Kwetsbaarheden en CVE’s voor Nederland en België

Hackers richten zich actief op WordPress websites die kwetsbare versies van de WP Maps Pro plugin gebruiken. Een kritieke kwetsbaarheid, aangeduid als CVE-2026-8732, stelt aanvallers in staat om zonder authenticatie malafide beheerdersaccounts aan te maken. Deze kwetsbaarheid is aanwezig in WP Maps Pro versies 6.1.0 en ouder.

De kwetsbaarheid werd ontdekt en gerapporteerd door securityonderzoeker David Brown. WP Maps Pro is een premium WordPress plugin die gebruikt wordt voor het bouwen van interactieve en aanpasbare kaarten en locatiezoekers. De plugin ondersteunt diverse kaartproviders, waaronder Google Maps en OpenStreetMap, en wordt veel toegepast door bedrijven, vastgoedwebsites, reiswebsites en organisaties die meerdere locaties op een kaart willen weergeven. Er zijn meer dan 15.800 verkopen geregistreerd op de Envato Markt.

De oorzaak van CVE-2026-8732 ligt in een "tijdelijke toegang"-functie binnen de plugin, die oorspronkelijk bedoeld was om ondersteunend personeel van de leverancier toegang te geven tot klantensites voor probleemoplossing. Brown ontdekte dat het AJAX eindpunt dat voor deze functie werd gebruikt, toegankelijk was voor ongeauthenticeerde gebruikers. De beveiliging hiervan was gebaseerd op een publiek blootgestelde noncecontrole in frontend JavaScript, wat de bescherming ineffectief maakte.

Dit gebrek aan beveiliging maakt het mogelijk om een specifiek geconstrueerd verzoek te versturen. Dit verzoek activeert code die een nieuwe WordPress gebruiker aanmaakt, deze de beheerdersrol toewijst, een inlogpagina zonder wachtwoord genereert en deze naar een extern systeem stuurt. Zodra de aanvaller deze URL bezoekt, wordt deze automatisch geauthenticeerd voor het nieuw aangemaakte beheerdersaccount, zonder dat een wachtwoord of andere verificatie vereist is.

Onderzoekers van het WordPress securitybedrijf Defiant hebben waargenomen dat dreigingsactoren proberen misbruik te maken van deze kwetsbaarheid. Zij hebben in de afgelopen 24 uur meer dan 3.600 pogingen geblokkeerd. Met beheerdersrechten op een website kunnen aanvallers persistente backdoors injecteren, inhoud wijzigen, toegang krijgen tot privégegevens, webshells implementeren, kwaadaardige plugins installeren en de gehele website overnemen.

Volgens de onderzoekers van Wordfence wordt, wanneer het verzoek wordt gedaan met de parameter `check_temp` ingesteld op `false`, een nieuwe WordPress gebruiker aangemaakt via `wp_insert_user()` met de vastgelegde rol van beheerder, een willekeurig gegenereerde gebruikersnaam en het vaste e-mailadres `support@flippercode.com`. Vervolgens genereert de functie een "magic login URL" met `generate_login_link()`, slaat deze op als gebruikersmetadata en retourneert deze in de respons.

Brown rapporteerde de kwetsbaarheid op 24 maart aan Wordfence, waarna de leverancier op 16 mei werd geïnformeerd na validatie van de exploit. Op 20 mei werd WP Maps Pro versie 6.1.1 uitgebracht, die de fix voor CVE-2026-8732 bevat. Websitebeheerders wordt dringend aangeraden hun plugins zo snel mogelijk bij te werken, aangezien kwaadaardige activiteit reeds is waargenomen.

Bron: Wordfence

Google heeft een waarschuwing uitgegeven voor een actief misbruikte kwetsbaarheid in Android telefoons, en heeft hiervoor de benodigde updates beschikbaar gesteld. Naast deze urgentie zijn er ook patches verschenen voor twee andere kritieke beveiligingslekken. Een van deze lekken maakt het mogelijk voor een aanvaller om op afstand de rechten te verhogen, terwijl het andere kan leiden tot een permanente denial of service. Het is echter een zorgwekkende constatering dat een aanzienlijk deel van de Android telefoons deze essentiële updates waarschijnlijk niet zal ontvangen.

De kwetsbaarheid die momenteel actief wordt aangevallen, aangeduid als CVE-2025-48595, bevindt zich in het Android Framework. Dit lek stelt een aanvaller die al toegang heeft tot het apparaat in staat om diens rechten te verhogen. Initiële toegang kan bijvoorbeeld worden verkregen via de installatie van een malafide app door de gebruiker, of door misbruik te maken van een ander beveiligingslek dat remote code execution mogelijk maakt. Google heeft geen verdere details verstrekt over de specifieke methoden die aanvallers gebruiken of de context van de aanvallen waarin dit lek wordt ingezet.

Naast de reeds misbruikte kwetsbaarheid vestigt Google de aandacht op twee andere ernstige Android-lekken. Het meest kritieke probleem is volgens Google CVE-2025-65018. Deze kwetsbaarheid maakt "remote escalation of privilege" mogelijk, wat betekent dat een aanvaller zijn rechten op afstand kan verhogen zonder dat daarvoor aanvullende rechten of interactie van de gebruiker nodig is. Ook hier heeft Google niet nader toegelicht in welke context dit plaatsvindt of wat de precieze gevolgen zijn van deze privilege-escalatie.

Doorgaans worden kwetsbaarheden die leiden tot privilege-escalatie niet als kritiek beoordeeld. Hetzelfde geldt vaak voor lekken die een denial of service (DoS) kunnen veroorzaken. Echter, CVE-2025-64720, een DoS-lek, is door Google wel als kritiek geclassificeerd. Deze beoordeling wordt alleen gebruikt voor beveiligingslekken die een 'permanente denial of service' teweegbrengen, waarbij de enige oplossing het opnieuw installeren van het gehele besturingssysteem of een fabrieksreset is. Verdere specifieke details over dit lek zijn eveneens niet door Google openbaar gemaakt.

De updates die deze kwetsbaarheden verhelpen, resulteren in patchniveaus van '2026-06-01' of '2026-06-05'. Deze patches zijn beschikbaar gesteld voor Android versies 14, 15, 16 en 16-qpr2. Fabrikanten van Android-toestellen zijn ten minste een maand geleden over deze verholpen kwetsbaarheden ingelicht, wat hen de tijd gaf om updates te ontwikkelen. Desondanks zullen niet alle Android-toestellen de updates ontvangen, aangezien sommige modellen niet langer door de fabrikant worden ondersteund of updates op een later tijdstip worden uitgerold. Google maakte recentelijk bekend dat maar liefst 40 procent van de Android telefoons geen updates meer ontvangt, wat een significant risico vormt voor gebruikers.

Bron: source.android.com

Een recent onthulde kwetsbaarheid, bijgehouden als CVE-2026-9739, veroorzaakt groeiende bezorgdheid binnen bedrijfsomgevingen die gebruikmaken van MCP Toolbox. Deze zorg is bijzonder relevant voor systemen die Server-Sent Events (SSE) inzetten voor databaseconnectiviteit. De kwetsbaarheid, die momenteel wacht op NVD-verrijking, stelt aanvallers in staat om een DNS-rebindingzwakte te misbruiken, wat kan leiden tot ongeautoriseerde toegang tot backendsystemen.

Beveiligingsonderzoekers hebben vastgesteld dat het probleem voortkomt uit een verkeerd geconfigureerd cross-origin beleid binnen de SSE-implementatie van MCP Toolbox. Ondanks eerdere inspanningen om strengere origin-controles af te dwingen tijdens de bètafase, bleef een cruciale beveiligingsheader te permissief, waardoor systemen kwetsbaar werden voor aanvallen over verschillende domeinen.

De kwetsbaarheid is geclassificeerd onder CWE-942 (Permissive Cross-domain Policy with Untrusted Domains). Deze ontstaat doordat een hardgecodeerde HTTP-antwoordheader de Access-Control-Allow-Origin instelt op een wildcardwaarde. Deze configuratie staat elk extern domein toe om interactie aan te gaan met het SSE-eindpunt, wat de beoogde origin-beperkingen effectief omzeilt. Hoewel ontwikkelaars beveiligingsvlaggen zoals 'allowed-origins' en 'allowed-hosts' introduceerden, werden deze controles tenietgedaan door het wildcardbeleid. Het probleem treft specifiek omgevingen die MCP Toolbox draaien met SSE ingeschakeld onder de v2024-11-05-specificatie, vooral wanneer enterprise databaseconnectoren via SSE-eindpunten worden blootgesteld.

Aanvallers kunnen DNS-rebindingtechnieken gebruiken om de browser van een slachtoffer te misleiden, zodat deze geauthenticeerde verzoeken naar interne MCP Toolbox-diensten stuurt. Door de permissieve cross-origin resource sharing configuratie staat de browser interactie met deze interne eindpunten toe. Dit stelt de aanvaller uiteindelijk in staat om indirecte toegang te verkrijgen tot enterprise databaseconnectoren. Deze vorm van aanval is bijzonder gevaarlijk in cloud- en hybride omgevingen waar interne diensten toegankelijk zijn via webinterfaces, wat het aanvalsoppervlak aanzienlijk vergroot.

CVE-2026-9739 is gecategoriseerd als een DNS-rebindingkwetsbaarheid veroorzaakt door CORS-misconfiguratie en is gekoppeld aan CWE-942. De getroffen component is de MCP Toolbox SSE-handler en de primaire impact is ongeautoriseerde toegang tot interne diensten. Een CVSS-score is nog niet toegekend, aangezien de NVD-beoordeling nog in behandeling is.

Ontwikkelaars hebben de kwetsbaarheid in recente updates aangepakt door de wildcard origin-header te verwijderen en strikte origin-validatie af te dwingen. Organisaties wordt dringend geadviseerd om MCP Toolbox te upgraden naar de nieuwste gepatchte versie en permissieve CORS-beleidsregels in productieomgevingen te vermijden. Essentiële verdedigingsmaatregelen omvatten het beperken van toegestane origins tot vertrouwde domeinen, het uitschakelen van onnodige SSE-eindpunten en het monitoren van netwerkverkeer op ongewone interne verzoeken. Beveiligingsteams moeten ook hun implementaties controleren om blootgestelde SSE-eindpunten te identificeren en ervoor te zorgen dat de juiste toegangscontrolemechanismen aanwezig zijn. De kwetsbaarheid werd publiekelijk onthuld via GitHub-issue #3053 en opgelost in pullrequest #3054 binnen de officiële MCP Toolbox-repository. Dit incident benadrukt hoe verkeerd geconfigureerde cross-origin beleidsregels in moderne streamingtechnologieën, zoals SSE, kritieke beveiligingsrisico's kunnen introduceren indien deze niet correct beveiligd zijn.

Bron: MCP Toolbox | Bron 2: nvd.nist.gov

Tienduizenden WordPress-websites lopen momenteel gevaar om volledig te worden overgenomen als gevolg van een kritieke kwetsbaarheid in de populaire plug-in Kirki. Hoewel de ontwikkelaars op 18 mei een beveiligingsupdate hebben uitgebracht, hebben veel beheerders deze patch nog niet geïnstalleerd, waardoor hun sites kwetsbaar blijven. Kirki, een 'freeform visual builder' die wordt gebruikt voor het vormgeven en opzetten van WordPress-sites, is actief op meer dan een half miljoen websites.

De kwetsbaarheid, beschreven als een kritieke logicafout, stelt aanvallers in staat om relatief eenvoudig de accounts van beheerders en andere gebruikers over te nemen. Het probleem bevindt zich in de functionaliteit voor het opnieuw instellen van wachtwoorden. Wanneer een gebruiker zijn gebruikersnaam of e-mailadres opgeeft voor een wachtwoordreset, zoekt de plug-in het bijbehorende account en genereert een sleutel om het wachtwoord te resetten. De resetlink zou vervolgens naar het e-mailadres van de gebruiker in de database moeten worden gestuurd.

De logicafout zorgt er echter voor dat de plug-in niet het e-mailadres uit de database gebruikt, maar het e-mailadres dat door de aanvaller is opgegeven in het 'forgot password request'. Dit betekent dat een aanvaller, door simpelweg een geldige gebruikersnaam (zoals die van de beheerder) op te geven en zijn eigen e-mailadres in te vullen, de resetlink voor het admin-account kan ontvangen. Zodra de aanvaller toegang heeft tot deze resetlink, kan deze het wachtwoord van de beheerder wijzigen en daarmee de volledige controle over de website verkrijgen.

Securitybedrijf Wordfence meldt dat de ontwikkelaars van Kirki op 15 mei van de kwetsbaarheid op de hoogte werden gesteld en drie dagen later, op 18 mei, versie 6.0.7 van de plug-in publiceerden. De releasenotes voor deze versie bevatten de vermelding: "Fix: Unauthenticated Privilege Escalation via ‘handle_forgot_password’". Het lek treft specifiek Kirki versies 6.0 tot en met 6.0.6. Volgens gegevens van WordPress.org draaien ongeveer 200.000 websites op versie 6.x van de plug-in, en tienduizenden van deze sites hebben de noodzakelijke update nog niet geïnstalleerd, waardoor zij een aanzienlijk risico lopen op een cyberaanval.

Bron: Wordfence

Een ernstige beveiligingsfout in KMW CCTV beveiligingscamera's stelt aanvallers in staat om volledige, ongeautoriseerde toegang te verkrijgen tot live camerabeelden en apparaatinstellingen. De kwetsbaarheid, aangeduid als CVE-2026-5386, heeft een hoge CVSS v3 score van 9.1 gekregen, wat de ernstige impact ervan op organisaties die afhankelijk zijn van deze bewakingssystemen benadrukt.

Het probleem komt voort uit een zwakte genaamd "unverified password change" in de getroffen apparaten. Deze zwakte stelt externe aanvallers in staat om authenticatiegegevens te wijzigen zonder de juiste validatie. Eenmaal misbruikt, kunnen dreigingsactoren de controle over de camera overnemen, real-time videostreams bekijken, configuraties aanpassen, of potentieel bewakingsoperaties volledig uitschakelen. Dit creëert aanzienlijke security risico's, vooral in gevoelige omgevingen waar CCTV systemen een cruciale rol spelen in monitoring en veiligheid.

De kwetsbaarheid treft specifieke KMW CCTV modellen, waaronder de KM-IP521 met firmware IPCAM_V4.04.91.230307 en de KM-IP421 met firmware IPCAM_V4.04.53.210416. Deze apparaten worden wereldwijd ingezet in diverse kritieke infrastructuursectoren, waaronder commerciële faciliteiten, overheidsinstellingen, financiële diensten, transportsystemen en productieomgevingen. Gezien hun wijdverspreide gebruik, zou misbruik verstrekkende gevolgen kunnen hebben, zoals het omzeilen van bewaking, spionage en operationele verstoring. Hoewel er momenteel geen bevestigde meldingen zijn van actieve misbruik in het wild, maakt de ernst van de kwetsbaarheid het een doelwit met hoge prioriteit voor dreigingsactoren, met name degenen die zich richten op IoT en zwakheden in industriële controlesystemen.

Vanuit een technisch perspectief stelt de kwetsbaarheid aanvallers in staat om authenticatiecontroles te omzeilen door op maat gemaakte verzoeken te sturen die wachtwoordwijzigingen activeren zonder de identiteit van de aanvrager te verifiëren. Een aanvaller op hetzelfde netwerk, of iemand die apparaten aan het internet blootstelt, zou bijvoorbeeld ongeautoriseerde commando's kunnen uitvoeren om inloggegevens te resetten en binnen enkele seconden administratieve toegang te verkrijgen.

Beveiligingsonderzoeker Souvik Kandar wordt gecrediteerd voor het ontdekken en rapporteren van de kwetsbaarheid aan CISA. Dit type aanval vereist geen geavanceerde vaardigheden, waardoor het bijzonder gevaarlijk is in slecht beveiligde omgevingen. Volgens een recente CISA advisory (ICSA-26-148-06) moeten organisaties de blootstelling verminderen door apparaten van het openbare internet af te houden en achter firewalls of geïsoleerde netwerken te plaatsen. Externe toegang mag alleen via beveiligde kanalen, zoals bijgewerkte VPN's, worden ingeschakeld, en organisaties moeten ervoor zorgen dat alle verbonden systemen strikte beveiligingspraktijken volgen. Regelmatige risicobeoordelingen en impactanalyses worden ook geadviseerd voordat wijzigingen worden geïmplementeerd. Daarnaast worden organisaties aangemoedigd om te controleren op verdachte activiteiten, incident response procedures te volgen en afwijkingen te melden aan relevante autoriteiten voor correlatie en dreigingsopsporing. Het implementeren van defense-in-depth strategieën en het naleven van ICS cybersecurity richtlijnen kan het risico op misbruik aanzienlijk verminderen. Aangezien bewakingsinfrastructuur steeds vaker een doelwit wordt voor cyberaanvallen, benadrukt deze kwetsbaarheid de dringende behoefte aan sterkere beveiligingscontroles in IoT gebaseerde camerasystemen.

Bron: CISA

Microsoft heeft recentelijk een reeks kwetsbaarheden in Windows verholpen die aanvallers kunnen misbruiken voor verschillende schadelijke doeleinden. Deze lekken, gedetailleerd beschreven door het Nationaal Cyber Security Centrum (NCSC), kunnen leiden tot Denial-of-Service (DoS), het uitvoeren van willekeurige code met root- of gebruikersrechten, het verkrijgen van verhoogde rechten, het omzeilen van beveiligingsmaatregelen en toegang tot gevoelige gegevens.

De ernstigste van deze kwetsbaarheden zijn CVE-2026-40402 in Hyper-V, CVE-2026-41089 in NETLOGON en CVE-2026-41096 in de DNS Client. De kwetsbaarheid in Hyper-V (CVE-2026-40402) maakt het voor een geauthenticeerde kwaadwillende mogelijk om uit een Guest-VM te breken. Dit kan leiden tot toegang tot het geheugen van de host en het potentieel uitvoeren van willekeurige code op de host. De lekken in NETLOGON (CVE-2026-41089) en de DNS Client (CVE-2026-41096) zijn bijzonder gevaarlijk, aangezien een ongeauthenticeerde kwaadwillende op afstand willekeurige code kan uitvoeren op het kwetsbare systeem.

Het NCSC waarschuwt specifiek dat van CVE-2026-41089, de kwetsbaarheid in NETLOGON, inmiddels door diverse partijen actief misbruik wordt gemeld. Domain Controllers die toegankelijk zijn vanaf externe netwerken lopen een hoog risico. Het is dan ook een sterke aanbeveling om een systeem met de rol van Domain Controller niet publiek toegankelijk te hebben. Indien dit toch noodzakelijk is, dienen additionele beveiligingsmaatregelen te worden getroffen.

Naast deze kritieke kwetsbaarheden zijn er nog diverse andere lekken verholpen. Zo zijn er in Windows Projected File System (CVE-2026-34340, CVSS 7.00), Windows Application Identity Subsystem (CVE-2026-34343, CVSS 7.80), een niet-nader gespecificeerde component (CVE-2026-41095, CVSS 7.80), en Windows Remote Desktop (CVE-2026-40398, CVSS 7.80) kwetsbaarheden gepatcht die kunnen leiden tot het verkrijgen van verhoogde rechten.

Ook de Windows Ancillary Function Driver voor WinSock (met CVE-ID's 2026-34344, 2026-34345, 2026-35416, 2026-41088 met CVSS-scores tussen 7.00 en 7.80), de Windows Kernel (CVE-2026-33841, 2026-35420, 2026-40369, alle CVSS 7.80) en Windows Kernel-Mode Drivers (CVE-2026-40408, CVSS 7.80 en CVE-2026-34332, CVSS 8.00) bevatten lekken voor privilege-escalatie of het uitvoeren van willekeurige code. De Windows Secure Boot (CVE-2026-41097, CVSS 6.70) had een kwetsbaarheid voor het omzeilen van beveiligingsmaatregelen. Verder zijn er een willekeurige code-uitvoering in de Windows Native WiFi Miniport Driver (CVE-2026-32161, CVSS 7.50), toegang tot gevoelige gegevens via de Telnet Client (CVE-2026-35423, CVSS 5.40), en privilege-escalatie in Windows Print Spooler Components (CVE-2026-34342, CVSS 7.00) en de Windows SMB Client (CVE-2026-40410, CVSS 7.00) verholpen. Organisaties worden dringend geadviseerd om de relevante patches zo snel mogelijk te installeren om zich te beschermen tegen deze dreigingen.

Bron: NCSC

Onderzoekers hebben een ernstige kwetsbaarheid ontdekt in meerdere Microsoft 365-apps voor Android, waaronder Word, PowerPoint, Excel, Microsoft 365 Copilot, Microsoft Loop en OneNote. Een onbedoeld ingeschakelde ontwikkelaarsvlag in de productie-builds van deze applicaties maakte het mogelijk voor elke app op hetzelfde apparaat om toegangstokens van gebruikers te stelen. Dit kon leiden tot onbevoegde toegang tot e-mails, bestanden, kalenders en de mogelijkheid om berichten te versturen namens de gebruiker, zonder dat een wachtwoord, inlogscherm of toestemming van de gebruiker vereist was.

De kwetsbaarheid, die door beveiligingsbedrijf Enclave "FlagLeft" is genoemd, werd veroorzaakt door een enkele regel code, `setIsDebugMode(true)`, die per ongeluk was achtergelaten in de verzendcode van een gedeelde Microsoft SDK. Dit leidde ertoe dat de controle die de uitwisseling van accounttokens beperkt tot vertrouwde Microsoft apps, werd overgeslagen. Hierdoor konden zogeheten FOCI-tokens (Family of Client IDs) worden onderschept. Deze tokens worden door Microsoft gebruikt voor single sign-on tussen apps en kunnen langdurig worden vernieuwd en hergebruikt, waardoor kwaadaardig verkeer in logs als routinematig zou verschijnen.

Yanir Tsarimi en Ofek Levin van Enclave ontdekten de kwetsbaarheid en bouwden een proof-of-concept die aantoont hoe een niet-geverifieerde app van derden tokens kon bemachtigen en daarmee e-mail kon lezen. Microsoft classificeert dit als een lokale spoofing-kwetsbaarheid, wat betekent dat een kwaadaardige app die al op het apparaat aanwezig is, voldoende is om misbruik te maken van het lek.

Microsoft heeft op 12 mei vier CVE's uitgegeven voor deze kwetsbaarheid, allemaal geclassificeerd als spoofing onder onjuiste toegangscontrole (CWE-284):

*   **CVE-2026-41100** voor Microsoft 365 Copilot (CVSS 4.4)

*   **CVE-2026-41101** voor Word (CVSS 7.1)

*   **CVE-2026-41102** voor PowerPoint (CVSS 7.1)

*   **CVE-2026-42832** voor Excel (CVSS 7.7)

Dezelfde kwetsbaarheid werd ook gerapporteerd in Loop en OneNote, hoewel deze geen aparte CVE kregen in de mei-batch. De gepatchte Word-build voor Android is versie 16.0.19822.20190; eerdere versies zijn kwetsbaar. De andere getroffen apps zijn via dezelfde Google updates voor Play gerepareerd.

Volgens Microsoft's Patch Tuesday-release van mei was er geen publiek bewijs dat de kwetsbaarheid vóór de fix actief werd misbruikt. Gebruikers van de getroffen Microsoft 365-apps op Android worden dringend geadviseerd om deze onmiddellijk te updaten via Google Play. Beveiligingsteams die Android-apparaten beheren, moeten de updates via Mobile Device Management (MDM) pushen en bevestigen dat apparaten niet langer op builds ouder dan 16.0.19822.20190 draaien. Aangezien FOCI-refresh-tokens een app-update overleven, wordt voor accounts op apparaten die een oude build samen met onvertrouwde apps hebben gedraaid, aanbevolen de refresh-tokens in te trekken en een nieuwe aanmelding af te dwingen.

Bron: Enclave | Bron 2: msrc.microsoft.com

Het Centre for Cybersecurity Belgium (CCB) heeft een waarschuwing uitgegeven voor meerdere kritieke kwetsbaarheden in Progress Sitefinity CMS en Sitefinity Insight. Progress heeft beveiligingsupdates uitgebracht om deze vijf kwetsbaarheden aan te pakken, die geïdentificeerd zijn als CVE-2026-7312, CVE-2026-7198, CVE-2026-7195, CVE-2026-7201 en CVE-2026-7313. Een succesvolle exploitatie van deze lekken kan leiden tot een compromittering van de vertrouwelijkheid, integriteit en beschikbaarheid van getroffen systemen. Het CCB adviseert organisaties met de hoogste prioriteit te patchen na grondige tests.

De meest ernstige kwetsbaarheid, CVE-2026-7312, heeft een CVSS-score van 10.0 (kritiek). Dit betreft een onvoldoende beschermde referentiekwetsbaarheid die een externe, niet-geauthenticeerde aanvaller in staat stelt om plaintext-referenties te verkrijgen die worden gebruikt voor Sitefinity Insight-integraties. Hierdoor kunnen aanvallers potentieel toegang krijgen tot gevoelige gegevens of systemen.

Een andere kritieke kwetsbaarheid is CVE-2026-7198, met een CVSS-score van 9.8. Dit is een kwetsbaarheid in de onjuiste toegangscontrole, die een externe, niet-geauthenticeerde aanvaller de mogelijkheid biedt om toegang te krijgen tot beperkte inhoud. Dit kan leiden tot een volledige compromittering van de getroffen installaties, waardoor aanvallers volledige controle over het systeem kunnen verkrijgen.

Daarnaast is er CVE-2026-7195, met een CVSS-score van 8.8 (hoog risico). Deze kwetsbaarheid betreft een onjuiste invoervalidatie, waardoor een externe, niet-geauthenticeerde aanvaller de vertrouwelijkheid en integriteit van gebruikersaccounts kan compromitteren. Dit kan leiden tot datalekken of manipulatie van accountinformatie.

CVE-2026-7201, eveneens met een CVSS-score van 8.8, is een autorisatie-bypass kwetsbaarheid. Deze stelt een externe, geauthenticeerde aanvaller in staat om eigenschappen van andere gebruikersaccounts te wijzigen, wat potentieel kan leiden tot accountcompromittering. Hoewel authenticatie vereist is, kan eenmaal binnen een aanvaller zijn privileges snel uitbreiden.

Tot slot is er CVE-2026-7313, met een CVSS-score van 8.7 (hoog risico). Dit is ook een onvoldoende beschermde referentiekwetsbaarheid, vergelijkbaar met CVE-2026-7312, maar deze stelt een externe, geauthenticeerde aanvaller in staat om plaintext-referenties te verkrijgen die worden gebruikt voor Sitefinity Insight-integraties.

Het CCB benadrukt dat organisaties hun monitoring- en detectiecapaciteiten moeten opschalen om gerelateerde verdachte activiteiten te identificeren en een snelle reactie te garanderen in geval van een inbraak. Hoewel het patchen van apparaten of software naar de nieuwste versie bescherming biedt tegen toekomstige exploitatie, herstelt dit geen historische compromittering. Bij een inbraak kunnen organisaties een incident melden via de website van het CCB.

Bron: Progress

Een kritieke kwetsbaarheid met Remote Code Execution (RCE) in Redis, aangeduid als CVE-2026-23479, is meer dan twee jaar onopgemerkt gebleven voordat deze werd ontdekt door een autonome AI-beveiligingstool genaamd Xint Code. De kwetsbaarheid, die in Redis 7.2.0 werd geïntroduceerd en aanwezig was in elke stabiele versie tot de patches van 5 mei, heeft een CVSS 3.1-score van 8.8 volgens NVD en een CVSS 4.0-score van 7.7 volgens Redis.

De kwetsbaarheid werd gerapporteerd door Team Xint Code, en een volledige technische beschrijving is nu openbaar. De impact wordt vergroot door de wijdverspreide aanwezigheid van Redis in cloudomgevingen. Volgens een analyse van Wiz draaien de meeste Redis-instanties zonder wachtwoord. Hoewel de exploit een geauthenticeerde sessie vereist, beschikt de standaardgebruiker in een standaardimplementatie al over alle privileges die nodig zijn voor de aanvalsketen.

De kwetsbaarheid bevindt zich in de functie `unblockClientOnKey()` in `src/blocked.c`. Deze functie wordt geactiveerd wanneer een sleutelgebeurtenis een geblokkeerde opdracht activeert. De functie voert de in de wachtrij geplaatste opdracht uit via `processCommandAndResetClient()`, maar blijft daarna dezelfde clientpointer gebruiken. Het probleem is dat `processCommandAndResetClient()` de client als neveneffect kan vrijgeven, zoals in de eigen header-commentaar staat vermeld. De aanroepende functie negeert echter de retourwaarde en leest de vrijgegeven structuur toch, wat resulteert in een use-after-free kwetsbaarheid (CWE-416).

Volgens de analyse van Wiz is de bug ontstaan door twee commits: een refactor in januari 2023 (PR #11012) voegde de ongecontroleerde aanroep toe, en een wijziging in maart 2023 (PR #11568) voegde meer clienttoegang toe na deze aanroep. Geen van beide was afzonderlijk gevaarlijk, maar samen leidden ze tot de kwetsbaarheid in versie 7.2.0, die meerdere beveiligingscontroles overleefde.

De aanvalsketen begint met het lekken van een heap-adres. Vervolgens wordt een client vrijgegeven en wordt een nep-client in hetzelfde geheugen geplaatst. Daarna wordt de eigen geheugenboekhouding van Redis misbruikt om een functiepointer te overschrijven. De gepubliceerde exploit werkt in drie fasen:

1.  Een eenregelig Lua-script (`EVAL "return tostring(redis.call)" 0`) lekt een heap-pointer.

2.  De aanvaller manipuleert de geheugenlimieten van de client, parkeert een opgeblazen client op een stream, verlaagt vervolgens de limieten en activeert deze. Redis geeft de geblokkeerde client midden in een aanroep vrij, waarna een gepipelinede `SET`-opdracht onmiddellijk de vrijgegeven slot terugwint met een nep-clientstructuur.

3.  De routine geheugenboekhouding van Redis in `updateClientMemoryUsage()` voert een out-of-bounds decrement uit met door de aanvaller gecontroleerde velden, gericht op de Global Offset Table (GOT) om `strcasecmp()` te herrouteren naar `system()`. De volgende opdracht die Redis verwerkt, wordt dan als shellcommando uitgevoerd.

De officiële Docker-image van Redis vergemakkelijkt de laatste stap, omdat deze slechts gedeeltelijke RELRO bevat, waardoor de GOT tijdens runtime beschrijfbaar blijft. ASLR en PIE bieden hier geen bescherming, aangezien de schrijfoperatie relatief is ten opzichte van een globale variabele waarvan de offset vastligt tijdens het bouwen. De volledige aanvalsketen vereist een geauthenticeerde sessie met `CONFIG SET`, `EVAL`, stream-commando's (`XREAD`/`XADD`), en basis `SET`/`GET`, wat overeenkomt met de ACL-categorieën `@admin`, `@scripting`, `@stream` en `@read`/`@write`. De standaardgebruiker beschikt over al deze privileges, en in de meeste implementaties zijn deze gegroepeerd in één gedeelde applicatie- of operatorrol. Het volledig ontzeggen van `CONFIG` verbreekt deze specifieke keten, hoewel niet de onderliggende use-after-free kwetsbaarheid.

Team Xint Code demonstreerde de werkende RCE tijdens ZeroDay.Cloud 2025, een hackingcompetitie van Wiz in Londen afgelopen december. Theori beschrijft Xint Code als een autonome AI-beveiligingstool die is gebouwd om bugs in grote codebases op te sporen. Redis heeft verklaard geen bewijs te hebben van exploitatie in eigen of klantomgevingen, en er zijn tot op heden geen openbare meldingen van actieve exploitatie in het wild verschenen. De volledige technische keten is nu echter openbaar, wat het risico op verdere exploitatie vergroot.

Beheerders worden dringend geadviseerd te upgraden naar de gepatchte minor-versies: 7.2.14, 7.4.9, 8.2.6, 8.4.3 of 8.6.3, die allemaal op 5 mei zijn uitgebracht. Minor-upgrades binnen een serie zijn bedoeld als drop-in updates. Beheerde Redis-diensten patchen volgens hun eigen schema's, en Redis meldt dat Redis Cloud al is bijgewerkt. Als patchen niet direct mogelijk is, wordt aanbevolen Redis buiten het publieke internet te houden en achter TLS te plaatsen. Daarnaast moeten ACL's worden aangescherpt, zodat geen enkele rol tegelijkertijd `@admin`, `CONFIG` en `@scripting` bezit. Indien Lua niet wordt gebruikt, kan `@scripting` worden geweigerd, wat de initiële lekfase (Stage 1) van de aanval stopt. Prioriteit moet worden gegeven aan internet-geëxposeerde instanties, gedeelde applicatiecredentials en elke rol die `CONFIG`, scripting en stream-toegang combineert. Het wordt ook aanbevolen om breed gedeelde Redis-credentials te roteren.

CVE-2026-23479 is een van de vijf kwetsbaarheden in RCE die vorige maand in Redis zijn bekendgemaakt, en volgt op de RediShell-kwetsbaarheid uit 2025, eveneens een geauthenticeerde use-after-free met Lua-scripting. Het is opmerkelijk dat juist deze kwetsbaarheid door een AI tool is gevonden. Twee commits introduceerden de fout, twee jaar lang bleef deze verborgen, en de kwetsbaarheid bleef in een van de meest gebruikte databases aanwezig totdat een hackingwedstrijd deze aan het licht bracht, terwijl code-reviews dit niet deden.

Bron: Wiz | Bron 2: github.com | Bron 3: nvd.nist.gov

De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft op 3 juni 2026 een nieuwe kwetsbaarheid toegevoegd aan haar Known Exploited Vulnerabilities (KEV) Catalogus, gebaseerd op bewijs van actieve exploitatie. Het betreft CVE-2026-45247, een kwetsbaarheid in deserialisatie van onbetrouwbare data binnen de Mirasvit Full Page Cache Warmer.

Deze specifieke kwetsbaarheid wordt aangeduid als een deserialisatiekwetsbaarheid voor onbetrouwbare data. Dit type kwetsbaarheid staat bekend als een veelvoorkomende aanvalsvector voor kwaadwillende cyberactoren en vormt een aanzienlijk risico voor federale overheidsinstanties en andere organisaties. Deserialisatiekwetsbaarheden kunnen, indien misbruikt, leiden tot het uitvoeren van willekeurige code en volledige systeemovername.

De KEV Catalogus werd opgericht door de Bindende Operationele Richtlijn (BOD) 22-01: Reducing the Significant Risk of Known Exploited Vulnerabilities. Deze richtlijn stelt de catalogus in als een dynamische lijst van bekende Common Vulnerabilities and Exposures (CVE's) die een significant risico vormen voor de federale civiele uitvoerende instanties. BOD 22-01 vereist dat deze instanties de geïdentificeerde kwetsbaarheden vóór de gestelde deadline herstellen om hun netwerken te beschermen tegen actieve dreigingen.

Hoewel BOD 22-01 formeel alleen van toepassing is op de federale civiele uitvoerende instanties, dringt CISA er bij alle organisaties op aan om hun blootstelling aan cyberaanvallen te verminderen. Dit kan door prioritering van tijdige herstelacties voor kwetsbaarheden die in de KEV Catalogus zijn opgenomen, als onderdeel van hun praktijk voor kwetsbaarheidsbeheer. CISA heeft aangegeven de catalogus te blijven aanvullen met kwetsbaarheden die aan de gespecificeerde criteria voldoen.

Bron: CISA | Bron 2: cve.org

Acer heeft bevestigd bezig te zijn met het dichten van twee zero-day kwetsbaarheden met maximale ernst die zijn Wave 7 mesh routers treffen. Deze beveiligingslekken werden gemeld door beveiligingsonderzoeker Gergo Pap en beïnvloeden Wave 7 routers die firmware versie T7c_GBL_1.01.000055 of eerder draaien.

De eerste zero-day, een kwetsbaarheid in gebroken toegangscontrole (broken access control) met de identificatie CVE-2026-49200, stelt niet-geauthenticeerde aanvallers in staat om op afstand toegang te krijgen tot in logbestanden opgeslagen onversleutelde inloggegevens. Volgens Acer is het bestand acer_cgi.log in de firmware van het apparaat toegankelijk zonder authenticatie via de webinterface. Dit bestand bevat inloggegevens in platte tekst voor zowel de webinterface als Telnet, wat kan leiden tot ongeautoriseerde systeemtoegang.

De tweede kwetsbaarheid, CVE-2026-49201, vloeit voort uit een hardgecodeerde cryptografische sleutel. Dit stelt externe aanvallers zonder privileges in staat om persistente backdoor toegang tot de router te verkrijgen. Acer legt uit dat de upload.cgi binary, verantwoordelijk voor het verwerken van apparaatback-ups, een hardgecodeerde AES-encryptiesleutel bevat. Hierdoor kan een aanvaller systeemback-ups ontsleutelen, wijzigen en opnieuw versleutelen, wat de injectie van een persistente backdoor vergemakkelijkt.

Hoewel er nog geen beveiligingspatches beschikbaar zijn voor deze twee kwetsbaarheden, werkt Acer aan oplossingen die naar verwachting eind juni 2026 zullen worden uitgebracht. Het bedrijf adviseert gebruikers om hun apparaten onmiddellijk na het verschijnen van de beveiligingsupdates te updaten. Dit kan door verbinding te maken met de router via Wi-Fi of een Ethernet-kabel, in te loggen op de administratieconsole (http://192.168.76.1 of http://acerconnect.com), te navigeren naar 'System Management' en vervolgens 'Firmware Update', en daar te kiezen voor 'Check for Updates'.

Om de risico's van aanvallen te beperken totdat een patch beschikbaar is, wordt Acer klanten geadviseerd om extern beheer (remote management) uit te schakelen. Indien de firmware dit toelaat, kunnen zij ook de externe internettoegang beperken tot alleen vertrouwde IP-adressen.

Bron: Acer | Bron 2: nvd.nist.gov | Bron 3: 192.168.76.1

Cybersecurity onderzoekers hebben details openbaar gemaakt over een niet-gepatchte kwetsbaarheid in Windows die kan worden misbruikt om de NTLMv2 hash van een gebruiker te lekken aan een aanvaller. De kwetsbaarheid bevindt zich in de `search:` URI handler, zo meldt Huntress.

Dit nieuwe probleem vertoont overeenkomsten met CVE-2026-33829, een kwetsbaarheid die de `ms-screensketch:` URI handler van de Windows Knipprogramma (Snipping Tool) trof. CVE-2026-33829 was een spoofing kwetsbaarheid die gevoelige informatie aan een onbevoegde actor kon blootstellen en werd door Microsoft in april 2026 gepatcht. Destijds waarschuwde Microsoft dat een aanvaller een gebruiker kon verleiden tot het klikken op een speciaal samengestelde link in een webbrowser of andere URL bron, bijvoorbeeld via een webpagina of e-mailbericht. Als de gebruiker het starten van de link goedkeurde, kon de samengestelde URL de computer aanzetten tot verbinding maken met een SMB-server naar keuze van de aanvaller. Dit zou de NTLMv2 hash van de gebruiker prijsgeven, die een aanvaller vervolgens kon gebruiken om zich als de gebruiker te authenticeren.

Het specifieke probleem met de Knipprogramma URI handler was dat deze een "filePath" parameter accepteerde zonder deze te valideren, en vervolgens contact zocht met elk Universal Naming Convention (UNC) pad dat eraan werd doorgegeven. Dit kon NTLM-authenticatie activeren en de Net-NTLMv2 hash van het slachtoffer blootstellen aan de aanvaller.

De recent ontdekte tekortkoming bereikt hetzelfde doel, maar dan met gebruik van "search:" en "crumb=location:" in plaats van "filePath". Onderzoeker Andrew Schwartz van Huntress merkte op dat het dezelfde NTLM-lekmechanisme gebruikte, hetzelfde Net-NTLMv2 lek produceerde, dezelfde voorwaarden had en dezelfde 'Moderate' classificatie droeg. Het is relevant dat het gebruik van een "crumb" parameter om hashes te stelen (CVE-2023-35636) al in februari 2024 door Varonis werd gedocumenteerd.

Met de buitgemaakte hash kan een dreigingsactor relay aanvallen uitvoeren en diepere toegang tot een netwerk verkrijgen. Na een verantwoorde melding op 15 april 2026, weigerde Microsoft de kwetsbaarheid aan te pakken. Microsoft stelde dat "alleen gevallen van belangrijke en kritieke ernst onze drempel voor patching halen."

Bij afwezigheid van een officiële oplossing wordt geadviseerd om uitgaand SMB (TCP/445 en TCP/139) te blokkeren op hosts die dit niet nodig hebben. Daarnaast is het raadzaam om SMB-signing af te dwingen, zodat buitgemaakte hashes niet kunnen worden doorgesluisd naar interne diensten, en NTLM waar mogelijk uit te schakelen.

Bron: Huntress | Bron 2: msrc.microsoft.com | Bron 3: varonis.com

Het ontwikkelteam van OpenSSL heeft een belangrijke beveiligingsupdate aangekondigd die op 9 juni zal verschijnen. Deze update is cruciaal, aangezien het één of meerdere kwetsbaarheden verhelpt die als "High" impact zijn bestempeld. De frequentie van dergelijke ernstige lekken in OpenSSL is laag; sinds 2002 zijn er in totaal 22 kwetsbaarheden met een High impact gerapporteerd, waarvan slechts drie in de afgelopen drie en een half jaar. Dit benadrukt de uitzonderlijke aard van de aankomende patch en het belang ervan voor de stabiliteit van het internet.

Details over de specifieke kwetsbaarheden die volgende week worden verholpen, zijn door het OpenSSL-team nog niet vrijgegeven. Echter, beveiligingslekken die de classificatie "High" krijgen, kunnen aanvallers in staat stellen om gevoelige informatie, zoals private keys van servers, te stelen of zelfs remote code uit te voeren op getroffen systemen. De reden dat deze kwetsbaarheden als "High" en niet als "Critical" zijn aangemerkt, ligt doorgaans in het feit dat het probleem niet voorkomt bij standaardconfiguraties of dat misbruik minder eenvoudig te bewerkstelligen is. Dit betekent echter niet dat de dreiging minder serieus is voor organisaties die specifieke configuraties gebruiken of waar aanvallers de benodigde complexiteit kunnen overbruggen.

De geplande releases omvatten OpenSSL versies 4.0.1, 3.6.3, 3.5.7, 3.4.6 en 3.0.21. Deze updates zullen op 9 juni tussen 15.00 en 19.00 uur Nederlandse tijd beschikbaar komen. Voor organisaties met een betaald abonnement op OpenSSL zullen tevens de versies 1.0.2zq en 1.1.1zh worden uitgebracht, wat aangeeft dat ook oudere, maar nog ondersteunde, versies van de software worden gepatcht om een zo breed mogelijke beveiliging te garanderen.

OpenSSL is fundamentele software die wereldwijd wordt ingezet voor het versleutelen van internetverbindingen. Websites, e-maildiensten en vele andere online applicaties maken er gebruik van om het dataverkeer van en naar gebruikers te beveiligen. De impact van kwetsbaarheden in OpenSSL kan dan ook zeer groot zijn voor de gehele internetinfrastructuur. De beruchte Heartbleed Bug in het verleden heeft op indringende wijze aangetoond hoe wijdverspreide problemen in deze software kunnen leiden tot ernstige beveiligingsrisico’s en dataverliezen op mondiale schaal. Het is daarom van essentieel belang dat beheerders van systemen die OpenSSL gebruiken, zich voorbereiden op de aankomende update en deze zo spoedig mogelijk implementeren om potentiële risico’s te minimaliseren.

Bron: OpenSSL | Bron 2: heartbleed.com | Bron 3: rustls.dev

Cisco heeft organisaties gewaarschuwd voor een kritieke kwetsbaarheid in de Cisco Unified Communications Manager en heeft kennis van publieke proof of concept exploitcode voor dit probleem. Er zijn updates uitgebracht om het beveiligingslek, geïdentificeerd als CVE-2026-20230, te verhelpen. Cisco Unified Communications Manager is een voice over IP platform dat wordt gebruikt voor het verwerken van telefoongesprekken, essentieel voor communicatie binnen veel bedrijven en instellingen.

De kwetsbaarheid bevindt zich in de manier waarop het voice over IP platform omgaat met specifieke HTTP requests. Een aanvaller, die zich op afstand bevindt en niet geauthenticeerd is, kan door het verzenden van een speciaal geprepareerd HTTP request bestanden naar het onderliggende besturingssysteem schrijven. Deze bestanden kunnen later worden gebruikt om roottoegang tot het systeem te verkrijgen, wat de aanvaller volledige controle geeft over het getroffen systeem. Een belangrijke voorwaarde voor misbruik van dit lek is dat de WebDialer-functie ingeschakeld moet zijn. Deze functie stelt gebruikers in staat om via web- en desktopapplicaties telefoongesprekken te voeren. Standaard staat de WebDialer-functie echter niet ingeschakeld, wat de directe aanvalsvector enigszins beperkt.

De impact van het beveiligingslek is beoordeeld met een CVSS-score van 8.6 op een schaal van 1 tot en met 10. Hoewel kwetsbaarheden doorgaans als kritiek worden beschouwd bij een CVSS-score van 9.0 of hoger, classificeert Cisco dit probleem toch als kritiek vanwege de hoge potentiële impact: de mogelijkheid voor een aanvaller om roottoegang te verkrijgen tot systemen die een cruciale rol spelen in bedrijfscommunicatie. Cisco meldt tevens dat er proof of concept exploitcode online beschikbaar is, waarmee misbruik van het lek kan worden gemaakt. Dit verhoogt het risico op toekomstige aanvallen aanzienlijk, ondanks het feit dat Cisco tot op heden nog geen aanwijzingen van actief misbruik heeft waargenomen. Organisaties die gebruikmaken van Cisco Unified Communications Manager worden met klem geadviseerd om de beschikbaar gestelde updates zo spoedig mogelijk te installeren om hun systemen te beveiligen tegen potentiële aanvallen en de integriteit van hun communicatie-infrastructuur te waarborgen.

Bron: Cisco

Het privacy OS Tails heeft een noodpatch uitgebracht wegens een ernstige kwetsbaarheid in de Linux-kernel. Dit beveiligingslek, aangeduid als CVE-2026-43503, zou een applicatie die met Tails wordt meegeleverd in staat kunnen stellen om adminrechten te verkrijgen. Het ontwikkelteam van Tails waarschuwt dat indien een aanvaller misbruik weet te maken van een kwetsbaarheid in een dergelijke applicatie, deze controle over de installatie van Tails kan krijgen en gebruikers kan deanonimiseren.

Hoewel het ontwikkelteam benadrukt dat een dergelijke aanval onwaarschijnlijk is, achten zij deze wel uitvoerbaar door een "sterke aanvaller", zoals een overheid of een gespecialiseerd hackingbedrijf. Momenteel is er geen bekend misbruik van deze specifieke kwetsbaarheid.

Naast de patch voor het Linux-lek, heeft de nieuwste versie van het besturingssysteem, Tails 7.8.1, ook verschillende beveiligingslekken in de Tor-client gedicht. Tails, voluit bekend als The Amnesic Incognito Live System, is een volledig op Linux gebaseerd besturingssysteem dat specifiek is ontworpen om de privacy en anonimiteit van zijn gebruikers te waarborgen. Het systeem kan direct vanaf een USB-stick of DVD worden gestart, zonder sporen achter te laten op de hostcomputer. Voor het afschermen van het IP-adres van de gebruiker maakt Tails gebruik van het netwerk van Tor en het OS biedt een reeks applicaties die gericht zijn op privacybescherming.

Het is cruciaal voor gebruikers van Tails om zo snel mogelijk te updaten naar versie 7.8.1 om zich te beschermen tegen de genoemde kwetsbaarheden. Het team achter de Linux-kernel CVE's adviseert algemeen om altijd de nieuwste stabiele kernelversie te installeren voor de meest recente bugfixes en beveiligingsupdates.

Bron: Tails Project | Bron 2: security-tracker.debian.org | Bron 3: blog.torproject.org

Microsoft heeft een significante kwetsbaarheid in de Edge-browser gepatcht, die bekendstaat onder het CVE-nummer CVE-2026-45495 en een CVSS-score van 7.5 heeft. Dit beveiligingslek maakt remote code execution (RCE) mogelijk, wat aanvallers in staat stelt om kwaadaardige code op afstand uit te voeren op getroffen systemen. De oorzaak van de kwetsbaarheid ligt in een onjuiste validatie tijdens de verwerking van feedback-logbestanden door de Edge-browser. Dit gebrek aan validatie stelt een aanvaller in staat om bestandsbewerkingen te manipuleren.

Om misbruik te maken van deze kwetsbaarheid is interactie van de gebruiker vereist. Dit kan bijvoorbeeld door het openen van een speciaal vervaardigd bestand of door het bezoeken van een kwaadaardige webpagina die is ontworpen om het lek uit te buiten. Microsoft heeft updates uitgebracht om dit probleem te verhelpen en adviseert gebruikers dringend om hun Edge-browser direct bij te werken naar de nieuwste versie. Op dit moment zijn er geen aanwijzingen dat deze kwetsbaarheid actief wordt misbruikt, noch is er publieke proof of concept (PoC) exploitcode beschikbaar.

Bron: Cybersecurity News

Cisco waarschuwt voor een ernstige kwetsbaarheid in zijn Catalyst SD-WAN Manager, een platform dat voorheen bekendstond als SD-WAN vManage. De kwetsbaarheid heeft het kenmerk CVE-2026-20245 en wordt op dit moment actief misbruikt. Er is nog geen beveiligingsupdate beschikbaar en er zijn geen tijdelijke maatregelen die het probleem volledig wegnemen.

Door onvoldoende controle op door gebruikers aangeleverde invoer kan een aanvaller een speciaal geprepareerd bestand uploaden naar een kwetsbaar systeem. Daarmee voert de aanvaller willekeurige commando's uit als root, de gebruiker met de hoogste rechten op het besturingssysteem. Met die rechten kan een aanvaller gegevens inzien en aanpassen, blijvende toegang opzetten en kwaadaardige software installeren. Cisco heeft gevallen waargenomen waarbij aanvallers via dit lek configuratiewijzigingen naar randapparatuur hebben gestuurd.

Het misbruik vereist wel dat de aanvaller al beschikt over netadmin-rechten op het systeem. Volgens Cisco kan een aanvaller die rechten verkrijgen door eerder bekendgemaakte kwetsbaarheden in SD-WAN aan elkaar te koppelen, zoals CVE-2026-20182 of CVE-2026-20127. Organisaties die deze eerdere lekken al hebben gepatcht, maken het daarmee moeilijker voor een aanvaller om de benodigde netadmin-rechten te bemachtigen.

Omdat er nog geen patch voor CVE-2026-20245 is, adviseert Cisco om te upgraden naar de software die in de advisory voor CVE-2026-20182 wordt genoemd en om de configuratie van de randapparatuur te controleren. Het lek treft alle uitvoeringsvormen, waaronder lokale installaties, Cisco SD-WAN Cloud-Pro, de door Cisco beheerde SD-WAN Cloud en Cisco SD-WAN for Government. Het Nationaal Cyber Security Centrum (NCSC) heeft eveneens een waarschuwing uitgegeven, wat de ernst voor Nederlandse en Belgische organisaties onderstreept.

Organisaties die Cisco SD-WAN Manager gebruiken, wordt aangeraden hun installaties direct te controleren op verdachte activiteit, de aanbevelingen van Cisco op te volgen en de monitoring op ongebruikelijke configuratiewijzigingen aan te scherpen.

Bron: NCSC

De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft recentelijk een nieuwe kwetsbaarheid toegevoegd aan haar Known Exploited Vulnerabilities (KEV) Catalogus. De kwetsbaarheid, geïdentificeerd als CVE-2026-28318, betreft een ongecontroleerde resourceconsumptie in SolarWinds Serv-U. Deze toevoeging is gedaan op basis van concreet bewijs van actieve exploitatie.

Volgens CISA vormt dit type kwetsbaarheid een veelvoorkomende aanvalsvector voor kwaadwillende cyberactoren en brengt het aanzienlijke risico's met zich mee, met name voor federale overheidsinstanties. De KEV Catalogus is opgericht als een dynamische lijst van bekende Common Vulnerabilities and Exposures (CVE's) die een significant risico vormen voor de federale digitale infrastructuur. Dit is vastgelegd in Binding Operational Directive (BOD) 22-01, gericht op het verminderen van het aanzienlijke risico van actief misbruikte kwetsbaarheden.

BOD 22-01 verplicht federale civiele uitvoerende tak van de Amerikaanse overheid (FCEB) om geïdentificeerde kwetsbaarheden tijdig te herstellen. Dit moet gebeuren vóór de vastgestelde deadline om de netwerken van FCEB-instanties te beschermen tegen actieve dreigingen. Hoewel deze richtlijn specifiek van toepassing is op FCEB-instanties, benadrukt CISA met klem dat alle organisaties hun blootstelling aan cyberaanvallen moeten verminderen. Zij dienen dit te doen door prioritering van tijdige remediëring van kwetsbaarheden die in de KEV Catalogus zijn opgenomen, als integraal onderdeel van hun kwetsbaarheidsmanagement.

CISA heeft aangegeven de catalogus voortdurend aan te vullen met kwetsbaarheden die voldoen aan de vastgestelde criteria. De actieve exploitatie van CVE-2026-28318 onderstreept de noodzaak voor brede alertheid en snelle actie binnen de cybersecuritygemeenschap, inclusief organisaties in Nederland en België die gebruikmaken van SolarWinds Serv-U.

Bron: CISA | Bron 2: cve.org

Onderzoekers van Palo Alto Networks Unit 42 hebben vastgesteld dat er actief misbruik wordt gemaakt van de kwetsbaarheid CVE-2026-0257 in PAN-OS software. Een nog niet-geïdentificeerde dreigingsacteur probeert hiermee toegang te krijgen tot GlobalProtect omgevingen. Deze kwetsbaarheid betreft een authenticatie-bypass in de portal- en gateway-componenten van kwetsbare versies van de PAN-OS software. Door deze tekortkoming kunnen ongeautoriseerde aanvallers beveiligingscontroles omzeilen en VPN-verbindingen initiëren.

De kwetsbaarheid CVE-2026-0257 is op 29 mei toegevoegd aan de Known Exploited Vulnerability (KEV) catalogus van CISA, wat de urgentie van de situatie onderstreept. Tot op heden is er geen bewijs gevonden van verdere post-toegang activiteiten of laterale beweging binnen de getroffen netwerken. Slechts een klein deel van de onderzochte apparaten heeft daadwerkelijk VPN-sessies tot stand gebracht, wat heeft geleid tot gateway-connected events.

Organisaties wordt geadviseerd om proactief te zoeken naar de indicatoren van deze activiteit die in het rapport zijn gespecificeerd en om incident response protocollen te activeren bij succesvolle gateway-connected events die aan deze indicatoren gekoppeld kunnen worden. Bovendien wordt sterk aanbevolen om het beveiligingsadvies voor CVE-2026-0257 te raadplegen, de beschikbare workarounds en mitigaties te volgen, of te upgraden naar een versie die een oplossing voor dit probleem bevat.

Voor activiteiten die plaatsvonden vóór de publicatie van de Proof of Concept (PoC) op 29 mei 2026, dienen GlobalProtect logs te worden doorzocht op succesvolle login-verbindingen vanaf de volgende IP-adressen: 23.128.228[.]6, 104.207.144[.]154, 146.19.216[.]119, 146.19.216[.]120, 146.19.216[.]125, 179.43.172[.]213, 185.195.232[.]139, 198.12.106[.]60 en 202.144.192[.]47.

Daarnaast wordt aanbevolen om GlobalProtect logs te doorzoeken op succesvolle gateway-connected events vanaf elk IP-adres dat gebruikmaakt van verdachte host-ID's of apparaatnamen. Als onderdeel van de monitoring na de PoC-publicatie, moeten GlobalProtect logs worden gecontroleerd op succesvolle gateway-connected events die overeenkomen met de hard-coded client configuratiewaarden uit de PoC code.

Organisaties worden aangemoedigd om het officiële beveiligingsadvies van Palo Alto Networks te raadplegen voor aanvullende details over de kwetsbaarheid, getroffen producten en configuratiebegeleiding. Rapid7 heeft eveneens een technische analyse van de waargenomen exploitatieactiviteit gepubliceerd. Palo Alto Networks Cortex Xpanse is in staat om publiekelijk blootgestelde PAN-OS gateways en GlobalProtect portals te identificeren. De bevindingen zijn gedeeld met leden van de Cyber Threat Alliance (CTA), die deze intelligentie gebruiken om snel bescherming aan hun klanten te bieden en kwaadwillende cyberactoren systematisch te verstoren.

Bron: Palo Alto Networks Unit 42 | Bron 2: cisa.gov | Bron 3: mastodon.social

Microsoft heeft recent kritieke kwetsbaarheden verholpen in zijn veelgebruikte diensten Exchange Online en Copilot. Deze lekken konden aanvallers in staat stellen data te stelen en in sommige gevallen zelfs remote code execution (RCE) uit te voeren. Het techbedrijf heeft verklaard dat er geen aanwijzingen zijn dat de problemen in het wild zijn misbruikt. Hoewel kwetsbaarheden die 'information disclosure' mogelijk maken doorgaans niet als kritiek worden beoordeeld, is dit in het geval van deze vier specifieke kwetsbaarheden in Exchange Online en Copilot wel het geval.

Eén van de gepatchte kwetsbaarheden betreft Microsofts online maildienst Exchange Online, geïdentificeerd als CVE-2026-48579. Dit lek werd veroorzaakt door 'improper authorization', wat wijst op een probleem met de toegangscontrole. Microsoft heeft deze kwetsbaarheid zelf ontdekt en heeft gemeld dat aanvallers deze konden exploiteren om gevoelige informatie te ontvreemden. Verdere technische details over de exacte aard van de improper authorization zijn niet vrijgegeven door Microsoft.

Daarnaast zijn er meerdere beveiligingslekken aangepakt in Microsoft M365 Copilot, specifiek CVE-2026-42824 en CVE-2026-45497. Ook Copilot Chat voor Microsoft Edge bevatte een soortgelijk probleem, aangeduid met CVE-2026-47644. Deze kwetsbaarheden ontstonden doordat de chatbot niet adequaat omging met 'speciale elementen' die in commando's konden worden ingevoegd. Een dergelijke foutieve verwerking kon leiden tot command injection, waardoor aanvallers de mogelijkheid kregen om informatie te stelen of willekeurige code op de getroffen systemen uit te voeren.

Microsoft heeft ervoor gekozen om geen diepgaande technische details over de kwetsbaarheden te publiceren, maar heeft het bestaan ervan uit transparantie wel bekendgemaakt. Voor gebruikers van de betreffende diensten is geen actie vereist; Microsoft heeft de noodzakelijke updates en patches reeds automatisch doorgevoerd.

Bron: Microsoft

Hackers zijn momenteel actief bezig met het misbruiken van een kritieke beveiligingsfout in Everest Forms Pro, een populaire WordPress plugin met ongeveer 4.000 actieve installaties. Deze kwetsbaarheid stelt aanvallers in staat om willekeurige code uit te voeren, wat kan leiden tot een volledige compromittering van de website. Het betreft CVE-2026-3300, een remote code execution bug met een CVSS score van 9.8, die alle versies van de plugin tot en met 1.9.12 treft. Een patch voor deze fout werd op 18 maart 2026 uitgebracht met versie 1.9.13.

Volgens onderzoek van Wordfence is de kwetsbaarheid te wijten aan de `process_filter()` functie van de Calculation Addon. Deze functie concateneert door gebruikers ingediende formulier veldwaarden in een PHP code string zonder adequate escapen, alvorens deze door te geven aan `eval()`. De `sanitize_text_field()` functie die op de invoer wordt toegepast, escapet geen enkele aanhalingstekens of andere PHP code context karakters. Dit maakt het voor ongeauthenticeerde aanvallers mogelijk om willekeurige PHP code op de server te injecteren en uit te voeren door een speciaal geconstrueerde waarde in te dienen in elk string-type formulierveld (tekst, e-mail, URL, selectie, radio) wanneer een formulier de 'Complex Calculation' functie gebruikt. Succesvolle exploitatie kan ongeauthenticeerde kwaadwillende actoren de mogelijkheid geven om malafide beheerdersaccounts aan te maken, web shells te implementeren en andere manieren te creëren om dieper in de server door te dringen en persistente toegang te verkrijgen. Wordfence heeft waargenomen dat aanvallers deze kwetsbaarheid sinds 13 april 2026 misbruiken, met meer dan 29.300 geblokkeerde exploitatiepogingen tot nu toe. Alleen al in de laatste 24 uur vonden 16 aanvalspogingen plaats. De meest voorkomende payload omvat pogingen om een beheerdersaccount genaamd "diksimarina" (e-mailadres diksimarina@gmail.com) aan te maken op de gecompromitteerde site. Deze aanvallen zijn afkomstig van IP-adres 2402:1f00:8000:800::40db.

Naast deze WordPress kwetsbaarheid heeft het Nederlandse e-commerce security bedrijf Sansec gewaarschuwd voor meerdere skimmer campagnes. Eén campagne maakt gebruik van Stripe als command-and-control (C2) server en een data exfiltratie sink. Het doel is om de reputatie van het merk Stripe te misbruiken en Content Security Policy regels en netwerkfilters te omzeilen. Aanvallers behandelen Stripe als gratis infrastructuur voor gestolen kaarten en als code hosting endpoint voor de skimmer, beide achter een domein dat standaard wordt vertrouwd door CSP regels en netwerkfilters. De campagne vertrouwt op Google Tag Manager (GTM) en Stripe domeinen (googletagmanager.com en api.stripe.com), die beide impliciet worden vertrouwd door online winkels. De malicieuze code wordt geladen vanuit een GTM container en uitgevoerd op elke pagina die deze laadt. Op Magento en Adobe Commerce checkout pagina's extraheert de skimmer een geobfusceerde skimmer uit het metadata veld van een Stripe klantaccount (bijvoorbeeld "cus_TfFjAAZQNOYENR"), en slaat financiële informatie, factuur- en e-mailadressen, en telefoonnummers van nietsvermoedende gebruikers op in `localStorage`. De vastgelegde gegevens worden vervolgens terug geëxfiltreerd naar het Stripe account van de aanvaller. Elke gestolen kaart wordt een 'klant' in het account van de aanvaller. Na succes verwijdert de loader de `localStorage` entry om te voorkomen dat hetzelfde record twee keer wordt verzonden. Het Stripe klantrecord met de skimmer zou op 24 december 2025 zijn aangemaakt, wat aangeeft dat de operatie mogelijk al sinds die datum actief is. Sansec identificeerde ook een tweede variant van de loader die Google Firestore in plaats van Stripe gebruikt, met hetzelfde doel, namelijk misbruik maken van een vertrouwde dienst als een covert kanaal dat onwaarschijnlijk wordt geblokkeerd door e-commerce winkels.

Deze bevindingen vallen samen met een grootschalige operatie genaamd GorgonAgora, die een cluster van 5.714 nep .shop storefronts heeft gebruikt. Deze sites imiteren bekende merken zoals Starbucks, Ford, Sony, Mattel, Hasbro, Lego, Disney en Toyota. De checkout pagina's van deze nep-webshops sluizen gestolen kaartgegevens naar één skimmer server in Moldavië. Deze campagne is al sinds augustus 2025 actief. Elke winkel draait dezelfde Medusa.js commerce stack en laadt dezelfde aangepaste checkout SDK, die een nep Stripe iframe rendert en kaartgegevens exfiltreert via een versleutelde WebSocket naar de server in Moldavië. De exfiltratie gebeurt via WebSocket met een AES-256-GCM payload, en de C2 onderhoudt een live 3D Secure relay. Wanneer de bank van het slachtoffer een 3DS challenge retourneert, proxy't de operator deze terug naar de shopper via het nep iframe, zodat de transactie wordt voltooid en de diefstal onzichtbaar blijft.

Bron: Sansec | Bron 2: wordfence.com

Google heeft een omvangrijke update voor zijn Chrome-browser uitgebracht, waarmee een recordaantal van 429 beveiligingslekken in één keer is verholpen. Van deze kwetsbaarheden zijn er 22 als kritiek aangemerkt, wat potentieel leidt tot remote code execution (RCE). Dit betekent dat aanvallers code op het systeem van gebruikers kunnen uitvoeren simpelweg door het bezoeken van een gecompromitteerde of malafide website, of door blootstelling aan besmette advertenties.

De kritieke problemen manifesteren zich in diverse onderdelen van de browser, waaronder ANGLE, Passwords en GPU. Een significant deel van deze kwetsbaarheden valt in de categorie 'Use after free', een type geheugenlek dat vaak misbruikt wordt voor het uitvoeren van kwaadaardige code. Opmerkelijk is dat Google zelf 371 van de 429 lekken heeft geïdentificeerd. Deze ontdekkingen vonden in een relatief korte periode plaats, waarbij Google de afgelopen weken al eerder omvangrijke updates uitbracht. Zo werden op 27 mei 151 kwetsbaarheden gepatcht, gevolgd door 79 lekken op 12 mei en 127 kwetsbaarheden op 5 mei.

Hoewel er pas vijf maanden van het jaar 2026 zijn verstreken, heeft Google nu al het grootste aantal Chrome-lekken ooit in één jaar gedicht. Het hoge aantal kritieke kwetsbaarheden is eveneens opvallend. Verschillende media berichten dat Google gebruikmaakt van kunstmatige intelligentie (AI) om deze beveiligingslekken op te sporen.

De bijgewerkte versies van Google Chrome zijn 149.0.7827.53 en 149.0.7827.54 voor macOS en Windows, en 149.0.7827.53 voor Linux. Hoewel de update op de meeste systemen automatisch zal plaatsvinden, kan dit proces enkele dagen tot weken in beslag nemen. Gebruikers die direct willen updaten, kunnen een handmatige controle uitvoeren via de browserinstellingen. Voor gebruikers van Microsoft Edge, die eveneens gebaseerd is op Googles Chromium-browser, is op dit moment nog geen vergelijkbare update beschikbaar.

Bron: chromereleases.googleblog.com

Instagram heeft op 6 juni 2026 een kritieke logische fout in de webgebaseerde procedure voor het resetten van wachtwoorden verholpen. Deze kwetsbaarheid stelde ongecensureerde e-mailadressen en telefoonnummers bloot die aan gebruikersaccounts waren gekoppeld, waaronder die van hooggeplaatste personen zoals Meta-topman Mark Zuckerberg en model Georgina Rodriguez. Meta, het moederbedrijf van Instagram, rolde naar verluidt binnen enkele uren na de openbaarmaking een noodpatch uit, maar niet voordat screenshots van de proof-of-concept zich verspreidden op sociale media.

De kwetsbaarheid bevond zich in de webinterface voor het resetten van wachtwoorden van Instagram. Het scherm voor accountherstel, dat ontworpen is om slechts gedeeltelijk geredigeerde herstelopties weer te geven, slaagde er niet in om gevoelige contactgegevens correct te maskeren voordat deze aan de aanvragende partij werden gepresenteerd. Onderzoekers ontdekten dat door een standaard wachtwoordreset voor een willekeurige gebruikersnaam te initiëren, de respons volledig zichtbare e-mailadressen en telefoonnummers retourneerde, in plaats van de gedeeltelijk verhulde versies die Instagram normaal toont (bijvoorbeeld m***@fb.com).

Screenshots van de proof-of-concept, gedeeld binnen de beveiligingsgemeenschap, toonden inlogschermen voor accounts zoals dat van Zuckerberg, met meerdere gekoppelde e-mailadressen en een gekoppeld telefoonnummer. Dit vormt een directe schending van Meta's beleid voor dataminimalisatie en mogelijk artikel 25 van de AVG over privacy by design.

De fout werd naar verluidt op 6 juni 2026 voor het eerst opgemerkt en publiekelijk gedemonstreerd door beveiligingsonderzoekers die de infrastructuur voor accountherstel van Meta volgden. Volgens onderzoekers ging het om een logische fout in de webgebaseerde resetprocedure en niet om een API-lek of een inbreuk aan de serverkant.

Meta bevestigde dat het lek snel met een noodpatch is gedicht en stelt dat er geen sprake was van een inbreuk op de eigen systemen.

Dit incident is het meest recente in een reeks beveiligingsproblemen bij Instagram in 2026. In januari maakte vergelijkbaar misbruik van de wachtwoordreset het voor derden mogelijk om massaal reset-e-mails te activeren, wat samenviel met het vermeende lek van 17,5 miljoen Instagram-gebruikersgegevens op darkweb-forums. Begin juni werd een afzonderlijke kwetsbaarheid in Meta's AI-gestuurde ondersteunende chatbot misbruikt door dreigingsactoren die prompt-injectie gebruikten om accounts van hooggeplaatste personen over te nemen, waaronder de gearchiveerde pagina van het Witte Huis en een account gelinkt aan de Amerikaanse Space Force, door de bot te overtuigen om doelaccounts te koppelen aan door aanvallers gecontroleerde e-mailadressen.

Beveiligingsonderzoekers hebben de toenemende frequentie van deze storingen deels toegeschreven aan architectonische beslissingen rond de automatisering van gevoelige accountfuncties door AI, waarbij zij opmerkten dat het verlenen van geprivilegieerde toegang aan AI-systemen voor accountherstel zonder robuuste identiteitsverificatie systemische risico's creëert.

Meta heeft ten tijde van publicatie geen CVE-identificatie voor deze logische fout bekendgemaakt. Gebruikers en beveiligingsteams dienen de beveiligingsadviezen van Meta te blijven volgen voor verdere details.

Bron: Meta

De Amerikaanse Cybersecurity en Infrastructure Security Agency (CISA) heeft op 8 juni 2026 twee nieuwe kwetsbaarheden toegevoegd aan haar Known Exploited Vulnerabilities (KEV) Catalog. Deze toevoeging is gebaseerd op concreet bewijs van actieve misbruik van deze kwetsbaarheden door kwaadwillende cyberactoren. CISA benadrukt dat dergelijke kwetsbaarheden een veelvoorkomende aanvalsvector vormen en aanzienlijke risico's met zich meebrengen voor organisaties.

De twee specifieke kwetsbaarheden die nu zijn opgenomen, zijn:

1.  **CVE-2026-42271:** Dit betreft een Command Injection kwetsbaarheid in BerriAI LiteLLM. Een command injection kwetsbaarheid stelt aanvallers in staat om willekeurige commando's uit te voeren op het onderliggende besturingssysteem, wat kan leiden tot volledige controle over het getroffen systeem.

2.  **CVE-2026-50751:** Dit is een Improper Authentication kwetsbaarheid in Check Point Security Gateway. Een gebrekkige authenticatie kan aanvallers in staat stellen om beveiligingsmechanismen te omzeilen en ongeautoriseerde toegang te verkrijgen tot beveiligde systemen of functionaliteiten.

De KEV Catalog is opgericht onder de Binding Operational Directive (BOD) 22-01 van CISA, getiteld "Reducing the Significant Risk of Known Exploited Vulnerabilities". Deze richtlijn is specifiek van toepassing op federale civiele uitvoerende overheidsinstanties (Federal Civilian Executive Branch - FCEB agencies) in de Verenigde Staten, en verplicht hen om de geïdentificeerde kwetsbaarheden binnen een gestelde termijn te herstellen om hun netwerken te beschermen tegen actieve dreigingen.

Hoewel BOD 22-01 formeel alleen geldt voor Amerikaanse federale instanties, dringt CISA er bij alle organisaties wereldwijd sterk op aan om hun blootstelling aan cyberaanvallen te verminderen. Dit kan worden bereikt door prioriteit te geven aan het tijdig herstellen van kwetsbaarheden die zijn opgenomen in de KEV Catalog, als integraal onderdeel van hun kwetsbaarheidsbeheerpraktijk. De KEV Catalog wordt continu bijgewerkt met kwetsbaarheden die voldoen aan de gespecificeerde criteria van actieve exploitatie.

Deze waarschuwing onderstreept het belang voor Nederlandse en Belgische organisaties om proactief hun systemen te controleren op de aanwezigheid van BerriAI LiteLLM en Check Point Security Gateway en, indien aanwezig, onmiddellijk de benodigde patches of mitigatiemaatregelen toe te passen. Het negeren van actief misbruikte kwetsbaarheden kan leiden tot ernstige beveiligingsincidenten en dataverlies.

Bron: CISA | Bron 2: cve.org

Aanvallers maken actief misbruik van een recent ontdekt beveiligingslek in SolarWinds Serv-U, waardoor FTP-servers kunnen crashen. Het Amerikaanse cyberagentschap CISA (Cybersecurity and Infrastructure Security Agency) heeft hiervoor gewaarschuwd. De kwetsbaarheid, aangeduid als CVE-2026-28318, stelt een ongeauthenticeerde aanvaller in staat om Serv-U FTP-servers te laten crashen door middel van een speciaal geprepareerd POST request.

SolarWinds Serv-U is software die organisaties gebruiken om een server op te zetten voor het uitwisselen van bestanden via FTP, FTPS en SFTP protocollen. Het bedrijf heeft op 3 juni een hotfix beschikbaar gesteld om de kwetsbaarheid te verhelpen. Twee dagen later, op 5 juni, meldde CISA al op de hoogte te zijn van actief misbruik van dit lek.

Hoewel SolarWinds geen verdere details heeft vrijgegeven over de kwetsbaarheid zelf, en CISA ook geen specifieke informatie heeft gedeeld over het waargenomen misbruik, is de ernst van de situatie duidelijk. In het verleden zijn andere kwetsbaarheden in Serv-U ook doelwit geworden van aanvallen, waarbij aanvallers toegang konden verkrijgen tot bestanden op de FTP-server. De huidige kwetsbaarheid richt zich op het veroorzaken van crashes, wat de beschikbaarheid van kritieke bestandsuitwisselingsdiensten kan ondermijnen. Organisaties die gebruikmaken van SolarWinds Serv-U worden dringend geadviseerd de beschikbare hotfix zo snel mogelijk te implementeren om hun servers te beveiligen tegen deze actieve bedreiging.

Bron: SolarWinds | Bron 2: cisa.gov

Check Point heeft een dringende waarschuwing uitgegeven betreffende actief misbruik van een kritieke kwetsbaarheid in zijn Remote Access VPN-oplossing. Dit ernstige beveiligingslek, dat is geïdentificeerd als CVE-2026-50751, stelt een ongeauthenticeerde aanvaller in staat om zonder de noodzaak van een geldig wachtwoord een VPN-verbinding met het bedrijfsnetwerk op te zetten. De leverancier heeft bevestigd dat tientallen organisaties reeds het slachtoffer zijn geworden van aanvallen die misbruik maken van deze kwetsbaarheid.

In reactie op de ontdekking heeft Check Point inmiddels beveiligingsupdates beschikbaar gesteld om het lek te verhelpen. Het is echter zorgwekkend dat het misbruik van de kwetsbaarheid al plaatsvond voordat deze essentiële patches werden uitgebracht. Uit een analyse van verzamelde logbestanden blijkt dat de eerste aanvallen al op 7 mei van dit jaar werden waargenomen. Vanaf begin deze maand was er een aanzienlijke toename in de frequentie van de aanvallen zichtbaar. Check Point detecteerde het verdachte gedrag op 4 juni, waarna een diepgaand onderzoek werd gestart dat uiteindelijk leidde tot de identificatie en bevestiging van het beveiligingslek.

Nadat aanvallers met succes een VPN-verbinding hebben opgezet via CVE-2026-50751, is aanvullende activiteit na authenticatie vereist om verdere toegang tot interne systemen te verkrijgen en de privileges binnen het netwerk te escaleren. In minstens één gedocumenteerd geval van een aangevallen organisatie, resulteerde de succesvolle inbraak in de uitrol van de Qilin-ransomware. Op basis van de waargenomen post-exploitatieactiviteiten stelt Check Point met een gemiddeld niveau van vertrouwen vast dat de aanvallers achter het misbruik van CVE-2026-50751 financieel gemotiveerd zijn en de Qilin-ransomware inzetten als primair instrument voor hun criminele operaties.

Organisaties die gebruikmaken van de Remote Access VPN-oplossingen van Check Point worden met klem geadviseerd om de onmiddellijk beschikbare updates te installeren. Deze updates zijn cruciaal om de kwetsbaarheid te dichten en verdere aanvallen te voorkomen. Tevens heeft Check Point Indicators of Compromise (IoC's) gedeeld, waaronder specifieke IP-adressen en bestandhashes. Deze informatie is bedoeld om organisaties in staat te stellen hun eigen systemen proactief te controleren op tekenen van compromittering en om snel te reageren indien zij het doelwit zijn geweest van deze aanvallen.

Bron: Check Point

Gogs, een veelgebruikt platform voor het hosten van code, heeft een kritieke zero-day kwetsbaarheid gedicht die aanvallers in staat stelde Internet-facing instanties te compromitteren en toegang te krijgen tot alle repositories, inclusief private exemplaren. De kwetsbaarheid, een argument injection flaw, heeft nog geen CVE-ID toegewezen gekregen, maar stelt geauthenticeerde aanvallers zonder adminrechten in staat om systemen te exploiteren. Alle Gogs-versies tot en met 0.14.2 en 0.15.0+dev worden getroffen.

Door misbruik te maken van deze kwetsbaarheid kunnen aanvallers de doelserver compromitteren, elke repository (inclusief private) lezen, inloggegevens stelen, lateraal bewegen binnen het netwerk en gehoste broncode wijzigen. Hoewel basisgebruikersrechten vereist zijn voor exploitatie, waarschuwde Rapid7-beveiligingsonderzoeker Jonah Burgess, die de kwetsbaarheid ontdekte en rapporteerde, dat alle Gogs servers met standaardconfiguraties kwetsbaar zijn.

Burgess legde twee weken geleden uit dat Gogs standaard is geconfigureerd met open registratie (DISABLE_REGISTRATION = false) en geen limiet op het aanmaken van repositories (MAX_CREATION_LIMIT = -1). Dit betekent dat een niet-geauthenticeerde aanvaller eenvoudig een account en repository kan aanmaken op een standaard geïnstalleerde instantie. Een geregistreerde gebruiker die een repository aanmaakt, wordt automatisch de eigenaar. Vanaf dat punt kan de optie voor 'rebase merging' met een enkele schakelaar in de instellingen worden ingeschakeld, waarna de volledige exploitketen kan worden uitgevoerd zonder interactie van andere gebruikers.

Tien dagen na de publieke bekendmaking door Rapid7, na een gebrek aan reactie op meerdere statusupdates, brachten de Gogs-maintainers op 7 juni versie 0.14.3 uit om deze kwetsbaarheid te patchen. Ze hebben tevens een CVE-ID aangevraagd. Rapid7 adviseert alle Gogs-gebruikers om onmiddellijk te upgraden, aangezien de fix is geïmplementeerd via pull request #8301.

Voor gebruikers die hun Gogs-instanties niet onmiddellijk kunnen patchen, heeft Rapid7 mitigatiemaatregelen gedeeld:

*   Beperk gebruikersregistratie door `DISABLE_REGISTRATION = true` in `app.ini` in te stellen. Dit is de meest effectieve maatregel, aangezien de exploit binnen de repository van een enkele gebruiker kan plaatsvinden.

*   Beperk het aanmaken van repositories door `MAX_CREATION_LIMIT = 0` in `app.ini` in te stellen. Dit kan ook per gebruiker worden ingesteld via 'Max Repo Creation' in het adminpaneel. Deze maatregel blokkeert de gemakkelijkste aanvalsroute, maar voorkomt geen exploitatie door gebruikers met schrijftoegang tot bestaande repositories.

*   Controleer de instellingen voor rebase merge. Hoewel 'Rebase before merging' per repository kan worden uitgeschakeld onder Instellingen > Geavanceerd, is dit geen effectieve verdediging tegen een kwaadwillende gebruiker die eigenaar is van een repository of adminrechten heeft, aangezien deze de rebase-optie naar eigen inzicht opnieuw kan inschakelen.

Gogs, geschreven in Go en ontworpen als alternatief voor GitHub Enterprise of GitLab, wordt vaak online blootgesteld als platform voor samenwerking op afstand. Internetbeveiligingswaakhond Shadowserver volgt momenteel meer dan 2.300 Internet-exposed Gogs servers, waarvan de meeste zich in Azië (1.839) en Europa (312) bevinden. Shodan vermeldt iets meer dan 1.000 IP-adressen met een Gogs-fingerprint.

Burgess merkte op dat deze kwetsbaarheid sterk lijkt op eerdere argument injection flaws die het Gogs-beveiligingsteam in recente jaren heeft gedicht, zoals CVE-2024-39933, CVE-2024-39932, CVE-2026-26194 en CVE-2024-39930. Het huidige lek bevindt zich echter in een ander codepad (Merge()) dat voorheen niet was aangepakt. Eerder, in december 2026, dichtte Gogs ook al een andere kwetsbaarheid in RCE (CVE-2025-8110) nadat deze actief werd misbruikt in zero-day aanvallen om honderden servers te compromitteren. CISA bevestigde op 12 januari dat CVE-2025-8110 in het wild werd misbruikt en voegde deze toe aan hun catalogus van actief geëxploiteerde kwetsbaarheden.

Bron: Rapid7 | Bron 2: github.com | Bron 3: cisa.gov

Onderzoekers hebben een kritieke keten van drie kwetsbaarheden in de Ubiquiti UniFi OS Server ontdekt die aanvallers in staat stelt om op afstand code uit te voeren met root-rechten, zonder authenticatie. Deze beveiligingsproblemen, aangeduid als CVE-2026-34908, CVE-2026-34909 en CVE-2026-34910, zijn reeds in mei aangepakt en beïnvloeden UniFi OS Server versies 5.0.6 en ouder. Hoewel alle drie de kwetsbaarheden de maximale ernstscore kregen, vermeldde het advies van de leverancier niet dat ze konden worden geketend voor uitvoering van code op afstand. Exploitatie vereist wel toegang tot het netwerk.

CVE-2026-34908 betreft een gebrek in toegangscontrole, waardoor ongeautoriseerde wijzigingen aan kwetsbare systemen mogelijk zijn. CVE-2026-34909 is een path traversal kwetsbaarheid die bestanden op het onderliggende besturingssysteem kan blootstellen. De derde kwetsbaarheid, CVE-2026-34910, is een command injectie kwetsbaarheid waarmee commando’s op de getroffen apparaten kunnen worden uitgevoerd.

Aanvullende technische details van Bishop Fox onderzoekers, die het volledige aanvalspad valideerden op een live UniFi OS Server 5.0.6-instantie, tonen aan hoe deze kwetsbaarheden samenwerken. CVE-2026-34908 en CVE-2026-34909 kunnen worden gebruikt om authenticatie te omzeilen en een kwetsbaar endpoint te bereiken. Eenmaal daar stelt CVE-2026-34910 command injectie mogelijk. Hoewel de geïnjecteerde commando’s aanvankelijk niet als root worden uitgevoerd, ontdekten de onderzoekers dat de sudo-rechten van het serviceaccount privilege-escalatie triviaal maken. Volgens Bishop Fox zijn er geen inloggegevens, gebruikersinteractie of voorafgaande toegang vereist om een root-shell op het doelsysteem te verkrijgen.

Een UniFi OS Server is meer dan een generieke Linux-machine; het is het beheerplatform voor een organisatienetwerk, inclusief, waar deze apparaten zijn geïmplementeerd, de fysieke toegangsdeuren, bewakingscamera’s en de daaraan gekoppelde identiteiten. Root-toegang op het apparaat betekent administratieve controle over alles wat de console beheert, waarschuwt Bishop Fox.

De hoofdoorzaak van de omzeiling van authenticatie ligt in een discrepantie tussen de manier waarop UniFi OS inkomende verzoeken valideert en routeert. Specifiek evalueert de authenticatiecomponent de ruwe aanvraag-URI, terwijl Nginx verzoeken routeert op basis van een genormaliseerde versie van diezelfde URI. Door verzoeken te creëren die in hun ruwe vorm gericht lijken op een van authenticatie vrijgesteld endpoint, maar na normalisatie naar beschermde interne routes leiden, kunnen aanvallers authenticatie omzeilen en backend-services bereiken die niet publiekelijk toegankelijk zouden moeten zijn. Eenmaal binnen kunnen aanvallers een endpoint voor pakketupdates aanvallen met CVE-2026-34910, waarbij ongevalideerde gebruikersinvoer wordt doorgegeven aan een shell-commando om willekeurige commando’s op het systeem uit te voeren. De geïnjecteerde commando’s worden uitgevoerd onder een serviceaccount met hoge privileges en wachtwoordloze sudo-toegang tot verschillende systeembestanden, wat escalatie naar root triviaal maakt.

Hoewel de onderzoekers de Remote Code Execution (RCE) keten valideerden, hebben zij de volledige details of een werkende Proof of Concept (PoC) niet gedeeld. Bishop Fox heeft een gratis detectiescript uitgebracht om beheerders te helpen ontdekken of hun UniFi-instantie kwetsbaar is voor de ongeauthenticeerde RCE-keten. Het script stuurt een speciaal geconstrueerd verzoek dat het kwetsbare codepad bereikt zonder gevaarlijke commando’s uit te voeren, en classificeert het doelsysteem als "kwetsbaar", "gepatcht", "niet getroffen" of "onduidelijk". Het is echter belangrijk op te merken dat het script geen actieve aanvallen detecteert, noch of exploitatie in het verleden heeft plaatsgevonden, of dat persistentie mechanismen of backdoors op het doelsysteem aanwezig zijn. De onderzoekers merken op dat het identificeren van eerdere exploitatie uitdagend kan zijn, omdat de aanval geen authenticatie vereist. Er is geen spoor van mislukte aanmeldingen om naar te zoeken.

Naast het detectiescript kunnen beheerders ook zoeken naar verzoeken die ‘/api/auth/validate-sso/’ bevatten, verzoeken naar ‘ucs/update/latest_package’ monitoren, verdachte onderliggende processen onder ‘ucs-update’ en onverwachte sudo-commando’s. Bishop Fox heeft bevestigd dat de aanvalsketen niet werkt op UniFi OS Server 5.0.8, dus gebruikers wordt geadviseerd om te upgraden naar deze release of een latere versie. Organisaties moeten echter bevestigen dat de update is geïnstalleerd op een systeem dat niet eerder is gecompromitteerd.

Bron: Bishop Fox | Bron 2: github.com | Bron 3: hubs.li

Het Belgisch Centrum voor Cybersecurity (CCB) heeft een waarschuwing uitgegeven voor drie ernstige kwetsbaarheden van het type Cross-Site Scripting (XSS) in verschillende VMware producten. Deze kwetsbaarheden, geïdentificeerd met de CVE-nummers CVE-2026-41723, CVE-2026-41724 en CVE-2026-41722, dragen een hoog risiconiveau met een CVSS v3.1 score van 8.0. Beheerders van de getroffen systemen worden dringend geadviseerd om onmiddellijk de beschikbare patches te installeren.

Cross-Site Scripting (XSS) kwetsbaarheden behoren tot de meest voorkomende webbeveiligingsproblemen. Ze stellen aanvallers in staat om schadelijke scripts uit te voeren in de browser van gebruikers die interactie hebben met de kwetsbare webapplicatie. Dit kan leiden tot diverse kwaadaardige acties, waaronder het stelen van sessiecookies, het omleiden van gebruikers naar phishing-pagina's, het uitvoeren van ongewenste acties namens de gebruiker, of het compromitteren van client-side data. Een succesvolle XSS aanval kan de integriteit en vertrouwelijkheid van gebruikerssessies ernstig ondermijnen.

De specifieke VMware producten die kwetsbaar zijn voor deze XSS-lekken zijn VMware (Telco) Cloud, vSphere Foundation en Aria Operations. De kwetsbaarheden zijn aangetroffen in versie 9.1.0.0 van deze software. Gezien de wijdverspreide adoptie van VMware-oplossingen in bedrijfskritische infrastructuren, waaronder de telecomsector, kan de impact van deze kwetsbaarheden aanzienlijk zijn als ze niet tijdig worden gepatcht.

Broadcom, de leverancier van VMware-producten, heeft beveiligingsadviezen uitgebracht met details over de kwetsbaarheden en de beschikbare oplossingen. Het is van cruciaal belang dat organisaties die de genoemde VMware-producten gebruiken, deze adviezen raadplegen en de aanbevolen patches zonder uitstel implementeren om potentiële exploits te voorkomen. Het negeren van dergelijke waarschuwingen kan leiden tot onbevoegde toegang tot systemen, dataverlies of andere ernstige beveiligingsincidenten. Het CCB benadrukt dat proactief patchen de beste verdediging is tegen dit soort bekende kwetsbaarheden.

Bron: CCB Advisories | Bron 2: nvd.nist.gov

Meta heeft een beveiligingsincident openbaar gemaakt dat betrekking heeft op een account herstel tool van Instagram. Aanvallers maakten misbruik van een kwetsbaarheid om wachtwoord reset links te verzenden naar e-mailadressen die niet waren gekoppeld aan de beoogde accounts. Dit incident trof in totaal 20.225 personen, waaronder 30 inwoners van de Amerikaanse staat Maine. Het probleem ontstond op 17 april 2026 en werd door Meta ontdekt op 31 mei 2026.

De kwetsbaarheid bevond zich in het "High Touch Support" systeem van Instagram, een AI ondersteund hulpmiddel dat is ontworpen om gebruikers te helpen weer toegang te krijgen tot hun account wanneer zij buitengesloten zijn. Als onderdeel van dit proces konden gebruikers een wachtwoord reset link aanvragen door een e-mailadres op te geven.

Volgens Meta functioneerde de support tool zelf zoals bedoeld, maar veroorzaakte een bug in een afzonderlijk code pad een ernstige validatiefout. Het systeem controleerde niet correct of het e-mailadres dat tijdens het herstelproces werd ingevoerd, overeenkwam met het e-mailadres dat al aan het Instagram account was gekoppeld. Door deze fout kon een onbevoegd persoon een wachtwoord reset aanvragen voor het Instagram account van iemand anders en de reset link naar een e-mailadres sturen dat zij beheerden. Als het beoogde account geen twee factor authenticatie had ingeschakeld, kon de aanvaller het wachtwoord resetten en toegang krijgen tot het account.

Meta is niet op de hoogte van welke specifieke persoonlijke informatie is ingezien. Het bedrijf heeft echter verschillende categorieën accountgegevens opgesomd die mogelijk toegankelijk waren, waaronder e-mailadressen, telefoonnummers, geboortedata, profielinformatie, posts, foto’s, video’s, stories, directe berichten, accountactiviteit, interactiegeschiedenis en verbonden accounts of gekoppelde diensten. De 30 gebruikers uit Maine die in de melding werden genoemd, waren personen van wie de wachtwoorden via de support tool waren gereset, die geen twee factor authenticatie hadden ingeschakeld, en van wie de Instagram accounts waarschijnlijk zijn geopend door een onbevoegde partij. Meta gaf ook aan dat dit aantal een bovengrens is, omdat een deel van de accountactiviteit mogelijk door legitieme accounteigenaren is uitgevoerd.

Na de ontdekking van de kwetsbaarheid heeft Meta de AI ondersteunde support tool op dezelfde dag uitgeschakeld en alle bestaande wachtwoord reset links die via het kwetsbare pad waren gegenereerd, ongeldig gemaakt. Het bedrijf heeft getroffen accounts ook achter een verplicht security checkpoint geplaatst, waarbij gebruikers zich opnieuw moesten authenticeren voordat zij weer toegang kregen. Meta instrueert getroffen gebruikers om hun wachtwoorden te resetten en zich opnieuw te authenticeren via veilige kanalen. Het bedrijf is ook van plan om getroffen gebruikers op 19 juni 2026 elektronisch op de hoogte te stellen en hen aan te bevelen de account security instellingen te controleren en twee factor authenticatie in te schakelen.

Voordat de tool opnieuw wordt geactiveerd, zal Meta de authenticatie controle in het Instagram herstelproces repareren, zodat wachtwoord reset verzoeken worden geverifieerd aan de hand van bestaande accountinformatie. Het bedrijf controleert ook vergelijkbare herstelprocessen op andere Meta platformen op gerelateerde problemen.

Deze melding komt in een periode waarin de account herstelsystemen van Instagram onder druk staan. Op 1 juni maakten hackers misbruik van de AI support bot van Meta om belangrijke Instagram accounts te kapen, waaronder het gearchiveerde Barack Obama White House account, Sephora en John Bentivegna, de Chief Master Sergeant van de U.S. Space Force. Enkele dagen later, op 6 juni, werd een ander wachtwoord reset probleem gemeld, waarbij een Instagram glitch volledige contactgegevens van spraakmakende gebruikers, inclusief e-mailadressen en een telefoonnummer gekoppeld aan Meta CEO Mark Zuckerberg, blootlegde via het wachtwoord reset proces. De melding van Meta in Maine stelt niet dat deze latere incidenten deel uitmaakten van hetzelfde incident; de melding is beperkt tot de AI ondersteunde High Touch Support herstel tool en de 20.225 gebruikers van wie de accounts mogelijk via dat pad zijn getroffen.

Instagram gebruikers die zich zorgen maken over de account security, wordt aangeraden recente login activiteit te controleren, onbekende gekoppelde accounts te verwijderen, hun wachtwoord bij te werken en twee factor authenticatie in te schakelen met een authenticator app of security key, indien beschikbaar.

Bron: Meta Platforms | Bron 2: maine.gov

IBM heeft recent kwetsbaarheden aangepakt in zijn IBM Aspera High-Speed Transfer Endpoint en Server, met name in versies variërend van 3.7.4 tot en met 4.4.7 Fix Pack 1. Deze beveiligingslekken zijn specifiek gevonden in de asperahttpd-component die deel uitmaakt van beide producten, cruciaal voor de functionaliteit van de snelle gegevensoverdrachtsystemen.

De kwetsbaarheden omvatten een buffer overflow, wat kan leiden tot diverse ernstige gevolgen. Zo kan een ongeauthenticeerde aanvaller misbruik maken van de buffer overflow om de asperahttpd-service te laten crashen. Dit resulteert direct in een Denial-of-Service (DoS), waardoor de beschikbaarheid van de service wordt onderbroken en legitieme gebruikers geen toegang meer hebben tot de overdrachtsmogelijkheden.

Naast DoS-aanvallen kunnen de kwetsbaarheden ook leiden tot het omzeilen van authenticatiemechanismen. Dit betekent dat aanvallers, onder bepaalde omstandigheden, de beveiligingscontroles kunnen omzeilen die normaliter toegang tot het systeem reguleren. Een nog ernstiger gevolg is de mogelijkheid tot de uitvoering van willekeurige code op afstand, wat aanvallers volledige controle over het getroffen systeem kan geven.

Bovendien kan een reeds geauthenticeerde gebruiker de normale autorisatiemechanismen omzeilen. Dit stelt de aanvaller in staat om lokaal opgeslagen bestanden op de server te lezen, zelfs zonder de vereiste toestemming. Deze brede reeks van kwetsbaarheden is vastgesteld in verschillende versies binnen het gespecificeerde bereik van de IBM Aspera High-Speed Transfer-producten, wat de noodzaak van tijdige patching onderstreept. Gebruikers van de getroffen IBM Aspera-producten worden geadviseerd de aangeboden fixes zo spoedig mogelijk te implementeren om de systemen te beveiligen tegen potentiële aanvallen.

Bron: NCSC

Het Centrum voor Cybersecurity België (CCB) heeft een urgente waarschuwing uitgegeven betreffende een kritieke kwetsbaarheid in het Malware Information Sharing Platform (MISP). De kwetsbaarheid, geïdentificeerd onder het CVE-nummer CVE-2026-10868, wordt gekenmerkt door een CVSS:4.0 risiconiveau, wat duidt op een zeer hoge ernst en een aanzienlijk risico voor de beveiliging. Het CCB roept alle gebruikers van MISP op om onmiddellijk de noodzakelijke patches toe te passen.

MISP is een open-source softwareplatform dat wereldwijd wordt ingezet door een breed scala aan organisaties, waaronder overheidsinstanties, nationale CERT's (Computer Emergency Response Teams) en bedrijven. Het primaire doel van MISP is het faciliteren van de uitwisseling van cruciale informatie over cyberdreigingen, zoals indicatoren van compromis (IoC's) en de tactieken, technieken en procedures (TTP's) die door aanvallers worden gebruikt. Dit platform stelt analisten op het gebied van beveiliging in staat om effectiever samen te werken en sneller te reageren op nieuwe en zich ontwikkelende cyberdreigingen.

De ontdekking van een kritieke kwetsbaarheid in een systeem dat zo essentieel is voor de coördinatie van cyberbeveiliging, brengt aanzienlijke risico's met zich mee. Potentiële gevolgen kunnen variëren van ongeautoriseerde toegang tot gevoelige dreigingsinformatie tot de manipulatie van gedeelde data, of zelfs de volledige compromittering van MISP-servers. Een succesvolle exploitatie van deze kwetsbaarheid zou niet alleen de operationele integriteit van de gebruikers van het platform ondermijnen, maar ook hun vermogen om effectief cyberdreigingen te detecteren, te analyseren en erop te reageren ernstig belemmeren.

Gezien de ernst van het risico en de wijdverspreide adoptie van MISP binnen de cybersecuritygemeenschap, is de waarschuwing van het CCB van cruciaal belang. Organisaties die MISP gebruiken, moeten de aanbeveling van het CCB serieus nemen en zonder uitstel de vereiste beveiligingsupdates implementeren. Dit is essentieel om hun systemen te beschermen tegen mogelijke aanvallen en de continuïteit van hun dreigingsinformatie-uitwisseling te waarborgen. Het niet tijdig patchen kan leiden tot ernstige beveiligingsincidenten en dataverlies.

Bron: Centrum voor Cybersecurity België (CCB) | Bron 2: nvd.nist.gov | Bron 3: vulnerability.circl.lu

Op 09 juni 2026 heeft IBM een reeks kwetsbaarheden verholpen die aanwezig waren in hun WebSphere Application Server en WebSphere Liberty producten. Specifiek zijn de versies 8.5 en 9.0 van deze servers getroffen. De kwetsbaarheden bevinden zich in de Web Server Plug-ins, essentiële componenten die een cruciale rol spelen in de afhandeling van verzoeken binnen deze veelgebruikte IBM omgevingen. Het Nationaal Cyber Security Centrum (NCSC) heeft een waarschuwing uitgegeven over deze kwetsbaarheden, wat de urgentie voor Nederlandse en Belgische organisaties onderstreept om de nodige updates toe te passen.

Eén van de ontdekte zwakke plekken betreft HTTP request smuggling. Dit type kwetsbaarheid stelt aanvallers in staat om zorgvuldig opgestelde HTTP verzoeken te gebruiken. Hiermee kunnen zij beveiligingscontroles omzeilen die normaliter in plaats zijn, of de reguliere verwerking van HTTP verzoeken op de server significant verstoren. Dergelijke aanvallen kunnen leiden tot onverwacht gedrag van de webserver en mogelijk verdere compromittering van de infrastructuur.

De tweede, en potentieel ernstigere, kwetsbaarheid maakt remote code execution (RCE) mogelijk. Dit betekent dat een kwaadwillende actor, door het verzenden van specifiek geconstrueerde verzoeken naar de kwetsbare plug-ins, op afstand willekeurige code kan uitvoeren op het getroffen systeem. De mogelijkheid tot remote code execution geeft aanvallers doorgaans volledige controle over de server, wat kan leiden tot datadiefstal, installatie van malware, of verdere uitbreiding van de aanval binnen het netwerk van een organisatie.

Beide kwetsbaarheden richten zich op kritieke onderdelen die verantwoordelijk zijn voor de communicatie tussen de webserver en de applicatie binnen de IBM WebSphere productsuite. Gezien de wijdverspreide adoptie van IBM WebSphere Application Server en WebSphere Liberty in bedrijfsomgevingen wereldwijd, en ook binnen Nederland en België, is het van groot belang dat organisaties die deze producten gebruiken, de door IBM uitgebrachte patches onmiddellijk implementeren. Het NCSC adviseert organisaties om hun systemen proactief te patchen om potentiële misbruik van deze zwakke plekken te voorkomen en de integriteit en beschikbaarheid van hun webapplicaties te waarborgen.

Bron: NCSC

Een ernstige use-after-free kwetsbaarheid, aangeduid als CVE-2026-23111, is ontdekt in het nftables-subsysteem van de Linux-kernel. Deze kwetsbaarheid stelt een ongeprivilegieerde lokale aanvaller in staat om volledige rootrechten te verkrijgen op diverse veelgebruikte Linux-distributies, waaronder Debian Bookworm, Debian Trixie, Ubuntu 22.04 LTS en Ubuntu 24.04 LTS.

De fout bevindt zich specifiek in de functie `nft_map_catchall_activate()`. Door een enkele omgekeerde voorwaarde, veroorzaakt door een verkeerd geplaatste operator, slaat de functie inactieve catchall-elementen ten onrechte over tijdens het afbreken, in plaats van ze correct opnieuw te activeren. Dit leidt ertoe dat een chain wordt vrijgegeven zodra het gebruik ervan tot nul daalt, terwijl catchall-verdict-elementen er nog steeds naar verwijzen. Dit resulteert in de use-after-free conditie.

De kwetsbaarheid werd begin 2025 ontdekt en op 5 februari 2026 via een kernelcommit upstream gepatcht. Op 8 juni 2026 publiceerde beveiligingsonderzoeker Oliver Sieber van Exodus Intelligence een gedetailleerde technische analyse, inclusief een werkende exploit. Deze exploit toont een betrouwbaarheid aan van meer dan 99 procent op inactieve systemen. Eerder, in april, had FuzzingLabs al onafhankelijk een reproductie van het probleem gepubliceerd. De kwetsbaarheid kan ook worden misbruikt om uit containers of namespaces te breken, wat de ernst van het probleem verder onderstreept.

Beheerders van de getroffen Linux-distributies wordt dringend geadviseerd om de upstream-kernelpatch toe te passen of te updaten naar een gepatchte kernelversie die door hun distributie wordt aangeboden. Voor Ubuntu systemen kan het beperken van het aanmaken van ongeprivilegieerde user namespaces een gedeeltelijke mitigatie bieden tegen de kwetsbaarheid.

Bron: Exodus Intelligence

Microsoft heeft recentelijk een reeks kwetsbaarheden verholpen die diverse Office-producten treffen, waaronder SharePoint, Word, Project en Excel. Kwaadwillenden zouden deze kwetsbaarheden kunnen misbruiken om aanvallen uit te voeren die leiden tot uiteenlopende vormen van schade, variërend van het verkrijgen van verhoogde rechten tot het uitvoeren van willekeurige code. Voor een succesvolle aanval is het vereist dat een slachtoffer wordt misleid tot het openen van een malafide bestand of het volgen van een kwaadaardige link.

Binnen Microsoft Office SharePoint zijn er meerdere kwetsbaarheden gedicht. De meest kritieke is CVE-2026-45484 met een CVSS-score van 8.80, die het mogelijk maakt om verhoogde rechten te verkrijgen. CVE-2026-47298 (CVSS 8.00) en CVE-2026-45454 (CVSS 6.50) kunnen leiden tot het uitvoeren van willekeurige code. Andere kwetsbaarheden, waaronder CVE-2026-45453 (CVSS 5.40) en CVE-2026-45465 (CVSS 5.40), bieden eveneens mogelijkheden voor het voordoen als andere gebruiker. Een groot aantal andere kwetsbaarheden in SharePoint, zoals CVE-2026-45467, CVE-2026-45468, CVE-2026-45479, CVE-2026-47636, CVE-2026-47637, CVE-2026-47638, CVE-2026-47639, CVE-2026-47641, CVE-2026-33113, CVE-2026-45462, CVE-2026-45464, CVE-2026-47634, CVE-2026-47640 en CVE-2026-45481, met CVSS-scores tussen 4.60 en 7.30, stellen een aanvaller in staat zich voor te doen als een andere gebruiker. Tot slot zijn er CVE-2026-48560 (CVSS 5.40) en CVE-2026-48562 (CVSS 4.60), die eveneens impersonatie als impact hebben.

Voor Windows Win32K - GRFX zijn twee kwetsbaarheden verholpen: CVE-2026-44803 en CVE-2026-44812, beide met een CVSS-score van 7.80, die kunnen leiden tot het uitvoeren van willekeurige code.

Microsoft Office Word kent ook meerdere kwetsbaarheden voor het uitvoeren van willekeurige code, waaronder CVE-2026-45475, CVE-2026-45471, CVE-2026-45486, CVE-2026-44819, CVE-2026-44824, CVE-2026-45643 en CVE-2026-45457, alle met een CVSS-score van 7.80. Daarnaast zijn CVE-2026-45485 (CVSS 3.30), CVE-2026-44821 (CVSS 5.50) en CVE-2026-45466 (CVSS 3.30) gedicht, die toegang tot gevoelige gegevens mogelijk maakten.

Microsoft Teams voor Android bevat CVE-2026-42835 (CVSS 8.10), een kwetsbaarheid die kan leiden tot toegang tot gevoelige gegevens. Office voor Android is kwetsbaar via CVE-2026-45649 (CVSS 7.10), waarmee een aanvaller zich kan voordoen als een andere gebruiker.

Microsoft Office Project kent één gedichte kwetsbaarheid, CVE-2026-45483 (CVSS 4.60), met als impact het voordoen als een andere gebruiker.

Algemene kwetsbaarheden die Microsoft Office treffen, omvatten CVE-2026-45472, CVE-2026-45474, CVE-2026-45456, CVE-2026-45458, CVE-2026-45461, CVE-2026-47635 en CVE-2026-45463, die allemaal een hoge CVSS-score van 8.40 hebben en het uitvoeren van willekeurige code mogelijk maken. CVE-2026-45645 (CVSS 7.80) heeft eveneens deze impact. Verder is CVE-2026-45460 (CVSS 4.70) verholpen, die toegang tot gevoelige gegevens kon verschaffen.

Voor Microsoft Office Excel zijn kritieke kwetsbaarheden gepatcht voor het uitvoeren van willekeurige code: CVE-2026-45469, CVE-2026-44817, CVE-2026-44820 en CVE-2026-44823 (alle CVSS 7.80), en CVE-2026-44818 (CVSS 7.00). CVE-2026-44822 (CVSS 8.20) kon leiden tot toegang tot gevoelige gegevens. Andere kwetsbaarheden zijn CVE-2026-45455 (CVSS 3.30) voor toegang tot gevoelige gegevens en CVE-2026-45459 (CVSS 3.30) voor het omzeilen van beveiligingsmaatregelen.

Ten slotte is in Microsoft Office Click-To-Run CVE-2026-47293 (CVSS 7.00) verholpen, die het verkrijgen van verhoogde rechten mogelijk maakte. Organisaties en gebruikers wordt geadviseerd de betreffende updates zo spoedig mogelijk te installeren om zich te beschermen tegen mogelijke misbruik van deze kwetsbaarheden.

Bron: NCSC

Een kritieke kwetsbaarheid in de software van Veeam maakt het mogelijk om op afstand code uit te voeren op back-upservers. Het bedrijf heeft inmiddels updates uitgebracht om dit probleem te verhelpen. Het beveiligingslek, aangeduid met CVE-2026-44963, bevindt zich specifiek in de back-upsoftware Veeam Backup & Replication, een oplossing die door organisaties wordt gebruikt voor het maken en herstellen van back-ups.

De kwetsbaarheid stelt een geauthenticeerde domain user in staat om willekeurige code uit te voeren op de back-upserver. Volgens Veeam's beveiligingsbulletin treft dit lek uitsluitend versie 12 van Backup & Replication. Bovendien lopen alleen back-upservers die zijn aangesloten bij een domein ("domain-joined") risico. Cybersecurity bedrijf Rapid7 heeft eerder aangegeven dat dit een veelvoorkomende configuratie is binnen organisaties, wat de potentiële impact van het lek vergroot.

Veeam heeft geen melding gemaakt van actief misbruik van deze specifieke kwetsbaarheid. Er zijn echter in het verleden wel andere lekken in de software van Veeam misbruikt bij cyberaanvallen. Het Amerikaanse cyber agentschap CISA houdt een catalogus bij van kwetsbaarheden die actief worden uitgebuit. In deze catalogus staan momenteel vier verschillende kwetsbaarheden in Veeam vermeld, wat het belang van tijdige updates onderstreept. Organisaties die Veeam Backup & Replication versie 12 gebruiken, worden dringend geadviseerd de uitgebrachte updates onmiddellijk te installeren om hun back-up infrastructuur te beveiligen tegen potentiële aanvallen.

Bron: Veeam | Bron 2: cisa.gov | Bron 3: rapid7.com

De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft federale overheidsinstanties bevolen om een kritieke kwetsbaarheid in Check Point Remote Access VPN en Mobile Access implementaties te patchen. Deze kwetsbaarheid, aangeduid als CVE-2026-50751, wordt actief misbruikt in zero-day aanvallen door Qilin ransomware-affiliates. Ongeauthenticeerde externe aanvallers kunnen deze beveiligingsfout exploiteren om authenticatie te omzeilen en een Remote Access VPN verbinding tot stand te brengen op kwetsbare Mobile Access/SSL VPN's, Remote Access VPN's of Spark firewalls.

De kwetsbaarheid treft alleen exemplaren die zijn geconfigureerd om het verouderde IKEv1 sleuteluitwisselingsprotocol te gebruiken, in combinatie met security gateways die geen machinecertificaat vereisen voor verbindingen en die legacy Remote Access clients accepteren. De Israëlische cybersecurityfirma Check Point heeft beveiligingsupdates uitgebracht om CVE-2026-50751 aan te pakken. Zij gaven aan dat de exploitatie van de kwetsbaarheid begon op 7 mei en in het weekend daarop een piek vertoonde.

Hoewel deze aanvallen wereldwijd slechts bij "enkele tientallen" organisaties tot inbraken hebben geleid, heeft Check Point ten minste één incident in verband gebracht met de Qilin Ransomware als een Dienst (RaaS) operatie. Qilin heeft sinds zijn verschijning in augustus 2022 meer dan 400 slachtoffers geclaimd op zijn darkweb lek site. Check Point heeft klanten die het IKEv1 sleuteluitwisselingsprotocol gebruiken, sterk aangeraden de beschikbare beveiligingsupdates onmiddellijk toe te passen.

Voor organisaties die niet direct kunnen patchen, heeft Check Point mitigatiemaatregelen gedeeld. Deze omvatten het verwijderen van ondersteuning voor de legacy Remote Access client, het configureren van wereldwijde eigenschappen voor Remote Access VPN authenticatie naar alleen IKEv2, het inschakelen van IPS en het downloaden van de signatures, en het verplicht stellen van authenticatie via machinecertificaten.

CISA heeft CVE-2026-50751 toegevoegd aan zijn Known Exploited Vulnerabilities (KEV) Catalogus en federale civiele uitvoerende instanties (FCEB) bevolen hun apparaten uiterlijk 11 juni te beveiligen, zoals voorgeschreven door de Bindende Operationele Richtlijn (BOD) 22-01. CISA benadrukte dat dit type kwetsbaarheid een veelvoorkomende aanvalsvector is voor kwaadwillende cyberactoren en aanzienlijke risico's vormt voor de federale overheid. Hoewel de richtlijn specifiek is voor Amerikaanse federale instanties, heeft CISA alle beveiligingsteams, inclusief die in de private sector, aangespoord om de patches voor CVE-2026-50751 zo snel mogelijk te implementeren en de netwerken van hun organisaties te beveiligen.

Bron: Check Point | Bron 2: cisa.gov | Bron 3: nvd.nist.gov

De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft recentelijk drie nieuwe kwetsbaarheden toegevoegd aan haar catalogus van bekende misbruikte kwetsbaarheden (Known Exploited Vulnerabilities - KEV). Deze toevoeging is gebaseerd op concreet bewijs van actieve exploitatie door kwaadwillende cyberactoren. De betreffende kwetsbaarheden vormen een aanzienlijk risico voor federale netwerken en worden door CISA sterk aanbevolen voor onmiddellijke remediëring door alle organisaties.

De drie specifieke kwetsbaarheden die aan de KEV-catalogus zijn toegevoegd, zijn:

*   **CVE-2026-7473**: Een kwetsbaarheid in het Arista Extensible Operating System (EOS), omschreven als een 'Incomplete Comparison with Missing Factors Vulnerability'.

*   **CVE-2026-11645**: Een kwetsbaarheid in Google Chromium V8, een out-of-bounds read en write kwetsbaarheid.

*   **CVE-2026-20245**: Een kwetsbaarheid in Cisco Catalyst SD-WAN Manager, die betrekking heeft op 'Improper Encoding or Escaping of Output'.

Deze typen kwetsbaarheden worden frequent ingezet als aanvalsvector door cybercriminelen en kunnen leiden tot significante risico's. De KEV-catalogus is tot stand gekomen via de Binding Operational Directive (BOD) 22-01, getiteld "Reducing the Significant Risk of Known Exploited Vulnerabilities". Deze richtlijn verplicht federale civiele uitvoerende tak (FCEB) agentschappen om geïdentificeerde kwetsbaarheden vóór een gestelde deadline te herstellen om hun netwerken te beschermen tegen actieve dreigingen.

Hoewel BOD 22-01 primair van toepassing is op FCEB-agentschappen, benadrukt CISA het belang voor alle organisaties om hun blootstelling aan cyberaanvallen te verminderen. Dit kan door prioritering van tijdige remediëring van de kwetsbaarheden die in de KEV-catalogus zijn opgenomen, als een integraal onderdeel van hun kwetsbaarhedenbeheer. CISA zal de catalogus blijven aanvullen met kwetsbaarheden die aan de gespecificeerde criteria voldoen.

Bron: CISA | Bron 2: cve.org

Onderzoekers hebben zes kwetsbaarheden ontdekt in protobuf.js, een JavaScript- en TypeScript-implementatie van Protocol Buffers (Protobuf). Deze kwetsbaarheden, gezamenlijk aangeduid als Proto6, kunnen bij succesvolle exploitatie leiden tot remote code execution (RCE) en denial-of-service (DoS) aanvallen op Node.js applicaties. Assaf Morag, beveiligingsonderzoeker bij Cyera, stelt dat in getroffen omgevingen een enkel kwaadaardig Protobuf-schema, descriptor of speciaal gemaakt payload voldoende kan zijn om crashes, runtime corruptie of zelfs code-uitvoering te veroorzaken.

Protobuf is een gratis, open-source en taalagnostisch mechanisme voor het serialiseren van gestructureerde data, oorspronkelijk ontwikkeld en intern gebruikt door Google. De geïdentificeerde kwetsbaarheden treffen Node.js applicaties die protobuf.js gebruiken, clientbibliotheken van Google Cloud, messaging frameworks zoals Baileys, en CI/CD-pijplijnen. Volgens Cyera is elke Node.js dienst die Protobuf-data deserialiseert of code genereert uit schema's met protobuf.js waarschijnlijk getroffen.

De kwetsbaarheden omvatten:

*   **CVE-2026-44289 (CVSS score: 7.5):** DoS door onbegrensde Protobuf-recursie.

*   **CVE-2026-44290 (CVSS score: 7.5):** Procesbrede DoS bij het laden van schema's met onveilige optiepaden.

*   **CVE-2026-44291 (CVSS score: 8.1):** Gadget voor codegeneratie na prototype-vervuiling. Dit is de meest ernstige kwetsbaarheid, die resulteert in code-uitvoering wanneer een Node.js applicatie input accepteert die door een aanvaller wordt beheerd. Vladimir Tokarev, beveiligingsonderzoeker, legt uit dat deze input een prototype-vervuilingsgadget bereikt. Later gebruikt hetzelfde proces protobuf.js om een bericht te coderen of decoderen. Omdat protobuf.js typenamen oplost via eenvoudige eigenschapzoekopdrachten, kan een vervuild Object.prototype ervoor zorgen dat een door een aanvaller beheerde string eruitziet als een geldige Protobuf-primitief. Protobuf.js voegt die string vervolgens in een gegenereerde encoder- of decoderfunctie in en compileert deze met Function(), waardoor de aanvaller willekeurige JavaScript-uitvoering binnen het Node.js-proces verkrijgt.

*   **CVE-2026-44292 (CVSS score: 5.3):** Prototype-injectie in gegenereerde berichtconstructors.

*   **CVE-2026-44294 (CVSS score: 5.3):** DoS door speciaal geformuleerde veldnamen in gegenereerde code.

*   **CVE-2026-44295 (CVSS score: 8.7):** Code-injectie in de statische output van pbjs vanuit speciaal geformuleerde schemanamen.

Cyera heeft vastgesteld dat alle kwetsbaarheden voortkomen uit de manier waarop de bibliotheek schema en metadata standaard als vertrouwd behandelt. Dit gebrek aan validatie kan het gedrag van applicaties beïnvloeden en leiden tot code-uitvoering. Hoewel de exploitatie van deze kwetsbaarheden doorgaans specifieke voorwaarden vereist, komen deze voorwaarden steeds vaker voor in data- en AI-ecosystemen die routinematig data, schema's en configuratiebestanden uitwisselen tussen diensten, repositories, cloudplatforms en integraties met derden.

In een potentieel aanvalsscenario zou een kwaadwillende actor een kwaadaardig Protobuf-schema kunnen introduceren om CI/CD-workflows te vergiftigen, waarbij build-secrets kunnen lekken (CVE-2026-44295). Ook kunnen Node.js-diensten, zoals WhatsApp-bots die zijn gebouwd met Baileys, een TypeScript-bibliotheek voor automatisering van de WhatsApp Web API, crashen door middel van een speciaal geformuleerd bericht (CVE-2026-44292).

De volgende versies van de tool zijn kwetsbaar, namelijk protobuf.js versies ouder dan 7.5.6 en 8.0.2. Patches zijn beschikbaar in protobufjs 7.5.6 en 8.0.2, en protobufjs-cli 1.2.1 en 2.0.2. Gebruikers wordt geadviseerd de nieuwste fixes toe te passen om zich te beschermen tegen mogelijke dreigingen.

Vanwege het intensieve gebruik van protobuf.js in databases, vector stores, inference-pijplijnen, orchestratiesystemen, CI/CD-tools en cloud-SDK's, kan succesvolle exploitatie gevoelige bedrijfs- en AI-workloads op grote schaal beïnvloeden. Moderne software behandelt schema's, metadata en configuratiebestanden steeds vaker als vertrouwde inputs die automatisering, orkestratie en codegeneratie aansturen. Wanneer deze vertrouwensaannames worden doorbroken, kan data gedrag worden, wat nieuwe aanvalsoppervlakken creëert die beveiligingsteams moeten leren identificeren en beheren.

Bron: Cyera

ServiceNow, een wereldwijde leverancier van cloud-gebaseerde platforms voor digitale workflows, heeft een beveiligingsincident openbaar gemaakt. Dit incident omvatte de exploitatie van een kwetsbaarheid in een niet-geauthenticeerde REST API. Aanvallers maakten misbruik van dit beveiligingslek om toegang te verkrijgen tot klantinstellingen en hieruit klantdata op te vragen.

De aard van een niet-geauthenticeerde REST kwetsbaarheid in API betekent doorgaans dat het mogelijk was om via de API toegang te krijgen tot systemen zonder de vereiste inloggegevens of authenticatietokens. Dit type kwetsbaarheid vormt een ernstig risico, aangezien het ongeautoriseerde partijen in staat stelt om interactie te hebben met de API en onderliggende gegevens of functionaliteiten te benaderen.

De succesvolle exploitatie resulteerde in de mogelijkheid voor aanvallers om de klantinstellingen van ServiceNow te benaderen en specifieke klantdata op te vragen. Hoewel de exacte omvang van de gecompromitteerde data en het aantal getroffen klanten niet specifiek zijn vermeld in de openbaarmaking, duidt het vermogen om klantinstellingen te betreden en data op te vragen op een potentieel aanzienlijke inbreuk op de vertrouwelijkheid en integriteit van gegevens.

Gezien de wijdverspreide adoptie van ServiceNow-platforms door bedrijven en organisaties wereldwijd, waaronder een aanzienlijk aantal in Nederland en België, benadrukt dit incident het kritieke belang van robuuste beveiligingsmaatregelen voor alle API-endpoints. Het incident onderstreept tevens de noodzaak voor organisaties om alert te zijn op disclosures van softwareleveranciers en snel te reageren op eventuele aanbevolen mitigatiestappen of patches om hun eigen omgevingen te beschermen tegen vergelijkbare aanvallen.

Bron: Darkweb

SAP heeft in juni 2026 een beveiligingspatchpakket uitgebracht met daarin oplossingen voor vijftien kwetsbaarheden, waarvan vier als kritiek zijn geclassificeerd. Deze kritieke zwakke plekken beïnvloeden de bedrijfskritische platforms SAP NetWeaver en SAP Commerce Cloud.

SAP NetWeaver fungeert als de kernapplicatieplatform en middlewarestack van SAP, die de basis vormt voor tal van SAP-bedrijfstoepassingen, inclusief ERP-systemen. Het platform beheert essentiële functies zoals applicatieservering, integratie, authenticatie, gebruikersbeheer en gegevensverwerking. SAP Commerce Cloud, voorheen bekend als Hybris, is een e-commerceplatform voor bedrijven dat organisaties in staat stelt online winkels, digitale verkoopkanalen, productcatalogi, klantaccounts en orderbeheersystemen te bouwen en te beheren voor zowel B2B- als B2C-handel.

In de recente beveiligingsbulletin van deze maand heeft SAP de volgende kritieke kwetsbaarheden aangepakt:

*   **CVE-2026-44748 (CVSS 9.9)**: Een XML Signature kwetsbaarheid in Wrapping in SAP NetWeaver AS ABAP en ABAP Platform. Deze kwetsbaarheid kan leiden tot een authenticatiebypass in SAML-gebaseerde omgevingen. Een geauthenticeerde aanvaller met normale privileges kan een geldig ondertekend bericht verkrijgen en gemodificeerde, ondertekende XML-documenten naar de verificateur sturen. Dit kan ertoe leiden dat onrechtmatig gewijzigde identiteitsinformatie wordt geaccepteerd, wat resulteert in ongeautoriseerde toegang tot gevoelige gebruikersgegevens en een mogelijke verstoring van het normale systeemgebruik.

*   **CVE-2026-27671 (CVSS 9.8)**: Een geheugenbeschadigingsfout in SAP NetWeaver/ABAP Platform Application Server ABAP. Deze kwetsbaarheid kan zonder authenticatie worden misbruikt door een aanvaller die speciaal vervaardigde RFC-verzoeken naar kwetsbare endpoints stuurt, waarbij misbruik wordt gemaakt van onjuiste kernelvalidatie om geheugenbeschadiging te veroorzaken.

*   **CVE-2026-22732 (CVSS 9.1)**: Een kwetsbaarheid gerelateerd aan Spring Security die SAP Commerce Cloud en SAP Data Hub treft.

*   **CVE-2026-40128 (CVSS 9.0)**: Een directory traversal-kwetsbaarheid in de Web Container van SAP NetWeaver Application Server Java.

Naast de kritieke beveiligingsproblemen heeft SAP ook twee kwetsbaarheden met een hoge ernst opgelost. Dit betreft CVE-2026-29145, die meerdere Apache Tomcat-fouten in Commerce Cloud omvat, en CVE-2026-44751, een probleem met een ontbrekende autorisatiecheck in NetWeaver AS ABAP.

De Duitse ondernemingssoftwaregigant heeft tevens diverse SQL-injectie-, path traversal-, cross-site scripting (XSS)-, e-mail spoofing- en autorisatiebypass-problemen in meerdere SAP-producten aangepakt. Gedetailleerde informatie over de kwetsbaarheden en advies voor mitigatie of tijdelijke oplossingen is enkel beschikbaar voor SAP-klanten met een beveiligingsportalaccount. Organisaties die de getroffen producten gebruiken, dienen prioriteit te geven aan het installeren van de patches, met name voor de SAML-authenticatiekwetsbaarheid (CVE-2026-44748) en het geheugenbeschadigingsprobleem (CVE-2026-27671), die als zeer ernstig zijn beoordeeld en een aanzienlijke impact kunnen hebben op bedrijfsomgevingen.

Bron: SAP | Bron 2: cve.org | Bron 3: hubs.li

Siemens heeft recentelijk een reeks kwetsbaarheden verholpen die aanwezig waren in verschillende van zijn cruciale industriële producten. Deze updates zijn van toepassing op systemen zoals SCALANCE, SIMATIC, SINAMICS, SIPROTEC en TIA Portal, die veelvuldig worden ingezet in industriële productieomgevingen wereldwijd, inclusief in Nederland en België. Het Nationale Cyber Security Centrum (NCSC) heeft hierover een waarschuwing uitgegeven, waarin de urgentie van het toepassen van de patches wordt benadrukt.

De ontdekte kwetsbaarheden boden kwaadwillenden de mogelijkheid om diverse aanvalstypen uit te voeren met potentieel ernstige gevolgen. Een van de risico's betrof Denial-of-Service (DoS) aanvallen, die kunnen leiden tot het platleggen van systemen en kritieke processen, met aanzienlijke operationele verstoringen tot gevolg. Daarnaast bestond de mogelijkheid tot manipulatie van gegevens, waardoor de integriteit van essentiële procesinformatie in gevaar kon komen.

Verder konden aanvallers misbruik maken van de kwetsbaarheden om beveiligingsmaatregelen te omzeilen, wat hen ongeautoriseerde toegang zou kunnen verschaffen tot de systemen. Een bijzonder zorgwekkend risico was de potentie voor Remote Code Execution, waarbij een aanvaller op afstand code kon uitvoeren met root- of administratorrechten. Dit zou hen volledige controle over de getroffen systemen geven. Tenslotte was ook toegang tot systeemgegevens mogelijk, wat kan leiden tot diefstal van gevoelige operationele of intellectuele eigendomsinformatie.

Voor het uitvoeren van deze aanvallen is het een vereiste dat de kwaadwillende toegang heeft tot de productieomgeving waarin de Siemens-producten actief zijn. Het NCSC onderstreept het belang van de reeds bestaande best practice om dergelijke industriële omgevingen niet publiek toegankelijk te maken. Een strikte segmentatie en isolatie van Operational Technology (OT) netwerken ten opzichte van IT-netwerken en het internet is cruciaal om het aanvalsoppervlak te minimaliseren en het risico op ongeautoriseerde toegang te verlagen. Organisaties die de genoemde Siemens-producten gebruiken, worden dringend geadviseerd de door Siemens uitgebrachte patches en updates zo spoedig mogelijk te implementeren om hun systemen te beveiligen tegen deze kwetsbaarheden.

Bron: NCSC

Het Nationaal Cyber Security Centrum (NCSC) heeft geadviseerd over een recent verholpen kwetsbaarheid in Microsoft Dynamics, specifiek gericht op de on-premise implementaties van de bedrijfssoftware. Microsoft heeft een patch uitgebracht om dit beveiligingslek te dichten, dat als ernstig wordt beschouwd vanwege de potentiële impact op bedrijfssystemen.

De kwetsbaarheid stelt een kwaadwillende in staat om, na succesvolle exploitatie, verhoogde rechten te verkrijgen op het getroffen systeem. Dit fenomeen, bekend als privilege-escalatie, betekent dat een aanvaller die al een zekere mate van toegang heeft, deze toegang kan uitbreiden tot een veel hoger niveau. In het ergste geval kan de aanvaller de rechten verhogen tot die van een System Administrator. Het verkrijgen van System Administrator-rechten op een Dynamics systeem kan leiden tot volledige controle over de applicatie en mogelijk ook over de onderliggende serverinfrastructuur. Dit omvat de mogelijkheid om gegevens te manipuleren, te stelen, of kwaadaardige software te installeren die verdere toegang tot het bedrijfsnetwerk mogelijk maakt.

Voor een succesvolle exploitatie van deze kwetsbaarheid is het een vereiste dat de aanvaller reeds geauthenticeerd is op het kwetsbare Dynamics systeem. Dit houdt in dat de aanval niet plaatsvindt zonder enige vorm van initiële toegang, zoals via gestolen inloggegevens, een gecompromitteerd account, of een ander beveiligingslek. Hoewel dit de aanvalsvector beperkt tot reeds gecompromitteerde omgevingen of interne dreigingen, vermindert het de ernst van de kwetsbaarheid niet. Eenmaal binnen het netwerk kan een aanvaller deze kwetsbaarheid gebruiken om laterale beweging te vergemakkelijken en zijn positie te verstevigen binnen de gecompromitteerde infrastructuur.

Organisaties die gebruikmaken van Microsoft Dynamics (on-premise) worden met klem geadviseerd om de door Microsoft uitgebrachte beveiligingsupdates zo snel mogelijk te implementeren. Het tijdig patchen van dergelijke kwetsbaarheden is cruciaal om het risico op misbruik door cybercriminelen en andere kwaadwillende actoren te minimaliseren en de integriteit en vertrouwelijkheid van bedrijfskritische gegevens te waarborgen. Het NCSC benadrukt het belang van een proactief patchbeheer als een fundamentele maatregel binnen de cybersecuritystrategie van elke organisatie.

Bron: NCSC

Microsoft heeft recentelijk meerdere kwetsbaarheden verholpen in zowel de on-premise versies van Exchange Server als in Exchange Online. Deze kwetsbaarheden kunnen door kwaadwillenden worden misbruikt om zich voor te doen als een andere gebruiker, toegang te verkrijgen tot gevoelige gegevens, en in sommige gevallen zelfs willekeurige code uit te voeren of verhoogde rechten te verkrijgen.

De meest ernstige kwetsbaarheid, aangeduid met CVE-2026-48579, werd ontdekt in Exchange Online. Deze kwetsbaarheid had een CVSS-score van 9.10 en kon leiden tot ongeautoriseerde toegang tot gevoelige gegevens. Microsoft heeft deze specifieke kwetsbaarheid reeds centraal verholpen, wat betekent dat gebruikers van Exchange Online geen verdere actie hoeven te ondernemen. De informatie hierover is primair opgenomen ter kennisgeving.

Voor de on-premise implementaties van Microsoft Exchange Server zijn er echter meerdere andere kwetsbaarheden gepatcht. Deze vereisen aandacht van beheerders. Enkele van deze kwetsbaarheden stellen aanvallers in staat zich voor te doen als andere gebruikers. Dit betreft CVE-2026-45500 (CVSS 6.10), CVE-2026-45501 (CVSS 6.50) en CVE-2026-47631 (CVSS 8.10). Het misbruik hiervan kan leiden tot ongeautoriseerde acties onder de identiteit van een legitieme gebruiker.

Andere kwetsbaarheden in Exchange Server hadden betrekking op de toegang tot gevoelige gegevens. CVE-2026-45502 (CVSS 5.00) en CVE-2026-45503 (CVSS 8.10) vallen onder deze categorie, waarbij aanvallers potentiële toegang kunnen verkrijgen tot vertrouwelijke informatie die op de server is opgeslagen.

Verder zijn er twee kritieke kwetsbaarheden verholpen die verdergaande controle over het systeem mogelijk maken. CVE-2026-45504, met een CVSS-score van 8.80, stond aanvallers toe om verhoogde rechten te verkrijgen binnen het systeem. De meest potentieel schadelijke kwetsbaarheid in de on-premise server, CVE-2026-45583 (CVSS 7.50), maakte het mogelijk om willekeurige code uit te voeren. Dit kan leiden tot volledige compromittering van de getroffen Exchange Server.

Beheerders van Microsoft Exchange Server wordt geadviseerd om de relevante updates zo spoedig mogelijk te installeren om hun systemen te beschermen tegen misbruik van deze verholpen kwetsbaarheden.

Bron: NCSC

Microsoft heeft recentelijk meerdere kwetsbaarheden verholpen in diverse Developer Tools, waaronder Visual Studio Code, GitHub Copilot, Microsoft Live Share Canvas SDK, ASP.NET Core en .NET. Deze lekken konden door kwaadwillenden worden misbruikt om verschillende vormen van schade aan te richten, variërend van manipulatie van gegevens tot het verkrijgen van verhoogde rechten en Denial of aanvallen met Service.

Voor de meeste van deze kwetsbaarheden geldt dat een aanvaller lokale toegang tot het kwetsbare systeem nodig heeft, of het slachtoffer moet misleiden om een kwaadaardig broncodebestand te openen en uit te voeren. Een uitzondering hierop is de kwetsbaarheid in .NET Core (CVE-2026-45591), die zonder voorafgaande authenticatie of gebruikersinteractie kan leiden tot een Denial of Service.

In Visual Studio Code zijn zes kwetsbaarheden aangepakt. CVE-2026-47287, met een CVSS-score van 6.50, kon leiden tot manipulatie van gegevens. Drie andere kwetsbaarheden, CVE-2026-47292 (CVSS 7.80), CVE-2026-40376 (CVSS 7.50) en CVE-2026-47281 (CVSS 9.60), maakten het mogelijk om verhoogde rechten te verkrijgen. De kwetsbaarheid CVE-2026-47284 (CVSS 6.50) gaf toegang tot gevoelige gegevens, terwijl CVE-2026-48569 (CVSS 7.10) een omzeiling van beveiligingsmaatregelen mogelijk maakte.

Een aparte kwetsbaarheid, CVE-2026-45482 met een CVSS-score van 8.40, trof zowel GitHub Copilot als Visual Studio Code en kon eveneens leiden tot het omzeilen van beveiligingsmaatregelen.

De Microsoft Live Share Canvas SDK bevatte CVE-2026-45644 (CVSS 8.00), waardoor aanvallers verhoogde rechten konden verkrijgen. Binnen ASP.NET Core is de eerder genoemde Denial of Service kwetsbaarheid CVE-2026-45591 (CVSS 7.50) verholpen.

Tot slot zijn er twee kwetsbaarheden in .NET aangepakt. CVE-2026-45490 (CVSS 7.80) kon leiden tot het verkrijgen van verhoogde rechten, en CVE-2026-45491 (CVSS 6.20) maakte manipulatie van gegevens mogelijk. Gebruikers van de betreffende Microsoft Developer Tools wordt aangeraden de beschikbare updates zo spoedig mogelijk te installeren om deze risico's te mitigeren.

Bron: NCSC

Microsoft heeft recentelijk meerdere kwetsbaarheden verholpen binnen verschillende componenten van zijn Azure cloudplatform. Deze beveiligingslekken boden kwaadwillenden de mogelijkheid om zich voor te doen als andere gebruikers, verhoogde rechten te verkrijgen, willekeurige code uit te voeren, en potentieel toegang te krijgen tot gevoelige gegevens. Het National Cyber Security Centrum (NCSC) heeft hierover een advies uitgebracht.

De meest ernstige van de verholpen kwetsbaarheden, met CVE-ID CVE-2026-48567, werd aangetroffen in Azure HorizonDB. Deze kwetsbaarheid, die een CVSS-score van 10.00 heeft, kon worden misbruikt om verhoogde rechten te verkrijgen binnen het systeem. Microsoft heeft deze specifieke kwetsbaarheid reeds centraal verholpen, waardoor gebruikers geen verdere actie hoeven te ondernemen. Het NCSC heeft deze informatie opgenomen ter kennisgeving.

Naast de lekken in HorizonDB zijn er ook kwetsbaarheden geïdentificeerd en gepatcht in andere belangrijke Azure-diensten. In Microsoft Graph is CVE-2026-47655 verholpen, met een CVSS-score van 6.50. Deze kwetsbaarheid kon leiden tot ongeautoriseerde toegang tot gevoelige gegevens.

Voor Azure Stack Edge zijn twee belangrijke kwetsbaarheden aangepakt. CVE-2026-41098, met een CVSS-score van 8.40, maakte het mogelijk voor aanvallers om zich voor te doen als een legitieme gebruiker. Een nog kritiekere kwetsbaarheid, CVE-2026-47643, behaalde een CVSS-score van 9.80 en kon worden uitgebuit om willekeurige code uit te voeren op getroffen systemen.

Ten slotte is in Microsoft Azure Kubernetes Service (AKS) een kwetsbaarheid met CVE-ID CVE-2026-32193 verholpen. Dit lek had een CVSS-score van 8.80 en stelde aanvallers in staat om eveneens willekeurige code uit te voeren, wat een aanzienlijk risico vormde voor de integriteit en veiligheid van containerworkloads.

De snelle reactie van Microsoft op deze kwetsbaarheden onderstreept het belang van continue beveiligingsupdates en patchen om de cloudinfrastructuur te beschermen tegen potentiële aanvallen. Organisaties die gebruikmaken van deze Azure-diensten worden geadviseerd om hun systemen up-to-date te houden en de richtlijnen van Microsoft en het NCSC te volgen.

Bron: NCSC

Microsoft heeft op Patch Tuesday van juni 2026 beveiligingsupdates uitgebracht die in totaal 200 kwetsbaarheden aanpakken, waaronder drie zero day kwetsbaarheden die publiekelijk bekend waren maar waarvan niet bekend is dat ze actief zijn uitgebuit. Deze reeks updates omvat 33 kritieke kwetsbaarheden, waarvan 28 leiden tot remote code execution, 4 tot privilege escalatie en 1 tot informatielekken.

De kwetsbaarheden zijn onderverdeeld in de volgende categorieën: 65 kwetsbaarheden voor privilege escalatie, 19 voor het omzeilen van beveiligingsfuncties, 55 voor remote code execution, 30 voor informatielekken, 7 voor denial of service en 27 voor spoofing. Het totale aantal kwetsbaarheden in deze Patch Tuesday omvat geen eerdere fixes voor Mariner, Azure HorizonDB, Microsoft Copilot, Copilot Chat, M365 Copilot, Microsoft Exchange Online en Microsoft Graph, noch de 360 Microsoft Edge/Chromium kwetsbaarheden die Google deze maand heeft verholpen.

Onder de opmerkelijke kwetsbaarheden bevinden zich **drie** publiekelijk bekendgemaakte zero day lekken:

**CVE-2026-45586 - Windows Collaborative Translation Framework (CTFMON) Privilege Escalatie Kwetsbaarheid**

Microsoft heeft een privilege escalatie kwetsbaarheid in Windows CTFMON gepatcht, die aanvallers SYSTEM-rechten kan verlenen. Microsoft legt uit dat "onjuiste linkresolutie vóór bestandstoegang ('link following') in Windows Collaborative Translation Framework een geautoriseerde aanvaller in staat stelt lokaal privileges te escaleren." Deze kwetsbaarheid, toegeschreven aan een anonieme onderzoeker, is bekend als de "GreenPlasma" zero day, eerder onthuld door beveiligingsonderzoeker Nightmare Eclipse. Nightmare Eclipse heeft een reeks Windows zero day kwetsbaarheden, waaronder BlueHammer, MiniPlasma, RedSun, UnDefend en YellowKey (ook vandaag gepatcht), vrijgegeven uit protest tegen het beleid van Microsoft ten aanzien van hun bug bounty en kwetsbaarheidsopenbaarmakingsprogramma's.

**CVE-2026-49160 - HTTP.sys Denial of Service Kwetsbaarheid**

Een andere gepatchte zero day is een HTTP/2 denial of service kwetsbaarheid, bekend als "HTTP/2 Bomb", ontdekt door onderzoekers van het offensieve beveiligingsbedrijf Calif. Microsoft beschrijft het als "ongecontroleerd resourceverbruik in HTTP/2 dat een ongeautoriseerde aanvaller in staat stelt de dienst via een netwerk te weigeren." De HTTP/2 aanval met Bomb misbruikt de manier waarop het HTTP/2-protocol webverkeerheaders comprimeert en beheert. Hierdoor kunnen aanvallers zeer kleine hoeveelheden data verzenden die servers dwingen om onevenredig grote hoeveelheden geheugen toe te wijzen. Door instellingen voor stroombeheer te manipuleren, kunnen aanvallers het geheugen bezet houden, waardoor de server geen resources kan vrijmaken en mogelijk prestatieproblemen of storingen veroorzaakt. Als mitigatie heeft Microsoft een nieuwe registerinstelling "MaxHeadersCount" geïntroduceerd om het aantal headers in een verzoek te beperken.

**CVE-2026-50507 - Windows BitLocker Security Feature Bypass Kwetsbaarheid**

Microsoft heeft een publiekelijk bekendgemaakte Windows BitLocker bypass kwetsbaarheid gepatcht die lokale aanvallers toegang gaf tot een versleutelde schijf. Microsoft legt uit: "Falen van het beschermingsmechanisme in Windows BitLocker stelt een ongeautoriseerde aanvaller in staat een beveiligingsfunctie te omzeilen met een fysieke aanval." Hoewel Microsoft de kwetsbaarheid toeschreef aan een anonieme onderzoeker, heeft BleepingComputer vernomen dat dit een fix is voor de YellowKey kwetsbaarheid die vorige maand ook publiekelijk werd onthuld door cybersecurity onderzoeker Nightmare Eclipse. De YellowKey kwetsbaarheid kon worden uitgebuit door speciaal geprepareerde bestanden op een USB-stick of EFI-partitie te plaatsen en op te starten in de Windows Recovery Environment (WinRE), waar het ingedrukt houden van de CTRL-toets een command shell activeerde met onbeperkte toegang tot versleutelde BitLocker-beveiligde schijven. De kwetsbaarheid treft voornamelijk systemen die TPM-only BitLocker-beveiliging gebruikten op Windows 11 en Windows Server 2022/2025 apparaten. Microsoft deelde eerder tijdelijke mitigaties voor het probleem, waaronder het inschakelen van TPM+PIN-authenticatie in plaats van uitsluitend te vertrouwen op TPM-beveiliging.

Bron: Microsoft | Bron 2: sec.cloudapps.cisco.com

Microsoft heeft cumulatieve updates KB5094126 en KB5093998 uitgebracht voor Windows 11 versies 25H2/24H2 en 23H2. Deze updates zijn essentieel omdat ze beveiligingskwetsbaarheden verhelpen, bugs oplossen en nieuwe functionaliteiten toevoegen. De updates bevatten de beveiligingspatches van de 'Patch Tuesday' van juni 2026, die verschillende kwetsbaarheden aanpakken die in de voorgaande maanden zijn ontdekt.

Gebruikers kunnen de updates installeren via Windows Update door te navigeren naar Start > Instellingen > Windows Update en vervolgens op 'Controleren op updates' te klikken. Een alternatieve methode is het handmatig downloaden en installeren van de updates via de Microsoft Update Catalog. Dit is de zesde 'Patch Tuesday' release in 2026 en is gebaseerd op versie 24H2, wat betekent dat versie 25H2 dezelfde updates ontvangt zonder exclusieve of afwijkende wijzigingen.

Na de installatie van de beveiligingsupdates zal het buildnummer van Windows 11 25H2 (KB5094126) wijzigen naar 26200.8457 (voor 25H2) en 26100.8457 (voor 24H2). Voor versie 23H2 (KB5093998) zal het buildnummer worden aangepast naar 22631.7079. De updates beloven algemene prestatieverbeteringen en de introductie van een 'Xbox-modus' op meer pc's, wat een console-achtige ervaring op de computer mogelijk maakt. Daarnaast zijn er problemen met de taakbalk opgelost en is de betrouwbaarheid van Windows Hello verbeterd.

De updates bevatten ook diverse nieuwe functies en verbeteringen. 'Shared Audio' maakt het mogelijk voor twee personen om tegelijkertijd naar dezelfde audio te luisteren vanaf één Windows 11 pc, gebruikmakend van Bluetooth LE Audio broadcast technologie. Dit is te activeren via 'Snelle instellingen' op de taakbalk. De vergrootglasfunctionaliteit ('Magnifier') is verbeterd met duidelijkere en consistentere aankondigingen bij gebruik met een schermlezer, en ondersteunt nu ook de vergroting van toegestane beschermde inhoud.

De Taakbeheerder ('Task Manager') biedt nu een beter inzicht in het NPU-gebruik op pc's met een NPU, met optionele kolommen voor NPU, NPU Engine, NPU Dedicated Memory en NPU Shared Memory. Neurale engines die deel uitmaken van een GPU verschijnen nu op de prestatiepagina, wat een completer beeld geeft van AI-gerelateerde activiteit. Een nieuwe optionele 'Isolatie'-kolom op de pagina's 'Processen' en 'Details' toont welke applicaties binnen een AppContainer draaien. Tevens is de weergave van de CPU-snelheid op de prestatiepagina van Taakbeheerder voor virtuele machines verbeterd, zodat er geen onverwacht hoge waarden meer worden getoond na het hervatten vanuit de slaapstand.

De 'Multi-App Camera' functie van Windows 11 maakt het mogelijk dat meerdere applicaties tegelijkertijd toegang hebben tot de camerastream. Een 'Basic Camera'-modus biedt vereenvoudigde camerafunctionaliteit voor probleemoplossing of stabiliteitsverbetering. Beheerders kunnen deze modi nu configureren via Groepsbeleid. Tijdens de Windows-installatie is het nu mogelijk om een aangepaste naam voor de gebruikersmap te kiezen. Tot slot zijn de algemene prestaties verbeterd door een snellere opstart van applicaties en kernshell-ervaringen zoals het Startmenu, Zoeken en het Actiecentrum. Personalisatieverbeteringen omvatten nauwkeurigere kleurselectie en betrouwbaardere behangpersistentie. De Windows Biometric service (WinBio) is geoptimaliseerd voor betere prestaties na het ontwaken uit Modern Standby, en onverwachte authenticatieblokkades in Windows Hello Enhanced Sign-in Security zijn opgelost.

Bron: Microsoft

Fortinet heeft een kwetsbaarheid in de API-eindpunten van FortiPortal geïdentificeerd, aangeduid als CVE-2026-49938. Deze kwetsbaarheid, gecategoriseerd als Improper Access Control (CWE-284), kan een geauthenticeerde aanvaller met een organisatiegebruikerrol in staat stellen om gevoelige netwerkconfiguratiegegevens te verkrijgen. Dit gebeurt door middel van zorgvuldig opgestelde HTTP-verzoeken. De kwetsbaarheid heeft een CVSSv3-score van 6.2, wat duidt op een gemiddelde ernst.

De impact van deze kwetsbaarheid ligt in de mogelijkheid voor aanvallers om toegang te krijgen tot configuratie-informatie die normaal gesproken niet voor hun rol bedoeld is. Dit kan leiden tot verdere aanvallen of het blootleggen van kritieke infrastructuurdetails. De kwetsbaarheid is extern ontdekt en vereist geauthenticeerde toegang, wat betekent dat een aanvaller al een legitieme, zij het beperkte, gebruikersrol binnen een organisatie moet hebben. Er zijn momenteel geen aanwijzingen dat deze kwetsbaarheid actief wordt misbruikt.

Fortinet heeft patches en migratie-aanbevelingen uitgebracht om het risico te mitigeren. Gebruikers van FortiPortal 7.4, inclusief versies 7.4.0 tot en met 7.4.7, worden geadviseerd te upgraden naar versie 7.4.8 of hoger. Voor FortiPortal 7.2-gebruikers, die versies 7.2.0 tot en met 7.2.8 draaien, is een upgrade naar versie 7.2.9 of hoger noodzakelijk. Alle versies van FortiPortal 7.0 zijn kwetsbaar en moeten migreren naar een gefixte release. De initiële publicatie van deze informatie vond plaats op 9 juni 2026. Organisaties die FortiPortal gebruiken, worden dringend geadviseerd de aanbevolen updates zo snel mogelijk te implementeren om hun netwerkbeveiliging te waarborgen.

Bron: Fortinet

Op 10 juni 2026 heeft Fortinet een beveiligingsadvies uitgebracht over een kwetsbaarheid in FortiOS en FortiProxy, aangeduid als CVE-2025-67862. Deze kwetsbaarheid, geclassificeerd met een CVSSv3 score van 6.0 (Medium), stelt een geauthenticeerde beheerder in staat om Lua-scripts uit te voeren via specifiek geformuleerde CLI-commando's.

De kwetsbaarheid wordt door Fortinet beschreven als een 'Internal Asset Exposed to Unsafe Debug Access Level or State', met een verwijzing naar CWE-1244. Dit betekent dat het misbruik van deze kwetsbaarheid kan leiden tot het uitvoeren van ongeautoriseerde code of commando's op het getroffen systeem. Fortinet heeft vastgesteld dat de kwetsbaarheid extern is ontdekt, maar er zijn geen aanwijzingen dat deze reeds actief wordt misbruikt door kwaadwillenden.

De volgende versies van FortiOS zijn kwetsbaar: 7.6.0 tot en met 7.6.2, 7.4.0 tot en met 7.4.7, en 7.2.0 tot en met 7.2.10. Gebruikers van deze versies wordt geadviseerd te upgraden naar respectievelijk 7.6.3 of hoger, 7.4.8 of hoger, en 7.2.11 of hoger om de kwetsbaarheid te mitigeren.

Voor FortiProxy zijn de kwetsbare versies 7.6.0 tot en met 7.6.3, 7.4.0 tot en met 7.4.10, en 7.2.0 tot en met 7.2.14. Hier is een upgrade naar 7.6.4 of hoger, 7.4.11 of hoger, en 7.2.15 of hoger vereist om de beveiligingslekken te dichten. Fortinet raadt beheerders aan om de aanbevolen upgrade paden te volgen via hun speciale upgrade tool, beschikbaar op de website van het bedrijf. Fortinet heeft het National Cyber Security Centre (NCSC) van het Verenigd Koninkrijk bedankt voor het verantwoordelijk rapporteren van deze kwetsbaarheid.

Bron: Fortinet

Een kritieke kwetsbaarheid is ontdekt in FortiSandbox, FortiSandbox Cloud en FortiSandbox PaaS WEB UI, waardoor een ongeauthenticeerde aanvaller ongeautoriseerde commando's kan uitvoeren. Deze kwetsbaarheid, aangeduid als CWE-78 (onjuiste neutralisatie van speciale elementen die worden gebruikt in een besturingssysteemcommando), maakt een 'Second-Order OS Command Injection' mogelijk via JSON-input op de 'start vnc'-functie van de webinterface. De kwetsbaarheid heeft een CVSSv3-score van 9.1, wat de hoge ernst ervan onderstreept.

De kwetsbaarheid is geïdentificeerd als CVE-2026-25089 en werd intern ontdekt en gerapporteerd door Adham El Karn van het Fortinet Product Security team. De initiële publicatie van deze beveiligingsinformatie vond plaats op 9 juni 2026 onder het IR-nummer FG-IR-26-141. De kwetsbaarheid bevindt zich in de GUI-component van de FortiSandbox-producten en vereist geen authenticatie voor misbruik, wat de ernst verder verhoogt. Er zijn op dit moment geen aanwijzingen dat deze kwetsbaarheid actief wordt uitgebuit.

Organisaties die gebruikmaken van de getroffen versies van FortiSandbox-producten worden dringend geadviseerd om zo snel mogelijk te updaten. De volgende versies zijn kwetsbaar:

- FortiSandbox 5.0.0 tot en met 5.0.5 dienen te worden geüpgraded naar versie 5.0.6 of hoger.

- FortiSandbox 4.4.0 tot en met 4.4.8 dienen te worden geüpgraded naar versie 4.4.9 of hoger.

- Voor FortiSandbox Cloud zijn versies 5.0.4 tot en met 5.0.5 getroffen en moeten deze worden geüpgraded naar 5.0.6 of hoger.

- FortiSandbox PaaS-gebruikers met versies 5.0.4 tot en met 5.0.5 moeten eveneens upgraden naar 5.0.6 of hoger.

Niet-getroffen versies omvatten FortiSandbox 5.2, FortiSandbox Cloud 4.4 en 5.2, en FortiSandbox PaaS 4.4, 5.2 en 23.4. De mogelijkheid voor een ongeauthenticeerde aanvaller om via specifiek opgestelde HTTP-verzoeken ongeautoriseerde code of commando's uit te voeren, kan leiden tot een volledige compromittering van het systeem. Het tijdig toepassen van de aanbevolen patches is cruciaal om potentiële risico's te mitigeren en de integriteit van de beveiligingsinfrastructuur te waarborgen.

Bron: Fortinet

Het Nationaal Cyber Security Centrum (NCSC) heeft een waarschuwing uitgegeven over de verhoogde kans op misbruik van twee kritieke kwetsbaarheden in Ivanti Sentry. Deze waarschuwing volgt op de publicatie van een gedetailleerde blogpost door cybersecuritybedrijf watchTowr, waarin technische analyses van de problemen werden gedeeld. Ivanti Sentry is een cruciale gateway die het verkeer tussen mobiele apparaten en mailservers of andere backends van organisaties beheert, versleutelt en beveiligt.

De kwetsbaarheden, geïdentificeerd als CVE-2026-10520 en CVE-2026-10523, zijn uiterst ernstig. Ze kregen respectievelijk een CVSS score van 10.0 en 9.9 op een schaal van 1 tot en met 10. Dit betekent dat aanvallers op afstand volledige controle over Ivanti Sentry servers kunnen verkrijgen. Ivanti bracht gisteren updates uit voor deze lekken en meldde destijds geen kennis te hebben van actief misbruik. De recente blogpost van watchTowr verandert echter de inschatting van het NCSC, waardoor de kans op misbruik aanzienlijk is verhoogd.

Het NCSC benadrukt de ernst van de situatie: "Beide kwetsbaarheden kunnen leiden tot volledige controle over het systeem en worden als zeer ernstig beoordeeld. Misbruik kan leiden tot datalekken, verstoring van bedrijfsprocessen en het misbruiken van beheerdersrechten om verdere schade aan te richten binnen de organisatie." Hoewel er momenteel geen bewijs is van actief misbruik, wordt dit wel verwacht na de openbaarmaking van de technische details.

De overheidsinstantie adviseert Nederlandse en Belgische organisaties die gebruikmaken van Ivanti Sentry om de uitgebrachte updates zo snel mogelijk te installeren. Dit is essentieel om de risico's op datalekken en operationele verstoringen te minimaliseren en de beveiliging van hun infrastructuur te waarborgen tegen potentiële aanvallen.

Bron: NCSC

Aanvallers maken actief misbruik van CVE-2026-5027, een path traversal kwetsbaarheid met hoge ernst in het AI-ontwikkelingsplatform Langflow. Deze kwetsbaarheid stelt hen in staat om willekeurige bestanden te schrijven naar blootgestelde servers. Langflow is een open-source visueel platform dat veel wordt gebruikt door AI-ontwikkelingsteams voor het bouwen van AI-toepassingen, AI-agenten, Retrieval-Augmented Generation (RAG)-systemen en MCP-gebaseerde workflows. Het platform maakt gebruik van een drag-and-drop-interface in plaats van traditioneel coderen en heeft meer dan 149.000 sterren en 9.200 forks op GitHub verzameld.

CVE-2026-5027 betreft een path traversal-fout in de functionaliteit voor het uploaden van bestanden van Langflow. Het probleem ontstaat doordat de functionaliteit er niet in slaagt om door de gebruiker aangeleverde bestandsnamen correct te saneren. Tenable, dat de kwetsbaarheid begin dit jaar ontdekte, legt uit dat het 'POST /api/v2/files'-endpoint de 'filename'-parameter van de multipart formulierdata niet saneert. Dit stelt een aanvaller in staat om bestanden naar willekeurige locaties op het bestandssysteem te schrijven door gebruik te maken van path traversal-sequenties, zoals '../'.

Tenable heeft het probleem op 27 maart 2026 openbaar gemaakt, ruim twee maanden nadat het de kwestie aanvankelijk had gerapporteerd aan het Langflow-team zonder een reactie te ontvangen. Hoewel Tenable in zijn advies geen melding maakte van een fix, meldde Snyk Security op 30 maart 2026 dat het probleem was opgelost in het langflow-base-pakket versie 0.8.3, terwijl de Langflow-applicatie zelf een patch ontving in versie 1.9.0.

Volgens beveiligingsonderzoeker Caitlin Condon van VulnCheck hebben hun honeypots nu aanvallers gedetecteerd die de kwetsbaarheid misbruiken om testbestanden op kwetsbare instanties te plaatsen. Condon vermeldde op LinkedIn dat "omdat Langflow standaard onverifieerde automatische login mogelijk maakt, er geen inloggegevens vereist zijn om het kwetsbare endpoint te bereiken, en een enkele onverifieerde aanvraag voldoende is om een geldig sessietoken te verkrijgen voordat met de exploitatie wordt doorgegaan."

Condon voegde eraan toe dat Censys-scans ongeveer 7.000 publiekelijk blootgestelde Langflow-instanties identificeerden. Deze Censys-gegevens omvatten echter historische scanresultaten van de afgelopen twaalf maanden en geven mogelijk geen nauwkeurig beeld van het huidige aantal blootgestelde systemen. De exploitatie van CVE-2026-5027 volgt kort op vergelijkbare activiteiten die eerder dit jaar gericht waren op andere kwetsbaarheden in Langflow, waaronder CVE-2026-0770, CVE-2026-21445 en CVE-2026-33017. Vorig jaar waarschuwde het Amerikaanse Cybersecurity & Infrastructure Security Agency (CISA) ook al voor actieve exploitatie van CVE-2025-3248, waarvoor VulnCheck volgens Condon nog steeds activiteit waarneemt, inclusief activiteit gekoppeld aan de Iraanse dreigingsgroep MuddyWater.

Langflow-gebruikers wordt geadviseerd om te upgraden naar de nieuwste release, versie 1.10.0, die eerder vandaag is gepubliceerd.

Bron: Tenable | Bron 2: github.com | Bron 3: security.snyk.io

Een beveiligingsonderzoeker heeft met behulp van kunstmatige intelligentie (AI) een ernstige kwetsbaarheid in OpenSSL ontdekt. Dit lek, aangeduid als CVE-2026-45447, kan in specifieke gevallen mogelijk leiden tot remote code execution, zo heeft het ontwikkelteam van OpenSSL bevestigd. De impact van deze kwetsbaarheid is beoordeeld als 'High', een classificatie die zelden wordt toegekend aan beveiligingslekken in OpenSSL; de afgelopen drieënhalf jaar kregen slechts drie andere kwetsbaarheden deze hoge beoordeling.

OpenSSL is een van de meest gebruikte softwarepakketten voor het versleutelen van internetverbindingen wereldwijd. Het wordt breed ingezet door websites voor het beveiligen van verkeer met bezoekers, maar ook door mailservers en een scala aan andere systemen en applicaties. De kwetsbaarheid CVE-2026-45447 manifesteert zich in een context waarbij berichten worden verwerkt, zoals bij e-mailcommunicatie.

Aanvallers kunnen de kwetsbaarheid misbruiken door een speciaal geprepareerd bericht te versturen dat gesigneerd is met PKCS#7 of S/MIME. Dit kan een 'use-after-free' situatie op het systeem veroorzaken. Het probleem treedt op tijdens de verificatie van de handtekening van het bericht. Dit kan resulteren in een crash van het systeem en, potentieel, de uitvoering van kwaadaardige code op afstand. Het ontwikkelteam van OpenSSL benadrukt in zijn beveiligingsbulletin dat applicaties die de OpenSSL PKCS#7 API's gebruiken voor het verwerken van met PKCS#7 of S/MIME gesigneerde berichten kwetsbaar zijn. Applicaties die hiervoor de CMS API's gebruiken, lopen daarentegen geen risico.

De ontdekking van dit beveiligingslek is gedaan door onderzoeker Thai Duong van Calif.io, in samenwerking met Claude en Anthropic Research. Calif.io staat bekend om zijn gebruik van technologieën gebaseerd op AI voor het opsporen van kwetsbaarheden in diverse software. Naast CVE-2026-45447 zijn er gelijktijdig zeventien andere, minder kritieke kwetsbaarheden in OpenSSL gepatcht. Beheerders en gebruikers wordt geadviseerd om zo spoedig mogelijk te updaten naar de nieuwste versies: OpenSSL 4.0.1, 3.6.3, 3.5.7, 3.4.6, 3.0.21, 1.1.1zh en 1.0.2zq. De laatste twee versies, 1.1.1zh en 1.0.2zq, zijn uitsluitend beschikbaar voor betalende klanten.

Bron: OpenSSL Project

Microsoft heeft recentelijk drie zeroday kwetsbaarheden gedicht die aanvallers in staat stelden SYSTEM-privileges te verkrijgen op volledig gepatchte Windows systemen of om met BitLocker beveiligde schijven te omzeilen. Deze kwetsbaarheden, bekend als GreenPlasma, MiniPlasma en YellowKey, werden publiekelijk onthuld door een beveiligingsonderzoeker die de alias "Nightmare Eclipse" gebruikt. De onderzoeker deed dit uit onvrede over het coördinatieproces van kwetsbaarheidsmeldingen door het Microsoft Security Response Center (MSRC).

De privilege-escalatie kwetsbaarheden GreenPlasma (CVE-2026-45586) en MiniPlasma (CVE-2020-17103) werden ontdekt in het Collaborative Translation Framework (CTFMON) en de Cloud Files Mini Filter Driver. Lokale aanvallers konden deze lekken misbruiken om een shell met SYSTEM-rechten te verkrijgen op Windows systemen, zelfs als deze volledig waren bijgewerkt.

De derde kwetsbaarheid, YellowKey (CVE-2026-45585), fungeert als een achterdeur in de Windows Recovery Environment (WinRE), een omgeving die wordt gebruikt voor het herstellen van opstartproblemen in Windows. Aanvallers met fysieke toegang tot de getroffen apparaten konden een YellowKey-exploit gebruiken om de BitLocker-beveiliging te omzeilen op niet-gepatchte Windows 11- en Windows Server 2022/2025-systemen. Microsoft heeft mitigerende maatregelen gedeeld om aanvallen die YellowKey misbruiken te voorkomen, hoewel het bedrijf kritiek uitte op de publieke vrijgave van de proof-of-concept, die volgens hen "de best practices voor gecoördineerde kwetsbaarheidsdisclosure schond."

Alle drie de beveiligingslekken zijn door Microsoft verholpen als onderdeel van de Patch updates voor Tuesday van juni 2026. Het is niet de eerste keer dat Nightmare Eclipse zeroday exploits publiekelijk maakt. Eerder bracht de onderzoeker al proof-of-concept exploits uit voor BlueHammer (CVE-2026-33825) en RedSun (geen specifieke identifier), twee lokale privilege-escalatie zerodays die nu actief worden misbruikt bij aanvallen. Ook lekte de onderzoeker UnDefend, een zeroday waarmee standaardgebruikers Microsoft Defender definitie-updates kunnen blokkeren. Recentelijk, kort na het uitbrengen van de maandelijkse beveiligingspatches, onthulde Nightmare Eclipse nog een Defender zeroday exploit genaamd "RoguePlanet", die aanvallers in staat stelt command prompts met SYSTEM-privileges op te starten.

De reactie van Microsoft op deze reeks zeroday lekken was aanvankelijk dreigementen met juridische stappen. Echter, na aanzienlijke kritiek op sociale media, kwam het bedrijf hierop terug en verklaarde het dat het zou samenwerken met wetshandhavers wanneer beveiligingsonderzoekers "de wet overtreden en zich bezighouden met kwaadwillende activiteiten die daadwerkelijke schade aan onze klanten veroorzaken."

Bron: Microsoft | Bron 2: github.com

Adobe roept beheerders dringend op om een kritieke beveiligingsupdate voor ColdFusion zo snel mogelijk te installeren, waarbij een termijn van 72 uur als voorbeeld wordt genoemd. Deze aanbeveling komt voort uit het feit dat kwetsbaarheden in ColdFusion in het verleden veelvuldig zijn misbruikt bij cyberaanvallen. ColdFusion is een platform dat wordt gebruikt voor de ontwikkeling van webapplicaties.

Volgens Adobe bevat ColdFusion diverse kritieke beveiligingslekken. Deze kwetsbaarheden stellen een aanvaller in staat om willekeurige code uit te voeren op getroffen systemen, beveiligingsmaatregelen te omzeilen, willekeurige bestanden te lezen en de rechten van een gebruiker te verhogen. Hoewel Adobe op dit moment geen kennis heeft van actief misbruik van de zojuist verholpen problemen, benadrukken zij het belang van snelle actie.

De problemen zijn verholpen in ColdFusion 2025 Update 9 en ColdFusion 2023 Update 20. Adobe heeft het installeren van deze updates de hoogste prioriteitsscore toegekend. Dit gebeurt alleen voor producten die in het verleden zijn aangevallen of een aanzienlijk risico lopen om aangevallen te worden. De historie van ColdFusion ondersteunt deze hoge prioriteit. Het Amerikaanse cyberagentschap CISA, dat een overzicht bijhoudt van kwetsbaarheden die actief zijn misbruikt, heeft zestien ColdFusion lekken opgenomen waarvan is bevestigd dat ze bij aanvallen zijn ingezet. Dit onderstreept de noodzaak voor beheerders om de aanbevolen updates onverwijld toe te passen om hun systemen te beschermen tegen potentiële dreigingen.

Bron: Adobe | Bron 2: cisa.gov

Op een ondergronds forum is een werkende exploit te koop aangeboden voor lokale privilege escalatie op Windows 11, specifiek voor versies 24H2 en 25H2. De dreigingsactor vraagt 10.000 dollar voor de exploit. 

Volgens de aanbieder maakt de exploit misbruik van CVE-2026-40369, een kwetsbaarheid met een CVSS score van 7,8 in een Windows kernelstuurprogramma. Microsoft heeft deze kwetsbaarheid reeds verholpen met de maandelijkse updates van mei 2026. De verkoper claimt dat de exploit meerdere Windows builds ondersteunt zonder aanpassingen en dat deze systeemrechten (SYSTEM rechten) kan verkrijgen.

Verder wordt geadverteerd dat de exploit gangbare procesinjectietechnieken vermijdt en daardoor weinig detectie door endpointbeveiliging veroorzaakt. De betrouwbaarheid van de exploit zou hoger zijn op Intel processors dan op AMD systemen, en de effectiviteit in virtuele omgevingen zou beperkt zijn. Er is geen proof of concept of onafhankelijke validatie van de exploit gepubliceerd, en de claim van de aanbieder is niet geverifieerd.

Organisaties die de updates van mei 2026 nog niet hebben geïnstalleerd, lopen een verhoogd risico. Het wordt dringend geadviseerd om deze updates met spoed te installeren om de kwetsbaarheid te dichten.

Bron: Cybercrimeinfo

De criminele groepering ShinyHunters claimt de diefstal van data van honderden servers die draaien op Oracle PeopleSoft. De aanvallen zijn gericht op zowel cloud- als on-premises omgevingen van de software van Oracle PeopleSoft. Deze enterprise resource planning (ERP) software suite wordt ingezet voor diverse zakelijke toepassingen, waaronder HR, financiën, salarisadministratie en supply chain management.

Volgens een beveiligingsonderzoeker, die de claim van ShinyHunters op X meldt, heeft de groepering meer dan driehonderd servers van Oracle PeopleSoft gehackt, afkomstig van meer dan honderd verschillende organisaties. De aanvallers lieten tegenover Bleeping Computer weten dat zij een combinatie van zowel oude als nieuwe kwetsbaarheden gebruiken om toegang tot de servers te verkrijgen en deze te compromitteren.

Een van de organisaties die door ShinyHunters als slachtoffer wordt genoemd, is de University of Nottingham in het Verenigd Koninkrijk. Bij deze universiteit zouden persoonlijke gegevens van ruim 450.000 personen zijn gestolen. De gestolen data omvat paspoortnummers, adresgegevens en e-mailadressen van studenten en alumni.

In reactie op de dreiging heeft Oracle op 11 juni 2026 een noodpatch uitgebracht voor een kritiek lek in PeopleSoft. Het beveiligingsbulletin van Oracle, dat betrekking heeft op CVE-2026-35273, maakt echter geen melding van actief misbruik van deze specifieke kwetsbaarheid. Dit staat in contrast met de claims van ShinyHunters over het gebruik van kwetsbaarheden.

ShinyHunters is een bekende dreigingsactor die eerder verantwoordelijk was voor grootschalige datadiefstallen. In Nederland wist de groepering bijvoorbeeld de persoonlijke gegevens van meer dan zes miljoen mensen te stelen bij telecomprovider Odido. Deze data werd destijds op internet gepubliceerd nadat Odido weigerde losgeld te betalen aan de aanvallers. De huidige claims over PeopleSoft onderstrepen de aanhoudende dreiging die uitgaat van deze criminele organisatie en de noodzaak voor organisaties om hun ERP-systemen adequaat te beveiligen en up-to-date te houden.

Bron: Oracle | Bron 2: nottingham.ac.uk

De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft recentelijk een nieuwe kwetsbaarheid, CVE-2026-10520, toegevoegd aan haar 'Known Exploited Vulnerabilities' (KEV) Catalogus. Deze toevoeging volgt op bewijs van actieve exploitatie van de kwetsbaarheid, die betrekking heeft op een OS Command Injection in Ivanti Sentry. CISA waarschuwt dat dit type kwetsbaarheid een veelvoorkomende aanvalsvector is voor kwaadwillende cyberactoren en aanzienlijke risico's met zich meebrengt voor organisaties.

De specifieke kwetsbaarheid, CVE-2026-10520, stelt aanvallers in staat om commando's uit te voeren op het onderliggende besturingssysteem van Ivanti Sentry-apparaten. Dit kan leiden tot volledige controle over het getroffen systeem na succesvolle exploitatie. Gezien de wijdverspreide implementatie van Ivanti-producten in diverse sectoren, is de potentiële impact van deze kwetsbaarheid aanzienlijk.

CISA onderstreept het belang van de KEV-catalogus middels haar Binding Operational Directive (BOD) 26-04, getiteld "Prioritizing Security Updates Based on Risk". Deze richtlijn stelt eisen aan het kwetsbaarhedenbeheer voor Amerikaanse federale civiele uitvoerende tak (FCEB) agentschappen. BOD 26-04 verplicht deze agentschappen om prioriteit te geven aan snelle remediëring van kwetsbaarheden met een hoog risico, met name die in de KEV-catalogus zijn opgenomen en die publiekelijk toegankelijke activa betreffen die volledige controle over het systeem mogelijk maken na exploitatie. De richtlijn stelt ook basisverwachtingen vast voor wanneer agentschappen moeten controleren of dreigingsactoren het systeem al hebben gecompromitteerd voordat de patch werd toegepast.

Hoewel BOD 26-04 specifiek gericht is op FCEB-agentschappen, moedigt CISA alle organisaties, zowel in de publieke als de private sector, aan om een risicogebaseerd kwetsbaarhedenbeheer te hanteren. Een essentieel onderdeel hiervan is het prioritiseren van de remediëring van kwetsbaarheden die in de KEV-catalogus zijn opgenomen, aangezien deze bewezen actief worden misbruikt door cybercriminelen. Dit advies is ook zeer relevant voor organisaties in Nederland en België die Ivanti Sentry-producten gebruiken.

CISA blijft kwetsbaarheden toevoegen aan de catalogus die voldoen aan de gestelde criteria, waaronder een CVE ID, bewijs van exploitatie en duidelijke mitigatierichtlijnen. Organisaties die op de hoogte zijn van een actief misbruikte kwetsbaarheid die nog niet in de KEV-catalogus staat, worden aangemoedigd om deze aan te melden via het KEV Nomination Form van CISA.

Bron: CISA | Bron 2: cve.org

Beveiligingsonderzoeker Chaotic Eclipse, ook bekend onder de namen Nightmare-Eclipse en MSNightmare, heeft een nieuwe Windows BitLocker-bypass vrijgegeven met de naam GreatXML. Dit gebeurde slechts een dag nadat dezelfde onderzoeker een exploit voor Microsoft Defender publiceerde.

Chaotic Eclipse verklaarde in een blogpost dat de ontdekking van GreatXML toevallig was en slechts vier uur in beslag nam. De onderzoeker merkte op dat gebruikers die ooit de offline scanfunctie van Windows Defender hebben gebruikt, automatisch kwetsbaar zijn voor deze BitLocker-bypass. Het is onzeker of de kwetsbaarheid ook kan worden geactiveerd zonder de offline scanfunctie ooit te hebben gebruikt, hoewel de onderzoeker vermoedt dat dit wel mogelijk is.

De exploit werkt via de volgende stappen:

1.  Een XML-bestand ("unattend.xml") en een herstelmap met daarin een ander XML-bestand ("Recovery/WindowsRE/ReAgent.xml") worden naar de root van de herstelpartitie gekopieerd.

2.  Vervolgens wordt er opnieuw opgestart naar de Windows Recovery Environment (WinRE) door de Shift-toets ingedrukt te houden tijdens het klikken op 'Opnieuw opstarten' in het Windows-stroommenu.

Als deze stappen correct worden gevolgd, resulteert dit in een shell die wordt gestart met onbeperkte toegang tot het BitLocker-volume.

Chaotic Eclipse voegde eraan toe: "Als de offline scan van Defender nooit is geïnitieerd, moet u ofwel inloggen en deze zelf initiëren, of een manier vinden om op te starten naar WinRE in de offline scanstatus (ik geloof dat dit zeer goed mogelijk moet zijn zonder in te loggen) en de bovenstaande stappen volgen."

De release van GreatXML volgt kort op RoguePlanet, een zero-day kwetsbaarheid in Microsoft Defender die lokale privilege-escalatie (LPE) naar SYSTEM mogelijk maakt. Dit geeft een aanvaller de mogelijkheid om willekeurige code uit te voeren of ongeautoriseerde acties te verrichten. GreatXML is tevens de tweede BitLocker-bypass die door Chaotic Eclipse is uitgebracht, na YellowKey (ook bekend als CVE-2026-45585). Patches voor YellowKey werden deze week door Microsoft uitgebracht als onderdeel van de Patch updates voor Tuesday.

Bron: Chaotic Eclipse | Bron 2: support.microsoft.com | Bron 3: github.com

Een ernstige kwetsbaarheid in de streaming- en downloadapplicatie Time4Popcorn stelt aanvallers in staat om kwaadaardige updates op systemen van gebruikers te installeren. Dit kan leiden tot infectie met malware. Het Nederlandse cybersecuritybedrijf Eye Security heeft deze kwetsbaarheid gemeld. Aangezien de software niet langer wordt ondersteund, is er geen beveiligingsupdate beschikbaar om het probleem te verhelpen. Time4Popcorn is een afgeleide versie (fork) van de bekende applicatie Popcorn Time en wordt soms ook onder die naam aangeboden.

De kwetsbaarheid, aangeduid met CVE-2026-30612, bevindt zich in de updater van de versies voor Android, macOS en Windows. De updater maakt verbinding met de updateserver via een onbeveiligd kanaal. Dit betekent dat een aanvaller die het communicatieverkeer tussen de applicatie en de server kan onderscheppen en manipuleren, in staat is om zijn eigen kwaadaardige update bij de gebruikers te installeren.

Op systemen met macOS en Windows vindt de installatie van zo'n malafide update volledig op de achtergrond plaats, zonder dat gebruikers hiervan op de hoogte zijn of enige interactie hoeven te verrichten. Bovendien draait de software met uitgebreide rechten; op Windows met 'SYSTEM'-rechten en op macOS met 'root'-rechten, wat aanvallers volledige controle over het getroffen systeem kan geven. Voor Android-gebruikers verschijnt er wel een melding die vraagt of zij een aangeboden APK-bestand willen installeren.

Gezien het feit dat de software niet meer wordt onderhouden, zal er geen officiële patch voor deze kwetsbaarheid worden uitgebracht. Eye Security heeft in een eigen publicatie details gedeeld over hoe de kwetsbare updater handmatig kan worden uitgeschakeld. Echter, voor de meest optimale bescherming adviseert Eye Security om de Time4Popcorn software volledig van het systeem te verwijderen.

Bron: Eye Security | Bron 2: research.eye.security

Microsoft heeft een bekend probleem opgelost dat ervoor zorgde dat sommige Windows Server 2025 systemen in de BitLocker herstelmodus opstartten na de installatie van de beveiligingsupdate van april 2026. BitLocker is een beveiligingsfunctie die opslagschijven versleutelt om gegevensdiefstal te voorkomen. Normaal gesproken zal BitLocker computers dwingen tot herstelmodus na hardwarewijzigingen of gebeurtenissen, zoals Trusted Platform Module (TPM) updates, zodat de toegang tot beveiligde schijven kan worden hersteld wanneer deze niet via het standaard ontgrendelingsmechanisme zijn ontgrendeld.

Microsoft erkende het probleem na de Patch Tuesday van april 2026 en verklaarde toen: "Sommige apparaten met een niet-aanbevolen BitLocker Group Policy configuratie moeten mogelijk hun BitLocker herstelsleutel invoeren bij de eerste herstart na de installatie van deze update." Het bedrijf voegde eraan toe dat in dit scenario de BitLocker herstelsleutel slechts eenmaal hoeft te worden ingevoerd, zolang de Group Policy configuratie ongewijzigd blijft.

Hoewel dit probleem ook invloed kan hebben op sommige Windows 11 systemen, is het onwaarschijnlijk dat het persoonlijke apparaten treft. De getroffen configuraties worden doorgaans alleen aangetroffen op zakelijke systemen die worden beheerd door bedrijfs-IT-teams. Microsoft legde destijds uit dat dit alleen gebeurt onder zeer specifieke omstandigheden, wanneer aan alle volgende voorwaarden is voldaan:

*   BitLocker is ingeschakeld op de besturingssysteemschijf.

*   De Group Policy "Configure TPM platform validation profile for native UEFI firmware configurations" is geconfigureerd en PCR7 (Platform Configuration Register 7) is opgenomen in het validatieprofiel (of de gelijkwaardige registersleutel is handmatig ingesteld).

*   Systeeminformatie (msinfo32.exe) meldt dat de Secure Boot State PCR7 Binding "Not Possible" is.

*   Het Windows UEFI CA 2023 certificaat is aanwezig in de Secure Boot Signature Database (DB) van het apparaat, waardoor het apparaat in aanmerking komt voor de 2023-ondertekende Windows Boot Manager als standaard.

*   Het apparaat draait nog niet de 2023-ondertekende Windows Boot Manager.

Twee maanden na de bevestiging van het probleem heeft Microsoft deze bug opgelost tijdens de Patch Tuesday van deze maand. De oplossing is opgenomen in de cumulatieve updates KB5094125 voor Windows Server 2025 en KB5093998 voor Windows 11 23H2. In bijgewerkte adviezen stelt Microsoft: "Deze update verhelpt een probleem waarbij sommige apparaten in BitLocker herstel kunnen komen na het bijwerken van bootbestanden op systemen met bepaalde Trusted Platform Module (TPM) validatie-instellingen, inclusief ongeldige PCR7 configuraties." Ter voorkoming van onverwachte BitLocker herstelprompts worden apparaten met deze incompatibele Group Policy configuratie verhinderd de 2023-ondertekende Windows Boot Manager te installeren. Gebruikers die getroffen zijn, zien Event ID 1032 in het systeemgebeurtenislogboek bij het installeren van Windows updates.

IT-beheerders die de updates van deze maand nog niet kunnen implementeren, wordt geadviseerd de Group Policy configuratie te verwijderen voordat zij KB5082063 en latere updates installeren, en ervoor te zorgen dat BitLocker bindingen het PCR7 profiel gebruiken. Degenen die de Group Policy niet vóór de implementatie kunnen verwijderen, kunnen ook een Known Issue Rollback (KIR) toepassen op getroffen apparaten om de automatische overschakeling naar de 2023 Boot Manager, die de BitLocker herstelprompts activeert, te voorkomen.

Microsoft heeft eerder vergelijkbare problemen aangepakt. In augustus 2024 werd een ander probleem opgelost dat BitLocker herstelprompts activeerde op alle ondersteunde Windows-versies na de installatie van de beveiligingsupdates van juli 2024. Meer recentelijk, in mei 2025, bracht Microsoft noodupdates uit om een soortgelijk probleem aan te pakken dat Windows 10 systemen in BitLocker herstel bracht na de installatie van de beveiligingsupdates van mei 2025.

Bron: Microsoft

Adobe heeft recentelijk een reeks kritieke kwetsbaarheden aangepakt in verschillende versies van zijn populaire desktopapplicatie InDesign. Het Nationaal Cyber Security Centrum (NCSC) meldt dat de problemen aanwezig waren in Adobe InDesign Desktop versies 21.3, 20.5.3 en alle eerdere uitgaven. Deze lekken konden misbruikt worden door aanvallers om willekeurige code uit te voeren, gevoelige informatie te lekken of een denial-of-service situatie te veroorzaken.

De kwetsbaarheden manifesteren zich voornamelijk in de manier waarop Adobe InDesign Desktop omgaat met speciaal vervaardigde, kwaadaardige bestanden. Zodra een gebruiker een dergelijk bestand opent binnen de applicatie, kunnen de kwetsbaarheden geactiveerd worden.

Een van de meest ernstige problemen betreft stack-based en heap-based buffer overflow kwetsbaarheden. Deze leiden tot geheugenbeschadiging, wat een aanvaller de mogelijkheid geeft om code uit te voeren met dezelfde rechten als de gebruiker die de applicatie draait. Dit betekent dat een kwaadwillende actor potentieel volledige controle over het systeem kan krijgen als de gebruiker met administratorrechten werkt.

Daarnaast is er een Use After Free kwetsbaarheid ontdekt. Dit type kwetsbaarheid treedt op wanneer een programma probeert geheugen te gebruiken dat al is vrijgegeven, wat eveneens kan resulteren in het uitvoeren van willekeurige code door een aanvaller.

Verder zijn er out-of-bounds write en read kwetsbaarheden geïdentificeerd. Deze veroorzaken ook geheugenbeschadiging en kunnen in bepaalde scenario's leiden tot het uitlekken van gevoelige informatie. Dit kan variëren van systeeminformatie tot persoonlijke gegevens, afhankelijk van de context van de aanval.

Ten slotte is een NULL Pointer Dereference kwetsbaarheid verholpen. Hoewel dit lek minder direct leidt tot code-uitvoering, kan het wel een crash van de applicatie veroorzaken, wat resulteert in een denial-of-service (DoS) situatie. Gebruikers zouden hierdoor hun werk kunnen verliezen of de applicatie niet meer kunnen gebruiken.

Adobe heeft updates uitgebracht die deze kwetsbaarheden verhelpen. Gebruikers van de getroffen versies van Adobe InDesign Desktop worden dringend geadviseerd om hun software zo snel mogelijk te updaten om zich te beschermen tegen potentiële aanvallen.

Bron: NCSC

Adobe heeft recentelijk een reeks kritieke beveiligingsupdates uitgebracht om meerdere kwetsbaarheden aan te pakken die aanwezig waren in Adobe Dreamweaver Desktop. Deze kwetsbaarheden troffen specifiek versies 21.7 en alle eerdere uitgaven van de software.

Het misbruik van deze kwetsbaarheden is mogelijk wanneer een gebruiker wordt verleid om een specifiek geprepareerd, kwaadaardig bestand te openen direct vanuit de Dreamweaver-applicatie. Deze actie vormt de essentiële interactie van de gebruiker die nodig is voor een succesvolle exploitatie. Zonder deze interactie kunnen de kwetsbaarheden niet worden misbruikt.

De geïdentificeerde beveiligingslekken zijn divers van aard. Een van de meest ernstige betreft de mogelijkheid tot het uitvoeren van willekeurige code. Dit betekent dat een aanvaller, via het openen van een kwaadaardig bestand, onbevoegde programma's of commando's kan uitvoeren op het systeem van het slachtoffer.

Daarnaast was het mogelijk om willekeurige bestanden op het systeem te lezen. Dit was een gevolg van onvoldoende toegangscontrole en onjuiste autorisatie binnen de applicatie, wat kan leiden tot het uitlekken van gevoelige informatie die op het systeem is opgeslagen. Een derde kwetsbaarheid betrof het schrijven van bestanden, wat mogelijk was door onjuiste inputvalidatie. Dit kan aanvallers in staat stellen om bestaande bestanden te overschrijven of nieuwe, kwaadaardige bestanden aan te maken op het systeem van de gebruiker.

Tot slot was er een probleem met het gebruik van onjuist geïnitialiseerde pointers. Dit kon resulteren in geheugenbeschadiging binnen de applicatie. Dergelijke geheugenproblemen kunnen leiden tot instabiliteit van de software, crashes, of zelfs verdere exploitatiemogelijkheden bieden voor aanvallers om controle over het systeem te verkrijgen.

De gevolgen van een succesvolle exploitatie van deze kwetsbaarheden kunnen aanzienlijk zijn. Potentiële risico's omvatten het uitlekken van gevoelige data, waarbij vertrouwelijke informatie van het systeem van de gebruiker kan worden gestolen. Bovendien kunnen aanvallers code uitvoeren met de privileges van de gecompromitteerde gebruiker, wat hen toegang geeft tot de functionaliteiten en data waartoe de gebruiker zelf toegang heeft. Ten slotte bestaat het gevaar van het manipuleren van bestanden op het systeem, waardoor belangrijke documenten kunnen worden gewijzigd, verwijderd of beschadigd. Het is cruciaal voor gebruikers van Adobe Dreamweaver Desktop om hun software tijdig te updaten naar de gepatchte versies om zich tegen deze risico's te beschermen.

Bron: NCSC

Adobe heeft recentelijk cruciale beveiligingsupdates uitgebracht om kwetsbaarheden te verhelpen in diverse versies van zijn populaire software, Adobe Acrobat Reader. Specifiek zijn de versies 24.001.30365, 26.001.21651 en alle eerdere uitgaven getroffen door ernstige beveiligingslekken. Deze kwetsbaarheden, die door het Nationaal Cyber Security Centrum (NCSC) onder de aandacht zijn gebracht, vereisen onmiddellijke actie van gebruikers om potentiële risico's te mitigeren.

De ontdekte lekken omvatten een zogeheten 'out-of-bounds write' en meerdere 'Use After Free' fouten. Een out-of-bounds write treedt op wanneer een programma probeert data te schrijven naar een geheugenlocatie buiten de toegewezen grenzen. Dit kan leiden tot onvoorspelbaar gedrag van de applicatie, crashes, of, in het ergste geval, de uitvoering van kwaadaardige code. De Use After Free fouten zijn eveneens kritiek; deze ontstaan wanneer een programma geheugen vrijgeeft, maar vervolgens probeert dit vrijgegeven geheugen opnieuw te gebruiken. Omdat het geheugen mogelijk al door een ander proces is toegewezen, kan dit leiden tot corruptie van het geheugen en eveneens tot de uitvoering van arbitraire code.

Deze specifieke kwetsbaarheden worden geactiveerd wanneer Adobe Acrobat Reader malformed of kwaadaardig opgemaakte bestanden verwerkt. Een aanvaller zou een slachtoffer kunnen verleiden een dergelijk speciaal vervaardigd PDF bestand te openen. Zodra het bestand wordt geopend, kunnen de kwetsbaarheden worden misbruikt, wat resulteert in geheugenbeschadiging. Het directe gevolg hiervan is dat de aanvaller mogelijk in staat is om arbitraire code uit te voeren binnen de context van de Adobe Acrobat Reader applicatie op het systeem van het slachtoffer. Dit betekent dat de aanvaller effectief controle kan krijgen over de applicatie en, afhankelijk van de privileges van de gebruiker, potentieel verdere toegang tot het systeem kan verkrijgen.

Het NCSC benadrukt het belang van het zo snel mogelijk installeren van de beschikbare updates. Gebruikers van Adobe Acrobat Reader worden dringend geadviseerd om hun software te controleren en te updaten naar de nieuwste, gepatchte versies. Het negeren van deze waarschuwing kan leiden tot een verhoogd risico op compromittering van systemen en data. De updates van Adobe zijn ontworpen om deze kwetsbaarheden volledig te adresseren en de integriteit en veiligheid van de software te herstellen.

Bron: NCSC

Technologiebedrijf Ivanti heeft recentelijk meerdere kwetsbaarheden geïdentificeerd en verholpen binnen zijn product Ivanti Endpoint Manager Mobile. Deze beveiligingslekken kunnen, indien misbruikt, aanzienlijke risico's met zich meebrengen voor de integriteit en de controle over de systemen waarop de software is geïnstalleerd. Het Nationaal Cyber Security Centrum (NCSC) heeft hierover een advies uitgebracht, waarin de ernst van de situatie wordt benadrukt.

Eén van de verholpen kwetsbaarheden betreft een OS command injection. Dit lek stelt een aanvaller in staat om, na succesvolle authenticatie, willekeurige besturingssysteemcommando's uit te voeren. Het bijzonder zorgwekkende aspect hiervan is dat deze commando's kunnen worden uitgevoerd met root privileges, wat de aanvaller volledige controle over het getroffen systeem geeft. Dit type kwetsbaarheid vormt een directe bedreiging voor de vertrouwelijkheid, integriteit en beschikbaarheid van gegevens en systemen.

Daarnaast is er een kwetsbaarheid aangepakt die voortkomt uit onjuiste inputvalidatie. Deze specifieke fout in de software maakt het voor een geauthenticeerde beheerder mogelijk om op afstand willekeurige code uit te voeren. Hoewel authenticatie is vereist, biedt de mogelijkheid tot remote code execution (RCE) een aanvaller een krachtig middel om controle over het systeem te verkrijgen en kwaadaardige acties uit te voeren.

Een derde belangrijke kwetsbaarheid die door Ivanti is gepatcht, is een configuratiefout. Deze fout kan door een remote, geauthenticeerde aanvaller worden misbruikt om willekeurige Apache-directieven te injecteren. Ook deze aanvalsmethode kan uiteindelijk leiden tot remote code execution, waardoor de aanvaller de controle over de webserver en mogelijk het onderliggende systeem kan overnemen.

De genoemde kwetsbaarheden zijn aangetroffen in diverse versies van Ivanti Endpoint Manager Mobile. Organisaties die deze software gebruiken, worden dringend geadviseerd de door Ivanti uitgebrachte patches en updates zo snel mogelijk te installeren om hun IT infrastructuur te beschermen tegen exploitatie. Het negeren van deze updates kan leiden tot ongeautoriseerde toegang, dataverlies en verstoring van bedrijfsprocessen.

Bron: NCSC