2025 | 2024 | 2023 | 2022 | 2021

• Naar pagina

• Naar artikel en overzicht

• Naar artikel en overzicht

• Naar artikel en overzicht

• Naar artikel en overzicht

• Naar artikel en overzicht

• Naar artikel en overzicht

• Naar artikel en overzicht

• Overzicht maand augustus 2025

• Overzicht maand september 2025

• Overzicht maand oktober 2025

• Overzicht maand november 2025

Een nieuwe kwetsbaarheid in de OpenAI Codex CLI is ontdekt, waarbij een aanvaller misbruik kan maken van project-specifieke configuratiebestanden om willekeurige commando’s uit te voeren. Codex CLI, een tool die bedoeld is om de ontwikkelworkflow te ondersteunen met AI-ondersteunde redenering en interactie via de commandoregel, heeft een probleem in de manier waarop het projectgebonden configuratiebestanden verwerkt.

Tijdens tests werd ontdekt dat Codex CLI project-specifieke configuraties, zoals .env-bestanden en de bijbehorende ./.codex/config.toml, automatisch laadt en uitvoert wanneer het project wordt uitgevoerd. Dit betekent dat als een ontwikkelaar een repository met een besmet .env-bestand en een kwaadaardige config.toml met MCP-serverinstellingen kloneert, het systeem ongevraagd commando’s uitvoert bij het opstarten van Codex. Er is geen validatie of goedkeuring nodig van de gebruiker, waardoor aanvallers de mogelijkheid hebben om schadelijke code uit te voeren zonder dat de ontwikkelaar het merkt.

De kwetsbaarheid stelt een aanvaller in staat om op verschillende manieren toegang te krijgen. Zo kan een aanvaller een reverse shell in de configuratie plaatsen, waardoor ze persistente toegang verkrijgen tot het systeem van een ontwikkelaar die de besmette repository kloneert en Codex uitvoert. Dit creëert een achterdeur die elke keer dat Codex wordt uitgevoerd, opnieuw kan worden geactiveerd, wat het mogelijk maakt om gegevens te stelen, wachtwoorden te exfiltreren of verdere aanvallen uit te voeren.

De kwetsbaarheid werd op 7 augustus 2025 aan OpenAI gemeld, waarna op 20 augustus 2025 een patch werd uitgebracht in versie 0.23.0 van Codex CLI. Deze patch voorkomt dat de tool .env-bestanden zonder verdere goedkeuring kan gebruiken om de CODEX_HOME naar een projectmap te leiden. Gebruikers wordt dringend geadviseerd om Codex CLI bij te werken naar versie 0.23.0 of hoger om zich te beschermen tegen deze kwetsbaarheid.

Bron 1

Google heeft recent beveiligingsupdates uitgebracht voor Android, waarbij twee kwetsbaarheden werden verholpen die actief werden aangevallen. Deze kwetsbaarheden, aangeduid als CVE-2025-48633 en CVE-2025-48572, bevinden zich beide in het Android Frame en waren kwetsbaar voor misbruik. CVE-2025-48633 kan leiden tot informatielekken, hoewel Google geen details heeft verstrekt over de aard van de gelekte informatie. CVE-2025-48572 stelt aanvallers die al toegang tot een Android-apparaat hebben, in staat om hun rechten te verhogen.

Naast deze kwetsbaarheden werd ook een kritiek lek gepatcht, CVE-2025-48631, dat remote denial of service (DoS)-aanvallen mogelijk maakte. Dit lek had geen rechten of permissies nodig om misbruikt te worden. Google heeft geen verdere details verstrekt over de exploitatie van dit beveiligingslek of de exacte gevolgen voor gebruikers.

De updates zijn beschikbaar voor Android-versies 13, 14, 15 en 16 en hebben patchniveaus van '2025-12-01' of '2025-12-05'. De updates zijn door fabrikanten van Android-toestellen ontvangen, die in staat waren om deze te verwerken en beschikbaar te stellen aan hun gebruikers. Het is echter mogelijk dat niet alle toestellen deze updates ontvangen, afhankelijk van de ondersteuning door de fabrikant of de beschikbaarheid van updates. Google meldde dat fabrikanten al een maand geleden op de hoogte werden gesteld van de kwetsbaarheden, wat hen de tijd gaf om updates te ontwikkelen.

De patchniveau-updates moeten worden toegepast door de fabrikanten om ervoor te zorgen dat alle toestellen met de nieuwste beveiligingsmaatregelen beschermd zijn tegen de geconstateerde kwetsbaarheden.

Bron 1

Tienduizenden WordPress-websites lopen momenteel een ernstig beveiligingsrisico door de aanwezigheid van een kritieke kwetsbaarheid in de plug-in Advanced Custom Fields: Extended. Door dit lek kunnen kwaadwillenden op afstand de volledige controle over een website overnemen via zogeheten remote code execution (RCE). Hoewel er sinds 21 november een beveiligingsupdate beschikbaar is, blijkt uit actuele cijfers dat tienduizenden beheerders deze update nog niet hebben geïnstalleerd.

Het beveiligingslek is geregistreerd onder de code CVE-2025-13486 en is vastgesteld in de plug-in Advanced Custom Fields: Extended. Dit is een specifieke uitbreiding voor de veelgebruikte Advanced Custom Fields (ACF) plug-in. Terwijl de basisversie van ACF op meer dan twee miljoen websites actief is, wordt de kwetsbare 'Extended' variant op ruim honderdduizend websites gebruikt. Het beveiligingsbedrijf Wordfence, dat het lek rapporteerde, heeft de ernst van de kwetsbaarheid vastgesteld op een score van 9.8 op een schaal van 1 tot 10.

De oorzaak van het probleem ligt in een functie binnen de software die op afstand kan worden aangeroepen, maar de gebruikersinvoer niet correct verwerkt. Hierdoor kunnen aanvallers zonder enige vorm van authenticatie willekeurige code uitvoeren op de server. Naast het uitvoeren van code stelt de kwetsbaarheid aanvallers in staat om willekeurige andere WordPress-functies aan te roepen. Een van de mogelijke scenario's is dat een aanvaller zichzelf een nieuw beheerdersaccount toewijst, waardoor de website volledig kan worden overgenomen.

De ontwikkelaars van Advanced Custom Fields: Extended hebben op 21 november versie 0.9.2 uitgebracht om dit beveiligingslek te verhelpen. Uit data van WordPress.org blijkt echter dat de uitrol van deze patch traag verloopt. Meer dan vijftigduizend websites die de plug-in gebruiken, hebben de update nog niet geïnstalleerd. Zolang deze websites op een verouderde versie draaien, blijven zij vatbaar voor aanvallen die gebruikmaken van deze specifieke kwetsbaarheid.

Bron 1, 2

Drie kritieke beveiligingsfouten zijn recentelijk openbaar gemaakt in de open-source tool Picklescan, een hulpprogramma dat is ontworpen om Python pickle-bestanden te scannen op verdachte import- of functieoproepen voordat deze worden uitgevoerd. Pickle is een veelgebruikt serialisatieformaat binnen machine learning, onder meer door PyTorch, om modellen op te slaan en in te laden. Dit formaat brengt echter een aanzienlijk beveiligingsrisico met zich mee, aangezien het kan worden misbruikt om automatisch willekeurige Python-code uit te voeren zodra een bestand wordt geladen. Picklescan is juist bedoeld om dit risico te mitigeren.

De door JFrog ontdekte kwetsbaarheden maakten het in essentie mogelijk om de scanner te omzeilen, de gescande modelbestanden als veilig te presenteren en de uitvoering van kwaadaardige code mogelijk te maken. Dit opende de deur voor een mogelijke supply chain-aanval door de distributie van schadelijke machine learning-modellen met ondetecteerbare code.

De drie geïdentificeerde kritieke fouten (CVE-2025-10155, CVE-2025-10156 en CVE-2025-10157) hadden alle een hoge CVSS-score. CVE-2025-10155 betrof een omzeiling van de bestandsextensie, waardoor de scanner kon worden ondermijnd en het model toch werd geladen bij gebruik van een standaard pickle-bestand met een PyTorch-gerelateerde extensie zoals .bin of .pt. CVE-2025-10156 maakte het mogelijk om het scannen van ZIP-archieven uit te schakelen door een Cyclic Redundancy Check (CRC)-fout te introduceren. De derde fout, CVE-2025-10157, betrof een omzeiling van Picklescan's controle op onveilige globale variabelen, wat leidde tot de uitvoering van willekeurige code door een bloklijst van gevaarlijke imports te omzeilen. Succesvolle exploitatie van deze kwetsbaarheden stelde aanvallers in staat om kwaadaardige pickle payloads te verbergen in bestanden met gangbare PyTorch-extensies of opzettelijk CRC-fouten te introduceren in ZIP-archieven die schadelijke modellen bevatten. Na een verantwoordelijke melding op 29 juni 2025 zijn de drie kwetsbaarheden opgelost in Picklescan versie 0.0.31, die op 9 september werd uitgebracht.

Daarnaast werd door SecDim en DCODX nog een vierde kwetsbaarheid (CVE-2025-46417) met hoge ernst in dezelfde tool gedetailleerd. Deze fout kon worden misbruikt om de bloklijst van Picklescan te omzeilen en kwaadaardige pickle-bestanden toe te staan gevoelige informatie via DNS te exfiltreren wanneer het model werd geladen. In een geschetst aanvalsscenario kon een aanvaller legitieme Python-modules zoals linecache en ssl hergebruiken om gevoelige gegevens uit bestanden zoals /etc/passwd te lezen en deze gegevens via ssl.get_server_certificate() naar een domein onder hun controle te verzenden. De gelekte inhoud verscheen in DNS-logs.

Deze bevindingen illustreren fundamentele problemen, waaronder een te grote afhankelijkheid van één scanningtool en discrepanties in de manier waarop beveiligingstools en PyTorch omgaan met bestanden. Dit maakt de beveiligingsarchitecturen kwetsbaar voor aanvallen. Deskundigen benadrukken dat de toenemende complexiteit van AI-bibliotheken zoals PyTorch, met nieuwe functies, modelformaten en uitvoerpaden, sneller groeit dan beveiligingsscanningtools zich kunnen aanpassen.

Bron 1, 2

Een ernstige kwetsbaarheid is geïdentificeerd in de King Addons for Elementor WordPress-plug-in, een component die wereldwijd in meer dan tienduizend actieve installaties wordt gebruikt. De kwetsbaarheid, geclassificeerd als een niet-geauthenticeerde privilege-escalatie, stelt aanvallers in staat om volledige administratieve controle over de getroffen WordPress-websites te verkrijgen. Dit wordt bereikt door het registreren van een nieuw account met beheerdersrechten zonder enige noodzakelijke authenticatie.

Het beveiligingslek, aangeduid met CVE-2025-8489, heeft een kritieke CVSS-score van 9.8. De grondoorzaak ligt in een onjuiste rolbeperking binnen de gebruikersregistratiefunctie van de plug-in. Het probleem bevindt zich specifiek in de handle_register_ajax() functie, die faalt in het adequaat valideren van de gebruikersrol tijdens het aanmaken van een account. Een aanvaller kan hierdoor een speciaal opgesteld registratieverzoek versturen via de plug-in's AJAX-handler, waarbij de gewenste rol als 'administrator' wordt gespecificeerd, wat vervolgens door het systeem wordt geaccepteerd.

Zodra de aanvallers administratieve toegang hebben verkregen, beschikken zij over de mogelijkheid om kwaadaardige bestanden te uploaden, de website-inhoud te manipuleren, spam te injecteren, of achterdeurtjes te installeren om persistente toegang tot de gecompromitteerde omgeving te behouden.

Het beveiligingsprobleem werd oorspronkelijk gemeld op 24 juli 2025. Op 25 september 2025 bracht de leverancier een gepatchte versie, 51.1.35, uit die de onderliggende fout verhelpt. Beveiligingsanalisten van Wordfence identificeerden de kwetsbaarheid en maakten de details op 30 oktober 2025 openbaar via de Wordfence Intelligence-database. De getroffen versies van de plug-in varieerden van 24.12.92 tot en met 51.1.14. De actieve exploitatie door aanvallers begon een dag na de publieke bekendmaking, op 31 oktober 2025. Sindsdien heeft de Wordfence Firewall al meer dan 48.400 exploitpogingen tegen kwetsbare websites geblokkeerd.

Bron 1

Microsoft heeft onlangs een kwetsbaarheid in Windows gepatcht die het mogelijk maakte om kwaadaardige code te verbergen in .LNK-bestanden. Deze kwetsbaarheid, aangeduid als CVE-2025-9491, werd actief misbruikt door aanvallers om systemen aan te vallen. Het probleem deed zich voor bij de verwerking van .LNK-bestanden, die normaal gesproken worden gebruikt om snelkoppelingen naar programma's en bestanden aan te maken.

De kwetsbaarheid zorgde ervoor dat gevaarlijke commando’s, die normaal zichtbaar zouden moeten zijn bij het inspecteren van het bestand, onzichtbaar werden gemaakt. Dit werd mogelijk doordat in het bestand een speciaal bewerkte "whitespace" werd toegevoegd, waardoor kwaadaardige commando’s pas na 260 zichtbare tekens zichtbaar waren. Hierdoor konden aanvallers hun kwaadaardige code verbergen voor de gebruiker.

Het probleem werd oorspronkelijk gemeld door securitybedrijf ZDI in september 2024, maar Microsoft gaf aanvankelijk aan dat het niet voldoende ernstig was om een patch uit te brengen. Pas later, nadat de details openbaar werden gemaakt, besloot Microsoft de kwetsbaarheid onopgemerkt te verhelpen tijdens een reguliere patchronde in november 2025. In de nieuwe update is nu het volledige Target-commando zichtbaar, ongeacht de lengte ervan, wat de exploitatie van de kwetsbaarheid voorkomt.

Het is niet de eerste keer dat dergelijke kwetsbaarheden worden aangetroffen in .LNK-bestanden. Eerder werden soortgelijke technieken, zoals bij de Stuxnet-aanval, gebruikt om systemen te compromitteren. De ontdekking van deze kwetsbaarheid komt op een moment dat aanvallers steeds vaker gebruik maken van verborgen technieken om hun schade te maximaliseren zonder dat gebruikers het merken.

Bron 1

React, een veelgebruikte JavaScript-library voor de ontwikkeling van webapplicaties, heeft een kritieke kwetsbaarheid ontdekt in de Server Components versie van hun framework, waardoor remote code execution (RCE) mogelijk is. De kwetsbaarheid, aangeduid als CVE-2025-55182, werd beoordeeld met een score van 10.0 op een schaal van 1 tot 10, wat het tot een van de meest ernstige beveiligingslekken maakt. Het probleem treft specifieke versies van React Server Components, namelijk 19.0.0, 19.1.0, 19.1.1 en 19.2.0. Deze kwetsbaarheid maakt het mogelijk voor aanvallers om via een kwaadaardig HTTP-verzoek code op de server uit te voeren.

React Server Components zijn een technologie die ontwikkelaars in staat stelt om webapplicaties te creëren waarbij de meeste verwerking op de server plaatsvindt. Dit zou moeten zorgen voor betere prestaties en veiligheid. Echter, deze specifieke kwetsbaarheid heeft ernstige gevolgen voor systemen die gebruikmaken van de getroffen versies. Het probleem werd gedetecteerd bij versies die nog niet waren geüpdatet, maar een oplossing werd al verstrekt in versies 19.0.1, 19.1.2 en 19.2.1.

Beheerders van systemen die deze versies draaien, worden dringend verzocht om hun software te upgraden om verdere exploitatie te voorkomen. Het Nationaal Cyber Security Centrum (NCSC) heeft gewaarschuwd dat systemen die geen gebruik maken van React Server Components, of die geen server gebruiken, niet kwetsbaar zijn. Daarnaast kunnen frameworks en tools zoals Next, React Router en Waku ook getroffen worden, aangezien deze vaak React Server Components integreren in hun infrastructuur.

Het probleem ontstond doordat een aanvaller in staat was om een kwaadaardig verzoek te sturen naar een Server Function endpoint. Wanneer React deze verzoeken verwerkte zonder de juiste controles, kon de aanvaller remote code execution op de server uitvoeren, wat ernstige beveiligingsrisico’s met zich meebracht. React heeft bevestigd dat ze verder technische informatie zullen verstrekken zodra de uitrol van de beveiligingsupdates volledig is afgerond. Beveiligingsupdates zijn inmiddels beschikbaar, en zowel nationale als internationale instanties, waaronder de Australische en Italiaanse overheid, hebben waarschuwingen verspreid. Techbedrijven zoals Cloudflare, Fastly en Google hebben ook maatregelen getroffen om hun klanten te beschermen tegen deze kwetsbaarheid.

Bron 1, 2, 3

Een ernstige kwetsbaarheid in het React Server Components (RSC) 'Flight'-protocol, genaamd 'React2Shell', stelt aanvallers in staat om zonder authenticatie code uit te voeren op servers die React- en Next.js-toepassingen draaien. De kwetsbaarheid, die een maximaal risiconiveau van 10/10 heeft gekregen, werd op 29 november ontdekt door beveiligingsonderzoeker Lachlan Davidson. Hij ontdekte dat aanvallers via een speciaal gemaakte HTTP-aanvraag op React Server Function-eindpunten code op afstand kunnen uitvoeren.

De kwetsbaarheid betreft versies van React (19.0, 19.1.0, 19.1.1, en 19.2.0) en Next.js (vanaf 14.3.0-canary.77 en alle versies van de 15.x- en 16.x-branches voor de gepatchte versies). Het probleem komt voort uit een fout in de deserialisatie, waarbij de server niet goed controleert of de inkomende gegevens correct zijn. Dit kan leiden tot de uitvoering van privilegie JavaScript-code in de servercontext.

Beveiligingsonderzoekers waarschuwen dat de kwetsbaarheid eenvoudig kan worden misbruikt, en dat 39% van de cloudomgevingen waar ze zicht op hebben, versies van React of Next.js draaien die kwetsbaar zijn voor deze aanval. React en Next.js worden veel gebruikt in cloudgebaseerde omgevingen, wat de impact van deze kwetsbaarheid vergroot, aangezien deze technologieën snel worden geïmplementeerd door bedrijven wereldwijd, ook in Nederland en België.

Het is belangrijk dat ontwikkelaars en bedrijven die deze technologieën gebruiken, hun omgevingen controleren en snel de nieuwste patches toepassen om zich te beschermen tegen potentiële aanvallen. De fixes zijn beschikbaar in React-versies 19.0.1, 19.1.2, en 19.2.1, en Next.js-versies 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7, en 16.0.7.

Door snel actie te ondernemen kunnen organisaties het risico van deze kwetsbaarheid aanzienlijk verminderen.

Bron 1

Op 2 december 2025 heeft de Cybersecurity and Infrastructure Security Agency (CISA) vijf kritieke adviezen gepubliceerd met betrekking tot kwetsbaarheden in industriële controlesystemen (ICS). Deze kwetsbaarheden treffen systemen die essentieel zijn voor de werking van kritieke infrastructuren zoals de productie, energievoorziening en medische apparaten wereldwijd. De waarschuwingen richten zich op ernstige beveiligingsrisico’s die kunnen leiden tot inbreuken in de systemen die de ruggengraat vormen van vitale infrastructuur.

Industriële controlesystemen worden wereldwijd gebruikt om belangrijke infrastructuren te beheren, van energiecentrales tot waterzuiveringsinstallaties en medische apparatuur. Wanneer er kwetsbaarheden in deze systemen optreden, kunnen aanvallers toegang krijgen tot gevoelige netwerken, wat de stabiliteit van publieke diensten en de veiligheid van burgers in gevaar kan brengen. De vijf adviezen van CISA richten zich onder andere op leveranciers zoals Mitsubishi Electric, Iskra en Mirion Technologies, die apparatuur leveren die wereldwijd wordt ingezet in industriële omgevingen.

De kwetsbaarheden variëren van het omzeilen van authenticatieprocessen tot het uitvoeren van code op afstand, wat aanvallers de mogelijkheid biedt om ongeoorloofde toegang te krijgen tot belangrijke functies. CISA meldt dat deze kwetsbaarheden actief worden uitgebuit, wat de urgentie van de waarschuwing benadrukt. Organisaties die deze systemen gebruiken, worden aangemoedigd om zo snel mogelijk beveiligingsupdates door te voeren om verdere risico’s te vermijden.

CISA adviseert organisaties om netwerksegmentatie toe te passen en kwetsbare systemen te isoleren van het externe internet. Ook worden sterke authenticatieprocessen aanbevolen en moet er onmiddellijk netwerkmonitoring worden geïmplementeerd om verdachte activiteiten tijdig op te sporen. Door deze maatregelen te nemen, kunnen organisaties zich beter wapenen tegen de steeds geavanceerdere cyberdreigingen.

Deze publicatie van CISA benadrukt de dringende noodzaak voor organisaties in Nederland en België om kwetsbaarheden in industriële controlesystemen snel aan te pakken, met name in productieomgevingen waar storingen een directe impact kunnen hebben op de openbare veiligheid en economische stabiliteit.

Bron 1

Een ernstige kwetsbaarheid in de Sneeit Framework plugin voor WordPress wordt actief misbruikt door aanvallers, wat duizenden websites wereldwijd, ook in Nederland en België, in gevaar brengt. De kwetsbaarheid, geïdentificeerd als CVE-2025-6389 met een CVSS-score van 9.8, komt voor in versies 8.3 en eerder van de plugin, die ongeveer 1.700 actieve installaties heeft op WordPress-sites, inclusief premium thema’s.

De kwetsbaarheid werd op 10 juni 2025 ontdekt en gerapporteerd aan de ontwikkelaars. Een patch werd op 5 augustus 2025 uitgebracht, waarna de kwetsbaarheid op 24 november 2025 openbaar werd gedeeld. Vanaf die datum begonnen aanvallers de kwetsbaarheid actief te misbruiken om niet-gepatchte installaties aan te vallen. Beveiligingsonderzoekers van Wordfence hebben sindsdien meer dan 131.000 exploitpogingen geblokkeerd.

De kwetsbaarheid is te wijten aan onvoldoende invoervalidatie in een specifieke functie van de plugin, die gebruikersinvoer zonder de juiste beperkingen verwerkt. Aanvallers kunnen hierdoor via speciaal gemaakte verzoeken willekeurige PHP-code uitvoeren op de server, wat kan leiden tot volledige controle over de website.

Aangezien deze kwetsbaarheid wereldwijd van invloed is, wordt eigenaren van WordPress-websites met de Sneeit Framework plugin dringend geadviseerd om onmiddellijk te updaten naar versie 8.4 of hoger. Het uitblijven van een update kan leiden tot ernstige beveiligingsrisico’s, zoals de installatie van backdoors en het verlies van data.

Bron 1

In november 2025 is het aantal gepubliceerde CVE’s (Common Vulnerabilities and Exposures) met 25% gedaald in vergelijking met dezelfde maand in 2024. Deze daling is opvallend, vooral omdat het aantal CVE-publicaties in 2025 als geheel een stijging vertoont ten opzichte van vorig jaar. De afname in november wordt voornamelijk toegeschreven aan vertragingen bij enkele belangrijke CVE Numbering Authorities (CNAs), zoals Patchstack, MITRE en het Linux-kernel ecosysteem.

Volgens experts in de cybersecuritygemeenschap is de daling in CVE-publicaties in november niet per se een indicatie van een afname van de algehele dreiging, maar eerder het gevolg van een tijdelijke vertraging in de werkstromen van enkele grote bronnen. Patchstack gaf aan dat hun interne migratie naar een nieuwe versie van hun platform tijdelijke vertragingen veroorzaakte in hun bugbounty- en triageprocessen. Dit had een directe invloed op het aantal gepubliceerde kwetsbaarheden, maar Patchstack verwacht dat de output weer zal toenemen in het vierde kwartaal van 2025.

Hoewel de cijfers voor november een daling laten zien, blijft het totale aantal CVE-publicaties in 2025 hoger dan in 2024. De gegevens tonen een stijging van 16,9% in het aantal gepubliceerde kwetsbaarheden, wat wijst op een algemeen stijgende trend in kwetsbaarheden wereldwijd. Deze cijfers benadrukken het belang van het monitoren van publicaties van grote CNAs en het niet enkel vertrouwen op de maandelijkse CVE-aantallen voor het inschatten van risico's.

Voor cybersecurityprofessionals en organisaties in Nederland en België blijft het belangrijk om kwetsbaarheden te blijven volgen, zelfs als er schommelingen zijn in het aantal CVE-publicaties. Het is cruciaal om verder te kijken dan alleen de publicatiecijfers en te letten op exploitatie-informatie en het tempo waarmee kwetsbaarheden worden misbruikt. Het inzicht in deze trends helpt bij het prioriteren van beveiligingsmaatregelen en het effectief mitigeren van dreigingen in hun netwerkomgevingen.

Bron 1

Op 5 december 2025 werd een ernstige beveiligingskwetsbaarheid ontdekt in Apache Tika, een veelgebruikte bibliotheek voor contentdetectie en -analyse. De kwetsbaarheid, aangeduid als CVE-2025-66516, maakt het mogelijk voor aanvallers om een XML External Entity (XXE)-injectie uit te voeren. Dit kan ernstige gevolgen hebben voor systemen die Apache Tika gebruiken, met mogelijke toegang tot gevoelige bestanden of zelfs remote code execution.

De kwetsbaarheid heeft een CVSS-score van 10.0, wat aangeeft dat deze uiterst kritisch is. Apache Tika wordt vaak ingezet in systemen die werken met PDF-bestanden en andere documenten, wat betekent dat de impact wereldwijd kan zijn, ook voor bedrijven en instellingen in Nederland en België. Het probleem is te vinden in verschillende versies van Apache Tika, waaronder de modules tika-core, tika-pdf-module en tika-parsers. Als gevolg van deze kwetsbaarheid kunnen aanvallers via een speciaal vervaardigd XFA-bestand in een PDF schadelijke opdrachten uitvoeren.

Gebruikers van Apache Tika wordt dringend geadviseerd om de beveiligingsupdates toe te passen. Deze zijn beschikbaar in versie 3.2.2, waarin de kwetsbaarheid is verholpen. Aangezien veel organisaties afhankelijk zijn van Apache Tika voor hun documentverwerkingssystemen, is het essentieel dat deze updates snel worden geïnstalleerd om potentiële aanvallen te voorkomen.

Bron 1

Onderzoekers hebben meer dan dertig beveiligingskwetsbaarheden onthuld in diverse AI-gedreven Integrated Development Environments (IDE's), die de combinatie van prompt-injectie-primitieven met legitieme functies benutten om gegevensdiefstal en remote code execution (RCE) aanvallen te vergemakkelijken. Deze kwetsbaarheden, gezamenlijk aangeduid als "IDEsaster", treffen populaire IDE's en uitbreidingen zoals Cursor, Windsurf, Kiro.dev, GitHub Copilot, Zed.dev, Roo Code, Junie, en Cline, waarvan 24 kwetsbaarheden CVE-identificaties hebben gekregen.

De kern van deze problemen bestaat uit drie verschillende aanvallende vectoren die typisch zijn voor AI-gedreven IDE's. Ten eerste wordt de bescherming van een taalmodel omzeild, wat leidt tot contextmanipulatie en het uitvoeren van de aanvaller's verzoeken. Ten tweede worden acties uitgevoerd zonder enige interactie van de gebruiker, doordat AI-agents auto-goedgekeurde tool-aanroepen gebruiken. Ten derde wordt een legitieme functie van het IDE geactiveerd om de beveiligingsgrenzen te doorbreken, waardoor gevoelige gegevens kunnen uitlekken of willekeurige commando's kunnen worden uitgevoerd.

De meeste aanvallen maken gebruik van een techniek die bekendstaat als prompt-injectie, waarbij verborgen instructies in de context van het model worden ingevoerd, zoals door middel van onzichtbare tekens of externe input van kwaadaardige servers. Deze techniek kan worden ingezet om bestanden te lezen, gevoelige informatie te exfiltreren of de instellingen van de IDE aan te passen om code-uitvoering te bewerkstelligen. De onderzoeksresultaten wijzen erop dat deze kwetsbaarheden de beveiliging van IDE's aanzienlijk verzwakken, vooral in ontwikkelomgevingen die AI-ondersteunde functies gebruiken.

Onder de ontdekte kwetsbaarheden bevinden zich meerdere voorbeelden waarbij prompt-injecties werden gebruikt om IDE-instellingen aan te passen, zoals bij GitHub Copilot en Cursor. Door deze instellingen te wijzigen, konden aanvallers schadelijke uitvoerbare bestanden instellen, wat leidde tot uitvoering van kwaadaardige code zonder gebruikersinteractie.

De bevindingen benadrukken de noodzaak voor strengere beveiligingsmaatregelen bij AI-tools die in ontwikkelomgevingen worden ingezet. Gebruikers wordt aangeraden alleen vertrouwde projecten en bestanden te gebruiken, verbindingen met betrouwbare servers te onderhouden en zorgvuldig te controleren op verborgen instructies in toegevoegde bronnen. Ontwikkelaars van AI-tools wordt geadviseerd om de principes van de minste privileges toe te passen, prompt-injectie-risico's te verminderen en hun systemen te verkennen op kwetsbaarheden die kunnen leiden tot gegevenslekken en code-injecties.

Bron 1

De recente ontdekking van de React2Shell-kwetsbaarheid (CVE-2025-55182) heeft wereldwijd grote gevolgen, met meer dan 77.000 kwetsbare IP-adressen, waaronder 527 in Nederland en 41 in België. Deze kwetsbaarheid bevindt zich in React Server Components en stelt aanvallers in staat om via een eenvoudig HTTP-verzoek ongeauthenticeerde code uit te voeren op kwetsbare servers. De aanvallers kunnen toegang krijgen tot systemen zonder dat gebruikersinvoer vereist is, wat ernstige risico’s met zich meebrengt voor de getroffen organisaties.

Onderzoekers hebben inmiddels bevestigd dat de kwetsbaarheid al actief wordt misbruikt, met aanvallen op meer dan 30 organisaties wereldwijd. Deze aanvallen richten zich met name op servers die React of Next.js gebruiken. In Nederland en België zijn ook verscheidene bedrijven die gebruik maken van deze frameworks, waardoor zij blootstaan aan potentiële aanvallen.

De aanvallers maken gebruik van geautomatiseerde scanningtools om kwetsbare servers te identificeren, waarna ze eenvoudige PowerShell-commando’s uitvoeren om de kwetsbaarheid te verifiëren. Na bevestiging van de kwetsbaarheid kunnen ze verdere kwaadaardige scripts downloaden, zoals Cobalt Strike, die hen toegang geeft tot interne netwerken.

Met de snelle ontdekking van de kwetsbaarheid zijn bedrijven wereldwijd in actie gekomen om de patch toe te passen en zo de risico’s te verkleinen. Cloudflare heeft al noodmaatregelen getroffen om de dreiging af te wenden, en ook de CISA (Cybersecurity and Infrastructure Security Agency) heeft de kwetsbaarheid opgenomen in de lijst van geëxploiteerde kwetsbaarheden, met een deadline voor federale instanties om voor 26 december 2025 maatregelen te nemen.

Aangezien de exploitatie van de React2Shell-kwetsbaarheid snel toeneemt, wordt bedrijven in Nederland en België dringend geadviseerd om hun systemen te controleren, de benodigde updates door te voeren en te zorgen voor een strikte monitoring van verdachte activiteiten op hun netwerken.

Bron 1, 2, 3

De meest recente analyse van de trending kwetsbaarheden (CVE's) op sociale media toont een aanhoudende aandacht voor kritieke beveiligingsproblemen in populaire technologieën. De mate van aandacht voor een specifieke kwetsbaarheid wordt gemeten via een 'hype-score', een cijfer tussen 0 en 100 dat de prevalentie van discussie over de kwetsbaarheid in openbare bronnen weerspiegelt. Een hogere score duidt op een grotere urgentie of ernst van de dreiging.

In de afgelopen 24 uur hebben twee kwetsbaarheden in het bijzonder de meeste aandacht getrokken, beide met betrekking tot ongeauthenticeerde remote code execution (RCE) via aangepaste HTTP-aanvragen. CVE-2025-55182, met een hype-score van 74, betreft een kritiek probleem in specifieke versies van React Server Components (RSC). Kort daarop volgt CVE-2025-66478 (hype-score 58), die Next.js-applicaties treft die de App Router gebruiken. Voor beide kwetsbaarheden zijn reeds patches beschikbaar.

Andere trending kwetsbaarheden omvatten diverse RCE- en buffer overflow-problemen. CVE-2025-12762 (hype-score 19), gepubliceerd in november, maakt RCE mogelijk in pgAdmin tijdens het herstel van dumpbestanden in PLAIN-formaat. Eerder in het jaar, in september, werd een out-of-bounds write-kwetsbaarheid in WatchGuard Fireware OS, CVE-2025-9242 (hype-score 12), gemeld, die bij specifieke configuraties RCE door externe aanvallers toestaat.

Kwetsbaarheden in het compressieprogramma WinRAR blijven ook onder de aandacht. CVE-2025-8088 (hype-score 8) werd reeds misbruikt in phishingaanvallen om RomCom-malware te verspreiden en maakte willekeurige code-uitvoering mogelijk via kwaadaardige archiefbestanden. Ook CVE-2025-6218 (hype-score 8) betreft een WinRAR directory traversal RCE-probleem, waarvoor gebruikers een kwaadaardig bestand moeten openen.

Recentere ontdekkingen omvatten CVE-2025-66516 (hype-score 6), een XXE-injectie in Apache Tika die via een aangepast XFA-bestand in een PDF toegang tot gevoelige serverdata kan verschaffen. Daarnaast is er CVE-2025-66624 (hype-score 6) in de BACnet Protocol Stack-bibliotheek, wat een crash kan veroorzaken zonder gebruikersinteractie of privileges. Ten slotte is er CVE-2025-26858 (hype-score 4), een buffer overflow-kwetsbaarheid in Modbus TCP-functionaliteit van de Socomec DIRIS Digiware M-70, wat kan leiden tot een denial of service door ongeauthenticeerde pakketten.

Overzicht

Er is actieve misbruik gemeld van een kwetsbaarheid in de SSL VPN-gateways van Array Networks. Dit wordt bevestigd door het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA), dat recent waarschuwde voor de risico’s die voortkomen uit deze kwetsbaarheid (CVE-2025-66644). De kwetsbaarheid bevindt zich in de "DesktopDirect" functie van de gateway, die organisaties in staat stelt om VPN-verbindingen te realiseren voor medewerkers, zodat zij toegang hebben tot interne systemen en applicaties.

De kwetsbaarheid maakt het mogelijk voor aanvallers om commando’s uit te voeren op de gateway, waardoor zij een webshell kunnen installeren. Dit geeft hen de mogelijkheid om langdurig toegang te verkrijgen tot de systemen van de getroffen organisatie en verder kwaad te verrichten. De aanvallers kunnen hierdoor niet alleen gegevens stelen, maar ook andere malwares of aanvallen lanceren.

Array Networks bracht in mei 2025 een beveiligingsupdate uit voor dit probleem, maar aanvallers maken al sinds augustus misbruik van de kwetsbaarheid. Dit werd voor het eerst opgemerkt door het Japanse Computer Emergency Response Team Coordination Center (JPCERT/CC), dat samen met CISA in december 2025 opnieuw waarschuwde voor de kwetsbaarheid. Het is een vervolg op eerdere incidenten waarbij andere kwetsbaarheden in dezelfde SSL VPN-gateways werden uitgebuit.

De kwetsbaarheid benadrukt het belang van tijdige updates en patching voor IT-systemen die kritieke toegang bieden tot bedrijfsnetwerken. Het is van cruciaal belang dat organisaties die gebruik maken van deze VPN-gateways de nieuwste beveiligingspatches toepassen om verdere aanvallen te voorkomen.

Bron 1

Microsoft heeft tijdens de patchdinsdag van december een ernstige kwetsbaarheid verholpen die actief werd aangevallen in alle ondersteunde versies van Windows. Het beveiligingslek, aangeduid als CVE-2025-62221, bevindt zich in de Windows Cloud Files Mini Filter Driver. Dit lek stelt aanvallers die al toegang hebben tot een systeem in staat om SYSTEM-rechten te verkrijgen, wat hen volledige controle over het systeem kan geven.

De kwetsbaarheid werd door Microsoft zelf ontdekt, maar het bedrijf heeft geen verdere details gedeeld over de specifieke aanvallen, zoals wie de doelwitten waren of hoe het lek precies werd misbruikt. Dergelijke kwetsbaarheden worden vaak gecombineerd met andere beveiligingslekken, zoals die welke remote code execution mogelijk maken, wat de impact van het lek aanzienlijk vergroot.

Microsoft heeft aangegeven dat de beveiligingsupdate voor CVE-2025-62221 automatisch op de meeste systemen zal worden geïnstalleerd. De update moet ervoor zorgen dat de kwetsbaarheid niet verder kan worden misbruikt door aanvallers. Hoewel er geen gedetailleerde informatie is verstrekt over de omvang van de aanvallen, is het van belang dat gebruikers de update zo snel mogelijk toepassen om mogelijke risico's te mitigeren.

Bron 1

Microsoft heeft een kwetsbaarheid in Outlook bekendgemaakt die het mogelijk maakt voor aanvallers om op afstand code uit te voeren op het systeem van een slachtoffer, simpelweg door een malafide e-mail te beantwoorden. De kwetsbaarheid, aangeduid als CVE-2025-62562, werd aanvankelijk als kritiek bestempeld, maar is door Microsoft herzien naar "important". De aanval wordt mogelijk wanneer een aanvaller een kwaadaardige e-mail verstuurt en het slachtoffer deze beantwoordt. Dit kan leiden tot een "Use after free" fout, die de uitvoering van code op het systeem mogelijk maakt. Microsoft schat de impact van deze kwetsbaarheid op een score van 7.8 op een schaal van 10, hoewel ze aangeven dat misbruik onwaarschijnlijk wordt geacht.

Daarnaast zijn er twee andere kwetsbaarheden in Microsoft Office ontdekt, aangeduid als CVE-2025-62554 en CVE-2025-62557, die ook kunnen leiden tot remote code execution. Deze kwetsbaarheden kunnen misbruikt worden via het Voorbeeldvenster (Preview Pane) in e-mailclients, waarbij de gebruiker de e-mail niet hoeft te openen of op een link hoeft te klikken om de aanval uit te voeren. De impact van deze kwetsbaarheden wordt beoordeeld met een score van 8.4. Microsoft stelt echter dat het misbruik van deze kwetsbaarheden minder waarschijnlijk is.

Voor gebruikers van Office LTSC voor Mac 2021 en 2024 zijn er nog geen beveiligingsupdates beschikbaar, maar Microsoft heeft aangegeven dat deze updates in de toekomst zullen worden uitgebracht, hoewel het niet duidelijk is wanneer precies. De meeste systemen zullen de beveiligingsupdates automatisch ontvangen. Dit is de elfde maand op rij dat een kritieke kwetsbaarheid in Office wordt gerapporteerd, waarbij het Voorbeeldvenster als aanvalsvector wordt gebruikt.

Bron 1

Fortinet heeft een waarschuwing uitgegeven over twee kritieke kwetsbaarheden in verschillende van haar producten. Deze kwetsbaarheden, aangeduid als CVE-2025-59718 en CVE-2025-59719, stellen aanvallers in staat de authenticatie te omzeilen en ongeautoriseerde toegang te krijgen tot systemen. De kwetsbaarheden bevinden zich in onder andere FortiOS, FortiProxy, FortiSwitchManager en FortiWeb.

Het probleem ontstaat door een fout in de cryptografische handtekeningcontrole tijdens het gebruik van de FortiCloud SSO-login. Hierdoor kan een aanvaller, door middel van speciaal voorbereide SAML-berichten, de FortiCloud SSO-login authenticatie omzeilen, mits deze functie is ingeschakeld op het systeem. De FortiCloud SSO-login maakt het gebruikers mogelijk met één set inloggegevens toegang te krijgen tot verschillende Fortinet-producten.

De kwetsbaarheden hebben een hoge impactscore van 9.1 op de schaal van 1 tot 10. Ze stellen aanvallers in staat om via diverse technieken toegang te krijgen, zoals het omzeilen van de FortiCloud SSO-login, het behouden van actieve SSLVPN-sessies na een wachtwoordwijziging, en het uitvoeren van ongeautoriseerde handelingen via vervalste HTTP- of HTTPS-verzoeken. Dit kan leiden tot toegang tot gevoelige API-gegevens en andere netwerkbronnen.

Fortinet heeft beveiligingsupdates beschikbaar gesteld om deze kwetsbaarheden te verhelpen. In de tussentijd adviseert het bedrijf organisaties de FortiCloud-loginfunctie uit te schakelen totdat de updates geïnstalleerd zijn. Het Nationaal Cyber Security Centrum (NCSC) heeft ook gewaarschuwd voor de gevaren van deze kwetsbaarheden.

Bron 1

Ivanti heeft een beveiligingsupdate uitgebracht voor een ernstige kwetsbaarheid in zijn Endpoint Manager (EPM) software, specifiek voor een cross-site scripting (XSS) lek dat ongeauthenticeerde aanvallers in staat stelt om willekeurige JavaScript-code uit te voeren in de sessie van een ingelogde administrator. Het probleem, dat is aangeduid als CVE-2025-10573, heeft een CVSS-score van 9.6, wat het als zeer kritisch plaatst.

Ivanti Endpoint Manager wordt gebruikt door organisaties om apparaten zoals laptops, smartphones en servers centraal te beheren. De software communiceert via een server met agents op beheerde clients. Het lek kan misbruikt worden als een aanvaller toegang krijgt tot een EPM-server of administrator-account, wat ernstige gevolgen kan hebben voor de betrokken organisatie. Dit is niet de eerste keer dat Ivanti EPM doelwit is van aanvallen, waarbij kwetsbaarheden in het verleden misbruikt werden voordat er updates beschikbaar waren.

De kwetsbaarheid kan door een aanvaller worden misbruikt via een speciaal geprepareerde 'device scan' die wordt verstuurd naar de EPM-API. Deze scan bevat de kwaadaardige XSS-code die automatisch wordt verwerkt door het systeem en uitgevoerd wordt in het dashboard van een ingelogde administrator wanneer deze de apparaatinformatie bekijkt. De kwetsbaarheid vereist interactie van de gebruiker, maar er zijn geen meldingen dat de kwetsbaarheid op dit moment actief wordt misbruikt.

De kwetsbaarheid werd ontdekt door het beveiligingsbedrijf Rapid7, dat meer technische details over het probleem heeft verstrekt. Hoewel Ivanti heeft aangegeven dat er geen aanwijzingen zijn voor actief misbruik, wordt het dringend aangeraden om de update snel toe te passen om potentiële risico’s te mitigeren.

Bron 1, 2, 3, 4

Microsoft heeft aangekondigd dat Windows PowerShell nu een waarschuwing toont wanneer gebruikers scripts uitvoeren die de Invoke-WebRequest cmdlet gebruiken om webinhoud te downloaden. Dit is bedoeld om de uitvoering van mogelijk riskante code te voorkomen. De wijziging is specifiek gericht op een ernstige kwetsbaarheid in PowerShell voor remote code execution (RCE), aangeduid als CVE-2025-54100, die vooral IT-omgevingen en bedrijven treft die PowerShell-scripts voor automatisering gebruiken. Dit type script wordt minder vaak buiten dergelijke omgevingen toegepast.

De waarschuwing is toegevoegd aan PowerShell 5.1, de standaardversie die is geïnstalleerd op Windows 10 en Windows 11 systemen. Deze versie zal nu een beveiligingsprompt weergeven wanneer de Invoke-WebRequest cmdlet wordt gebruikt zonder speciale parameters. De waarschuwing informeert gebruikers dat scripts die in webpagina’s zijn ingebed, mogelijk worden uitgevoerd tijdens het parseren van de pagina. Gebruikers krijgen de optie om door te gaan of de operatie te annuleren. Als men kiest voor 'Ja', wordt de pagina geparsed met de oude methode, die volledige HTML-parsing mogelijk maakt, waardoor de inhoud en ingebedde scripts kunnen worden geladen zoals voorheen. Het kiezen van 'Nee' stopt de actie en voorkomt dat risicovolle code wordt uitgevoerd.

Deze wijziging is een directe reactie op de kwetsbaarheid die kan leiden tot het ongewild uitvoeren van code via ingevoegde scripts in webinhoud. PowerShell 5.1 biedt nu een veiliger alternatief door gebruikers aan te raden de parameter -UseBasicParsing te gebruiken voor een veiligere verwerking van webinhoud. IT-beheerders worden aangespoord om hun scripts bij te werken om deze nieuwe parameter expliciet te gebruiken om vertragingen door handmatige bevestigingen te voorkomen. Dit geldt ook voor de 'curl' opdracht in PowerShell, die als alias fungeert voor de Invoke-WebRequest cmdlet.

Hoewel deze wijziging de meeste bestaande PowerShell-scripts niet zou moeten beïnvloeden, moeten gebruikers zich ervan bewust zijn dat het downloaden van webinhoud zonder de juiste voorzorgsmaatregelen kan leiden tot ongewenste code-uitvoering, wat risico’s met zich meebrengt.

Bron 1, 2, 3, 4, 5

SAP heeft zijn beveiligingsupdate voor december 2025 uitgebracht, waarin het 14 kwetsbaarheden in verschillende producten heeft aangepakt, waaronder drie kritieke kwetsbaarheden. De meest ernstige kwetsbaarheid (CVSS-score: 9,9) betreft CVE-2025-42880, een code-injectieprobleem in SAP Solution Manager ST 720. Door een gebrek aan inputvalidatie kunnen aanvallers kwaadaardige code invoeren bij het aanroepen van een remote-enabled function module. Dit kan de aanvaller volledige controle over het systeem geven, wat leidt tot aanzienlijke gevolgen voor de vertrouwelijkheid, integriteit en beschikbaarheid van het systeem.

SAP Solution Manager is een platform voor levenscyclusbeheer en monitoring dat door bedrijven wordt gebruikt voor systeemmonitoring, technische configuratie, incidentbeheer, servicedesk, documentatie en testbeheer. Het tweede ernstige probleem betreft meerdere kwetsbaarheden in Apache Tomcat, die van invloed zijn op de SAP Commerce Cloud-componenten in versies HY_COM 2205, COM_CLOUD 2211 en COM_CLOUD 2211-JDK21. Deze kwetsbaarheden zijn gemarkeerd onder het identificatienummer CVE-2025-55754, met een CVSS-waarde van 9,6. SAP Commerce Cloud is een platform voor e-commerce, vooral gebruikt door grote retailers en wereldmerken.

De derde kritieke kwetsbaarheid (CVSS-score: 9,1) is CVE-2025-42928, een deserialisatiekwetsbaarheid in SAP jConnect. Onder bepaalde omstandigheden kan een hoogprivilege gebruiker via speciaal samengestelde invoer op afstand code-executie uitvoeren op het doel. SAP jConnect is een JDBC-driver die door ontwikkelaars en databasebeheerders wordt gebruikt om Java-applicaties met SAP ASE en SAP SQL Anywhere-databases te verbinden.

Naast de drie kritieke kwetsbaarheden heeft SAP ook vijf kwetsbaarheden met een hoge ernst en zes met een gemiddelde ernst opgelost. Deze omvatten geheugenbeschadiging, ontbrekende authenticatie- en autorisatiecontroles, cross-site scripting en informatie openbaarmaking. Hoewel geen van de 14 kwetsbaarheden als actief in het wild misbruikt wordt gemeld, wordt het sterk aanbevolen om de updates zo snel mogelijk te implementeren, aangezien SAP-oplossingen vaak worden gebruikt voor het beheren van gevoelige en waardevolle bedrijfsomgevingen.

Bron 1

Onderzoekers hebben een kwetsbaarheid ontdekt in het .NET Framework, die aanvallers in staat stelt om bestandsschrijvingen en remote code execution (RCE) uit te voeren in verschillende bedrijfsapplicaties. De kwetsbaarheid, aangeduid als SOAPwn, heeft te maken met de manier waarop .NET omgaat met Web Services Description Language (WSDL) en Simple Object Access Protocol (SOAP) berichten. Deze kwetsbaarheid heeft invloed op applicaties zoals Barracuda Service Center RMM, Ivanti Endpoint Manager (EPM) en Umbraco 8, hoewel het aantal getroffen producten waarschijnlijk groter is door het wijdverspreide gebruik van .NET.

De kwetsbaarheid wordt mogelijk gemaakt door fouten in de manier waarop de .NET Framework HTTP client-proxies SOAP-berichten afhandelen. Aanvallers kunnen WSDL-bestanden manipuleren en deze via HTTP-clientproxies gebruiken om onbedoelde bestandsschrijvingen uit te voeren. Dit kan leiden tot de uitvoering van willekeurige code, vooral wanneer een aanvaller toegang heeft tot het bestandssysteem van de getroffen applicatie. Het is mogelijk om via een netwerkpad zoals "file://attacker.server/poc/poc" een bestand naar een server van de aanvaller te schrijven, wat het voor de aanvaller mogelijk maakt om toegang te krijgen tot het netwerk en verdere aanvallen uit te voeren.

Bovendien ontdekte het onderzoek een krachtiger exploitatiepad in applicaties die HTTP client-proxies genereren vanuit WSDL-bestanden. In dit scenario kan een aanvaller via een gemanipuleerd WSDL-bestand, dat via een kwetsbare applicatie wordt geladen, remote code execution verkrijgen door het plaatsen van een werkende ASPX-webshell of een ander kwaadaardig script zoals een PowerShell-script.

Microsoft heeft geweigerd de kwetsbaarheid direct te verhelpen, met het argument dat het probleem te maken heeft met applicatiegedrag en niet met het framework zelf. Het bedrijf heeft aangegeven dat gebruikers geen onbetrouwbare invoer zouden moeten accepteren die code kan genereren en uitvoeren. De kwetsbaarheid is inmiddels opgelost in Barracuda Service Center RMM versie 2025.1.1 en Ivanti EPM versie 2024 SU4 SR1. Het probleem in Umbraco 8 blijft echter bestaan, aangezien de ondersteuning voor deze versie is beëindigd.

Deze kwetsbaarheid benadrukt hoe normaal gedrag binnen een veelgebruikte technologie kan worden uitgebuit, wat leidt tot ernstige beveiligingsproblemen zoals NTLM-relaying en ongewilde bestandsschrijvingen. Het probleem heeft al geleid tot hoge CVSS-scores voor de getroffen producten, wat de ernst van deze kwetsbaarheid aangeeft.

Bron 1, 2, 3, 4

Notepad++ heeft versie 8.8.9 van zijn teksteditor uitgebracht om een kwetsbaarheid in zijn WinGUp-updatehulpmiddel te verhelpen. Onderzoekers en gebruikers meldden incidenten waarbij het updateprogramma schadelijke uitvoerbare bestanden in plaats van de legitieme updatebestanden ophaalde. Dit probleem werd voor het eerst opgemerkt op een Notepad++-communityforum, waar een gebruiker meldde dat het updateprogramma, GUP.exe (WinGUp), een onbekend bestand genaamd "%Temp%\AutoUpdater.exe" had gestart. Dit bestand voer verschillende opdrachten uit om systeeminformatie te verzamelen.

De malware in het bestand voerde commando’s uit om systeeminformatie te verkrijgen en deze gegevens op te slaan in een bestand genaamd 'a.txt'. Vervolgens gebruikte de malware het commando curl.exe om dit bestand naar een externe site, temp[.]sh, te exfiltreren. Dit site werd eerder geassocieerd met malwarecampagnes.

Na de meldingen van de aanvallen kwam het vermoeden naar boven dat de updatekanalen van Notepad++ mogelijk waren gemanipuleerd. Om dit probleem te mitigeren, bracht Notepad++ op 18 november versie 8.8.8 uit, die ervoor zorgde dat updates alleen nog via GitHub konden worden gedownload. De echte oplossing kwam echter op 9 december 2025, toen versie 8.8.9 werd uitgerold. Deze versie voorkomt nu dat updates die niet zijn ondertekend met het officiële certificaat van de ontwikkelaar, worden geïnstalleerd. Dit zorgt ervoor dat de updatebestanden gecontroleerd worden op geldige handtekeningen en certificaten. Als deze controle mislukt, wordt de update afgebroken.

In de afgelopen maand waarschuwde beveiligingsexpert Kevin Beaumont voor incidenten bij drie organisaties waarbij Notepad++-processen mogelijk het pad voor aanvallers naar toegang tot systemen hadden geopend. Volgens Beaumont werd dit bereikt door malafide versies van Notepad++ te distribueren via bijvoorbeeld advertenties, en zouden deze versies mogelijk ook schadelijke updates hebben geïnstalleerd via het automatische updateproces.

Notepad++ heeft inmiddels aangegeven dat de veiligheid van de software is verbeterd. Alle officiële versies van Notepad++ zijn nu ondertekend met een geldig certificaat, en gebruikers wordt aangeraden om de nieuwste versie, 8.8.9, te installeren. Er wordt ook aangegeven dat het onderzoek naar de exacte manier van verkeerskapingen nog gaande is.

Bron 1, 2

De Cybersecurity and Infrastructure Security Agency (CISA) heeft onlangs een ernstig beveiligingslek in GeoServer toegevoegd aan haar Keurig Exploited Vulnerabilities (KEV) catalogus. De kwetsbaarheid, met de identificatie CVE-2025-58360, is een onbeveiligde XML External Entity (XXE)-fout die affectie vertoont in alle versies van GeoServer vóór en inclusief versie 2.25.5, en van versie 2.26.0 tot 2.26.1. Dit probleem is opgelost in de versies 2.25.6, 2.26.2, 2.27.0, 2.28.0 en 2.28.1 van GeoServer. De kwetsbaarheid heeft een CVSS-score van 8.2 en werd ontdekt door het AI-gedreven platform XBOW, dat heeft bijgedragen aan het rapporteren van het probleem.

Deze kwetsbaarheid wordt veroorzaakt door een onjuiste beperking van XML externe entiteitsreferenties wanneer het systeem XML-invoer accepteert via een specifieke endpoint operatie (/geoserver/wms), waardoor een aanvaller in staat zou kunnen zijn om externe entiteiten binnen de XML-aanvraag te definiëren. Dit maakt de software kwetsbaar voor aanvallen die toegang kunnen verschaffen tot willekeurige bestanden op de serversystemen, server-side request forgery (SSRF) mogelijk maken, of een denial-of-service (DoS)-aanval kunnen uitvoeren door het uitputten van systeembronnen.

Hoewel er momenteel geen gedetailleerde informatie beschikbaar is over hoe deze kwetsbaarheid actief wordt misbruikt, is er bevestiging van het Canadese Cyber Security Centre dat er exploitatie van deze kwetsbaarheid in het wild plaatsvindt. Aangezien de kwetsbaarheid al een aantal maanden bekend is, worden overheidsinstanties in de Verenigde Staten geadviseerd om snel de nodige patches door te voeren om hun netwerken te beveiligen.

Deze kwetsbaarheid voegt zich bij een andere kritieke kwetsbaarheid in GeoServer (CVE-2024-36401) die eerder dit jaar werd uitgebuit door verschillende dreigingsactoren. Gebruikers van GeoServer worden dringend geadviseerd de beveiligingsupdates zo snel mogelijk toe te passen om hun systemen te beschermen tegen mogelijke aanvallen.

Bron 1

React heeft recentelijk beveiligingsupdates uitgebracht voor drie ernstige kwetsbaarheden in React Server Components (RSC), die kunnen leiden tot Denial-of-Service (DoS) aanvallen en het onbedoeld blootstellen van broncode. De kwetsbaarheden werden ontdekt door de beveiligingsgemeenschap, terwijl men probeerde de patches te testen die eerder waren uitgebracht voor de kritieke bug CVE-2025-55182, die inmiddels in het wild wordt misbruikt.

De drie kwetsbaarheden zijn als volgt:

CVE-2025-55184 (CVSS score: 7.5): Deze kwetsbaarheid leidt tot een DoS-aanval door onveilige deserialisatie van payloads in HTTP-verzoeken naar Server Function endpoints. Dit veroorzaakt een oneindige lus die de server vastzet, wat verhindert dat toekomstige HTTP-verzoeken worden verwerkt.

CVE-2025-67779 (CVSS score: 7.5): Dit is een onvolledige oplossing voor CVE-2025-55184, met dezelfde impact op de server.

CVE-2025-55183 (CVSS score: 5.3): Deze informatielek-kwetsbaarheid kan worden misbruikt door een speciaal vervaardigd HTTP-verzoek naar een kwetsbare Server Function, waardoor de broncode van de serverfunctie wordt blootgesteld. Exploitatie van deze kwetsbaarheid vereist dat een argument expliciet of impliciet wordt omgezet naar een stringformaat.

De kwetsbaarheden treffen de volgende versies van react-server-dom-parcel, react-server-dom-turbopack en react-server-dom-webpack:

CVE-2025-55184 en CVE-2025-55183: Versies 19.0.0, 19.0.1, 19.1.0, 19.1.1, 19.1.2, 19.2.0, 19.2.1
CVE-2025-67779: Versies 19.0.2, 19.1.3, 19.2.2
Beveiligingsonderzoekers RyotaK en Shinsaku Nomura werden erkend voor het melden van de DoS-kwetsbaarheden, terwijl Andrew MacPherson werd bedankt voor het melden van de broncode-expositie. Gebruikers wordt geadviseerd om zo snel mogelijk bij te werken naar versies 19.0.3, 19.1.4 en 19.2.3, gezien de actieve exploitatie van CVE-2025-55182.

De React-ontwikkelaars benadrukken dat het normaal is om aanvullende kwetsbaarheden te ontdekken wanneer een kritieke kwetsbaarheid wordt gepubliceerd. Dit weerspiegelt een gezonde reactiecyclus, waarin onderzoekers het aangrenzende codepad onderzoeken om te zien of er nieuwe manieren zijn om de aanvankelijke mitigatie te omzeilen.

Bron 1

Op 12 december 2025 heeft het Nationaal Cyber Security Centrum (NCSC) melding gemaakt van een kwetsbaarheid in de populaire teksteditor Notepad++, waarmee kwaadwillende actoren mogelijk malafide updates naar gebruikers kunnen pushen. De kwetsbaarheid is specifiek verbonden met de updatefunctie van de software, genaamd GUP / WinGUP, die het mogelijk maakt om verkeer tussen de gebruiker en de Notepad++ update-server te onderscheppen en aan te passen. Dit maakt het mogelijk kwaadaardige updates te injecteren als gebruikers niet op de hoogte zijn van de wijziging.

Volgens de informatie die is gedeeld door het NCSC, zijn voor zover bekend uitsluitend organisaties met belangen in Oost-Azië getroffen door gerichte aanvallen die misbruik maken van deze kwetsbaarheid. Er zijn momenteel geen aanwijzingen dat deze kwetsbaarheid actief misbruikt wordt binnen Nederland. De aanvallen zouden specifiek gericht zijn op een beperkt aantal doelwitten, gezien de vereiste toegang en kennis die nodig zijn om het verkeer succesvol te onderscheppen.

De kwetsbaarheid werd oorspronkelijk ontdekt door beveiligingsonderzoeker Kevin Beaumont, die op 2 december 2025 een blogpost publiceerde waarin hij melding maakte van aanvallen die sinds begin oktober hadden plaatsgevonden. De misbruiken zijn zeldzaam, voornamelijk vanwege de complexe vereisten voor het misbruik ervan. Dit suggereert dat het risico op bredere schade beperkt is, hoewel het gevaar niet volledig uitgesloten kan worden.

Om de risico's te beperken, heeft Notepad++ enkele belangrijke beveiligingsmaatregelen doorgevoerd in de laatste updates. De versie 8.8.8 van november 2025 introduceerde al een wijziging waarbij updatebestanden uitsluitend afkomstig moeten zijn van een officiële Github-pagina. Bovendien werd in versie 8.8.9 van 9 december het gebruik van een nieuw certificaat geïmplementeerd en wordt de handtekening van het gedownloade updatebestand nu gecontroleerd. Deze updates moeten ervoor zorgen dat malafide bestanden niet zomaar geaccepteerd kunnen worden, zelfs als er een poging wordt gedaan om de communicatie te manipuleren.

Voor gebruikers en organisaties die gebruikmaken van Notepad++, wordt geadviseerd om de software bij te werken naar de laatste versie (v.8.8.9) om het risico op misbruik te minimaliseren. Gebruikers die twijfels hebben over mogelijke eerdere compromittering van hun systemen, kunnen controleren of er ongebruikelijke netwerkverbindingen zijn of verdachte processen draaien die niet typisch zijn voor de reguliere werking van de software. Het NCSC heeft richtlijnen verstrekt voor het controleren van verdachte activiteiten, zoals het verifiëren van netwerkverbindingen en het controleren van ongebruikelijke bestanden in de TEMP-map.

Op dit moment wordt het NCSC geen aanwijzingen aangereikt dat er in Nederland misbruik van deze kwetsbaarheid heeft plaatsgevonden. Organisaties die vermoeden dat zij getroffen zijn, worden aangespoord om contact op te nemen met het NCSC voor verdere ondersteuning.

Bron 1

De Cybersecurity and Infrastructure Security Agency (CISA) heeft Amerikaanse federale overheidsinstanties opgedragen een kritieke kwetsbaarheid in GeoServer te patchen. De kwetsbaarheid, bekend als CVE-2025-58360, wordt momenteel actief geëxploiteerd in aanvallen waarbij gebruik wordt gemaakt van XML External Entity (XXE)-injecties. Deze kwetsbaarheid bevindt zich in GeoServer 2.26.1 en eerdere versies, een open-source server voor het delen van geografische data via het internet. Bij een XXE-aanval wordt een XML-invoer die een verwijzing naar een externe entiteit bevat, verwerkt door een zwak geconfigureerde XML-parser. Hierdoor kunnen aanvallers denial-of-service-aanvallen uitvoeren, vertrouwelijke data benaderen of Server-Side Request Forgery (SSRF)-aanvallen uitvoeren, waarmee zij in staat zijn interne systemen aan te vallen.

De kwetsbaarheid is ernstig, aangezien het aanvallers in staat stelt willekeurige bestanden van kwetsbare servers te halen. CISA heeft GeoServer opgenomen in haar Known Exploited Vulnerabilities (KEV)-catalogus, wat aangeeft dat de kwetsbaarheid actief wordt benut in cyberaanvallen. CISA heeft federale civiele uitvoeringsinstanties, zoals het ministerie van Energie en het ministerie van Volksgezondheid en Human Services, opgedragen om de kwetsbaarheid vóór 1 januari 2026 te patchen, conform de Binding Operational Directive (BOD) 22-01 uit november 2021. Deze richtlijn verplicht federale agentschappen om kwetsbaarheden in de KEV-catalogus snel aan te pakken.

Hoewel de richtlijn alleen van toepassing is op federale agentschappen, dringt CISA er bij andere netwerkaannemers op aan om de kwetsbaarheid eveneens met prioriteit te patchen. CISA waarschuwt dat dergelijke kwetsbaarheden frequente aanvalsvectoren zijn voor kwaadwillende actoren en aanzienlijke risico’s voor de nationale veiligheid kunnen vormen.

Dit is niet de eerste keer dat GeoServer kwetsbaarheden worden geëxploiteerd. In 2024 leidde een andere kwetsbaarheid in GeoServer (CVE-2024-36401) tot een inbraak bij een niet nader genoemde Amerikaanse overheidsinstantie. CISA benadrukt het belang van het snel aanbrengen van mitigaties en het volgen van de instructies van de leverancier voor cloudservices om dergelijke aanvallen te voorkomen.

Bron B/NL

Een nieuwe zero-day kwetsbaarheid in de Windows Remote Access Connection Manager (RasMan) service is ontdekt, die aanvallers in staat stelt de RasMan-service te laten crashen. RasMan is een belangrijk systeemonderdeel van Windows dat automatisch wordt gestart, op de achtergrond draait met SYSTEM-rechten en verantwoordelijk is voor het beheren van VPN-verbindingen, Point-to-Point Protocol over Ethernet (PPoE) en andere netwerkverbindingen op afstand. Deze kwetsbaarheid kan leiden tot een denial-of-service (DoS), waardoor de dienst niet beschikbaar wordt voor gebruikers.

De kwetsbaarheid werd ontdekt door ACROS Security, het bedrijf achter de 0patch micropatching-platform. Het werd gevonden tijdens het onderzoek naar een eerdere kwetsbaarheid, CVE-2025-59230, die betrekking had op privilege escalation in RasMan en werd opgelost in oktober 2025. De nieuwe DoS-zero-day is echter nog niet gepatcht door Microsoft en heeft geen officiële CVE-ID gekregen. De kwetsbaarheid is aanwezig in alle versies van Windows, van Windows 7 tot en met Windows 11, en ook in Windows Server-versies van 2008 R2 tot 2025.

De kwetsbaarheid wordt veroorzaakt door een fout in de manier waarop RasMan circulaire gekoppelde lijsten verwerkt. Wanneer de service een null-pointer tegenkomt tijdens het doorlopen van deze lijsten, probeert het systeem geheugen te lezen van een niet-bestaand adres, wat leidt tot een crash van de dienst. Het probleem is significant omdat onbevoegde gebruikers hierdoor de RasMan-service kunnen laten crashen, wat aanvallers de mogelijkheid biedt om de service te misbruiken voor privilege escalation-aanvallen.

ACROS Security biedt tijdelijk gratis, niet-officiële micropatches aan via hun 0Patch-service voor alle getroffen Windows-versies. Deze micropatches kunnen eenvoudig worden geïnstalleerd door de 0Patch-agent te downloaden, die automatisch de patches toepast zonder dat een herstart nodig is, tenzij een aangepaste patching-beleid dit blokkeert. Het bedrijf heeft Microsoft al op de hoogte gesteld van het probleem, en het wordt verwacht dat Microsoft in de toekomst een officiële patch zal uitbrengen voor de nog ondersteunde versies van Windows.

Op dit moment is er geen bevestiging van Microsoft over de beschikbaarheid van een fix voor de kwetsbaarheid. De waarschuwing blijft van kracht voor alle versies van Windows waarop de RasMan-service draait, en gebruikers wordt geadviseerd om de tijdelijke micropatches te overwegen totdat een officiële oplossing wordt aangeboden.

Bron 1