het geheugen mogelijk al door een ander proces is toegewezen, kan dit leiden tot corruptie van het geheugen en eveneens tot de uitvoering van arbitraire code.
Deze specifieke kwetsbaarheden worden geactiveerd wanneer Adobe Acrobat Reader malformed of kwaadaardig opgemaakte bestanden verwerkt. Een aanvaller zou een slachtoffer kunnen verleiden een dergelijk speciaal vervaardigd PDF bestand te openen. Zodra het bestand wordt geopend, kunnen de kwetsbaarheden worden misbruikt, wat resulteert in geheugenbeschadiging. Het directe gevolg hiervan is dat de aanvaller mogelijk in staat is om arbitraire code uit te voeren binnen de context van de Adobe Acrobat Reader applicatie op het systeem van het slachtoffer. Dit betekent dat de aanvaller effectief controle kan krijgen over de applicatie en, afhankelijk van de privileges van de gebruiker, potentieel verdere toegang tot het systeem kan verkrijgen.
Het NCSC benadrukt het belang van het zo snel mogelijk installeren van de beschikbare updates. Gebruikers van Adobe Acrobat Reader worden dringend geadviseerd om hun software te controleren en te updaten naar de nieuwste, gepatchte versies. Het negeren van deze waarschuwing kan leiden tot een verhoogd risico op compromittering van systemen en data. De updates van Adobe zijn ontworpen om deze kwetsbaarheden volledig te adresseren en de integriteit en veiligheid van de software te herstellen.
Bron: NCSC
12 juni 2026 | Ivanti verhelpt kritieke kwetsbaarheden in Endpoint Manager Mobile
Technologiebedrijf Ivanti heeft recentelijk meerdere kwetsbaarheden geïdentificeerd en verholpen binnen zijn product Ivanti Endpoint Manager Mobile. Deze beveiligingslekken kunnen, indien misbruikt, aanzienlijke risico's met zich meebrengen voor de integriteit en de controle over de systemen waarop de software is geïnstalleerd. Het Nationaal Cyber Security Centrum (NCSC) heeft hierover een advies uitgebracht, waarin de ernst van de situatie wordt benadrukt.
Eén van de verholpen kwetsbaarheden betreft een OS command injection. Dit lek stelt een aanvaller in staat om, na succesvolle authenticatie, willekeurige besturingssysteemcommando's uit te voeren. Het bijzonder zorgwekkende aspect hiervan is dat deze commando's kunnen worden uitgevoerd met root privileges, wat de aanvaller volledige controle over het getroffen systeem geeft. Dit type kwetsbaarheid vormt een directe bedreiging voor de vertrouwelijkheid, integriteit en beschikbaarheid van gegevens en systemen.
Daarnaast is er een kwetsbaarheid aangepakt die voortkomt uit onjuiste inputvalidatie. Deze specifieke fout in de software maakt het voor een geauthenticeerde beheerder mogelijk om op afstand willekeurige code uit te voeren. Hoewel authenticatie is vereist, biedt de mogelijkheid tot remote code execution (RCE) een aanvaller een krachtig middel om controle over het systeem te verkrijgen en kwaadaardige acties uit te voeren.
Een derde belangrijke kwetsbaarheid die door Ivanti is gepatcht, is een configuratiefout. Deze fout kan door een remote, geauthenticeerde aanvaller worden misbruikt om willekeurige Apache-directieven te injecteren. Ook deze aanvalsmethode kan uiteindelijk leiden tot remote code execution, waardoor de aanvaller de controle over de webserver en mogelijk het onderliggende systeem kan overnemen.
De genoemde kwetsbaarheden zijn aangetroffen in diverse versies van Ivanti Endpoint Manager Mobile. Organisaties die deze software gebruiken, worden dringend geadviseerd de door Ivanti uitgebrachte patches en updates zo snel mogelijk te installeren om hun IT infrastructuur te beschermen tegen exploitatie. Het negeren van deze updates kan leiden tot ongeautoriseerde toegang, dataverlies en verstoring van bedrijfsprocessen.
Bron: NCSC
13 juni 2026 | Kritieke kwetsbaarheid (CVE-2026-20253) ontdekt in Splunk Enterprise
Splunk Enterprise, een veelgebruikt beveiligingsproduct, blijkt een kritieke kwetsbaarheid te bevatten in zijn ingebouwde databaseservice. Volgens recent onderzoek van beveiligingsonderzoekers accepteert deze databaseservice elke combinatie van gebruikersnamen en wachtwoorden, aangezien er geen authenticatie is ingesteld. Dit ernstige gebrek aan beveiliging maakt het mogelijk voor aanvallers om een volledige pre-authenticatieworkflow voor Remote Code Execution (RCE) uit te voeren op Splunk Enterprise-installaties.
De kwetsbaarheid, geïdentificeerd als CVE-2026-20253, heeft een CVSS-score van 9.8, wat duidt op een zeer kritiek risico. Een pre-authenticatieworkflow voor Remote Code Execution betekent dat een aanvaller code kan uitvoeren op het kwetsbare systeem zonder voorafgaande authenticatie. Dit vereenvoudigt de aanval aanzienlijk, aangezien de aanvaller geen geldige inloggegevens nodig heeft of eerst toegang hoeft te verkrijgen tot het netwerk om de kwetsbaarheid uit te buiten. De gepubliceerde exploit-chain toont aan hoe deze kwetsbaarheid misbruikt kan worden om volledige controle over de Splunk server te verkrijgen.
Gezien de functie van Splunk als een centraal platform voor logbeheer, beveiligingsinformatie en gebeurtenisbeheer (SIEM), en operationele intelligentie, kan de compromittering van een Splunk server verstrekkende gevolgen hebben. Aanvallers kunnen niet alleen toegang krijgen tot gevoelige loggegevens, maar ook de integriteit van deze logbestanden manipuleren, waardoor forensisch onderzoek en detectie van verdere inbreuken ernstig worden bemoeilijkt. Bovendien kan een gecompromitteerde Splunk server worden gebruikt als een strategische basis om andere systemen binnen het netwerk aan te vallen, of zelfs om het platform te misbruiken voor data-exfiltratie of de implementatie van verdere malware.
De publicatie van de volledige exploit-chain door de beveiligingsonderzoekers verhoogt de urgentie voor beheerders van Splunk Enterprise-omgevingen om onmiddellijk actie te ondernemen. Hoewel de specifieke mitigerende maatregelen niet in de alert worden genoemd, is het cruciaal dat organisaties hun Splunk-installaties controleren op de aanwezigheid van deze kwetsbaarheid en de aanbevolen patches of configuratiewijzigingen toepassen zodra deze beschikbaar komen van de leverancier. De hoge CVSS-score en de aard van de pre-authenticatie RCE maken dit een van de gevaarlijkste kwetsbaarheden die in recente tijden zijn ontdekt voor een dergelijk wijdverspreid beveiligingsproduct.
Bron: watchTowr Labs
13 juni 2026 | phpBB forum software bevatte tien jaar lang authenticatiebypass-kwetsbaarheid
In de forumsoftware van phpBB is een authenticatiebypass-kwetsbaarheid ontdekt die al tien jaar onopgemerkt bleef. Deze kwetsbaarheid stelde een aanvaller in staat om in te loggen als willekeurige gebruiker, inclusief beheerders. De kwetsbaarheid heeft geen officiële identificatie, zoals een CVE-nummer, en is eenvoudig te misbruiken met slechts één HTTP-verzoek. Alle versies van phpBB tot en met 3.3.16 en 4.0.0-a2 zijn getroffen.
Onderzoekers van het bedrijf voor applicatiebeveiliging Aikido ontdekten het lek op 2 juni en meldden dit via het HackerOne-programma voor kwetsbaarheidsmeldingen van de ontwikkelaar. phpBB reageerde onmiddellijk op de melding en bracht op 6 juni versie 3.3.17 van de software uit om het probleem te verhelpen. Volgens Aikido werd de kwetsbaarheid tien jaar geleden in de codebase van phpBB geïntroduceerd, waardoor alle versies van de 3.x- en 4.x-releasebranches, tot aan 3.3.16 en 4.0.0-a2, kwetsbaar waren. Voor de 4.x-release is op dit moment nog geen oplossing beschikbaar.
phpBB is een gratis en open-source webforumplatform gebaseerd op PHP, dat zijn hoogtepunt van populariteit kende in de jaren 2000 en begin 2010. Ondanks de afnemende populariteit, draait de software vandaag de dag nog steeds op duizenden forums wereldwijd. Aikido stelt dat het misbruiken van de kwetsbaarheid geen speciale configuratie vereist, aangezien het kan worden geactiveerd met de standaardinstellingen. De kwetsbaarheid is direct exploiteerbaar in de standaardconfiguratie en vereist geen specialistische kennis.
Beheerders van forums die draaien op versie 4.0.0-a2 of 3.3.16 en ouder worden geadviseerd onmiddellijk een upgrade uit te voeren naar respectievelijk de masterbranch (voor 4.x, aangezien er nog geen veilige release is) en versie 3.3.17 (voor 3.x) om compromittering te voorkomen. Toegang als beheerder zou aanvallers in staat kunnen stellen om alle privéberichten op het forum te bekijken, inhoud en gebruikersaccounts aan te maken, te wijzigen of te verwijderen, personeel te imiteren of de websites te bekladden. Het kiezen van doelwitten is relatief eenvoudig, aangezien de ledenlijst op phpBB-forums standaard openbaar is.
Aikido merkt op dat remote code execution (RCE) niet mogelijk is, dankzij een afzonderlijke wachtwoordcontrole die het beheerpaneel beschermt. De onderzoekers hebben voorlopig alle technische details achtergehouden om forumbeheerders voldoende tijd te geven de beveiligingsupdates toe te passen. Zij hebben zelfs beheerders van grote forums gebaseerd op phpBB rechtstreeks gewaarschuwd. Een belangrijk detail is dat de update mogelijk problemen kan veroorzaken voor forums die OAuth-authenticatie gebruiken, omdat de OAuth-redirecthandler naar een nieuwe locatie is verplaatst, maar dit zou in de meeste gevallen een eenvoudige oplossing moeten zijn. Aikido heeft beloofd de volledige details van de kwetsbaarheid in een toekomstig rapport te publiceren, maar heeft hiervoor geen specifieke tijdlijn gegeven.
Bron: Aikido | Bron 2: phpbb.com
13 juni 2026 | AMD verhelpt RCE-beveiligingslek in updatesoftware na maandenlange discussie
AMD heeft na een periode van 124 dagen een kwetsbaarheid in zijn updatesoftware verholpen die op afstand code-uitvoering (RCE) via een man-in-the-middle (MITM)-aanval mogelijk maakte. Het probleem ontstond doordat de software gebruikmaakte van HTTP voor het downloaden van bestanden. Dit maakte het voor aanvallers op hetzelfde netwerk, of degenen met toegang tot de internetprovider, mogelijk om een MITM aanval uit te voeren en schadelijke software te verspreiden onder gebruikers.
De Nieuw-Zeelandse programmeur MrBruh ontdekte de kwetsbaarheid en meldde deze op 6 februari bij het bugbountyplatform dat door AMD wordt gebruikt. Op dezelfde dag werd de bugmelding echter gesloten, met de mededeling dat MITM aanvallen niet onder het bugbountyprogramma vielen. Na deze afwijzing publiceerde MrBruh zijn bevindingen in een blogpost, die veel aandacht trok op Hacker News.
Een dag later erkende AMD het probleem en startte een onderzoek. Het bedrijf verzocht MrBruh om zijn blogpost offline te halen, een verzoek waarmee de programmeur instemde, hoewel hij later aangaf dit achteraf als een verkeerde keuze te beschouwen. AMD liet de onderzoeker ook weten dat hij geen beloning zou ontvangen voor zijn melding, maar beloofde wel een software-update te ontwikkelen en hem als melder te bedanken.
Na 124 dagen wist AMD de updates via HTTPS te laten verlopen. MrBruh uitte zijn frustratie hierover op zijn eigen blog, waarin hij verzuchtte over de lange duur die nodig was om AMD zover te krijgen om "een S aan een aantal HTTP url's te laten toevoegen". Bovendien stelde AMD dat voortaan de digitale handtekening van updates zou worden gecontroleerd. MrBruh betwist dit en stelt dat er enkel een CRC-32-controle op het gedownloade bestand wordt uitgevoerd, wat volgens hem niet cryptografisch veilig is.
Bron: AMD
13 juni 2026 | Kritieke kwetsbaarheden in LangGraph AI-framework leiden tot RCE
Cybersecurity onderzoekers hebben details bekendgemaakt over drie inmiddels gepatchte beveiligingslekken die LangGraph treffen, waaronder een kritieke kwetsbaarheidsketen die kan resulteren in remote code execution (RCE). LangGraph is een open source framework, gecreëerd door LangChain, voor het bouwen van complexe, stateful en multi-agent applicaties met artificiële intelligentie (AI).
Volgens Check Point kan een SQL injectie in een functie van LangGraph aanvallers in staat stellen om volledige controle over een server te verkrijgen via remote code execution, door zwakke punten in de manier waarop het systeem gegevens verwerkt en afhandelt te misbruiken.
De geïdentificeerde kwetsbaarheden zijn als volgt:
* **CVE-2025-67644** (CVSS score: 7.3): Een SQL injectie kwetsbaarheid in de SQLite checkpoint implementatie van LangGraph maakt het mogelijk voor aanvallers om SQL queries te manipuleren via metadata filter sleutels. Dit treft `langgraph-checkpoint-sqlite` versies vóór 3.0.1.
* **CVE-2026-28277** (CVSS score: 6.8): Een onveilige msgpack deserialisatie kwetsbaarheid in LangGraph die kan worden gebruikt om object reconstructie te triggeren wanneer een checkpoint wordt geladen door een aanvaller die checkpoint data kan aanpassen. Dit treft `langgraph` versies vóór 1.0.10.
* **CVE-2026-27022** (CVSS score: 6.5): Een RediSearch Query Injectie in `@langchain/langgraph-checkpoint-redis` die kan worden gebruikt om toegangscontroles te omzeilen. Dit treft versies vóór 1.0.1.
Check Point merkte op dat de kwetsbaarheidsketen exploiteerbaar is in zelf gehoste implementaties die gebruikmaken van de SQLite of Redis checkpointer met door gebruikers beheerde filter invoer. Het beheerde platform van LangChain, bekend als LangSmith Deployment, wordt niet getroffen.
Beveiligingsonderzoeker Yarden Porat, die wordt gecrediteerd voor het ontdekken en rapporteren van alle drie de kwetsbaarheden, stelde dat CVE-2025-67644 en CVE-2026-28277 aan elkaar gekoppeld kunnen worden om remote code execution te bereiken. De aanvalsketen is specifiek afhankelijk van de applicatie die het `get_state_history()` endpoint blootstelt, waardoor een aanvaller historische checkpoints kan ophalen op basis van hun metadata.
De aanval verloopt in de volgende stappen:
1. De aanvaller bereidt een msgpack payload voor die instructies bevat om willekeurige code uit te voeren.
2. De aanvaller stuurt een kwaadaardige filter parameter die de SQL injectie kwetsbaarheid misbruikt om een nep checkpoint rij terug te sturen naar de database query resultaten, waarbij de checkpoint kolom door de aanvaller beheerde geserialiseerde data bevat.
3. Wanneer de applicatie de query resultaten verwerkt, deserialiseert deze de kwaadaardige BLOB van het checkpoint.
4. De aanvaller misbruikt de onveilige deserialisatie kwetsbaarheid om de payload van de aanvaller uit te voeren, wat hen remote code execution op de server geeft.
LangGraph heeft CVE-2026-28277 beschreven als een post-exploitatie probleem, waarbij succesvolle exploitatie de mogelijkheid vereist om door de aanvaller beheerde checkpoint data te schrijven en dit om te zetten in code uitvoering in de applicatie runtime. Dit vormt geen risico voor bestaande LangSmith gehoste implementaties. In een dergelijk scenario kan deze escalatie van schrijftoegang tot de checkpoint store naar code uitvoering "runtime geheimen blootstellen of toegang bieden tot andere systemen die de runtime kan bereiken", aldus de LangGraph beheerders. Het beschreven dreigingsmodel vereist dat een aanvaller de persistentielaag van het checkpoint, die door de implementatie wordt gebruikt, manipuleert; typische gehoste configuraties zijn ontworpen om dergelijke toegang te voorkomen.
Check Point benadrukte dat de bevindingen illustreren hoe klassieke kwetsbaarheidsklassen zoals SQL injectie krachtiger kunnen worden wanneer ze zich manifesteren binnen agent frameworks met AI die verhoogde toegang en vertrouwen met zich meebrengen, waardoor de deur wordt geopend naar blootstelling van gevoelige data.
Gebruikers wordt geadviseerd de nieuwste fixes toe te passen, authenticatie te implementeren voor zelf gehoste LangGraph servers, langlopende statische geheimen te vermijden, netwerksegmentatie af te dwingen, AI agents te behandelen als bevoorrechte identiteiten en het principe van minste privileges (PoLP) toe te passen om de toegangsvoetafdruk van de agent te beperken.
Bron: Check Point | Bron 2: github.com
13 juni 2026 | Kritieke Google Chrome-lekken maken remote code execution mogelijk
Google heeft recentelijk beveiligingsupdates uitgebracht voor de Chrome-browser, gericht op het verhelpen van meerdere kritieke kwetsbaarheden die het mogelijk maken voor aanvallers om op afstand code uit te voeren. Deze kwetsbaarheden stellen een aanvaller in staat om kwaadaardige code op de systemen van gebruikers van Chrome te plaatsen en uit te voeren. Dit kan al gebeuren door enkel het bezoeken van een gecompromitteerde of malafide website, of door het zien van besmette advertenties; verdere interactie van de gebruiker is niet vereist.
In de eerste helft van 2026 is een opvallend hoog aantal kritieke beveiligingslekken in Chrome ontdekt, wat dit jaar nu al markeert als het jaar met het grootste aantal gevonden kritieke kwetsbaarheden tot op heden. Het merendeel van deze kritieke kwetsbaarheden is door Google zelf geïdentificeerd. De meest recente update voor Chrome pakt in totaal 28 beveiligingslekken aan, waarvan 27 door Google zijn gerapporteerd. De vijf als kritiek bestempelde lekken zijn allemaal door het technologiebedrijf ontdekt.
De update naar versie 149.0.7827.114/.115 is beschikbaar voor systemen met macOS en Windows. Voor Linux-gebruikers is versie 149.0.7827.114 uitgebracht. Hoewel de meeste systemen de update automatisch zullen ontvangen, kan dit proces enkele dagen tot weken duren. Gebruikers die de update onmiddellijk willen installeren, kunnen een handmatige controle uitvoeren via de instellingen van de browser. Voor gebruikers van Microsoft Edge, dat net als Chrome gebaseerd is op de browser van Chromium, is op dit moment nog geen vergelijkbare update beschikbaar.
Bron: chromereleases.googleblog.com
16 juni 2026 | Kwetsbaarheid in SimpleHelp maakt aanmaken van malafide accounts mogelijk
Een kritieke kwetsbaarheid in de SimpleHelp software voor beheer op afstand stelt niet-geauthenticeerde aanvallers in staat om bevoorrechte technician accounts aan te maken op servers die gebruikmaken van het OpenID Connect (OIDC) authenticatieprotocol. Deze kwetsbaarheid, aangeduid als CVE-2026-48558, heeft een kritieke ernstbeoordeling gekregen en treft SimpleHelp versies 5.5.15 en ouder, evenals 6.0 pre-release versies.
Onderzoekers van het offensive security bedrijf Horizon3.ai hebben vastgesteld dat het probleem voortkomt uit de manier waarop identiteitsbevestigingen, ontvangen van een OIDC identiteitsprovider, worden gevalideerd. Wanneer OIDC authenticatie is ingeschakeld, kan een niet-geauthenticeerde aanvaller een nieuwe Technician gebruiker aanmaken en inloggen zonder het multi-factor authenticatie (MFA) proces te hoeven doorlopen. Deze Technician heeft standaard de mogelijkheid om bevoorrechte management activiteiten uit te voeren, zoals het op afstand beheren van endpoints, het uitvoeren van scripts en meer.
SimpleHelp heeft de kwetsbaarheid op 9 juni verholpen door de releases 5.5.16 en 6.0RC2 van het product uit te brengen. Het is belangrijk op te merken dat CVE-2026-48558 niet elke SimpleHelp server met een kwetsbare versie treft; het heeft invloed op een subset die afhankelijk is van het OIDC protocol, of dit nu het generieke OIDC of Azure AD OIDC is, beide gangbaar in grote ondernemingen.
Om de kwetsbaarheid te kunnen misbruiken, moeten aan enkele voorwaarden worden voldaan:
* OIDC authenticatie moet zijn ingeschakeld.
* Minimaal één Technician groep moet zijn gekoppeld aan de OIDC provider.
* De betreffende groep moet de optie "Allow group authenticated logins" ingeschakeld hebben.
Uit analyses van Shodan blijkt dat ongeveer 14.000 SimpleHelp servers openbaar toegankelijk zijn via het internet. Een steekproefanalyse suggereert dat ruwweg 7,2% hiervan is geconfigureerd voor OIDC authenticatie. Bovendien heeft Horizon3.ai vastgesteld dat de optie "Allow group authenticated logins" in veel gevallen is ingeschakeld.
Organisaties kunnen zich verdedigen tegen aanvallen die gebruikmaken van de CVE-2026-48558 kwetsbaarheid door te updaten naar de nieuwste SimpleHelp releases die het probleem aanpakken. Als updaten niet mogelijk is, kan als mitigatie worden overwogen om de inlogbronnen voor technici te beperken met behulp van op IP-adressen gebaseerde allowlists.
De onderzoekers hebben ook indicators of compromise (IoC's) gedeeld om actieve exploitatie te kunnen detecteren. Dit omvat nieuwe geauthenticeerde technician gebruikers met onbekende of verdachte namen en/of e-mailadressen. Daarnaast kunnen de logs in '/opt/SimpleHelp/logs/server.log' en '/opt/SimpleHelp/logs/ /server.log' registraties van technici, e-mailadressen en configuratiewijzigingen bevatten die door malafide accounts zijn uitgevoerd.
Hoewel noch SimpleHelp, noch Horizon3.ai bewijs heeft gemeld van actieve exploitatie, wordt organisaties geadviseerd om de beschikbare fixes of mitigaties zonder vertraging toe te passen, gezien de eerdere interesse van dreigingsactoren in dit product.
Bron: Horizon3.ai | Bron 2: nvd.nist.gov | Bron 3: simple-help.com
16 juni 2026 | Kritiek lek in Microsoft 365 Copilot Enterprise Search maakte e-maildiefstal mogelijk
Een kritieke kwetsbaarheid (CVE-2026-42824) in Microsoft 365 Copilot Enterprise Search heeft het mogelijk gemaakt om met slechts één klik van een slachtoffer e-mails en bestanden uit diens mailbox, SharePoint en OneDrive te stelen, en toegang te verkrijgen tot de agenda. Microsoft heeft dit beveiligingslek op 4 juni 2026 gepatcht, waarvan de details vandaag openbaar zijn gemaakt.
Hoewel beveiligingslekken die "Information disclosure" mogelijk maken doorgaans niet als kritiek worden beoordeeld, is dit bij CVE-2026-42824 wel het geval. Het probleem, ontdekt door onderzoekers van securitybedrijf Varonis, is relatief eenvoudig van opzet en vereist enkel dat het doelwit een speciaal geprepareerde zoeklink opent. In een normale situatie zou deze link een reguliere zoekopdracht uitvoeren. Door de link echter te voorzien van een specifieke parameter, beschouwde Copilot deze als een instructie van de aanvaller.
Deze kwetsbaarheid betreft specifiek organisaties die gebruikmaken van Microsoft Copilot Enterprise Search. Deze functionaliteit, die verschilt van de reguliere Copilot-chat, stelt gebruikers in staat om bedrijfsgegevens te doorzoeken, waaronder mailboxen en bestanden die zijn opgeslagen in SharePoint en OneDrive. Door middel van een speciaal geprepareerde URL kon een aanvaller Copilot de opdracht geven om e-mails van de betreffende gebruiker te doorzoeken. Als reactie hierop genereerde Copilot een antwoord dat een img-tag bevatte met informatie uit de e-mail, waarna deze via Bing naar de aanvallers werd teruggestuurd.
Microsoft had maatregelen geïmplementeerd om te voorkomen dat antwoorden van de chatbot gevaarlijke HTML zouden bevatten. De onderzoekers van Varonis slaagden er echter in om deze maatregelen te omzeilen. Microsoft plaatst de uitvoer van Copilot normaal gesproken in 'code blocks', zodat de browser de inhoud als platte tekst behandelt in plaats van als opmaak. Dit gebeurt echter pas nadat Copilot zijn "denkproces" heeft voltooid. Wanneer de chatbot nog bezig is met het genereren van een antwoord, wordt de HTML tijdelijk in het DOM (document object model) gerenderd, waardoor de browser het verzoek inclusief de HTML verstuurde.
Na het uitbrengen van de patch door Microsoft hoeven gebruikers en organisaties geen verdere actie te ondernemen. Varonis adviseert securityteams echter om alert te blijven en te monitoren op verdachte Copilot-zoeklinks, met name die in de q-parameter HTML-tags bevatten of instructies om data toe te voegen aan image URL's. Daarnaast wordt gebruikers aangeraden om altijd de inhoud van linkjes zorgvuldig te controleren voordat zij erop klikken.
Bron: Varonis | Bron 2: msrc.microsoft.com
16 juni 2026 | Kritieke kwetsbaarheden in LiteLLM AI Gateway maken overname servers mogelijk
Onderzoekers van Obsidian Security hebben een keten van drie kwetsbaarheden ontdekt in LiteLLM, een veelgebruikte open-source AI gateway. Deze kwetsbaarheden stellen gebruikers met lage privileges in staat om volledige beheerdersrechten te verkrijgen en code uit te voeren op de server. De volledige aanvalsketen heeft een kritieke CVSS-score van 9.9. BerriAI, de beheerder van LiteLLM, heeft de volledige reeks fixes opgenomen in LiteLLM v1.83.14-stable, die op 2 mei is uitgebracht. Het wordt dringend aangeraden om naar deze of een latere versie te upgraden.
LiteLLM fungeert als een AI gateway die oproepen naar meer dan honderd modelproviders afhandelt via één OpenAI-compatibele interface. Een succesvolle overname van een LiteLLM-server legt alle provider-sleutels, de geheimen die opgeslagen referenties ontsleutelen, en elke prompt en respons die de gateway passeert, bloot. Dit kan leiden tot het lekken van persoonsgegevens, broncode, interne tickets en andere gevoelige informatie.
De aanvalsketen begint met CVE-2026-47101, een autorisatie-bypass. Een reguliere gebruiker (internal_user) die een virtuele API-sleutel genereert, kan het "allowed_routes"-veld opgeven zonder dat dit tegen de gebruikersrol wordt gecontroleerd. Dit veld, bedoeld om de mogelijkheden van een sleutel te beperken, wordt in plaats daarvan als een fallback-toekenning behandeld. Hierdoor kan een niet-beheerder een sleutel aanmaken met "allowed_routes: ["/*"]", wat toegang geeft tot alle routes, inclusief die voorbehouden aan beheerders.
Zodra de routebeperking is omzeild, worden de achterliggende handlers bereikbaar. Meerdere van deze handlers gaan ervan uit dat de initiële screening al heeft plaatsgevonden, wat twee verdere aanvalspaden opent. Het eerste pad is CVE-2026-47102, een privilege-escalatie. Het "/user/update" eindpunt staat een gebruiker toe om zijn eigen record te bewerken, zonder beperking op welke velden kunnen worden gewijzigd. Een zelf-update met "user_role: "proxy_admin"" wordt geaccepteerd en opgeslagen, waardoor de beller wordt gepromoveerd tot volledige proxy-beheerder. VulnCheck, die de CVE heeft toegewezen, scoort deze kwetsbaarheid 8.7 onder CVSS 4.0 en 8.8 onder CVSS 3.1.
Het tweede pad is CVE-2026-40217, een sandbox-ontsnapping in de Custom Code Guardrail, die door beheerders geleverde Python-code compileert en uitvoert. De productie-eindpunten voerden de code uit via `exec()` zonder filtering op broncode-niveau. Wanneer `exec()` een globals-dictionary zonder `__builtins__` ontvangt, injecteert Python stilzwijgend de volledige `builtins`-module, wat de code toegang geeft tot `__import__`, `open` en `eval`. Een eenvoudige payload die `os.system` aanroept, was voldoende voor een reverse shell. Een apart pad op het "/guardrails/test_custom_code" playground-eindpunt, onafhankelijk ontdekt door X41 D-Sec, omzeilde een regex deny-list via runtime bytecode-herschrijving. Beide paden resulteerden in server-side code-uitvoering.
De impact van een gecompromitteerde LiteLLM-proxy is aanzienlijk. Het legt niet alleen gevoelige gegevens bloot, maar kan ook antwoorden van AI modellen manipuleren. Obsidian demonstreerde dit door een reverse shell te activeren op de machine van een ontwikkelaar, puur door een enkel woord in te voeren, doordat de gecompromitteerde proxy de respons van het AI model verving door een vervalste tool-oproep.
Naast deze keten van kwetsbaarheden, werd eerder deze maand ook CVE-2026-42271, een bug in de stdio-MCP functionaliteit, toegevoegd aan CISA's KEV-catalogus, omdat deze in het wild werd misbruikt om subprocessen via LiteLLM's MCP preview-eindpunten te starten. Eerdere incidenten dit jaar omvatten een supply-chain compromis in maart en een kritieke SQL-injectie in april die binnen 36 uur na openbaarmaking werd misbruikt.
Als mitigatie wordt aanbevolen om te upgraden naar LiteLLM v1.83.14-stable of later. Daarnaast is een grondige audit noodzakelijk. Beheerdersaccounts moeten worden geverifieerd en behandeld als host-niveau toegang. Alle Custom Code Guardrails en callbacks geladen vanuit `config.yaml` onder `litellm_settings.callbacks` moeten worden gecontroleerd, aangezien deze niet in de console verschijnen en een ideale schuilplaats zijn voor een aanvaller. Bij vermoeden van blootstelling moeten provider-sleutels, database-referenties en opgeslagen MCP-tokens worden geroteerd.
Bron: Obsidian Security | Bron 2: nvd.nist.gov
16 juni 2026 | VeraCrypt waarschuwt voor problemen met plausible deniability van hidden volumes
De ontwikkelaars van VeraCrypt, een populair opensource encryptieprogramma, hebben een waarschuwing uitgegeven over een probleem met de 'plausible deniability' van hidden volumes na de introductie van versie 1.26.29. Gebruikers van deze functionaliteit worden dringend geadviseerd hun hidden volumes opnieuw aan te maken om de beoogde beveiliging te herstellen.
VeraCrypt, dat voortkomt uit het in 2014 gestopte TrueCrypt, stelt gebruikers in staat om harde schijven te versleutelen en afzonderlijke versleutelde containers te creëren. Een van de onderscheidende kenmerken is de mogelijkheid om een hidden volume te maken. Dit volume bezit een eigen, afzonderlijk wachtwoord en is ontworpen om verborgen te blijven. In een situatie waarin een gebruiker onder dwang wordt verzocht om in te loggen op het systeem, kan deze het wachtwoord van het standaard volume invoeren. Het standaard volume wordt vervolgens ontsleuteld, terwijl het hidden volume onzichtbaar blijft, waardoor het bestaan ervan niet aantoonbaar is.
De kern van het recente probleem ligt in een beveiligingslek dat, hoewel gepatcht in versie 1.26.29, de plausible deniability van deze hidden volumes aantast. Voorheen was het voor buitenstaanders niet zichtbaar dat een hidden volume aanwezig was op een systeem. Door het ontdekte lek is dit nu wel het geval, waardoor de effectiviteit van deze cruciale functionaliteit wordt ondermijnd.
Naast de impact op de hidden volumes zijn in VeraCrypt versie 1.26.29 ook twee andere kwetsbaarheden verholpen, geïdentificeerd als CVE-2026-53762 en CVE-2026-54073. De kwetsbaarheid CVE-2026-53762 kan onder specifieke omstandigheden offline wachtwoordaanvallen vereenvoudigen en daarmee potentieel goedkoper maken. Het tweede lek, CVE-2026-54073, is direct gerelateerd aan het reeds genoemde probleem met de plausible deniability van hidden volumes.
Gebruikers die afhankelijk zijn van de hidden volume functionaliteit van VeraCrypt worden met klem geadviseerd om hun bestaande hidden volumes te verwijderen en opnieuw aan te maken na het updaten naar de nieuwste versie. Dit is de enige manier om de volledige bescherming en anonimiteit die deze volumes moeten bieden, te garanderen.
Bron: VeraCrypt | Bron 2: github.com
16 juni 2026 | CCB waarschuwt voor meerdere kritieke kwetsbaarheden in GitLab CC/EE
Het Centrum voor Cybersecurity België (CCB) heeft een dringende waarschuwing uitgegeven voor meerdere, als 'hoog' geclassificeerde kwetsbaarheden in GitLab Community Edition (CE) en Enterprise Edition (EE). Gebruikers van deze veelgebruikte software voor softwareontwikkeling en versiebeheer worden met klem geadviseerd om hun systemen onmiddellijk te patchen om ernstige beveiligingsrisico's te mitigeren.
De waarschuwing van het CCB benadrukt vier specifieke kwetsbaarheden, aangeduid met de CVE-nummers CVE-2026-8589, CVE-2026-6552, CVE-2026-10087 en CVE-2026-7250. Deze kwetsbaarheden dragen CVSS-scores van respectievelijk 8.7, 7.3 en 7.5 (de versie 3.1 van het CVSS-framework wordt gebruikt). Dergelijke hoge scores duiden op een aanzienlijk risico, wat betekent dat de zwakke plekken misbruikt kunnen worden om de integriteit, beschikbaarheid of vertrouwelijkheid van GitLab-installaties en de daarop gehoste projecten in gevaar te brengen.
GitLab is een cruciaal platform voor veel organisaties, aangezien het de gehele levenscyclus van softwareontwikkeling ondersteunt, van codebeheer en CI/CD-pipelines tot beveiligingsscans en monitoring. Kwetsbaarheden met een hoog risiconiveau kunnen in dit type omgeving leiden tot verstrekkende gevolgen, zoals ongeautoriseerde toegang tot broncode, manipulatie van implementatieprocessen, diefstal van gevoelige gegevens of zelfs de volledige overname van de GitLab-server. Dit kan op zijn beurt de beveiliging van de ontwikkelde applicaties en de gegevens van eindgebruikers aantasten.
Het CCB wijst erop dat de kwetsbaarheden van invloed zijn op diverse versies van GitLab CE en EE, waaronder versie 18.10.8. GitLab heeft in reactie op deze bevindingen reeds updates uitgebracht, zoals patch release 19.0.2, die deze beveiligingslekken verhelpen. Het is daarom van cruciaal belang dat beheerders van GitLab-instanties zo snel mogelijk de beschikbare patches installeren. Het negeren van deze waarschuwing kan leiden tot een verhoogd risico op cyberaanvallen en potentiële operationele verstoringen. Organisaties worden aangespoord om hun incidentrespons-procedures paraat te hebben voor het geval er toch een incident zou plaatsvinden.
Bron: CCB | Bron 2: github.com
17 juni 2026 | CISA voegt actief misbruikte kwetsbaarheid in Joomla Content Editor toe aan KEV-catalogus
De Cybersecurity and Infrastructure Security Agency (CISA) heeft een nieuwe kwetsbaarheid, aangeduid als CVE-2026-48907, toegevoegd aan haar Known Exploited Vulnerabilities (KEV) Catalogus. Deze toevoeging is gebaseerd op concreet bewijs van actieve exploitatie van de kwetsbaarheid.
De betreffende kwetsbaarheid is een "Improper Access Control" (onjuiste toegangscontrole) in de Widget Factory Joomla Content Editor. Dit type kwetsbaarheid vormt een frequent aanvalsvector voor kwaadwillende cyberactoren en brengt aanzienlijke risico's met zich mee voor organisaties.
CISA benadrukt het belang van de KEV-catalogus, mede in het licht van Binding Operational Directive (BOD) 26-04. Deze richtlijn, die een update is van BOD 22-01, stelt specifieke eisen aan het kwetsbaarheidsbeheer voor Federale Civiele Uitvoerende Tak (FCEB) instanties in de Verenigde Staten. BOD 26-04 verplicht deze federale instanties om prioriteit te geven aan de snelle remediëring van kwetsbaarheden met een hoog risico. Dit geldt specifiek voor CVE's die in CISA’s KEV-catalogus zijn opgenomen en die aanwezig zijn op publiek toegankelijke assets, waarbij succesvolle exploitatie kan leiden tot volledige controle over het systeem. Voor kwetsbaarheden met een lager risico mag actie worden uitgesteld.
Bovendien stelt BOD 26-04 basisverwachtingen vast voor wanneer instanties moeten controleren of dreigingsactoren het systeem al hebben gecompromitteerd voordat een patch werd toegepast. Hoewel BOD 26-04 specifiek van toepassing is op FCEB-instanties, moedigt CISA alle organisaties aan om een op risico gebaseerde aanpak voor kwetsbaarheidsbeheer te hanteren en prioriteit te geven aan de remediëring van kwetsbaarheden die in de KEV-catalogus staan vermeld.
CISA blijft kwetsbaarheden aan de catalogus toevoegen die voldoen aan specifieke criteria: een CVE-ID, bewijs van actieve exploitatie en duidelijke mitigatierichtlijnen.
Bron: CISA | Bron 2: cve.org
17 juni 2026 | Kwetsbaarheid in Google Vertex AI SDK maakt kaping modeluploads mogelijk
Onderzoekers van Palo Alto Networks Unit 42 hebben een kwetsbaarheid ontdekt in de Google Cloud Vertex AI SDK voor Python, die aanvallers in staat stelde om machine learning modeluploads te kapen en code uit te voeren binnen de serving infrastructuur van Google. De techniek, door Unit 42 "Pickle in the Middle" genoemd, maakte het mogelijk voor een aanvaller zonder toegang tot het project van een slachtoffer om toch controle te verkrijgen. Er zijn geen aanwijzingen dat de kwetsbaarheid in het wild is misbruikt. Google heeft de fout hersteld; gebruikers van de SDK dienen te updaten naar versie 1.148.0 of later.
Voor de aanval was enkel een eigen Google Cloud project van de aanvaller en het vaak publieke project-ID van het slachtoffer nodig. Er waren geen inloggegevens, phishing of een reeds bestaande toegang tot het doelsysteem vereist. De kwetsbaarheid lag in de manier waarop de SDK een tijdelijke Cloud Storage bucket koos voor modeluploads wanneer een gebruiker geen specifieke bucket instelde. De SDK genereerde dan een voorspelbare naam, zoals `project-vertex-staging-region`, gebaseerd op het project-ID en de regio. Hoewel de SDK controleerde of de bucket bestond, werd niet geverifieerd of het slachtoffer de eigenaar was.
Aangezien bucketnamen wereldwijd uniek zijn, kon een aanvaller de verwachte bucketnaam preventief creëren in hun eigen project. De SDK van het slachtoffer zou vervolgens de modelbestanden naar de bucket van de aanvaller uploaden. De aanvaller kon dan het geüploade model vervangen door een kwaadaardige variant. Veel Python machine learning modellen worden opgeslagen met `pickle` of `joblib`, die code kunnen uitvoeren wanneer een bestand wordt geladen. Wanneer Vertex AI later het verwisselde model laadde, werd de code van de aanvaller uitgevoerd binnen de serving container.
De aanval was afhankelijk van snelheid. Unit 42 mat ongeveer 2,5 seconden tussen de upload van het slachtoffer en het moment dat Vertex AI het bestand las. In hun proof of concept gebruikte de aanvaller een Cloud Function die na de upload werd geactiveerd en het model binnen 1,4 seconden verving, voordat Vertex AI het kon lezen. De payload stal vervolgens een OAuth token van de metadata server van de serving container en stuurde dit naar de aanvaller. In de testomgeving van Unit 42 was dit token niet beperkt tot de gecompromitteerde implementatie, maar kon het toegang krijgen tot andere modelartefacten binnen hetzelfde Google-beheerde tenantproject, inclusief een volledig TensorFlow model met getrainde gewichten, evenals BigQuery metadata, toegangslijsten, tenant logs, GKE clusternamen en interne container image paden.
De aanval werkte alleen onder specifieke voorwaarden, de standaard staging bucket van het slachtoffer bestond nog niet in die regio (wat gebruikelijk is voor een nieuw project in Vertex AI) en de gebruiker had de `staging_bucket` parameter niet ingesteld, waardoor deze afhankelijk was van de standaardinstelling van de SDK.
Unit 42 rapporteerde de kwetsbaarheid op 5 maart 2026 via Google's Vulnerability Reward Program. Zij testten versies 1.139.0 en 1.140.0, de toen meest recente versies, en vonden beide kwetsbaar. Google leverde een initiële fix in versie 1.144.0 op 31 maart, waarbij een willekeurige `uuid4` aan de bucketnaam werd toegevoegd. De definitieve fix werd voltooid in versie 1.148.0 op 15 april, met de toevoeging van bucket eigendomsverificatie om bucket squatting in `Model.upload()` te blokkeren. Op het moment van publicatie is er nog geen CVE-nummer toegewezen aan dit probleem door Unit 42 of Google's Vertex AI security bulletins.
Als aanbeveling wordt gebruikers geadviseerd om te updaten naar versie 1.148.0 of later, zodat de eigendomscontrole actief is. Daarnaast wordt geadviseerd om expliciet een `staging_bucket` in te stellen naar een Cloud Storage locatie die men zelf beheert bij het uploaden van modellen. Omdat de gebrekkige logica zich in de client SDK bevindt, is het belangrijk de versie van `google-cloud-aiplatform` te controleren overal waar deze wordt uitgevoerd, inclusief notebooks, CI-taken en training pipelines, en niet alleen in productiediensten. Dit is de tweede kwetsbaarheid in Vertex AI met een voorspelbare bucketnaam die dit jaar aan het licht is gekomen. Google patchte CVE-2026-2473 in februari, een aparte bucket-squatting bug in Vertex AI Experiments die ook cross-tenant code-uitvoering, modeldiefstal en -vergiftiging mogelijk maakte. Eerder onderzoek van Unit 42 naar de standaard service-agent permissies van Vertex AI toonde al een gerelateerd pad van een ingezette AI-agent naar klant- en tenantdata.
Bron: Unit 42 | Bron 2: github.com
17 juni 2026 | CISA waarschuwt voor actief misbruikt lek in LiteSpeed cPanel
Het Amerikaanse cyberagentschap CISA heeft een waarschuwing uitgegeven voor het actieve misbruik van een kwetsbaarheid in de LiteSpeed cPanel-plug-in. Deze kwetsbaarheid, aangeduid als CVE-2026-54420, stelt een aanvaller in staat om diens rechten te verhogen naar die van root, wat resulteert in volledige controle over de server.
De beveiligingsupdate voor CVE-2026-54420 werd op 1 juni uitgebracht. Het lek bevindt zich specifiek in de verwerking van symlinks die afkomstig zijn van een gebruiker met FTP- of webshell-toegang op een gedeelde hostingserver die CloudLinux/CageFS draait. Misbruik van deze kwetsbaarheid is naar verluidt al sinds eind mei aan de gang.
cPanel is een veelgebruikte interface voor individuele hostingaccounts, toegepast door hostingbedrijven en systeembeheerders. De LiteSpeed-plug-in maakt het mogelijk om de LiteSpeed Web Server te gebruiken in plaats van webserversoftware Apache.
Daarnaast heeft cPanel eind mei al gewaarschuwd voor een andere, eveneens actief misbruikte kwetsbaarheid in de plug-in, CVE-2026-48172. Deze kwetsbaarheid maakte het voor een ongeauthenticeerde aanvaller mogelijk om root-toegang tot servers te verkrijgen. Gezien de ernst van de impact en het actieve misbruik, heeft cPanel besloten een update uit te rollen die de LiteSpeed-plug-in automatisch verwijdert bij gebruikers. De LiteSpeed webservice bleef na deze actie echter wel functioneel. Organisaties die gebruikmaken van cPanel met de LiteSpeed-plug-in worden dringend geadviseerd de noodzakelijke updates te installeren en de situatie nauwlettend te monitoren.
Bron: CISA | Bron 2: blog.litespeedtech.com
18 juni 2026 | Microsoft waarschuwt voor misbruik 'RoguePlanet-lek' in Defender
Microsoft heeft gewaarschuwd voor de verwachte actieve exploitatie van een ernstige kwetsbaarheid in zijn ingebouwde antivirussoftware, Windows Defender. Het beveiligingslek, dat de naam 'RoguePlanet' heeft gekregen, stelt aanvallers in staat om systemen volledig over te nemen. Hoewel er al dagen proof-of-concept (PoC) exploitcode voor dit probleem op internet circuleert, is er op dit moment nog geen beveiligingsupdate beschikbaar gesteld door Microsoft. Het techbedrijf heeft aangegeven te werken aan een patch.
De kwetsbaarheid in de Defender Malware Protection Engine, aangeduid als CVE-2026-50656, werd een week geleden publiekelijk onthuld door een onderzoeker. Deze onderzoeker publiceerde gedetailleerde informatie over hoe een lokale gebruiker, of een aanvaller die reeds initiële toegang heeft verkregen tot een systeem, SYSTEM-rechten kan verkrijgen. Het verkrijgen van SYSTEM-rechten betekent dat een aanvaller de hoogste bevoegdheden op het systeem verwerft, wat resulteert in volledige controle. Dit omvat de mogelijkheid om willekeurige code uit te voeren, instellingen te wijzigen, software te installeren of te verwijderen, en data te manipuleren of te exfiltreren. De ernst van het lek wordt verder benadrukt door deze escalatie van privileges. Microsoft heeft in een beveiligingsbulletin, uitgegeven gisterenavond, de kwetsbaarheid erkend en daarbij gemeld dat de kans op misbruik 'more likely' is.
Dezelfde onderzoeker heeft in het verleden al meerdere andere kritieke kwetsbaarheden in Windows-componenten aan het licht gebracht. Hieronder viel onder andere een lek in de encryptiesoftware BitLocker, dat bekend stond als 'YellowKey'. Voor al deze eerder onthulde beveiligingslekken gold destijds, net als bij de huidige 'RoguePlanet'-kwetsbaarheid, dat er nog geen patches van Microsoft beschikbaar waren op het moment van de publieke openbaarmaking van de details. Deze herhaalde situatie van het ontbreken van patches bij publicatie van kwetsbaarheidsdetails wekt zorgen over de coördinatie tussen onderzoekers en Microsoft.
De afwezigheid van een directe patch voor CVE-2026-50656, gecombineerd met de publieke beschikbaarheid van exploitcode, creëert een verhoogd en onmiddellijk risico voor gebruikers van Windows systemen wereldwijd, inclusief die in Nederland en België. Organisaties en individuen die afhankelijk zijn van Windows Defender als hun primaire antivirusoplossing, lopen hierdoor een aanzienlijk risico op ongeautoriseerde systeemovername. Microsoft werkt naar eigen zeggen aan een oplossing, maar heeft geen specifieke datum genoemd waarop de verwachte update beschikbaar zal komen. Gebruikers wordt daarom geadviseerd om uiterst alert te blijven op aankondigingen van Microsoft betreffende de beschikbaarheid van de patch en deze direct toe te passen zodra deze wordt uitgebracht, om zo de potentiële impact van dit lek te minimaliseren.
Bron: Microsoft
18 juni 2026 | Kritieke kwetsbaarheden ontdekt in Google Pixel-telefoons
Google heeft beveiligingsupdates uitgebracht voor zijn Pixel-telefoons om meerdere kritieke kwetsbaarheden te verhelpen. Deze lekken maken remote code execution (RCE) mogelijk, waardoor een aanvaller op afstand code kan uitvoeren op de getroffen toestellen. De recente patchronde van juni omvat een uitzonderlijk hoog aantal kritieke beveiligingslekken; niet eerder in het bestaan van de Google Pixel-serie werden in één maand zoveel ernstige problemen aangepakt.
In totaal zijn 41 kwetsbaarheden verholpen met de juni-update, waarvan er 11 als kritiek zijn geclassificeerd. Acht van deze kritieke lekken maken remote code execution mogelijk. De problemen bevinden zich onder andere in de modem en de 'WC-Radio' van de Pixel-telefoons. De overige drie kritieke kwetsbaarheden kunnen leiden tot een denial of service (DoS) of een escalatie van rechten op het systeem. Google heeft geen specifieke details vrijgegeven over de wijze waarop aanvallers misbruik kunnen maken van deze kwetsbaarheden.
Eigenaren van een Pixel-telefoon worden dringend geadviseerd hun apparaat te updaten naar patch level '2026-06-05'.
In de reacties op de publicatie wordt gesuggereerd dat de term 'WC-Radio' waarschijnlijk verwijst naar de Ultra-Wideband (UWB) radio. Tevens wordt opgemerkt dat deze specifieke patchronde voor Pixel-telefoons gelijkvalt met de upgrade naar Android 17. Dit verklaart mogelijk waarom de updates voor Pixel-toestellen pas ruim twee weken na de algemene Android security bulletin van juni beschikbaar komen, een situatie die vaker voorkomt bij grotere releases of kwartaalupdates.
Ook de beveiliging van alternatieve besturingssystemen komt ter sprake. Hoewel de kwetsbaarheden ook in de basis 'blobs' (binaire bestanden) aanwezig zijn die door besturingssystemen als GrapheneOS worden gebruikt, claimen gebruikers dat GrapheneOS deze firmware-updates zelf meelevert, vaak sneller dan de stock Android-versie. Bovendien wordt gesteld dat de 'baseband' op Pixel-telefoons achter IOMMU-isolatie (Input-Output Memory Management Unit) zit, wat een modem-exploit zou kunnen beperken in het bereiken van applicaties of het hoofdsysteem.
Bron: source.android.com
18 juni 2026 | Bluetooth-lek in Apple Beats Studio Buds maakt afluisteren mogelijk
Een kwetsbaarheid in Bluetooth in de Beats Studio Buds van Apple maakt het afluisteren van gebruikers mogelijk. Apple heeft als reactie hierop een firmware-update uitgebracht om het probleem te verhelpen. Deze kwetsbaarheid, geïdentificeerd als CVE-2025-20701, stelt een aanvaller binnen het Bluetooth-bereik in staat om ongemerkt mee te luisteren via de microfoon van een apparaat. Dit is met name mogelijk wanneer het apparaat nog niet is gepaird en actief zoekt naar koppelverzoeken.
Volgens de uitleg van Apple betreft het een beveiligingslek in opensourcecode, waarbij Apple een van de projecten is die getroffen worden. De specifieke kwetsbaarheid is aanwezig in de Airoha Bluetooth audio SDK. Dit maakt het voor aanvallers mogelijk om zonder enige toestemming of interactie van gebruikers een verbinding tot stand te brengen met een Bluetooth-audioapparaat. De aard van het lek, waarbij een ongeautoriseerde verbinding kan worden opgezet, is zorgwekkend gezien de potentiële privacy-implicaties voor gebruikers.
Het probleem met de Airoha Bluetooth audio SDK kwam vorig jaar juni al in het nieuws, wat suggereert dat de kwetsbaarheid al langer bekend was in de bredere technologie-industrie. Destijds werden fabrikanten die gebruikmaken van Airoha-chipsets door de leverancier ingelicht over het bestaan van het lek. Dit onderstreept de uitdagingen rondom supply chain security, waarbij kwetsbaarheden in componenten van derden een breed scala aan eindproducten kunnen beïnvloeden.
Eigenaren van Beats Studio Buds wordt dringend aangeraden om hun apparaten te updaten naar firmware B211. Deze update is cruciaal om de kwetsbaarheid te dichten en te voorkomen dat kwaadwillenden via de microfoon van de oordopjes kunnen meeluisteren. Het installeren van de nieuwste firmware is een essentiële stap om de privacy en veiligheid van persoonlijke gesprekken en omgevingsgeluiden te waarborgen.
De ontdekking van dit soort kwetsbaarheden in veelgebruikte consumentenelektronica benadrukt het continue risico op digitale inbreuken, zelfs in apparaten die als veilig worden beschouwd. Het feit dat het lek in opensourcecode zit, wijst op de noodzaak van grondige beveiligingsaudits voor alle componenten die in producten worden geïntegreerd, ongeacht hun herkomst. Gebruikers moeten te allen tijde alert blijven op beveiligingsupdates van hun apparaten en deze zo snel mogelijk installeren om potentiële risico's te minimaliseren.
Bron: Apple | Bron 2: nvd.nist.gov | Bron 3: airoha.com
18 juni 2026 | Microsoft introduceert AI-systeem voor geavanceerde kwetsbaarheidsdetectie
Microsoft heeft een nieuw, door AI aangedreven systeem geïntroduceerd, codenaam MDASH, om softwarekwetsbaarheden end-to-end te ontdekken, valideren en herstellen. Het multi-model, agentisch scansysteem van Microsoft Security is ontworpen om de traditionele achterstand van verdedigers ten opzichte van aanvallers te verkleinen door kwetsbaarheidsdetectie te versnellen. De uitdaging lag in het opschalen van een onderzoeksproject naar een productieklare verdediging op bedrijfsniveau, die de complexiteit van eigen code en platforms zoals Windows, Hyper-V, Azure en identiteitssystemen kan doorgronden.
In plaats van op één enkel model te vertrouwen, orkestreert het MDASH-systeem een panel van gespecialiseerde AI-agenten. Elk van deze agenten heeft een specifieke rol binnen een gestructureerde pijplijn, waardoor beveiligingsteams snel en systematisch complexe bugs kunnen opsporen en het bereik van door mensen geleide beoordelingen kunnen vergroten. De bevindingen worden geïntegreerd in Microsoft Defender workflows, waar ze kunnen worden geprioriteerd naast dreigingsinformatie en runtime signalen. Vervolgens stromen ze door naar GitHub en Azure DevOps-pijplijnen voor validatie en herstel, waardoor een gesloten lus ontstaat tussen detectie, validatie, bewijs en oplossing binnen de gehele Microsoft-stack.
Sinds de initiële aankondiging, waarbij het systeem al een toonaangevende industriestandaard overtrof, is MDASH actief in gebruik genomen door Microsoft engineeringteams voor Windows, Azure en identiteitssystemen. Het wordt toegepast als onderdeel van hun dagelijkse beveiligingsworkflows, naast bestaande processen, en richt zich op de oppervlakken die handmatig het moeilijkst te auditen zijn en historisch gezien de meeste inspanning vergden. Het doel is om door AI gestuurde analyse dieper, eerder en over een bredere reeks doelen toe te passen dan traditionele benaderingen toestaan.
De systemen die in scope zijn, behoren tot de meest complexe die Microsoft bouwt, waaronder de diepe lagen van het platform, kernel calling conventions, object lifetime invariants en trust boundaries. Een enkele over het hoofd geziene fout in deze lagen kan disproportionele gevolgen hebben. Het MDASH-systeem vervangt geen beveiligingsteams, maar stelt hen in staat om een bereik te hebben dat ze alleen niet zouden kunnen dekken.
De bevindingen van MDASH komen naar voren als code scan alerts in GitHub Advanced Security (GHAS) en in Azure DevOps, waar ze pijplijn builds kunnen blokkeren en werkitems voor herstel kunnen openen. De maatstaf voor elk beveiligingssysteem is wat het vangt. De Patch Tuesday van deze maand omvat een reeks kwetsbaarheden die door MDASH zijn ontdekt, verspreid over het Windows-ecosysteem, Hyper-V, de Windows-kernel, Active Directory Domain Services, Remote Desktop Client, HTTP.sys, DNS Client en DHCP Client. Deze kwetsbaarheden omvatten exploitklassen zoals uitvoering van code op afstand, escalatie van privileges en openbaarmaking van informatie. Verschillende bevindingen betreffen ernstige kwetsbaarheden voor uitvoering van code op afstand in kerninfrastructuurlagen die moeilijk handmatig te onderzoeken zijn. Andere betreffen subtielere problemen, zoals privilege-escalatie via DNS-componenten en openbaarmaking van informatie via DHCP-clientgedrag. Elk is geïdentificeerd vóór exploitatie in gebieden van de codebase die traditioneel aanzienlijke handmatige inspanning zouden vergen. De nieuwste versie van MDASH heeft een score van 96,5% (elke crash) behaald op CyberGym, een industriestandaard gebaseerd op 1.507 echte kwetsbaarheden.
Bron: Microsoft
18 juni 2026 | Oracle verhelpt ernstige kwetsbaarheden in PeopleSoft Enterprise
Oracle heeft recentelijk diverse kwetsbaarheden verholpen in cruciale componenten van zijn PeopleSoft Enterprise software suite. Deze updates zijn van essentieel belang voor organisaties die gebruikmaken van PeopleSoft Enterprise PT PeopleTools in versies 8.61 en 8.62, evenals PeopleSoft Enterprise CS Campus Community en Student Financials in versie 9.2.38. Het Nationaal Cyber Security Centrum (NCSC) heeft hierover een waarschuwing uitgegeven, wat de urgentie van het toepassen van de patches onderstreept.
De kwetsbaarheden in Oracle PeopleSoft Enterprise PT PeopleTools, specifiek in versies 8.61 en 8.62, zijn bijzonder ernstig. Ze stellen ongeauthenticeerde aanvallers in staat om, via netwerktoegang via HTTP of HTTPS, de bestaande authenticatiecontroles volledig te omzeilen. Dit betekent dat aanvallers zonder geldige inloggegevens toegang kunnen krijgen tot het systeem. Eenmaal binnen kunnen zij kritieke data creëren, verwijderen of wijzigen, wat een directe bedreiging vormt voor de integriteit van bedrijfsinformatie.
Naast het manipuleren van data, maken sommige van deze kwetsbaarheden het mogelijk om een volledige systeemcompromittering te realiseren. Dit omvat de capaciteit om willekeurige code uit te voeren op de getroffen systemen, wat de aanvallers in staat stelt om volledige controle over het PeopleSoft-systeem over te nemen. Zelfs in scenario's waar aanvallers al hoge privileges bezitten en toegang hebben tot de infrastructuur, kunnen zij via deze lekken nog verder gaan en volledige controle over het gehele systeem verkrijgen. De impact van deze kwetsbaarheden is breed en tast de vertrouwelijkheid, integriteit en beschikbaarheid van de systemen aan, de drie pijlers van informatiebeveiliging.
Voor gebruikers van PeopleSoft Enterprise CS Campus Community en Student Financials, specifiek versie 9.2.38, zijn eveneens aanzienlijke risico's geïdentificeerd. Aanvallers, zowel met lage als hoge privileges, kunnen via netwerktoegang via HTTP of HTTPS kritieke data manipuleren of zelfs het systeem volledig overnemen. Deze specifieke kwetsbaarheden zijn primair gerelateerd aan onvoldoende toegangscontrole binnen de software, wat betekent dat de rechten van gebruikers en processen niet adequaat worden afgedwongen. Dit gebrek aan controle beïnvloedt belangrijke componenten van de PeopleSoft-omgeving, waardoor gevoelige studenten en financiële data potentieel blootgesteld of gemanipuleerd kunnen worden.
Gezien de aard van de kwetsbaarheden en de potentieel verstrekkende gevolgen, waaronder het verlies van data-integriteit, vertrouwelijkheid en de beschikbaarheid van systemen die bedrijfskritiek zijn, wordt organisaties dringend geadviseerd om de door Oracle uitgebrachte patches zo spoedig mogelijk te implementeren. Het negeren van deze updates kan leiden tot ernstige beveiligingsincidenten en aanzienlijke verstoringen van de operatie.
Bron: NCSC
18 juni 2026 | Kritieke kwetsbaarheden in Google Chrome vereisen snelle updates
Google heeft recentelijk meerdere kritieke kwetsbaarheden in zijn Chrome-browser gepatcht, die aanvallers in staat kunnen stellen om toegang te krijgen tot het systeem van gebruikers. Het techbedrijf heeft updates uitgebracht om deze problemen te verhelpen, na een reeks patches voor vergelijkbare lekken die remote code execution mogelijk maken.
De kwetsbaarheden zijn dusdanig ernstig dat een aanvaller enkel een gehackte of malafide website hoeft te bezoeken, of besmette advertenties te zien krijgt, om misbruik te maken van de lekken. Er is geen verdere interactie van de gebruiker vereist, wat het risico aanzienlijk verhoogt.
De nieuwste update voor Chrome pakt in totaal 33 kwetsbaarheden aan, waarvan 32 door Google zelf zijn ontdekt en gerapporteerd. Zeven van deze beveiligingslekken zijn aangemerkt als kritiek, en zes daarvan betreffen een 'use after free'-kwetsbaarheid. Deze problemen zijn aanwezig in diverse onderdelen van de browser, waaronder Web Authentication, Passwords, Digital Credentials, WebView en WebShare.
Gebruikers van Google Chrome op macOS en Windows kunnen updaten naar versie 149.0.7827.155 of 149.0.7827.156. Voor Linux-gebruikers is versie 149.0.7827.155 beschikbaar gesteld. Hoewel updates op de meeste systemen automatisch worden doorgevoerd, kan dit proces enkele dagen tot weken duren. Gebruikers die de update direct willen installeren, wordt aangeraden een handmatige controle uit te voeren via de browserinstellingen. Voor gebruikers van Microsoft Edge, dat eveneens gebaseerd is op Googles Chromium-browser, was op het moment van rapportage nog geen update beschikbaar.
Bron: chromereleases.googleblog.com
19 juni 2026 | Cisco verhelpt kritieke kwetsbaarheden in Identity Services Engine
Cisco heeft recentelijk diverse kwetsbaarheden verholpen in zijn Identity Services Engine (ISE) en de Cisco ISE Passive Identity Connector (ISE-PIC). Deze beveiligingslekken kunnen worden misbruikt door zowel geauthenticeerde als niet-geauthenticeerde aanvallers, wat ernstige gevolgen kan hebben voor de integriteit en beschikbaarheid van de getroffen systemen.
Voor aanvallers die reeds over administratieve rechten beschikken en geauthenticeerd zijn, bestaat de mogelijkheid om speciaal vervaardigde HTTP verzoeken te versturen. Door deze verzoeken te manipuleren, kunnen zij willekeurige commando's uitvoeren op de getroffen systemen. Dit kan leiden tot een Denial-of-Service (DoS), waardoor de systemen onbereikbaar worden, en tot een escalatie van privileges. Een dergelijke escalatie stelt de aanvaller in staat om hogere toegangsniveaus te verkrijgen dan waarvoor zij oorspronkelijk geautoriseerd waren, wat de integriteit van de systemen en de beschikbaarheid van diensten ernstig in gevaar brengt. Sommige van deze kwetsbaarheden kunnen bovendien resulteren in de ongeautoriseerde ontsluiting van gevoelige informatie.
Ook niet-geauthenticeerde aanvallers vormen een bedreiging. Zij kunnen de kwetsbaarheden benutten om op afstand willekeurige code uit te voeren op de systemen. Dit opent de deur naar ongeoorloofde toegang tot vertrouwelijke data, waaronder gehashte inloggegevens. Het risico van dergelijke aanvallen is aanzienlijk, aangezien ze zonder voorafgaande authenticatie kunnen plaatsvinden.
De onderliggende oorzaak van deze kwetsbaarheden ligt in onjuiste autorisatiecontroles. Specifiek betreft het de manier waarop toegang tot bepaalde bronnen binnen de Cisco Identity Services Engine en de Passive Identity Connector wordt beheerd. Een gebrekkige implementatie van deze controles stelt kwaadwillenden in staat om de beveiligingsmechanismen te omzeilen en ongewenste acties uit te voeren. Organisaties die gebruikmaken van Cisco ISE en ISE-PIC worden geadviseerd de door Cisco uitgebrachte patches zo spoedig mogelijk te implementeren om hun systemen te beveiligen tegen potentieel misbruik.
Bron: Cisco
19 juni 2026 | Kritieke RCE-lekken gedicht in NGINX Open Source van F5
F5 heeft beveiligingsupdates uitgebracht om twee kritieke kwetsbaarheden in NGINX Open Source aan te pakken. Deze kwetsbaarheden kunnen worden misbruikt om uitvoering van code op afstand (RCE) te realiseren op getroffen systemen. Beide lekken hebben een CVSS v4-score van 9.2, wat duidt op een hoge ernst.
De eerste kwetsbaarheid, aangeduid als CVE-2026-42530, betreft een use-after-free kwetsbaarheid in de ngx_http_v3_module. Een aanvaller zonder authenticatie kan dit lek op afstand activeren wanneer NGINX Open Source is geconfigureerd om de HTTP/3 QUIC module te gebruiken. Dit gebeurt door middel van een specifiek samengestelde HTTP/3-sessie die een QPACK encoder stream heropent. Code-uitvoering is mogelijk op systemen waarbij Address Space Layout Randomization (ASLR) is uitgeschakeld, of wanneer de aanvaller ASLR kan omzeilen.
De tweede kwetsbaarheid, CVE-2026-42055, is een heap-based buffer overflow in de ngx_http_proxy_v2_module en ngx_http_grpc_module modules. Ook dit lek kan door een aanvaller zonder authenticatie op afstand worden getriggerd. Dit is het geval wanneer de `proxy_http_version` naar 2 of de `grpc_pass` directieven worden gebruikt om HTTP/2-verkeer te proxyen, de `ignore_invalid_headers` directieve is ingesteld op 'off', en de `large_client_header_buffers` directieve groter is dan 2 MB. Net als bij het eerste lek, kan code worden uitgevoerd als ASLR is uitgeschakeld of kan worden omzeild.
F5 heeft patches uitgebracht voor diverse producten en versies. Voor CVE-2026-42530 zijn NGINX Open Source 1.31.0 - 1.31.1 (gefixed in 1.31.2) en NGINX Gateway Fabric 2.0.0 - 2.6.3 (gefixed in 2.6.4) gepatcht. Daarnaast zijn NGINX Gateway Fabric 1.3.0 - 1.6.2, NGINX Instance Manager 2.17.0 - 2.22.0 en verschillende versies van NGINX Ingress Controller (5.0.0 - 5.5.0, 4.0.0 - 4.0.1, 3.5.0 - 3.7.2) ook getroffen en gepatcht.
Voor CVE-2026-42055 zijn NGINX Plus 37.0.0 - 37.0.1 (gefixed in 37.0.2.1) en NGINX Plus R33 - R36 (gefixed in R36 P6) aangepakt. Ook NGINX Open Source 1.31.1 (gefixed in 1.31.2) en 1.30.0 - 1.30.2 (gefixed in 1.30.3) hebben updates ontvangen. Andere getroffen producten zijn NGINX Instance Manager 2.17.0 - 2.22.0, F5 WAF voor NGINX 5.9.0 - 5.13.1, NGINX App Protect WAF (5.2.0 - 5.8.0, 4.10.0 - 4.16.0), F5 DoS voor NGINX 4.9.0, NGINX App Protect DoS 4.3.0 - 4.7.0, NGINX Gateway Fabric (2.0.0 - 2.6.3, 1.3.0 - 1.6.2) en diverse NGINX Ingress Controller versies (5.0.0 - 5.5.0, 4.0.0 - 4.0.1, 3.5.0 - 3.7.2).
Als mitigatie voor CVE-2026-42530 adviseert F5 om HTTP/3 uit te schakelen. Voor CVE-2026-42055 wordt aangeraden de `ignore_invalid_headers off` directieve uit de configuratie te verwijderen, of de omvang van de `large_client_header_buffers` directieve te verminderen tot minder dan 2 MB.
Hoewel F5 niet heeft vermeld dat deze specifieke kwetsbaarheden actief worden misbruikt, zijn beveiligingslekken in producten van F5 in het verleden herhaaldelijk uitgebuit door kwaadwillende actoren. Zo werd vorige maand nog een kritiek beveiligingsdefect in NGINX Plus en NGINX Open Source (CVE-2026-42945, ook bekend als NGINX Rift) actief misbruikt kort na de openbaarmaking ervan.
Bron: F5
19 juni 2026 | CISA voegt kwetsbaarheid in Splunk Enterprise toe aan KEV Catalog
De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft recentelijk een nieuwe kwetsbaarheid, aangeduid als CVE-2026-20253, toegevoegd aan haar Known Exploited Vulnerabilities (KEV) Catalogus. Deze toevoeging is gebaseerd op concreet bewijs van actieve misbruik van het beveiligingslek. De kwetsbaarheid betreft een "Missing Authentication for Critical Function" in Splunk Enterprise, wat inhoudt dat een cruciale functie toegankelijk is zonder de vereiste authenticatie.
Kwetsbaarheden van dit type vormen een frequent aanvalsvector voor kwaadwillende cyberactoren en brengen aanzienlijke risico's met zich mee voor organisaties, inclusief de federale overheid van de Verenigde Staten. De KEV Catalogus van CISA is een belangrijke bron voor het identificeren van kwetsbaarheden die actief door aanvallers worden uitgebuit, waardoor organisaties hun remediatiestrategieën hierop kunnen afstemmen.
CISA heeft tevens de Binding Operational Directive (BOD) 26-04 geïntroduceerd, getiteld "Prioritizing Security Updates Based on Risk". Deze richtlijn stelt nieuwe eisen aan kwetsbaarhedenbeheer voor Federal Civilian Executive Branch (FCEB) agentschappen, en bouwt voort op de eerdere BOD 22-01. BOD 26-04 benadrukt het belang van de KEV Catalogus en verplicht federale agentschappen om prioriteit te geven aan snelle remediëring van kwetsbaarheden met een hoog risico. Dit geldt specifiek voor Common Vulnerabilities and Exposures (CVE's) die zijn opgenomen in de KEV Catalogus, vooral die welke publiekelijk zijn blootgesteld en na uitbuiting volledige controle over het systeem kunnen verschaffen. Lager-risico kwetsbaarheden kunnen worden uitgesteld.
Verder stelt BOD 26-04 basisverwachtingen vast voor wanneer agentschappen moeten controleren of dreigingsactoren het systeem hebben gecompromitteerd voordat een patch werd toegepast. Hoewel BOD 26-04 formeel alleen van toepassing is op FCEB agentschappen, moedigt CISA alle organisaties wereldwijd aan om risico-gebaseerd kwetsbaarhedenbeheer toe te passen en de remediëring van kwetsbaarheden uit de KEV Catalogus te prioriteren.
CISA blijft kwetsbaarheden toevoegen aan de catalogus die voldoen aan de gespecificeerde criteria. Organisaties die op de hoogte zijn van een uitgebuit beveiligingslek dat nog niet in de KEV Catalogus staat, worden aangemoedigd om dit te melden via het KEV Nomination Form. Potentiële toevoegingen moeten een CVE-ID hebben, bewijs van actieve uitbuiting en duidelijke mitigatierichtlijnen.
Bron: CISA | Bron 2: cve.org
20 juni 2026 | Kritieke kwetsbaarheden in populaire Chrome-extensies SiderAI en MaxAI
Beveiligingsonderzoekers van Rebora Security hebben kritieke kwetsbaarheden aan het licht gebracht in twee veelgebruikte extensies voor Chrome: SiderAI en MaxAI. Deze ontdekkingen, die de namen "Spyder" en "MaXSS" hebben gekregen, vormen een ernstig risico voor miljoenen gebruikers wereldwijd. De extensies, die bekendstaan als "agentic side panel" tools met AI-functionaliteit, blijken aanzienlijke beveiligingslekken te bevatten.
De geconstateerde kwetsbaarheden bieden aanvallers de mogelijkheid om volledige controle over browsersessies van getroffen gebruikers over te nemen. Een dergelijke compromittering kan verstrekkende gevolgen hebben, waaronder ongeautoriseerde toegang tot gevoelige gegevens die worden verwerkt of opgeslagen op diverse websites. Bovendien bestaat het risico dat aanvallers toegang kunnen krijgen tot informatie die lokaal op de systemen van de gebruikers is opgeslagen. Het feit dat deze extensies op grote schaal worden ingezet, onderstreept de urgentie en potentiële impact van deze bevindingen. Gebruikers van SiderAI en MaxAI worden dringend geadviseerd om alert te zijn op verdere mededelingen en eventuele updates of aanbevelingen van de ontwikkelaars of beveiligingsonderzoekers. De specifieke technische details van de exploits of concrete mitigatiemaatregelen zijn op basis van de beschikbare informatie nog niet nader gespecificeerd.
Bron: Deze informatie is afkomstig van een anonieme tip aan Cybercrimeinfo
20 juni 2026 | Kritieke authenticatie bypass kwetsbaarheid in SimpleHelp vereist onmiddellijke patch
Het Belgisch Centrum voor Cybersecurity (CCB) heeft een urgente waarschuwing uitgegeven betreffende een kritieke kwetsbaarheid in de SimpleHelp software voor beheer op afstand. Deze kwetsbaarheid, geïdentificeerd als CVE-2026-48558, betreft een ernstige authenticatie bypass, wat betekent dat aanvallers de normale inlogprocedures kunnen omzeilen en ongeautoriseerde toegang tot systemen kunnen verkrijgen. Het risiconiveau is door de autoriteiten vastgesteld op 'kritiek', met een CVSS-score van 10.0 (CVSS:3.1), wat de hoogst mogelijke ernst in de Common Vulnerability Scoring System-standaard aangeeft.
SimpleHelp is een veelgebruikte oplossing die organisaties in staat stelt om op afstand toegang te krijgen tot en ondersteuning te bieden voor computersystemen, zowel intern als extern. De aanwezigheid van een authenticatie bypass kwetsbaarheid in dergelijke software is bijzonder zorgwekkend, aangezien het een directe route biedt voor kwaadwillenden om de controle over de getroffen endpoints over te nemen. Dit kan leiden tot volledige compromittering van systemen, met potentieel verwoestende gevolgen, waaronder ongeoorloofde toegang tot gevoelige gegevens, installatie van verdere malware, verstoring van bedrijfsprocessen en zelfs volledige systeemuitval.
Kwetsbaar zijn alle SimpleHelp versies tot en met 5.5.15, evenals alle voorlopige uitgaven van versie 6.0. De fout zit in de afhandeling van OIDC-authenticatie, waardoor een ongeauthenticeerde aanvaller de identiteitscontrole kan omzeilen en een beheerdersaccount kan aanmaken. Het CCB benadrukt met klem het belang van onmiddellijke actie en adviseert alle gebruikers om zo snel mogelijk te updaten naar de gepatchte versie 5.6.9. Deze update dicht het lek en voorkomt dat aanvallers misbruik kunnen maken van de authenticatie bypass. Hoewel de waarschuwing specifiek van het Belgisch Centrum voor Cybersecurity afkomstig is, geldt de urgentie voor alle gebruikers van deze software wereldwijd, inclusief die in Nederland, die kwetsbaar blijven zolang hun systemen niet zijn gepatcht.
Organisaties en individuele gebruikers worden dringend geadviseerd om hun SimpleHelp installaties te controleren en ervoor te zorgen dat ze up-to-date zijn met de nieuwste, gepatchte versie. Het negeren van deze kritieke kwetsbaarheid kan leiden tot ernstige beveiligingsincidenten, aanzienlijke operationele verstoringen en potentieel grote financiële schade. Regelmatige monitoring en snelle patching zijn essentiële stappen in het handhaven van een robuuste cybersecuritypositie.
Bron: SimpleHelp | Bron 2: nvd.nist.gov
23 juni 2026 | Kritieke 'PixelSmash' kwetsbaarheid in FFmpeg videodecoder
Een recentelijk onthulde kwetsbaarheid in de veelgebruikte FFmpeg videodecoder, genaamd 'PixelSmash', kan onder specifieke omstandigheden leiden tot remote code execution (RCE) op Jellyfin servers. Daarnaast kan de kwetsbaarheid een denial of service (DoS) veroorzaken in diverse populaire applicaties zoals Kodi, Emby, Nextcloud, PhotoPrism en OBS Studio. De kwetsbaarheid is geïdentificeerd als CVE-2026-8461 en betreft een heap out-of-bounds write in de MagicYUV decoder. Deze heeft een hoge CVSS-score van 8.8 ontvangen.
De kwetsbaarheid kan worden misbruikt via een kwaadaardig videobestand in AVI-, MKV- of MOV-formaat. Elke applicatie die libavcodec gebruikt, de kernbibliotheek van FFmpeg voor videodecodering en -codering, wordt als kwetsbaar beschouwd. Remote code execution is echter alleen mogelijk als de Address Space Layout Randomization (ASLR) beveiliging is uitgeschakeld, of door de kwetsbaarheid te combineren met een andere bug om deze bescherming te omzeilen.
Onderzoekers van software supply chain beveiligingsbedrijf JFrog stellen dat PixelSmash voortkomt uit de manier waarop MagicYUV zogenaamde 'slices' verwerkt. Dit zijn onafhankelijke gebieden van een videofeed die afzonderlijk van de rest van het beeld kunnen worden gedecodeerd. Volgens JFrog is de kwetsbaarheid een 'one-row heap buffer overflow' in de slice verwerking van de MagicYUV decoder, veroorzaakt door een inconsistentie tussen de manier waarop de frame allocator en de decoder de chroma plane hoogtes berekenen.
PixelSmash kan worden geactiveerd wanneer een gebruiker kwaadaardige AVI-, MKV- of MOV-videobestanden opent, door een directory met zo'n bestand bladert (wat thumbnail generatie triggert), of door geautomatiseerde media ingestie workflows uitvoert. JFrog ontdekte dat onder meer Kodi, OBS Studio, PhotoPrism en thumbnail generatoren van GNOME/KDE/XFCE gebruikmaken van FFmpeg met de MagicYUV decoder ingeschakeld, wat ze kwetsbaar maakt voor PixelSmash aanvallen. Ook Slack, Discord, Telegram en WhatsApp kunnen mogelijk vatbaar zijn, omdat ze FFmpeg gebruiken voor server-side video previews, alhoewel dit niet specifiek is getest.
JFrog's hoofdonderzoeker Yuval Moravchick demonstreerde dat PixelSmash kan worden gebruikt voor remote code execution op Jellyfin en Nextcloud (met ingeschakelde Movie preview). Hij behaalde volledige RCE tegen een Jellyfin 10.11.9 media server. De aanvalspaden omvatten het downloaden van een speciaal vervaardigde MagicYUV AVI in de mediabibliotheek, waarna Jellyfin automatisch ffprobe triggert voor metadata extractie, wat de kwetsbaarheid activeert en de AVBuffer.free functie kaapt om systeemcommando's uit te voeren als de Jellyfin service gebruiker.
Moravchick merkte op dat de RCE exploit ASLR moet uitschakelen, en dat CVE-2026-8461 alleen deze geheugenbeveiliging niet omzeilt. Theoretisch kan een afzonderlijke informatielek bug in de FlashSV decoder van FFmpeg worden gekoppeld aan PixelSmash om ASLR te omzeilen. Een ander aanvalsscenario betreft torrent downloads, waarbij geen gebruikersinteractie nodig is. Aanvallers kunnen een kwaadaardige video verspreiden die gericht is op Jellyfin gebruikers die de download naar de mediabibliotheekmap van de applicatie verwijzen. Het real-time bestandssysteem van Jellyfin detecteert het nieuwe bestand en triggert automatisch een ffprobe metadata scan, waarbij de exploit wordt geactiveerd.
Zelfs als RCE wordt voorkomen, is de CVE-2026-8461 kwetsbaarheid voldoende om betrouwbaar een denial of service te bewerkstelligen op kwetsbare systemen. Plex, een zeer populaire mediaserver, gebruikt een aangepaste FFmpeg build waarin decoders zijn uitgeschakeld en een minimale allowlist van kracht is, waardoor het PixelSmash risico effectief wordt beperkt.
FFmpeg heeft versie 8.1.2 uitgebracht om de kwetsbaarheid te verhelpen. Jellyfin heeft zijn gebundelde FFmpeg versie bijgewerkt en PhotoPrism werkt aan een bestandsformaat blocklist om potentiële misbruik te voorkomen. Het Nextcloud team ontving het rapport via HackerOne, maar weigerde de kwetsbaarheid aan te pakken omdat deze buiten Nextcloud bestaat. JFrog ontdekte PixelSmash (CVE-2026-8461) en rapporteerde dit op 13 mei aan het FFmpeg security team. De ontwikkelaar heeft het probleem op 17 juni verholpen in versie 8.1.2. De onderzoekers waarschuwen dat PixelSmash een enorme aanvalsoppervlakte heeft omdat de MagicYUV decoder aanwezig is in honderden projecten die "FFmpeg vertrouwen om onbetrouwbare input veilig te verwerken", waardoor de kwetsbaarheid een supply chain probleem wordt.
Bron: JFrog | Bron 2: nvd.nist.gov | Bron 3: hubs.li
23 juni 2026 | ShapedPlugin WordPress Pro-plugins getroffen door supply chain aanval
Meerdere WordPress plugins van ShapedPlugin zijn het slachtoffer geworden van een supply chain aanval, waarbij onbekende dreigingsactoren de officiële distributiekanalen hebben gecompromitteerd en backdoor-code hebben geïnjecteerd. De aanvallers wisten de build- en distributiepipeline van de leverancier te compromitteren, waardoor zij malafide code konden toevoegen aan Pro plugin-releases die via de officiële gelicenseerde updatekanalen werden verspreid.
Het incident treft de volgende plugins: Product Slider Pro for WooCommerce (versies vóór 3.5.4), Real Testimonials Pro (versie 3.2.5) en Smart Post Show Pro (versies vóór 4.0.2). Belangrijk is dat alleen de Pro plugin-builds die via de Easy Digital Downloads (EDD) infrastructuur van ShapedPlugin (account.shapedplugin[.]com) werden gedistribueerd, zijn getroffen. De gratis versies van de plugins op WordPress.org zijn niet beïnvloed.
De supply chain-compromittering met betrekking tot Product Slider Pro for WooCommerce is geïdentificeerd als CVE-2026-49777, met een CVSS-score van 10.0, wat de maximale ernst aangeeft. De gehele aanval is aangeduid met CVE-2026-10735, die een CVSS-score van 9.8 heeft.
De gecompromitteerde versies van de plugins bevatten een loader die wordt geactiveerd op elke admin-pagina. Deze loader haalt vervolgens een payload op van een externe server (194.76.217[.]28:2871), installeert deze en activeert deze als een nep-plugin. Eenmaal geactiveerd rapporteert de malware het slachtoffer-domein terug aan de server en wist zichzelf om sporen uit te wissen en de respons op incidenten te bemoeilijken. De valse plugin verbergt zichzelf voor de WordPress admin plugin-lijst en is in staat om inloggegevens in platte tekst en tweefactorauthenticatie (2FA) codes te onderscheppen.
De malware creëert ook meerdere persistentie-methoden die willekeurige bestandsschrijfacties mogelijk maken via een aangepast REST-eindpunt, mits voorzien van een specifiek authenticatietoken. Tevens dropt het een webshell met commando-executie functionaliteiten. Tot slot maakt de malware gebruik van een PHP-bestand met de naam "install-persistent.php", dat deel uitmaakt van de plugin, om de volgende gegevens te extraheren, de volledige inhoud van wp-config.php (inclusief database-inloggegevens, authenticatie-sleutels en debug-instellingen), alle administrator-accounts met registratiedatums, mail plugin-inloggegevens van WP Mail SMTP, Post SMTP en Easy WP SMTP, en WooCommerce bestelgegevens van de laatste drie maanden met een uitsplitsing van de betaalmethoden. Nadat deze informatie is weergegeven, wordt het bestand verwijderd. Er zijn aanwijzingen dat de aanval een compromittering van de build-pipeline betreft, in plaats van een directe vergiftiging van de pakketten.
Wat deze aanval bijzonder gevaarlijk maakt, is dat site-eigenaren die legitieme licenties hebben aangeschaft en updates rechtstreeks via het officiële updatesysteem van de leverancier hebben geïnstalleerd, zijn blootgesteld aan malware. Na op de hoogte te zijn gebracht van het probleem, heeft ShapedPlugin het incident bevestigd en aangegeven dat het de distributie- en releaseprocessen herziet om de integriteit van zijn producten in de toekomst te waarborgen. Nieuwe versies van de getroffen plugins worden verwacht na uitgebreide veiligheidscontroles en validatietests.
Site-eigenaren die de kwaadaardige versies hebben geïnstalleerd, wordt aanbevolen alle wachtwoorden opnieuw in te stellen, 2FA-geheimen voor alle gebruikers in te trekken en opnieuw te genereren, administrator-accounts te controleren op ongeautoriseerde toevoegingen, en mail plugin-configuraties te controleren op gewijzigde SMTP-inloggegevens.
Bron: Wordfence
23 juni 2026 | DifyTap kwetsbaarheden in Dify leggen AI-chats bloot
Onderzoekers van Zafran Security hebben details bekendgemaakt over vier kwetsbaarheden in Dify, een open-source platform voor agentic workflows met meer dan 146.000 GitHub sterren. Deze kwetsbaarheden, die gezamenlijk de naam DifyTap hebben gekregen, zouden aanvallers in staat kunnen stellen om ongemerkt AI-conversaties van andere klanten hun applicaties te lezen zonder authenticatie.
Volgens onderzoekers Ido Shani en Gal Zaban van Zafran Security waren twee van de kwetsbaarheden van kritieke ernst, vereisten twee geen authenticatie en hadden drie een cross-tenant impact op de multi-tenant clouddienst van Dify. Dit betekende dat data van de ene klant kon worden blootgesteld aan die van een andere. De beveiligingsfouten maakten het mogelijk voor aanvallers om privé AI-chats van applicaties van andere klanten te lezen, waardoor een heimelijk exfiltratiekanaal ontstond voor elk bericht en elke modelrespons.
Daarnaast was het mogelijk om via niet-geauthenticeerde verzoeken toegang te krijgen tot Dify's interne Plugin Daemon API en om cross-tenant interne API-aanroepen te activeren. Ook konden aanvallers documenten bekijken die door andere tenants waren geüpload en bestanden lekken tussen gebruikers binnen een tenant door een unieke identificatiecode van een ander bestand van een gebruiker te koppelen.
Zafran Security ontdekte bovendien dat Dify's bestandsprocessing stack afhankelijk was van een versie van PDFium, een open-source C++ bibliotheek voor PDF-rendering, die kwetsbaar was voor CVE-2024-5846. Dit betreft een twee jaar oude use-after-free kwetsbaarheid met een CVSS-score van 8.8, die een externe aanvaller mogelijk in staat stelt heap corruptie te exploiteren via een speciaal gemaakt PDF-bestand.
De overige kwetsbaarheden zijn als volgt gespecificeerd: CVE-2026-41947 (CVSS-score: 9.1), een authenticatie bypass kwetsbaarheid die geauthenticeerde editor gebruikers toestaat om trace configuraties in te stellen en in te schakelen voor elke applicatie, ongeacht de tenant eigendom. CVE-2026-41948 (CVSS-score: 9.4), een path traversal kwetsbaarheid die geauthenticeerde gebruikers in staat stelt om verzoeken te manipuleren die worden doorgestuurd naar de interne REST API van de Plugin Daemon. Dit gebeurt door onvoldoende URL path sanitization te exploiteren en zo toegang te krijgen tot interne, privé endpoints. CVE-2026-41949 (CVSS-score: 7.5/5.9), een authenticatie bypass kwetsbaarheid in het endpoint voor het bekijken van bestanden ("/console/api/files/{file_id}/preview") die het mogelijk maakt voor elke geauthenticeerde gebruiker om tot 3.000 karakters van elk geüpload document te lezen, verspreid over alle tenants en workspaces, met alleen de UUID van het bestand. Tot slot is er CVE-2026-41950 (CVSS-score: 6.5), een authenticatie bypass kwetsbaarheid die geauthenticeerde gebruikers in staat stelt de volledige inhoud van bestanden te lezen die door andere gebruikers binnen dezelfde tenant zijn geüpload, door een willekeurige UUID van een bestand in de bestanden array van een chat-berichten verzoek op te geven.
De ontbrekende controles op tenant eigendom konden worden misbruikt om alle berichten en responsen van getroffen applicaties om te leiden naar een door een aanvaller beheerde LLM trace provider. Het is hierbij van belang op te merken dat iedereen zich gratis kan registreren voor een Dify account. De onderzoekers legden uit dat een aanvaller hierdoor zijn eigen tracing kan configureren voor elke applicatie waartoe deze als client toegang heeft, inclusief alle openbaar toegankelijke applicaties. Dit creëert een persistent exfiltratiekanaal voor alle berichten en responsen die in de applicatie worden verzonden.
Na een verantwoorde melding zijn alle kwetsbaarheden, met uitzondering van CVE-2026-41948, verholpen in versie 1.14.2, die vorige maand werd uitgebracht. Een oplossing voor de nog openstaande kwetsbaarheid wordt verwacht in de volgende release van Dify. Het bedrijf achter Dify merkte op dat DifyTap aantoont waar de uitdaging ligt in de zichtbaarheid van kwetsbaarheden, met name in container images, waar verschillen tussen implementaties zichtbaarheidsgaten kunnen creëren die traditionele scanners niet kunnen detecteren.
Bron: Zafran Security | Bron 2: github.com | Bron 3: nvd.nist.gov
23 juni 2026 | 29 jaar oude kwetsbaarheid in Squidbleed in Squid-proxy lekt inloggegevens
Onderzoekers hebben een kwetsbaarheid ontdekt in de veelgebruikte Squid-proxy, genaamd Squidbleed en geregistreerd als CVE-2026-47729. Het betreft een heap buffer over-read in de FTP-component van Squid die ruw geheugen kan lekken. Dit gelekte geheugen kan gevoelige informatie bevatten, zoals HTTP Authorization-headers, cookies en sessietokens van andere gebruikers die dezelfde proxy delen.
De fout is al geruime tijd aanwezig in de code; deze zit erin sinds een wijziging die in januari 1997 werd doorgevoerd. Om de kwetsbaarheid te exploiteren, moet een aanvaller een vertrouwde gebruiker van de proxy zijn, bijvoorbeeld op een gedeeld netwerk binnen een school, een kantooromgeving of een openbaar wifi-netwerk. Vervolgens moet de aanvaller de proxy dwingen om een FTP-server op poort 21 te benaderen die onder controle staat van de aanvaller.
SUSE heeft de impact van deze kwetsbaarheid beoordeeld als gemiddeld, met een CVSS-score van 6,5. Dit is voornamelijk omdat alleen de vertrouwelijkheid van informatie wordt geraakt en niet de integriteit of beschikbaarheid van het systeem. De oplossing voor dit probleem omvat een controle op een afsluitend teken voor de kwetsbare aanroep. Deze fix is in april samengevoegd in de ontwikkelversie van Squid en in mei in versie 7. De ontdekking van deze kwetsbaarheid is mede tot stand gekomen met behulp van een AI model.
Bron: Squid
23 juni 2026 | Microsoft Entra Conditional Access te omzeilen via Nested App Authentication
Beveiligingsbedrijf NetSPI heeft een methode ontdekt om de Conditional Access-beleidsregels van Microsoft Entra te omzeilen. Conditional Access vormt een cruciale beveiligingslaag voor omgevingen die gebruikmaken van Azure en Microsoft 365. Door middel van een techniek genaamd Nested App Authentication was het onder specifieke omstandigheden mogelijk voor aanvallers om toegangstokens voor Microsoft Graph te verkrijgen zonder dat de Conditional Access-evaluatie werd geactiveerd.
De kwetsbaarheid trad op wanneer een Conditional Access-regel was ingesteld om van toepassing te zijn op alle bronnen, maar tegelijkertijd uitzonderingen voor bepaalde bronnen kende. In dergelijke gevallen werd de regel overgeslagen als een aanmeldingsverzoek uitsluitend beperkte OpenID Connect (OIDC) machtigingen aanvroeg, zoals 'openid', 'profile' of 'User.Read'. Dit creëerde een venster waardoor de beveiligingscontroles konden worden omzeild.
Microsoft heeft inmiddels actie ondernomen om deze zwakte aan te pakken. Vanaf 15 juni 2026 worden Conditional Access-regels die gericht zijn op alle bronnen, ook afgedwongen wanneer er uitzonderingen op specifieke bronnen zijn geconfigureerd. Deze wijziging zorgt ervoor dat de beveiligingscontroles consistent worden toegepast, ongeacht de reikwijdte van de aangevraagde OIDC-machtigingen. Dit verhoogt de robuustheid van de Conditional Access-beveiliging tegen dit type omzeiling.
Bron: NetSPI
24 juni 2026 | Duizenden Joomla-websites kwetsbaar door actief misbruikt RCE-lek in JCE editor
Duizenden Joomla websites die de Joomla Content Editor (JCE editor) gebruiken, bevatten een kritieke kwetsbaarheid die actief wordt misbruikt door aanvallers, wat leidt tot volledige overname van de getroffen sites. De kwetsbaarheid, aangeduid als CVE-2026-48907, heeft de maximale CVSS impactscore van 10.0, wat de ernst van het probleem onderstreept.
De JCE editor is een populaire uitbreiding voor Joomla, een veelgebruikt contentmanagementsysteem (CMS), dat volgens W3Techs op meer dan één procent van alle websites wereldwijd draait. De editor vervangt de standaard Joomla editor door een interface die lijkt op die van Office-programma's. Het lek stelt een ongeauthenticeerde aanvaller in staat om een nieuw editorprofiel aan te maken. Via dit nieuw gecreëerde profiel kan vervolgens PHP code worden geüpload en uitgevoerd, waardoor aanvallers volledige controle over de website kunnen verkrijgen.
De ontwikkelaars van de JCE editor brachten op 3 juni een beveiligingsupdate uit om het probleem te verhelpen. Op 12 juni bevestigden zij dat er actief misbruik van de kwetsbaarheid plaatsvond. Stichting The Shadowserver Foundation, bekend van onderzoek naar kwetsbare systemen op het internet, heeft de afgelopen dagen online scans uitgevoerd op Joomla websites die de JCE editor gebruiken. Op 19 juni werden daarbij ruim 5100 kwetsbare websites geïdentificeerd. Dit aantal is inmiddels gedaald naar ongeveer 4800 sites.
Van de kwetsbare Joomla sites zijn er negentig gevestigd in Nederland. Beheerders van Joomla websites die de update nog niet hebben geïnstalleerd, worden met klem geadviseerd dit onmiddellijk te doen. Daarnaast is het raadzaam om te controleren of hun website niet reeds is gecompromitteerd als gevolg van dit lek.
Bron: nvd.nist.gov | Bron 2: shadowserver.org
24 juni 2026 | Kritieke kwetsbaarheden ontdekt in libssh2 bibliotheek
De ontwikkelaars van libssh hebben belangrijke kwetsbaarheden verholpen in alle versies van de libssh2 bibliotheek tot en met versie 1.11.1. Deze lekken kunnen leiden tot denial of service en in theorie zelfs tot de uitvoering van willekeurige code op getroffen systemen. Gebruikers van de bibliotheek wordt geadviseerd om zo spoedig mogelijk te updaten naar een gepatchte versie.
De eerste kwetsbaarheid betreft een pre-authenticatie denial of service in de `SSH_MSG_EXT_INFO` handler. Een malafide SSH-server kan hierbij een speciaal geconstrueerde `extension_count` waarde naar een client sturen. Dit resulteert erin dat de client in een CPU-uitputtingslus terechtkomt, wat de normale verwerking van SSH-berichten verstoort en daarmee de dienstverlening lamlegt.
De tweede kwetsbaarheid is geïdentificeerd in de `ssh2_transport_read()` functie. Hier is sprake van onjuiste bounds checking op de `packet_length` variabele. Dit gebrek kan leiden tot een out-of-bounds write. Een aanvaller zou dit kunnen misbruiken door speciaal geconstrueerde SSH-pakketten te verzenden, met als direct gevolg een Denial of Service voor het getroffen systeem. In theorie zou deze kwetsbaarheid ook kunnen worden ingezet voor het uitvoeren van willekeurige code. Dit laatste is echter alleen mogelijk indien er geen additionele beveiligingsmaatregelen zoals Address Space Layout Randomization (ALSR) actief zijn, wat doorgaans geen gangbare instelling is op de meeste systemen.
Beide kwetsbaarheden zijn aanwezig in alle implementaties die gebruikmaken van libssh2 versie 1.11.1 of lager, wat een breed scala aan applicaties en systemen kan betreffen. Het is daarom cruciaal voor beheerders en ontwikkelaars om de bibliotheek te updaten om de risico's te mitigeren.
Bron: NCSC
25 juni 2026 | Kritieke kwetsbaarheden in Ubiquiti UniFi OS actief misbruikt
Het Amerikaanse cyberagentschap CISA (Cybersecurity and Infrastructure Security Agency) waarschuwt voor het actieve misbruik van drie kritieke kwetsbaarheden in Ubiquiti UniFi OS. Dit is de eerste keer dat beveiligingslekken in UniFi OS worden ingezet bij daadwerkelijke aanvallen. De impact van deze beveiligingslekken is beoordeeld met een maximale CVSS-score van 10.0, wat duidt op een zeer ernstig risico.
UniFi OS is het besturingssysteem dat draait op een reeks apparaten van Ubiquiti. De kwetsbaarheden omvatten 'improper access control' (CVE-2026-34908), path traversal (CVE-2026-34909) en command injection (CVE-2026-34910). Door misbruik te maken van deze lekken kunnen aanvallers commando's uitvoeren op het systeem, ongeautoriseerde wijzigingen doorvoeren en ongeoorloofde toegang krijgen tot gebruikersaccounts. Deze problemen treffen diverse producten van Ubiquiti die gebruikmaken van UniFi OS.
Ubiquiti heeft op 21 mei beveiligingsupdates uitgebracht om deze kwetsbaarheden aan te pakken. Het CISA, onderdeel van het Amerikaanse ministerie van Homeland Security, meldt nu dat deze problemen reeds zijn ingezet bij aanvallen. Specifieke details over de aard of omvang van deze aanvallen zijn echter niet bekendgemaakt. Amerikaanse overheidsinstanties zijn dringend geadviseerd om de updates van Ubiquiti binnen drie dagen te installeren om potentiële risico's te mitigeren.
De CISA houdt een Known Exploited Vulnerabilities Catalog bij, een overzicht van kwetsbaarheden die actief worden misbruikt. Het is opmerkelijk dat dit de eerste keer is dat lekken in UniFi OS aan deze catalogus zijn toegevoegd. De enige andere kwetsbaarheid van Ubiquiti in dit overzicht betreft een beveiligingslek in Ubiquiti AirOS dat stamt uit 2010. Dit onderstreept de urgentie voor gebruikers van UniFi OS-producten om hun systemen onmiddellijk te patchen.
Bron: CISA | Bron 2: community.ui.com
25 juni 2026 | Kritiek lek in Cisco Unified Communications Manager actief misbruikt
Een kritieke kwetsbaarheid in Cisco Unified Communications Manager, waarvoor begin deze maand een beveiligingsupdate verscheen, wordt momenteel actief misbruikt bij aanvallen. Dit meldt cybersecuritybedrijf Defused, hoewel Cisco zelf de actieve misbruik nog niet heeft bevestigd. De kwetsbaarheid, aangeduid als CVE-2026-20230, betreft het VoIP-platform van Cisco dat wordt gebruikt voor het verwerken van telefoongesprekken.
De oorzaak van het lek ligt in de manier waarop het VoIP-platform omgaat met specifieke HTTP-requests. Een ongeauthenticeerde aanvaller kan op afstand, door het versturen van een speciaal geprepareerd HTTP-request, bestanden wegschrijven naar het onderliggende besturingssysteem. Deze bestanden kunnen later worden gebruikt om root-toegang tot het systeem te verkrijgen. Een belangrijke voorwaarde voor succesvol misbruik is dat de WebDialer-functie is ingeschakeld. Deze functionaliteit stelt gebruikers in staat om telefoongesprekken te voeren via web- en desktopapplicaties. Standaard staat de WebDialer-functie niet ingeschakeld.
Cisco had in het beveiligingsbulletin voor CVE-2026-20230 al aangegeven dat er publieke proof-of-concept exploitcode voor dit beveiligingslek online beschikbaar was. Destijds was het netwerkbedrijf echter nog niet bekend met daadwerkelijk misbruik van het probleem. Volgens Defused vindt het misbruik van CVE-2026-20230 sinds dit weekend plaats. Verdere details over de aard of omvang van deze aanvallen zijn door Defused echter niet vrijgegeven. Eerder dit jaar werd een ander kritiek lek in Cisco Unified Communications-producten ook al actief uitgebuit, destijds zelfs voordat een patch beschikbaar was. Organisaties die gebruikmaken van Cisco Unified Communications Manager worden geadviseerd de recente beveiligingsupdates zo snel mogelijk te installeren en te controleren of de WebDialer-functie is ingeschakeld.
Bron: Defused | Bron 2: sec.cloudapps.cisco.com
26 juni 2026 | Google patcht kritieke RCE kwetsbaarheden in Chrome
Google heeft updates uitgebracht om meerdere kritieke kwetsbaarheden in zijn Chrome browser aan te pakken. Deze kwetsbaarheden kunnen leiden tot remote code execution (RCE) op de systemen van gebruikers. Het volstaat om een malafide of gehackte website te bezoeken, of besmette advertenties te zien, om via deze lekken te worden aangevallen. Er is geen verdere interactie van de gebruiker vereist om de aanval uit te voeren.
De patches zijn gericht op in totaal vier kritieke kwetsbaarheden. Deze bevinden zich in de componenten WebGL, Blink en Autofill. Blink is de browser engine die Google Chrome gebruikt voor het weergeven van webcontent. WebGL, oftewel Web Graphics Library, stelt de browser in staat om 2D en 3D graphics op webpagina’s weer te geven. Autofill is het onderdeel dat verantwoordelijk is voor het automatisch invullen van opgeslagen gegevens in webformulieren. Drie van de vier ontdekte kritieke kwetsbaarheden zijn door Google zelf gevonden.
De bijgewerkte versie van Google Chrome is 149.0.7827.196/197 voor macOS en Windows. Voor Linux-gebruikers is versie 149.0.7827.196 beschikbaar gesteld. Op de meeste systemen zal de update automatisch worden geïnstalleerd, hoewel dit enkele dagen tot weken kan duren. Gebruikers die de update direct willen ontvangen, dienen een handmatige controle uit te voeren via de instellingen van de browser. Voor gebruikers van Microsoft Edge, die net als Chrome gebaseerd is op de Chromium browser, is op dit moment nog geen vergelijkbare update beschikbaar.
Bron: chromereleases.googleblog.com
26 juni 2026 | Cisco kondigt belangrijke beveiligingsupdates aan voor Catalyst Center en Secure Endpoint Connectors
Cisco heeft aangekondigd op 1 juli 2026 belangrijke beveiligingsupdates uit te brengen voor kwetsbaarheden die zijn aangetroffen in zowel Cisco Catalyst Center als Cisco Secure Endpoint Connectors voor Linux, macOS en Windows. Deze aankondiging markeert een afwijking van Cisco's gebruikelijke beleid, aangezien het de eerste keer is dat het netwerkbedrijf van tevoren een specifieke datum vaststelt voor het uitbrengen van patches.
Hoewel Cisco geen gedetailleerde informatie heeft verstrekt over de aard van de kwetsbaarheden, roept het bedrijf klanten dringend op om de updates te installeren zodra deze beschikbaar zijn. Dit is essentieel om bescherming te bieden tegen de betreffende beveiligingslekken.
Cisco Secure Endpoint Connectors, voorheen bekend als AMP for Endpoints Connectors, is een softwareoplossing die is ontworpen voor de bescherming van endpoints. De software helpt organisaties bij het detecteren en stoppen van dreigingen op eindpunten. Daarnaast biedt het de mogelijkheid om regels op te stellen voor het gebruik van USB-apparaten.
Cisco Catalyst Center, dat eerder bekendstond als Cisco DNA Center, is een uitgebreide oplossing die wordt gebruikt voor het beheer en de beveiliging van computernetwerken. Beide producten zijn cruciale componenten in de IT infrastructuur van veel organisaties.
Momenteel zijn de specifieke kwetsbaarheden die met deze updates worden aangepakt, nog niet opgenomen in het overzicht van bekende uitgebuiten kwetsbaarheden van het Amerikaanse cyberagentschap CISA. Dit betekent dat er op dit moment geen publiekelijk bekende exploits van deze kwetsbaarheden zijn, maar de preventieve updates zijn van groot belang.
Bron: Cisco | Bron 2: cisa.gov
27 juni 2026 | Nieuwe 'pedit COW' Linux exploit geeft root-toegang via cachevergiftiging
Een recent ontdekte kwetsbaarheid in het traffic-control subsysteem van de Linux kernel, aangeduid als CVE-2026-46331 en bekend als "pedit COW", stelt een lokale, ongeprivilegieerde gebruiker in staat om root-toegang te verkrijgen op getroffen systemen. De kwetsbaarheid betreft een out-of-bounds write in de packet-editing actie (act_pedit), die het gedeelde page-cache geheugen corrumpeert. Binnen een dag na de CVE-toewijzing op 16 juni verscheen er al een publieke, werkende exploit. Red Hat heeft de kwetsbaarheid als belangrijk beoordeeld.
De exploit omzeilt traditionele detectiemethoden door nooit het bestand op schijf aan te raken. In plaats daarvan vergiftigt het de gecachte kopie van een setuid root-binary, zoals `/bin/su`, in het geheugen. Een kleine payload wordt geïnjecteerd en vervolgens wordt deze gewijzigde afbeelding uitgevoerd met root-rechten. Hierdoor blijven bestandsintegriteitscontroles onopgemerkt, terwijl een root shell al is geopend.
Om de exploit uit te voeren, zijn twee voorwaarden noodzakelijk: de `act_pedit` module moet laadbaar zijn en ongeprivilegieerde user namespaces moeten openstaan. Dit laatste geeft de aanvaller een namespace-lokale netwerkmogelijkheid (CAP_NET_ADMIN), die nodig is om de bug te triggeren. Op geteste RHEL- en Debian systemen waren beide voorwaarden aanwezig.
De kern van het probleem ligt in de `tcf_pedit_act()` functie van de Linux `tc` traffic-control tool, die packet headers kan herschrijven. Deze functie is bedoeld om een private kopie van de data te maken voordat deze wordt bewerkt, volgens het standaard copy-on-write patroon. Echter, de controle van het beschrijfbare bereik werd uitgevoerd voordat de uiteindelijke offsets bekend waren. Sommige edit-sleutels bepalen hun offset pas tijdens runtime. Wanneer dit gebeurt, landt de write buiten het privé gekopieerde gebied, waardoor de kernel een gedeelde page-cache pagina aanpast in plaats van een private kopie. Als die pagina behoort tot een gecacht bestand, wordt de in-memory afbeelding van het bestand corrupt. Dit patroon vertoont gelijkenissen met eerdere kwetsbaarheden zoals Dirty Pipe, Copy Fail, DirtyClone en Dirty Frag, waarbij de kernel schrijft naar een pagina die deze niet exclusief bezit, met gevolgen voor de page cache. Wat nieuw is, is het entry point: een ongeprivilegieerde gebruiker kan `tc`-acties configureren vanuit een user namespace, wat hen de benodigde CAP_NET_ADMIN-rechten geeft.
De auteur van de Proof-of-Concept (PoC) heeft ongeprivilegieerde-naar-root exploitatie gerapporteerd op RHEL 10 en Debian 13 (trixie), waar ongeprivilegieerde user namespaces standaard openstaan. Ubuntu 24.04 vereiste het omleiden van de uitvoering via AppArmor-profielen die user namespaces nog toestaan. Ubuntu 26.04 blokkeert dit pad standaard, hoewel de onderliggende kernel kwetsbaar blijft.
De fixes worden per vendor uitgebracht. Debian heeft trixie via het beveiligingskanaal gepatcht, maar Debian 11 en 12 staan nog als kwetsbaar genoteerd. Ubuntu vermeldt ondersteunde releases van 18.04 tot en met 26.04 als kwetsbaar per 25 juni. Red Hat heeft RHEL 8, 9 en 10 als getroffen geïdentificeerd; RHEL 7 staat niet in het bulletin.
De primaire aanbeveling is om de gepatchte kernel te installeren en het systeem opnieuw op te starten. Prioriteit moet worden gegeven aan systemen waar "lokale gebruiker" niet gelijkstaat aan een vertrouwde gebruiker, zoals multi-tenant hosts, CI/CD runners, Kubernetes nodes, build workers en gedeelde onderzoeks- of labmachines.
Als patchen nog niet mogelijk is, zijn er twee mitigaties om de exploit keten te doorbreken. Op systemen die geen `tc pedit`-regels nodig hebben, kan worden gecontroleerd of de module in gebruik is (`lsmod | grep act_pedit`), waarna het laden ervan kan worden geblokkeerd. Als alternatief kunnen ongeprivilegieerde user namespaces worden uitgeschakeld (via `user.max_user_namespaces=0` op RHEL of `kernel.unprivileged_userns_clone=0` op Debian/Ubuntu). Dit verwijdert de namespace-lokale mogelijkheid die de exploit nodig heeft, maar kan rootless containers, sommige CI-sandboxes en gesandboxte browsers verstoren, dus testen is essentieel.
Omdat de overschrijving gericht is op gecachte geheugen, zullen bestandsintegriteitscontroles deze mogelijk niet detecteren. Het legen van de page cache (met `echo 3 > /proc/sys/vm/drop_caches`) verwijdert de vergiftigde in-memory kopie, maar heeft geen effect op een root shell die een aanvaller al heeft geopend. Behandel de host als gecompromitteerd.
De fix verscheen al eind mei op de netdev mailinglijst, gepresenteerd als een routine data-corruptie patch, zonder CVE of beveiligingswaarschuwing. Het exploiteerbare detail stond wekenlang op een publieke mailinglijst. De CVE werd pas toegekend toen de fix op 16 juni werd samengevoegd, waarna de weaponized Proof-of-Concept binnen een dag volgde. Voor kernel page-cache corruptie bugs is wachten op een scanner regel te laat.
Bron: Red Hat | Bron 2: github.com | Bron 3: nvd.nist.gov
27 juni 2026 | 7-Zip update verhelpt ongespecificeerde kwetsbaarheden
Het populaire archiveringsprogramma 7-Zip heeft een nieuwe versie, 26.02, uitgebracht die gericht is op het verhelpen van meerdere bugs en beveiligingskwetsbaarheden. De ontwikkelaar heeft echter geen details vrijgegeven over de aard of de specifieke technische details van deze beveiligingslekken. Dit gebrek aan openbaarmaking is een terugkerend patroon bij 7-Zip updates.
In het verleden zijn er vaker updates van 7-Zip verschenen waarbij pas achteraf bekend werd dat deze belangrijke kwetsbaarheden patchten. Eerdere beveiligingslekken in de software zijn bovendien aantoonbaar misbruikt in daadwerkelijke cyberaanvallen, wat het belang van tijdige updates onderstreept.
7-Zip is een veelgebruikt open source programma voor het comprimeren en decomprimeren van bestanden en wordt wereldwijd door miljoenen gebruikers en bedrijven ingezet. De aanwezigheid van onbekende, maar gepatchte, kwetsbaarheden in dergelijke wijdverspreide software vormt een potentieel risico voor de digitale veiligheid. Zonder gedetailleerde informatie over de aard van de kwetsbaarheden, is het voor gebruikers en security professionals lastig om de precieze impact in te schatten of om te bepalen of zij reeds zijn blootgesteld.
De geschiedenis leert dat aanvallers vaak proberen misbruik te maken van kwetsbaarheden in populaire software zodra deze bekend worden, of zelfs voordat de details volledig zijn onthuld. Gezien het feit dat eerdere kwetsbaarheden in 7-Zip zijn uitgebuit, is de aanbeveling om direct te updaten naar versie 26.02 van groot belang. Dit minimaliseert het risico op potentiële compromittering van systemen. Het ontbreken van transparantie over de gepatchte lekken kan echter leiden tot uitdagingen bij compliance en risicobeheer voor organisaties die afhankelijk zijn van 7-Zip. Gebruikers wordt dan ook met klem aangeraden de nieuwste versie te installeren.
Bron: Deze informatie is afkomstig van een anonieme tip aan Cybercrimeinfo
27 juni 2026 | Kritieke macOS-kwetsbaarheid omzeilt beveiligingstools zoals CrowdStrike en Kandji
Cybersecuritybedrijf XM Cyber heeft een ernstige kwetsbaarheid ontdekt in het besturingssysteem macOS van Apple. Deze kwetsbaarheid bevindt zich in de kerncommunicatiearchitectuur die wordt gebruikt door toonaangevende bedrijfsbeveiligingssoftware. Het betreft een structurele lacune die het voor gewone systeemaccounts mogelijk maakt om normale beveiligingsgrenzen volledig te omzeilen.
Veel Mac-applicaties maken gebruik van XPC, een achtergrondcommunicatiesysteem, om verschillende onderdelen van de software met elkaar te laten communiceren. Een zichtbaar app-venster kan bijvoorbeeld commando's moeten sturen naar een verborgen achtergrondservice die met diepgaande systeem root-toegang functioneert. Volgens onderzoekers van XM Cyber vertrouwen deze achtergrondservices doorgaans elk bericht dat afkomstig lijkt te zijn van hun eigen app, door een codehandtekening, bekend als CDHash, te controleren.
XM Cyber ontdekte echter dat aanvallers deze opzet kunnen omzeilen door een methode genaamd exploitatie van de CDHash cache te combineren met de injectie van een NIB payload. Dit stelt een niet-bevoegde dreigingsactor in staat om een vertrouwde app te kapen. De aanvaller kan een legitiem securityprogramma starten om het Mac systeem te laten vertrouwen, waarna de applicatiebundelstructuur wordt gemanipuleerd om een kwaadaardig interfacebestand te injecteren. Eenmaal binnen maakt de code gebruik van een tool genaamd JavaScript for Automation (JXA) om standaard scriptlimieten te omzeilen en systeemgeheugen op laag niveau te beheren. Dit zorgt ervoor dat het valse programma zich voordoet als een zeer vertrouwde component. De achtergrondservice accepteert blindelings de valse instructies, waardoor de aanvaller ingebouwde functies zoals `runProcessWithCommand` en `terminateAppsAndAgents` kan aanroepen. Als gevolg hiervan schakelen de getroffen securityproducten zichzelf uit, worden ze ontladen of verwijderd.
XM Cyber heeft deze techniek met succes toegepast op vooraanstaande endpointtools op het macOS-platform. Op de CrowdStrike Falcon Sensor slaagde een standaard gebruikersaccount (UID 502) erin om de sensor volledig te ontladen via een onbeschermde XPC interface, waardoor detectie, procesmonitoring en netwerkzichtbaarheid werden uitgeschakeld. Ook de Kandji MDM-agent werd getroffen. Een niet-bevoegde gebruiker kon de agent permanent deactiveren via een tweefase XPC-keten op `io.kandji.kandji-daemon` door de Kandji Menu app te imiteren. Dit wist de EDR guard pointer en beëindigt permanent de Endpoint Security Framework (ESF) extensie, waardoor alle telemetrie wordt verwijderd. Een derde, onbekende enterprise EDR-leverancier werd eveneens succesvol aangevallen. Omdat de techniek legitiem OS-gedrag misbruikt, activeert het geen standaard securitywaarschuwingen en laat het vrijwel geen forensische sporen achter.
De kwestie werd snel aangepakt nadat de betrokken bedrijven waren geïnformeerd. CrowdStrike heeft de kwetsbaarheid onmiddellijk gepatcht, een bountybeloning betaald en detectie en preventie toegevoegd aan alle ondersteunde macOS-sensorversies. Kandji heeft zijn software eveneens gepatcht en de kwetsbaarheid officieel vastgelegd als CVE-2026-39118. Het niet nader genoemde derde bedrijf werkt momenteel aan een patch. Om organisaties te helpen bij het identificeren van deze kwetsbare plekken in hun netwerk van Mac, heeft XM Cyber een open source geautomatiseerd framework genaamd XPC Hunter ontwikkeld, dat tijdens de Black Hat US securityconferentie in augustus 2026 zal worden uitgebracht.
Bron: XM Cyber
27 juni 2026 | Publieke proof-of-concept verschenen voor kritiek lek in TP-Link routers
Er is publieke proof-of-concept (PoC) code verschenen voor een kritieke kwetsbaarheid in bepaalde TP-Link routers, geïdentificeerd als CVE-2026-3227. Deze kwetsbaarheid betreft een geauthenticeerde OS command injection (CWE-78) die impact heeft op de modellen TL-WR802N v4, TL-WR841N v14 en TL-WR840N v6.
Aanvallers kunnen misbruik maken van dit lek door een specifiek geprepareerd configuratiebestand te importeren via de webinterface van de router. Tijdens de verwerking van port-triggers binnen dit bestand, kunnen systeemopdrachten met rootrechten worden uitgevoerd. Dit stelt een aanvaller in staat om volledige controle over het apparaat te verkrijgen.
Voor een succesvolle exploitatie zijn twee voorwaarden essentieel: de aanvaller moet toegang hebben tot hetzelfde lokale netwerk als de router, en moet beschikken over geldige beheerdersgegevens voor de webinterface.
De kwetsbaarheid werd in maart 2026 openbaar gemaakt en heeft een hoge CVSS-score van 8,5. De recent verschenen publieke PoC omvat naar verluidt zowel een detectiescript als een uitgewerkte exploit-workflow, wat de kans op grootschalig misbruik aanzienlijk vergroot. Beheerders van de getroffen TP-Link routermodellen wordt met klem geadviseerd om zo snel mogelijk de nieuwste beschikbare firmware te installeren om zich te beschermen tegen potentiële aanvallen. De beschikbaarheid van publieke exploitcode verkort de tijd tussen de ontdekking van een kwetsbaarheid en de daadwerkelijke exploitatie doorgaans aanzienlijk.
Bron: NVD
27 juni 2026 | Publieke exploitcode voor kritiek lek in NVIDIA Triton AI-server
Onderzoekers hebben recentelijk proof-of-concept code openbaar gemaakt voor een kritieke kwetsbaarheid, aangeduid als CVE-2026-24207, die aanwezig is in de NVIDIA Triton Inference Server. Deze kwetsbaarheid heeft een hoge CVSS-score van 9.8 gekregen, wat de ernst ervan onderstreept. Het lek betreft een omzeiling van authenticatie (CWE-288), wat betekent dat aanvallers het kunnen misbruiken zonder geldige inloggegevens, zonder noodzakelijke gebruikersinteractie en via het netwerk.
Onder bepaalde omstandigheden kan deze authenticatie-omzeiling worden gekoppeld aan andere kwetsbaarheden om zo te leiden tot uitvoering van code op afstand, eveneens zonder voorafgaande authenticatie. De Triton Inference Server is een veelgebruikt platform voor het in productie nemen van AI modellen, wat inhoudt dat deze kwetsbaarheid organisaties die intensief gebruikmaken van AI-werklasten direct kan raken.
NVIDIA heeft de kwetsbaarheid inmiddels verholpen met de release van versie r26.03 voor Linux. Ten tijde van de bekendmaking van het lek was er nog geen misbruik in het wild waargenomen. De gepubliceerde proof-of-concept code omvat een detectiescript om de aanwezigheid van het lek te controleren, een demonstratie van de authenticatie-omzeiling en een volledige keten die leidt tot uitvoering van code op afstand. Beheerders van NVIDIA Triton Inference Servers worden dringend geadviseerd om zo snel mogelijk te updaten naar versie r26.03 of een nieuwere versie om hun systemen te beveiligen tegen potentiële aanvallen.
Bron: NVIDIA
27 juni 2026 | Kritiek lek in Ghost CMS op grote schaal misbruikt, publieke exploit beschikbaar
Het contentbeheersysteem Ghost CMS kampt met een kritieke SQL-injectie kwetsbaarheid, aangeduid als CVE-2026-26980. Voor dit lek, dat een CVSS-score van 9,4 heeft, is inmiddels een publieke exploit beschikbaar. De kwetsbaarheid bevindt zich in de Content API en vereist geen authenticatie, wat het risico aanzienlijk verhoogt.
De fout ontstaat door de manier waarop Ghost CMS slug-filters verwerkt. Aanvallers kunnen hierdoor controleerbare waarden zonder afdoende controle in een SQL-fragment injecteren. Dit stelt kwaadwillenden in staat om op afstand willekeurige tabellen uit de database uit te lezen. Gevoelige informatie die hierdoor kan worden gestolen, omvat beheerdersgegevens, wachtwoordhashes, sessiegeheimen en Admin API-sleutels.
Onderzoekers hebben vastgesteld dat deze kwetsbaarheid actief en op grote schaal wordt misbruikt. Er zijn al meer dan 700 websites gecompromitteerd, waaronder die van gerenommeerde instellingen zoals Harvard, Oxford en de zoekmachine DuckDuckGo. Bij deze aanvallen stelen de daders de Admin API-sleutel en injecteren vervolgens kwaadaardige JavaScript code in artikelen. Deze code leidt bezoekers van de gehackte sites naar een zogenaamde ClickFix-val.
De kwetsbaarheid treft Ghost CMS versies 3.24.0 tot en met 6.19.0. Beheerders van Ghost installaties worden dringend geadviseerd hun systeem te updaten naar versie 6.19.1 of nieuwer om zich te beschermen tegen deze actieve dreiging.
Bron: Deze informatie is afkomstig van een anonieme tip aan Cybercrimeinfo
27 juni 2026 | PTC Windchill-lek actief misbruikt, CISA stelt strakke patchdeadline
Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft de kritieke kwetsbaarheid CVE-2026-12569 in PTC Windchill PDMLink en PTC FlexPLM toegevoegd aan zijn lijst van actief misbruikte kwetsbaarheden (Known Exploited Vulnerabilities). Dit betekent dat de kwetsbaarheid al daadwerkelijk door aanvallers wordt benut. Het lek, dat een hoge CVSS-score van 9,3 heeft, maakt de uitvoering van code op afstand mogelijk via de deserialisatie van niet-vertrouwde data.
Aanvallers maken gebruik van deze kwetsbaarheid om JSP webshells te plaatsen op systemen die zij hebben gecompromitteerd. Deze webshells krijgen willekeurige namen die bestaan uit 16 hexadecimale tekens. Systeembeheerders wordt geadviseerd om hun logs te doorzoeken op verdachte POST-verzoeken die gericht zijn op de `/Windchill/login/`-directory, om zo pogingen tot exploitatie te detecteren.
PTC, de leverancier van de software, heeft klanten reeds op 17 juni gewaarschuwd voor de kwetsbaarheid. In de dagen daarna zijn er patches uitgebracht voor diverse versies van de producten, waaronder 13.1.1, 13.0.2, 12.1.2, 12.0.2, 11.2.1, 11.1 M020 en 11.0 M030. CISA heeft alle federale instanties in de Verenigde Staten opgedragen om de kwetsbaarheid uiterlijk 28 juni te verhelpen, wat de urgentie van de situatie onderstreept.
PTC Windchill en FlexPLM zijn veelgebruikte softwareoplossingen voor productlevenscyclusbeheer (PLM) binnen de industrie. Het betreft het eerste vastgestelde misbruik van dit specifieke lek in de praktijk. Gezien de aard en de actieve exploitatie wordt beheerders van de betreffende PTC-systemen dringend aangeraden de beschikbare patches onmiddellijk te installeren om hun systemen te beveiligen tegen potentiële aanvallen.
Bron: PTC
28 juni 2026 | Kritieke RCE-kwetsbaarheid in Splunk Secure Gateway met publieke proof of concept
Een kritieke kwetsbaarheid (CVE-2026-20251) is ontdekt in Splunk Secure Gateway, met een CVSS-score van 8.8, wat duidt op een hoge ernst. Het probleem ligt in de onveilige deserialisatie van gegevens uit de App Key Value Store, die plaatsvindt via de Python bibliotheek `jsonpickle`. Deze bibliotheek reconstrueert willekeurige Python objecten uit speciaal geprepareerde JSON zonder voldoende validatie.
Dit stelt een aanvaller in staat om, zelfs met slechts laaggeprivilegieerde toegang en zonder de noodzaak van admin- of powerrechten, volledige remote code execution (RCE) te bereiken op het kwetsbare systeem. De kwetsbaarheid treft meerdere Splunk producten. Specifiek zijn dit Splunk Enterprise versies onder 10.2.4, 10.0.7, 9.4.12 en 9.3.13, evenals het Splunk Cloud Platform. Ook Splunk Secure Gateway versies onder 3.10.6, 3.9.20 en 3.8.67 zijn kwetsbaar.
Splunk heeft inmiddels patches uitgebracht om dit probleem te verhelpen. Gebruikers wordt geadviseerd om hun installaties bij te werken naar Splunk Enterprise versies 10.4.0, 10.2.4, 10.0.7, 9.4.12 of 9.3.13, of hoger. Voor Splunk Secure Gateway geldt een update naar versie 3.10.6, 3.9.20 of 3.8.67, of hoger. Als tijdelijke mitigatie kan het uitschakelen of verwijderen van de Splunk Secure Gateway applicatie het risico beperken, echter dit zal de functionaliteit van Splunk Mobile, Spacebridge en Mission Control verstoren.
De urgentie van het patchen wordt verder verhoogd door de recente verschijning van een publieke proof of concept (PoC) exploit. Dit vergroot de kans aanzienlijk dat kwaadwillenden misbruik zullen maken van deze kwetsbaarheid. Officiële informatie over deze kwetsbaarheid is beschikbaar in de Splunk advisory SVD-2026-0601 en in de National Vulnerability Database (NVD).
Bron: Splunk | Bron 2: nvd.nist.gov
30 juni 2026 | MISP-platform patcht ernstige kwetsbaarheden in toegangscontrole en code-uitvoering
Het MISP-platform, een veelgebruikt hulpmiddel voor het delen van dreigingsinformatie, heeft recentelijk meerdere kwetsbaarheden verholpen. Deze lekken konden leiden tot ongeautoriseerde datawijzigingen, eigendomsoverdracht van records en zelfs de uitvoering van willekeurige code op de systemen. De kwetsbaarheden zijn gemeld en gedetailleerd door het Nationaal Cyber Security Centrum (NCSC).
Een van de belangrijkste problemen betrof de manipulatie van primaire en externe sleutels die door de client worden aangeleverd. Geauthenticeerde gebruikers konden misbruik maken van deze functionaliteit om data ongeautoriseerd te overschrijven, het eigendom van records over te dragen aan andere entiteiten, of de scope van bestaande records te wijzigen. Dit stelde aanvallers in staat om de integriteit en het eigendom van gedeelde informatie te ondermijnen.
Daarnaast waren er diverse problemen met de toegangscontrole binnen het platform. Bij de bulkverwijdering van Event Reports en Sharing Groups bleek er een gebrekkige controle te zijn. Gebruikers die over brede rolrechten beschikten, konden items die eigendom waren van andere organisaties verwijderen, wat leidde tot potentieel dataverlies en verstoring van de gedeelde dreigingsinformatie. Meer algemene toegangscontroleproblemen maakten het eveneens mogelijk om ongeautoriseerde wijzigingen of verwijderingen uit te voeren die organisatiegrenzen overschreden.
Een bijzonder ernstige kwetsbaarheid maakte de uitvoering van code op afstand mogelijk. Geauthenticeerde sitebeheerders konden het pad voor de NDJSON-foutlog instellen naar een PHP-bestand dat via het web toegankelijk is. Door PHP-code in de logbestanden te injecteren, konden aanvallers vervolgens op afstand willekeurige code uitvoeren op het systeem. Een vergelijkbare kwetsbaarheid betrof de mogelijkheid voor geauthenticeerde beheerders om willekeurige Kafka configuratiebestanden te specificeren, wat de uitvoering van willekeurige code mogelijk maakte door het laden van kwaadaardige libraries.
MISP heeft deze kwetsbaarheden aangepakt door een reeks mitigerende maatregelen te implementeren. Dit omvat de invoering van strikte validatie aan de serverzijde, verbeterde autorisatiecontroles om ongeautoriseerde acties te voorkomen, beperkingen op de configuratie van logpaden en het afdwingen van toegestane locaties voor configuratiebestanden. Gebruikers van het MISP-platform wordt geadviseerd om hun installaties zo snel mogelijk te updaten om beschermd te zijn tegen deze problemen.
Bron: NCSC
30 juni 2026 | NCSC waarschuwt voor meerdere kwetsbaarheden in n8n workflow automation platform
Het Nationaal Cyber Security Centrum (NCSC) heeft gewaarschuwd voor het bestaan van meerdere kwetsbaarheden in het n8n workflow automation platform. Deze kwetsbaarheden zijn verholpen in specifieke updates, namelijk versies voor 1.123.55, 2.24.0, 2.25.7, 2.26.1 en 2.26.2. Gebruikers van het platform wordt geadviseerd om zo snel mogelijk te updaten naar de gepatchte versies.
De kwetsbaarheden betreffen diverse componenten van het n8n platform en kunnen worden misbruikt door zowel geauthenticeerde als ongeauthenticeerde aanvallers. Voor geauthenticeerde gebruikers met de juiste bewerkingsrechten op workflows zijn er meerdere risico's geïdentificeerd. Zij kunnen een Content-Security-Policy (CSP) omzeilen via de 'Respond to Webhook' node, wat potentieel de uitvoering van kwaadaardige scripts mogelijk maakt. Daarnaast is het mogelijk om JavaScript te injecteren via de 'Chat Trigger' node, wat eveneens kan leiden tot client-side aanvallen.
Verder kunnen geauthenticeerde gebruikers API-tokens exfiltreren via de 'SecurityScorecard' node. Een andere kritieke kwetsbaarheid stelt hen in staat om de credentials van andere gebruikers te benaderen, overschrijven of intrekken via de 'Dynamic Credentials' feature. Ook is ontdekt dat gebruikers met editor toegang tot gedeelde workflows de credentials van anderen kunnen inzien, als gevolg van onvoldoende eigendomcontroles. Dit betekent dat gevoelige authenticatiegegevens van andere gebruikers onbedoeld kunnen worden blootgesteld.
Ongeauthenticeerde aanvallers kunnen eveneens misbruik maken van kwetsbaarheden. Via de 'MicrosoftAgent365Trigger' en 'StripeTrigger' nodes kunnen zij valse payloads indienen. Dit leidt tot de uitvoering van workflows met kwaadaardige data, wat kan resulteren in ongewenste acties of de compromittering van het systeem. De impact van deze kwetsbaarheden varieert van informatielekken en priviligeverhoging tot de mogelijkheid van het uitvoeren van willekeurige code, afhankelijk van de specifieke exploitatie.
Bron: NCSC
30 juni 2026 | Kritieke kwetsbaarheid in libssh2 (CVE-2026-55200) met publieke PoC
Een publieke proof-of-concept (PoC) is recentelijk vrijgegeven voor CVE-2026-55200, een kritieke kwetsbaarheid in de libssh2-bibliotheek. Deze fout stelt een kwaadaardige of gecompromitteerde SSH-server in staat om geheugenbeschadiging te veroorzaken op een verbindende client, met de mogelijkheid tot uitvoering van code. Het misbruik vereist geen authenticatiegegevens en geen gebruikersinteractie. De kwetsbaarheid heeft invloed op alle versies tot en met 1.11.1 en heeft een CVSS 4.0-score van 9.2.
libssh2 is een client-side SSH-bibliotheek, wat betekent dat de kwetsbaarheid zich niet in de server, maar in de client bevindt. Deze bibliotheek wordt breed ingezet en is ingebed in software zoals curl, Git en PHP, maar ook in backup-agenten, firmware-updaters en diverse appliances. Elk systeem dat libssh2 gebruikt en verbinding maakt met een niet-vertrouwd SSH-eindpunt, kan een potentieel doelwit zijn. Veel van deze implementaties zijn statisch gekoppeld, wat betekent dat een reguliere update van het distributiepakket ze niet zal aanraken, waardoor systemen onopgemerkt kwetsbaar kunnen blijven.
De kwetsbaarheid bevindt zich in de functie `ssh2_transport_read()` in `transport.c`, die verantwoordelijk is voor het parsen van inkomende SSH-pakketten tijdens de handshake. De functie leest het door de aanvaller gecontroleerde veld `packet_length` en weigert alleen waarden onder 1, zonder ooit een bovengrens af te dwingen. Wanneer `packet_length` een waarde van `0xffffffff` heeft, resulteert de 32-bits rekenkunde in een integer overflow, waardoor de berekende pakketgrootte onjuist klein wordt. libssh2 wijst vervolgens een buffer toe die is afgestemd op dit kleine getal, terwijl latere code het volledige, overgedimensioneerde pakket in deze buffer probeert te schrijven. Dit leidt tot een schrijfoperatie buiten de grenzen van de heap, geclassificeerd als CWE-680 (integer overflow naar buffer overflow), een klassieke methode voor code-uitvoering. De oplossing voegt de ontbrekende controle toe, waarbij elke `packet_length` boven `LIBSSH2_PACKET_MAXPAYLOAD` wordt geweigerd voordat de berekening plaatsvindt.
libssh2 heeft in het verleden al eerder te maken gehad met vergelijkbare problemen. In 2019 werd versie 1.8.1 uitgebracht om negen kwetsbaarheden te verhelpen, waaronder CVE-2019-3855, een bijna identieke integer overflow in de transportleesfunctie die ook leidde tot code-uitvoering op een verbindende client via een kwaadaardige server. Zeven jaar later is dezelfde klasse van bug teruggevonden in dezelfde code.
Beveiligingsonderzoeker Tristan Madani heeft het probleem gemeld. De maintainers hebben de patch via pull request #2052 op 12 juni samengevoegd. VulnCheck publiceerde de CVE op 17 juni. De publieke proof-of-concept is gepubliceerd in "exploitarium," een GitHub-archief van exploitcode. Dit archief bevat een lokaal geverifieerde SSH-trigger scaffold en een gecontroleerde lokale RCE-harness voor de libssh2-bug, maar geen kant-en-klare externe exploit. Betrouwbare code-uitvoering tegen een live-applicatie zou nog steeds afhangen van het doelwit, het gedrag van de allocator en de mitigaties. De auteur van de PoC geeft toe dat het archief onvolledig is uitgebracht, met enkele zwakke punten en het gebruik van AI voor fuzzing. Op dit moment staat CISA's exploitatiestatus voor de CVE nog steeds op "none", en er is geen misbruik in het wild gemeld.
Er is nog geen officiële libssh2-release met de fix. De patch bevindt zich in de mainline-broncode en een getagde release wordt nog voorbereid. Linux-distributies en downstream-projecten backporteren de patch daarom zelf; Debian heeft bijvoorbeeld al een gerepareerde build in de testomgeving. NHS England Digital heeft een waarschuwing uitgegeven waarin getroffen organisaties worden aangespoord om te updaten.
Organisaties wordt geadviseerd om alle systemen die libssh2 koppelen te inventariseren, inclusief statische of gebundelde kopieën die pakketbeheerders niet detecteren. Implementaties van curl, Git en PHP zijn veelvoorkomende dragers. Er dient een build te worden toegepast die commit `97acf3d` bevat, of dit nu een distro-backport of een gepatchte broncodebuild is. Daarnaast is het belangrijk om de advieskanalen van de leverancier in de gaten te houden voor de releasestatus. Totdat de patch is toegepast, dienen uitgaande SSH-verbindingen te worden beperkt tot vertrouwde servers en moeten host-sleutels worden geverifieerd. Prioriteit moet worden gegeven aan clients die externe SSH-servers bereiken of hosts oplossen via namen die een aanvaller zou kunnen omleiden. Let op afwijkende pakketgroottes en onverklaarbare client-crashes. Tevens moeten de gerelateerde kwetsbaarheden CVE-2026-55199 (CVSS 8.2), een denial of service via een CPU-loop, en CVE-2025-15661 (CVSS 8.3), een SFTP heap over-read, ook worden gepatcht.
De kern van het probleem is een geheugenbeschadigingsfout vóór authenticatie in code die in meer clients en appliances wordt geleverd dan volledig in kaart is gebracht. De openstaande vragen zijn hoe snel iemand de lokale harness kan omzetten in een betrouwbare externe exploit, en hoeveel gebundelde kopieën kwetsbaar blijven omdat niemand zich herinnert dat libssh2 daarin is opgenomen.
Bron: libssh2 | Bron 2: github.com | Bron 3: nvd.nist.gov
01 juli 2026 | Citrix verhelpt kwetsbaarheden in NetScaler ADC en Gateway
Citrix heeft recentelijk meerdere kwetsbaarheden in zijn NetScaler ADC en NetScaler Gateway producten verholpen. Deze problemen variëren van onvoldoende invoervalidatie en onjuiste toegangscontrole tot foutief geheugenbeheer, die elk kunnen leiden tot aanzienlijke beveiligingsrisico's.
De kwetsbaarheden met de kenmerken CVE-2026-8451 en CVE-2026-10817 vloeien voort uit onvoldoende invoervalidatie. De software controleert hierbij de invoergroottes en -grenzen niet correct, wat kan resulteren in geheugenoverlezingen. Dit kan leiden tot de ongeautoriseerde openbaarmaking van gevoelige informatie. Deze problemen doen zich voor wanneer de producten zijn geconfigureerd als SAML IDP, of wanneer TCP TimeStamp is ingeschakeld bij een TCP-profiel dat is gekoppeld aan een virtuele server van het type Load Balancing (LB), Content Switching (CS) of VPN. Voor de kwetsbaarheid CVE-2026-8451 is reeds Proof-of-Concept (PoC) code gedeeld, wat de urgentie van patching onderstreept.
Twee andere kwetsbaarheden, CVE-2026-8452 en CVE-2026-8655, betreffen het geheugenbeheer binnen NetScaler ADC en NetScaler Gateway. Misbruik hiervan kan leiden tot een denial-of-service (DoS) of een ongewenste control flow. Deze risico's zijn aanwezig wanneer de producten zijn geconfigureerd als Gateway, DNS-proxy, recursieve DNS-resolver of AAA virtuele server.
Een afzonderlijke kwetsbaarheid, CVE-2026-13474, ontstaat door het onjuist vrijgeven van geheugen. Kwaadwillenden kunnen deze kwetsbaarheid uitbuiten door speciaal geprepareerde HTTP/2-verzoeken te verzenden, wat eveneens een denial-of-service kan veroorzaken.
Tot slot is er CVE-2026-10816, een probleem met de toegangscontrole binnen de Management Interface. Deze kwetsbaarheid stelt niet-geauthenticeerde kwaadwillenden op afstand in staat om willekeurige bestanden uit te lezen, wat kan leiden tot de ongeautoriseerde openbaarmaking van gevoelige informatie. Organisaties die Citrix NetScaler producten gebruiken, worden dringend geadviseerd de beschikbare patches te installeren om hun systemen te beveiligen tegen deze kwetsbaarheden.
Bron: NCSC
01 juli 2026 | Kritiek lek in SimpleHelp actief misbruikt voor nieuwe malware voor stealer
Een kritieke kwetsbaarheid in de beheersoftware SimpleHelp wordt actief misbruikt om twee nieuwe soorten malware te verspreiden, een infostealer genaamd Djinn Stealer en een laadprogramma genaamd TaskWeaver. Het Amerikaanse cyberagentschap CISA heeft het lek toegevoegd aan zijn lijst van actief misbruikte kwetsbaarheden.
De kwetsbaarheid, aangeduid als CVE-2026-48558, heeft de maximale impactscore van 10.0. Het gaat om een authenticatiezwakte in de OpenID Connect-inlogstroom, waarmee een aanvaller zonder inloggegevens een volledig geauthenticeerde technicus-sessie kan verkrijgen door een vervalst token in te dienen. Zelfs wanneer meervoudige verificatie is ingesteld, kan een aanvaller die omzeilen, omdat een technicus bij de eerste aanmelding zelf een verificatiemethode kan registreren.
SimpleHelp is software voor beheer op afstand (remote monitoring and management, RMM), die vaak wordt ingezet door beheerde dienstverleners. Via zo'n RMM-server heeft een beheerder toegang tot de systemen van alle aangesloten klanten, waardoor de impact van een inbraak groot is.
Na misbruik van het lek verkregen de aanvallers een vertrouwde beheerderssessie op een openbaar bereikbare server en gebruikten die om TaskWeaver en Djinn Stealer te plaatsen. TaskWeaver is een sterk versluierd laadprogramma op basis van Node.js dat aanvullende schadelijke code kan afleveren. Djinn Stealer richt zich op Windows, macOS en Linux en verzamelt inloggegevens van clouddiensten, broncodebeheer, pakketregisters, infrastructuurgereedschap, hulpmiddelen voor AI-ontwikkeling, browsers, SSH en cryptowallets.
Organisaties die SimpleHelp gebruiken wordt met klem geadviseerd de beschikbare beveiligingsupdate onmiddellijk te installeren en de server af te schermen van onvertrouwde netwerken. Overheidsdiensten in de Verenigde Staten moesten het lek voor 2 juli 2026 hebben gedicht.
Bron: CISA | Bron 2: horizon3.ai | Bron 3: blackpointcyber.com
01 juli 2026 | Kritiek beveiligingslek in Microsoft Defender misbruikt bij ransomwareaanvallen
Het Amerikaanse cyberagentschap CISA waarschuwt dat een kritiek beveiligingslek in Microsoft Defender, de standaard antivirussoftware van Windows, actief wordt misbruikt bij ransomwareaanvallen. Het lek, bekend onder de naam BlueHammer en geïdentificeerd als CVE-2026-33825, stelt een aanvaller die al toegang tot een systeem heeft in staat om zijn rechten te verhogen naar die van SYSTEM. Dit geeft de aanvaller volledige controle over het getroffen systeem.
De kwetsbaarheid werd begin april door een onderzoeker openbaar gemaakt, inclusief een proof-of-concept exploit die misbruik van het probleem demonstreert. Microsoft heeft op 14 april beveiligingsupdates uitgebracht om deze kwetsbaarheid te dichten. Destijds was het techbedrijf nog niet bekend met actief misbruik, maar het achtte de kans daarop in de toekomst 'more likely'.
CISA, het Cybersecurity and Infrastructure Security Agency van het Amerikaanse ministerie van Homeland Security, houdt een overzicht bij van kwetsbaarheden die actief worden aangevallen. Op 22 april voegde het cyberagentschap CVE-2026-33825 toe aan dit overzicht, nadat bekend werd dat er inderdaad actief misbruik van het probleem plaatsvond. Specifieke details over de aanvallen werden door de overheidsdienst niet openbaar gemaakt.
Het CISA vermeldt ook wanneer kwetsbaarheden specifiek bij ransomwareaanvallen zijn ingezet, hoewel deze informatie soms pas weken later wordt toegevoegd zonder aparte melding. Cybersecuritybedrijf GreyNoise monitort alle kwetsbaarheden in het CISA-overzicht op dergelijke vermeldingen en heeft bevestigd dat CVE-2026-33825 nu ook wordt vermeld als een kwetsbaarheid die wordt misbruikt in ransomwareaanvallen. Dit onderstreept de urgentie voor gebruikers en organisaties om de beschikbare updates voor Microsoft Defender onmiddellijk te installeren.
Bron: Apple | Bron 2: msrc.microsoft.com | Bron 3: cisa.gov
01 juli 2026 | Kritieke kwetsbaarheden in Dell Wyse Management Suite vereisen onmiddellijke patch
Het Centre for Cybersecurity Belgium (CCB) heeft een dringende waarschuwing uitgegeven betreffende twee ernstige kwetsbaarheden die zijn ontdekt in Dell Wyse Management Suite (WMS). Organisaties die deze software gebruiken, worden met klem geadviseerd om onmiddellijk te patchen, aangezien een van de kwetsbaarheden, CVE-2026-49506, een kritiek risico vormt met een CVSS-score van 9.8.
Deze kritieke kwetsbaarheid stelt een aanvaller in staat om op afstand code uit te voeren met slechts lage privileges. Dit betekent dat zelfs een kwaadwillende actor die minimale toegang tot het systeem heeft verkregen, de mogelijkheid heeft om willekeurige code te injecteren en uit te voeren. Een dergelijke remote code execution (RCE) kan leiden tot een volledige compromittering van de getroffen systemen en de onderliggende infrastructuur, waardoor aanvallers potentieel data kunnen stelen, malware kunnen installeren of verdere toegang kunnen verkrijgen tot het netwerk van een organisatie. De impact van een succesvolle exploitatie van deze kwetsbaarheid kan dus aanzienlijk zijn, variërend van datalekken tot uitgebreide netwerkinfecties.
Naast CVE-2026-49506 is er ook CVE-2026-41120 geïdentificeerd. Hoewel de initiële risicoaanduiding in de waarschuwing van het CCB deze als "low risk" vermeldde, duidt de bijbehorende CVSS-score van 7.2 op een "High" risiconiveau. De specifieke aard van deze kwetsbaarheid en de precieze wijze van exploitatie zijn niet verder toegelicht in de openbare waarschuwing, maar de hoge CVSS-score onderstreept de noodzaak om ook deze kwetsbaarheid serieus te nemen en te adresseren.
De kwetsbaarheden treffen alle versies van Dell Wyse Management Suite (WMS) die ouder zijn dan versie 5.5. Het CCB benadrukt dat het essentieel is dat beheerders zo snel mogelijk upgraden naar versie 5.5 of een latere, gepatchte versie. Het negeren van deze waarschuwing kan organisaties blootstellen aan aanzienlijke beveiligingsrisico's, vooral gezien de wijdverspreide adoptie van Dell Wyse Management Suite voor het beheer van thin clients en andere endpoint apparaten binnen diverse sectoren.
De oproep tot onmiddellijke actie is van cruciaal belang voor alle gebruikers van Dell Wyse Management Suite, inclusief die in Nederland en België. Het proactief toepassen van beveiligingsupdates is een fundamentele pijler van een robuuste cyberbeveiligingsstrategie en kan helpen om ernstige incidenten te voorkomen. Organisaties doen er goed aan hun systemen te inventariseren en te controleren of zij getroffen versies van de software gebruiken, waarna zij direct de aanbevolen updates dienen uit te voeren.
Bron: CCB | Bron 2: nvd.nist.gov
01 juli 2026 | Apple verhelpt reeks ernstige kwetsbaarheden in iOS en iPadOS
Apple heeft recente updates uitgebracht voor iOS en iPadOS om een breed scala aan ernstige kwetsbaarheden te verhelpen. Deze kwetsbaarheden, die variëren in aard en impact, hadden het potentieel om de stabiliteit en veiligheid van getroffen apparaten significant te ondermijnen. Gebruikers wordt geadviseerd de updates zo spoedig mogelijk te installeren om beschermd te zijn tegen mogelijke misbruik.
De opgeloste problemen omvatten diverse geheugengerelateerde fouten, zoals out-of-bounds access, use-after-free, en andere fouten in het geheugenbeheer. Out-of-bounds access treedt op wanneer software probeert data te benaderen buiten de toegewezen geheugenruimte, wat kan leiden tot onverwachte crashes van processen en corruptie van geheugen. Use-after-free fouten ontstaan wanneer een programma geheugen blijft gebruiken nadat het al is vrijgegeven, met vergelijkbare risico's voor geheugen corruptie en systeeminstabiliteit. Deze categorieën van kwetsbaarheden kunnen aanvallers in staat stellen om ongeautoriseerde code uit te voeren of gevoelige informatie te verkrijgen.
Daarnaast zijn er kwetsbaarheden aangepakt die betrekking hebben op insufficient input validation, type confusion, double free, stack overflow en race conditions. Onvoldoende validatie van invoer kan leiden tot onverwacht gedrag of de uitvoering van schadelijke commando's, terwijl type confusion fouten optreden wanneer een programma een object van het ene type verwacht, maar een object van een ander type ontvangt, wat kan resulteren in crash of misbruik. Double free fouten, waarbij geheugen tweemaal wordt vrijgegeven, en stack overflow kwetsbaarheden, waarbij te veel data op de stack wordt geschreven, kunnen beide de stabiliteit van het systeem compromitteren. Race conditions, die afhankelijk zijn van de timing van gebeurtenissen, kunnen leiden tot privilege-escalatie of data corruptie.
Ook zijn problemen met de afhandeling van paden verholpen. Deze fouten kunnen kwaadwillenden in staat stellen om ongeautoriseerde toegang te krijgen tot gevoelige data, zoals de inhoud van het klembord of de status van de kernel, en om beperkingen van de sandbox te omzeilen. Het omzeilen van sandbox-beperkingen is bijzonder gevaarlijk, omdat dit aanvallers in staat stelt om buiten de normaal geïsoleerde omgeving van een applicatie te opereren, met potentieel volledige controle over het systeem als gevolg.
Kwaadwillenden kunnen deze kwetsbaarheden misbruiken door speciaal vervaardigde webcontent aan te bieden die de genoemde fouten triggert wanneer deze door de browser wordt verwerkt. Ook malafide applicaties kunnen worden ingezet om de kwetsbaarheden te exploiteren. Dit kan resulteren in procesinstabiliteit, systeemterminatie of datalekken, afhankelijk van de specifieke kwetsbaarheid en de manier van exploitatie. Apple heeft de problemen opgelost door middel van verbeterde bounds checking, nauwkeurigere input validatie, geoptimaliseerd geheugenbeheer, verfijnd state management en strengere beveiligingscontroles in de betrokken softwarecomponenten.
Bron: NCSC
01 juli 2026 | Apple verhelpt diverse kwetsbaarheden in macOS Tahoe
Apple heeft recentelijk meerdere beveiligingslekken aangepakt in zijn besturingssysteem macOS Tahoe. Deze kwetsbaarheden omvatten diverse typen fouten die de stabiliteit en veiligheid van systemen konden compromitteren. Specifiek werden out-of-bounds access, use-after-free, en diverse memory handling fouten gecorrigeerd. Daarnaast waren er problemen met type confusion, double free condities, stack overflows, en onvoldoende input validatie. Ook race conditions werden als kwetsbaarheid geïdentificeerd en verholpen.
De impact van deze kwetsbaarheden was aanzienlijk. Ze konden leiden tot onverwachte crashes van processen en tot corruptie van geheugen. Ernstiger was de mogelijkheid tot ongeautoriseerde toegang tot gevoelige informatie, zoals de inhoud van het clipboard en kernelinformatie. Bovendien konden aanvallers in bepaalde scenario's de sandbox beperkingen omzeilen, wat hen meer controle over het systeem zou geven dan bedoeld.
Kwaadwillenden konden deze kwetsbaarheden misbruiken door gebruikers speciaal vervaardigde webcontent of applicaties aan te bieden. Deze content of applicaties waren ontworpen om de genoemde fouten in macOS Tahoe te triggeren. Het gevolg hiervan kon zijn dat processen instabiel werden, het systeem onverwacht werd afgesloten, of dat er datalekken optraden waarbij gevoelige gegevens in verkeerde handen vielen.
Apple heeft deze beveiligingsproblemen opgelost door een reeks gerichte verbeteringen. Deze omvatten onder andere verbeterde bounds checking om out-of-bounds toegang te voorkomen, strengere input validatie om onjuiste invoer te filteren, en geoptimaliseerd geheugenbeheer. Ook zijn er aanpassingen gedaan aan state management en synchronisatieprocessen om de stabiliteit en integriteit van het systeem te waarborgen en race conditions te mitigeren.
Bron: NCSC
01 juli 2026 | Kritieke kwetsbaarheden ontdekt in AirDrop en Quick Share
Onderzoekers hebben zes beveiligingsfouten blootgelegd in AirDrop en Quick Share, de draadloze functionaliteiten van Apple en Android voor het delen van bestanden tussen nabijgelegen apparaten. Deze kwetsbaarheden stellen aanvallers in staat om binnen draadloos bereik crashes te veroorzaken en beveiligingscontroles te omzeilen, zonder voorafgaande verbinding of interactie van de gebruiker. De ontdekkingen zijn gedaan door Arash Ale Ebrahim en Nils Ole Tippenhauer van het CISPA Helmholtz Center for Information Security en zijn vastgelegd in een nieuw onderzoeksrapport.
Een aanvaller met alleen een laptop kan de deelservice op een Mac of iPhone, die is ingesteld om bestanden te ontvangen van "Iedereen", laten crashen. Dit vereist geen tik of prompt van de gebruiker. Tegelijkertijd zijn er Quick Share-fouten gevonden die de sessiecontroles van Samsung omzeilen en een potentieel exploiteerbare crash veroorzaken in de Windows applicatie van Google. Deze functionaliteiten worden gebruikt op meer dan vijf miljard actieve Apple en Android apparaten, hoewel de geteste bugs specifieke implementaties en versies treffen.
De eerste oplossingen zijn reeds uitgerold. Apple heeft één van de drie AirDrop bugs gepatcht en er een CVE aan toegekend, hoewel het advies nog niet openbaar is. De andere twee bevinden zich nog in het gecoördineerde openbaarmakingsproces. Google heeft een beloning betaald voor de Windows kwetsbaarheid en heeft een codeoplossing geïmplementeerd; de bijbehorende CVE is nog in behandeling. De twee Samsung bugs zijn overgedragen aan Google en worden nog onderzocht. Tot op heden zijn er geen openbare meldingen van misbruik van deze kwetsbaarheden.
**Drie manieren om Apple's deelfunctionaliteiten uit te schakelen**
Alle drie de AirDrop kwetsbaarheden resulteren in een crash van de `sharingd` achtergronddienst op macOS en iOS. Deze dienst beheert niet alleen AirDrop, maar ook AirPlay, Handoff, Universal Clipboard, Continuity Camera en NameDrop. Een crash in `sharingd` legt dus al deze functionaliteiten tegelijkertijd plat. De eenvoudigste aanval vereist slechts een enkel verkeerd opgemaakt verzoek, verzonden naar een apparaat met AirDrop ingesteld op "Iedereen". Door deze crashberichten continu te verzenden, ongeveer eens in de twee seconden, blijven de functionaliteiten uitgeschakeld zolang de aanvaller doorgaat. Tijdens tests van de onderzoekers kon geen legitieme AirDrop overdracht plaatsvinden terwijl de aanval actief was.
Twee van de drie kwetsbaarheden zijn breder dan alleen AirDrop, aangezien ze zich bevinden in gedeelde Apple frameworks. De meest omvattende is een stackoverloop in de XML propertylijst parser van Foundation, geactiveerd door een klein bestand met ongeveer 200 geneste lagen. Elke Apple applicatie die een onbetrouwbaar bestand van dit type opent, kan hetzelfde parserpad treffen, op macOS, iOS, watchOS, tvOS en visionOS. De onderzoekers reproduceerden de AirDrop crashes op macOS 15.7.4, macOS 26.3, iOS 18.x en iOS 26.3; een oudere iOS 16 build bleek niet kwetsbaar.
**Quick Share kwetsbaarheden en een mislukte oplossing**
Op Android maken twee kwetsbaarheden in Samsung's Quick Share het mogelijk voor een aanvaller om de handshake, die een sessie zou moeten vergrendelen, te omzeilen. Eén kwetsbaarheid stelt een ongeverifieerd apparaat in staat om de verbinding tot stand te brengen voordat enige encryptie is ingesteld. De andere laat sommige controleberichten onversleuteld passeren, zelfs nadat een beveiligde sessie tot stand is gekomen. Een aanvaller op hetzelfde Wi-Fi netwerk zou deze opening kunnen gebruiken om een verbinding in een "geaccepteerde" staat te forceren, deze actief te houden, of de server aanvallers-geleverde IP- en poortwaarden te laten retourneren. Hoewel niet is aangetoond dat hierdoor bestanden kunnen worden gestolen, ondermijnen beide de beschermingen die het systeem belooft. De onderzoekers testten dit op een Galaxy S23 Ultra en merkten op dat versies van Quick Share van andere Android fabrikanten afzonderlijk moeten worden gecontroleerd.
De meest ernstige kwetsbaarheid bevindt zich in Google's Quick Share voor Windows. Het betreft een geheugenfout die optreedt wanneer twee verbindingen op het juiste moment botsen, waardoor het programma een stuk geheugen gebruikt dat al is vrijgegeven. Dit type bug kan soms worden omgezet in het uitvoeren van aanvallers code, en de onderzoekers achten dit plausibel omdat een Windows verdedigingsmechanisme, Control Flow Guard, in de applicatie is uitgeschakeld. Ze bevestigden een crash, maar bouwden geen werkende exploit. Google erkende het probleem, betaalde een beloning en heeft inmiddels een oplossing geïmplementeerd; de CVE is nog in behandeling. Dit is niet de eerste keer dat Quick Share voor Windows met dergelijke problemen kampt. SafeBreach rapporteerde in 2024 een code executieketen met tien bugs (CVE-2024-38271 en CVE-2024-38272), en keerde in 2025 terug om Google's oplossingen te omzeilen (CVE-2024-10668). De nieuwe use-after-free fout voegt zich bij een patroon van dezelfde component die herhaaldelijk wordt gepatcht en opnieuw wordt onderzocht. Opvallend is dat de broncode van het programma zelf een commentaar bevatte dat een eerdere bug op exact dezelfde plek erkende, met de tekst "We had a bug here, caused by a race with EncryptionRunner." De oplossing die hiervoor was geschreven, introduceerde dezelfde soort fout opnieuw.
**Het risico is lokaal, niet op afstand**
De belangrijkste beperking van deze aanvallen is het bereik. Het betreft lokale aanvallen, niet internationale. Een aanvaller moet zich binnen ongeveer 10 tot 30 meter bevinden, of op hetzelfde lokale netwerk. Hoewel minder ingrijpend dan een kwetsbaarheid op afstand, kan een enkele aanvaller op een drukke plaats zoals een luchthaven, trein of conferentie nog steeds veel apparaten tegelijk bereiken. De onderzoekers hebben alleen hun eigen hardware getest en hun tools openbaar gemaakt, zodat andere beveiligingsteams de bevindingen kunnen reproduceren.
Voor Mac of iPhone gebruikers wordt geadviseerd de nieuwste update van Apple (iOS en macOS 26.5.2, uitgebracht op 29 juni) te installeren en AirDrop in te stellen op "Alleen contacten" of uit te schakelen, in plaats van "Iedereen", de instelling die deze kwetsbaarheden exploiteert. Voor Quick Share geldt het advies om de zichtbaarheid buiten "Iedereen" te laten wanneer er geen actief bestand wordt ontvangen, en de Windows applicatie te updaten nu Google's oplossing beschikbaar is. Deze ontdekkingen komen op een ongelegen moment, aangezien Google's AirDrop interoperabiliteit voor Quick Share al wordt uitgerold op vlaggenschip Android telefoons, en dit alleen werkt wanneer de iPhone is ingesteld om te ontvangen van "Iedereen", precies de instelling die de AirDrop crashbugs blootstelt.
Bron: CISPA Helmholtz Center for Information Security | Bron 2: arxiv.org | Bron 3: zenodo.org
01 juli 2026 | Kritieke kwetsbaarheid in Progress Kemp LoadMaster maakt root-commando's mogelijk
Een recente ontdekking heeft een kritieke kwetsbaarheid aan het licht gebracht in Progress Kemp LoadMaster, een product dat fungeert als application delivery controller en load balancer. Deze kwetsbaarheid, aangeduid als CVE-2026-8037, heeft een CVSS-score van 9.8 en stelt een ongeauthenticeerde aanvaller in staat om willekeurige commando's als root uit te voeren op de appliance. Dit kan door een specifiek opgesteld verzoek naar de API te sturen, zo meldt Zero Day Initiative (ZDI). Een patch is beschikbaar en Progress adviseert beheerders om direct te updaten, vooral als de API is ingeschakeld.
De kwetsbaarheid bevindt zich in de functie `escape_quotes()`, die verantwoordelijk is voor het saneren van gebruikersinvoer voordat deze wordt doorgegeven aan een shell-commando. Het probleem is dat de functie een geheugenbuffer toewijst zonder deze eerst te wissen en geen null-terminator aan het einde van de gesaneerde string toevoegt. Zonder deze null-terminator blijft het systeem verder lezen dan de gesaneerde invoer, in data die toevallig ernaast in het geheugen zit. Een aanvaller kan deze aangrenzende geheugenruimte manipuleren door extra JSON-sleutels met een payload voor commando-injectie in hetzelfde API-verzoek op te nemen. Het systeem leest de gesaneerde invoer, gaat verder, stuit op de payload van de aanvaller en voert deze uit.
De aanval is gericht op het `/accessv2`-endpoint, dat de validatie van API-referenties afhandelt. Een aanvaller stuurt een JSON-body met een speciaal geconstrueerde `apiuser`-waarde en tientallen extra sleutel-waarde paren, doorspekt met het commando dat zij willen uitvoeren. Geldige referenties zijn niet nodig; het commando wordt uitgevoerd met root-privileges.
De kwetsbaarheid treft LoadMaster GA v7.2.63.1 en oudere versies, en LTSF v7.2.54.17 en oudere versies, wanneer de API is ingeschakeld. Progress heeft vaste versies uitgebracht: GA v7.2.63.2 en LTSF v7.2.54.18. De patch is minimaal en omvat twee wijzigingen. De functie voor geheugenallocatie is vervangen door een die de buffer met nullen vult, en een expliciete null-terminator is toegevoegd na de escaped uitvoer.
Syed Ibrahim Ahmed van TrendAI Research ontdekte de kwetsbaarheid en rapporteerde deze op 15 april 2026 via ZDI aan Progress. Progress publiceerde zijn advies op 4 juni, en ZDI coördineerde de openbare publicatie op 9 juni. Op 29 juni publiceerden onderzoekers van watchTowr Labs een gedetailleerde technische analyse met een werkende proof of concept. Hoewel er nog geen meldingen zijn van actieve exploitatie van CVE-2026-8037, is de proof of concept nu openbaar.
Progress heeft in hetzelfde advies ook een tweede, ernstige kwetsbaarheid gepatcht: CVE-2026-33691, een WAF-bypass waarbij padding met witruimte in bestandsnamen controles van bestandsupload-extensies kon omzeilen. Het Canadian Centre for Cyber Security heeft eveneens een advies uitgebracht waarin beheerders worden opgeroepen de updates toe te passen.
Dit is niet de eerste kritieke kwetsbaarheid in LoadMaster. In november 2024 voegde CISA een eerdere kwetsbaarheid voor commando-injectie in LoadMaster (CVE-2024-1212, CVSS 10.0) toe aan zijn catalogus van bekende uitgebuitte kwetsbaarheden na bevestigde exploitatie in het wild. In april 2026 patchte Progress nog vijf ernstige LoadMaster-kwetsbaarheden, waarvan vier problemen met commando-injectie. Progress is ook de maker van MOVEit, waarvan de kwetsbaarheden in 2023 leidden tot een grootschalige exploitatiecampagne door de ransomwaregroep Cl0p. Gezien de geschiedenis en de kritieke aard van deze nieuwe kwetsbaarheid, is het cruciaal om de aanbevolen updates zo snel mogelijk toe te passen en te overwegen of de API van LoadMaster überhaupt bereikbaar moet zijn.
Bron: Progress | Bron 2: cyber.gc.ca
01 juli 2026 | Kritiek lek in Oracle E-Business Suite (CVE-2026-46817) actief misbruikt
Sinds eind juni 2026 wordt een kritieke kwetsbaarheid (CVE-2026-46817) in de Oracle E-Business Suite actief misbruikt. Het lek bevindt zich specifiek in de File Transmission-component van de Oracle Payments-module en heeft een CVSS-score van 9.8, wat duidt op een zeer ernstige dreiging.
Aanvallers kunnen, zonder inloggegevens en met enkel HTTP-toegang, kwetsbare systemen overnemen via aanvallen met een lage complexiteit. De kwetsbaarheid wordt veroorzaakt door een combinatie van onjuist rechtenbeheer, gebrekkige authenticatie en het ontbreken van authenticatie voor een kritieke functie binnen de software.
Beveiligingsonderzoekers registreerden de eerste exploitatie in het wild op 27 juni 2026. Dit is ongeveer zes weken nadat Oracle in de kritieke patchronde van mei 2026 een beveiligingsupdate voor dit probleem uitbracht. De getroffen versies van Oracle Payments zijn 12.2.3 tot en met 12.2.15. Op dit moment is er nog geen publieke proof-of-concept beschikbaar.
Oracle roept klanten met klem op om de beschikbare beveiligingsupdate onmiddellijk te installeren. Daarnaast wordt geadviseerd om de blootstelling van het systeem aan het internet zoveel mogelijk te beperken om potentiële aanvallen te mitigeren.
Bron: Oracle
02 juli 2026 | CISA voegt kritieke Microsoft SharePoint kwetsbaarheid toe aan KEV Catalogus
De Cybersecurity and Infrastructure Security Agency (CISA) heeft een nieuwe kwetsbaarheid toegevoegd aan haar Known Exploited Vulnerabilities (KEV) Catalogus, op basis van bewijs van actieve exploitatie. Deze toevoeging, bekend onder het nummer CVE-2026-45659, betreft een ernstige deserialisatiekwetsbaarheid in Microsoft SharePoint Server. Deze categorie kwetsbaarheden staat erom bekend een frequent aanvalsvector te zijn voor kwaadwillende cyberactoren en vormt aanzienlijke risico's voor zowel federale als commerciële ondernemingen.
De kwetsbaarheid, geclassificeerd als een "Deserialization of Untrusted Data Vulnerability", stelt aanvallers in staat om schadelijke, geserialiseerde data naar een kwetsbare server te sturen. Wanneer de server deze data deserialiseert zonder adequate validatie, kan dit leiden tot het uitvoeren van willekeurige code, wat aanvallers volledige controle over het getroffen systeem kan geven. Gezien de wijdverspreide adoptie van Microsoft SharePoint Server binnen organisaties, is het risico op ongeautoriseerde toegang en data-inbreuk aanzienlijk.
CISA benadrukt de urgentie van het aanpakken van dergelijke kwetsbaarheden via haar Binding Operational Directive (BOD) 26-04, getiteld "Prioritizing Security Updates Based on Risk". Deze richtlijn stelt specifieke eisen voor kwetsbaarheidsbeheer voor federale civiele uitvoerende agentschappen (FCEB) in de Verenigde Staten. BOD 26-04 versterkt het belang van de KEV Catalogus en verplicht federale agentschappen om met prioriteit snelle remediëring uit te voeren van kwetsbaarheden met een hoog risico. Dit geldt specifiek voor Common Vulnerabilities and Exposures (CVE's) die zijn opgenomen in CISA's KEV Catalogus op openbaar toegankelijke activa die na exploitatie volledige controle over het activa verlenen. Voor kwetsbaarheden met een lager risico kan actie worden uitgesteld.
Verder stelt BOD 26-04 basisverwachtingen vast voor wanneer agentschappen moeten controleren of dreigingsactoren het systeem hebben gecompromitteerd voordat de patch werd toegepast. Hoewel BOD 26-04 formeel alleen van toepassing is op FCEB-agentschappen, moedigt CISA alle organisaties, inclusief die in Nederland en België, sterk aan om risicogebaseerd kwetsbaarheidsbeheer toe te passen en de remediëring van kwetsbaarheden die in de KEV Catalogus zijn opgenomen, te prioriteren. Dit is cruciaal om het risico op cyberaanvallen te minimaliseren en de digitale veerkracht te vergroten.
CISA blijft kwetsbaarheden aan de catalogus toevoegen die voldoen aan de gespecificeerde criteria, namelijk een CVE ID, bewijs van actieve exploitatie en duidelijke mitigatierichtlijnen. Organisaties worden opgeroepen om actief te controleren op nieuwe toevoegingen en hun systemen proactief te patchen.
Bron: CISA | Bron 2: cve.org
02 juli 2026 | Onopgelost lek in Argo CD Repo server bedreigt Kubernetes clusters
Een kritieke, onopgeloste kwetsbaarheid in de repo-server component van Argo CD, een veelgebruikte tool voor het implementeren van software in Kubernetes-omgevingen, stelt ongeauthenticeerde aanvallers in staat om code uit te voeren en potentieel volledige controle over clusters te verkrijgen. Beveiligingsonderzoeker Synacktiv ontdekte het lek en rapporteerde dit in januari 2025 aan de Argo CD-ontwikkelaars. Achttien maanden later is er nog geen patch beschikbaar, wat Synacktiv ertoe bracht de details openbaar te maken om gebruikers te waarschuwen.
De kwetsbaarheid bevindt zich in de repo-server, het Argo CD-onderdeel dat Git-repositories leest en Kubernetes-manifesten genereert. De interne gRPC-service van deze component mist authenticatie, waardoor iedereen die de interne netwerkpoort kan bereiken, een speciaal geformuleerd verzoek kan sturen om een commando uit te voeren. Synacktiv demonstreerde de aanval succesvol tegen Argo CD v2.13.3.
De aanval maakt misbruik van `kustomize`, een standaardtool die Argo CD gebruikt om repository-bestanden om te zetten in manifesten. `Kustomize` heeft een `--helm-command`-optie die verwijst naar de Helm-binary die moet worden aangeroepen. Synacktiv ontdekte dat een ongeauthenticeerd verzoek aan de `GenerateManifest`-service van de repo-server deze optie kan instellen op een kwaadaardig script, afkomstig uit een door de aanvaller gecontroleerde Git-repository. Wanneer `kustomize` vervolgens wordt uitgevoerd, executeert het dit script in plaats van Helm.
Hoewel de repo-server als "intern" wordt beschouwd, betekent dit niet automatisch dat deze geïsoleerd is. Argo CD levert wel Kubernetes-netwerkbeleid dat de repo-server afschermt van alle componenten behalve zijn eigen. Echter, Synacktiv constateerde dat de Helm-chart, een veelvoorkomende methode om Argo CD te installeren, dit beleid standaard uitschakelt door `networkPolicy.create` op `false` te zetten. In zo'n configuratie kan een aanvaller die toegang krijgt tot een enkele pod in het Kubernetes-cluster, de repo-server bereiken en de kwetsbaarheid benutten.
Code-uitvoering op de repo-server is slechts het begin. Synacktiv gebruikte deze toegang om het Redis-wachtwoord van het cluster te lezen uit een omgevingsvariabele, verbinding te maken met de Redis-cache van Argo CD en de opgeslagen implementatiegegevens te vergiftigen. Bij de volgende automatische synchronisatie implementeerde Argo CD een door de aanvaller geleverde workload. Deze stap heropent de aanval die eerder werd gedicht met CVE-2024-31989, een kwetsbaarheid uit 2024 die door Cycode werd ontdekt, waarbij Argo CD's Redis geen wachtwoord had. Hoewel Argo CD dit oploste door een Redis-wachtwoord toe te voegen, is de cache zelf nog steeds niet ondertekend, waardoor het stelen van het wachtwoord de aanval opnieuw mogelijk maakt.
Aangezien er nog geen gepatchte versie beschikbaar is, is netwerkisolatie de voornaamste verdediging. Gebruikers moeten Kubernetes-netwerkbeleid inschakelen, zodat alleen de eigen componenten van Argo CD de repo-server en Redis-poorten kunnen bereiken. Argo CD levert de benodigde beleidsbestanden; Helm-gebruikers moeten deze handmatig activeren omdat de standaardinstelling ze uitschakelt. De status van het netwerkbeleid kan worden gecontroleerd met het commando `kubectl get networkpolicy -A`. Een correcte installatie toont één netwerkbeleid per component, inclusief de repo-server en Redis. Ontbrekende beleidsregels betekenen dat de poorten van de repo-server en Redis bereikbaar zijn vanuit de rest van het cluster.
Synacktiv heeft een tool genaamd `argo-cdown` ontwikkeld om de volledige aanval te automatiseren. Deze tool wordt voorlopig niet openbaar gemaakt om beheerders de tijd te geven hun netwerkbeleid aan te scherpen, maar zal later op GitHub worden gepubliceerd voor testdoeleinden. Dit is niet de eerste keer dat Argo CD interne kwetsbaarheden vertoont. In september 2025 werd CVE-2025-55190 gepatcht, waarbij een API-token met alleen basisleesrechten project-Git-repository-referenties kon uitlezen. In mei 2026 stond CVE-2026-42880 toe dat alleen-lezen gebruikers plaintext Kubernetes-secrets konden lezen. Het patroon is duidelijk: Argo CD concentreert cluster- en repository-secrets, en de interne interfaces blijven deze blootstellen, hetzij via ongeauthenticeerde verzoeken, hetzij via tokens met lage privileges. Totdat een patch wordt uitgebracht, is het behandelen van het clusternetwerk als vijandig de enige effectieve verdediging.
Bron: Synacktiv | Bron 2: github.com | Bron 3: cycode.com
02 juli 2026 | Adobe dicht kritieke kwetsbaarheden in ColdFusion en Campaign Classic
Adobe heeft recentelijk updates uitgebracht om meerdere kritieke beveiligingslekken met maximale ernst te verhelpen in Adobe ColdFusion en Adobe Campaign Classic. Deze kwetsbaarheden, waarvan een groot deel een CVSS-score van 10.0 heeft, konden leiden tot ernstige gevolgen voor getroffen systemen.
Voor Adobe ColdFusion zijn er updates beschikbaar gesteld die zowel kritieke als belangrijke kwetsbaarheden aanpakken. Volgens een dinsdag gepubliceerde alert van Adobe, konden deze lekken leiden tot het uitvoeren van willekeurige code, privilege-escalatie, het uitlezen van willekeurige bestandssystemen en het omzeilen van beveiligingsfuncties.
Specifiek betroffen de ColdFusion-kwetsbaarheden:
* CVE-2026-48276 en CVE-2026-48283, beide met een CVSS-score van 10.0, betroffen kwetsbaarheden voor onbeperkte upload van bestanden met gevaarlijke typen, wat kon leiden tot het uitvoeren van willekeurige code.
* CVE-2026-48277, CVE-2026-48281 en CVE-2026-48316, eveneens met CVSS-scores van 10.0, waren kwetsbaarheden door onjuiste invoervalidatie die ook konden resulteren in het uitvoeren van willekeurige code.
* CVE-2026-48282 (CVSS-score 10.0) was een path traversal-kwetsbaarheid die het uitvoeren van willekeurige code mogelijk maakte.
* CVE-2026-48313 (CVSS-score 9.3) was een path traversal-kwetsbaarheid die kon leiden tot het uitlezen van willekeurige bestandssystemen.
* CVE-2026-48315 (CVSS-score 9.3) was een kwetsbaarheid door onjuiste invoervalidatie die kon leiden tot privilege-escalatie.
Deze problemen zijn verholpen in ColdFusion 2023 Update 21 en ColdFusion 2025 Update 10. De beveiligingsonderzoekers Anirudh Anand, Matan Sandori en 2Bsecure zijn gecrediteerd voor het ontdekken en rapporteren van CVE-2026-48283, CVE-2026-48313 en CVE-2026-48307.
Daarnaast heeft Adobe ook correcties uitgebracht voor een kritieke kwetsbaarheid in Adobe Campaign Classic. Dit lek, getraceerd als CVE-2026-48286 met een CVSS-score van 10.0, trof versies ACC v7: 7.4.3 build 9396 en eerder, zowel voor systemen met Windows als Linux. De kwetsbaarheid betrof een geval van onjuiste autorisatie, waardoor een aanvaller willekeurige code kon uitvoeren op de getroffen systemen. Deze is gepatcht in versie ACC v7: 7.4.3 build 9397. Adobe benadrukte dat CVE-2026-48286 alleen van invloed is op on-premise Adobe Campaign-installaties, inclusief volledig on-premise implementaties en on-premise componenten in hybride implementaties. Instanties die door Adobe zelf worden gehost, zijn reeds bijgewerkt en vereisen geen actie van de gebruikers.
Adobe heeft verder aangegeven dat er geen exploits van deze kwetsbaarheden in het wild zijn waargenomen op het moment van de updates.
De bekendmaking van deze patches valt samen met een belangrijke wijziging in Adobe's beleid voor het publiceren van beveiligingsbulletins en -adviezen. Vanaf 14 juli 2026 stapt Adobe over van een maandelijkse naar een tweemaandelijkse publicatie, op de tweede en vierde dinsdag van elke maand. Deze versnelling is een direct gevolg van de toegenomen snelheid van kwetsbaarheidsdetectie door het gebruik van AI modellen. Aanchal Gupta, Chief Security Officer van Adobe, merkte op: "De geavanceerde AI-mogelijkheden die wij gebruiken, zijn ook beschikbaar voor aanvallers, en het tijdsvenster tussen openbare bekendmaking van kwetsbaarheden en actieve exploitatie wordt korter, van dagen tot uren. Wij passen AI toe om kwetsbaarheden als eerste te vinden en te herstellen, en het sneller leveren van deze fixes aan klanten is de logische volgende stap."
Bron: Adobe
02 juli 2026 | Kritieke kwetsbaarheden in Cursor AI-code-editor maken ontwijking van de sandbox mogelijk
Onderzoekers van Cato AI Labs hebben twee kritieke kwetsbaarheden ontdekt in Cursor, een code-editor die werkt met kunstmatige intelligentie. Deze kwetsbaarheden, gezamenlijk aangeduid als DuneSlide, maken het mogelijk voor aanvallers om via een ogenschijnlijk onschuldige prompt de veiligheidssandbox van de editor te omzeilen en willekeurige commando's uit te voeren op de computer van een ontwikkelaar. De aanval vereist geen klik van de gebruiker of goedkeuring.
De kwetsbaarheden zijn geïdentificeerd als CVE-2026-50548 en CVE-2026-50549, beide met een CVSS-score van 9.8 op 10 (of 9.3 onder de nieuwere CVSS 4.0-schaal), wat duidt op een ernstig risico. De maker van Cursor heeft inmiddels een oplossing uitgebracht; beide bugs zijn gepatcht in Cursor versie 3.0, die op 2 april is verschenen. Alle eerdere versies dan 3.0 zijn kwetsbaar. Het bedrijf achter Cursor stelt dat meer dan de helft van de Fortune 500-bedrijven de tool gebruikt, wat het belang van een onmiddellijke update onderstreept.
Vanaf de 2.x-lijn voert Cursor de terminalcommando's van zijn AI-agent standaard uit binnen een sandbox. Deze beveiligde omgeving beperkt de toegang van commando's, om te voorkomen dat onbedoelde instructies het systeem beschadigen. DuneSlide omzeilt deze beveiliging via promptinjectie. Een aanvaller hoeft niet direct in de Cursor-editor te typen, maar plant instructies in content die de AI-agent leest, zoals via een gekoppelde dienst via het Model Context Protocol (MCP) of een webpagina die door een zoekopdracht wordt teruggegeven. De gebruiker stelt een normale vraag, de verborgen instructies worden meegenomen en, omdat er geen interactie nodig is, is de aanval "zero-click".
Beide kwetsbaarheden maken gebruik van een vergelijkbare methode, waarbij de agent wordt misleid om een bestand te schrijven dat niet toegestaan zou moeten zijn, waarna deze schrijfactie wordt gebruikt om de sandbox uit te schakelen.
CVE-2026-50548 misbruikt een instelling in de sandbox. De sandbox staat schrijfacties toe in de werkmap van een commando, welke een optionele parameter is (working_directory) voor Cursor's `run_terminal_cmd` tool. Wanneer de agent dit instelt op een niet-standaardpad, voegt Cursor dit pad zonder verdere controle toe aan de lijst met toegestane schrijflocaties. Geïnjecteerde instructies kunnen de agent dan naar een systeembestand leiden in plaats van naar het project. Door bijvoorbeeld de sandbox-helper zelf te overschrijven (op macOS: `/Applications/Cursor.app/Contents/Resources/app/resources/helpers/cursorsandbox`), worden latere commando's zonder enige sandbox-beperking uitgevoerd. Ook opstartbestanden zoals `~/.zshrc` kunnen als doelwit dienen.
CVE-2026-50549 misbruikt een veiligheidscontrole. Voordat Cursor een bestand schrijft, worden snelkoppelingen (symlinks) omgezet om te bevestigen dat de werkelijke bestemming binnen het project ligt. De bug zit in de fallback-logica. Wanneer deze controle mislukt, bijvoorbeeld omdat het doelbestand niet bestaat of de aanvaller de leesrechten van een map in het pad verwijdert, vertrouwt Cursor het in-projectpad van de snelkoppeling. Een aanvaller kan een snelkoppeling creëren die buiten het project wijst, de controle forceren om te mislukken, waarna Cursor direct via de snelkoppeling naar dezelfde sandbox-helper schrijft. Dit resulteert in dezelfde sandbox-ontwijking, maar via een andere methode.
Zodra de sandbox is geneutraliseerd, wordt het volgende commando uitgevoerd met de rechten van de gebruiker. Dit betekent volledige controle over de machine van de ontwikkelaar, plus eventuele cloud- of SaaS-werkruimtes waarbij de editor is aangemeld. Dit alles kan voortvloeien uit één onschuldig ogende prompt. Er zijn geen aanwijzingen dat deze kwetsbaarheden al actief zijn misbruikt. Cato presenteert deze bevindingen als onderzoek, niet als een actieve campagne, en de publieke kwetsbaarheidsregisters tonen geen bekende exploitatie ten tijde van publicatie.
Cato heeft beide problemen op 19 februari gemeld. Volgens Cato werden de meldingen vier dagen later door Cursor afgewezen, met als argument dat het dreigingsmodel geen misbruik van MCP-servers (zelfs standaard servers zoals de officiële Linear-werkruimte) dekte. Cato escaleerde de kwestie op 26 februari, waarna Cursor de meldingen heropende, prioriteit gaf en beide fixes in versie 3.0 implementeerde. De CVE-ID's werden op 5 juni toegekend. Cursor heeft een eigen advies voor de symlink-bug gepubliceerd, en het NVD-record is live.
Dit is niet de eerste keer dat er kwetsbaarheden in Cursor zijn gevonden die leiden tot code-uitvoering via vergiftigde prompts, waarbij telkens een andere beveiligingsmaatregel werd omzeild. Eerdere incidenten omvatten CurXecute (CVE-2025-54135, augustus 2025) en MCPoison (CVE-2025-54136). Ook CVE-2026-26268 (februari 2026) betrof een kwetsbaarheid die misbruik maakte van een booby-trapped Git-hook. De sandbox in de 2.x-lijn was het antwoord van Cursor op deze eerdere incidenten; DuneSlide betreft het ontsnappen uit dit antwoord. Cato stelt dat het soortgelijke kwetsbaarheden in andere AI-code-agents onthult en betoogt dat het probleem structureel is, in plaats van een reeks incidenten. Dit roept de vraag op of het behandelen van elke input als potentieel vijandig de standaard zal worden voor agents die het open web lezen, of dat het een continue strijd blijft van patch na patch.
Bron: Cato AI Labs | Bron 2: github.com | Bron 3: nvd.nist.gov
02 juli 2026 | Gebruikers van Tails kwetsbaar via Linux-lekken DirtyClone en pedit COW
Het ontwikkelteam achter Tails, het privacygerichte besturingssysteem, heeft een nieuwe versie uitgebracht om twee kritieke kwetsbaarheden in de Linux-kernel te adresseren. Deze lekken, bekend als DirtyClone (CVE-2026-43503) en pedit COW (CVE-2026-46331), maken het voor een lokale aanvaller mogelijk om zijn rechten te verhogen. De kwetsbaarheden zijn niet exclusief voor Tails, maar zijn aanwezig in diverse Linux-distributies, die inmiddels ook updates hebben ontvangen om de problemen te verhelpen.
Tails, voluit The Amnesic Incognito Live System, is een volledig op Linux gebaseerd besturingssysteem dat specifiek is ontworpen om de privacy en anonimiteit van zijn gebruikers te waarborgen. Het systeem kan direct vanaf een usb-stick of dvd worden opgestart en routeert al het internetverkeer via het netwerk van Tor om het ip-adres van de gebruiker te maskeren. Daarnaast biedt Tails een scala aan applicaties die gericht zijn op privacybescherming.
De kwetsbaarheden DirtyClone en pedit COW zouden een aanvaller in staat stellen om via een met Tails meegeleverde applicatie admin-rechten te verkrijgen. Het ontwikkelteam van Tails legt uit dat een scenario waarbij een aanvaller andere onbekende kwetsbaarheden in een Tails-applicatie weet te misbruiken, kan leiden tot het gebruik van CVE-2026-46331 om volledige controle over de Tails-installatie te verkrijgen en de gebruiker te de-anonimiseren.
Hoewel het ontwikkelteam benadrukt dat een dergelijke aanval onwaarschijnlijk is, wordt de mogelijkheid niet uitgesloten voor "sterke aanvallers", zoals overheden of gespecialiseerde hackingbedrijven. Er is op dit moment geen bewijs dat DirtyClone of pedit COW al actief zijn misbruikt. Gebruikers van Tails worden dringend geadviseerd om hun systeem bij te werken naar de nieuwste versie, Tails 7.9.1, om beschermd te zijn tegen deze kwetsbaarheden.
Bron: Tails Project | Bron 2: ubuntu.com | Bron 3: blog.torproject.org
02 juli 2026 | Kritieke kwetsbaarheid in Progress Kemp LoadMaster actief misbruikt
Een recent onthulde kritieke beveiligingskwetsbaarheid in Progress Kemp LoadMaster is doelwit van actieve exploitatiepogingen. Dit blijkt uit een advies van de Threat Response Unit (TRU) van het Canadese cybersecuritybedrijf eSentire. De onderzoekers identificeerden exploitatiepogingen gericht op CVE-2026-8037, een OS commando-injectie kwetsbaarheid met een CVSS-score van 9.6. Deze kwetsbaarheid kan worden misbruikt om willekeurige code uit te voeren op kwetsbare apparaten. De exploitatieactiviteit begon op 29 juni 2026. De door eSentire waargenomen pogingen mislukten, waardoor er geen vervolgactiviteit na een inbraak plaatsvond.
Progress heeft in een eerder advies over de kwetsbaarheid, die begin vorige maand werd uitgebracht, aangegeven dat "een OS Command Injection Remote Code Execution Vulnerability in de API van Progress LoadMaster een ongeauthenticeerde aanvaller met de juiste permissies in staat stelt willekeurige commando's uit te voeren op de LoadMaster-appliance door misbruik te maken van niet-gesaneerde invoer."
In een analyse die deze week werd gepubliceerd, beschreef watchTowr Labs de kwetsbaarheid als geworteld in een functie genaamd "escape_quotes()" binnen de load balancer applicatie. Het probleem ontstaat door onjuiste verwerking van door de gebruiker geleverde invoer. De functie slaagt er niet in gesaneerde strings correct te null-termineren, wat leidt tot een out-of-bounds leesfout in aangrenzend heap-geheugen. Een aanvaller kan dit lek misbruiken om speciaal vervaardigde verzoeken naar het "/accessv2" eindpunt te sturen, waardoor het heap-geheugen wordt gemanipuleerd en commando-injectie mogelijk wordt.
De impact van een succesvolle exploitatie is ernstig, aangezien het een ongeauthenticeerde aanvaller toestaat willekeurige commando's uit te voeren op de getroffen appliance zonder geldige inloggegevens te bezitten. eSentire merkte op dat de waargenomen exploitatiepogingen mislukten, waardoor er geen activiteit na compromittering plaatsvond. Echter, de beschikbaarheid van een proof-of-concept (PoC) exploit en gedetailleerde technische specificaties zal naar verwachting de kwaadaardige activiteit tegen CVE-2026-8037 in de nabije toekomst aanwakkeren.
CVE-2026-8037 is de tweede kwetsbaarheid in Progress Kemp LoadMaster die actieve exploitatiepogingen kent, na CVE-2024-1212. Die had een CVSS-score van 10.0 en was een andere kritieke OS commando-injectie kwetsbaarheid die kon worden misbruikt voor willekeurige uitvoering van systeemcommando's.
Bron: eSentire | Bron 2: community.progress.com
02 juli 2026 | Kwetsbaarheid in WinRAR maakt uitvoeren van code op systemen mogelijk
Een recent ontdekte kwetsbaarheid in de populaire archiveringssoftware WinRAR stelt aanvallers in staat om willekeurige code uit te voeren op het systeem van gebruikers. Dit beveiligingslek is verholpen in versie 7.23 van de software. Aangezien WinRAR niet beschikt over een functie voor automatische updates, moeten gebruikers de update handmatig installeren. Dit gebrek aan een geautomatiseerd updateproces draagt er volgens antivirusbedrijf Trend Micro toe bij dat er nog steeds misbruik wordt gemaakt van oudere kwetsbaarheden in WinRAR.
De kwetsbaarheid, aangeduid als EUVD-2026-40869 in de European Vulnerability Database, is een variant van een eerder lek. Dit eerdere probleem, bekend als CVE-2023-40477, werd in 2023 gepatcht. Destijds richtte de oplossing zich uitsluitend op het RAR3-formaat bij het verwerken van recovery volumes. Echter, het blijkt dat een vergelijkbaar probleem zich ook kan voordoen bij het nieuwere RAR5-formaat.
Voor een succesvolle exploitatie van deze kwetsbaarheid is vereist dat een gebruiker van WinRAR een malafide webpagina bezoekt of een kwaadaardig bestand opent. Dit detail werd beschreven door het cybersecuritybedrijf ZDI (Zero Day Initiative). Door deze actie kan de aanvaller via het lek toegang krijgen tot het systeem en daar code uitvoeren.
Trend Micro heeft onlangs benadrukt dat het patchen van WinRAR binnen organisaties een uitdaging vormt. De software valt buiten gangbare patchsystemen voor bedrijven, zoals WSUS, SCCM of Intune, en ondersteunt geen Group Policy. Gecombineerd met het ontbreken van een automatische update functie, zorgt dit ervoor dat kwetsbaarheden in WinRAR na het verschijnen van patches langdurig misbruikt kunnen blijven worden. Trend Micro beschrijft dit als een "permanente blinde vlek" in het vulnerability management van organisaties, wat de noodzaak voor handmatige updates en proactief beheer onderstreept.
Bron: ZDI | Bron 2: nvd.nist.gov | Bron 3: euvd.enisa.europa.eu
02 juli 2026 | Kwetsbaarheid in Apple's 'Verberg mijn e-mailadres' onthult echte adressen
Onderzoekers waarschuwen voor een significante kwetsbaarheid in Apple's 'Verberg mijn e-mailadres' (Hide My Email) functie. Deze functie, die is ontworpen om de privacy van gebruikers te beschermen door tijdelijke, willekeurige e-mailadressen te genereren, blijkt een lek te bevatten. Dit lek maakt het mogelijk voor bijna iedereen om het echte e-mailadres te achterhalen dat schuilgaat achter zo'n verborgen alias.
Volgens de waarschuwing is deze kwetsbaarheid al meer dan een jaar onopgelost gebleven door Apple. De 'Verberg mijn e-mailadres' functie is onderdeel van iCloud+ en stelt gebruikers in staat om hun persoonlijke e-mailadres privé te houden bij het aanmelden voor apps, websites of diensten. Het concept is dat deze unieke, willekeurige adressen e-mails doorsturen naar de inbox van de gebruiker, zonder dat de afzender het primaire adres kent.
Het feit dat deze beschermende laag eenvoudig te omzeilen is en het ware adres kan onthullen, ondermijnt het primaire doel van de functie. Voor gebruikers betekent dit een verhoogd risico op ongewenste communicatie, spam en gerichte phishingaanvallen, aangezien hun werkelijke e-mailadressen potentieel blootgesteld kunnen worden. De langdurige status als 'onopgelost' wekt zorgen over de reactiesnelheid van Apple op dergelijke privacy gerelateerde kwesties.
Deze kwetsbaarheid heeft wereldwijd impact op miljoenen Apple-gebruikers, waaronder die in Nederland en België, die vertrouwen op de privacyfuncties van hun apparaten en diensten. Gebruikers die 'Verberg mijn e-mailadres' actief gebruiken, worden geadviseerd om zich bewust te zijn van dit risico en alert te zijn op verdachte e-mails die mogelijk hun echte adres hebben bereikt. Verdere details over de technische aard van de kwetsbaarheid en mogelijke mitigatie stappen zijn momenteel niet openbaar gemaakt door Apple.
Bron: MacRumors
02 juli 2026 | Google publiceert updates voor 382 beveiligingslekken in Chrome
Google heeft beveiligingsupdates voor de Chrome browser uitgebracht, waarmee in totaal 382 kwetsbaarheden zijn verholpen. Deze update behoort tot de grootste in de geschiedenis van de browser. Vijftien van de opgeloste lekken zijn als kritiek aangemerkt, omdat ze remote code execution (RCE) mogelijk maken. Dit betekent dat aanvallers kwaadaardige code op het systeem van gebruikers kunnen uitvoeren simpelweg door het bezoeken van een gehackte of malafide website, of door blootstelling aan een besmette advertentie. Er is geen verdere interactie van de gebruiker nodig om deze aanvallen te laten slagen.
De kritieke lekken zijn gevonden in diverse onderdelen van de browser, waaronder WebUSB, Extensions, Bluetooth en Dawn, een open source en crossplatform implementatie van de WebGPU standaard. Opvallend is dat Google zelf maar liefst 358 van de 382 kwetsbaarheden heeft ontdekt, inclusief alle vijftien kritieke beveiligingslekken. Het technologiebedrijf heeft aangegeven niet op de hoogte te zijn van actief misbruik van de nu verholpen problemen.
Deze grootschalige update volgt op een eerdere, nog grotere update begin juni, waarbij 429 beveiligingslekken werden aangepakt. Google heeft nog geen verklaring gegeven voor het grote aantal ontdekte kwetsbaarheden, maar experts speculeren dat kunstmatige intelligentie (AI) een rol speelt bij het opsporen van deze problemen.
De nieuwe versie van Google Chrome, 150.0.7871.46/.47, is beschikbaar voor gebruikers van macOS en Windows. Voor Linux systemen is versie 150.0.7871.46 uitgebracht. In de meeste gevallen zal de update automatisch worden geïnstalleerd, al kan dit proces enkele dagen tot weken duren. Gebruikers die de update direct willen ontvangen, kunnen een handmatige controle uitvoeren via de browserinstellingen. Voor gebruikers van Microsoft Edge, die eveneens op Googles Chromium browser is gebaseerd, was op het moment van publicatie nog geen update beschikbaar.
Bron: Apple | Bron 2: blog.mozilla.org | Bron 3: hacks.mozilla.org
02 juli 2026 | Onderzoekers publiceren technische details en detectietool voor NetScaler-lek CVE-2026-8451
Onderzoekers van watchTowr hebben een uitgebreide technische analyse en een detectiehulpmiddel gepubliceerd voor de recent geïdentificeerde kwetsbaarheid CVE-2026-8451. Dit lek bevindt zich in de Citrix NetScaler ADC en NetScaler Gateway producten. De kwetsbaarheid betreft een geheugenoverleesfout, die ontstaat door onvoldoende invoervalidatie binnen de software.
Deze specifieke fout treft apparaten die zijn geconfigureerd als een SAML Identity Provider. Een niet geauthenticeerde aanvaller kan misbruik maken van de kwetsbaarheid om op afstand fragmenten van het geheugen van het getroffen apparaat uit te lezen. Dit kan leiden tot de blootlegging van gevoelige gegevens, waaronder geheugenverwijzingen. De aard van deze fout is vergelijkbaar met eerdere geheugenlekken die algemeen bekend zijn geworden onder de naam CitrixBleed.
Citrix heeft proactief gereageerd op deze kwetsbaarheid en heeft een reeks updates uitgebracht om het lek te verhelpen. Hoewel er tot op heden geen actief misbruik van CVE-2026-8451 is vastgesteld, waarschuwt watchTowr dat de publicatie van gedetailleerde technische informatie en een detectietool doorgaans de periode verkort voordat aanvallers daadwerkelijk pogingen tot misbruik ondernemen.
Beheerders van Citrix NetScaler-omgevingen wordt daarom met klem geadviseerd om de beschikbare updates met spoed te installeren. Daarnaast is het cruciaal om te controleren of hun NetScaler-apparaten zijn ingesteld als SAML Identity Provider, aangezien deze configuratie direct gerelateerd is aan de kwetsbaarheid.
Bron: watchTowr Labs
Cybercrimeinfo volgt dagelijks meldingen over kritieke kwetsbaarheden, actief misbruikte CVE’s en beveiligingsupdates. Nieuwe meldingen worden toegevoegd zodra voldoende betrouwbare informatie beschikbaar is.
Bekijk ook het actuele overzicht van cyberaanvallen in Nederland en België.