Beveiligingsonderzoekers hebben een ernstige kwetsbaarheid, genaamd "ClawJacked", ontdekt in de populaire AI-agent OpenClaw. Deze kwetsbaarheid stelt een kwaadaardige website in staat om op de achtergrond toegang te forceren tot een lokaal draaiende instantie en deze over te nemen. Oasis Security ontdekte het probleem en meldde het aan OpenClaw, waarna een fix werd uitgebracht in versie 2026.2.26 op 26 februari.

OpenClaw is een zelf-gehost AI-platform dat recentelijk in populariteit is gestegen, omdat het AI-agents in staat stelt om autonoom berichten te verzenden, commando's uit te voeren en taken te beheren op meerdere platforms. Volgens Oasis Security wordt de kwetsbaarheid veroorzaakt doordat de OpenClaw gateway service standaard aan localhost bindt en een WebSocket interface beschikbaar stelt. Omdat browser cross-origin policies geen WebSocket verbindingen naar localhost blokkeren, kan een kwaadaardige website die door een OpenClaw gebruiker wordt bezocht, JavaScript gebruiken om stilletjes een verbinding te openen naar de lokale gateway en authenticatie proberen zonder waarschuwingen te activeren.

Hoewel OpenClaw rate limiting bevat om brute-force aanvallen te voorkomen, is het loopback adres (127.0.0.1) standaard uitgezonderd, zodat lokale CLI sessies niet per ongeluk worden geblokkeerd. De onderzoekers ontdekten dat ze het OpenClaw management wachtwoord met honderden pogingen per seconde konden brute-forcen, zonder dat mislukte pogingen werden vertraagd of gelogd. Zodra het juiste wachtwoord is geraden, kan de aanvaller zich stilletjes registreren als een vertrouwd apparaat, omdat de gateway automatisch device pairings van localhost goedkeurt zonder dat gebruikersbevestiging vereist is.

Oasis Security legt uit dat ze in hun labtests een constante snelheid van honderden wachtwoordgokken per seconde behaalden, enkel en alleen met browser JavaScript. Met die snelheid is een lijst van veelvoorkomende wachtwoorden in minder dan een seconde uitgeput, en een groot woordenboek zou slechts minuten duren. Een door een mens gekozen wachtwoord maakt geen schijn van kans.

Met een geauthenticeerde sessie en admin rechten kan de aanvaller rechtstreeks met het AI-platform communiceren, credentials dumpen, verbonden nodes weergeven, credentials stelen en applicatielogs lezen. Oasis zegt dat dit een aanvaller in staat zou kunnen stellen om de agent te instrueren om messaging histories te doorzoeken op gevoelige informatie, bestanden van verbonden apparaten te exfiltreren, of willekeurige shell commando's uit te voeren op gekoppelde nodes, wat effectief resulteert in volledige workstation compromise, geactiveerd vanuit een browsertabblad.

Oasis deelde een demonstratie van deze aanval, die laat zien hoe deze kan worden gebruikt om gevoelige data te stelen via de OpenClaw kwetsbaarheid. Oasis rapporteerde het probleem aan OpenClaw, inclusief technische details en proof-of-concept code, en het werd binnen 24 uur na openbaarmaking verholpen. De fix verscherpt WebSocket security checks en voegt extra bescherming toe om te voorkomen dat aanvallers localhost loopback verbindingen misbruiken om logins te brute-forcen of sessies te kapen, zelfs als die verbindingen zijn geconfigureerd om te worden vrijgesteld van rate limiting. Organisaties en ontwikkelaars die OpenClaw gebruiken, wordt aangeraden om onmiddellijk te updaten naar versie 2026.2.26 of later om te voorkomen dat hun installaties worden gekaapt.

Met de enorme populariteit van OpenClaw richten security onderzoekers zich op het identificeren van kwetsbaarheden en aanvallen die gericht zijn op het platform. Dreigingsactoren zijn gezien die de "ClawHub" OpenClaw skills repository misbruiken om kwaadaardige skills te promoten die infostealing malware implementeren of gebruikers misleiden om kwaadaardige commando's op hun apparaten uit te voeren.

Bron: Oasis

In de DuckDuckGo browser voor Android is een kritieke Universal Cross-Site Scripting (UXSS) kwetsbaarheid ontdekt. Deze kwetsbaarheid, met een CVSS score van 8.6, stelt niet-vertrouwde cross-origin iframes in staat om willekeurige JavaScript code uit te voeren in de top-level origin. De kwetsbaarheid werd oorspronkelijk beschreven in een Medium-post door security researcher Dhiraj Mishra.

De oorzaak van het probleem ligt in de "AutoconsentAndroid" JavaScript bridge, een native component die wordt geïnjecteerd in webpagina's geladen door de DuckDuckGo Android applicatie (com.duckduckgo.mobile.android). Deze bridge is ontworpen om naadloze communicatie tussen de native Android code van de browser en de weergegeven webpagina te faciliteren. Echter, de bridge implementeerde geen adequate security checks, wat leidde tot een ernstige schending van de Same-Origin Policy (SOP).

De "AutoconsentAndroid" bridge accepteert berichten van elke frame, inclusief frames geladen van verschillende origins (cross-origin iframes), zonder de origin van de aanroeper te valideren of een secret token voor authenticatie te vereisen. Wanneer de bridge een bericht ontvangt, verwerkt een interne `evalhandler` functie dit en activeert de `webView.evaluateJavascript(…)` methode. In de context van Android WebViews voert deze methode de meegeleverde JavaScript code direct uit binnen het top-level document, in plaats van de geïsoleerde iframe waar het bericht vandaan komt.

Een kwaadaardige iframe ingebed in een legitieme webpagina kan de `AutoconsentAndroid` bridge gebruiken als proxy. Door een crafted bericht met kwaadaardige JavaScript te verzenden, kan de iframe de top-level pagina dwingen deze uit te voeren. Dit omzeilt de Same-Origin Policy, een fundamenteel security mechanisme dat voorkomt dat scripts op de ene webpagina toegang krijgen tot gevoelige data op een andere webpagina.

Door een gebruiker te misleiden een website te bezoeken die een verborgen kwaadaardige iframe bevat, kan een aanvaller willekeurige code uitvoeren over volledig verschillende origins. Dit kan gebruikt worden om gevoelige informatie zoals sessie cookies en authenticatie tokens te stelen, en om onzichtbaar kwaadaardige content te injecteren in elke vertrouwde website die de gebruiker bezoekt via de kwetsbare browser.

DuckDuckGo heeft het probleem inmiddels verholpen in recente releases van de Android browser. Gebruikers en enterprise beheerders wordt geadviseerd om hun DuckDuckGo applicatie bij te werken naar de laatste beschikbare versie.

Bron: Dhiraj Mishra

Google heeft gewaarschuwd voor een actief aangevallen kwetsbaarheid in Androidtelefoons (CVE-2026-21385), en een kritiek beveiligingslek (CVE-2026-0006) waardoor toestellen op afstand zonder interactie van gebruikers overgenomen kunnen worden. Er zijn updates uitgebracht om de problemen te verhelpen. Tijdens de patchronde van maart zijn in totaal 129 kwetsbaarheden gepatcht, waaronder de aangevallen kwetsbaarheid en tien beveiligingslekken die als kritiek zijn aangemerkt.

Het aangevallen beveiligingslek (CVE-2026-21385) bevindt zich in Androidtelefoons die gebruikmaken van Qualcomm chipsets. Het gaat om het onderdeel dat verantwoordelijk is voor de beeldweergave. Via de kwetsbaarheid kan een aanvaller die al toegang tot een toestel heeft een integer overflow veroorzaken. Verdere details zijn niet door Google of Qualcomm gegeven. De impact van CVE-2026-21385 is als 'high' beoordeeld. Kwetsbaarheden in deze categorie maken het mogelijk voor aanvallers om beveiligingsmaatregelen te omzeilen, toegang tot privégegevens te krijgen of rechten te verhogen, zonder dat hiervoor enige interactie van gebruikers voor is vereist. Google geeft geen details over de waargenomen aanvallen, zoals waarvoor het lek werd gebruikt, wie allemaal doelwit waren en sinds wanneer de aanvallen plaatsvinden. In totaal zijn meer dan 230 Qualcomm chipsets kwetsbaar. Om misbruik van het probleem te kunnen maken moet een aanvaller al toegang tot de telefoon hebben. Dit kan via een andere kwetsbaarheid die remote code execution mogelijk maakt of wanneer gebruikers een malafide app installeren.

Daarnaast zijn er ook updates voor tien kritieke kwetsbaarheden verschenen. Eén daarvan is volgens Google het gevaarlijkst, het gaat om CVE-2026-0006. Dit beveiligingslek in het System-onderdeel van Android 16 maakt remote code execution op telefoons mogelijk, zonder interactie van gebruikers. Wederom geeft Google geen verdere informatie over het probleem. Drie kritieke kwetsbaarheden in de Android kernel maken het mogelijk voor aanvallers die al toegang hebben om hun rechten naar die van System te verhogen, waardoor vergaande controle over de telefoon wordt verkregen.

Google werkt met zogeheten patchniveaus, waarbij een datum het patchniveau weergeeft. Toestellen die de maart updates ontvangen zullen '2026-03-01' of '2026-03-05' als patchniveau hebben. Fabrikanten die willen dat hun toestellen dit patchniveau krijgen moeten in dit geval alle updates van het Android bulletin van maart aan hun eigen updates toevoegen, om die vervolgens onder hun gebruikers uit te rollen. De updates zijn beschikbaar gesteld voor Android 14, 15, 16 en 16-qpr2. Fabrikanten van Androidtoestellen zijn volgens Google tenminste een maand geleden over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Google maakte vorige maand bekend dat 40 procent van de Androidtelefoons geen updates meer ontvangt.

Bron: source.android.com | Bron 2: docs.qualcomm.com

Begin 2026 is er data buitgemaakt bij de recepten- en maaltijdplanningsservice Provecho. Het datalek omvat 713.000 unieke e-mailadressen, gebruikersnamen en de accounts die de makers van de accounts volgden. Provecho is op de hoogte gesteld van de claims rondom dit incident.

Het advies is om direct je wachtwoord te wijzigen op elk account waar het getroffen wachtwoord werd gebruikt. Waar mogelijk wordt aangeraden om two-factor authenticatie (2FA) in te schakelen voor een extra beveiligingslaag. In Nederland adviseert Veiliginternetten.nl mensen over hun online veiligheid.

Bron: Have I Been Pwned | Bron 2: veiliginternetten.nl

Google heeft kwetsbaarheden in Android verholpen. De update bevat ook updates voor closed-source componenten van Qualcomm, Imagination Technologies, Unisoc en MediaTek.

Samsung heeft eveneens kwetsbaarheden in Samsung Mobile verholpen die relevant zijn voor Samsung mobiele apparaten. Een kwaadwillende kan deze kwetsbaarheden misbruiken om een Denial-of-Service (DoS) te veroorzaken, zichzelf verhoogde rechten toe te kennen, toegang te krijgen tot gevoelige gegevens of willekeurige code uit te voeren.

Om de kwetsbaarheden succesvol te misbruiken, moet de kwaadwillende het slachtoffer misleiden om een malafide app te installeren en uit te voeren, of om een malafide link te volgen. Google heeft, zoals gebruikelijk, weinig inhoudelijke informatie over de kwetsbaarheden beschikbaar gesteld.

Bron: NCSC

Een kritieke kwetsbaarheid in het AI platform Langflow maakt het mogelijk voor aanvallers om op afstand schadelijke code uit te voeren via de CSV dataverwerking agent. De kwetsbaarheid, geregistreerd als CVE-2026-27966, heeft een kritieke score van 10.0 op 10.0, wat betekent dat onmiddellijke actie vereist is.

Het probleem ligt in de manier waarop de CSV Agent node is geprogrammeerd in Langflow. Deze node stelt gebruikers in staat om een language model (LLM) te verbinden met een CSV bestand om de data te bevragen of te analyseren. De ontwikkelaars hebben echter een specifieke instelling, `allow_dangerous_code=True`, hardcoded. Omdat deze instelling altijd is ingeschakeld, wordt automatisch een tool in LangChain (het framework waarop Langflow is gebouwd) ingeschakeld, genaamd `python_repl_ast`. Deze tool is ontworpen om Python code uit te voeren. Omdat er geen manier is om dit uit te schakelen in de gebruikersinterface, staat de deur open voor aanvallers.

Een aanvaller kan deze zwakte misbruiken met behulp van een techniek die prompt injection wordt genoemd. Ze kunnen een zorgvuldig samengestelde prompt naar de chat input sturen om de AI te misleiden een systeemcommando uit te voeren. Een aanvaller kan bijvoorbeeld een prompt invoeren die het systeem instrueert om de Python tool te gebruiken om een nieuw bestand te maken of een commando uit te voeren op het besturingssysteem van de server. Omdat de instelling voor gevaarlijke code is ingeschakeld, voert de server het commando direct uit zonder te controleren of het veilig is. Hierdoor kan de aanvaller volledige controle over de server krijgen, wat leidt tot een volledige compromittering van het systeem. Ze kunnen data stelen, bestanden verwijderen of kwaadaardige software installeren. Iedereen met toegang tot de Langflow chat interface kan potentieel de server overnemen zonder speciale privileges of gebruikersinteractie.

Om dit probleem op te lossen, wordt gebruikers aangeraden onmiddellijk te updaten naar Langflow versie 1.8.0, zoals geadviseerd in de officiële Langflow security advisory gepubliceerd op GitHub. De patch wijzigt het standaardgedrag, waarschijnlijk door de optie voor gevaarlijke code op false te zetten of deze volledig te verwijderen, waardoor de automatische uitvoering van schadelijke commando's wordt voorkomen.

Gebruikers wordt geadviseerd hun systemen te controleren en de update toe te passen om hun omgevingen te beschermen tegen aanvallen op afstand.

Bron: Langflow | Bron 2: github.com

Een hardnekkige bug in Windows 11 in-place upgrades zou kritieke 802.1X bekabelde authenticatieconfiguraties verwijderen. Hierdoor zouden enterprise workstations volledig offline raken totdat handmatige interventie plaatsvindt.

Systeembeheerders op Reddit's r/sysadmin community slaan alarm, omdat het probleem dat oorspronkelijk werd waargenomen tijdens Windows 10-naar-11 migraties nu opnieuw is opgedoken bij jaarlijkse Windows 11 versie-upgrades, waaronder de 23H2-naar-24H2 en 23H2-naar-25H2 upgrade paden.

Tijdens een in-place Windows 11 upgrade wordt de inhoud van de C:\Windows\dot3svc\Policies folder, die 802.1X bekabelde netwerk (LAN) authenticatieprofielen opslaat die via Group Policy zijn toegepast, stilletjes verwijderd.

De dot3svc service (Wired AutoConfig) vertrouwt op deze policy bestanden om machines te authenticeren tegen netwerk switches die IEEE 802.1X poort-gebaseerde toegangscontrole afdwingen. Zodra de folder is verwijderd, verliest de geüpgradede machine alle bekabelde netwerkconnectiviteit op het moment dat deze opstart in de nieuwe OS versie, waardoor deze effectief wordt afgesneden van het bedrijfsnetwerk.

Het probleem is niet nieuw. Gevallen op Microsoft Q&A gaan terug tot Windows 10 22H2 → Windows 11 23H2 migraties, met meerdere meldingen die 802.1X authenticatie fouten direct na voltooiing van de upgrade bevestigen.

In sommige upgrade scenario's gaat het probleem verder dan dot3svc policy bestanden; in-place upgrades zouden ook de computer certificate store verwijderen, wat authenticatie fouten verder verergert voor organisaties die vertrouwen op EAP-TLS met PKI certificaten.

Beschikbare Workarounds:

* Backup en restore: Kopieer C:\Windows\dot3svc\Policies naar externe opslag voor de upgrade en herstel deze direct nadat het nieuwe OS is opgestart.

* Post-upgrade gpupdate: Verbind het apparaat met een niet-dot1x poort en voer gpupdate /force /target:computer uit om policy her-toepassing te forceren.

* SetupCompleteTemplate.cmd: Injecteer LAN profiel herstel commando's in het Windows setup completion script.

* MECM task sequence step: Voeg voor beheerde deployments een post-upgrade stap toe om 802.1X instellingen opnieuw te pushen voordat het apparaat opnieuw lid wordt van het beveiligde netwerk.

Microsoft heeft deze regressie niet publiekelijk erkend als een bekend probleem op zijn Windows 11 release health dashboard, en er is geen dedicated KB artikel of hotfix uitgebracht op het moment van schrijven.

Beheerders die grote aantallen systemen beheren, zouden hun upgrade workflows moeten controleren en dot3svc policy backup stappen moeten implementeren voordat ze Windows 11 24H2 of 25H2 op schaal uitrollen.

Bron: Reddit | Bron 2: learn.microsoft.com

Een kritieke beveiligingskwetsbaarheid is ontdekt in MS-Agent, een framework dat ontworpen is om AI agents in staat te stellen autonome taken uit te voeren. Volgens een kwetsbaarheidsnotitie van CERT/CC stelt dit beveiligingslek aanvallers in staat om de AI te misleiden, waardoor ze kwaadaardige commando's kunnen uitvoeren en mogelijk volledige controle over het systeem kunnen krijgen.

De kwetsbaarheid, officieel geregistreerd als CVE-2026-2256, komt voort uit de manier waarop MS-Agent omgaat met externe, onvertrouwde invoer. MS-Agent beschikt over een "Shell tool" waarmee de AI besturingssysteemcommando's kan uitvoeren om zijn acties te voltooien. Onderzoekers ontdekten echter dat deze tool de inhoud die hij verwerkt niet goed ontsmet vóór de uitvoering.

Aanvallers kunnen deze zwakte uitbuiten met behulp van "prompt injection". Deze techniek omvat het voeden van de AI met opdrachten die zijn vermomd in normale tekst. Als de AI agent bijvoorbeeld de opdracht krijgt om een document samen te vatten of externe code te analyseren die verborgen kwaadaardige commando's bevat, kan de agent die commando's zonder vragen doorsturen naar de Shell tool. Het framework probeert gevaarlijke commando's te blokkeren met behulp van een filter genaamd check_safe(), dat afhankelijk is van een basis "denylist" van beperkte termen. Het CERT/CC-rapport merkt echter op dat deze verdediging gemakkelijk kan worden omzeild. Aanvallers kunnen de denylist omzeilen met behulp van command obfuscation of alternatieve syntax, waardoor kwaadaardige code de uitvoeringslaag onopgemerkt kan bereiken.

Als een aanvaller CVE-2026-2256 succesvol weet uit te buiten, kunnen ze willekeurige besturingssysteemcommando's uitvoeren op de machine van het slachtoffer met dezelfde privileges als het MS-Agent-proces. Dit niveau van ongeautoriseerde toegang zou een aanvaller in staat kunnen stellen om gevoelige gegevens te exfiltreren die toegankelijk zijn voor de AI agent, kritieke systeembestanden te wijzigen of te verwijderen, persistentie mechanismen te implementeren of backdoors te installeren en zich lateraal over het netwerk te verplaatsen om andere bedrijfsmiddelen in gevaar te brengen.

Omdat de leverancier ten tijde van de openbaarmaking door CERT/CC geen security patch of officiële verklaring over de kwetsbaarheid had verstrekt, wordt organisaties die MS-Agent gebruiken geadviseerd om onmiddellijk defensieve maatregelen te implementeren. Men adviseert om de Agent in een sandbox te plaatsen, de agent te laten werken met de laagste systeemrechten die nodig zijn om zijn taken uit te voeren, de opgenomen inhoud te valideren en de filtergrenzen te versterken.

Bron: CERT/CC | Bron 2: kb.cert.org

Er is een security bulletin gepubliceerd over een kwetsbaarheid in de AutoPass License Server (APLS) van HPE. Deze kwetsbaarheid, aangeduid als CVE-2026-23600 met een CVSS score van 7.3, kan aanvallers in staat stellen om op afstand authenticatiecontroles te omzeilen.

Volgens HPE kan de kwetsbaarheid via het netwerk worden misbruikt zonder dat privileges of gebruikersinteractie vereist zijn, waardoor een authenticatiebypass mogelijk wordt. Dit betekent dat een aanvaller toegang kan krijgen tot beschermde functies zonder geldige inloggegevens, als een APLS instance bereikbaar is vanaf onvertrouwde netwerken. Dit kan leiden tot blootstelling of manipulatie van licentiegerelateerde bewerkingen en bijbehorende serverdata.

HPE bedankt "Anonymous working with TrendAI Zero Day Initiative" voor het melden van het probleem aan het Product Security Response Team (PSRT) van HPE. Het bedrijf heeft een handleiding en een fixed release gepubliceerd om de kwetsbaarheid aan te pakken.

Alleen versies vóór HPE AutoPass License Server zijn getroffen. HPE stelt dat het probleem op afstand kan worden misbruikt om authenticatie te omzeilen. Een organisatie die de licentieserverinterface blootstelt aan brede netwerksegmenten "voor het gemak", loopt het risico dat een externe aanvaller de inlogcontroles omzeilt en op afstand toegang krijgt tot de service.

De primaire oplossing van HPE is om te upgraden naar HPE AutoPass License Server of later.

Bron: HPE

Ruim honderdduizend n8n servers wereldwijd, waarvan meer dan 2500 in Nederland, hebben een beveiligingsupdate gemist voor een kritiek beveiligingslek. Dit meldt The Shadowserver Foundation op basis van eigen onderzoek. Het lek, aangeduid als CVE-2026-27495, kan aanvallers in het ergste geval volledige controle over de server geven.

N8n is een tool voor het automatiseren van workflows, waarmee taken en data tussen verschillende applicaties, tools, platforms en services kunnen worden uitgewisseld. De kwetsbaarheid betreft een 'code injection' waardoor een geauthenticeerde aanvaller, die workflows kan aanpassen of aanmaken, uit de sandbox kan breken en willekeurige code op het systeem kan uitvoeren. Dit maakt het mogelijk om volledige controle over de n8n server te verkrijgen.

De impact van CVE-2026-27495 is beoordeeld met een score van 9.4 op een schaal van 1 tot 10. The Shadowserver Foundation voerde een scan uit naar n8n systemen die vanaf internet toegankelijk zijn en de update voor de kwetsbaarheid missen. Dit leverde 109.000 hosts op, waarvan ruim 53.000 in de Verenigde Staten en 2550 in Nederland. Eerder dit jaar werd er al gewaarschuwd voor een andere kritieke n8n kwetsbaarheid, Ni8mare (CVE-2026-21858).

Bron: n8n-io | Bron 2: github.com

Er is een kwetsbaarheid verholpen in de Merge node van N8n, specifiek in de SQL query modus. Deze kwetsbaarheid treft versies vóór 2.10.1, 2.9.3 en 1.123.22. Het probleem ligt in de manier waarop de Merge node SQL query's uitvoert.

Geauthenticeerde gebruikers die bevoegd zijn om workflows te creëren of te wijzigen, kunnen misbruik maken van deze kwetsbaarheid om willekeurige code uit te voeren en bestanden op de server te schrijven. Dit wordt mogelijk gemaakt door onvoldoende validatie bij de uitvoering van SQL query's, wat resulteert in injectie van code. Het Nationaal Cyber Security Centrum (NCSC) adviseert gebruikers van N8n om hun installaties te updaten naar een veilige versie om dit risico te mitigeren.

Bron: NCSC

Microsoft heeft de KB5075039 Windows Recovery Environment-update (WinRE) voor Windows 10 uitgebracht. Deze update verhelpt een probleem dat al langer bestaat en waardoor sommige gebruikers geen toegang hadden tot de herstelomgeving. De Windows Recovery Environment is een minimale omgeving voor probleemoplossing die wordt gebruikt om het besturingssysteem te repareren of te herstellen nadat het niet is opgestart, om crashes te diagnosticeren of om malware te verwijderen.

In oktober 2025 bevestigde Microsoft dat de KB5066835 Patch Tuesday-updates de USB-muis- en toetsenbordinvoer hadden verbroken bij gebruik van de Windows 11 Recovery Environment, waardoor het voor velen moeilijk werd om de tool voor probleemoplossing te gebruiken. Hoewel er snel een oplossing werd uitgerold voor dit probleem, werd pas in februari bekendgemaakt dat de Windows 10 KB5068164-update die in oktober werd uitgebracht, WinRE ook had beschadigd.

"Deze update bevat een probleem dat voorkomt dat de Windows Recovery Environment succesvol start," aldus de update van februari in het wijzigingslogboek. Microsoft heeft de "KB5075039: Windows Recovery Environment update for Windows 10" uitgebracht om het WinRE-probleem op te lossen dat vorig jaar werd geïntroduceerd. "[Windows Recovery Environment (WinRE)] Opgelost: WinRE startte niet na de installatie van de update KB5068164 van 14 oktober 2025," aldus het wijzigingslogboek. Om de update te installeren, moet de WinRE-partitie minstens 256 MB groot zijn. Indien dit niet het geval is, moet de partitie worden vergroot aan de hand van de instructies van Microsoft. Voor het aanpassen van een partitie, inclusief de WinRE-partitie, wordt aangeraden om een back-up te maken van de data op de desbetreffende schijf.

Bron: Microsoft

Een kwetsbaarheid met de maximale impactscore in het FreeScout helpdesk platform maakt het voor aanvallers mogelijk om op afstand code uit te voeren zonder dat de gebruiker interactie hoeft te hebben of authenticatie nodig is. Het beveiligingslek wordt gevolgd als CVE-2026-28289 en omzeilt een eerdere fix voor een ander beveiligingsprobleem (CVE-2026-27636) dat kon worden misbruikt door geauthenticeerde gebruikers met uploadrechten.

Onderzoekers van OX Security ontdekten dat een aanvaller de nieuwe kwetsbaarheid kan misbruiken door een speciaal geprepareerde e-mail te sturen naar elk adres dat in FreeScout is geconfigureerd. De eerdere fix probeerde gevaarlijke bestand uploads te blokkeren door bestandsnamen met beperkte extensies of namen die met een punt beginnen aan te passen. Het OX Research team ontdekte dat een zero-width space (Unicode U+200B) voor de bestandsnaam kon worden geplaatst om het validatiemechanisme te omzeilen, omdat dit teken niet als zichtbare content wordt behandeld. De daaropvolgende verwerking verwijdert dit teken, waardoor het bestand kan worden opgeslagen als een dotfile en CVE-2026-27636 alsnog kan worden misbruikt, waarmee de beveiligingscontroles volledig worden omzeild.

CVE-2026-28289 kan worden getriggerd door een kwaadaardige e-mailbijlage die wordt afgeleverd in een mailbox die is geconfigureerd in FreeScout. Het programma slaat de bijlage op in “/storage/attachment/…,” waardoor de aanvaller toegang krijgt tot de geüploade payload via de webinterface en opdrachten op de server kan uitvoeren zonder authenticatie of gebruikersinteractie, waardoor het een zero-click kwetsbaarheid is.

Volgens de leverancier stelt een patch bypass kwetsbaarheid in FreeScout 1.8.206 elke geauthenticeerde gebruiker met uploadrechten in staat om Remote Code Execution (RCE) op de server uit te voeren door een kwaadaardig .htaccess bestand te uploaden met behulp van een zero-width space character prefix om de security check te omzeilen.

FreeScout is een open-source helpdesk en shared mailbox platform dat door organisaties wordt gebruikt om klantenservice e-mails en tickets te beheren. Het is een self-hosted alternatief voor Zendesk of Help Scout. De GitHub repository van het project heeft 4.100 sterren en meer dan 620 forks. OX Research meldt dat Shodan scans 1.100 publiek toegankelijke instanties teruggaf, wat aangeeft dat het een veelgebruikte oplossing is.

CVE‑2026‑28289 treft alle FreeScout versies tot en met 1.8.206 en is gepatcht in versie 1.8.207, die vier dagen geleden is uitgebracht. Het FreeScout team waarschuwt dat succesvolle exploitatie van CVE‑2026‑28289 kan leiden tot volledige server compromise, datalekken, laterale verplaatsing naar interne netwerken en service verstoring. Daarom wordt onmiddellijke patching geadviseerd. OX Research heeft ook aanbevolen om ‘AllowOverrideAll’ in de Apache configuratie op de FreeScout server uit te schakelen, zelfs wanneer versie 1.8.207 wordt gebruikt. Er is nog geen actieve exploitatie van CVE‑2026‑28289 waargenomen, maar gezien de aard van deze kwetsbaarheid is het gevaar op kwaadaardige activiteit zeer groot.

Bron: OX Security | Bron 2: github.com | Bron 3: nvd.nist.gov

Elastic heeft een reeks kwetsbaarheden in Kibana verholpen. De kwetsbaarheden betreffen verschillende componenten van de software. Een geauthenticeerde gebruiker met enkel weergaveprivileges kan een fout in de invoervalidatie misbruiken om een Denial of Service (DoS) te veroorzaken. Dit kan door specifiek vervaardigde, verkeerd gevormde payloads te versturen. Hierdoor kan overmatig gebruik van resources ontstaan, wat kan leiden tot crashes.

Daarnaast bevat het zoekendpoint van Kibana's interne Content Connectors een kwetsbaarheid. Deze stelt aanvallers in staat om gemanipuleerde invoergegevens te leveren, wat eveneens kan resulteren in een DoS. De AI Inference Anonymization Engine maakt gebruik van een inefficiënt geconstrueerde reguliere expressie, die misbruikt kan worden om een DoS te veroorzaken door de regex-processor te overweldigen.

De Timelion-component kan ook worden misbruikt om ongecontroleerd middelenverbruik te veroorzaken, wat de beschikbaarheid van de Kibana-service beïnvloedt. Ten slotte staat de kwetsbaarheid in de workflow template engine geauthenticeerde gebruikers met `executeWorkflow`-rechten toe om code te injecteren. Hiermee kunnen willekeurige bestanden van het serversysteem gelezen worden en server-side request forgery (SSRF)-aanvallen uitgevoerd worden.

Bron: NCSC

Hackers maken misbruik van een kritieke kwetsbaarheid in de User Registration & Membership plugin, die op meer dan 60.000 WordPress-sites is geïnstalleerd. De plugin, ontwikkeld door WPEverest, biedt functies voor lidmaatschaps- en gebruikersregistratiebeheer, waaronder aangepaste formulieren, betalingsintegraties met PayPal en Stripe, bankoverschrijvingen en analyses.

De beveiligingskwetsbaarheid wordt gevolgd als CVE-2026-1492 en heeft een kritieke score van 9.8 gekregen. Omdat de plugin een door de gebruiker opgegeven rol accepteert tijdens de lidmaatschapsregistratie, kunnen hackers administratoraccounts aanmaken zonder authenticatie. Een administratoraccount heeft volledige toegang tot de website en is vereist om plugins en thema's te installeren, PHP-code te bewerken, beveiligingsinstellingen te wijzigen, site-inhoud aan te passen en legitieme eigenaren of beheerders te blokkeren. Een aanvaller met dit toegangsniveau kan gegevens stelen, zoals de database met geregistreerde gebruikers, en kwaadaardige code insluiten om malware naar bezoekers te verspreiden.

Onderzoekers van WordPress-beveiligingsbedrijf Defiant, de maker van de Wordfence-beveiligingsplugin, hebben de afgelopen 24 uur meer dan 200 pogingen geblokkeerd om CVE-2026-1492 in klantomgevingen te misbruiken. De kwetsbaarheid treft alle versies van User Registration & Membership tot en met 5.1.2. De ontwikkelaar heeft een fix uitgebracht in versie 5.1.3 van de plugin. Websitebeheerders wordt geadviseerd om te updaten naar de nieuwste versie van de plugin, momenteel 5.1.4, die vorige week is uitgebracht. Als updaten niet mogelijk is, is de aanbeveling om de plugin tijdelijk uit te schakelen of te verwijderen. Volgens Wordfence-gegevens is CVE-2026-1492 de ernstigste kwetsbaarheid in de User Registration & Membership-plugin die dit jaar is onthuld.

Hackers richten zich voortdurend op WordPress-sites voor kwaadaardige activiteiten, waaronder het verspreiden van malware, phishing, het hosten van command-and-control servers, het proxyen van kwaadaardig verkeer of het opslaan van gestolen gegevens. In januari 2026 begonnen hackers een kwetsbaarheid (CVE-2026-23550) met maximale impact in de Modular DS WordPress plugin te misbruiken, waardoor ze authenticatie op afstand konden omzeilen en toegang konden krijgen tot kwetsbare sites met beheerdersrechten.

Bron: WPEverest | Bron 2: incode.com | Bron 3: wordfence.com

Er is een ernstige kwetsbaarheid, CVE-2026-25611 (CVSS 7.5), ontdekt in MongoDB. Deze kwetsbaarheid stelt niet-geauthenticeerde aanvallers in staat om blootgestelde servers te laten crashen met minimaal bandbreedtegebruik.

Volgens Cato CTRL treft de kwetsbaarheid alle MongoDB-versies waarbij compressie is ingeschakeld (v3.4+, standaard ingeschakeld sinds v3.6), inclusief MongoDB Atlas. Shodan-gegevens tonen aan dat meer dan 207.000 MongoDB-instances momenteel blootgesteld zijn aan het internet en risico lopen.

De kwetsbaarheid bevindt zich in het wireprotocol compressiemechanisme van MongoDB, bekend als OP_COMPRESSED. Wanneer de server een gecomprimeerd bericht ontvangt, wijst deze geheugen toe op basis van de door de aanvaller gecontroleerde waarde uncompressedSize, voordat de daadwerkelijke gedecomprimeerde grootte wordt geverifieerd. Een aanvaller kan een klein, 47KB groot zlib-gecomprimeerd pakket verzenden, terwijl hij een niet-gecomprimeerde grootte van 48MB claimt. SentinelOne merkt op dat de server blindelings 48MB per verbinding toewijst, wat resulteert in een geheugenversterkingsratio van 1.027:1. Door meerdere gelijktijdige verbindingen te openen, put de aanvaller snel het RAM-geheugen van de server, waardoor een Out-of-Memory (OOM) kernel kill met exit code 137 wordt geactiveerd.

Het testen van Cato CTRL toonde aan dat een 512MB server crasht in ongeveer twee seconden met slechts 10 verbindingen die 457KB aan data verzenden. Een 1GB instance valt bij 25 verbindingen in drie seconden. Zelfs een robuuste 64GB enterprise database kan offline worden gehaald in minder dan een minuut met behulp van ongeveer 1.363 verbindingen en slechts 64MB aan verkeer van een standaard internetverbinding thuis.

Netwerkbeheerders wordt aangeraden te controleren op hoge volumes van TCP-verbindingen naar poort 27017 vanaf een enkele bron, en op snelle verbindings totstandkoming die inactief blijft. OP_COMPRESSED-pakketten onder 100KB die een niet-gecomprimeerde grootte van meer dan 10MB claimen, zijn eveneens indicatoren. Systeemindicatoren omvatten snelle MongoDB-geheugenspikes en OOM killer-events gericht op het mongod-proces in systeemlogboeken.

Om deze dreiging te mitigeren, dienen beheerders onmiddellijk te updaten naar de gepatchte MongoDB-versies: 8.2.4, 8.0.18 of 7.0.29. Als upgraden niet direct mogelijk is, adviseert Cato CTRL om compressie volledig uit te schakelen met behulp van –networkMessageCompressors=disabled. Verder moeten organisaties de netwerktoegang tot de database beperken tot vertrouwde netwerken via firewalls, verbindingslimieten implementeren met behulp van maxIncomingConnections, en vermijden om publieke netwerktoegang (0.0.0.0/0) toe te staan op MongoDB Atlas clusters.

Bron: Cato Networks

Cisco waarschuwt voor een kritieke kwetsbaarheid in het Cisco Secure Firewall Management Center (FMC), waardoor een ongeauthenticeerde aanvaller op afstand root-toegang kan verkrijgen. Het Nationaal Cyber Security Centrum (NCSC) verwacht dat er op korte termijn publieke proof-of-concept exploitcode beschikbaar zal zijn, wat kan leiden tot grootschalige misbruikpogingen. Het beveiligingslek, aangeduid als CVE-2026-20079, heeft een kritieke score van 10.0 op de schaal van 1 tot 10. Cisco heeft updates uitgebracht om het probleem te verhelpen. Er zijn momenteel geen bekende gevallen van actief misbruik van deze kwetsbaarheid.

Het FMC is een centraal beheersysteem voor Cisco-firewalls, dat Cisco zelf omschrijft als het "administratieve zenuwcentrum" voor het beheer van netwerkbeveiligingsapparatuur. De kwetsbaarheid bevindt zich in de webinterface van het FMC en wordt veroorzaakt door een "onjuist systeemproces" dat tijdens het opstarten wordt gestart.

Een aanvaller kan dit proces misbruiken door speciaal geprepareerde HTTP-requests naar het systeem te sturen. Hierdoor kan de aanvaller de authenticatie omzeilen en scripts en commando's uitvoeren op het systeem, waardoor root-toegang tot het onderliggende besturingssysteem mogelijk wordt. Het NCSC merkt op dat het aanvalsoppervlak verkleind wordt als de beheerinterface van het FMC geen publieke internettoegang heeft, aangezien het ongebruikelijk is om een managementinterface direct publiekelijk aan het internet bloot te stellen.

Het NCSC adviseert organisaties dringend om de update zo snel mogelijk te installeren, gezien de verwachte komst van publieke exploitcode en de potentie voor grootschalig misbruik.

Bron: Cisco | Bron 2: advisories.ncsc.nl

In het Astroid framework voor Joomla is een kritieke kwetsbaarheid ontdekt met betrekking tot onvoldoende beveiligd bestandsbeheer, wat kan leiden tot Remote Code Execution (RCE). Het CCB waarschuwt voor dit risico en adviseert onmiddellijk te patchen. De kwetsbaarheid is geïdentificeerd als CVE-2026-21628 en heeft een CVSS-score van 10.0. Versie 2.0.0 van het framework is getroffen.

Bron: CCB | Bron 2: nvd.nist.gov

Anthropic's Claude Opus 4.6, een model voor kunstmatige intelligentie, heeft in februari 2026, tijdens een samenwerking van twee weken met Mozilla, 22 unieke beveiligingsfouten in de Firefox webbrowser ontdekt. Mozilla classificeerde 14 hiervan als hoog-risico kwetsbaarheden, wat bijna 20% vertegenwoordigt van alle hoog-risico Firefox fouten die het voorgaande jaar zijn hersteld. Alle gevalideerde kwetsbaarheden zijn snel aangepakt en gepatcht in de Firefox 148.0 release.

Om de mogelijkheden van het model op een complexe codebase te testen, werd Claude Opus 4.6 gericht op de analyse van de huidige Firefox repository. Het team richtte zich aanvankelijk op de JavaScript engine van de browser. Binnen twintig minuten identificeerde de AI een Use After Free kwetsbaarheid. Na deze eerste successcannde Claude bijna 6.000 C++ bestanden, wat resulteerde in 112 bugrapporten die rechtstreeks naar Mozilla’s Bugzilla issue tracker werden gestuurd.

Hoewel Claude goed is in het ontdekken van fouten, is zijn huidige vermogen om ze te bewapenen beperkt. Anthropic gaf het model de opdracht om functionele exploits te ontwikkelen voor de ontdekte bugs om lokale bestanden op een doelsysteem te lezen en te schrijven. Na enkele honderden pogingen en $4.000 aan API credits, genereerde het model slechts in twee gevallen werkende exploits. Deze exploits vereisten een testomgeving waarbij de browser sandbox was uitgeschakeld.

Om zich te verdedigen tegen de golf van AI-gegenereerde bugs, moeten security onderzoekers nieuwe verificatie workflows implementeren, zoals "task verifiers". Dit zijn geautomatiseerde methoden waarmee een AI patching agent zijn eigen werk iteratief kan controleren. Belangrijke vereisten voor AI-gegenereerde kwetsbaarheidsrapporten zijn: het toevoegen van minimale test cases om de exacte trigger condities aan te tonen, het verstrekken van gedetailleerde proofs-of-concept om de exploitatie vector te helpen begrijpen en het indienen van kandidaat patches die door de AI zijn gegenereerd en gevalideerd om het herstelproces te versnellen.

Bron: Anthropic

OpenAI heeft Codex Security gelanceerd, een applicatie security agent ontworpen om autonoom complexe kwetsbaarheden te identificeren, valideren en herstellen in enterprise en open-source codebases. De tool, voorheen bekend als Aardvark, maakt gebruik van modellen met kunstmatige intelligentie om contextbewuste security assessments te leveren, met als doel statische analyse tools te vervangen die security teams overspoelen met bevindingen met lage impact en valse positieven.

Codex Security pakt het groeiende code review knelpunt aan dat is ontstaan door softwareontwikkeling met kunstmatige intelligentie, door automatisch potentiële exploits te testen en patches te genereren. De agent wordt uitgerold in een research preview naar ChatGPT Pro, Enterprise, Business en Edu klanten via de Codex web interface.

In tegenstelling tot traditionele applicatie security testing tools, start Codex Security zijn analyse door een projectspecifiek, bewerkbaar dreigingsmodel te bouwen dat systeemvertrouwensgrenzen en exposure points in kaart brengt. De agent gebruikt dit contextuele begrip om prioriteit te geven aan kwetsbaarheden op basis van real-world impact, in plaats van generieke heuristieken. Om verder ruis te elimineren, valideert Codex Security actief zijn bevindingen door proof-of-concept exploits uit te voeren binnen sandboxed omgevingen. Als een kwetsbaarheid wordt bevestigd, genereert de agent een contextuele patch die is ontworpen om regressies te minimaliseren en af te stemmen op de omliggende systeemarchitectuur.

Tijdens de private betafase liet het systeem significante verbeteringen zien in de verhouding tussen signaal en ruis. OpenAI rapporteerde een reductie van 84% in alert ruis, een daling van 90% in overgerapporteerde severity levels, en een afname van meer dan 50% in false positive rates. De schaalbaarheid van de agent werd aangetoond tijdens de laatste 30 dagen van de beta, waarin het meer dan 1,2 miljoen commits van externe repositories scande. Deze analyse identificeerde 792 kritieke kwetsbaarheden en 10.561 issues met hoge ernst, waarbij kritieke flaws in minder dan 0,1% van alle gescande commits voorkwamen.

Een kerncomponent van de Codex Security rollout is de toepassing ervan op kritieke open-source software (OSS). OpenAI gebruikte de agent om breed gebruikte projecten zoals OpenSSH, GnuTLS, PHP en Chromium te auditen, waarbij prioriteit werd gegeven aan actionable intelligence boven speculatieve rapporten. Deze scans resulteerden in de ontdekking van zero-day kwetsbaarheden met hoge impact en de toewijzing van 14 officiële CVE's. Om het OSS ecosysteem voortdurend te versterken, lanceert OpenAI "Codex for OSS", een programma dat gratis toegang biedt tot ChatGPT Pro accounts, code review infrastructuur en Codex Security voor kwalificerende open-source maintainers.

Bron: CyberSecurityNews

In AVideo, een veelgebruikt open source video hosting en streaming platform, is een kritieke kwetsbaarheid ontdekt. De kwetsbaarheid vereist geen enkele klik of interactie, is aangeduid als CVE-2026-29058, heeft een maximale ernstscore en stelt ongeauthenticeerde aanvallers in staat om willekeurige besturingssysteemcommando's uit te voeren op de doelserver.

De kwetsbaarheid, ontdekt door security researcher Arkmarta, treft specifiek AVideo versie 6.0. De kwetsbaarheid is officieel gepatcht in versie 7.0 en latere releases. De kwetsbaarheid is geclassificeerd onder CWE-78 voor de onjuiste neutralisatie van speciale elementen in een OS commando. De aanval vereist geen systeemprivileges of gebruikersinteractie. Bij succesvolle exploitatie kunnen aanvallers de volledige server compromitteren, gevoelige configuratiegeheimen stelen en live videostreams volledig kapen.

De oorzaak van deze ernstige kwetsbaarheid ligt in de objects/getImage.php component van het AVideo platform. Het probleem treedt op wanneer de applicatie netwerkverzoeken verwerkt die een base64Url parameter bevatten. Het platform decodeert deze door de gebruiker aangeleverde input en voegt deze direct in een ffmpeg shell commando met dubbele aanhalingstekens. Hoewel de software probeert de input te valideren met behulp van standaard URL filters, controleert deze functie alleen op basis URL syntax. Het slaagt er volledig in om gevaarlijke shell metacharacters of command substitution sequences te neutraliseren. Omdat de applicatie deze onbetrouwbare data niet correct escaped voordat het commando wordt uitgevoerd, kunnen externe aanvallers eenvoudig kwaadaardige instructies toevoegen.

Volgens de advisory op GitHub moeten beheerders die AVideo Encoder versie 6.0 draaien upgraden naar versie 7.0 of later om hun omgevingen te beveiligen. De officiële gepatchte release lost het probleem op door strikte shell argument escaping toe te passen, met behulp van functies zoals escapeshellarg(). Als een onmiddellijke upgrade niet haalbaar is, moeten security teams tijdelijke workarounds implementeren. Beheerders moeten de toegang tot het kwetsbare objects/getImage.php endpoint sterk beperken met behulp van strikte IP allowlisting. Daarnaast zouden organisaties Web Application Firewall (WAF) rules moeten toepassen die zijn ontworpen om verdachte Base64 gecodeerde shell command patterns te inspecteren en actief te blokkeren.

Bron: CyberSecurityNews

Een ernstige kwetsbaarheid in meerdere producten van Hikvision is op 5 maart 2026 toegevoegd aan de Known Exploited Vulnerabilities (KEV)-catalogus. Deze kwetsbaarheid, wereldwijd bekend onder CVE-2017-7921, vormt een aanzienlijk risico voor organisaties die afhankelijk zijn van deze bewakingssystemen. De kwetsbaarheid stelt kwaadwillende gebruikers in staat om standaard beveiligingscontroles te omzeilen, hun privileges te verhogen en ongeautoriseerde toegang te krijgen tot gevoelige informatie zonder geldige inloggegevens.

De kern van dit probleem is een onjuiste authenticatie, formeel gecategoriseerd als CWE-287. In een beveiligd systeem verifiëren authenticatieprotocollen de identiteit van een gebruiker voordat toegang wordt verleend tot specifieke functies. Deze kwetsbaarheid stelt aanvallers in staat om de inlogprocedures volledig te omzeilen. Door speciaal vervaardigde verzoeken naar het beoogde apparaat van Hikvision te sturen, kunnen ongeautoriseerde gebruikers met het systeem communiceren alsof ze volledig geauthenticeerde beheerders zijn.

Hoewel het momenteel onbekend is of ransomware operators deze specifieke kwetsbaarheid in hun campagnes gebruiken, zijn ongepatchte Internet of Things (IoT)-apparaten frequente doelwitten voor initial access brokers. Zodra aanvallers hun privileges met succes hebben verhoogd, neemt het potentieel voor operationele schade aanzienlijk toe. Ze kunnen live bewakingsfeeds bekijken, gearchiveerde beveiligingsbeelden downloaden en gevoelige configuratiebestanden extraheren die netwerkwachtwoorden bevatten.

Omdat fysieke beveiligingscamera's vaak rechtstreeks zijn verbonden met bedrijfsnetwerken, kunnen gecompromitteerde apparaten van Hikvision dienen als een stil toegangspunt voor diepere netwerkintrusie. Aanvallers kunnen de gekaapte camera's gebruiken om interne bewegingen te volgen of lateraal te bewegen om kritieke servers en werkstations van werknemers aan te vallen.

Gezien de ernst van ongeautoriseerde netwerktoegang moeten netwerkverdedigers snel actie ondernemen. CISA heeft een deadline van 26 maart 2026 vastgesteld voor organisaties om hun omgevingen te beveiligen tegen deze actieve dreiging. Om te voldoen aan de federale compliance eisen, moeten agentschappen dit probleem aanpakken onder Binding Operational Directive (BOD) 22-01 door de configuratie van hun clouddiensten en fysieke netwerkapparaten te beveiligen. Bedrijven in de privésector wordt ten zeerste aangeraden om dezelfde agressieve tijdlijn aan te houden om fysieke en digitale datalekken te voorkomen.

Beheerders moeten onmiddellijk hun netwerken controleren om actieve hardware van Hikvision te identificeren, inclusief IP camera's en netwerkvideorecorders. De primaire verdedigingsstrategie vereist het toepassen van alle mitigaties en firmware updates precies zoals beschreven in de officiële vendorinstructies van Hikvision. In scenario's waarin apparaten te oud zijn om updates te ontvangen of officiële mitigaties niet beschikbaar zijn, moeten beveiligingsteams het gebruik van het getroffen product onmiddellijk staken om het bredere netwerk te beschermen.

Bron: https://cybersecuritynews.com/hikvision-multiple-products-vulnerability/

De Cybersecurity and Infrastructure Security Agency (CISA) heeft een waarschuwing uitgestuurd over actieve exploits die misbruik maken van verschillende kwetsbaarheden in macOS, iOS en andere Apple producten. Op 5 maart 2026 heeft CISA drie beveiligingslekken toegevoegd aan de Known Exploited Vulnerabilities (KEV) catalogus. Deze toevoeging waarschuwt netwerkbeheerders dat kwaadwillenden actief misbruik maken van deze kwetsbaarheden, waardoor onmiddellijke patching een prioriteit is voor organisaties.

De nieuw toegevoegde kwetsbaarheden betreffen problemen met geheugenbeheer en rekenkundige logica. Twee van de lekken, CVE-2023-43000 en CVE-2023-41974, zijn Use-After-Free kwetsbaarheden (CWE-416). Deze ontstaan wanneer een programma een geheugenpointer blijft gebruiken na herallocatie, waardoor aanvallers kwaadaardige code kunnen injecteren. Het derde lek, CVE-2021-30952, is een Integer Overflow kwetsbaarheid (CWE-190). Dit veroorzaakt onverwacht softwaregedrag wanneer een bewerking een numerieke waarde creëert die te groot is voor de toegewezen opslagruimte.

Aanvallers kunnen deze lekken misbruiken door gebruikers te misleiden tot het verwerken van kwaadaardige webinhoud. CVE-2023-43000 treft macOS, iOS, iPadOS en Safari 16.6, en kan geheugenbeschadiging veroorzaken. CVE-2021-30952 treft tvOS, macOS, Safari, iPadOS en watchOS, en kan leiden tot willekeurige code uitvoering. CVE-2023-41974 treft iOS en iPadOS, waardoor een kwaadaardige app willekeurige code kan uitvoeren met kernel privileges voor diepe systeemtoegang.

Het is momenteel onbekend of deze specifieke kwetsbaarheden verband houden met actieve ransomware campagnes. CISA adviseert om de volgende stappen te nemen: alle beschikbare beveiligingsupdates toepassen volgens de officiële instructies van Apple, de BOD 22-01 richtlijnen volgen voor cloudgebaseerde omgevingen, en het gebruik van kwetsbare producten onmiddellijk staken als officiële maatregelen niet kunnen worden ingezet.

Bron: https://cybersecuritynews.com/macos-and-ios-vulnerabilities-exploited/

In ExifTool, een open-source tool voor het lezen en bewerken van metadata in afbeeldingsbestanden, is een ernstige beveiligingsfout ontdekt. De kwetsbaarheid, geregistreerd als CVE-2026-3102, treft macOS-systemen en stelt aanvallers in staat shell-commando's te verbergen in afbeeldingsbestanden, die vervolgens ongemerkt worden uitgevoerd wanneer de bestanden worden verwerkt.

De ontdekking heeft geleid tot bezorgdheid in sectoren die afhankelijk zijn van geautomatiseerde workflows voor afbeeldingen, zoals forensische laboratoria en grote mediabedrijven. ExifTool staat bekend als een oplossing voor het verwerken van metadata in honderden bestandsformaten. Fotografen, digitale archivarissen, forensische onderzoekers en data-analisten gebruiken het om details zoals GPS-coördinaten, camera-instellingen en tijdstempels uit afbeeldingsbestanden te halen. De open-source bibliotheek is ook geïntegreerd in tools van derden, zoals fotobeheerplatforms en software voor beeldautomatisering, waaronder Exif Photoworker, MetaScope en ImageIngester. In grote ondernemingen draait ExifTool vaak onopvallend via digital asset management systemen, wat het aanvalsoppervlak vergroot.

Onderzoekers van Kaspersky hebben de kwetsbaarheid ontdekt en gerapporteerd aan Phil Harvey, de ontwikkelaar van ExifTool, die kort na de melding een patch heeft uitgebracht in versie 13.50. Het team merkte op dat dit type metadata-gebaseerde aanval vaak wordt gemist door conventionele beveiligingsscans, omdat de meeste tools zich richten op de bestandsinhoud en niet op de ingesloten metadata-velden. De bevindingen laten zien hoe een breed ingezette tool een toegangspoort kan vormen voor aanvallers die macOS-omgevingen aanvallen.

Een succesvolle exploitatie van de kwetsbaarheid geeft aanvallers toegang tot het getroffen macOS-systeem, waarna ze een remote payload kunnen downloaden en uitvoeren, Trojans kunnen implementeren of infostealers kunnen installeren om gevoelige gegevens te verzamelen. Het feit dat de kwaadaardige afbeelding er normaal uitziet en zelfs een legitiem doel kan dienen, terwijl de schadelijke shell-commando's onzichtbaar worden uitgevoerd, maakt de aanval extra zorgwekkend. Het risico is vooral groot voor organisaties waar dagelijks afbeeldingen door geautomatiseerde pipelines stromen, zoals forensische laboratoria, nieuwsredacties, juridische kantoren en medische beeldvormingscentra. In dergelijke omgevingen komen regelmatig bestanden van externe bronnen binnen, waardoor een enkele kwaadaardige afbeelding die via een routine-inzendingskanaal wordt aangeleverd, de backend-infrastructuur van een hele organisatie kan compromitteren.

De oorzaak van de exploit ligt in de manier waarop ExifTool op macOS het DateTimeOriginal-veld verwerkt, een standaard EXIF-tag die normaliter opslaat wanneer een foto is genomen. Aanvallers manipuleren dit veld door het in een ongeldig formaat vast te leggen en er kwaadaardige shell-commando's in te bedden. Wanneer ExifTool een dergelijk bestand verwerkt in de -n modus, ook bekend als de --printConv flag, geeft het gegevens in een ruwe, onbewerkte vorm weer. Deze ruwe output omzeilt de formatteringstap die de verborgen commando's zou neutraliseren, waardoor ze worden geïnterpreteerd en rechtstreeks door de macOS shell worden uitgevoerd. De -n flag wordt veel gebruikt in geautomatiseerde pipelines voor beeldverwerking, omdat het een schone, beknopte, machine-leesbare output produceert. Dit maakt het een natuurlijke standaard in grootschalige operaties, wat betekent dat de twee voorwaarden die nodig zijn om de exploit te activeren - draaien op macOS met -n ingeschakeld - vaak samenkomen. Zonder deze flag geeft ExifTool de metadata-output weer in een voor mensen leesbaar formaat, wat de exploit onbedoeld verstoort. Aangezien machine-facing systemen zelden dat weergaveformaat gebruiken, blijft de kwetsbaarheid functioneel in de meeste real-world deployments.

De ontwikkelaar van ExifTool heeft versie 13.50 uitgebracht om CVE-2026-3102 aan te pakken, en alle gebruikers van versie 13.49 of eerder moeten onmiddellijk updaten. Organisaties wordt aangeraden alle asset management platforms, fotoverwerkingsapplicaties en aangepaste scripts op macOS te controleren om te bevestigen dat ze ExifTool 13.50 of later aanroepen, en niet een ingesloten oudere versie van de bibliotheek gebruiken. Voor extra bescherming moeten afbeeldingen van niet-vertrouwde of onbekende bronnen worden verwerkt in geïsoleerde virtuele omgevingen met beperkte netwerktoegang. Het is ook raadzaam om open-source componenten die in interne workflows worden gebruikt continu te monitoren op nieuw gepubliceerde kwetsbaarheden door middel van speciale tools voor het volgen van de supply chain.

Bron: Kaspersky

Een recent ontdekte kritieke kwetsbaarheid in Nginx UI maakt het voor niet-geauthenticeerde aanvallers mogelijk om volledige systeemback-ups te downloaden en te decoderen. De kwetsbaarheid, geregistreerd als CVE-2026-27944, is gecategoriseerd als CWE-306 en CWE-311, en heeft een maximale CVSS-score van 9.8. Het betreft alle versies van de Nginx UI vóór 2.3.2. Beheerders wordt aangeraden de security patch toe te passen door te upgraden naar versie 2.3.3.

De kwetsbaarheid is het gevolg van twee belangrijke security failures in de Nginx UI Go codebase. Het `/api/backup` endpoint mist authenticatiecontroles, waardoor het volledig is blootgesteld aan het openbare internet, in tegenstelling tot andere beschermde management endpoints. Bovendien stuurt het systeem ten onrechte de Base64-gecodeerde AES-256 encryptiesleutel en Initialization Vector (IV) in platte tekst binnen de `X-Backup-Security` HTTP response header.

Een aanvaller kan een standaard GET request naar het backup endpoint sturen, de gecodeerde ZIP archieven downloaden en de sleutels gebruiken die in de request header staan om de inhoud direct te ontsluiten. Er is al een publieke Proof-of-Concept (PoC) script beschikbaar, die demonstreert hoe eenvoudig deze kwetsbaarheid kan worden misbruikt met Python om de beoogde bestanden te extraheren.

Zodra de backup is gedecodeerd, krijgt de aanvaller toegang tot zeer gevoelige systeembestanden, waaronder het `database.db` bestand met gebruikers credentials en het `app.ini` configuratiebestand. Via deze exploit kunnen threat actors moeiteloos de Nginx UI management console overnemen of veilige communicatie onderscheppen via man-in-the-middle aanvallen. De gestolen credentials en session tokens kunnen ook worden gebruikt om dieper in het netwerk door te dringen.

Om dit te mitigeren wordt aangeraden om de Nginx UI te upgraden naar versie 2.3.3 of later. Organisaties zouden ook strikte toegangscontrole moeten afdwingen door de netwerktoegang tot het `/api/backup` endpoint te beperken met behulp van firewalls, aldus GitHub’s advisory. Totdat de patch kan worden toegepast, moeten security teams publieke toegang tot het `/api/backup` endpoint blokkeren en alle management interfaces beperken tot vertrouwde interne netwerken. Voor proactieve detectie moeten security teams server logs monitoren op onverwachte of niet-geauthenticeerde `GET /api/backup` HTTP requests. Daarnaast zouden beheerders continu uitgaande HTTP responses moeten inspecteren op de aanwezigheid van de `X-Backup-Security` header met de gelekte Base64 sleutels.

Bron: GitHub

De Amerikaanse autoriteiten waarschuwen voor actief misbruik van een kwetsbaarheid in Ivanti Endpoint Manager (EPM). Het gaat om een authenticatie bypass kwetsbaarheid (CVE-2026-1603) waardoor een ongeauthenticeerde aanvaller op afstand toegang kan krijgen tot specifieke opgeslagen "credential data". Ivanti geeft niet aan wat voor soort gegevens dit zijn.

Ivanti kwam op 9 februari met een beveiligingsupdate voor de kwetsbaarheid. Ivanti Endpoint Manager wordt gebruikt om laptops, smartphones en servers te beheren, inclusief het installeren van software en updates. Dit gebeurt via de EPM-server die met een agent op beheerde clients communiceert. Een gecompromitteerde EPM-server of administrator-account kan vergaande gevolgen hebben. Ivanti EPM is in het verleden al vaker doelwit geweest van aanvallen waarbij misbruik werd gemaakt van kwetsbaarheden waar nog geen beveiligingsupdate voor beschikbaar was.

Toen Ivanti de beveiligingsupdate uitbracht, was er geen actief misbruik van het probleem bekend. Ivanti gaf weinig details over de kwetsbaarheid, behalve dat de impact met een 8.6 is beoordeeld op een schaal van 1 tot en met 10. Het Cybersecurity & Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security meldt nu dat aanvallers actief misbruik maken van het probleem, maar geeft geen details over de waargenomen aanvallen. Amerikaanse overheidsinstanties die met Ivanti EPM werken, zijn door het CISA opgedragen om de update binnen twee weken te installeren.

Bron: Ivanti | Bron 2: cisa.gov

De Cybersecurity and Infrastructure Security Agency (CISA) heeft federale agentschappen in de Verenigde Staten opgedragen om versneld patches uit te rollen voor drie verschillende kwetsbaarheden, nadat rapporten aantoonden dat cybercriminelen en statelijke actoren deze actief exploiteren.

De agentschappen kregen tot donderdag de tijd om CVE-2025-26399 te patchen, een kritieke kwetsbaarheid in SolarWinds Web Help Desk, een IT-servicebeheerplatform dat door veel overheidsinstanties wordt gebruikt. Het platform wordt gebruikt voor het centraliseren van IT-ondersteuningstaken. De kwetsbaarheid werd in september ontdekt door Trend Micro’s Zero Day Initiative. Verschillende experts wezen erop dat het probleem terug te voeren is op een kwetsbaarheid die in 2024 werd ontdekt. CVE-2025-26399 is de derde fix voor deze bug.

Het is de derde keer in een maand tijd dat CISA federale agentschappen heeft opgedragen om direct een kwetsbaarheid in de SolarWinds Web Help Desk tool te patchen. Eerder deze maand kregen ze vier dagen en daarna drie dagen om andere bugs in de software te verhelpen. SolarWinds-software wordt gebruikt door tientallen federale agentschappen en was eerder doelwit van Russische hackers in wat een van de grootste aanvallen door een natiestaat in de geschiedenis van de VS was.

Naast CVE-2025-26399 voegde CISA twee andere kwetsbaarheden toe aan de lijst met bekende geëxploiteerde kwetsbaarheden. Deze moeten binnen twee weken door federale agentschappen worden gepatcht. Normaal gesproken krijgen organisaties drie weken de tijd voor het patchen van kwetsbaarheden in de catalogus.

Een van de bugs, CVE-2026-1603, treft een product van IT-bedrijf Ivanti en wordt volgens cybersecurity experts al sinds half februari actief geëxploiteerd. Een rapport van Google over zero-day kwetsbaarheden toonde aan dat Chinese staatshackers Ivanti in 2025 herhaaldelijk hebben aangevallen met nieuwe bugs om Ivanti tools te compromitteren.

Bron: SolarWinds | Bron 2: cisa.gov | Bron 3: horizon3.ai

Siemens heeft een reeks beveiligingslekken verholpen in verschillende van haar producten, waaronder Heliox, Ruggedcom, SICAM, SIDIS en SIMATIC. De kwetsbaarheden kunnen een kwaadwillende in staat stellen om diverse aanvallen uit te voeren, met mogelijk ernstige gevolgen.

De potentiële schade omvat: Denial-of-Service (DoS) aanvallen, manipulatie van gegevens, het omzeilen van beveiligingsmaatregelen, (remote) code execution met root- of admin-rechten, ongeautoriseerde toegang tot systeemgegevens en het verhogen van privileges.

Voor een succesvolle exploitatie van deze kwetsbaarheden is toegang tot de productieomgeving vereist. Het Nationaal Cyber Security Centrum (NCSC) benadrukt het belang van het afschermen van dergelijke omgevingen van publieke toegang om het risico op misbruik te minimaliseren.

Bron: NCSC

Microsoft zal hotpatch beveiligingsupdates standaard inschakelen voor alle in aanmerking komende Windows-apparaten die worden beheerd via Microsoft Intune en de Microsoft Graph API. Deze wijziging gaat in vanaf de Windows-beveiligingsupdate van mei 2026. De updates worden geleverd via Windows Autopatch, de enterprise-service van Microsoft die Windows- en Microsoft 365-software automatisch up-to-date houdt.

Voorheen stonden IT-beheerders doorgaans 3 tot 5 dagen toe voordat gebruikers hun apparaten opnieuw moesten opstarten om aan de compliance te voldoen, waardoor organisaties kwetsbaar waren voor aanvallen. Microsoft schat dat de tijd om 90% patch-compliance te bereiken door deze verandering gehalveerd zal worden.

Microsoft verklaarde dat Windows Autopatch hotpatch-beveiligingsupdates standaard inschakelt, omdat dit de snelste manier is om beveiligd te zijn. Deze verandering in standaardgedrag heeft invloed op alle in aanmerking komende Microsoft Intune-apparaten. Aanvullende IT-controles volgen in april. Het is mogelijk om hotpatch-updates uit te schakelen op tenantniveau en in te schakelen voor specifieke apparaten, en vice versa.

Beheerders kunnen de gereedheid van apparaten controleren met behulp van het Hotpatch quality updates report in Intune om te bevestigen of apparaten de baseline-update van april 2026 hebben geïnstalleerd en voldoen aan de vereisten om hotpatch-updates in mei te ontvangen. Organisaties die nog niet klaar zijn, kunnen zich afmelden op tenantniveau met behulp van controls in Microsoft Intune (die op 1 april 2026 live gaan). Dit kan via Tenant administration > Windows Autopatch > Tenant management, en vervolgens de Tenant settings tab. Daar kan de instelling "When available, apply updates without restarting the device ("hotpatch")" op "Allow" of "Block" gezet worden.

Aangezien april een hotpatch-baselinemaand is, hebben beheerders tot 11 mei 2026 de tijd voordat hotpatch-updates worden uitgerold, waardoor ze voldoende tijd hebben om de instellingen te bekijken en aan te passen. Windows Autopatch werd voor het eerst aangekondigd in april 2022 en bereikte algemene beschikbaarheid voor klanten met Windows Enterprise E3- en E5-licenties in juli 2022. Volgens Microsoft draait Windows Autopatch nu op meer dan 10 miljoen productieapparaten en worden beveiligingsfixes toegepast zodra ze zijn geïnstalleerd, waardoor een herstart van het systeem niet meer nodig is.

Bron: Microsoft | Bron 2: hubs.li

Een kritieke kwetsbaarheid in de betaalde WordPress-plugin Tutor LMS Pro, met meer dan 30.000 installaties, stelt aanvallers in staat om administratorrechten te verkrijgen. De ontwikkelaars van Tutor LMS Pro hebben een update uitgebracht om dit probleem te verhelpen. Tutor LMS Pro is een plugin waarmee gebruikers eLearning-cursussen kunnen aanbieden via WordPress-sites.

De plugin biedt de mogelijkheid om in te loggen via een account van bijvoorbeeld Facebook of Google. Op basis van een token dat door Google of Facebook wordt verstrekt en het e-mailadres, kan de gebruiker vervolgens op de site inloggen. Echter, de plugin controleert niet of het token en het e-mailadres wel bij elkaar horen. Er wordt alleen gecontroleerd of het om een geldig token gaat, aldus securitybedrijf Wordfence.

Een aanvaller kan hier misbruik van maken door bij het inloggen een eigen geldig token op te geven in combinatie met het e-mailadres van een willekeurig account op de WordPress-site. Wanneer een aanvaller het e-mailadres van de website-administrator weet en dit opgeeft, zal hij als administrator worden ingelogd en zo de controle over de site krijgen.

De ontwikkelaars van Tutor LMS Pro zijn op 14 januari 2026 op de hoogte gebracht van de kwetsbaarheid en hebben op 30 januari 2026 een update uitgebracht. Wordfence heeft nu de details van de kwetsbaarheid openbaar gemaakt. Omdat het om een betaalde plugin gaat, zijn er geen cijfers bekend over het aantal sites dat de update inmiddels heeft geïnstalleerd.

Bron: Wordfence

Hewlett Packard Enterprise (HPE) heeft een beveiligingsupdate uitgebracht voor Aruba Networking AOS-CX, het cloud-native netwerkbesturingssysteem (NOS) van HPE dochter Aruba Networks, waarmee meerdere beveiligingslekken worden gedicht. De update adresseert authenticatie- en code-executieproblemen in de CX-serie campus- en datacentrum switches.

De meest kritieke kwetsbaarheid, aangeduid als CVE-2026-23813, is een authenticatie bypass. Aanvallers zonder privileges kunnen deze kwetsbaarheid met relatief weinig moeite misbruiken om admin wachtwoorden te resetten. Volgens HPE kan een niet-geauthenticeerde, externe actor de authenticatiecontroles omzeilen via de web-based management interface van AOS-CX switches, wat in sommige gevallen kan leiden tot het resetten van het admin wachtwoord. HPE Aruba Networking is niet op de hoogte van publieke discussies of exploit code die specifiek op deze kwetsbaarheden gericht is.

Voor IT-beheerders die de beveiligingsupdates niet direct kunnen toepassen, adviseert HPE de volgende maatregelen:

* Beperk de toegang tot alle management interfaces tot een dedicated Layer 2 segment of VLAN om het management verkeer te isoleren.

* Implementeer strikte policies op Layer 3 en hoger om de toegang tot management interfaces te controleren, waarbij alleen geautoriseerde en vertrouwde hosts toegang hebben.

* Schakel HTTP(S) interfaces uit op Switched Virtual Interfaces (SVI's) en routed ports waar management access niet vereist is.

* Forceer Control Plane Access Control Lists (ACL's) om alle REST/HTTP-enabled management interfaces te beschermen, zodat alleen vertrouwde clients verbinding kunnen maken met de HTTPS/REST endpoints.

* Activeer uitgebreide accounting, logging en monitoring van alle management interface activiteiten om ongeautoriseerde toegangspogingen te detecteren en erop te reageren.

HPE heeft nog geen publiekelijk beschikbare proof-of-concept exploit code gevonden, noch bewijs dat de kwetsbaarheden actief worden misbruikt. In juli 2025 waarschuwde het bedrijf al voor hardcoded credentials in Aruba Instant On Access Points, waarmee aanvallers de standaard authenticatie konden omzeilen. Een maand eerder dichtte HPE acht kwetsbaarheden in zijn StoreOnce disk-based backup en deduplicatie oplossing, waaronder een kritieke authenticatie bypass en drie remote code execution flaws. In januari 2026 markeerde CISA een maximum-severity HPE OneView kwetsbaarheid als actief geëxploiteerd in aanvallen.

HPE heeft wereldwijd meer dan 61.000 werknemers, rapporteerde een omzet van 30,1 miljard dollar in 2024 en levert diensten en producten aan meer dan 55.000 enterprise klanten, waaronder 90% van de Fortune 500 bedrijven.

Bron: HPE | Bron 2: hubs.li

Cloudflare heeft versie 0.8.0 van zijn open-source Pingora framework uitgebracht om drie kritieke kwetsbaarheden te patchen: CVE-2026-2833, CVE-2026-2835 en CVE-2026-2836. Deze kwetsbaarheden maken HTTP request smuggling en cache poisoning mogelijk, wat een ernstige bedreiging vormt voor standalone Pingora implementaties die direct aan het internet zijn blootgesteld. Cloudflare heeft bevestigd dat zijn eigen Content Delivery Network (CDN) en klantverkeer niet door deze problemen werden getroffen, omdat zijn interne infrastructuur Pingora niet als een direct blootgestelde ingress proxy gebruikt.

De kwetsbaarheden, ontdekt en gerapporteerd door security researcher Rajat Raghav via Cloudflare’s Bug Bounty Program, hebben kritieke severity ratings (tot 9.3 op 10). Indien ongepatcht, stellen ze aanvallers in staat om proxy-level Access Control Lists (ACL's) en Web Application Firewalls (WAF's) te omzeilen, cross-user sessies te kapen en upstream verbindingen te vergiftigen.

De eerste kwetsbaarheid komt voort uit Pingora's behandeling van HTTP/1.1 connection upgrade requests (CVE-2026-2833). Wanneer Pingora een "Upgrade" header ontving, schakelde het onmiddellijk over naar een passthrough modus voordat de backend server de upgrade officieel bevestigde met een "101 Switching Protocols" response. Aanvallers konden deze voortijdige switch exploiteren door een verborgen tweede request aan hun initiële payload toe te voegen. Pingora zou dit gesmokkelde request vervolgens direct naar de backend sturen, waardoor proxy-level security controls volledig worden omzeild en mogelijk daaropvolgende user sessies worden gekaapt.

De tweede kwetsbaarheid (CVE-2026-2835) betreft Pingora's non-compliant parsing van oudere HTTP/1.0 requests. Pingora stond ten onrechte toe dat HTTP/1.0 request bodies close-delimited waren en behandelde "Transfer-Encoding: chunked" headers verkeerd. Omdat Pingora en de backend server de request body length verschillend interpreteerden, konden aanvallers opzettelijk de connection framing desynchroniseren. Deze klassieke HTTP desync aanval stelt kwaadaardige payloads in staat om onopgemerkt de proxy te passeren.

De derde kwetsbaarheid (CVE-2026-2836) heeft betrekking op een design flaw in Pingora's default cache key constructie. De default implementatie genereerde cache keys uitsluitend op basis van het Uniform Resource Identifier (URI) path, waarbij kritieke differentiators zoals de host header of HTTP scheme werden genegeerd. Omdat het geen onderscheid maakte tussen verschillende hosts die hetzelfde URI path delen, konden aanvallers gemakkelijk cache collisions forceren, waardoor legitieme gebruikers cross-origin of kwaadaardige responses ontvingen.

Cloudflare adviseert alle organisaties die standalone Pingora proxies gebruiken om onmiddellijk te upgraden naar versie 0.8.0 of nieuwer om de parsing logic te fixen en strikte RFC compliance af te dwingen. Omdat versie 0.8.0 de insecure default cache key verwijdert, moeten gebruikers een custom callback implementeren die de host header, upstream HTTP scheme en URI path bevat om een goede cache isolation te waarborgen. Als een upgrade niet direct mogelijk is, configureer dan request filter logic om een error terug te geven op elk request dat een "Upgrade" header bevat, en rejecteer alle non-HTTP/1.1 requests of requests met invalid Content-Length headers.

Bron: Cloudflare

Microsoft heeft kwetsbaarheden in .NET en ASP.NET Core verholpen. Een kwaadwillende kan deze kwetsbaarheden misbruiken om een Denial-of-Service (DoS) te veroorzaken of zich verhoogde rechten toe te kennen binnen een applicatie die gebruikmaakt van de kwetsbare .NET-versies.

De kwetsbaarheden in .NET zijn: CVE-2026-26131 (CVSS 7.80), waardoor een aanvaller verhoogde rechten kan verkrijgen, en CVE-2026-26127 (CVSS 7.50), die kan leiden tot een Denial-of-Service. In ASP.NET Core is CVE-2026-26130 (CVSS 7.50) verholpen, eveneens een kwetsbaarheid die een Denial-of-Service kan veroorzaken.

Bron: https://advisories.ncsc.nl/advisory?id=NCSC-2026-0085

Microsoft heeft kwetsbaarheden in SQL Server verholpen. Een kwaadwillende kan deze kwetsbaarheden misbruiken om verhoogde rechten te verkrijgen en mogelijk SQL Statements uit te voeren met de rechten van Sysadmin. Voor een succesvolle exploitatie is vereist dat de kwaadwillende al geautoriseerd is als gebruiker.

Van de kwetsbaarheid met kenmerk CVE-2026-21262 meldt Microsoft dat het bekend is met Proof-of-Concept-code (PoC). Deze PoC is niet publiek beschikbaar en er is tot op heden geen misbruik waargenomen. Verdere details over de kwetsbaarheden zijn niet vrijgegeven.

Bron: https://advisories.ncsc.nl/advisory?id=NCSC-2026-0081

Zoom heeft op 10 maart 2026 vier security bulletins gepubliceerd waarin meerdere kwetsbaarheden in de Windows-client suite worden onthuld. De kwetsbaarheden, variërend van hoog tot kritiek, kunnen aanvallers in staat stellen om privileges op getroffen systemen te escaleren. Eén kritieke kwetsbaarheid kan worden misbruikt door niet-geauthenticeerde externe aanvallers zonder voorafgaande systeemtoegang.

De meest ernstige kwetsbaarheid, gevolgd door CVE-2026-30903 (ZSB-26005), is geclassificeerd als kritiek en richt zich op de Mail-functie binnen Zoom Workplace voor Windows. De kwetsbaarheid komt voort uit externe controle van bestandsnaam of -pad, een zwakte waardoor een aanvaller bestandsreferenties kan manipuleren om ongeautoriseerde bewerkingen uit te voeren. Een niet-geauthenticeerde gebruiker kan deze kwetsbaarheid misbruiken via netwerktoegang om privileges op getroffen systemen te escaleren. De CVSS-vector bevestigt dat de aanval geen authenticatie vereist en op afstand kan worden uitgevoerd, waardoor het de gevaarlijkste van de vier onthullingen is. Alle Zoom Workplace voor Windows-installaties met versies ouder dan 6.6.0 zijn getroffen.

Drie extra kwetsbaarheden met hoge prioriteit maken de reeks openbaringen compleet. CVE-2026-30902 (ZSB-26004) treft Zoom Clients voor Windows en omvat onjuist privilegebeheer, waarbij onjuist toegewezen gebruikersrechten kunnen worden misbruikt om ongeautoriseerde verhoogde toegang te krijgen. CVE-2026-30901 (ZSB-26003) is gericht op Zoom Rooms voor Windows en omvat onjuiste invoervalidatie, een klasse van kwetsbaarheden die het mogelijk maakt dat misvormde of onverwachte invoer onbedoeld gedrag veroorzaakt, mogelijk inclusief code-uitvoering of privilege-wijzigingen. CVE-2026-30900 (ZSB-26002) treft Zoom Workplace Clients voor Windows en wordt beschreven als een onjuiste controlefout, wat duidt op een fout in de verificatielogica die kan worden gebruikt om toegangscontroles te omzeilen.

Zoom heeft patches uitgebracht die alle vier de kwetsbaarheden aanpakken. Organisaties en individuele gebruikers wordt aangeraden om onmiddellijk de volgende stappen te ondernemen:

- Update alle Zoom Workplace voor Windows-installaties naar versie 6.6.0 of hoger.

- Update Zoom Rooms voor Windows en Zoom Clients voor Windows naar de nieuwste beschikbare build.

- Download updates rechtstreeks van de officiële Zoom-downloadportal op zoom.us/download.

- Geef prioriteit aan het patchen van endpoints waar Zoom Workplace actief wordt gebruikt, met name in e-mailintensieve of virtuele enterprise desktop omgevingen.

- Audit user privilege configuraties binnen Zoom deployments om de impact in geval van misbruik te beperken.

- Monitor het netwerkverkeer op afwijkende Zoom-gerelateerde bestandstoegangspatronen die kunnen wijzen op misbruikpogingen tegen CVE-2026-30903.

Zoom dringt er bij alle Windows-gebruikers op aan om deze updates onmiddellijk toe te passen, en merkt op dat er geen aanvullende maatregelen beschikbaar zijn buiten het upgraden naar de gepatchte versie.

Bron: https://cybersecuritynews.com/zoom-workplace-for-windows-vulnerabilities/

Microsoft heeft op Patch Tuesday, maart 2026, de cumulatieve updates KB5079473 en KB5078883 uitgebracht voor Windows 11 versies 25H2/24H2 en 23H2. Deze updates bevatten beveiligingspatches en bugfixes, en voegen nieuwe functies toe. De updates zijn verplicht en kunnen worden geïnstalleerd via Start > Instellingen > Windows Update. Ze zijn ook handmatig te downloaden van de Microsoft Update Catalogus.

Na installatie van de beveiligingsupdates wordt het buildnummer van Windows 11 25H2 (KB5079473) gewijzigd in 26200.8037 en de buildnummers van 25H2 en 26100.8037 (24H2), en 23H2 (KB5078883) worden gewijzigd in 22631.6783.

De update bevat extra data voor het targetten van apparaten met een hoge mate van zekerheid, waardoor meer apparaten automatisch nieuwe Secure Boot-certificaten ontvangen. Daarnaast is een bug verholpen die de betrouwbaarheid van het zoeken in File Explorer verbetert bij het zoeken op meerdere drives of "Deze PC". De update verbetert ook de manier waarop Windows Defender Application Control (WDAC) COM-objecten behandelt, waardoor listing policies mogelijk wordt.

Nieuwe functies en verbeteringen zijn onder meer:

- Emoji 16.0 release met nieuwe emoji's in het emoji panel.

- De eerste sign-in restore experience is nu onderdeel van Windows Backup voor Organisaties.

- Quick Machine Recovery (QMR) wordt automatisch ingeschakeld voor Windows Professional-apparaten die niet aan een domein zijn gekoppeld en niet zijn ingeschreven voor enterprise endpoint management.

- Een ingebouwde netwerksnelheidstest is beschikbaar via de taakbalk.

- Het accountmenu in het Startmenu bevat een nieuwe optie die verwijst naar de benefits page.

- Gebruikers kunnen pan- en tilt-functies voor ondersteunde camera's bedienen in de Instellingen-app.

- Windows brengt nu native System Monitor (Sysmon) functionaliteit naar Windows. Sysmon helpt bij het vastleggen van systeemgebeurtenissen voor dreigingsdetectie en kan worden ingeschakeld via Instellingen of PowerShell.

Bron: Microsoft

Microsoft heeft een kwetsbaarheid in de Authenticator app voor Android en iOS verholpen. Deze kwetsbaarheid stelt een kwaadwillende in staat om toegang te krijgen tot gevoelige gegevens. Om de kwetsbaarheid succesvol te misbruiken, moet de aanvaller het slachtoffer misleiden een malafide app te installeren. Deze app kan vervolgens worden gebruikt om de sign-in van het slachtoffer te onderscheppen via een Man-in-aanval met the met Middle. Hierdoor kan de aanvaller toegang krijgen tot het sign-in proces en daarmee tot de systemen waarop het slachtoffer inlogt.

Grootschalig misbruik van deze kwetsbaarheid wordt als onwaarschijnlijk beschouwd, omdat het afhankelijk is van meerdere stappen en social engineering. Echter, het Nationaal Cyber Security Centrum (NCSC) acht het aannemelijk dat de kwetsbaarheid wordt misbruikt in gerichte aanvallen door technisch hoogwaardige actoren.

Bron: NCSC

Microsoft heeft een reeks beveiligingsupdates uitgebracht om kwetsbaarheden in verschillende Azure-componenten te verhelpen. Deze kwetsbaarheden kunnen, indien misbruikt, leiden tot ongeautoriseerde toegang, het verkrijgen van verhoogde rechten, of het blootleggen van gevoelige informatie.

Een overzicht van de getroffen componenten en de bijbehorende CVE-ID's:

*   **Azure Entra ID:** CVE-2026-26148 (CVSS score 8.10) maakt het mogelijk om verhoogde rechten te verkrijgen.

*   **Azure IoT Explorer:** Verschillende kwetsbaarheden, waaronder CVE-2026-23664, CVE-2026-26121, CVE-2026-23661 en CVE-2026-23662 (allen met een CVSS score van 7.50), kunnen leiden tot toegang tot gevoelige gegevens en het zich voordoen als een andere gebruiker.

*   **Azure Portal Windows Admin Center:** CVE-2026-23660 (CVSS score 7.80) stelt een aanvaller in staat om verhoogde rechten te verkrijgen.

*   **Azure Compute Gallery:** De kwetsbaarheden CVE-2026-23651 en CVE-2026-26124 (beide met een CVSS score van 6.70) maken het mogelijk om verhoogde rechten te verkrijgen, terwijl CVE-2026-26122 (CVSS score 6.50) toegang tot gevoelige gegevens mogelijk maakt.

*   **Azure MCP Server:** CVE-2026-26118 (CVSS score 8.80) geeft de mogelijkheid om verhoogde rechten te verkrijgen.

*   **Azure Linux Virtual Machines:** CVE-2026-23665 (CVSS score 7.80) maakt het mogelijk om verhoogde rechten te verkrijgen.

*   **Azure Windows Virtual Machine Agent:** CVE-2026-26117 (CVSS score 7.80) stelt een aanvaller in staat om verhoogde rechten te verkrijgen.

*   **Azure Arc:** CVE-2026-26141 (CVSS score 7.80) geeft de mogelijkheid om verhoogde rechten te verkrijgen.

Het Nationaal Cyber Security Centrum (NCSC) adviseert gebruikers en beheerders om de betreffende updates van Microsoft zo snel mogelijk te implementeren om de risico's te minimaliseren.

Bron: NCSC

Microsoft heeft de Windows 10 KB5078885 extended security update uitgebracht. Deze update verhelpt de kwetsbaarheden die zijn verholpen tijdens Patch Tuesday van maart 2026, waaronder twee zero-days en een probleem dat voorkomt dat sommige apparaten worden afgesloten.

De update kan worden geïnstalleerd via Settings > Windows Update, en handmatig te zoeken naar updates. Na installatie wordt Windows 10 bijgewerkt naar build 19045.7058, en Windows 10 Enterprise LTSC 2021 naar build 19044.7058.

KB5078885 bevat beveiligingsfixes en bugfixes die zijn geïntroduceerd door eerdere beveiligingsupdates. Microsoft heeft met Patch Tuesday van maart 2026 79 kwetsbaarheden verholpen, waaronder twee actief geëxploiteerde zero-day kwetsbaarheden.

De update bevat de volgende verbeteringen en fixes:

*   **Windows System Image Manager:** Er is een waarschuwingsdialoogvenster toegevoegd om gebruikers te helpen bevestigen dat het geselecteerde catalogusbestand afkomstig is van een vertrouwde bron.

*   **Bestandsgeschiedenis:** De bestandsgeschiedenis in het Configuratiescherm is verbeterd bij het maken van back-ups van bestanden. Nieuwe bestanden met namen die bepaalde Chinese en Private Use Area-tekens bevatten, kunnen nu worden geback-upt.

*   **Grafisch:** Er is een stabiliteitsprobleem verholpen dat bepaalde GPU-configuraties beïnvloedde.

*   **Secure Boot:** Windows-kwaliteitsupdates bevatten nu extra high-confidence device targeting data, waardoor de dekking van apparaten die automatisch nieuwe Secure Boot-certificaten kunnen ontvangen, wordt vergroot. Deze targeting is gebaseerd op diagnostische gegevens van het clientapparaat. Apparaten ontvangen nieuwe certificaten alleen nadat ze voldoende succesvolle update-signalen hebben laten zien, waardoor een gecontroleerde en gefaseerde uitrol wordt gehandhaafd.

*   **Lettertypen:** Deze update bevat wijzigingen in Chinese lettertypen om te voldoen aan GB18030-2022A.

*   **OS Security:** Een probleem is opgelost waarbij Secure Launch-compatibele pc's met Virtual Secure Mode (VSM) niet konden worden afgesloten of in de slaapstand konden gaan na de installatie van de Windows-beveiligingsupdate die op of na 13 januari 2026 is uitgebracht. In plaats daarvan startte het apparaat opnieuw op.

*   **Mappen:** Er is een probleem opgelost dat van invloed was op het hernoemen van mappen met desktop.ini-bestanden in File Explorer. De LocalizedResourceName-instelling werd genegeerd, waardoor aangepaste mapnamen niet werden weergegeven. Nu verschijnen aangepaste mapnamen zoals verwacht.

Microsoft rolt ook nieuwe Secure Boot-certificaten uit om oudere 2011-certificaten te vervangen die in juni 2026 verlopen. Deze certificaten worden gebruikt om Windows-bootcomponenten, bootloaders van derden en Secure Boot-intrekkingsupdates te valideren. Als ze verlopen zijn, kunnen dreigingsactoren beveiligingsmaatregelen omzeilen.

Microsoft geeft aan dat er geen bekende problemen zijn met deze update.

Bron: Microsoft

Fortinet heeft een reeks kwetsbaarheden verholpen in zowel FortiAnalyzer als FortiManager, inclusief de cloudvarianten van deze systemen. Een van de meest kritieke kwetsbaarheden, aangeduid met CVE-2025-54820, bevindt zich in FortiManager. Deze kwetsbaarheid maakt het voor een kwaadwillende actor op afstand mogelijk om ongeautoriseerde commando's uit te voeren via een stack-gebaseerde buffer overflow in de fgtupdates-service, zonder authenticatie te vereisen.

Daarnaast is er een kwetsbaarheid gevonden die voortkomt uit onjuiste certificaatvalidatie, wat man-in-the-middle aanvallen mogelijk maakt. Een andere significant risico is een format string kwetsbaarheid, die een remote aanvaller met administratieve privileges in staat stelt om willekeurige code uit te voeren op het systeem.

Verdere problemen omvatten kwetsbaarheden in de implementatie van multifactor authenticatie (MFA) en in de mechanismen die bedoeld zijn om overmatige authenticatiepogingen te beperken. De aard en impact van deze specifieke MFA- en authenticatiepoging-gerelateerde kwetsbaarheden worden in de melding niet verder gespecificeerd.

Bron: NCSC

Google heeft een nieuwe versie van Chrome uitgebracht met extra bescherming tegen cross-site scripting (XSS). Eerder implementeerde Mozilla dezelfde beveiligingsmaatregel in Firefox. XSS maakt het mogelijk voor aanvallers om kwaadaardige scripts te injecteren in websites of webapplicaties, die vervolgens in de browser van het slachtoffer worden uitgevoerd. Hierdoor kunnen aanvallers bijvoorbeeld cookies, sessietokens en andere vertrouwelijke informatie stelen. In december 2025 werd cross-site scripting door de MITRE Corporation uitgeroepen tot de gevaarlijkste kwetsbaarheid.

De HTML Sanitizer API, die nu is toegevoegd aan Chrome en eerder aan Firefox, is bedoeld om het voor ontwikkelaars gemakkelijker te maken XSS-vrije webapplicaties te ontwikkelen. Via de API kunnen ontwikkelaars niet-vertrouwde HTML 'sanitizen' binnen hun website of applicatie voordat deze in het Document Object Model (DOM) terechtkomt. De API zet onbetrouwbare HTML om in veilige HTML door bepaalde elementen en attributen uit de HTML van gebruikers te verwijderen.

De aanwezigheid van de API in Chrome betekent niet dat gebruikers automatisch beschermd zijn; webontwikkelaars moeten er zelf gebruik van maken. Google Chrome zal op de meeste systemen automatisch upgraden naar de nieuwe versie 146.

Bron: WhatsApp | Bron 2: developer.chrome.com

De app Quittr, die gebruikers helpt te stoppen met pornoverslaving, heeft gevoelige gebruikersgegevens gelekt. Een verkeerd geconfigureerde database op Firebase, het backend-as-a-serviceplatform van Google, zorgde ervoor dat persoonlijke data maandenlang publiek toegankelijk was, aldus techsite 404 Media. Het lek omvatte gegevens van circa 600.000 gebruikers, waaronder ongeveer 100.000 minderjarigen. De database bevatte informatie over masturbatiefrequentie en persoonlijke ontboezemingen van gebruikers.

Een beveiligingsonderzoeker meldde het lek eerder tevergeefs bij de ontwikkelaars. Toen een journalist van 404 Media navraag deed, ontkenden de makers aanvankelijk dat er gevoelige informatie op straat lag. Inmiddels is het lek gedicht. De app claimt wereldwijd ongeveer anderhalf miljoen gebruikers te hebben.

Verder meldt het artikel dat Workplace Technology Center en CCare ICT gaan samenwerken onder de naam Workplace Technology Center, dat investeerder Rotate Capital een minderheidsbelang neemt in Bluetang en Blacktang, dat Vitestro zestig miljoen euro heeft opgehaald voor de ontwikkeling van een bloedafname-robot en dat HiBob een kantoor heeft geopend in Amsterdam.

Bron: 404 Media | Bron 2: vitestro.com | Bron 3: hibob.com

Er is een kritieke beveiligingsfout ontdekt in Gogs, een open-source Git-service voor self-hosting, waardoor aanvallers in het geheim Large File Storage (LFS)-objecten kunnen overschrijven. De kwetsbaarheid, aangeduid als CVE-2026-25921, heeft een maximale ernst en een CVSS 3.1-score van 10.0. Het vormt een ernstig risico voor supply aanvallen met chain.

De kwetsbaarheid treft momenteel Gogs-versies 0.14.1 en eerder. Op het moment van publicatie is er nog geen officiële patch beschikbaar. Indien misbruikt, kunnen kwaadwillenden kritieke binaries, datasets of software builds in elke repository op een gedeelde server wijzigen zonder waarschuwingen te activeren.

De oorzaak van deze kwetsbaarheid ligt in twee ontwerpgebreken in de manier waarop Gogs zijn Large File Storage-architectuur behandelt:

1.  Gebrek aan opslagisolatie: Gogs slaat alle geüploade LFS-objecten op in een gedeelde locatie zonder ze per repository te isoleren. Omdat het opslagpad geen unieke repository-ID bevat, deelt elk project dat op de Gogs-instantie wordt gehost dezelfde gecentraliseerde file pool.

2.  Ontbrekende hash-verificatie: Wanneer een gebruiker een LFS-bestand uploadt, verifieert Gogs niet of de daadwerkelijke inhoud van het bestand overeenkomt met de SHA-256 cryptografische hash (ook bekend als de OID).

Door deze ontbrekende beveiligingscontroles hoeft een aanvaller alleen de SHA-256-hash van een LFS-doelbestand te kennen. Vervolgens kan de aanvaller een gemanipuleerd bestand, zoals een backdoored software-installatieprogramma, naar hun eigen repository uploaden terwijl ze de hash van het beoogde bestand claimen. De Gogs server gaat ervan uit dat de upload een routine client retry is en overschrijft het originele, legitieme bestand in de gedeelde opslagdatabase.

De impact van CVE-2026-25921 is groot omdat het een lage aanval complexiteit vereist, geen speciale privileges en geen gebruikersinteractie. Wanneer legitieme ontwikkelaars of geautomatiseerde systemen LFS-objecten downloaden van de getroffen server, ontvangen ze onbewust het backdoored bestand van de aanvaller. Omdat het systeem impliciet het gemanipuleerde bestand van de aanvaller vertrouwt zonder data authenticiteit validatie (CWE-345), gebeurt het overschrijven volledig stil. Slachtoffers die het LFS-object downloaden van de Gogs-webpagina zien geen waarschuwingen, fouten of alerts dat het bestand is gewijzigd. De kwetsbaarheid is ontdekt en gerapporteerd door security researcher zjuchenyuan.

Omdat er nog geen officieel gepatchte versie is, moeten organisaties die op self-hosted Gogs-instanties vertrouwen, zeer voorzichtig zijn. Beheerders zouden de volgende tijdelijke beveiligingsmaatregelen moeten overwegen totdat er een officiële fix is uitgebracht:

*   Beperk rechten: Beperk accountcreatie en LFS-uploadrechten strikt tot interne gebruikers om te voorkomen dat onbevoegde actoren bestanden overschrijven.

*   Handmatige integriteitscontroles: Implementeer externe monitoring scripts om periodiek te verifiëren of de daadwerkelijke SHA-256-hashes van kritieke LFS-bestanden op de host disk overeenkomen met hun verwachte waarden in de database.

De uiteindelijke developer fix vereist dat Gogs strikt verifieert of alle geüploade LFS-objecten wiskundig overeenkomen met hun geclaimde SHA-256-hash voordat ze naar de server disk worden geschreven.

Bron: Gogs | Bron 2: github.com

De Amerikaanse overheid heeft overheidsinstanties opgedragen om de logs van hun Cisco SD-WAN-systemen te delen met het Amerikaanse cyberagentschap CISA. Dit volgt op een nieuw noodbevel dat is uitgevaardigd door het CISA. De aanleiding is het actieve misbruik van kritieke kwetsbaarheden in Cisco SD-WAN, die al drie jaar onopgemerkt zijn gebruikt bij aanvallen. SD-WAN staat voor Software-Defined Wide Area Network en is een oplossing waarmee organisaties netwerkinfrastructuur en -connectiviteit op meerdere locaties kunnen beheren.

Op 25 februari waarschuwden het CISA en de Amerikaanse geheime dienst NSA dat organisaties wereldwijd zijn aangevallen via een lek in de Cisco Catalyst SD-WAN Controller, aangeduid als CVE-2026-20127. Via dit lek kan een ongeauthenticeerde remote aanvaller de authenticatie omzeilen en adminrechten op het systeem verkrijgen. Tegelijkertijd met de waarschuwing kwam het CISA met een 'emergency directive', waarin Amerikaanse federale overheidsinstanties werden opgedragen om logs van Cisco SD-WAN-systemen veilig te stellen en de door Cisco beschikbaar gestelde updates te installeren.

De nieuwe versie van het noodbevel van het CISA verzoekt overheidsinstanties om hun oudere, huidige en toekomstige Cisco SD-WAN-logs voor 23 maart te delen met het cyberagentschap en hun infrastructuur zo te configureren dat alle andere relevante logs ook worden gedeeld.

Bron: CISA

Cybersecurity onderzoekers hebben details onthuld over twee gepatchte beveiligingslekken in het n8n workflow automation platform, waaronder twee kritieke bugs die kunnen leiden tot willekeurige code-executie.

De kwetsbaarheden zijn als volgt:

*   CVE-2026-27577 (CVSS score: 9.4) - Expression sandbox escape leidend tot remote code execution (RCE)

*   CVE-2026-27493 (CVSS score: 9.5) - Niet-geauthenticeerde expression evaluatie via n8n's Form nodes

Eilon Cohen, onderzoeker bij Pillar Security, die de problemen ontdekte en rapporteerde, zei dat CVE-2026-27577 een sandbox escape is in de expression compiler: een ontbrekende case in de AST rewriter zorgt ervoor dat processen ongetransformeerd door kunnen glippen, waardoor elke geauthenticeerde expressie volledige RCE krijgt.

Pillar Security beschreef CVE-2026-27493 als een "double-evaluation bug" in n8n's Form nodes die kan worden misbruikt voor expression injection door gebruik te maken van het feit dat de form endpoints publiek zijn en geen authenticatie of een n8n account vereisen. Het enige dat nodig is voor succesvolle exploitatie is het gebruiken van een publiek "Contact Us" formulier om willekeurige shell commando's uit te voeren door simpelweg een payload als input in het Name veld te geven.

In een advisory die eind vorige maand werd uitgebracht, zei n8n dat CVE-2026-27577 kan worden misbruikt door een geauthenticeerde gebruiker met toestemming om workflows te maken of te wijzigen om onbedoelde systeemcommando-executie te triggeren op de host waarop n8n draait via crafted expressions in workflow parameters.

N8n merkte ook op dat CVE-2026-27493, in combinatie met een expression sandbox escape zoals CVE-2026-27577, kan escaleren tot remote code execution op de n8n host. Beide kwetsbaarheden treffen de self-hosted en cloud deployments van n8n in versies = 2.0.0 = 2.10.0 < 2.10.1 en zijn verholpen in versies 2.10.1, 2.9.3 en 1.123.22.

Als directe patching van CVE-2026-27577 geen optie is, wordt gebruikers aangeraden om de workflow creatie en editing permissies te beperken tot volledig vertrouwde gebruikers en n8n te deployen in een hardened omgeving met beperkte operating system privileges en network access.

Voor CVE-2026-27493 adviseert n8n de volgende mitigaties:

*   Review het gebruik van form nodes handmatig voor de bovengenoemde preconditions.

*   Schakel de Form node uit door n8n-nodes-base.form toe te voegen aan de NODES\_EXCLUDE environment variable.

*   Schakel de Form Trigger node uit door n8n-nodes-base.formTrigger toe te voegen aan de NODES\_EXCLUDE environment variable.

Deze workarounds verhelpen het risico niet volledig en zouden alleen als korte termijn mitigatie maatregelen moeten worden gebruikt, waarschuwen de maintainers.

Pillar Security zei dat een aanvaller deze kwetsbaarheden zou kunnen misbruiken om de N8N\_ENCRYPTION\_KEY environment variable te lezen en deze te gebruiken om elke credential die is opgeslagen in n8n's database te decrypten, inclusief AWS keys, database wachtwoorden, OAuth tokens en API keys.

N8n versies 2.10.1, 2.9.3 en 1.123.22 verhelpen ook twee andere kritieke kwetsbaarheden die kunnen worden misbruikt om arbitrary code execution te bereiken:

*   CVE-2026-27495 (CVSS score: 9.4) - Een geauthenticeerde gebruiker met toestemming om workflows te maken of te wijzigen zou een code injection vulnerability in de JavaScript Task Runner sandbox kunnen misbruiken om willekeurige code buiten de sandbox boundary uit te voeren.

*   CVE-2026-27497 (CVSS score: 9.4) - Een geauthenticeerde gebruiker met toestemming om workflows te maken of te wijzigen zou de Merge node's SQL query mode kunnen gebruiken om willekeurige code uit te voeren en willekeurige bestanden op de n8n server te schrijven.

Naast het beperken van workflow creatie en editing permissies tot vertrouwde gebruikers, heeft n8n de onderstaande workarounds geschetst voor elke kwetsbaarheid:

*   CVE-2026-27495: Gebruik external runner mode (N8N\_RUNNERS\_MODE=external) om de blast radius te beperken.

*   CVE-2026-27497: Schakel de Merge node uit door n8n-nodes-base.merge toe te voegen aan de NODES\_EXCLUDE environment variable.

Hoewel n8n geen melding maakt van enige van deze kwetsbaarheden die in het wild worden misbruikt, wordt gebruikers aangeraden hun installaties up-to-date te houden voor optimale bescherming.

Bron: n8n | Bron 2: github.com

Op 10 maart 2026 heeft Microsoft een beveiligingsupdate uitgebracht om een ernstige kwetsbaarheid in Active Directory Domain Services (AD DS) te verhelpen. De kwetsbaarheid, aangeduid als CVE-2026-25177, heeft een CVSS-score van 8.8 en stelt aanvallers in staat om hun privileges te verhogen tot volledig SYSTEM-niveau.

Deze privilege escalatie kwetsbaarheid is het gevolg van een onjuiste beperking van bestands- en resource namen (CWE-641). De aanval verloopt volledig via het netwerk, vereist minimale privileges, heeft een lage aanval complexiteit en vereist geen gebruikersinteractie. Het heeft een grote impact op de vertrouwelijkheid, integriteit en beschikbaarheid van het systeem.

Het misbruik vindt plaats wanneer een aanvaller speciaal vervaardigde Unicode-tekens gebruikt om dubbele Service Principal Names (SPN's) of User Principal Names (UPN's) te creëren. Deze verborgen tekens omzeilen normale Active Directory beveiligingscontroles die bedoeld zijn om duplicaten te stoppen. Om de aanval uit te voeren, heeft een hacker slechts standaard toestemming nodig om SPN's op een account te schrijven of te wijzigen.

Wanneer clients Kerberos-authenticatie aanvragen voor een beoogde service met een dubbele SPN, geeft de domeincontroller per abuis een ticket uit dat is versleuteld met de verkeerde sleutel. De doel service wijst vervolgens het ticket af, wat een denial-of-service (DoS) aanval veroorzaakt of het netwerk dwingt terug te vallen op oudere, minder veilige NTLM-authenticatie als dit nog is ingeschakeld. Er is geen directe toegang tot de doel server vereist, behalve de initiële SPN-schrijfrechten.

Een succesvolle exploitatie geeft de aanvaller volledige SYSTEM-privileges, waardoor ze de volledige controle over de server en de bredere domeinomgeving kunnen overnemen. Gelukkig schat Microsoft de exploitatie momenteel in als "Minder Waarschijnlijk", zonder publieke exploit code of actieve aanvallen in het wild op het moment van publicatie.

Microsoft en Semperis hebben samengewerkt om officiële beveiligingsupdates uit te brengen om deze kwetsbaarheid aan te pakken. Netwerkbeheerders moeten deze patches onmiddellijk toepassen om hun omgevingen te beveiligen. De updates omvatten een breed scala aan besturingssystemen, waaronder Windows 10, Windows 11 en Windows Server-edities, variërend van 2012 tot de nieuwste 2025-releases. Het monitoren van Active Directory-omgevingen op ongebruikelijke SPN-modificaties kan ook dienen als een nuttige proactieve verdedigingsmaatregel.

Bron: Microsoft

SAP heeft beveiligingsupdates uitgebracht om twee kritieke beveiligingslekken aan te pakken die misbruikt kunnen worden om willekeurige code uit te voeren op getroffen systemen. Het gaat om de volgende kwetsbaarheden:

*   CVE-2019-17571 (CVSS score: 9.8) - Een code-injectie kwetsbaarheid in de SAP Quotation Management Insurance applicatie (FS-QUO). Volgens SAP security bedrijf Onapsis gebruikt de applicatie een verouderd artifact van Apache Log4j 1.2.17 dat kwetsbaar is voor CVE-2019-17571. Dit stelt een niet-geautoriseerde aanvaller in staat om op afstand willekeurige code uit te voeren op de server, wat een grote impact heeft op de vertrouwelijkheid, integriteit en beschikbaarheid van de applicatie.

*   CVE-2026-27685 (CVSS score: 9.1) - Een onveilige deserialisatie kwetsbaarheid in SAP NetWeaver Enterprise Portal Administration. CVE-2026-27685 is het gevolg van ontbrekende of onvoldoende validatie tijdens de deserialisatie van geüploade content, waardoor een aanvaller niet-vertrouwde of kwaadaardige content kan uploaden. Volgens Onapsis wordt voorkomen dat de kwetsbaarheid een CVSS-score van 10 krijgt doordat een aanvaller hoge privileges nodig heeft voor een succesvolle exploitatie.

Microsoft heeft patches uitgebracht voor 84 kwetsbaarheden in diverse producten, waaronder tientallen privilege escalation en remote code execution kwetsbaarheden. Adobe heeft patches aangekondigd voor 80 kwetsbaarheden, waarvan er vier kritiek zijn en Adobe Commerce en Magento Open Source treffen. Deze kunnen leiden tot privilege escalation en het omzeilen van beveiligingsfuncties. Daarnaast zijn er vijf kritieke kwetsbaarheden in Adobe Illustrator verholpen die de weg kunnen vrijmaken voor het uitvoeren van willekeurige code.

Hewlett Packard Enterprise heeft fixes uitgebracht voor vijf tekortkomingen in Aruba Networking AOS-CX. De meest ernstige van de kwetsbaarheden is CVE-2026-23813 (CVSS score: 9.8), een authenticatie bypass die de management interface treft. Volgens HPE kan een niet-geauthenticeerde remote actor door deze kwetsbaarheid bestaande authenticatie controles omzeilen, wat in sommige gevallen het resetten van het admin wachtwoord mogelijk maakt. Ross Filipek, CISO bij Corsica Technologies, waarschuwt dat exploitatie van deze kwetsbaarheid aanvallers volledige controle kan geven over AOS-CX netwerkapparaten en de mogelijkheid om een heel systeem onopgemerkt te compromitteren. Een succesvolle compromittering kan leiden tot verstoring van netwerkcommunicatie of aantasting van de integriteit van belangrijke business services.

Ook andere leveranciers hebben de afgelopen weken security updates uitgebracht om diverse kwetsbaarheden te verhelpen, waaronder:

*   Broadcom (inclusief VMware)

*   Google Android en Pixel

*   HP Enterprise (inclusief Aruba Networking en Juniper Networks)

*   Linux distributies AlmaLinux, Alpine Linux, Amazon Linux, Arch Linux, Debian, Gentoo, Oracle Linux, Mageia, Red Hat, Rocky Linux, SUSE en Ubuntu

*   Mozilla Firefox, Firefox ESR en Thunderbird

Bron: SAP | Bron 2: tools.cisco.com | Bron 3: onapsis.com

Tijdens de patchdinsdag van maart heeft Microsoft updates uitgebracht voor een kritieke kwetsbaarheid in Excel. Deze kwetsbaarheid, aangeduid als CVE-2026-26144, stelt een aanvaller in staat om via de Copilot Agent mode informatie van gebruikers te stelen, zonder dat de gebruiker daarvoor ergens op hoeft te klikken. De kwetsbaarheid bevindt zich in Microsoft 365 Apps for Enterprise.

Via de Copilot Agent mode kunnen gebruikers de AI-chatbot Copilot inzetten voor het verwerken en bewerken van data in spreadsheets. Microsoft meldt dat misbruik van de kwetsbaarheid geen interactie vereist, en spreekt over 'zero-click' informatiediefstal, maar geeft verder geen details over de precieze werking.

Naast de XSS-kwetsbaarheid in Excel zijn ook twee remote code execution (RCE) kwetsbaarheden in Microsoft Office gepatcht, aangeduid als CVE-2026-26110 en CVE-2026-26113. Microsoft waarschuwt dat het Voorbeeldvenster (Preview Pane) een mogelijke aanvalsvector is voor deze RCE-kwetsbaarheden. Microsoft roept beheerders en gebruikers op om de beschikbaar gestelde updates zo snel mogelijk te installeren.

Bron: Microsoft

Het Cyber Security Centre Belgium (CCB) waarschuwt voor de Microsoft Patch Tuesday van maart 2026, waarbij 83 kwetsbaarheden zijn gedicht. Hiervan zijn er 8 als kritiek beoordeeld en 75 als belangrijk. Het CCB adviseert om de updates onmiddellijk te installeren. Onder de gepatchte kwetsbaarheden vallen onder andere CVE-2026-25187, CVE-2026-21262, CVE-2026-24289, CVE-2026-24294, CVE-2026-26144, CVE-2026-26110, CVE-2026-26113, CVE-2026-26132, CVE-2026-23669 en CVE-2026-26127.

Bron: CCB | Bron 2: msrc.microsoft.com | Bron 3: tenable.com

Het Vulnerability Discovery & Research team van Cisco Talos heeft recentelijk kwetsbaarheden onthuld in de BioSig Project Libbiosig library en OpenCFD OpenFOAM. Daarnaast is er een niet-gepatchte kwetsbaarheid gevonden in Microsoft DirectX. De kwetsbaarheden zijn, met uitzondering van de DirectX-kwetsbaarheid, inmiddels gepatcht door de betreffende leveranciers, in overeenstemming met het beleid van Cisco omtrent het melden van kwetsbaarheden van derden.

De door KPC van Cisco Talos ontdekte local privilege escalation vulnerability in Microsoft DirectX End-User Runtime, aangeduid als TALOS-2025-2293 (CVE-2025-68623), betreft een probleem in het installatieproces. Een gebruiker met beperkte privileges kan een uitvoerbaar bestand vervangen tijdens de installatie, wat kan leiden tot onbedoelde privilegeverhoging. De DirectX End-User Runtime wordt standaard meegeleverd met Windows XP Service Pack 2, Windows Server 2003 Service Pack 1, Windows Vista, Windows 7, Windows 8.0, Windows 8.1, Windows 10 en Windows Server equivalenten.

Dimitrios Tatsis van Cisco Talos ontdekte een arbitrary code execution vulnerability in OpenCFD OpenFOAM 2506, aangeduid als TALOS-2025-2292 (CVE-2025-61982). Deze kwetsbaarheid bevindt zich in de Code Stream directive functionaliteit. Een speciaal geprepareerd OpenFOAM simulatiebestand kan leiden tot het uitvoeren van willekeurige code. Een aanvaller kan een kwaadaardig bestand aanbieden om deze kwetsbaarheid te misbruiken. OpenFOAM is open-source software voor computational fluid dynamics (CFD), ontwikkeld door OpenCFD Ltd.

Mark Bereza van Cisco Talos ontdekte een out-of-bounds read vulnerability, aangeduid als TALOS-2025-2323 (CVE-2025-64736), in de ABF parsing functionaliteit van The Biosig Project libbiosig 3.9.2 en Master Branch (5462afb0). Een speciaal geprepareerd .abf-bestand kan leiden tot een information leak. Daarnaast werden twee heap-based buffer overflow vulnerabilities ontdekt, TALOS-2026-2361 (CVE-2026-22891) en TALOS-2026-2362 (CVE-2026-20777), in respectievelijk de Intan CLP parsing en Nicolet WFT parsing functionaliteiten van het BioSig Project. Een speciaal geprepareerd CLP- of WFT-bestand kan leiden tot arbitrary code execution. Een aanvaller kan een kwaadaardig bestand aanbieden om deze kwetsbaarheden te misbruiken. BioSig is een open source software library voor biomedical signal processing.

Bron: Cisco Talos | Bron 2: sec.cloudapps.cisco.com | Bron 3: talosintelligence.com

Een SQL-injectie kwetsbaarheid in de Ally WordPress plugin van Elementor, die meer dan 400.000 installaties kent, maakt het mogelijk om zonder authenticatie gevoelige data te stelen. Het beveiligingsprobleem, geregistreerd als CVE-2026-2413, heeft een hoge severity score gekregen. De kwetsbaarheid werd ontdekt door Drew Webber (mcdruid), een offensive security engineer bij Acquia, een software-as-a-service bedrijf dat een enterprise-level Digital Experience Platform (DXP) levert.

SQL-injectie kwetsbaarheden bestaan al meer dan 25 jaar en blijven een bedreiging vormen, ondanks dat ze goed begrepen en technisch eenvoudig te verhelpen en te vermijden zijn. Dit type beveiligingsprobleem ontstaat wanneer gebruikersinvoer rechtstreeks in een SQL database query wordt ingevoegd zonder de juiste sanitatie of parameterisatie. Hierdoor kan een aanvaller SQL commando's injecteren die het gedrag van de query wijzigen om informatie in de database te lezen, aan te passen of te verwijderen.

CVE-2026-2413 treft alle Ally versies tot 4.0.3 en stelt een niet-geauthenticeerde aanvaller in staat om SQL queries te injecteren via het URL-pad als gevolg van onjuiste verwerking van een door de gebruiker aangeleverde URL parameter in een kritieke functie. "Dit komt door onvoldoende escaping op de door de gebruiker aangeleverde URL parameter in de `get_global_remediations()` methode, waar deze direct wordt samengevoegd in een SQL JOIN clause zonder de juiste sanitatie voor SQL context," aldus een technische analyse van WordFence. "Hoewel `esc_url_raw()` wordt toegepast voor URL veiligheid, voorkomt dit niet dat SQL metacharacters (enkele aanhalingstekens, haakjes) worden geïnjecteerd."

"Dit maakt het mogelijk voor niet-geauthenticeerde aanvallers om extra SQL queries toe te voegen aan reeds bestaande queries die kunnen worden gebruikt om gevoelige informatie uit de database te halen via time-based blind SQL injectie technieken," aldus de onderzoekers. Wordfence merkt op dat het exploiteren van de kwetsbaarheid alleen mogelijk is als de plugin is verbonden met een Elementor account en de Remediation module actief is.

Het security bedrijf valideerde de kwetsbaarheid en meldde deze op 13 februari aan de leverancier. Elementor heeft de kwetsbaarheid verholpen in versie 4.1.0 (de nieuwste), die op 23 februari is uitgebracht, en er werd een bug bounty van $800 toegekend aan de onderzoeker. Data van WordPress.org laat zien dat slechts ongeveer 36% van de websites die de Ally plugin gebruiken, zijn geüpgraded naar versie 4.1.0, waardoor meer dan 250.000 sites kwetsbaar zijn voor CVE-2026-2413.

Naast het upgraden van Ally naar versie 4.1.0, wordt site eigenaren/beheerders ook aangeraden om de nieuwste security update voor WordPress te installeren, die gisteren is uitgebracht. WordPress 6.9.2 verhelpt 10 kwetsbaarheden, waaronder cross-site request (XSS), authorization bypass, en server-side request forgery (SSRF) flaws. De nieuwe versie van het platform wordt aanbevolen om "onmiddellijk" te installeren.

Bron: WordFence | Bron 2: git.drupalcode.org | Bron 3: wordpress.org

Het Cyber Security Centre Belgium (CCB) waarschuwt voor 22 kwetsbaarheden in diverse producten van Fortinet. Het CCB adviseert beheerders om de getroffen systemen onmiddellijk te patchen. De kwetsbaarheden variëren in risiconiveau van laag tot hoog, met CVSS-scores die oplopen tot 8.8.

De volgende CVE-nummers zijn van toepassing: CVE-2026-22627 (CVSS 7.8), CVE-2026-24018 (CVSS 8.8), CVE-2025-54820 (CVSS:3.1) en CVE-2026-24017 (CVSS 8.1). Het CCB geeft geen verdere details over de aard van de kwetsbaarheden of de getroffen producten. Meer informatie is te vinden op de FortiGuard website.

Bron: CCB | Bron 2: fortiguard.fortinet.com

Fortinet heeft een reeks beveiligingslekken verholpen in FortiWeb, specifiek in de versies 7.0 tot 8.0.1. De gepatchte kwetsbaarheden stellen ongeauthenticeerde aanvallers in staat om hostname-beperkingen te omzeilen. Een andere kritieke kwetsbaarheid betreft een OS command injection binnen de FortiWeb API, waardoor kwaadwillenden op afstand code kunnen uitvoeren. Verder is het mogelijk om authenticatie rate-limits te omzeilen, wat de weg vrijmaakt voor brute force aanvallen.

Daarnaast zijn er kwetsbaarheden aan het licht gekomen die kunnen leiden tot stack-based buffer overflows. Ook is er een NULL Pointer Dereference ontdekt, die beide kunnen worden misbruikt door geauthenticeerde aanvallers. Succesvolle exploitatie van deze kwetsbaarheden kan leiden tot ongeautoriseerde toegang tot systemen, het uitvoeren van willekeurige commando's, en verstoring van de beschikbaarheid van de FortiWeb service. Het Nationaal Cyber Security Centrum (NCSC) adviseert gebruikers van FortiWeb om de nieuwste patches zo snel mogelijk te installeren.

Bron: NCSC

SAP heeft een reeks beveiligingsupdates uitgebracht om kwetsbaarheden in verschillende producten te verhelpen. De updates betreffen onder andere SAP Quotation Management Insurance en SAP NetWeaver. Opvallend is dat een deel van de kwetsbaarheden zich bevindt in componenten van derden, zoals Oracle, die geïntegreerd zijn in SAP-producten.

De verholpen kwetsbaarheden omvatten een breed scala aan risico's, waaronder code-injectie, ontbrekende autorisatiecontroles, Denial of Service (DoS), DOM-gebaseerde Cross-Site Scripting (XSS) en onjuist beheer van gevoelige informatie.

Het misbruiken van deze kwetsbaarheden kan ernstige gevolgen hebben. Aanvallers zouden toegang kunnen krijgen tot gevoelige informatie, ongeautoriseerde wijzigingen kunnen aanbrengen in systemen, of zelfs code kunnen uitvoeren. De impact van deze kwetsbaarheden is afhankelijk van de specifieke kwetsbaarheid, maar ze kunnen de beschikbaarheid, vertrouwelijkheid en integriteit van de getroffen systemen in gevaar brengen.

Bron: NCSC

Adobe heeft een kwetsbaarheid verholpen in Adobe Experience Manager (AEM), versies 6.5.23 en eerder. De kwetsbaarheid ligt in de manier waarop invoer in formuliervelden wordt gesaneerd. Hierdoor kunnen aanvallers kwaadaardige JavaScript-code injecteren. Wanneer andere gebruikers de aangetaste inhoud openen, worden de geïnjecteerde scripts uitgevoerd in hun browsers.

Dit kan leiden tot sessieovername, datadiefstal of andere kwaadaardige activiteiten. De kwetsbaarheid is het gevolg van onvoldoende invoersanering en uitvoer-encoding in de getroffen versies van Adobe Experience Manager. Het injecteren van kwaadaardige code kan verstrekkende gevolgen hebben voor de gebruikers die de aangetaste content bekijken, waardoor het van belang is dat de update zo snel mogelijk wordt doorgevoerd.

Bron: NCSC

Adobe heeft beveiligingsupdates uitgebracht voor Adobe Acrobat Reader (versies tot 25.001.21265) om verschillende kwetsbaarheden te verhelpen. Een van de meest kritieke kwetsbaarheden is een 'Use After Free'-probleem, dat een aanvaller in staat stelt om willekeurige code uit te voeren op het systeem van een slachtoffer. Deze kwetsbaarheid kan worden geactiveerd wanneer een gebruiker een specifiek ontworpen, kwaadaardig bestand opent in Acrobat Reader.

Daarnaast is er een kwetsbaarheid ontdekt in de certificaatvalidatieprocedure van Adobe Acrobat Reader. Deze kwetsbaarheid stelt een aanvaller in staat om de ingebouwde beveiligingsfuncties te omzeilen die bedoeld zijn om de authenticiteit van digitale handtekeningen te verifiëren. Hierdoor kunnen gebruikers worden misleid over de betrouwbaarheid en herkomst van documenten die ze bekijken. Het misbruiken van deze kwetsbaarheid vereist dat de gebruiker interactie heeft met het kwaadaardige bestand.

Bron: NCSC

Adobe heeft een reeks kwetsbaarheden verholpen in Adobe Commerce (tot versie 2.4.9-alpha3). De gepatchte kwetsbaarheden omvatten een onjuiste invoervalidatie, die een denial-of-service (DoS) kan veroorzaken zonder dat de gebruiker interactie hoeft te hebben. Daarnaast zijn er meerdere onjuiste autorisatieproblemen aangepakt, die potentiële aanvallers in staat zouden kunnen stellen om beveiligingsmechanismen te omzeilen en ongeautoriseerde toegang te verkrijgen tot gevoelige gegevens. Verder zijn er kwetsbaarheden voor opgeslagen Cross-Site Scripting (XSS) geïdentificeerd en verholpen. Deze XSS-kwetsbaarheden maken het voor aanvallers mogelijk om kwaadaardige JavaScript-code in te voegen in formuliervelden. Misbruik hiervan kan leiden tot sessieovername of andere kwaadaardige acties.

Bron: NCSC

Op 10 maart 2026 heeft Microsoft beveiligingsupdates uitgebracht om een kritieke kwetsbaarheid in de veelgebruikte Office suite te verhelpen. Deze beveiligingsfout, bekend als CVE-2026-26110, stelt een ongeautoriseerde aanvaller in staat om kwaadaardige code uit te voeren op het apparaat van een slachtoffer.

Met een hoge risicobeoordeling en een CVSS base score van 8.4 op 10, treft de kwetsbaarheid een breed scala aan Microsoft Office applicaties op Windows, Mac en Android platforms. De kern van CVE-2026-26110 is een zwakte die bekend staat als "Type Confusion" (CWE-843). Dit treedt op wanneer de software een resource toewijst of initialiseert, zoals een pointer, object of variabele, van een specifiek type, maar later probeert deze te benaderen met een ander, incompatibel type. Omdat de resource niet de verwachte eigenschappen heeft, resulteert dit in logische fouten en out-of-bounds geheugentoegang. Aanvallers kunnen oneigenlijk type handling misbruiken om beoogde softwarebeperkingen te omzeilen, toegang te krijgen tot onbedoelde geheugenregio's en ongeautoriseerde commando's uit te voeren op het beoogde systeem.

Hoewel het lek wordt aangeduid als een "Remote Code Execution" (RCE) kwetsbaarheid, is de daadwerkelijke aanvalsvector lokaal. Zoals Microsoft's security advisory uitlegt, verwijst de term "remote" naar de locatie van de aanvaller, niet naar de manier waarop de code wordt ingezet. Om deze kwetsbaarheid succesvol te exploiteren, moet de kwaadaardige code vanaf de lokale machine worden uitgevoerd. Dit betekent dat ofwel de aanvaller, ofwel het nietsvermoedende slachtoffer de payload lokaal moet activeren, een techniek die vaak wordt aangeduid als Arbitrary Code Execution (ACE).

Een van de meest zorgwekkende aspecten van CVE-2026-26110 is de lage complexiteit van de aanval en het feit dat er absoluut geen verhoogde privileges of gebruikersinteractie nodig zijn om te werken. Met name het Windows Preview Pane is een bevestigde aanvalsvector. Dit betekent dat een slachtoffer niet eens hoeft te dubbelklikken op een kwaadaardig document om te worden gecompromitteerd. Simpelweg het bestand markeren en bekijken in het Preview Pane is voldoende om de exploit te activeren en de aanvaller controle te geven over het lokale systeem.

Gelukkig meldt Microsoft dat exploit code voor deze kwetsbaarheid niet is bewezen, en er zijn geen bekende gevallen van actieve misbruik in het wild. Een anonieme onderzoeker heeft de kwetsbaarheid op verantwoorde wijze gemeld, en Microsoft acht toekomstige exploitatie "minder waarschijnlijk", waardoor verdedigers een kritiek venster krijgen om updates toe te passen.

De reikwijdte van de getroffen software is echter enorm, in lijn met de schaal van andere grote Patch Tuesday kwetsbaarheden. Kwetsbare producten zijn onder meer:

* Microsoft Office 2016 en 2019 (zowel 32-bit als 64-bit edities)

* Microsoft 365 Apps for Enterprise (zowel 32-bit als 64-bit edities)

* Microsoft Office LTSC 2021 en 2024 (Windows en Mac edities)

* Microsoft Office voor Android

Microsoft heeft al officiële fixes geleverd voor alle getroffen producten. Cybersecurity professionals en IT-beheerders worden dringend verzocht onmiddellijk actie te ondernemen om hun omgevingen te beveiligen:

* Officiële updates toepassen: Download en installeer onmiddellijk de beveiligingspatches van 10 maart 2026 voor alle Windows en Mac Office installaties in uw netwerk.

* Mobiele apps updaten: Zorg ervoor dat mobiele gebruikers de Microsoft Office voor Android app rechtstreeks vanuit de Google Play Store updaten.

* Het Preview Pane uitschakelen: Als onmiddellijke patching niet mogelijk is, overweeg dan om het File Explorer Preview Pane in Windows uit te schakelen als een tijdelijke verdedigingsmaatregel om de meest toegankelijke aanvalsvector te elimineren.

Bron: Microsoft

Google heeft officieel Chrome versie 146 vrijgegeven voor Windows, Mac en Linux. De update, die de komende dagen wordt uitgerold, dicht 29 beveiligingslekken. Chrome 146.0.7680.71 voor Linux en 146.0.7680.71/72 voor Windows en Mac verhelpen kwetsbaarheden die het mogelijk maken voor aanvallers om op afstand code uit te voeren, de integriteit van het systeem aan te tasten of denial-of-service te veroorzaken.

De meest ernstige kwetsbaarheid is CVE-2026-3913, een kritieke heap buffer overflow in de WebML component. Onderzoeker Tobias Wienand ontdekte dit geheugen corruptie probleem, wat een bug bounty van $33.000 opleverde. Een heap buffer overflow treedt op wanneer een programma meer data naar een geheugenlocatie schrijft dan de toegewezen grootte toelaat. Aanvallers kunnen dit misbruiken om aangrenzende geheugenstructuren te overschrijven, wat kan leiden tot remote code execution (RCE) wanneer een gebruiker een kwaadaardige webpagina bezoekt.

Naast het kritieke lek heeft Google 11 high-severity kwetsbaarheden gepatcht. De WebML API bleek een frequent doelwit, met twee extra high-severity bugs (CVE-2026-3914 en CVE-2026-3915) die elk $43.000 aan bounty opleverden. Andere belangrijke high-severity patches zijn out-of-bounds read en use-after-free (UAF) kwetsbaarheden in verschillende browser componenten. UAF flaws treden op wanneer een programma toegang probeert te krijgen tot geheugen dat is vrijgegeven, een techniek die aanvallers gebruiken om browser security sandboxes te omzeilen.

Belangrijke high-severity fixes zijn: CVE-2026-3916: Een out-of-bounds read flaw in de Web Speech component. CVE-2026-3917 & CVE-2026-3918: Use-after-free kwetsbaarheden in de Agents en WebMCP componenten. CVE-2026-3919: Een use-after-free bug in Chrome Extensions. CVE-2026-3921 tot CVE-2026-3924: Meerdere use-after-free bugs die TextEncoding, MediaStream, WebMIDI en WindowDialog beïnvloeden.

De update verhelpt ook meerdere medium en low-severity problemen, zoals incorrecte security UI implementaties in componenten zoals PictureInPicture en onvoldoende policy enforcement in PDF en DevTools. Google heeft meer dan $150.000 aan bug bounties uitbetaald aan onafhankelijke onderzoekers voor het identificeren van deze problemen. Google beperkt de toegang tot details en exploit links tot de meeste gebruikers hun browser hebben geüpdatet.

Om de browser te updaten, open Google Chrome, ga naar het driepuntjes menu, selecteer "Help" en klik op "About Google Chrome". De browser zal automatisch controleren op de versie 146 update en deze installeren. Een browser herstart is vereist om de laatste beveiliging te activeren.

Bron: omereleases.googleblog.com

Adobe heeft verschillende kwetsbaarheden verholpen in Adobe Illustrator (versies 29.8.4, 30.1 en eerder). De kwetsbaarheden betreffen de manier waarop Adobe Illustrator speciaal vervaardigde bestanden verwerkt. Het gaat om een Untrusted Search Path kwetsbaarheid, een out-of-bounds write kwetsbaarheid, een stack-based buffer overflow kwetsbaarheid en een heap-based buffer overflow kwetsbaarheid.

Deze kwetsbaarheden kunnen leiden tot ongeautoriseerde code-executie of het onthullen van gevoelige informatie. Voor de exploitatie is het noodzakelijk dat een gebruiker een kwaadaardig bestand opent, waardoor de kwetsbaarheden worden geactiveerd. Gebruikers van Adobe Illustrator wordt aangeraden de nieuwste versies te installeren om de risico's te minimaliseren.

Bron: NCSC.nl

GitLab heeft urgente security updates uitgebracht voor de Community Edition (CE) en Enterprise Edition (EE) om een breed scala aan kwetsbaarheden aan te pakken. De nieuw uitgebrachte versies 18.9.2, 18.8.6 en 18.7.6 verhelpen in totaal 15 security issues, waaronder kritieke Cross-Site Scripting (XSS) en Denial-of-Service (DoS) flaws. Beheerders van self-managed instances worden dringend verzocht deze patches onmiddellijk toe te passen om een goede security te handhaven en hun omgevingen te beschermen.

Het meest kritieke issue dat in deze release wordt aangepakt, is CVE-2026-1090, een high-severity XSS-kwetsbaarheid met een CVSS-score van 8.7. Deze flaw bestaat in de Markdown placeholder processing van GitLab wanneer de Markdown placeholders feature flag is ingeschakeld. Een geauthenticeerde aanvaller kan de juiste sanitization checks omzeilen om kwaadaardige JavaScript in de browser van een slachtoffer te injecteren, wat mogelijk kan leiden tot ongeautoriseerde acties of session hijacking.

Daarnaast heeft GitLab drie high-severity DoS-kwetsbaarheden gepatcht die het voor niet-geauthenticeerde aanvallers mogelijk maken om kritieke services te verstoren. Een flaw in de GraphQL API maakt het mogelijk om met speciaal vervaardigde requests uncontrolled recursion en resource exhaustion te veroorzaken. Kwaadaardige requests die naar de repository archive endpoints worden verzonden, kunnen ook een denial-of-service attack triggeren onder specifieke omstandigheden. Verder kan improper validation van JSON payloads in de protected branches API gemakkelijk worden misbruikt om de service te laten crashen.

Naast de high-severity issues lost deze update verschillende medium en low-severity bugs op. Opmerkelijke fixes zijn het aanpakken van DoS-risico's in webhook custom headers (CVE-2025-13690) en webhook endpoints (CVE-2025-12576). De patch neutraliseert ook improper CRLF sequences (CVE-2026-3848) en fixt access control issues in de runners API (CVE-2025-12555), wat ongeautoriseerde toegang tot eerdere pipeline job informatie mogelijk had gemaakt. Informatie disclosure bugs die confidential issues beïnvloeden, zijn ook succesvol verholpen.

De security update adresseert verschillende specifieke CVE's die beheerders zouden moeten tracken. CVE-2026-1090 is een high-severity cross-site scripting flaw in Markdown placeholder processing met een CVSS-score van 8.7. Er zijn ook drie high-severity denial-of-service vulnerabilities, elk met een CVSS-score van 7.5: CVE-2026-1069 treft de GraphQL API, CVE-2025-13929 heeft impact op de repository archive endpoint, en CVE-2025-14513 target de protected branches API. Verder lost de patch twee medium-severity denial-of-service issues op, beide met een score van 6.5 op de CVSS scale, waarbij webhook custom headers (CVE-2025-13690) en de webhook endpoint (CVE-2025-12576) betrokken zijn.

Om continue service en data protection te waarborgen, moeten organisaties onmiddellijk actie ondernemen. Update alle self-managed GitLab CE en EE installations naar versies 18.9.2, 18.8.6 of 18.7.6. Single-node instances zullen korte downtime ervaren tijdens de upgrade wanneer database migrations worden voltooid. In contrast, multi-node setups kunnen zero-downtime upgrade procedures gebruiken. Users op GitLab.com en GitLab Dedicated draaien al de gepatchte versies en vereisen geen administratieve actie. Gedetailleerde vulnerability reports zullen 30 dagen na deze patch release openbaar worden gemaakt op GitLab’s issue tracker.

Bron: about.gitlab.com

Cisco heeft een reeks beveiligingslekken in Cisco IOS XR Software verholpen. De kwetsbaarheden, aanwezig in de command-line interface (CLI), stellen geauthenticeerde lokale aanvallers in staat om willekeurige root-level commando's uit te voeren of volledige administratieve privileges te verkrijgen.

Een ander probleem betreft het taakgroeptoewijzingsmechanisme voor specifieke CLI-commando's. Een aanvaller kan hierdoor beveiligingscontroles omzeilen.

Daarnaast is er een kwetsbaarheid in de IS-IS multi-instance routing functie. Een niet-geauthenticeerde, aangrenzende aanvaller kan het IS-IS proces onverwacht laten herstarten, wat resulteert in tijdelijk verlies van netwerkconnectiviteit.

Tot slot is er een kwetsbaarheid die specifiek NCS 5500 en NCS 5700 apparaten treft. Een niet-geauthenticeerde externe aanvaller kan packet corruptie veroorzaken tijdens zware verkeersomstandigheden, wat kan leiden tot een Denial-of-Service situatie.

Bron: Cisco

Apple heeft beveiligingsupdates uitgebracht om oudere iPhones en iPads te beschermen tegen kwetsbaarheden die actief worden aangevallen. De beveiligingslekken, waarvoor Apple al in 2023 en 2024 updates uitbracht, worden op grote schaal misbruikt. Het bezoeken van een gehackte of malafide website met een kwetsbare iPhone is voldoende om met malware besmet te raken, zonder dat de gebruiker interactie hoeft te hebben.

Het gaat om vier kwetsbaarheden: CVE-2023-41974, CVE-2024-23222, CVE-2023-43000 en CVE-2023-43010. Drie van de problemen bevinden zich in WebKit, de browser-engine van Apple, die verplicht is voor alle browsers op iOS en iPadOS. Het verwerken van malafide webcontent via deze lekken stelt een aanvaller in staat willekeurige code uit te voeren op de iPhone of iPad.

De vierde kwetsbaarheid bevindt zich in de kernel van iOS en iPadOS en zorgt ervoor dat een app willekeurige code met kernelrechten kan uitvoeren. Apple heeft de vier beveiligingslekken verholpen in de releases iOS 16.6, 17, 17.2 en 17.3 die eind 2023 en begin 2024 verschenen. In elke release werd één van de kwetsbaarheden gepatcht. Oudere iPhones en iPads kunnen niet naar deze versies updaten.

Google waarschuwde onlangs dat een exploitkit van een spywareleverancier in handen was gekomen van een spionagegroep en een groep financieel gemotiveerde criminelen. Het is onbekend hoe de exploitkit gelekt is. De criminelen misbruiken de kwetsbaarheden op grote schaal om iPhones met malware te infecteren en zo crypto-gerelateerde data en andere financiële informatie te stelen.

Om oudere iPhones en iPads te beschermen heeft Apple iOS en iPadOS 15.8.7 uitgebracht voor iPhone 6s, iPhone 7, iPhone SE (1e generatie), iPad Air 2, iPad mini (4e generatie) en iPod touch (7e generatie). Eigenaren van een iPhone 8, iPhone 8 Plus, iPhone X, iPad 5e generatie, iPad Pro 9.7-inch en iPad Pro 12.9-inch 1e generatie kunnen updaten naar iOS en iPadOS 16.7.15.

Bron: Apple

Het Amerikaanse cyberagentschap CISA waarschuwt voor actief misbruik van een kritieke kwetsbaarheid in n8n, een tool voor workflowautomatisering. Het beveiligingslek, CVE-2025-68613, heeft een CVSS-score van 10.0 en maakt remote code execution (RCE) mogelijk.

De kwetsbaarheid bevindt zich in het 'workflow expression evaluation system' van n8n en maakt 'expression injection' mogelijk. Een geauthenticeerde aanvaller kan hierdoor willekeurige code uitvoeren met de rechten van het n8n-proces. Dit kan leiden tot volledige compromittering van het systeem, toegang tot gevoelige data, aanpassing van workflows en het uitvoeren van 'system-level operations'.

N8n heeft in december een beveiligingsupdate uitgebracht voor dit probleem. CISA heeft Amerikaanse overheidsinstanties die n8n gebruiken opgedragen om de update binnen twee weken te installeren, indien dit nog niet is gebeurd.

De waarschuwing van CISA volgt op een analyse van Akamai, waaruit blijkt dat n8n-servers het doelwit zijn van aanvallen door de malware voor Zerobot, gebaseerd op de bekende malware voor Mirai. Door Zerobot besmette systemen worden onderdeel van een botnet. Volgens Akamai is het n8n-lek eenvoudig te misbruiken, omdat slechts een gebruikerslogin vereist is, waarna de aanvaller toegang heeft tot alle data waar n8n toegang toe heeft. Eerder verscheen al een proof-of-concept exploit, wat volgens Akamai het gemak en de schaal van aanvallen vergroot.

Bron: CISA | Bron 2: github.com | Bron 3: n8n.io

Veeam heeft kwetsbaarheden verholpen in Veeam Backup & Replication. Een geauthenticeerde domeingebruiker kan de kwetsbaarheden misbruiken om op afstand code uit te voeren op de backupserver, wat kan leiden tot ongeautoriseerde controle over backupoperaties. Dit probleem is aanwezig in de backupserveromgeving en kan worden misbruikt via geauthenticeerde toegang.

Daarnaast kunnen geauthenticeerde gebruikers beperkingen omzeilen en willekeurige bestanden binnen een backuprepository manipuleren, wat kan leiden tot gegevensmanipulatie of -corruptie. Een aanvaller met beperkte rechten kan toegang krijgen tot opgeslagen SSH-credentials, wat kan leiden tot ongeautoriseerde toegang tot kritieke systemen.

Een kwetsbaarheid in de hoge beschikbaarheid van Veeam Backup & Replication kan worden misbruikt door een geauthenticeerde gebruiker met de rol van Backup Administrator, wat kan leiden tot compromittering van het systeem. Verder kan een aanvaller met lokale toegang zijn privileges verhogen, wat de beveiligingscontext van backup- en replicatieprocessen in gevaar kan brengen. Een Backup Viewer kan op afstand code uitvoeren met de privileges van de 'postgres'-gebruiker, wat kan leiden tot ongeautoriseerde acties binnen de databaseomgeving.

Bron: NCSC

Pac4j heeft een kwetsbaarheid verholpen in de pac4j-jwt bibliotheek, specifiek in versies voor 4.5.9, 5.7.9 en 6.3.3. De kwetsbaarheid bevindt zich in de JwtAuthenticator module. Een aanvaller die toegang heeft tot de RSA publieke sleutel van de server kan JWT-authenticatietokens vervalsen. De fout omzeilt het proces van handtekeningverificatie, waardoor de authenticiteit van tokens niet meer te valideren is. Een aanvaller kan zich hierdoor voordoen als elke gebruiker, inclusief gebruikers met administratieve privileges. Alle applicaties die afhankelijk zijn van de kwetsbare pac4j-jwt versies voor JWT-authenticatie zijn getroffen.

Bron: NCSC

Een kritieke kwetsbaarheid in de MediaTek Dimensity 7300-chipset stelt een fysieke aanvaller in staat om in ongeveer 45 seconden apparaat-PIN's te extraheren, on-device opslag te decoderen en seed phrases van cryptocurrency wallets te stelen. Dit is een ernstige waarschuwing voor de ongeveer 25% van de Android-gebruikers van wie de apparaten op de getroffen chip vertrouwen.

De kwetsbaarheid, ontdekt door het Donjon security research team van Ledger, bevindt zich in de Boot ROM van de MediaTek Dimensity 7300-chip (ook bekend als MT6878). Dit is de allereerste code die wordt uitgevoerd wanneer het apparaat wordt ingeschakeld en draait op het hoogste hardware privilege niveau (EL3) voordat Android ooit wordt geladen. Omdat Boot ROM permanent in de siliconen chip is gecodeerd, kan de hardwarefout niet worden verholpen door middel van softwarepatches.

De onderzoekers van Ledger maakten gebruik van deze zwakte met behulp van Electromagnetic Fault Injection (EMFI), een techniek die nauwkeurig getimede elektromagnetische pulsen naar de chip stuurt tijdens het opstarten om de uitvoeringsstroom te verstoren. Door verbinding te maken met het apparaat via USB en herhaaldelijk boot cycli te activeren terwijl fouten worden geïnjecteerd, kunnen aanvallers alle beveiligingslagen omzeilen en willekeurige code uitvoeren op het hoogste privilege niveau van de chip, zonder ooit het Android-besturingssysteem te starten.

Ledger demonstreerde de aanval op een Nothing CMF Phone 1 die via een USB-kabel op een laptop was aangesloten. Het team doorbrak de fundamentele beveiligingslaag van de telefoon binnen 45 seconden en herstelde met succes de apparaat-PIN, decodeerde de opslag en extraheerde seed phrases van meerdere software crypto wallets. Getroffen applicaties die tijdens het testen zijn bevestigd, zijn onder meer Trust Wallet, Kraken Wallet, Phantom, Base, Rabby en Tangem's Mobile Wallet.

Hoewel het succespercentage per poging relatief laag is, is de aanval praktisch omdat het proces kan worden geautomatiseerd en snel kan worden herhaald totdat een succesvolle foutinjectie plaatsvindt. Het onderzoek van Ledger, dat in februari 2025 begon, bereikte begin mei 2025 willekeurige code-executie voordat de verantwoordelijke openbaarmaking werd geïnitieerd met het beveiligingsteam van MediaTek.

De kwetsbaarheid treft Android-telefoons die de MediaTek Dimensity 7300-chip gebruiken in combinatie met de Trustonic Trusted Execution Environment (TEE), waardoor mogelijk ongeveer 25% van de Android-apparaten wereldwijd wordt getroffen. Budget- en mid-range smartphonemerken die in de getroffen apparatenpool zijn bevestigd, zijn onder meer Realme, Motorola, Oppo, Vivo, Nothing en Tecno. De Solana Seeker crypto-focused smartphone gebruikt ook dezelfde chipset.

Na de openbaarmaking van Ledger heeft MediaTek in januari 2026 een beveiligingspatch uitgebracht en alle getroffen OEM-leveranciers op de hoogte gesteld. Omdat de oorzaak echter een hardwarematig Boot ROM-defect is, verzacht de patch alleen de exploitatiepaden in plaats van de onderliggende siliconen kwetsbaarheid te elimineren. MediaTek heeft eerder verklaard dat EMFI-aanvallen buiten het beoogde consumentengebruik van de MT6878-chipset vallen.

Charles Guillemet, CTO van Ledger, waarschuwde dat smartphones niet bedoeld zijn om te functioneren als veilige kluizen voor gevoelige informatie. Hij adviseerde gebruikers om beveiligingspatches toe te passen, maar benadrukte de risico's van het opslaan van private keys en seed phrases op reguliere apparaten. Guillemet raadde aan om gevoelige cryptocurrency-activa over te dragen naar speciale hardware wallets met gecertificeerde beveiligingsfuncties, waarbij hij de kloof benadrukte tussen smartphonebeveiliging en de behoeften van digitale activa bewaring.

Bron: MediaTek

Onderzoekers van securitybedrijf CodeWall zijn erin geslaagd om met een AI-agent het AI-platform van adviesbureau McKinsey te hacken. Hierdoor kregen ze toegang tot miljoenen chatberichten, honderdduizenden bestanden van medewerkers en andere informatie. McKinsey maakt gebruik van een generatief AI-platform genaamd Lilli, dat door medewerkers wordt gebruikt voor informatie over onbekende onderwerpen, de methodologie en frameworks van McKinsey, het analyseren en opschonen van data, onderzoeken van trends en het maken van presentaties.

CodeWall ontwikkelde een AI-agent voor securitytests. Deze agent vond de API-documentatie van het AI-platform, met meer dan tweehonderd endpoints (url's). Voor de meeste endpoints was authenticatie vereist, maar twintig waren er zonder authenticatie toegankelijk. Eén van deze toegankelijke endpoints schreef zoekopdrachten van gebruikers naar de database en bleek kwetsbaar voor SQL-injectie.

Via SQL-injectie kreeg de AI-agent toegang tot meer dan 46 miljoen chatberichten, 728.000 bestanden en documenten en 57.000 gebruikersaccounts. De AI-agent ontdekte ook een IDOR (Insecure Direct Object Reference) kwetsbaarheid, waardoor de zoekgeschiedenis van medewerkers kon worden bekeken en te achterhalen was waar ze aan werkten. Daarnaast bleek het mogelijk om de prompts van het AI-platform aan te passen, wat invloed zou kunnen hebben op de uitvoer en daarmee de informatie die aan medewerkers wordt verstrekt.

CodeWall waarschuwde McKinsey op 1 maart. Een dag later werden alle ongeauthenticeerde endpoints gepatcht, de ontwikkelomgeving offline gehaald en de API-documentatie niet meer publiek gemaakt.

Bron: CodeWall

Er is een beveiligingsadvies uitgebracht over een recent ontdekte kwetsbaarheid in de Cortex XDR Broker Virtual Machine (VM) van Palo Alto Networks. Deze kwetsbaarheid, aangeduid als CVE-2026-0231, kan een kwaadwillende actor met hoge privileges en authenticatie in staat stellen om toegang te krijgen tot gevoelige systeeminformatie en deze te wijzigen.

Het probleem ligt in de manier waarop de Cortex XDR Broker VM bepaalde terminalsessies verwerkt. Om deze kwetsbaarheid succesvol te misbruiken, moet een aanvaller reeds geauthenticeerd zijn, over hoge privileges beschikken en directe netwerktoegang hebben tot de betreffende Broker VM. Zodra aan deze voorwaarden is voldaan, kan de aanvaller een actieve terminalsessie activeren via de Cortex User Interface (UI). Deze ongeautoriseerde sessie stelt de aanvaller in staat om gevoelige data te onthullen en kritieke configuratie-instellingen aan te passen.

De kwetsbaarheid heeft een "Moderate" urgentie-classificatie en een Medium CVSS 4.0 score van 5.7. Hoewel de complexiteit van de aanval laag is en geen gebruikersinteractie vereist, vormt de noodzaak van hoge administratieve privileges een sterke barrière tegen externe bedreigingen. De kwetsbaarheid bedreigt de vertrouwelijkheid, integriteit en beschikbaarheid van het product en scoort "Hoog" op alle drie de impact metrics.

De kwetsbaarheid is geclassificeerd onder CWE-497, wat verwijst naar het blootleggen van gevoelige systeeminformatie aan een ongeautoriseerde controle-sfeer.

De kwetsbaarheid treft specifiek de Cortex XDR Broker VM 30.0 serie, inclusief de versies 30.0.0 tot en met 30.0.49. Er is geen speciale configuratie vereist om een systeem kwetsbaar te maken.

Palo Alto Networks adviseert om de officiële patches toe te passen, omdat er geen bekende workarounds of tijdelijke mitigaties zijn voor deze kwetsbaarheid. Security teams wordt aangeraden om de huidige versie van hun Cortex XDR Broker VM te controleren en, indien een getroffen versie wordt gebruikt, onmiddellijk te upgraden naar Cortex XDR Broker VM 30.0.49 of een latere versie. Daarnaast wordt aangeraden om automatische upgrades in te schakelen voor de Broker VM.

Gelukkig werd de kwetsbaarheid intern ontdekt en gemeld door Nicola Kalak, waardoor beheerders een voorsprong hebben om hun omgevingen te beveiligen. Er zijn momenteel geen meldingen van actieve, kwaadwillende exploitatie in het wild.

Bron: Palo Alto Networks

Onderzoekers hebben een botnet van circa 14.000 Asus-routers ontdekt, dat de naam 'KadNap' heeft gekregen. De enige manier om de besmette routers op te schonen, is door een fabrieksreset uit te voeren. Dit meldt securitybedrijf Lumen, dat het botnet ontdekte. De besmette apparaten worden aangeboden als proxy voor criminelen.

Tegen betaling kunnen aanvallers gebruikmaken van deze proxydienst om hun eigen IP-adres te verbergen en een IP-adres te verkrijgen dat zich in dezelfde regio bevindt als het doelwit. De onderzoekers hebben geen details vrijgegeven over de infectiemethode van de Asus-routers, maar vermoeden dat er gebruik wordt gemaakt van bekende kwetsbaarheden. Dit zou betekenen dat eigenaren van de routers de beschikbare updates niet hebben geïnstalleerd.

Lumen heeft Indicators of Compromise (IoC's) beschikbaar gesteld waarmee gebruikers kunnen controleren of hun router besmet is. Om de malware te verwijderen, is een fabrieksreset noodzakelijk. De malware slaat namelijk een shell-script op dat automatisch wordt uitgevoerd wanneer de router herstart, waardoor het apparaat opnieuw wordt geïnfecteerd. Een fabrieksreset verwijdert dit script. Daarnaast wordt aangeraden om te controleren of alle beschikbare firmware-updates zijn geïnstalleerd, sterke admin-wachtwoorden te gebruiken en remote access uit te schakelen, tenzij dit noodzakelijk is. De meeste infecties door KadNap zijn waargenomen in de Verenigde Staten.

Bron: Lumen | Bron 2: github.com | Bron 3: arstechnica.com

Er is een kritisch beveiligingsadvies uitgebracht waarin gebruikers worden gewaarschuwd voor een ernstige kwetsbaarheid die zowel Enterprise- als Cloud-platforms treft. De kwetsbaarheid, gevolgd als CVE-2026-20163, heeft een CVSS-score van 8.0. Het stelt aanvallers in staat om Remote Command Execution (RCE) uit te voeren op de getroffen systemen.

De kwetsbaarheid komt voort uit een onjuiste verwerking van gebruikersinvoer wanneer het systeem een voorbeeld van geüploade bestanden bekijkt voordat deze worden geïndexeerd. Hoewel de kwetsbaarheid vereist dat de aanvaller over privileges op hoog niveau beschikt, kan een succesvolle exploit een kwaadwillende gebruiker in staat stellen de controle over de onderliggende hostserver over te nemen.

Het kernprobleem is geclassificeerd als CWE-77, wat betrekking heeft op de onjuiste neutralisatie van speciale elementen die in een commando worden gebruikt. De kwetsbaarheid bevindt zich in de REST API-component van Splunk, specifiek gericht op het `/splunkd/__upload/indexing/preview` endpoint.

Om deze kwetsbaarheid te misbruiken, moet een aanvaller al een gebruikersrol hebben die de `edit_cmd` mogelijkheid op hoog niveau omvat. Als aan deze voorwaarde is voldaan, kan de aanvaller de `unarchive_cmd` parameter manipuleren tijdens het proces van het bekijken van de geüploade bestanden. Omdat het systeem deze invoer niet goed opschoont, kan de aanvaller eenvoudig willekeurige shell-commando's injecteren en rechtstreeks op de server uitvoeren.

Dit beveiligingslek is op verantwoorde wijze gemeld door beveiligingsonderzoeker Danylo Dmytriiev (DDV_UA), samen met Splunk-teamleden Gabriel Nitu en James Ervin.

De kwetsbaarheid treft verschillende recente versies van Splunk's software. Beheerders wordt aangeraden hun implementaties te controleren op de volgende getroffen releases: Enterprise 10.0.0–10.0.3, 9.4.0–9.4.8, 9.3.0–9.3.9, en Cloud Platform versies lager dan 10.2.2510.5, 10.1.2507.16, 10.0.2503.12, en 9.3.2411.124. De basis Splunk Enterprise 10.2 release wordt niet getroffen door deze kwetsbaarheid. Daarnaast bewaakt en implementeert Splunk actief patches rechtstreeks naar de getroffen Cloud Platform instances.

Om de infrastructuur te beschermen tegen mogelijke misbruik, raadt Splunk ten zeerste aan deze kwetsbaarheid onmiddellijk aan te pakken door middel van updates of tijdelijke maatregelen.

Beheerders wordt aangeraden hun installaties bij te werken naar de vaste versies 10.2.0, 10.0.4, 9.4.9, 9.3.10 of hoger. Als een onmiddellijke upgrade niet mogelijk is, kan het risico worden beperkt door de `edit_cmd` mogelijkheid op hoog niveau volledig te verwijderen uit alle gebruikersrollen. Dit verbreekt de exploit chain door de machtigingen te ontzeggen die nodig zijn om het kwaadaardige commando uit te voeren.

Momenteel zijn er geen specifieke threat detection signatures beschikbaar voor deze kwetsbaarheid, waardoor proactief patchen en strikt privilege management van cruciaal belang zijn.

Bron: Splunk

Apple heeft beveiligingsupdates uitgebracht om oudere iPhones en iPads te beschermen tegen een reeks kwetsbaarheden die worden misbruikt in cyberespionage- en crypto-diefstalaanvallen met behulp van de Coruna exploit kit. Een aantal van deze beveiligingslekken zijn al verholpen in eerdere updates voor nieuwere iOS-apparaatmodellen, beginnend in september 2023.

De patches verhelpen iOS-beveiligingsproblemen die worden misbruikt door meerdere exploit chains, waarvan vele worden gebruikt in zero-aanvallen met day. Deze aanvallen zijn erop gericht om aanvallers te helpen hun rechten te escaleren naar Kernel-privileges of om toegang te krijgen tot remote code execution op kwetsbare apparaten.

De lijst met kwetsbaarheden die door deze security patches worden aangepakt, omvat:

* CVE-2023-41974: Een Kernel use-after-free probleem, opgelost met verbeterd geheugenbeheer.

* CVE-2024-23222: Een WekKit type confusion probleem, opgelost met verbeterde controles.

* CVE-2023-43000: Een WebKit use-after-free probleem, opgelost met verbeterd geheugenbeheer.

* CVE-2023-43010: Een WebKit probleem, opgelost met verbeterde geheugenafhandeling.

De lijst met apparaten die door deze kwetsbaarheden worden getroffen, is uitgebreid en omvat een breed scala aan oudere modellen met iOS 15.8.7/16.7.15 en iPadOS 15.8.7/16.7.15: iPhone 6s (alle modellen), iPhone 7 (alle modellen), iPhone SE (1e generatie), iPhone 8, iPhone 8 Plus, iPhone X, iPad Air 2, iPad mini (4e generatie), iPod touch (7e generatie), iPad 5e generatie, iPad Pro 9.7-inch en iPad Pro 12.9-inch 1e generatie.

Onderzoekers van Google Threat Intelligence Group (GTIG) hebben eerder onthuld dat de Coruna exploit kit sinds februari 2025 door meerdere dreigingsgroepen wordt gebruikt, waaronder een vermoedelijke Russische, door de staat gesteunde hacking groep (UNC6353), een klant van een surveillance vendor en een financieel gemotiveerde Chinese dreigingsactor (UNC6691). UNC6691 werd gespot bij het inzetten van de exploit kit op nep gok- en crypto websites om malware payloads te verspreiden die cryptocurrency wallets stalen van de geïnfecteerde apparaten van slachtoffers.

CISA heeft drie van de 23 kwetsbaarheden die door Coruna worden misbruikt, toegevoegd aan de catalogus van Known Exploited Vulnerabilities, waaronder de CVE-2023-43010 WebKit-flaw. Het Amerikaanse cybersecurity agentschap heeft Federal Civilian Executive Branch (FCEB) agentschappen opgedragen hun iOS-apparaten vóór 26 maart te patchen, zoals vereist door de Binding Operational Directive (BOD) 22-01.

Sinds het begin van het jaar heeft Apple ook een zero-day kwetsbaarheid (CVE-2026-20700) verholpen die werd misbruikt in een "extreem geavanceerde aanval" gericht op specifieke personen, waardoor dreigingsactoren willekeurige code konden uitvoeren op gecompromitteerde apparaten.

Bron: Apple | Bron 2: cisa.gov | Bron 3: hubs.li

GitLab heeft beveiligingsupdates uitgebracht om verschillende kwetsbaarheden in versies 18.9.2, 18.8.6 en 18.7.6 te verhelpen. De gepatchte kwetsbaarheden omvatten problemen met onjuiste autorisatiecontroles. Hierdoor konden geauthenticeerde gebruikers mogelijk toegang krijgen tot gevoelige gegevens, zoals metadata van private repositories. Daarnaast zijn er kwetsbaarheden verholpen die denial-of-service aanvallen mogelijk maakten door onjuiste invoervalidatie.

Specifieke kwetsbaarheden betroffen de CI/CD-pijplijn, webhook-verwerking en de importfunctionaliteit van GitLab. Door deze kwetsbaarheden kon ongepaste toegang tot API-gegevens en projectmetadata plaatsvinden. De beveiligingslekken beïnvloeden zowel de vertrouwelijkheid als de beschikbaarheid van data binnen GitLab. Gebruikers van GitLab wordt aangeraden om zo snel mogelijk te updaten naar de nieuwste versies om de risico's te minimaliseren.

Bron: NCSC

Google heeft beveiligingsupdates uitgebracht voor Google Chrome (versie 146.0.7680.75) om kwetsbaarheden in de V8-engine en de Skia graphics library aan te pakken. Het Nationaal Cyber Security Centrum (NCSC) waarschuwt dat beide kwetsbaarheden een risico vormen voor de beveiliging van de browser.

De kwetsbaarheid in de V8-engine (CVE-2026-3909) maakt het voor een kwaadwillende mogelijk om willekeurige code uit te voeren binnen de sandboxed omgeving van de browser. Dit kan gebeuren door een speciaal geprepareerde HTML-pagina aan te bieden aan het slachtoffer.

De kwetsbaarheid in de Skia-component (CVE-2026-3910) stelt aanvallers in staat om eveneens via speciaal gemaakte HTML-pagina's out-of-bounds geheugenwrites te veroorzaken. Dit kan leiden tot ongeautoriseerde toegang tot het geheugen.

Google geeft aan dat er al exploits in omloop zijn voor zowel CVE-2026-3909 als CVE-2026-3910, wat het risico op misbruik aanzienlijk verhoogt. Het NCSC adviseert gebruikers om Chrome zo snel mogelijk te updaten naar de nieuwste versie.

Bron: NCSC

Een significante kwetsbaarheid is ontdekt in de GSSAPI Key Exchange patch die door verschillende Linux-distributies is toegepast op hun OpenSSH-pakketten. De kwetsbaarheid, geregistreerd als CVE-2026-3497, is ontdekt door security researcher Jeremy Brown. Deze stelt een aanvaller in staat om op betrouwbare wijze SSH-childprocessen te laten crashen en mogelijk privilege separation boundaries te schenden, met slechts één specifiek vervaardigd netwerkpakket.

De kwetsbaarheid is het gevolg van een codefout van één regel in kexgsss.c, de server-side GSSAPI key exchange handler. Een niet-terminerende functie, sshpkt_disconnect(), werd gebruikt in de default error-handling case, waar de proces-terminerende ssh_packet_disconnect() eigenlijk bedoeld was. Omdat sshpkt_disconnect() alleen een disconnect-bericht in de wachtrij plaatst en terugkeert in plaats van de uitvoering te stoppen, valt de error handler door in code die een niet-geïnitialiseerde stack variable genaamd recv_tok leest.

De inhoud van die variabele wordt vervolgens via IPC naar het geprivilegieerde monitorproces gestuurd en doorgegeven aan gss_release_buffer(), die mogelijk free() aanroept op een garbage pointer, wat resulteert in heap corruption.

Brown's analyse classificeert de bug onder CWE-824 (access of an uninitialized pointer) en CWE-908 (use of an uninitialized resource). Belangrijke impactdetails zijn:

* Een enkel vervaardigd SSH-pakket van ongeveer 300 bytes is voldoende om de kwetsbaarheid te triggeren - er zijn geen credentials vereist.

* Op x86_64 systemen produceert exploitatie SIGABRT (signal 6) of SIGSEGV (signal 11) met een SSH-lockout van 90 seconden.

* Child process crashes zijn 100% betrouwbaar in geteste configuraties.

* Tot 127KB aan heap data kan via het privsep IPC-kanaal naar het root-level monitorproces worden verzonden, wat een serieuze privilege separation boundary violation vertegenwoordigt.

De ernst van de kwetsbaarheid varieert aanzienlijk tussen distributies vanwege verschillende compileropties en optimization flags. Clang compiled met -O0 laat een pointer value van 0xfffbe600 achter met een lengte van 4 bytes, terwijl GCC compiled met -O2 -fno-stack-protector een geldig heap address achterlaat met een lengte van 127.344 bytes. Een testmatrix met acht builds bevestigde dat recv_tok.value kan variëren van NULL tot stack addresses, heap addresses, of volledig unmapped memory regions.

Systemen met Ubuntu en Debian OpenSSH servers met GSSAPIKeyExchange yes enabled zijn bevestigd potentieel te zijn aangetast. Omdat verschillende versies van de GSSAPI KEX patch in omloop zijn binnen het Linux ecosysteem, is het waarschijnlijk dat de impact zich uitstrekt buiten deze twee distributies.

De fix is eenvoudig: vervang alle drie instanties van sshpkt_disconnect() met ssh_packet_disconnect() op de server-side call sites binnen kexgsss.c. Ubuntu heeft al een patch voorbereid die dit probleem aanpakt.

Beheerders die OpenSSH met GSSAPI key exchange enabled gebruiken, wordt aangeraden om direct beschikbare distributie updates toe te passen of GSSAPIKeyExchange uit te schakelen als tijdelijke mitigatie.

Bron: SSH-processen mogelijk

Amerikaanse overheidsinstanties moeten voor een belangrijke deadline hun netwerken opschonen, nadat een kritieke backdoor in Cisco SD-WAN systemen is ontdekt. De backdoor, die sinds 2023 actief is, stelt aanvallers in staat om gevoelige overheidsdata te compromitteren. De Cybersecurity and Infrastructure Security Agency (CISA) waarschuwde voor het eerst op 25 februari 2026, na onderzoek door CISA en Cisco's Talos team. Zij ontdekten dat een groep hackers, genaamd UAT-8616, een kwetsbaarheid in Cisco Catalyst SD-WAN systemen misbruikte.

De kwetsbaarheid, CVE-2026-20127, heeft een maximale CVSS score van 10. Het is een kritieke authenticatie bypass flaw die een aanvaller administratieve toegang tot een netwerk geeft zonder wachtwoord. De aanvallers downgraden de systeemsoftware naar een oudere versie om verborgen te blijven en ongehinderd toegang te houden.

Een succesvolle exploitatie stelt de aanvaller in staat om in te loggen op een getroffen Cisco Catalyst SD-WAN Controller als een interne, hooggeprivilegieerde, niet-root gebruiker. Via deze account kan de aanvaller toegang krijgen tot NETCONF en de netwerkconfiguratie van de SD-WAN fabric manipuleren. De kwetsbaarheid treft de volgende producten: Cisco Hosted SD-WAN Cloud, Cisco Hosted SD-WAN Cloud – Cisco Managed, en Cisco Hosted SD-WAN Cloud – FedRAMP Environment.

Na een eerste ronde software-updates op 27 februari, heeft CISA op 11 maart een nieuwe richtlijn uitgebracht. Agentschappen moeten rapporteren over de genomen beveiligingsmaatregelen, zoals het plaatsen van gevoelige controles achter extra firewalls en het vervangen van digitale sleutels. Als een root account is aangetast, moet het hele systeem worden gewist en opnieuw worden opgebouwd.

Uiterlijk 23 maart moeten alle agentschappen hun interne traffic logs naar CISA's centrale monitoringsysteem sturen, zodat experts kunnen zoeken naar overgebleven sporen van de hackers. Een eindrapport over de veiligheid van de netwerken moet op 1 mei 2026 worden ingediend bij de Secretary of Homeland Security.

Bobby Kuzma, Director of Offensive Operations bij ProCircular, adviseert organisaties met Cisco SD-WAN apparatuur om artifacten te verzamelen en de patchstatussen en logs te controleren.

Bron: CISA | Bron 2: sec.cloudapps.cisco.com | Bron 3: nvd.nist.gov

Onderzoekers hebben kritieke kwetsbaarheden ontdekt in Linux AppArmor, waardoor een lokale aanvaller root-privileges kan verkrijgen. Volgens securitybedrijf Qualys, dat de problemen ontdekte en rapporteerde, wordt AppArmor standaard gebruikt op 12,6 miljoen enterprise Linux-systemen wereldwijd. Er zijn updates beschikbaar om de kwetsbaarheden te verhelpen. De reeks van negen beveiligingslekken staat bekend onder de naam 'CrackArmor'.

AppArmor, beheerd door Canonical, is een Linux kernel security module waarmee systeembeheerders de mogelijkheden van programma's kunnen beperken via afzonderlijke profielen. Deze profielen bepalen bijvoorbeeld of een programma toegang heeft tot het netwerk of de mogelijkheid heeft om bestanden te lezen, schrijven of uit te voeren. Qualys stelt dat AppArmor het standaard access control mechanisme is voor Ubuntu, Debian, SUSE en diverse cloudplatforms.

De kwetsbaarheden stellen een gebruiker zonder privileges in staat om profielen te manipuleren, door ze te laden, verwijderen of vervangen, beperkingen op user-namespace te omzeilen en willekeurige code binnen de kernel uit te voeren. Door de gevonden problemen te combineren, kan een aanvaller die al toegang heeft tot een systeem zijn rechten verhogen tot root-niveau. Misbruik kan ook leiden tot een denial of service.

Er zijn op dit moment nog geen CVE-nummers beschikbaar voor de kwetsbaarheden. Qualys heeft proof-of-concept exploitcode ontwikkeld om misbruik van de problemen aan te tonen, maar houdt deze nog achter om organisaties de tijd te geven de beschikbare patches uit te rollen en het risico voor ongepatchte omgevingen te beperken. De kwetsbaarheden werden in juli, augustus en september vorig jaar gerapporteerd. Updates zijn sinds gisteren beschikbaar.

Bron: Qualys

Microsoft onderzoekt een probleem waarbij sommige Samsung-laptops met Windows 11 na de beveiligingsupdates van februari 2026 de toegang tot hun C:\-schijf verliezen en geen applicaties meer kunnen starten. Microsoft werkt samen met Samsung om te bepalen of het probleem verband houdt met de updates voor Windows of de Samsung software op de getroffen apparaten.

Volgens Microsoft kunnen gebruikers de foutmelding "C:\ is niet toegankelijk – Toegang geweigerd" tegenkomen, waardoor ze geen toegang hebben tot bestanden en sommige applicaties, waaronder Outlook, Office-apps, webbrowsers, systeemhulpprogramma's en Quick Assist, niet meer kunnen starten. Deze fouten kunnen optreden tijdens normaal Windows-gebruik op een Samsung-apparaat, bijvoorbeeld bij het openen van bestanden, het starten van applicaties of het uitvoeren van administratieve taken. In sommige gevallen kunnen de problemen met machtigingen voorkomen dat gebruikers privileges verhogen, updates verwijderen of toegang krijgen tot logs.

Het probleem is voornamelijk gemeld in Brazilië, Portugal, Zuid-Korea en India, en treft vooral Samsung Galaxy Book 4 en andere Samsung-consumentenapparaten. Het onderzoek van Microsoft suggereert dat het probleem mogelijk verband houdt met de Samsung Share-applicatie, hoewel de exacte oorzaak nog niet is bevestigd. Op dit moment heeft het probleem alleen invloed op systemen met Windows 11 versie 25H2 en 24H2.

Hoewel Microsoft nog geen tijdelijke oplossing heeft gedeeld, heeft een Reddit-gebruiker die beweert een Samsung-technicus in Brazilië te zijn, een workaround gepost die volgens sommige getroffen gebruikers de toegang tot de C:\-schijf herstelt. De workaround vereist echter dat het eigendom van de volledige C:\-schijf en alle submappen wordt gewijzigd in de groep "Iedereen", inclusief systeemdirectories en -bestanden die normaal gesproken eigendom zijn van TrustedInstaller of SYSTEM. Het wijzigen van het eigendom van systeembestanden op deze manier verzwakt de ingebouwde beveiliging van Windows. Daarom wordt gebruikers aangeraden de workaround alleen toe te passen als dit absoluut noodzakelijk is en in plaats daarvan te wachten op een fix van Microsoft.

Bron: Microsoft | Bron 2: hubs.li

Een significante kwetsbaarheid, genaamd "CrackArmor", is ontdekt in AppArmor, een beveiligingstool voor Linux systemen. Cybersecuritybedrijf Qualys heeft negen kwetsbaarheden blootgelegd die AppArmor treffen, het standaard beveiligingssysteem voor Ubuntu, Debian en SUSE. De kwetsbaarheden bestaan sinds 2017, vanaf versie v4.11, en bedreigen momenteel meer dan 12,6 miljoen enterprise systemen.

De kwetsbaarheid maakt gebruik van een "confused deputy" aanval. Hierbij misleidt een gebruiker met beperkte rechten een programma met hogere rechten om namens hem een potentieel gevaarlijke actie uit te voeren. Onderzoekers van de Qualys Threat Research Unit (TRU) vergelijken dit met een indringer die een gebouwbeheerder met sleutels voor alle ruimtes overtuigt om een privékluis te openen. Door tools zoals Sudo of Postfix te misleiden, kan een aanvaller schrijven naar verborgen pseudo-bestanden in het systeem. Dit maakt het mogelijk om beveiligingsmechanismen te omzeilen en root-toegang te verkrijgen, wat de hoogste mate van controle over een computer betekent.

Het onderzoek, onder leiding van Saeed Abbasi van Qualys TRU, toont aan dat hackers zelfs kunnen ontsnappen uit containers, die juist bedoeld zijn als geïsoleerde omgevingen. Deze aanvallen kunnen onopgemerkt plaatsvinden, waardoor een systeem zijn bescherming verliest zonder dat de beheerder hiervan op de hoogte is.

De kwetsbaarheid vormt een risico voor de financiële sector, de gezondheidszorg en de telecommunicatie. Een aanvaller kan een denial-of-service (DoS) aanval uitvoeren, waardoor de computer crasht door geheugenuitputting. Ook kunnen aanvallers "deny-all" instellingen laden om personeel te blokkeren of beveiligingen van achtergrondservices verwijderen.

Qualys CTO Dilip Bachwani benadrukt dat deze bevindingen aantonen dat standaardinstellingen niet altijd te vertrouwen zijn: "Zelfs de meest ingebouwde beschermingen kunnen worden omzeild zonder beheerdersrechten." Hoewel er nog geen officiële CVE-nummers zijn toegewezen aan deze kwetsbaarheden, adviseert Qualys om niet te wachten met het nemen van maatregelen. Qualys heeft samengewerkt met Ubuntu, Debian, SUSE en Sudo om ervoor te zorgen dat er fixes beschikbaar waren voordat het nieuws openbaar werd gemaakt. Om beschermd te blijven, wordt beheerders aangeraden onmiddellijk de nieuwste kernel patches van hun softwareleveranciers toe te passen.

Bron: Qualys | Bron 2: spglobal.com | Bron 3: canonical.com

Apple heeft op 11 maart 2026 een noodzakelijke beveiligingsupdate uitgebracht, iOS 15.8.7 en iPadOS 15.8.7, om oudere apparaten te beschermen tegen een ernstige dreiging die bekend staat als de 'Coruna' exploit kit. Deze update bevat fixes van nieuwere iOS-versies, waardoor gebruikers van oudere hardware beschermd blijven tegen geavanceerde cyberaanvallen.

De Coruna exploit kit maakt gebruik van een keten van meerdere kwetsbaarheden om Apple-apparaten te compromitteren. Door zich te richten op zowel het besturingssysteem (de Kernel) als de WebKit browser engine, kunnen aanvallers de volledige controle over een getroffen iPhone of iPad krijgen door de gebruiker te misleiden een kwaadaardige website te bezoeken.

Apple had deze specifieke kwetsbaarheden al aangepakt in iOS 16 en iOS 17 tussen juli 2023 en januari 2024. Echter, kwaadwillenden maken actief gebruik van deze oudere fouten via de Coruna kit. Apple heeft daarom deze kritieke patches beschikbaar gemaakt voor oudere apparaten die niet kunnen upgraden naar de nieuwste besturingssystemen.

De getroffen apparaten zijn onder meer iPhone 6s, iPhone 7, iPhone SE (1e generatie), iPad Air 2, iPad mini (4e generatie) en iPod touch (7e generatie).

De iOS 15.8.7-update adresseert vier verschillende beveiligingsfouten, die allemaal een belangrijke rol spelen in de aanvalsketen van de Coruna exploit kit:

*   Kernel Vulnerability (CVE-2023-41974): Dit is een use-after-free geheugenprobleem in de Kernel van het apparaat, ontdekt door onderzoeker Félix Poulin-Bélanger. Indien misbruikt, kan een kwaadaardige applicatie willekeurige code uitvoeren met de hoogste systeem privileges. Apple heeft dit verholpen met verbeterd geheugenbeheer.

*   WebKit Type Confusion (CVE-2024-23222): Deze fout in Apple's web rendering engine stelt aanvallers in staat willekeurige code uit te voeren als een gebruiker kwaadaardig ontworpen web content verwerkt. Apple heeft het probleem opgelost door strengere validatiecontroles te implementeren.

*   WebKit Memory Corruption (CVE-2023-43000): Dit is een use-after-free kwetsbaarheid binnen WebKit die kan leiden tot geheugen corruptie bij het parsen van kwaadaardige webpagina's. Het is verholpen met behulp van verbeterde geheugenbeheer technieken.

*   WebKit Memory Corruption (CVE-2023-43010): Nog een ernstig WebKit probleem dat wordt veroorzaakt door kwaadaardige web content, wat ook leidt tot geheugen corruptie. Apple heeft deze fout verholpen door de algehele protocollen voor geheugenbeheer te verbeteren.

Omdat de Coruna exploit kit gebruikmaakt van web-based aanvallen, lopen gebruikers risico simpelweg door op het internet te surfen of links te openen die via tekstberichten worden verzonden. De combinatie van WebKit fouten voor initiële toegang en de Kernel fout voor systeem privilege escalatie maakt dit een zeer kritieke dreiging. Gebruikers van de getroffen oudere apparaten worden dringend aangespoord om naar hun apparaat instellingen te navigeren en de iOS 15.8.7 of iPadOS 15.8.7 update onmiddellijk te downloaden om hun systemen te beveiligen tegen deze bekende exploits.

Bron: Apple

De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft twee nieuwe kwetsbaarheden toegevoegd aan de Known Exploited Vulnerabilities (KEV) catalogus, op basis van bewijs van actieve exploitatie. Het gaat om: CVE-2026-3909, een out-of-bounds write kwetsbaarheid in Google Skia, en CVE-2026-3910, een unspecified kwetsbaarheid in Google Chromium V8.

Deze types kwetsbaarheden vormen frequente aanvalsvectoren voor kwaadwillende cyberactoren en brengen aanzienlijke risico's met zich mee. Binding Operational Directive (BOD) 22-01 heeft de KEV-catalogus in het leven geroepen als een actuele lijst van bekende Common Vulnerabilities and Exposures (CVE's) die een significant risico vormen.

BOD 22-01 verplicht federale civiele uitvoerende tak (FCEB) agentschappen om geïdentificeerde kwetsbaarheden te verhelpen voor de gestelde deadline, om FCEB-netwerken te beschermen tegen actieve dreigingen. Hoewel BOD 22-01 alleen van toepassing is op FCEB-agentschappen, dringt CISA er bij alle organisaties op aan om hun blootstelling aan cyberaanvallen te verminderen door tijdige herstel van KEV-catalogus kwetsbaarheden te prioriteren als onderdeel van hun vulnerability management praktijk. CISA zal doorgaan met het toevoegen van kwetsbaarheden aan de catalogus die voldoen aan de gestelde criteria.

Bron: CISA | Bron 2: cve.org | Bron 3: go.dhs.gov

Het Cyber Security Centre Belgium (CCB) waarschuwt voor meerdere kritieke kwetsbaarheden in Veeam Backup & Replication. Het risiconiveau van deze kwetsbaarheden is geclassificeerd als "kritiek".

De volgende CVE-nummers zijn van toepassing: CVE-2026-21669 (CVSS 7.7), CVE-2026-21671 (CVSS 10), CVE-2026-21672 (CVSS:3.1), CVE-2026-21708 (CVSS 8.8), CVE-2026-21668 (CVSS 9.1), CVE-2026-21666, en CVE-2026-21670. Het CCB adviseert gebruikers van Veeam Backup & Replication om onmiddellijk de nodige patches te installeren om misbruik van deze kwetsbaarheden te voorkomen.

Bron: CCB | Bron 2: nvd.nist.gov

Microsoft heeft een out-of-band (OOB) update uitgebracht om beveiligingsproblemen te verhelpen die Windows 11 Enterprise-apparaten treffen die hotpatch-updates ontvangen in plaats van de reguliere Patch Tuesday-cumulatieve updates.

De KB5084597 hotpatch-update is uitgebracht om kwetsbaarheden te verhelpen in de Windows Routing and Remote Access Service (RRAS) management tool. Deze kwetsbaarheden zouden het mogelijk maken om op afstand code uit te voeren bij het verbinden met een kwaadaardige server.

Volgens Microsoft is er een beveiligingsprobleem vastgesteld in de Windows Routing and Remote Access Service (RRAS) management tool dat het mogelijk maakt om op afstand code uit te voeren bij het verbinden met een kwaadaardige server. Dit probleem is van toepassing op een beperkt aantal scenario's met Enterprise client-apparaten waarop hotpatch-updates worden uitgevoerd en die worden gebruikt voor beheer van een server op afstand.

De KB5084597-update is voor Windows 11 versies 25H2 en 24H2, evenals Windows 11 Enterprise LTSC 2024-systemen. Microsoft zegt dat de kwetsbaarheden die door deze hotpatch worden verholpen, worden gevolgd als CVE-2026-25172, CVE-2026-25173 en CVE-2026-26111. Deze kwetsbaarheden zijn al verholpen als onderdeel van de Patch updates voor Tuesday van maart 2026.

Een aanvaller die is geauthenticeerd op het domein, kan deze kwetsbaarheid misbruiken door een gebruiker die lid is van het domein over te halen een verzoek te sturen naar een kwaadaardige server via de Routing and Remote Access Service (RRAS) Snap-in.

De hotpatch-update is cumulatief en bevat alle fixes en verbeteringen van de Windows-beveiligingsupdate van maart 2026 die op 10 maart is uitgebracht. Het installeren van cumulatieve updates vereist dat apparaten opnieuw worden opgestart. Sommige apparaten worden echter gebruikt voor bedrijfskritische applicaties en services die niet gemakkelijk opnieuw kunnen worden opgestart. Om deze soorten apparaten te beschermen, passen hotpatch-updates nieuwe fixes toe door in-memory patching uit te voeren op actieve processen om fixes te leveren. Tegelijkertijd worden de bestanden op de schijf bijgewerkt, zodat de fixes aanwezig blijven wanneer het apparaat opnieuw wordt opgestart.

Microsoft heeft eerder hotfixes voor deze problemen uitgebracht, maar heeft ze opnieuw uitgebracht om een uitgebreide dekking in alle getroffen scenario's te garanderen. De hotpatch wordt alleen aangeboden aan apparaten die zijn ingeschreven voor het hotpatch-updateprogramma en worden beheerd via Windows Autopatch, waar deze automatisch wordt geïnstalleerd zonder dat een herstart nodig is.

Bron: Microsoft

Google heeft een nieuwe update voor Chrome uitgebracht nadat het eerder deze week ten onrechte meldde dat een actief aangevallen kwetsbaarheid was verholpen. Op 12 maart waarschuwde Google voor twee beveiligingslekken, CVE-2026-3909 en CVE-2026-3910, die bij aanvallen tegen Chrome-gebruikers werden misbruikt. Details over de aanvallen werden niet gegeven.

De kwetsbaarheden bevinden zich in de Skia- en V8-onderdelen van de browser. Skia is de graphics engine die Chrome gebruikt voor het weergeven van tekst en afbeeldingen, terwijl V8 de JavaScript-engine is voor het uitvoeren van JavaScript. In beide onderdelen zijn in het verleden al vaker beveiligingslekken gevonden die voor updates al werden misbruikt.

De impact van beide kwetsbaarheden is door Chrome beoordeeld als 'high'. Dit betekent dat een aanvaller in het ergste geval code kan uitvoeren binnen de context van de browser, waardoor data van andere websites kan worden gelezen of aangepast en gevoelige gebruikersinformatie kan worden gestolen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Een tweede kwetsbaarheid, bijvoorbeeld in het onderliggende besturingssysteem, zou nodig zijn om een systeem volledig over te nemen.

Google meldde eerst dat beide kwetsbaarheden waren verholpen in Chrome 146.0.7680.75/76 voor Windows en macOS en Chrome 146.0.7680.75 voor Linux. Later werd dit gecorrigeerd: deze versies verhelpen alleen CVE-2026-3910. CVE-2026-3909 is nu gepatcht in Chrome 146.0.7680.80 voor Windows en macOS en Chrome 146.0.7680.80 voor Linux.

De update wordt op de meeste systemen automatisch geïnstalleerd, maar dit kan tot zestig dagen duren. Gebruikers die de update direct willen ontvangen, kunnen een handmatige controle uitvoeren. Voor Microsoft Edge, dat ook op Googles Chromium-browser is gebaseerd, is nog geen update beschikbaar.

Bron: chromereleases.googleblog.com

Microsoft heeft aangekondigd de handsfree deployment-functie in Windows Deployment Services (WDS) in twee fasen uit te schakelen. Dit volgt op de ontdekking van een kritieke remote code execution (RCE) kwetsbaarheid, aangeduid als CVE-2026-0386. De kwetsbaarheid, die voortkomt uit onjuiste toegangscontrole, stelt een niet-geauthenticeerde aanvaller op een aangrenzend netwerk in staat om gevoelige configuratiebestanden te onderscheppen en willekeurige code uit te voeren tijdens netwerkgebaseerde OS-deployments.

Windows Deployment Services is een serverrol waarmee IT-beheerders Windows-besturingssystemen op afstand via een netwerk kunnen implementeren, doorgaans met behulp van PXE (Preboot Execution Environment) boot. Een kernfunctie van deze service, handsfree deployment, is afhankelijk van een Unattend.xml-antwoordbestand om installatieschermen te automatiseren, inclusief het invoeren van inloggegevens, zonder handmatige tussenkomst van een operator. Deze functie wordt veel gebruikt in bedrijfsomgevingen om efficiënt grote aantallen machines te provisioneren.

CVE-2026-0386, gepubliceerd op 13 januari 2026, beschrijft een onjuiste toegangscontroleconditie (CWE-284) in WDS die voortkomt uit het feit dat het Unattend.xml-bestand wordt verzonden via een niet-geauthenticeerd RPC-kanaal. Omdat het antwoordbestand wordt blootgesteld via de RemoteInstall-share zonder authenticatie, kan een aanvaller die zich op hetzelfde netwerksegment bevindt het bestand onderscheppen, ingesloten inloggegevens stelen of kwaadaardige code injecteren die wordt uitgevoerd tijdens het deploymentproces.

Beveiligingsonderzoekers hebben opgemerkt dat een succesvolle exploitatie SYSTEM-level privileges kan verlenen, laterale beweging over een domein mogelijk kan maken en zelfs aanvallers in staat kan stellen om OS-deployment images te vergiftigen, waardoor dit een supply chain-risico in enterprise datacenters wordt. Microsoft bevestigde dat de kwetsbaarheid een CVSS v3.1 vector van AV:A/AC:H/PR:N/UI:N draagt met hoge impactratings op het gebied van Confidentiality, Integrity en Availability. De kwetsbaarheid treft Windows Server-versies variërend van Server 2008 tot en met Server 2025, inclusief Windows Server 2016, 2019, 2022 en versie 23H2.

Microsoft rolt mitigaties uit in twee fasen:

Fase 1 — 13 januari 2026: Handsfree deployment blijft functioneel, maar kan expliciet worden uitgeschakeld. Nieuwe Event Log-alerts en registry key-controls worden geïntroduceerd, waardoor beheerders veilig gedrag kunnen afdwingen door AllowHandsFreeFunctionality = 0 in te stellen onder HKLM\SYSTEM\CurrentControlSet\Services\WdsServer\Providers\WdsImgSrv\Unattend.

Fase 2 — April 2026: Handsfree deployment wordt standaard volledig uitgeschakeld. Beheerders die tussen januari en april 2026 geen registry configuratie hebben toegepast, zullen merken dat de functie automatisch wordt geblokkeerd na de security update van april.

Beheerders die de functie absoluut nodig hebben, kunnen deze tijdelijk opnieuw inschakelen door AllowHandsFreeFunctionality = 1 in te stellen, maar Microsoft waarschuwt expliciet dat dit geen veilige configuratie is en alleen als een kortetermijnoplossing moet worden beschouwd. Microsoft adviseert om alle WDS-configuraties onmiddellijk te controleren op Unattend.xml-gebruik, de Windows security update van 13 januari 2026 of later toe te passen, AllowHandsFreeFunctionality = 0 in te stellen om veilig gedrag af te dwingen vóór april 2026, de Event Viewer te controleren op waarschuwingen over onveilige unattend.xml-toegang en te migreren naar alternatieve deploymentmethoden zoals Microsoft Intune, Windows Autopilot of Microsoft Configuration Manager, die niet worden beïnvloed door deze kwetsbaarheid. Microsofts KB-artikel 5074952 biedt volledige guidance en registry details voor getroffen organisaties. Beheerders worden aangespoord om vóór april 2026 actie te ondernemen om verstoring van hun deployment pipelines te voorkomen.

Bron: Microsoft

Onderzoekers van Tenable hebben negen nieuwe kwetsbaarheden ontdekt in Google Looker Studio, gezamenlijk "LeakyLooker" genoemd. Deze kwetsbaarheden zouden aanvallers in staat hebben gesteld om willekeurige SQL-query's uit te voeren, gevoelige gegevens te exfiltreren en zelfs records te wijzigen of te verwijderen in Google Cloud-omgevingen, zonder dat slachtoffers expliciete toestemming hoefden te verlenen. Google heeft alle geïdentificeerde problemen verholpen na melding van Tenable.

Google Looker Studio is een cloud-gebaseerd business intelligence- en datavisualisatieplatform dat verbinding maakt met live databronnen, waaronder BigQuery, Google Sheets, Spanner, PostgreSQL, MySQL en Cloud Storage, om real-time, deelbare rapporten te genereren. Het platform is gebouwd op de Google Cloud-infrastructuur en vertrouwt op een model voor het delen van machtigingen dat vergelijkbaar is met Google Docs.

De basis van de LeakyLooker-kwetsbaarheden ligt in de manier waarop Looker Studio authenticatie afhandelt. Het platform ondersteunt twee credential-modellen: Owner Credentials, waarbij het rapport gegevens ophaalt met behulp van het authenticatietoken van de rapporteigenaar, ongeacht wie het bekijkt, en Viewer Credentials, waarbij elke kijker onafhankelijk moet authenticeren.

Tenable ontdekte dat deze twee modellen twee onafhankelijke, exploiteerbare aanvalspaden creëerden:

* 0-click aanvallen (Owner Credentials): Aanvallers maken server-side requests naar een openbaar of gedeeld rapport en activeren Looker Studio om gegevens op te halen of te manipuleren met behulp van de identiteit van de eigenaar.

* 1-click aanvallen (Viewer Credentials): Slachtoffers voeren onbewust kwaadaardige SQL-query's uit door simpelweg een gemanipuleerde rapportlink te openen of een door de aanvaller gecontroleerde website te bezoeken.

Tenable onthulde negen verschillende kwetsbaarheden die beide aanvalspaden bestrijken:

* TRA-2025-28— Zero-Click SQL Injection op Database Connectors

* TRA-2025-29— Zero-Click SQL Injection Through Stored Credentials

* TRA-2025-27— Cross-Tenant SQL Injection op BigQuery via Native Functions

* TRA-2025-40— Cross-Tenant Data Sources Leak With Hyperlinks

* TRA-2025-38— Cross-Tenant SQL Injection op Spanner en BigQuery via Custom Queries

* TRA-2025-37— Cross-Tenant SQL Injection op BigQuery en Spanner via de Linking API

* TRA-2025-30— Cross-Tenant Data Sources Leak With Image Rendering

* TRA-2025-31— Cross-Tenant XS Leak via Frame Counting and Timing Oracles

* TRA-2025-41— Cross-Tenant Denial of Wallet Through BigQuery

In de meest ernstige 0-click kwetsbaarheid (TRA-2025-28) ontdekte Tenable dat Looker Studio door de gebruiker gecontroleerde kolomaliassen genereerde die direct werden samengevoegd in live BigQuery SQL-jobs. Aanvallers omzeilden de inputfilters van Google door SQL-opmerkingen (/**/) te gebruiken als whitespace-vervangingen en CHR(46) met CONCAT() om dot-notated projectpaden te reconstrueren tijdens de query-uitvoering.

Een van de meest alarmerende bevindingen was de "Sticky Credential" flaw (TRA-2025-29) in de "Copy Report" functie van Looker Studio. Wanneer een kijker een rapport kopieert dat is verbonden met een JDBC-databron, zoals PostgreSQL of MySQL, behoudt het nieuwe rapport de opgeslagen database-credentials van de originele eigenaar.

Voor het 1-click pad (TRA-2025-27) exploiteerden onderzoekers de NATIVE_DIMENSION functie van Looker Studio, die raw SQL-injectie in berekende velden mogelijk maakt. Aanvallers omzeilden het keyword-filter van Google door verboden SQL-keywords te splitsen met lege opmerkingen (e.g.,SEL/**/ECT).

Er is geen bewijs dat deze kwetsbaarheden in het wild zijn misbruikt. Omdat Looker Studio een volledig beheerde Google-service is, zijn patches wereldwijd uitgerold. Security teams wordt aangeraden alle gebruikers met "View" toegang tot Looker Studio rapporten te auditen, BI platform connectors als een kritiek onderdeel van het aanvalsoppervlak te behandelen, de toegang voor databronconnectoren die niet meer actief in gebruik zijn in te trekken en Google’s handleiding te volgen om de toegang van Looker Studio tot verbonden Google services te beoordelen en te beperken.

CyberSecurityNews: https://cybersecuritynews.com/google-looker-studio-vulnerabilities/

Bron: Tenable

Companies House, de Britse overheidsinstantie die het register van alle Britse bedrijven beheert, heeft bevestigd dat een beveiligingslek in de WebFiling-service bedrijfsgegevens heeft blootgelegd. De dienst was sinds vrijdag offline om het probleem te verhelpen. Het lek bestond sinds oktober 2025.

Dan Neidle, oprichter van de non-profitorganisatie Tax Policy Associates, meldde de kwetsbaarheid aan Companies House nadat John Hewitt van Ghost Mail, die het lek ontdekte, geen antwoord had ontvangen. Volgens Neidle was het mogelijk om, na in te loggen op Companies House en naar het eigen bedrijfsdashboard te gaan, te kiezen voor "file for another company" en het bedrijfsnummer in te voeren van een van de vijf miljoen geregistreerde bedrijven. Vervolgens werd om een authenticatiecode gevraagd, maar door terug te keren naar het dashboard kwam men terecht in het dashboard van het andere bedrijf.

Het lek heeft vijf maanden lang de gegevens van vijf miljoen geregistreerde bedrijven blootgelegd, waaronder de woon- en e-mailadressen van het management. Companies House bevestigde de kwetsbaarheid op maandag nadat de filing service weer online was gebracht en verklaarde dat het probleem was ontstaan toen de WebFiling-systemen in oktober 2025 werden bijgewerkt.

Volgens de instantie kon het lek alleen worden misbruikt door ingelogde gebruikers en konden ze "sommige elementen van de gegevens van een ander bedrijf wijzigen zonder hun toestemming". Het beveiligingsprobleem kon echter alleen worden gebruikt om gegevens te stelen en toegang te krijgen tot bedrijfsgegevens, één vermelding tegelijk.

Companies House meldde dat specifieke gegevens van individuele bedrijven die normaal niet openbaar zijn, mogelijk zichtbaar waren voor andere ingelogde WebFiling-gebruikers. Dit omvat geboortedata, woonadressen en e-mailadressen van bedrijven. Het was mogelijk om ongeautoriseerde aanvragen in te dienen, zoals jaarrekeningen of wijzigingen van bestuurders, in de administratie van een ander bedrijf. Er zijn geen gebruikerswachtwoorden gecompromitteerd en er is geen toegang geweest tot gegevens die worden gebruikt tijdens het identiteitsverificatieproces, zoals paspoortgegevens. Bestaande ingediende documenten, zoals jaarrekeningen, konden niet worden gewijzigd.

De instantie heeft het incident gemeld aan het U.K. Information Commissioner's Office (ICO) en het National Cyber Security Centre (NCSC) en onderzoekt of de kwetsbaarheid is misbruikt om toegang te krijgen tot de gegevens van een bedrijf of deze te wijzigen. Er zijn nog geen meldingen van ongeautoriseerde toegang tot of wijziging van gegevens. Het onderzoek is nog gaande.

Bron: Companies House | Bron 2: gov.uk | Bron 3: taxpolicy.org.uk

Cybersecurity onderzoekers van Phantom Labs, de research tak van identity security firma BeyondTrust, hebben een kwetsbaarheid ontdekt in de AWS Bedrock AgentCore Code Interpreter. Deze kwetsbaarheid kan aanvallers in staat stellen om gevoelige bedrijfsdata te stelen. AWS Bedrock is een platform voor het bouwen van AI-applicaties, terwijl de AgentCore Code Interpreter chatbots in staat stelt code te schrijven en uit te voeren voor taken zoals data-analyse en berekeningen.

AWS gebruikt een Sandbox-modus om deze systemen te beveiligen, die de code van de AI blokkeert van contact met de buitenwereld. Onderzoeker Kinnaird McQuade ontdekte echter dat de sandbox nog steeds DNS-queries toestaat, met name A- en AAAA-records. Kwaadwillenden kunnen gestolen data of geheime commando's verstoppen in deze DNS-verzoeken, waardoor een tweeweg communicatie met de afgesloten AI mogelijk is en de beveiligingsmuren van AWS worden omzeild.

Phantom Labs informeerde AWS in september 2025 over de kwetsbaarheid. In november bracht AWS een fix uit, maar deze werd twee weken later teruggetrokken vanwege technische problemen. In december besloot AWS om geen nieuwe fix te ontwikkelen, maar in plaats daarvan de handleidingen bij te werken om klanten te waarschuwen voor het risico. De kwetsbaarheid kreeg een risico score van 7.5 op 10.

Security experts waarschuwen dat hackers geen directe toegang nodig hebben om deze kwetsbaarheid te misbruiken. Chatbots kunnen worden gemanipuleerd via prompt injectie, waarbij misleidende zinnen de AI verleiden om kwaadaardige code uit te voeren, of via supply chain aanvallen. De Code Interpreter vertrouwt op meer dan 270 third-party building blocks, waardoor een gecompromitteerd package een backdoor kan creëren.

AI-gegenereerde code kan instructies bevatten die veilig lijken, maar in werkelijkheid data stelen. Deze tools hebben vaak brede toegang tot Amazon S3 storage en Secrets Manager, waar private bestanden en wachtwoorden worden opgeslagen. Een aanvaller kan de DNS-lek gebruiken om gevoelige data uit het netwerk te "fluisteren", wat kan leiden tot datalekken van klant informatie of zelfs het verwijderen van de infrastructuur van een bedrijf. AWS adviseert om over te schakelen naar VPC-modus voor betere controle en ervoor te zorgen dat AI tools werken met minimale permissies.

Ram Varadarajan, CEO van Acalvio, stelt dat de sandbox isolatie van AWS Bedrock faalde op het meest fundamentele niveau, DNS. Jason Soroko, Senior Fellow bij Sectigo, benadrukt dat organisaties moeten begrijpen dat de Sandbox-netwerkmodus geen volledige isolatie biedt. Hij adviseert beheerders om alle actieve AgentCore Code Interpreter instanties te inventariseren en kritieke data direct te migreren van Sandbox-modus naar VPC-modus, en om IAM-rollen te auditen om het principe van minimale privileges te handhaven.

Bron: BeyondTrust | Bron 2: docs.aws.amazon.com

De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft een dringende waarschuwing afgegeven voor twee kritieke zeroday kwetsbaarheden in Google Chrome en gerelateerde producten. Deze kwetsbaarheden zijn toegevoegd aan CISA’s Known Exploited Vulnerabilities (KEV) catalogus, wat aangeeft dat cybercriminelen ze actief misbruiken.

De kwetsbaarheden betreffen de Chromium engine, met name:

*   CVE-2026-3909: Een out-of-bounds write kwetsbaarheid in Google Skia, de 2D graphics library gebruikt door Chrome. Een aanvaller kan een gebruiker verleiden een speciaal geprepareerde HTML-pagina te bezoeken, waardoor de aanvaller toegang krijgt tot out-of-bounds geheugen.

*   CVE-2026-3910: Een improper restriction kwetsbaarheid in Google Chromium V8, de JavaScript engine van Chromium. Net als bij de Skia kwetsbaarheid kan een aanvaller een malafide HTML-pagina gebruiken om de kwetsbaarheid te triggeren, waardoor mogelijk willekeurige code kan worden uitgevoerd binnen een beperkte sandbox omgeving.

CISA meldt dat actief gebruik van ransomware nog niet is bevestigd, maar dat de kwetsbaarheden het uitvoeren van code en toegang tot geheugen mogelijk maken, wat ze waardevol maakt voor cybercriminelen en statelijke actoren. Deze kunnen de kwetsbaarheden gebruiken om malware te verspreiden of gevoelige data te stelen.

CISA heeft alle federale overheidsinstanties verplicht om deze kwetsbaarheden vóór 27 maart 2026 te patchen. Hoewel deze richtlijn direct van toepassing is op overheidsinstanties, wordt particuliere organisaties en individuele gebruikers aangeraden deze termijn als een kritieke prioriteit te beschouwen.

Om systemen te beschermen tegen deze zeroday aanvallen, worden de volgende maatregelen aanbevolen:

*   Update Google Chrome onmiddellijk naar de nieuwste beschikbare versie.

*   Zorg ervoor dat andere Chromium-gebaseerde browsers, zoals Microsoft Edge en Opera, volledig up-to-date zijn.

*   Pas de nieuwste security patches toe voor Android apparaten, ChromeOS en Flutter applicaties.

*   Volg de toepasselijke CISA BOD 22-01 richtlijnen als de organisatie gebruik maakt van cloud services die verbonden zijn met deze kwetsbare producten.

*   Stop volledig met het gebruik van de betreffende producten als het niet mogelijk is om de door de leverancier geleverde security patches toe te passen.

Bron: CISA

Onderzoekers hebben een aanzienlijk beveiligingslek ontdekt in de "Sandbox" netwerkmodus van AWS Bedrock AgentCore Code Interpreter. Deze functie, die door AWS wordt aangeprezen als een manier om volledige netwerkisolatie te bieden, staat uitgaande DNS queries toe, waardoor dreigingsactoren geheime command-and-control (C2)-kanalen kunnen opzetten en gevoelige gegevens kunnen exfiltreren.

AWS Bedrock AgentCore Code Interpreter is een beheerde service waarmee AI agents en chatbots Python-, JavaScript- en shellcode kunnen uitvoeren namens gebruikers, vergelijkbaar met de manier waarop de code-interpreter van ChatGPT geüploade bestanden verwerkt en analytische resultaten retourneert. De service biedt drie netwerkmodi: Public, VPC en Sandbox. Sandbox werd oorspronkelijk door AWS gedocumenteerd als "volledige isolatie zonder externe toegang".

BeyondTrust Phantom Labs onderzoekers ontdekten echter een kritieke tekortkoming in die garantie. Ondanks dat de Sandbox modus algemeen internetverkeer blokkeert, mochten DNS A- en AAAA-record queries de sandbox vrijelijk verlaten. De onderzoekers bevestigden dit gedrag met behulp van Interactsh, een out-of-band testserver, die DNS queries ontving van binnen de sandboxed Code Interpreter, ook al was de instantie geconfigureerd zonder netwerktoegang. Dit ene verzuim maakte het gehele isolatiemodel ondoeltreffend.

Om de ernst van de bypass aan te tonen, ontwikkelde Phantom Labs een volledig functioneel bidirectioneel DNS C2 protocol. Commando's werden aan de sandboxed interpreter geleverd via DNS A-record responses, waarbij elk IP adresoctet ASCII tekens van base64-gecodeerde commando chunks codeerde. De output exfiltratie verliep in omgekeerde richting, waarbij de Code Interpreter base64-gecodeerde commando resultaten insloot in DNS subdomein queries tot 60 tekens per DNS label, die werden vastgelegd door een door de aanvaller gecontroleerde EC2-instantie die als nameserver fungeerde. Dit gaf de onderzoekers een volledig interactieve reverse shell die volledig via DNS opereerde, waarmee de netwerkisolatie die de Sandbox modus beloofde volledig werd omzeild.

Het gevaar van de aanval wordt nog groter omdat Code Interpreter instanties werken met een toegewezen IAM rol. De onderzoekers demonstreerden dat ze via de DNS shell AWS CLI commando's konden uitvoeren met behulp van de IAM credentials van de interpreter om S3-buckets op te sommen en gevoelige bestanden op te halen, waaronder klant PII, API credentials en financiële records, die allemaal stilletjes via DNS werden geëxfiltreerd. De standaard IAM rol van de AgentCore Starter Toolkit, zoals gedocumenteerd in de open-source repository van AWS, verleent verregaande permissies, waaronder volledige S3-lees toegang, volledige DynamoDB toegang en onbeperkte Secrets Manager toegang, wat een ernstige schending is van het principe van de minste privileges.

BeyondTrust meldde de kwetsbaarheid op 1 september 2025 aan AWS via HackerOne (Rapport #3323153), waarbij aanvankelijk een CVSSv3 van 8.1 werd gescoord, later herzien naar 7.5. AWS reproduceerde en erkende het probleem, implementeerde een eerste fix op 1 november 2025, maar rolde deze vervolgens terug. Op 23 december 2025 deelde AWS mee dat er geen permanente fix zou worden uitgebracht, maar dat de documentatie zou worden bijgewerkt om te verduidelijken dat de Sandbox modus DNS resolutie toestaat en adviseerde klanten om naar de VPC modus te migreren voor echte isolatie. AWS beloonde de rapporterende onderzoeker met een AWS Gear Shop cadeaubon van $100. Openbaarmaking vond plaats op 16 maart 2026.

Bron: BeyondTrust

Een path traversal kwetsbaarheid in de Kubernetes Container Storage Interface (CSI) Driver voor NFS stelt aanvallers in staat om onbedoeld directories op NFS servers te verwijderen of aan te passen. Het probleem komt voort uit onvoldoende validatie van de `subDir` parameter in volume identifiers. Dit brengt clusters in gevaar die gebruikers toestaan PersistentVolumes te creëren die verwijzen naar de NFS CSI driver.

De kwetsbaarheid zit in de manier waarop de CSI Driver voor NFS de `subDir` parameter behandelt tijdens volume operaties. Aanvallers met de juiste rechten kunnen PersistentVolumes creëren die verwijzen naar de `nfs.csi.k8s.io` driver, en zo volume identifiers manipuleren met path traversal sequences (`../`). Wanneer de driver volume verwijderingen of opschoonacties uitvoert, kan deze opereren op directories buiten het beoogde beheerde pad binnen de NFS export.

Een kwaadwillige `volumeHandle` entry die verwijst naar paden zoals `/tmp/mount-uuid/legitimate/../../../exports/subdir` kan de CSI controller misleiden om buiten de beoogde directory scope te treden. Dit kan leiden tot onbedoelde aanpassingen of verwijderingen op de NFS server.

Organisaties lopen risico als ze aan de volgende voorwaarden voldoen, de CSI Driver voor NFS (`nfs.csi.k8s.io`) draait in hun Kubernetes cluster, hun cluster staat niet-administrator gebruikers toe PersistentVolumes te creëren die verwijzen naar de NFS CSI driver, en hun geïmplementeerde CSI driver versie valideert geen traversal sequences in het `subDir` veld.

Alle versies van de CSI Driver voor NFS vóór v4.13.1 zijn getroffen door deze kwetsbaarheid. De fix voor de traversal validatie is geïntroduceerd in versie v4.13.1.

Administrators kunnen controleren of hun cluster is blootgesteld door PersistentVolumes te inspecteren die de NFS CSI driver gebruiken en de `volumeHandle` velden te controleren op traversal sequences zoals `../`. CSI controller logs moeten worden gecontroleerd op onverwachte directory operaties. Log entries die lijken op `"Removing subPath: /tmp/mount-uuid/legitimate/../../../exports/subdir"` zijn een sterke indicatie van misbruik. Clusters die bewijs van actieve exploitatie vertonen, moeten onmiddellijk worden gemeld aan `security@kubernetes.io`.

De belangrijkste maatregel is het upgraden van de CSI Driver voor NFS naar versie v4.13.1 of later, die de juiste validatie van traversal sequences in het `subDir` veld bevat. Als interim maatregelen moeten administrators de rechten voor het creëren van PersistentVolume beperken tot vertrouwde gebruikers en NFS exports auditen om te bevestigen dat alleen beoogde directories beschrijfbaar zijn door de driver. Als bredere security best practice mogen niet-vertrouwde gebruikers nooit toestemming krijgen om willekeurige PersistentVolumes te creëren die verwijzen naar externe storage drivers.

De kwetsbaarheid is verantwoordelijk gemeld door Shaul Ben Hai, Senior Staff Security Researcher bij SentinelOne. De fix is ontwikkeld en geïmplementeerd door de CSI Driver voor NFS maintainers Andy Zhang en Rita Zhang, in coördinatie met het Kubernetes Security Response Committee.

Bron: Kubernetes | Bron 2: github.com

In het Angular framework is een ernstige Cross-Site Scripting (XSS) kwetsbaarheid ontdekt, aangeduid als CVE-2026-32635 en gecategoriseerd onder CWE-79. De kwetsbaarheid bevindt zich in de @angular/compiler en @angular/core packages. Omdat Angular gebruikt wordt in talloze enterprise- en consumentenwebapplicaties, vormt deze kwetsbaarheid een groot potentieel aanvalsoppervlak voor kwaadwillenden.

De kwetsbaarheid ontstaat doordat Angular de internationalisatie (i18n) voor veiligheidskritische HTML attributen niet correct afhandelt. Angular beschikt standaard over een robuust ingebouwd sanitisatiemechanisme dat automatisch kwaadaardige input sanitiseert om code-injectie te voorkomen. Echter, beveiligingsonderzoekers hebben ontdekt dat deze bescherming omzeild wordt wanneer een applicatie internationalisatie inschakelt voor een gevoelig attribuut.

Het toevoegen van `i18n-href` aan een ankertag instrueert het framework bijvoorbeeld om het attribuut voor vertaling af te handelen. Als een ontwikkelaar tegelijkertijd niet-vertrouwde, door gebruikers gegenereerde data aan dat gelokaliseerde attribuut bindt, kan een aanvaller kwaadaardige scripts injecteren. De i18n-binding zorgt er onbedoeld voor dat het framework zijn standaard beveiligingscontroles overslaat. Veelgebruikte attributen die kwetsbaar zijn voor deze bypass zijn onder meer `href`, `src`, `action`, `formaction` en `data`.

Voor een succesvolle exploitatie van deze kwetsbaarheid moeten specifieke voorwaarden aanwezig zijn, de doelapplicatie moet een kwetsbare versie van Angular draaien en niet-geschoonde gebruikersinvoer binden aan een gevoelig attribuut, waarbij die waarde gemarkeerd is voor internationalisatie met de `i18n-` syntax op hetzelfde element. Zodra aan deze voorwaarden is voldaan, kan een aanvaller willekeurige JavaScript code uitvoeren binnen de context van de kwetsbare applicatie.

Dit niveau van toegang kan leiden tot ernstige gevolgen, sessiekaping (het stelen van sessiecookies en authenticatietokens), data exfiltratie (het stilletjes vastleggen en verzenden van gevoelige gebruikersdata naar externe command-and-control servers), en ongeautoriseerde acties (het forceren van de applicatie om administratieve of destructieve acties uit te voeren namens de gebruiker).

Het Angular development team heeft beveiligingsupdates uitgebracht voor meerdere release tracks. Oudere versies zijn echter nog steeds kwetsbaar zonder officiële patch. De @angular/compiler en @angular/core packages zijn kwetsbaar in versies 22.0.0-next.0 tot en met 22.0.0-next.3 (gepatcht in 22.0.0-next.3), versies 21.0.0-next.0 tot en met 21.2.4 (fix beschikbaar in 21.2.4), versies 20.0.0-next.0 tot en met 20.3.18 (gepatcht in 20.3.18) en versies 19.0.0-next.0 tot en met 19.2.20 (fix in 19.2.20). Versies 17.0.0-next.0 tot en met 18.2.14 zijn kwetsbaar en er is nog geen patch beschikbaar.

De meest effectieve manier om de infrastructuur te beveiligen, is door de Angular applicatie te updaten naar een gepatchte versie. Als een onmiddellijke upgrade geen optie is, moeten ontwikkelingsteams ervoor zorgen dat data die gebonden is aan kwetsbare attributen nooit afkomstig is van niet-vertrouwde bronnen, zoals database queries, API responses of URL parameters. Als alternatief kunnen ontwikkelaars handmatig de beveiliging afdwingen door inputs door Angular's DomSanitizer te halen om de geïnjecteerde scripts te neutraliseren.

Bron: Angular | Bron 2: github.com

Een ernstige kwetsbaarheid in standaardinstallaties van Ubuntu Desktop versie 24.04 en later maakt het mogelijk om privileges te escaleren naar root-niveau. De kwetsbaarheid, geregistreerd als CVE-2026-3888 met een CVSS-score van 7.8, kan een aanvaller in staat stellen de controle over een kwetsbaar systeem over te nemen.

De Qualys Threat Research Unit (TRU) meldt dat de kwetsbaarheid (CVE-2026-3888) een lokale aanvaller zonder privileges in staat stelt om privileges te escaleren naar volledige root-toegang. Dit gebeurt door de interactie van twee standaard systeemcomponenten: snap-confine en systemd-tmpfiles. Hoewel de exploit een specifiek tijdvenster vereist (10-30 dagen), is de impact een volledige compromittering van het host-systeem.

Het probleem ligt in de onbedoelde interactie van snap-confine, dat de uitvoeringsomgevingen voor snap-applicaties beheert door een sandbox te creëren, en systemd-tmpfiles, dat automatisch tijdelijke bestanden en mappen opschoont (bijvoorbeeld /tmp, /run en /var/tmp) die ouder zijn dan een bepaalde drempelwaarde.

De kwetsbaarheid is verholpen in de volgende versies:

* Ubuntu 24.04 LTS - snapd versies vóór 2.73+ubuntu24.04.1

* Ubuntu 25.10 LTS - snapd versies vóór 2.73+ubuntu25.10.1

* Ubuntu 26.04 LTS (Dev) - snapd versies vóór 2.74.1+ubuntu26.04.1

* Upstream snapd - versies vóór 2.75

De aanval vereist lage privileges en geen gebruikersinteractie, hoewel de complexiteit hoog is vanwege het tijdvertragingsmechanisme in de exploit chain. Standaard is systemd-tmpfiles gepland om verouderde data in /tmp te verwijderen. Een aanvaller kan dit exploiteren door de timing van deze opschooncycli te manipuleren.

De aanval verloopt als volgt: de aanvaller moet wachten tot de cleanup daemon van het systeem een kritieke directory (/tmp/.snap) verwijdert die vereist is door snap-confine. De standaardperiode is 30 dagen in Ubuntu 24.04 en 10 dagen in latere versies. Zodra de directory is verwijderd, maakt de aanvaller de directory opnieuw met kwaadaardige payloads. Tijdens de volgende sandbox-initialisatie mount snap-confine deze bestanden als root, waardoor de uitvoering van willekeurige code binnen de geprivilegieerde context mogelijk is.

Qualys ontdekte ook een race condition flaw in het uutils coreutils package waarmee een lokale aanvaller zonder privileges directory-entries kan vervangen door symbolic links (symlinks) tijdens root-owned cron executions. Succesvolle exploitatie kan leiden tot willekeurige bestandsverwijdering als root of verdere privilege-escalatie door het richten op snap sandbox directories. De kwetsbaarheid werd gerapporteerd en verholpen voorafgaand aan de publieke release van Ubuntu 25.10. Het standaard rm commando in Ubuntu 25.10 werd teruggezet naar GNU coreutils om dit risico onmiddellijk te beperken. Upstream fixes zijn sindsdien toegepast op de uutils repository.

Bron: Qualys | Bron 2: thn.news

Apple heeft een 'background security improvement' uitgebracht voor iOS, iPadOS en macOS om een kwetsbaarheid in WebKit te verhelpen. Deze verbeteringen worden tussen de reguliere software-updates door uitgerold om gebruikers extra te beschermen. Ze zijn vooral bedoeld voor onderdelen zoals de Safari-browser, het Webkit framework en andere systeem libraries, waarvoor kleinere security patches beter geschikt zijn dan wachten op een nieuwe software-update.

De nu uitgebrachte background security improvement voor iOS 26.3.1, iPadOS 26.3.1, macOS 26.3.1 en macOS 26.3.2 verhelpt een kwetsbaarheid (CVE-2026-20643) in WebKit, de browser-engine van Apple. Alle browsers op iOS en iPadOS zijn verplicht om van WebKit gebruik te maken. Het beveiligingslek zorgt ervoor dat bij het verwerken van malafide webcontent de Same Origin Policy kan worden omzeild. Deze beveiligingsmaatregel van de browser moet voorkomen dat malafide websites toegang krijgen tot informatie op andere domeinen.

Apple heeft het probleem naar eigen zeggen opgelost door middel van verbeterde 'input validation'. Background security improvements worden standaard automatisch geïnstalleerd, maar gebruikers kunnen dit zelf uitschakelen. Na installatie van de patch wordt de OS-versie aangepast naar iOS 26.3.1 (a), iPadOS 26.3.1 (a), macOS 26.3.1 (a) en macOS 26.3.2 (a).

Bron: Apple

Een kritieke SQL-injectie kwetsbaarheid is ontdekt in Fortinet's FortiClient Endpoint Management Server (EMS), aangeduid als CVE-2026-21643 met een CVSS-score van 9.1. Deze ernstige fout stelt niet-geauthenticeerde aanvallers in staat om willekeurige SQL-opdrachten uit te voeren en toegang te krijgen tot gevoelige database-informatie.

Het probleem treft specifiek FortiClient EMS versie 7.4.4 wanneer de multi-tenant modus actief is. De oorzaak ligt in een refactoring van de middleware in versie 7.4.4, waarbij ontwikkelaars de manier hebben gewijzigd waarop de applicatie databaseverbindingen en tenant-routing afhandelt. Tijdens deze update is er een fout geïntroduceerd in het database-verbindingsbestand dat de HTTP Site header rechtstreeks doorgeeft aan een PostgreSQL search_path query. Omdat de applicatie middleware deze header niet valideert of opschoont, kunnen aanvallers de beoogde format string omzeilen en hun eigen kwaadaardige database queries uitvoeren.

Deze kwetsbare middleware draait voordat er authenticatiecontroles plaatsvinden, waardoor het misbruiken van deze zwakte geen geldige inloggegevens vereist. Hackers kunnen een speciaal ontworpen webverzoek via HTTPS naar de server sturen. Onderzoekers van Bishop Fox ontdekten dat het publiek toegankelijke /api/v1/init_consts endpoint de meest praktische aanvalsvector is. Aanvallers kunnen dit endpoint gebruiken om te bevestigen of de multi-tenant vlag actief is. Als de modus is ingeschakeld, kunnen ze SQL payloads injecteren via de Site header.

Dit specifieke endpoint mist rate limiting en brute-force lockout beschermingen. Belangrijker is dat het direct PostgreSQL database foutmeldingen teruggeeft in de HTTP response body. Dit ontwerp maakt het voor aanvallers mogelijk om snel verborgen data te extraheren met behulp van error-based extractiemethoden in slechts één verzoek, waardoor de noodzaak voor langzamere time-based injectie wordt omzeild.

Een succesvolle aanval resulteert in totale compromittering van de management database. Omdat de database gebruiker in de Fortinet virtual machine draait met PostgreSQL superuser privileges, kunnen aanvallers remote code execution bereiken op het onderliggende host besturingssysteem. Ze kunnen ook administrator wachtwoorden stelen, digitale certificaten extraheren en de complete inventaris van beheerde apparaten bekijken. Dit toegangsniveau stelt dreigingsactoren in staat om beveiligingsbeleid te wijzigen en kwaadaardige configuraties te pushen over het gehele netwerk van endpoints van een organisatie.

Indicators of compromise zijn onder meer ongewoon lange response tijden (5-20+ seconden) op /api/v1/auth/signin of /api/v1/init_consts, zoals vastgelegd in Apache access logs. Een andere indicator is herhaalde HTTP 500 responses van een enkel IP-adres op het /api/v1/init_consts endpoint. Daarnaast zouden beheerders PostgreSQL error logs moeten monitoren op database search_path statements die single quotes, semicolons of SQL keywords zoals SELECT bevatten.

Fortinet heeft dit kritieke probleem aangepakt in versie 7.4.5 door format-string interpolatie te vervangen door geparameteriseerde identifier handling en het veilig escapen van input. Organisaties die FortiClient EMS 7.4.4 gebruiken, wordt aangeraden om onmiddellijk te upgraden naar versie 7.4.5 om het risico te beperken. Bishop Fox adviseert dat teams die de patch niet direct kunnen toepassen, de multi-tenant "Sites" functie moeten uitschakelen, omdat dit voorkomt dat het kwetsbare code pad wordt uitgevoerd. Daarnaast zouden beheerders web toegang tot de EMS management interface moeten beperken tot vertrouwde interne netwerken.

Bron: Fortinet

Cybersecurity-onderzoekers hebben een kritieke kwetsbaarheid ontdekt in de GNU InetUtils telnet daemon (telnetd). Deze kwetsbaarheid, aangeduid als CVE-2026-32746, maakt het voor een ongeauthenticeerde externe aanvaller mogelijk om willekeurige code uit te voeren met verhoogde privileges. De kwetsbaarheid heeft een CVSS-score van 9.8 op 10.0.

De kwetsbaarheid is een out-of-bounds write in de LINEMODE Set Local Characters (SLC) suboption handler, wat resulteert in een buffer overflow en uiteindelijk de weg vrijmaakt voor code-executie. Het Israëlische cybersecuritybedrijf Dream, dat de kwetsbaarheid op 11 maart 2026 ontdekte en rapporteerde, stelt dat alle versies van de Telnet-service-implementatie tot en met 2.7 zijn getroffen. Een fix wordt verwacht op 1 april 2026.

Volgens Dream kan een ongeauthenticeerde externe aanvaller de kwetsbaarheid misbruiken door een speciaal ontworpen bericht te verzenden tijdens de initiële verbindingshandshake, voordat er een login prompt verschijnt. Succesvolle exploitatie kan leiden tot remote code execution als root. Een enkele netwerkverbinding met poort 23 is voldoende om de kwetsbaarheid te triggeren. Er zijn geen credentials, geen gebruikersinteractie en geen speciale netwerkpositie vereist.

De SLC handler verwerkt optie-onderhandeling tijdens de Telnet protocol handshake. Omdat de kwetsbaarheid kan worden getriggerd vóór authenticatie, kan een aanvaller deze direct na het tot stand brengen van een verbinding misbruiken door speciaal ontworpen protocolberichten te verzenden. Succesvolle exploitatie kan leiden tot volledige systeemcompromittering als telnetd met root privileges draait. Dit kan op zijn beurt de deur openen naar diverse post-exploitatie acties, waaronder de implementatie van persistente backdoors, data exfiltratie en laterale beweging door de gecompromitteerde hosts als pivot points te gebruiken.

Dream security researcher Adiel Sol legt uit dat een ongeauthenticeerde aanvaller de kwetsbaarheid kan triggeren door verbinding te maken met poort 23 en een crafted SLC suboption met veel triplets te verzenden. Er is geen login vereist; de bug wordt geraakt tijdens optie-onderhandeling, vóór de login prompt. De overflow corrumpeert het geheugen en kan worden omgezet in arbitrary writes, wat kan leiden tot remote code execution. Omdat telnetd meestal als root draait, zou een succesvolle exploit de aanvaller volledige controle over het systeem geven.

In de afwezigheid van een fix wordt geadviseerd om de service uit te schakelen als deze niet nodig is, telnetd zonder root privileges te draaien waar nodig, poort 23 te blokkeren op het netwerkperimeter en host-based firewall niveau om de toegang te beperken, en Telnet-toegang te isoleren.

Deze onthulling komt bijna twee maanden nadat een andere kritieke kwetsbaarheid werd onthuld in GNU InetUtils telnetd (CVE-2026-24061, CVSS score: 9.8) die kon worden gebruikt om root-toegang te krijgen tot een doelsysteem. Volgens het U.S. Cybersecurity and Infrastructure Security Agency wordt de kwetsbaarheid actief misbruikt.

Bron: Dream | Bron 2: nvd.nist.gov | Bron 3: thn.news

ConnectWise waarschuwt ScreenConnect-klanten voor een kwetsbaarheid in de cryptografische handtekeningverificatie, die kan leiden tot ongeautoriseerde toegang en privilegeverhoging. De kwetsbaarheid treft ScreenConnect-versies vóór 26.1 en wordt gevolgd als CVE-2026-3564 met een kritieke score.

ScreenConnect is een platform voor toegang op afstand, dat vaak wordt gebruikt door managed service providers (MSP's), IT-afdelingen en supportteams. Het platform kan door ConnectWise in de cloud worden gehost, of on-premises op de server van de klant. Een aanvaller kan misbruik maken van dit beveiligingsprobleem om de ASP.NET machine keys te extraheren en te gebruiken voor ongeautoriseerde sessie-authenticatie.

Volgens de leverancier kan een dreigingsactor, indien de machine key material voor een ScreenConnect-instance wordt onthuld, beschermde waarden genereren of wijzigen op manieren die door de instance als geldig worden geaccepteerd. Dit kan resulteren in ongeautoriseerde toegang en acties binnen ScreenConnect.

ConnectWise heeft dit probleem verholpen door sterkere bescherming toe te voegen voor machine keys, waaronder versleutelde opslag en verbeterde verwerking vanaf ScreenConnect versie 26.1. Cloud-gebruikers zijn automatisch gemigreerd naar de veilige versie. Systeembeheerders die on-premises implementaties beheren, moeten zo snel mogelijk upgraden naar versie 26.1.

ConnectWise heeft waargenomen dat er in het wild pogingen zijn gedaan om misbruik te maken van bekendgemaakt ASP.NET machine key materiaal. Het risico van CVE-2026-3564 is dus reëel. ConnectWise heeft aan BleepingComputer laten weten geen bewijs te hebben van actieve exploitatie in het wild en heeft daarom geen indicators of compromise (IoCs) om te delen.

Er zijn claims dat de kwetsbaarheid al jaren actief wordt misbruikt door Chinese hackers, maar het is onduidelijk of dezelfde kwetsbaarheid werd gebruikt. In het verleden zijn er aanvallen geweest van hackers in dienst van een staat die CVE-2025-3935 exploiteerden om de geheime machine keys te stelen die door een ScreenConnect-server worden gebruikt.

Naast het upgraden naar ScreenConnect versie 26.1, adviseert de softwareleverancier ook om de toegang tot configuratiebestanden en geheimen aan te scherpen, logs te controleren op ongebruikelijke authenticatie-activiteit, back-ups en oude data snapshots te beschermen en extensies up-to-date te houden.

Bron: ConnectWise | Bron 2: nvd.nist.gov | Bron 3: hubs.li

Volgens een threat intelligence alert van Int. Cyber Digest is er een kwetsbaarheid ontdekt met de code CVE-2026-22558. Deze kwetsbaarheid heeft een CVSS-score van 7.7. Het betreft een NoSQL injectie die privilege escalation mogelijk maakt, waarbij authenticatie vereist is. Het advies is om de betreffende software onmiddellijk te patchen. De alert verwijst naar community.ui.com/releases/Sec... voor meer informatie.

Bron: Int. Cyber Digest

Cybercrimeinfo heeft een melding ontvangen over een kritieke kwetsbaarheid in de Ubiquiti UniFi Network Application. Het lek, aangeduid als CVE-2026-22557, heeft een CVSS-score van 10.0, wat de ernst ervan onderstreept. De kwetsbaarheid betreft een "remote path traversal", waardoor een aanvaller op afstand toegang kan krijgen tot bestanden en deze kan manipuleren. Dit kan leiden tot het overnemen van accounts, zonder dat authenticatie vereist is.

Bron: Ubiquiti

CISA voegt kwetsbaarheid in Zimbra Collaboration Suite toe aan KEV-catalogus De Cybersecurity and Infrastructure Security Agency (CISA) heeft CVE-2025-66376 toegevoegd aan de Known Exploited Vulnerabilities (KEV) catalogus. Het gaat om een cross-site scripting (XSS) kwetsbaarheid in Synacor Zimbra Collaboration Suite (ZCS). CISA baseert deze toevoeging op het bewijs dat de kwetsbaarheid actief wordt misbruikt. Binding Operational Directive (BOD) 22-01 verplicht federale civiele uitvoerende tak agentschappen (FCEB) om geïdentificeerde kwetsbaarheden te herstellen voor de gestelde deadline, om zo de FCEB-netwerken te beschermen tegen actieve dreigingen. Hoewel BOD 22-01 alleen van toepassing is op FCEB-agentschappen, adviseert CISA alle organisaties om hun blootstelling aan cyberaanvallen te verminderen door tijdige herstel van kwetsbaarheden uit de KEV-catalogus te prioriteren als onderdeel van hun vulnerability management praktijk. CISA zal kwetsbaarheden blijven toevoegen aan de catalogus die voldoen aan de gestelde criteria. Bron CISA Alerts: https://www.cisa.gov/news-events/alerts/2026/03/18/cisa-adds-one-known-exploited-vulnerability-catalog

CISA voegt kwetsbaarheid in Microsoft SharePoint toe aan KEV-catalogus De Cybersecurity and Infrastructure Security Agency (CISA) heeft een nieuwe kwetsbaarheid toegevoegd aan de Known Exploited Vulnerabilities (KEV) catalogus, op basis van bewijs van actieve exploitatie. Het gaat om: CVE-2026-20963, een deserialisatie kwetsbaarheid in Microsoft SharePoint. Dit type kwetsbaarheid wordt vaak gebruikt door kwaadwillende cyberactoren en vormt een aanzienlijk risico. Binding Operational Directive (BOD) 22-01 stelt de KEV-catalogus vast als een actuele lijst van bekende Common Vulnerabilities and Exposures (CVE's) die een aanzienlijk risico vormen. BOD 22-01 verplicht federale civiele uitvoerende instanties (FCEB) om geïdentificeerde kwetsbaarheden te verhelpen tegen de uiterste datum om FCEB-netwerken te beschermen tegen actieve bedreigingen. Hoewel BOD 22-01 alleen van toepassing is op FCEB-agentschappen, adviseert CISA alle organisaties om hun blootstelling aan cyberaanvallen te verminderen door tijdige herstel van KEV-catalogus kwetsbaarheden als onderdeel van hun vulnerability management praktijk te prioriteren. CISA zal kwetsbaarheden blijven toevoegen aan de catalogus die voldoen aan de gestelde criteria. Bron CISA Alerts: https://www.cisa.gov/news-events/alerts/2026/03/18/cisa-adds-one-known-exploited-vulnerability-catalog-0

Gebruikers van Zimbra webmail zijn het doelwit van aanvallen waarbij misbruik wordt gemaakt van een cross site scripting (XSS) kwetsbaarheid. Dat meldt het Amerikaanse cyberagentschap CISA. Eind vorig jaar is er een beveiligingsupdate verschenen voor het probleem, aangeduid als CVE-2025-66376. XSS kwetsbaarheden in Zimbra zijn geregeld gebruikt bij aanvallen.

Zimbra is een collaborative software suite die onder andere mailserversoftware en een webmailclient bevat. De software zou door meer dan 200.000 organisaties wereldwijd worden gebruikt. Cross site scripting is een beveiligingsprobleem dat al decennia bekend is en ervoor zorgt dat aanvallers malafide code op een kwetsbare website of webapplicatie kunnen 'injecteren' die vervolgens in de browser van gebruikers wordt uitgevoerd. Zo is het bijvoorbeeld mogelijk om cookies te stelen en toegang tot een account te krijgen.

In het geval van CVE-2025-66376 versturen aanvallers speciaal geprepareerde HTML mails. Zodra het doelwit de mail opent wordt er willekeurige JavaScript in de webmailsessie van het slachtoffer uitgevoerd. Zo is het bijvoorbeeld mogelijk voor een aanvaller om een filter in te stellen waardoor berichten naar een e-mailadres van de aanvaller worden doorgestuurd. Daarnaast kan de aanvaller ook aanwezige e-mail stelen. Het National Cyber Security Centre Finland (NCSC-FI) heeft de kwetsbaarheid gerapporteerd.

Het Cybersecurity & Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security laat weten dat de kwetsbaarheid bij aanvallen tegen Zimbra gebruikers is ingezet, maar geeft geen details over de aanvallen. Volgens het CISA zijn in totaal acht verschillende XSS lekken in Zimbra in het verleden bij aanvallen gebruikt.

Bron: CISA | Bron 2: nvd.nist.gov | Bron 3: wiki.zimbra.com

Een recent ontdekte kwetsbaarheid, genaamd 'PolyShell', treft alle stabiele versies van Magento Open Source en Adobe Commerce 2. Volgens eCommerce security bedrijf Sansec maakt dit ongeauthenticeerde code executie en accountovername mogelijk. Hoewel er nog geen actieve misbruikgevallen zijn waargenomen, waarschuwt Sansec dat de exploitatiemethode al circuleert en verwacht dat geautomatiseerde aanvallen snel zullen beginnen.

Adobe heeft een fix uitgebracht, maar deze is alleen beschikbaar in de tweede alpha release voor versie 2.4.9, waardoor productieversies kwetsbaar blijven. Sansec meldt dat Adobe een voorbeeld webserverconfiguratie aanbiedt die de impact grotendeels zou beperken, maar de meeste winkels vertrouwen op een setup van hun hostingprovider.

Volgens een rapport van Sansec is het beveiligingsprobleem te wijten aan het feit dat Magento's REST API file uploads accepteert als onderdeel van de custom options voor het winkelwagenitem. Wanneer een productoptie van het type 'file' is, verwerkt Magento een embedded file_info object met base64-gecodeerde file data, een MIME type en een filename. Het bestand wordt weggeschreven naar pub/media/custom_options/quote/ op de server.

Sansec zegt dat "PolyShell" is vernoemd naar het gebruik van een polyglot file die zich zowel als een image als een script kan gedragen. Afhankelijk van de webserverconfiguratie kan de kwetsbaarheid remote code execution (RCE) of accountovername via stored XSS mogelijk maken, wat de meeste van de door Sansec geanalyseerde winkels treft. Sansec onderzocht alle bekende Magento en Adobe Commerce winkels en ontdekte dat veel winkels bestanden in de upload directory blootstellen.

Totdat Adobe de patch voor productieversies uitbrengt, wordt winkelbeheerders aangeraden de volgende maatregelen te nemen:

* De toegang tot pub/media/custom_options/ beperken.

* Verifiëren dat nginx of Apache regels daadwerkelijk toegang daar voorkomen.

* Winkels scannen op geüploade shells, backdoors of andere malware.

Bron: Sansec | Bron 2: hubs.li

Onderzoekers van de COSIC-onderzoeksgroep aan de KU Leuven hebben kwetsbaarheden ontdekt in PhotoDNA, een technologie van Microsoft die wereldwijd wordt gebruikt om kindermisbruikmateriaal (CSAM) te detecteren. PhotoDNA is sinds 2009 een belangrijke technologie voor het opsporen van online kindermisbruik.

De technologie werkt door CSAM beelden om te zetten naar grijswaarden en er een raster over te leggen. Dit geheel wordt vervolgens herleid tot een unieke 'hash'-handtekening. Providers en websites hoeven zo niet zelf een lijst met gekend CSAM materiaal bij te houden om illegaal materiaal op te sporen. Ze halen nieuwe geposte foto’s door PhotoDNA en toetsen de gemaakte handtekeningen vervolgens aan een lijst met hashes van gekend CSAM materiaal die wordt vrijgegeven door organisaties zoals het Amerikaanse National Center for Missing and Exploited Children. De hashfuncties zijn ontworpen om gelijkaardige beelden ook een gelijkaardige handtekening te geven. Zo kunnen beelden die op elkaar lijken toch ontdekt worden, ook al zijn er bijvoorbeeld stukken afgeknipt of werden ze licht aangepast. Beelden met een hash handtekening die in de buurt komt van gekende CSAM hashes, worden daarom gelabeld.

De onderzoekers van COSIC analyseerden de software en vonden structurele zwaktes die misbruik mogelijk maken. Ze concludeerden dat PhotoDNA niet zo veilig is als altijd beweerd. Kwaadwilligen zouden detectie kunnen omzeilen door illegale beelden minimaal aan te passen om niet langer overeen te komen met de hashwaarden van CSAM beelden. Op een gelijkaardige manier zou je trouwens ook valse beschuldigingen kunnen creëren, door de familiefoto aan te passen om de hashwaarde van een illegale foto te benaderen. Ook opvallend is dat de onderzoekers visuele informatie uit de hashwaarden gedeeltelijk konden reconstrueren.

Dit heeft gevolgen voor beleidsvoorstellen rond het op grote schaal scannen van foto’s op toestellen van gebruikers. Versies van de ‘Chat Control’ die de Europese Commissie heeft voorgesteld, zouden automatisch ook niet gepubliceerde foto’s via een gelijkaardige technologie scannen op zoek naar illegaal materiaal. Als de technologie zwaktes heeft, zijn mogelijke gevolgen daar onder meer het lekken van informatie, onterechte beschuldigingen of zelfs het onopgemerkt verspreiden van CSAM, zo benadrukt COSIC. De onderzoeksgroep roept op om robuustere, transparante en meer doelgerichte oplossingen te vinden.

Bron: COSIC | Bron 2: pseudodna.eu

Ubiquiti heeft patches uitgebracht voor twee kwetsbaarheden in de UniFi Network Application, waaronder een kritieke kwetsbaarheid die het mogelijk maakt voor aanvallers om gebruikersaccounts over te nemen. De UniFi Network app, ook bekend als de UniFi Controller, is managementsoftware voor het configureren, monitoren en optimaliseren van Ubiquiti UniFi netwerkhardware, zoals access points, switches en gateways.

De fabrikant van netwerkapparatuur stelt dat UniFi Network het beste kan worden ingezet op een UniFi Cloud Gateway, in plaats van op een server, laptop of andere zelfgehoste omgeving.

De kritieke kwetsbaarheid, aangeduid als CVE-2026-22557, treft UniFi Network applicatieversie 10.1.85 en eerder, en is verholpen in versie 10.1.89 of later. Een succesvolle exploitatie stelt aanvallers zonder privileges in staat om een path traversal kwetsbaarheid te misbruiken om toegang te krijgen tot bestanden op de getroffen apparaten en mogelijk gebruikersaccounts te kapen. De aanval is relatief eenvoudig uit te voeren en vereist geen interactie van de gebruiker.

Ubiquiti meldt in een advisory dat een kwaadwillende actor met toegang tot het netwerk de path traversal kwetsbaarheid in de UniFi Network Application kan misbruiken om toegang te krijgen tot bestanden op het onderliggende systeem. Deze bestanden kunnen vervolgens worden gemanipuleerd om toegang te krijgen tot een onderliggend account.

Ubiquiti heeft ook een tweede kwetsbaarheid in de UniFi Network app verholpen. Deze kwetsbaarheid stelt aanvallers met lage privileges in staat om hun privileges te escaleren. Een Authenticated NoSQL Injection kwetsbaarheid in de UniFi Network Application kan een kwaadwillende actor met geauthenticeerde toegang tot het netwerk in staat stellen om privileges te escaleren, aldus het bedrijf.

In de afgelopen jaren zijn Ubiquiti producten het doelwit geweest van zowel door de staat gesteunde hacking groepen als cybercriminelen die ze kaapten om botnets te bouwen. Deze botnets werden ingezet om kwaadaardige activiteiten te verbergen. In februari 2024 ontmantelde de FBI bijvoorbeeld een botnet van gehackte Ubiquiti Edge OS routers die door de Russische militaire inlichtingendienst GRU werden gebruikt om kwaadaardig verkeer te proxyen bij aanvallen gericht op de Verenigde Staten en hun bondgenoten.

Bron: Ubiquiti | Bron 2: cve.org | Bron 3: community.ui.com

Oracle heeft een noodzakelijke beveiligingsupdate uitgebracht om een kritieke, niet-geauthenticeerde remote code execution (RCE) kwetsbaarheid te verhelpen in Identity Manager en Web Services Manager, aangeduid als CVE-2026-21992. Oracle Identity Manager wordt gebruikt voor het beheren van identiteiten en toegang binnen een onderneming, terwijl Oracle Web Services Manager beveiligings- en beheercontroles biedt voor webservices.

In een advies dat Oracle heeft uitgebracht, wordt klanten "sterk" aangeraden de patches zo snel mogelijk toe te passen. De kwetsbaarheid is op afstand te misbruiken zonder authenticatie. Een succesvolle exploitatie kan leiden tot remote code execution. Oracle adviseert klanten om op actief ondersteunde versies te blijven en alle Security Alerts en Critical Patch Update beveiligingspatches zonder vertraging toe te passen.

De CVE-2026-21992 kwetsbaarheid heeft een CVSS v3.1 severity score van 9.8 en treft Oracle Identity Manager versies 12.2.1.4.0 en 14.1.2.1.0, evenals Oracle Web Services Manager versies 12.2.1.4.0 en 14.1.2.1.0. Het lek is op afstand exploiteerbaar via HTTP en vereist geen authenticatie of gebruikersinteractie, wat het risico op misbruik op blootgestelde servers vergroot.

De fix is vrijgegeven via het Security Alert programma, dat buiten de reguliere planning om fixes of mitigaties levert voor kritieke of actief geëxploiteerde kwetsbaarheden. Patches die via deze programma's worden vrijgegeven, worden alleen aangeboden voor versies onder Premier of Extended Support. Oudere, niet-ondersteunde versies kunnen kwetsbaar zijn. Oracle heeft niet bekendgemaakt of de kwetsbaarheid al is misbruikt.

In een afzonderlijke blogpost waarschuwt Oracle nogmaals voor de ernst van CVE-2026-21992 en adviseert klanten om de security alert te raadplegen voor alle details en patchinformatie.

Bron: Oracle | Bron 2: hubs.li

Het Amerikaanse CISA heeft vijf kwetsbaarheden toegevoegd aan de Known Exploited Vulnerabilities (KEV) catalogus, met als deadline 3 april 2026 voor federale instanties om te patchen. De toevoegingen betreffen producten van Apple, Craft CMS en Laravel Livewire.

De ernstigste kwetsbaarheid is CVE-2025-32432 in Craft CMS, met een CVSS score van 10.0. Dit lek maakt het mogelijk om op afstand kwaadaardige code te injecteren. Volgens Orange Cyberdefense SensePost wordt deze kwetsbaarheid sinds februari 2025 als zeroday misbruikt door onbekende dreigingsactoren. De Mimo inbraakset heeft via dit lek cryptominers geinstalleerd op kwetsbare systemen.

Daarnaast zijn drie Apple kwetsbaarheden toegevoegd die verband houden met de DarkSword iOS exploitkit. CVE-2025-31277 (CVSS 8.8) betreft een geheugenprobleem in WebKit dat misbruikt kan worden via kwaadaardige webinhoud. CVE-2025-43510 (CVSS 7.8) en CVE-2025-43520 (CVSS 8.8) zijn kernel kwetsbaarheden die het schrijven naar kernelgeheugen mogelijk maken. Apple heeft patches beschikbaar gesteld.

De vijfde kwetsbaarheid, CVE-2025-54068 (CVSS 9.8), treft Laravel Livewire en maakt het mogelijk om zonder authenticatie op afstand commando's uit te voeren. De Iraanse staatsgesteunde groep MuddyWater heeft deze kwetsbaarheid recent misbruikt bij aanvallen.

Organisaties die deze producten gebruiken wordt aangeraden om de beschikbare patches zo snel mogelijk te installeren.

Bron: CISA | Bron 2: thehackernews.com

Google heeft een beveiligingsupdate uitgebracht voor Chrome die 26 kwetsbaarheden verhelpt, waarvan er drie als kritiek zijn beoordeeld. De update wordt uitgerold als versie 146.0.7680.153/154 voor Windows en macOS en 146.0.7680.153 voor Linux.

De drie kritieke kwetsbaarheden zijn CVE-2026-4439 en CVE-2026-4440, beide gerelateerd aan toegang buiten het toegestane geheugengebied in de WebGL component, en CVE-2026-4441, een kwetsbaarheid van het type use after free in de Base component. Deze lekken kunnen door een aanvaller worden misbruikt voor het uitvoeren van willekeurige code op afstand.

Naast de drie kritieke lekken zijn er 22 kwetsbaarheden met een hoge ernst en een met een gemiddelde ernst verholpen. De update richt zich zwaar op geheugenveiligheidsproblemen, waaronder meerdere vormen van bufferoverschrijdingen, integer overflows en type confusion in componenten als V8, WebRTC, Blink, ANGLE, CSS, Skia, PDFium en het netwerkgedeelte.

Een aanvaller kan kwaadaardige WebGL inhoud hosten of inbedden in ogenschijnlijk onschuldige webpagina's om geheugenfouten te veroorzaken tijdens het renderen. Dit kan leiden tot het uitvoeren van willekeurige code in de rendercontext van Chrome.

Gebruikers wordt dringend geadviseerd hun browser zo snel mogelijk bij te werken.

Bron: Google | Bron 2: cybersecuritynews.com

Microsoft heeft een noodupdate uitgebracht om een groot probleem op te lossen dat aanmeldingen met Microsoft-accounts in verschillende Microsoft-apps, waaronder Teams en OneDrive, verhinderde. Het probleem trad op na de installatie van de cumulatieve update KB5079473 van Microsoft, die als onderdeel van Patch Tuesday van deze maand was uitgebracht. Gebruikers werden gewaarschuwd dat de getroffen apparaten niet met het internet waren verbonden.

De lijst met getroffen apps omvat ook Microsoft Edge, Microsoft 365 Copilot en Office-apps zoals Excel en Word, die hetzelfde foutbericht weergeven voor functies waarvoor een Microsoft-accountaanmelding is vereist.

"Als gevolg van dit probleem zullen aanmeldingspogingen een foutmelding weergeven met tekst die lijkt op 'Je hebt internet nodig. Het lijkt erop dat je niet met het internet bent verbonden.' Dit verschijnt zelfs als het apparaat met het internet is verbonden", aldus Microsoft toen het bedrijf de bug op vrijdag erkende. "Houd er rekening mee dat dit probleem alleen optreedt bij aanmeldingshandelingen met Microsoft-accounts, die vaak worden gebruikt voor Microsoft Teams Free. Bedrijven die Entra ID (voorheen bekend als Azure Active Directory) gebruiken voor app-authenticatie, worden niet getroffen door dit probleem."

Terwijl Microsoft aan een oplossing werkte, bood het ook een tijdelijke workaround voor getroffen gebruikers, waarbij ze hun pc's opnieuw moesten opstarten in de hoop dat de internetverbindingsproblemen vanzelf zouden verdwijnen.

In het weekend is Microsoft begonnen met het uitrollen van de optionele out-of-band update KB5085516, die deze bug verhelpt en alle patches bevat die zijn geleverd met de Microsoft 2025 Patch Tuesday Windows-beveiligingsupdate. "Dit probleem is opgelost door updates voor Windows die zijn uitgebracht op 21 maart 2026 en latere updates. We raden u aan de nieuwste updates voor uw apparaat te installeren, omdat deze belangrijke verbeteringen en probleemoplossingen bevatten, waaronder deze", aldus Microsoft in een update van het Windows release health dashboard. "Deze OOB-update is beschikbaar voor Windows 11, versies 25H2 en 24H2-apparaten die standaard updates voor Windows ontvangen. Deze kan worden geïnstalleerd via Windows Update of de Microsoft Update Catalog."

Sinds de Patch updates voor Tuesday van deze maand zijn uitgebracht, heeft Microsoft twee extra noodupdates uitgebracht voor Windows 11 Enterprise-apparaten met hotpatch-ondersteuning om een probleem met de zichtbaarheid van Bluetooth-apparaten en beveiligingslekken in de Routing and Remote Access Service (RRAS) management tool te verhelpen. Het deelde ook een handleiding voor het oplossen van problemen met de toegang tot de C:\-schijf op sommige Samsung Windows 11-laptops, die werden veroorzaakt door een buggy versie van de Samsung Galaxy Connect (of Samsung Continuity Service) app.

Bron: Microsoft | Bron 2: hubs.li

De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft Amerikaanse overheidsinstanties opgedragen om drie iOS-kwetsbaarheden te patchen die worden misbruikt in cryptocurrency-diefstal en cyberespionage aanvallen. Deze aanvallen maken gebruik van de DarkSword-exploitkit.

Onderzoekers van Google Threat Intelligence Group (GTIG) en iVerify onthulden vorige week dat het DarkSword delivery framework een keten van zes kwetsbaarheden misbruikt, aangeduid als CVE-2025-31277, CVE-2025-43529, CVE-2026-20700, CVE-2025-14174, CVE-2025-43510 en CVE-2025-43520. Deze kwetsbaarheden stellen aanvallers in staat om sandboxes te omzeilen, privileges te verhogen en op afstand code uit te voeren op iPhones waarop de beveiligingsupdates niet zijn geïnstalleerd. De kwetsbaarheden zijn door Apple gepatcht in de meest recente iOS-versies en treffen nu alleen iPhones met iOS 18.4 tot en met 18.7.

DarkSword is door beveiligingsonderzoekers ook in verband gebracht met meerdere dreigingsactoren, waaronder UNC6748, een klant van de Turkse commerciële surveillanceleverancier PARS Defense, en een vermoedelijke Russische spionagegroep die bekend staat als UNC6353. GTIG heeft waargenomen dat bij deze aanvallen drie afzonderlijke families van informatie-diefstal malware op de apparaten van slachtoffers werden geplaatst: GhostBlade, een JavaScript infostealer, de GhostKnife backdoor die grote hoeveelheden data kan exfiltreren, en de GhostSaber JavaScript die code uitvoert en ook data steelt van slachtoffers. Van deze drie heeft UNC6353 zowel de DarkSword als de Coruna iOS exploit kits ingezet bij watering-hole aanvallen gericht op iPhone-gebruikers die gecompromitteerde Oekraïense websites van e-commerce, industriële apparatuur en lokale dienstenorganisaties bezochten.

DarkSword wist tijdelijke bestanden en sluit af na het stelen van data van geïnfecteerde apparaten, wat erop wijst dat het is ontworpen voor korte surveillance-operaties om detectie te voorkomen. Het mobiele beveiligingsbedrijf Lookout ontdekte DarkSword tijdens een onderzoek naar de infrastructuur die werd gebruikt bij de aanvallen met Coruna. Lookout stelt dat DarkSword wordt gebruikt in cyberespionagecampagnes die zijn afgestemd op de Russische inlichtingeneisen en door een Russische dreigingsactor met financiële doelstellingen.

CISA heeft drie van de zes DarkSword-kwetsbaarheden (CVE-2025-31277, CVE-2025-43510 en CVE-2025-43520) toegevoegd aan de catalogus van actief misbruikte beveiligingslekken en heeft federale civiele uitvoerende instanties (FCEB) bevolen om hun apparaten binnen twee weken, uiterlijk op 3 april, te beveiligen, zoals vereist door Binding Operational Directive (BOD) 22-01. CISA waarschuwde: "Pas mitigaties toe volgens de instructies van de leverancier, volg de toepasselijke BOD 22-01-richtlijnen voor clouddiensten, of stop het gebruik van het product als er geen mitigaties beschikbaar zijn. Dit type kwetsbaarheden zijn frequente aanvalsvectoren voor kwaadwillende cyberactoren en vormen een significant risico voor de federale onderneming." Hoewel BOD 22-01 alleen van toepassing is op federale agentschappen, dringt CISA er bij alle verdedigers, inclusief degenen die voor bedrijven in de private sector werken, op aan om prioriteit te geven aan het beveiligen van de apparaten van hun organisaties tegen deze kwetsbaarheden.

Bron: CISA | Bron 2: lookout.com | Bron 3: hubs.li

Volgens onderzoek van The Shadowserver Foundation bevatten tientallen Microsoft SharePoint-servers met een Nederlands IP-adres een kwetsbaarheid die actief wordt misbruikt. Het Nationaal Cyber Security Centrum (NCSC) houdt rekening met grootschalig misbruik. Het beveiligingslek, aangeduid als CVE-2026-20963, maakt remote code execution (RCE) mogelijk. Microsoft bracht op 13 januari van dit jaar een beveiligingsupdate uit. Op 18 maart meldde het Amerikaanse cyberagentschap CISA dat aanvallers actief misbruik maken van het probleem. Details over deze aanvallen zijn niet gegeven.

The Shadowserver Foundation deed onlangs een online scan naar SharePoint-servers die kwetsbaar zijn voor CVE-2026-20963. Dit leverde meer dan elfhonderd IP-adressen op, waarvan 35 in Nederland. Het grootste deel van de kwetsbare servers bevindt zich in de VS. Vanwege de ernst van het beveiligingslek kregen Amerikaanse overheidsinstanties op 18 maart het bevel om de patch binnen drie dagen te installeren, mocht dat nog niet zijn gedaan. Microsoft SharePoint wordt onder andere gebruikt voor het maken van websites, delen van informatie, opslag van bestanden en laat medewerkers van organisaties samenwerken aan documenten.

Het NCSC stelt dat de kwetsbaarheid een kwaadwillende in staat stelt om willekeurige code uit te voeren op een kwetsbaar Sharepoint systeem. Vooral publiek toegankelijke installaties lopen verhoogd risico op misbruik. Hoewel er nog geen publieke Proof-of-Concept-code of exploit bekend is, verwacht het NCSC dat deze wellicht op korte termijn beschikbaar komt, waardoor het risico op grootschalig misbruik zal toenemen.

Bron: Microsoft | Bron 2: advisories.ncsc.nl

De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft een kritieke kwetsbaarheid in Craft CMS (CVE-2025-32432) toegevoegd aan de Known Exploited Vulnerabilities (KEV) catalogus. Dit gebeurde nadat er bevestigde actieve exploitatie in het wild was waargenomen. Security teams en systeembeheerders wordt geadviseerd dit probleem onmiddellijk aan te pakken om ernstige netwerkcompromissen te voorkomen.

De kwetsbaarheid is een code-injectie fout, gecategoriseerd onder CWE-94, waarbij de controle op codegeneratie onvoldoende is. Dit type zwakte treedt op wanneer een softwareapplicatie de door de gebruiker ingevoerde gegevens niet goed ontsmet of valideert voordat deze als uitvoerbare instructies worden geïnterpreteerd. Voor Craft CMS, een content management systeem dat veel gebruikt wordt door bedrijven, vormt deze kwetsbaarheid een aanzienlijk risico. Het stelt een externe, niet-geauthenticeerde aanvaller in staat om willekeurige code rechtstreeks op de onderliggende server uit te voeren.

Zodra een aanvaller met succes remote code execution bereikt, kan deze de volledige controle over de getroffen applicatie overnemen. Dit niveau van toegang stelt dreigingsactoren in staat om website-inhoud te wijzigen, gevoelige database records te exfiltreren of een persistente backdoor te creëren. Een gecompromitteerde webserver kan dienen als een strategisch startpunt voor laterale verplaatsing naar het interne netwerk van een organisatie.

Door CVE-2025-32432 op 20 maart 2026 aan de KEV-catalogus toe te voegen, heeft CISA bevestigd dat dreigingsactoren actief misbruik maken van deze fout in aanvallen. Het is op dit moment onbekend of deze specifieke kwetsbaarheid wordt gebruikt in lopende ransomware campagnes. Code-injectie en remote code execution kwetsbaarheden zijn gewild bij dreigingsactoren, waaronder door staten gesteunde groepen en initial access brokers. Organisaties die op Craft CMS vertrouwen, moeten dit als een prioriteit behandelen.

Niet-gepatchte content management systemen die aan het internet zijn blootgesteld, zijn zichtbare doelwitten en worden waarschijnlijk al actief gescand en geëxploiteerd door geautomatiseerde aanvalstools. Onder Binding Operational Directive (BOD) 22-01 zijn federale civiele uitvoerende instanties wettelijk verplicht om deze kwetsbaarheid te verhelpen om federale netwerken te beschermen. CISA heeft een deadline van 3 april 2026 vastgesteld voor federale agentschappen om de nodige maatregelen te treffen. Hoewel dit alleen van toepassing is op overheidsinstanties, dringt CISA er bij alle private-sector organisaties en wereldwijde ondernemingen op aan om dezelfde patching timeline te hanteren.

Systeembeheerders moeten onmiddellijk de nieuwste beveiligingsupdates toepassen die in de vendor instructies worden verstrekt. Organisaties moeten ook hun web access logs actief controleren op afwijkend gedrag of onbevoegde administratieve toegangspogingen. Als het toepassen van de officiële patch niet direct haalbaar is, moeten organisaties de toepasselijke beveiligingsrichtlijnen voor cloudservices volgen of het gebruik van het kwetsbare product tijdelijk staken totdat er veilige maatregelen zijn getroffen.

Bron: CISA

Cybercriminelen maken vermoedelijk misbruik van een ernstige kwetsbaarheid in Quest KACE Systems Management Appliance (SMA). Volgens Arctic Wolf is er sinds 9 maart 2026 verdachte activiteit waargenomen in klantomgevingen, die overeenkomt met de exploitatie van CVE-2025-32975 op niet-gepatchte SMA-systemen die verbonden zijn met het internet. Het is nog onbekend wat het uiteindelijke doel van de aanval is.

CVE-2025-32975 (CVSS score: 10.0) is een authenticatie bypass kwetsbaarheid waardoor aanvallers zich kunnen voordoen als legitieme gebruikers zonder geldige inloggegevens. Succesvolle exploitatie van dit lek kan leiden tot een volledige overname van administratieve accounts. Quest heeft de kwetsbaarheid in mei 2025 al verholpen.

Arctic Wolf heeft ontdekt dat aanvallers de kwetsbaarheid misbruiken om administratieve accounts over te nemen en op afstand commando's uit te voeren. Hierbij wordt een Base64-gecodeerde payload van een externe server (216.126.225[.]156) gedropt via het curl commando.

De aanvallers creëren vervolgens extra administratieve accounts via "runkbot.exe", een achtergrondproces van de SMA Agent dat wordt gebruikt om scripts uit te voeren en installaties te beheren. Er werden ook Windows Registry aanpassingen gedetecteerd via een PowerShell script, mogelijk voor persistentie of systeemconfiguratie wijzigingen.

Andere acties van de aanvallers zijn:

* Het verzamelen van inloggegevens met behulp van Mimikatz.

* Het uitvoeren van discovery en reconnaissance door het inventariseren van ingelogde gebruikers en administrator accounts, en het uitvoeren van "net time" en "net group" commando's.

* Het verkrijgen van remote desktop protocol (RDP) toegang tot backup infrastructuur (Veeam, Veritas) en domein controllers.

Om de dreiging te minimaliseren, wordt beheerders aangeraden de laatste updates te installeren en te voorkomen dat SMA-instanties aan het internet worden blootgesteld. De kwetsbaarheid is verholpen in versies 13.0.385, 13.1.81, 13.2.183, 14.0.341 (Patch 5) en 14.1.101 (Patch 4).

Bron: Arctic Wolf | Bron 2: nvd.nist.gov