Kritieke software kwetsbaarheden, actief misbruikte CVE's en beveiligingsupdates voor NL en BE organisaties.
Kwetsbaarheden
▽ JANUARI 2027 | ▽ DECEMBER 2026 | ▽ NOVEMBER 2026 | ▽ OKTOBER 2026 | ▽ SEPTEMBER 2026 | ▽ AUGUSTUS 2026 | ▽ JULI 2026 | ▽ JUNI 2026 | ▽ MEI 2026 | ▽ APRIL 2026 | ▽ MAART 2026 | ▽ FEBRUARI 2026 | ▽ JANUARI 2026 | ▽ DECEMBER 2025
3.0 Kwetsbaarheden:
01 april 2026 | Gigabyte Control Center kwetsbaar voor arbitrary file write flaw
Het Gigabyte Control Center (GCC) is kwetsbaar voor een arbitrary file write flaw, waardoor een niet geauthenticeerde aanvaller op afstand toegang kan krijgen tot bestanden op kwetsbare systemen. Volgens Gigabyte kan succesvolle exploitatie leiden tot code executie op het onderliggende systeem, privilege escalation en een denial of service toestand.
Het Gigabyte Control Center (GCC), dat vooraf is geïnstalleerd op alle laptops en moederborden van het bedrijf, is een Windows hulpprogramma waarmee gebruikers hun hardware kunnen beheren en configureren. Het ondersteunt hardware monitoring, fan control, performance tuning, RGB lighting control, driver- en firmware updates en device management. Een functie in het Control Center is "pairing", waarmee de tool kan communiceren met andere apparaten of services via het netwerk. Systemen waarop de 'pairing'-optie is ingeschakeld op Control Center versies 25.07.21.01 en eerder, lopen risico.
Taiwan's CERT waarschuwt dat wanneer de pairing functie is ingeschakeld, niet geauthenticeerde aanvallers op afstand willekeurige bestanden naar elke locatie op het onderliggende besturingssysteem kunnen schrijven, wat leidt tot willekeurige code executie of privilege escalation. Het probleem, dat wordt gevolgd als CVE-2026-4415, is ontdekt door security researcher David Sprüngli. Gebaseerd op het CVSS v4.0 scoring systeem, heeft het probleem een kritieke severity rating van 9.2 uit 10.
Gebruikers wordt aangeraden om te upgraden naar de nieuwste versie van Control Center, momenteel 25.12.10.01, die fixes bevat voor download path management, message processing en command encryption om de kwetsbaarheid effectief te mitigeren. Gigabyte adviseert klanten om onmiddellijk te upgraden naar de nieuwste GCC versie. Het wordt aanbevolen dat gebruikers van Gigabyte producten de nieuwste GCC versie downloaden van de officiële software portal van de vendor om het risico op trojanized installers te minimaliseren.
Bron: GIGABYTE | Bron 2: cve.org | Bron 3: twcert.org.tw
01 april 2026 | Zero-day in TrueConf misbruikt voor malware-updates
Hackers hebben TrueConf conference servers aangevallen door misbruik te maken van een zero-day kwetsbaarheid (CVE-2026-3502). Hierdoor kunnen ze willekeurige bestanden uitvoeren op alle verbonden endpoints. De kwetsbaarheid heeft een medium severity score. Het probleem ligt in een ontbrekende integriteitscontrole in het update-mechanisme van de software. Hierdoor kan de legitieme update worden vervangen door een kwaadaardige variant.
TrueConf is een video conferencing platform dat als een self-hosted server kan draaien en is ontworpen voor gesloten, offline omgevingen. Volgens de leverancier zijn meer dan 100.000 organisaties overgestapt op TrueConf tijdens de COVID-19 pandemie. Onder de TrueConf gebruikers bevinden zich militaire organisaties, overheidsinstanties, olie- en gasbedrijven en luchtverkeersleiding.
CheckPoint onderzoekers volgen een campagne genaamd TrueChaos, die sinds begin dit jaar CVE-2026-3502 misbruikt in zero-day aanvallen gericht op overheidsinstanties in Zuidoost-Azië. Een aanvaller die controle krijgt over de on-premises TrueConf server kan het verwachte update pakket vervangen door een willekeurig uitvoerbaar bestand en dit distribueren naar alle verbonden clients. Omdat de client de door de server aangeboden update vertrouwt zonder validatie, kan het kwaadaardige bestand worden afgeleverd en uitgevoerd onder het mom van een legitieme TrueConf update.
De kwetsbaarheid treft TrueConf versies 8.1.0 tot en met 8.5.2. Na de melding van CheckPoint aan de leverancier is een fix uitgebracht in versie 8.5.3 in maart 2026.
CheckPoint acht het aannemelijk dat de TrueChaos activiteit kan worden toegeschreven aan een Chinese dreigingsactor, op basis van tactieken, technieken en procedures (TTP's), het gebruik van Alibaba Cloud en Tencent voor het hosten van de command en control (C2) infrastructuur, en de slachtoffers. De aanvallen verspreiden zich via een centraal beheerde TrueConf server van de overheid, waardoor meerdere instanties worden getroffen. Kwaadaardige bestanden worden via valse updates naar alle verbonden TrueConf clients gepusht.
De infectieketen omvat DLL sideloading en de implementatie van reconnaissance tools (tasklist, tracert), privilege escalation (UAC bypass via iscicpl.exe), en het opzetten van persistentie. De onderzoekers konden de uiteindelijke payload niet achterhalen, maar merkten op dat netwerkverkeer wees op Havoc C2 infrastructuur, waardoor het waarschijnlijk is dat de Havoc implant werd gebruikt. Havoc is een open-source C2 framework dat in staat is om commando's uit te voeren, processen te beheren, Windows tokens te manipuleren, shellcode uit te voeren en extra payloads te implementeren op gecompromitteerde systemen. Het is eerder gebruikt door de Chinese dreigingsgroep Amaranth Dragon in aanvallen met een vergelijkbare scope.
CheckPoint deelt indicators of compromise (IoCs) en infectiesignalen. Sterke tekenen van een inbreuk zijn de aanwezigheid van poweriso.exe of 7z-x64.dll, en verdachte artefacten zoals %AppData%\Roaming\Adobe\update.7z of iscsiexe.dll.
Bron: Check Point | Bron 2: nvd.nist.gov | Bron 3: app.opencve.io
01 april 2026 | ImageMagick zero-day maakt RCE mogelijk op Linux en WordPress servers
Een wijdverspreide security crisis treft ImageMagick, een softwaretool die door miljoenen websites wordt gebruikt voor het verwerken en aanpassen van afbeeldingen. Onderzoek door Octagon Networks met hun autonome engine pwn.ai onthult dat het uploaden van een specifiek ontworpen foto, zelfs een standaard .jpg, hackers in staat kan stellen tot Remote Code Execution (RCE) en volledige controle over een webserver.
De meeste websites gebruiken ImageMagick voor de beeldverwerking. Beveiligingssystemen controleren doorgaans bestandsextensies zoals .png, maar onderzoekers ontdekten dat ImageMagick dieper in de interne code van een bestand kijkt. Door een techniek genaamd "magic byte shift" te gebruiken, kan een aanvaller een gevaarlijk script vermommen als een foto.
Volgens het onderzoek van Octagon Networks vertrouwt de software verborgen karakters te veel, waardoor hackers beveiligingsregels kunnen omzeilen. Het probleem wordt verergerd doordat ImageMagick vaak als tussenpersoon fungeert en complexe bestanden doorgeeft aan een secundaire tool genaamd GhostScript. Zelfs wanneer de hoofdsoftware is ingesteld om bepaalde bestanden te blokkeren, worden deze nog steeds doorgegeven aan GhostScript om kwaadaardige commando's uit te voeren. Hierdoor kan een aanvaller private wachtwoorden lezen of nieuwe bestanden schrijven om een permanente backdoor te creëren.
Aanvallers kunnen de Magick Scripting Language (MSL) gebruiken om uit security sandboxes te ontsnappen en bestanden overal op een harde schijf te plaatsen. Deze ontdekking treft bijna elke grote Linux distributie, waaronder Ubuntu 22.04, Debian en Amazon Linux. Zelfs de meest restrictieve instellingen konden de aanval niet stoppen, waarbij onderzoekers opmerkten dat het primaire verdedigingsmechanisme van het "veilige" beleid niet functioneert op veel systemen vanwege de manier waarop verschillende tools zijn gebundeld.
Het onderzoek, dat exclusief met Hackread.com werd gedeeld, benadrukt ook een risico voor WordPress websites, met name diegene die plugins zoals Gravity Forms gebruiken. Een enkele upload kan zelfs worden gebruikt om een server te laten crashen door het tijdelijke geheugen te vullen met meer dan 1TB aan data in minder dan een seconde, waardoor de site direct offline wordt gehaald.
Hoewel een fix in november 2025 aan sommige versies werd toegevoegd, werd dit nooit officieel als een security update bestempeld. Dit betekent dat de meeste standaard servers, inclusief de veelgebruikte Ubuntu setup, tot 2027 kwetsbaar blijven, tenzij beheerders handmatig ingrijpen. Het ontbreken van een formele waarschuwing heeft een groot gat in de wereldwijde security achtergelaten, waardoor veel beheerders zich niet bewust zijn van het risico. Zonder een geautomatiseerde patch ligt de verantwoordelijkheid nu bij site-eigenaren om hun systemen te beveiligen tegen deze onzichtbare dreiging.
Bron: pwn.ai
02 april 2026 | Apple breidt iOS 18-update uit wegens DarkSword-exploit
Apple heeft de iOS 18-update voor meer iPhones en iPads beschikbaar gesteld vanwege een exploit die misbruik maakt van iOS-kwetsbaarheden. Vorige maand waarschuwden Google, Lookout en iVerify voor een exploitkit genaamd DarkSword, die door verschillende actoren werd ingezet om iPhones met malware te infecteren. De exploitkit maakt gebruik van zes verschillende kwetsbaarheden, waarvan er voor drie op het moment van de aanval nog geen update beschikbaar was (CVE-2026-20700, CVE-2025-43529 en CVE-2025-14174). Inmiddels zijn deze lekken wel gepatcht.
Volgens de waarschuwing is alleen het bezoeken van een gehackte of kwaadaardige website of het zien van een besmette advertentie met een kwetsbare iPhone voldoende om te worden geïnfecteerd, zonder verdere interactie. De exploitkit zou ontwikkeld zijn door een spywareleverancier en door een statelijke actor zijn ingezet voor cyberspionage. Eind vorig jaar kregen ook cybercriminelen er toegang toe. Enkele dagen na de analyse van de drie bedrijven verscheen de exploitkit op GitHub.
Apple bracht op 24 maart iOS en iPadOS 18.7.7 uit, waarin meerdere kwetsbaarheden werden verholpen. Deze update was in eerste instantie alleen beschikbaar voor de iPhone XS, iPhone XS Max, iPhone XR en iPad 7de generatie. Nieuwere iPhones en iPads die naar iOS en iPadOS 26 kunnen upgraden, maar nog steeds iOS 18 gebruiken, kregen sinds eind vorig jaar geen iOS 18-updates meer aangeboden. In het bulletin werd de naam DarkSword niet genoemd.
In een update van het beveiligingsbulletin laat Apple nu weten dat het op 1 april iOS 18.7.7 voor meer apparaten beschikbaar heeft gemaakt. Gebruikers die Automatische Updates hebben ingeschakeld, kunnen belangrijke beveiligingsmaatregelen tegen webaanvallen genaamd DarkSword ontvangen. De updates met betrekking tot de DarkSword-exploit werden voor het eerst in 2025 uitgebracht, aldus Apple.
Bron: Apple
02 april 2026 | Meer dan 14.000 F5 BIG-IP APM servers toegankelijk via internet
Meer dan 14.000 F5 BIG-IP APM servers zijn toegankelijk vanaf het internet. Dat meldt The Shadowserver Foundation. Aanvallers maken actief misbruik van een kwetsbaarheid in het platform. Het is onbekend hoeveel kwetsbare F5 BIG-IP APM servers er online zijn. Via BIG-IP Access Policy Manager (APM) kunnen organisaties hun medewerkers toegang geven tot applicaties, ongeacht waar die worden gehost.
In oktober vorig jaar bracht F5 een beveiligingsupdate uit voor een kwetsbaarheid in het platform, aangeduid als CVE-2025-53521. In eerste instantie werd het probleem omschreven als een denial of service. Vorige maand besloot F5 dit op basis van nieuwe informatie te veranderen in een remote code execution kwetsbaarheid. Verschillende overheidsdiensten, waaronder het Nationaal Cyber Security Centrum (NCSC), waarschuwden vervolgens voor actief misbruik van de kwetsbaarheid.
The Shadowserver Foundation heeft bij een recente scan gekeken hoeveel F5 BIG-IP APM servers toegankelijk zijn vanaf het internet. Dit leverde meer dan 14.000 servers op, waarvan 362 in Nederland. Bij de scan werd niet gekeken hoeveel servers de update voor CVE-2025-53521 missen.
Bron: dashboard.shadowser | Bron 2: dashboard.shadowserver.org
02 april 2026 | Kritieke kwetsbaarheid in DLL in Foxit PDF Editor en Reader Update Service
In Foxit PDF Editor en Reader is een lokale privilege escalation kwetsbaarheid ontdekt in de update service, aangeduid als CVE-2026-3775. Deze kwetsbaarheid maakt het voor gebruikers met beperkte rechten mogelijk om willekeurige code uit te voeren als SYSTEM via een DLL hijacking. De kwetsbaarheid is op 1 april 2026 gepubliceerd en heeft een CVSS 3.1 score van 7.8.
De kwetsbaarheid betreft een DLL search-order hijacking probleem. De update service laadt systeem bibliotheken van een zoekpad dat directories bevat waar gebruikers met beperkte rechten naar kunnen schrijven. Een lokale aanvaller kan een kwaadaardige DLL plaatsen in een van deze beschrijfbare directories. Wanneer de update service draait, zal het de DLL van de aanvaller laden in plaats van de legitieme systeem bibliotheek. Omdat de update service met verhoogde privileges draait, wordt de code van de aanvaller uitgevoerd als SYSTEM, waardoor de aanvaller volledige controle over de machine krijgt.
De kwetsbaarheid treft Foxit PDF Editor en Foxit PDF Reader op zowel Windows als macOS. De specifieke getroffen en vaste versies zijn:
* PDF Editor (Windows): 2026.1 / 14.0.3 / 13.2.3
* PDF Editor (Mac): 2026.1 / 13.2.3
* PDF Reader (Windows): 2026.1
* PDF Reader (Mac): 2026.1
Versies 2025.3 en eerder zijn bevestigd als getroffen. Organisaties die oudere branches (13.x of 14.x) gebruiken, wordt aangeraden om te updaten naar ten minste 13.2.3 of 14.0.3.
Het wordt aangeraden om Foxit producten onmiddellijk te updaten. Dit kan via Help, dan About, dan Check for Update in Foxit PDF Editor of Reader. Het is ook mogelijk om de nieuwste versies te downloaden van Foxit's security bulletin pagina. Daarnaast wordt aangeraden om de file system permissions te controleren op directories die de Foxit update service doorzoekt bij het laden van libraries en om write access te beperken waar mogelijk. Controleer op verdachte DLL bestanden die verschijnen in applicatiedirectories of user-writable paths. EDR oplossingen kunnen DLL side-loading pogingen in real time signaleren. Indien patching niet onmiddellijk kan gebeuren, kan overwogen worden om de auto-update service tijdelijk uit te schakelen.
Bron: Foxit
02 april 2026 | Kwetsbaarheden in Progress ShareFile maken RCE aanvallen zonder authenticatie mogelijk
Twee kwetsbaarheden in Progress ShareFile, een oplossing voor veilige bestandsoverdracht voor bedrijven, kunnen worden gecombineerd om ongeauthenticeerde bestandsexfiltratie mogelijk te maken. ShareFile wordt gebruikt door grote en middelgrote bedrijven. Dergelijke oplossingen zijn aantrekkelijke doelwitten voor ransomware actoren, zoals eerder is gezien bij data van diefstalaanvallen door Clop die bugs misbruikten in Accellion FTA, SolarWinds Serv-U, Gladinet CentreStack, GoAnywhere MFT, MOVEit Transfer en Cleo.
Onderzoekers van watchTowr ontdekten een authenticatie bypass (CVE-2026-2699) en een remote code execution (RCE) kwetsbaarheid (CVE-2026-2701) in de Storage Zones Controller (SZC) component van Progress ShareFile branch 5.x. SZC geeft klanten meer controle over hun data door hen in staat te stellen deze op hun eigen infrastructuur op te slaan (on-prem of in een third-party cloud provider) of op de Progress systemen. Na de melding van watchTowr zijn de problemen verholpen in Progress ShareFile 5.12.4, uitgebracht op 10 maart.
Het onderzoek van watchTowr legt uit dat de aanval begint met het misbruiken van de authenticatie bypass, CVE-2026-2699, die toegang geeft tot de ShareFile admin interface als gevolg van onjuiste verwerking van HTTP redirects. Eenmaal binnen kan een aanvaller Storage Zone configuratie-instellingen wijzigen, inclusief bestandspaden en security-sensitive parameters zoals de zone passphrase en gerelateerde geheimen. Door misbruik te maken van de tweede kwetsbaarheid, CVE-2026-2701, kunnen aanvallers remote code execution verkrijgen op de server door file upload en extractie functionaliteit te misbruiken om kwaadaardige ASPX webshells in de webroot van de applicatie te plaatsen.
De onderzoekers merken op dat voor de exploitatie, aanvallers geldige HMAC signatures moeten genereren en interne geheimen moeten extraheren en decoderen. Dit is echter mogelijk na het exploiteren van CVE-2026-2699 vanwege de mogelijkheid om passphrase-gerelateerde waarden in te stellen of te controleren.
Volgens de scans van watchTowr zijn er ongeveer 30.000 Storage Zone Controller instances blootgesteld op het publieke internet. De ShadowServer Foundation observeert momenteel 700 internet-exposed instances van Progress ShareFile, waarvan de meeste zich in de Verenigde Staten en Europa bevinden.
WatchTowr ontdekte de twee flaws en meldde deze aan Progress tussen 6 en 13 februari, en de volledige exploit chain werd bevestigd op 18 februari voor Progress ShareFile 5.12.4. De leverancier bracht security updates uit in versie 5.12.4, uitgebracht op 10 maart. Hoewel er tot op heden geen actieve exploitatie in het wild is waargenomen, zouden systemen met kwetsbare versies van ShareFile Storage Zone Controller onmiddellijk moeten worden gepatcht, aangezien de openbaarmaking van de chain waarschijnlijk dreigingsactoren zal aantrekken.
Bron: watchTowr | Bron 2: dashboard.shadowserver.org | Bron 3: hubs.li
02 april 2026 | Kritiek lek in Cisco IMC maakt wachtwoordwijziging admin mogelijk
Een kritieke kwetsbaarheid in de Cisco Integrated Management Controller (IMC) stelt aanvallers in staat om het wachtwoord van de administrator te wijzigen en als beheerder in te loggen. Cisco heeft beveiligingsupdates uitgebracht om dit probleem, aangeduid als CVE-2026-20093, te verhelpen.
De Cisco Integrated Management Controller is een oplossing die beheerders in staat stelt om op afstand in te loggen op Cisco servers. De kwetsbaarheid ontstaat doordat de oplossing niet correct omgaat met verzoeken voor het aanpassen van wachtwoorden. Een aanvaller kan hiervan misbruik maken door een speciaal geprepareerd HTTP-verzoek naar het systeem te sturen. Hierdoor kan de aanvaller de authenticatie omzeilen en het wachtwoord van elke gebruiker wijzigen, inclusief de administrator. Vervolgens kan de aanvaller als die gebruiker inloggen op het systeem. Verdere details over de aanval zijn niet bekendgemaakt. Een externe onderzoeker heeft het probleem ontdekt en gemeld aan Cisco.
Bron: Cisco
03 april 2026 | Cisco dicht lekken in Nexus Dashboard en Insights
Cisco heeft beveiligingsupdates uitgebracht voor Cisco Nexus Dashboard en Cisco Nexus Dashboard Insights om verschillende kwetsbaarheden te adresseren. Een van de kwetsbaarheden is een onjuiste inputvalidatie van specifieke HTTP verzoeken in beide producten. Een niet geauthenticeerde externe aanvaller kan hierdoor server side request forgery (SSRF)-aanvallen uitvoeren. Dit stelt de aanvaller in staat om willekeurige netwerkverzoeken te versturen vanaf de getroffen server, wat mogelijk kan leiden tot de uitvoering van kwaadaardige scripts.
Een andere kwetsbaarheid bevindt zich in de configuratie backupfunctie van Cisco Nexus Dashboard. Een aanvaller die zowel het encryptiewachtwoord als de backupbestanden in handen heeft, kan gevoelige authenticatiedetails ontsleutelen. Vervolgens kan de aanvaller willekeurige root commando's uitvoeren op het apparaat, wat kan resulteren in een volledige compromittering van het systeem.
Daarnaast is er een kwetsbaarheid in Cisco Nexus Dashboard Insights. Een geauthenticeerde aanvaller met administratieve rechten kan via de Metadata updatefunctie willekeurige bestanden schrijven. Dit is mogelijk door onvoldoende validatie van handmatig geüploade metadata updatebestanden, wat de integriteit van het systeem in gevaar kan brengen.
Bron: NCSC
03 april 2026 | Actieve uitbuiting F5-kwetsbaarheid treft nog duizenden systemen in Europa
F5 waarschuwt voor de actieve uitbuiting van een kwetsbaarheid in BIG IP Access Policy Manager (APM), aangeduid als CVE-2025-53521, die al sinds oktober 2025 bekend is. Het platform beheert de toegang tot applicaties, cloudomgevingen, API's en netwerken van organisaties. Ondanks dat F5 vijf maanden geleden al een patch uitbracht, zijn er nog steeds veel bedrijven kwetsbaar.
Het beveiligingsbedrijf heeft een lijst met mogelijke indicatoren gedeeld die kunnen aantonen dat hackers het op een omgeving gemunt hebben, inclusief maatregelen die organisaties in dat geval kunnen nemen. F5 adviseert klanten om de configuratie opnieuw op te bouwen vanuit een betrouwbare bron, omdat UCS bestanden van gehackte systemen hardnekkige malware kunnen bevatten.
Volgens ShadowServer zijn er wereldwijd nog 17.163 kwetsbare systemen. Daarvan bevinden zich ongeveer 11.000 in Europa en Noord Amerika, met 5.825 specifiek in Europa. Duitsland voert de lijst aan met 1.079 kwetsbare systemen, gevolgd door Zwitserland met 795. In de Benelux en Frankrijk zijn er respectievelijk 603 potentiële slachtoffers in Frankrijk, 444 in Nederland, 287 in België en enkele tientallen in Luxemburg.
Hoewel het aantal kwetsbare systemen aanzienlijk is gedaald ten opzichte van de 266.000 bij de eerste bekendmaking van de kwetsbaarheid, tonen de huidige cijfers aan dat bedrijven nog steeds achterlopen met het installeren van patches.
Bron: F5 | Bron 2: nvd.nist.gov | Bron 3: dashboard.shadowserver.org
03 april 2026 | Kritieke kwetsbaarheid maakt overname ShareFile servers mogelijk
Onderzoekers waarschuwen voor twee kwetsbaarheden in Progress ShareFile waarmee ongeauthenticeerde aanvallers kwetsbare servers volledig kunnen overnemen. Securitybedrijf watchTowr informeerde Progress begin februari over de lekken, waarna Progress op 10 maart beveiligingsupdates uitbracht. De details over de kwetsbaarheden zijn nu openbaar gemaakt. Van de bijna achthonderd Progress ShareFile servers die via internet toegankelijk zijn, bevinden zich 38 in Nederland. Het is onbekend hoeveel van deze servers de update inmiddels hebben geïnstalleerd.
ShareFile is een oplossing voor het uitwisselen van bestanden, vergelijkbaar met MOVEit Transfer, Accellion File Transfer Appliance, Fortra GoAnywhere en IBM Aspera Faspex. De software was oorspronkelijk van Citrix, maar werd twee jaar geleden overgenomen door Progress. De combinatie van twee kwetsbaarheden in ShareFile maakt remote code execution door een ongeauthenticeerde aanvaller mogelijk.
De eerste kwetsbaarheid, CVE-2026-2699, is een authentication bypass veroorzaakt door een 'Execution After Redirect'-probleem. Wanneer een ongeauthenticeerde gebruiker de admin interface van FileShare bezoekt, wordt deze doorgestuurd naar de inlogpagina. De functie die controleert of de gebruiker is geauthenticeerd, laadt echter de rest van de admin interface gewoon. Door de HTTP response die naar de server wordt gestuurd aan te passen en de Location header te verwijderen, wordt een redirect voorkomen en verschijnt de admin interface.
De onderzoekers vonden ook een tweede probleem, CVE-2026-2701, waardoor een geauthenticeerde gebruiker een malafide bestand, zoals een webshell, naar de server kan uploaden en uitvoeren, wat tot remote code execution leidt. Progress meldt dat het niet bekend is met misbruik van de kwetsbaarheden. Beveiligingslekken in soortgelijke oplossingen zijn in het verleden echter op grote schaal misbruikt bij aanvallen.
The Shadowser Foundation, een stichting die online onderzoek doet naar kwetsbare systemen, detecteerde 784 unieke IP-adressen van ShareFile servers, waarvan 38 in Nederland. Het gaat hier om servers die vanaf het internet toegankelijk zijn. Er is niet gekeken of de servers up to date zijn. De onderzoekers van watchTowr stellen dat er 30.000 servers vanaf het internet toegankelijk zijn en merken op dat deze servers speciaal zijn opgezet door organisaties die hun bestanden niet aan de infrastructuur van een andere partij toevertrouwen.
Bron: watchTowr | Bron 2: docs.sharefile.com
04 april 2026 | Kritieke kwetsbaarheid in FortiClient EMS actief misbruikt
Fortinet heeft een kwetsbaarheid in FortiClient EMS verholpen. Deze kwetsbaarheid, die te maken heeft met onjuiste toegangscontrole, stelt ongeauthenticeerde aanvallers in staat om beveiligingscontroles te omzeilen door speciaal opgemaakte verzoeken te versturen. Hierdoor kunnen ze ongeautoriseerde code of commando's uitvoeren.
Het NCSC waarschuwt dat de kwetsbaarheid op afstand misbruikt kan worden zonder authenticatie, wat kan leiden tot ongeautoriseerde manipulatie van het systeem. Fortinet heeft informatie dat de kwetsbaarheid al actief wordt misbruikt. Hoewel er nog geen publieke Proof of Concept code of exploit bekend is, verwacht het NCSC dat deze op korte termijn beschikbaar zullen komen, wat de kans op scanverkeer en grootschalig misbruik aanzienlijk zal verhogen.
Bron: NCSC
05 april 2026 | Kritieke FortiClient EMS kwetsbaarheid CVE-2026-35616 actief misbruikt
Fortinet heeft een nood patch uitgebracht voor een kritieke kwetsbaarheid in FortiClient Enterprise Management Server (EMS), die actief wordt misbruikt. De kwetsbaarheid, aangeduid als CVE-2026-35616, is een ‘improper access control’ probleem dat niet geauthenticeerde aanvallers in staat stelt code of commando's uit te voeren via speciaal vervaardigde verzoeken.
Fortinet waarschuwt dat de kwetsbaarheid wordt misbruikt en adviseert gebruikers om de hotfix voor FortiClient EMS 7.4.5 en 7.4.6 te installeren. De kwetsbaarheid treft FortiClient EMS versies 7.4.5 en 7.4.6 en kan worden verholpen door de volgende hotfixes te installeren. De hotfix voor FortiClientEMS 7.4.5 en de hotfix voor FortiClientEMS 7.4.6. De kwetsbaarheid zal ook worden verholpen in de aankomende FortiClientEMS 7.4.7. FortiClient EMS 7.2 wordt niet beïnvloed.
De kwetsbaarheid werd ontdekt door cybersecuritybedrijf Defused, dat het beschreef als een pre authentication API access bypass, waardoor aanvallers authenticatie- en autorisatiecontroles volledig kunnen omzeilen. Defused meldde op X dat ze de kwetsbaarheid eerder deze week als een zeroday zagen worden misbruikt, voordat ze het onder responsible disclosure aan Fortinet rapporteerden.
Internet security watchdog Shadowserver heeft meer dan 2.000 blootgestelde FortiClient EMS instances online gevonden, waarvan de meeste zich in de Verenigde Staten en Duitsland bevinden. De kwetsbaarheid volgt op een afzonderlijke kritieke FortiClient EMS kwetsbaarheid, CVE-2026-21643, die vorige week werd gemeld en ook actief werd misbruikt in aanvallen. Beide kwetsbaarheden werden ontdekt door Defused, waarbij Fortinet ook Nguyen Duc Anh crediteert voor de nieuwste kwetsbaarheid. Fortinet dringt er bij klanten op aan om de hotfixes onmiddellijk toe te passen of te upgraden naar versie 7.4.7 wanneer deze beschikbaar komt om het risico op compromittering te minimaliseren.
Bron: Fortinet | Bron 2: hubs.li
06 april 2026 | Onderzoeker lekt "BlueHammer" Windows zero day exploit
Een ontevreden beveiligingsonderzoeker heeft exploit-code gepubliceerd voor een ongepatchte Windows privilege escalation kwetsbaarheid, bekend als "BlueHammer". Deze kwetsbaarheid stelt aanvallers in staat om SYSTEM- of verhoogde administratorrechten te verkrijgen. De onderzoeker, onder het alias Chaotic Eclipse, is ontevreden over de manier waarop Microsoft’s Security Response Center (MSRC) het meldingsproces heeft afgehandeld.
Omdat er nog geen officiële patch of update is, wordt het beschouwd als een zero-day kwetsbaarheid volgens de definitie van Microsoft. Op 3 april publiceerde Chaotic Eclipse een GitHub-repository voor de BlueHammer exploit, onder de naam Nightmare-Eclipse, waarin hij zijn ongeloof en frustratie uitte over de beslissing van Microsoft.
Will Dormann, principal vulnerability analyst bij Tharros, bevestigde aan BleepingComputer dat de BlueHammer exploit werkt. Het is een local privilege escalation (LPE) die een TOCTOU (time-of-check to time-of-use) en een path confusion combineert. Dormann legde uit dat de exploit een lokale aanvaller toegang geeft tot de Security Account Manager (SAM) database, die wachtwoordhashes voor lokale accounts bevat. Hiermee kunnen aanvallers escaleren naar SYSTEM privileges en mogelijk een volledige machine compromitteren.
Sommige onderzoekers die de exploit hebben getest, bevestigden dat de code niet succesvol was op Windows Server, wat de bewering van Chaotic Eclipse bevestigt dat er bugs in de code zitten. Op het Server platform verhoogt de BlueHammer exploit de rechten van niet-admin naar verhoogde administrator, een bescherming die vereist dat de gebruiker tijdelijk een operatie autoriseert die volledige toegang tot het systeem nodig heeft.
Ondanks dat BlueHammer een lokale aanvaller vereist, is het risico nog steeds significant, omdat hackers lokale toegang kunnen krijgen via verschillende vectoren, waaronder social engineering, het misbruiken van andere software kwetsbaarheden of credential-based aanvallen.
Microsoft heeft gereageerd op de BlueHammer kwetsbaarheid met de volgende verklaring: "Microsoft heeft een klantverplichting om gerapporteerde beveiligingsproblemen te onderzoeken en getroffen apparaten zo snel mogelijk bij te werken om klanten te beschermen. We ondersteunen ook gecoördineerde openbaarmaking van kwetsbaarheden, een breed toegepaste industriepraktijk die helpt ervoor te zorgen dat problemen zorgvuldig worden onderzocht en aangepakt voordat ze openbaar worden gemaakt, ter ondersteuning van zowel klantbescherming als de beveiligingsonderzoeksgemeenschap."
Bron: Microsoft | Bron 2: adaptivesecurity.com | Bron 3: deadeclipse666.blogspot.com
07 april 2026 | Kritiek lek in Ninja Forms File Upload treft 50.000 WordPress sites
Een kritieke kwetsbaarheid in de WordPress plug-in Ninja Forms - File Upload stelt aanvallers in staat om kwetsbare websites volledig over te nemen. De ontwikkelaars brachten drie weken geleden een update uit voor het probleem. Het is onbekend hoeveel WordPress sites deze update inmiddels hebben geïnstalleerd. Ninja Forms - File Upload is een betaalde plug-in die op meer dan vijftigduizend websites wordt gebruikt.
Via Ninja Forms kunnen WordPress beheerders allerlei soorten formulieren voor hun website ontwikkelen. De plug-in is op meer dan 600.000 websites actief, aldus cijfers van WordPress.org. Ninja Forms - File Upload is een betaalde uitbreiding voor Ninja Forms waarmee WordPress sites een uploadveld aan hun formulieren kunnen toevoegen. Gebruikers van de websites kunnen zo via de formulieren allerlei soorten bestanden uploaden, bijvoorbeeld foto's of documenten gebruikt voor cv's.
Een ontbrekende 'file type validation' in de uploadfunctie zorgt ervoor dat allerlei soorten bestandstypes naar de onderliggende webserver kunnen worden geupload, waaronder .php bestanden. Omdat er geen 'filename sanitization' wordt toegepast is ook path traversal mogelijk, waardoor bestanden in de webroot directory zijn te plaatsen. Dit maakt het uploaden van malafide PHP code mogelijk en daarmee remote code execution op de server, aldus securitybedrijf Wordfence.
De kwetsbaarheid is volledig verholpen in versie 3.3.27 die op 16 maart uitkwam. Details over het probleem zijn nu bekendgemaakt. Voor extensies die via WordPress.org worden aangeboden wordt bijgehouden hoeveel sites de update hebben geïnstalleerd. In het geval van betaalde extensies die bedrijven via hun eigen websites aanbieden is deze informatie niet bekend. Beheerders worden opgeroepen om naar de nieuwste versie te updaten mocht dat nog niet zijn gedaan.
Bron: Wordfence
07 april 2026 | Kritieke kwetsbaarheid CVE-2018-25236 treft Hirschmann HiOS/HiSecOS producten
Het Cyber Security Centre Belgium (CCB) waarschuwt voor een kritieke kwetsbaarheid, CVE-2018-25236, die meerdere Hirschmann HiOS/HiSecOS producten treft. De kwetsbaarheid heeft een CVSS score van 9.8 en maakt het mogelijk voor niet geauthenticeerde aanvallers op afstand om authenticatie te omzeilen en administratieve toegang te verkrijgen. Het risiconiveau is beoordeeld als kritiek. Het CCB adviseert om onmiddellijk de betreffende producten te patchen.
Bron: CCB | Bron 2: nvd.nist.gov
07 april 2026 | GrafanaGhost kwetsbaarheid maakt data diefstal mogelijk via AI injectie
Cybersecurity onderzoekers van Noma Security hebben een ernstige kwetsbaarheid ontdekt in Grafana, een populair platform voor het monitoren van financiële data, infrastructuur en klantinformatie. De kwetsbaarheid, genaamd GrafanaGhost, stelt aanvallers in staat om beveiligingsmaatregelen te omzeilen en data te stelen zonder dat de gebruiker het merkt.
Volgens Noma maakt de aanval gebruik van Indirect Prompt Injection, waarbij instructies verborgen worden in de data die de AI componenten van de software verwerken. Door specifieke keywords zoals 'error', 'errorMsgs' en 'INTENT' te gebruiken, kunnen hackers het systeem misleiden en veiligheidsregels omzeilen. De aanval begint met een specifieke web path met query parameters die legitiem lijken, maar toegang geven tot omgevingen waar de aanvaller geen rechten heeft. Vervolgens omzeilen ze de beveiliging van het platform.
Grafana heeft een beveiligingsfunctie die voorkomt dat afbeeldingen van onbetrouwbare externe websites worden geladen. Noma ontdekte echter een fout in de JavaScript code. Door gebruik te maken van protocol relatieve URL's (het '//' format), kan de software misleid worden, waardoor het denkt dat de link een veilige interne path is. Wanneer de AI een normale afbeelding probeert weer te geven, stuurt het een verzoek naar de server van de hacker, waarbij gevoelige data als URL parameter wordt meegestuurd.
Volgens de onderzoekers is de aanval bijna onzichtbaar. Slachtoffers zouden niets vermoeden, omdat er geen foutmeldingen of andere indicaties zijn. De software lijkt normaal te functioneren, terwijl de data in real time naar de hackers wordt verzonden.
Grafana Labs heeft gereageerd op het rapport en stelt dat hoewel er een fout in de Markdown image renderer is gevonden en snel is gepatcht, dit niet neerkomt op een zero click exploit. Volgens CISO Joe McManus zou succesvol misbruik aanzienlijke gebruikersinteractie vereisen, waarbij de AI assistent herhaaldelijk moet worden geïnstrueerd om te handelen op basis van kwaadaardige instructies in logs, zelfs na waarschuwingen. Grafana Labs benadrukt dat er geen bewijs is dat de kwetsbaarheid in het wild is misbruikt en dat er geen data is gelekt van Grafana Cloud.
Bron: Noma Security
07 april 2026 | Zero day BlueHammer geeft aanvallers controle over Windows systemen
Onderzoekers hebben een nieuwe kwetsbaarheid in Windows ontdekt, genaamd BlueHammer, die kan leiden tot volledige systeemovername. De kwetsbaarheid werd openbaar gemaakt door een onderzoeker die ontevreden is over de afhandeling van de melding door Microsoft. Omdat er nog geen beveiligingsupdate beschikbaar is, wordt het lek beschouwd als een zero day, wat betekent dat systemen momenteel kwetsbaar zijn zonder een directe oplossing.
BlueHammer is een lokale privilege escalatiekwetsbaarheid. Aanvallers moeten eerst toegang krijgen tot een systeem, maar kunnen daarna hun rechten verhogen tot administrator- of SYSTEM niveau. De kwetsbaarheid combineert technieken, waaronder een time of check to time of use (TOCTOU)-fout en padverwarring. Hierdoor kunnen aanvallers toegang krijgen tot gevoelige onderdelen, zoals de Security Account Manager (SAM)-database, waarin versleutelde wachtwoorden worden opgeslagen. Als aanvallers toegang krijgen tot de SAM database, kunnen ze het systeem volledig overnemen.
Voor bedrijven betekent dit vooral verhoogde waakzaamheid. Zonder patch zijn ze beperkt tot algemene beveiligingsmaatregelen, zoals het beperken van lokale toegang en het snel detecteren van verdachte activiteiten. Een officiële fix van Microsoft moet nog worden uitgebracht.
Bron: ITdaily.be | Bron 2: deadeclipse666.blogspot.com
07 april 2026 | Kritiek lek in Android maakt permanente DoS aanval mogelijk
Een kritieke kwetsbaarheid in Android maakt het mogelijk om een permanente lokale denial of service (DoS)-aanval op telefoons uit te voeren. Google heeft beveiligingsupdates beschikbaar gesteld om dit probleem te verhelpen. Tijdens de patchronde van april zijn in totaal vijf kwetsbaarheden verholpen, waarvan er één als kritiek is aangemerkt. Het gaat om CVE-2026-0049, dat zich in het Android Framework bevindt.
CVE-2026-0049 is opvallend omdat het kan leiden tot een lokale DoS zonder dat hiervoor gebruikersinteractie nodig is. Dergelijke kwetsbaarheden worden zelden als kritiek beoordeeld. Google gebruikt deze beoordeling alleen voor lekken die een ‘permanente denial of service’ mogelijk maken, waarvoor een herinstallatie van het besturingssysteem of een fabrieksreset nodig is. Google heeft geen verdere details over het lek verstrekt.
Google werkt met patchniveaus, aangeduid met een datum. Toestellen die de april updates ontvangen, hebben patchniveau '2026-04-01' of '2026-04-05'. Fabrikanten die dit patchniveau willen bereiken, moeten alle updates van het Android bulletin van april aan hun eigen updates toevoegen en deze vervolgens uitrollen naar hun gebruikers. De updates zijn beschikbaar voor Android 14, 15, 16 en 16-qpr2.
Volgens Google zijn fabrikanten van Androidtoestellen minstens een maand geleden ingelicht over de verholpen kwetsbaarheden, waardoor ze tijd hadden om updates te ontwikkelen. Echter, niet alle Androidtoestellen zullen deze updates ontvangen, omdat sommige toestellen niet meer worden ondersteund door de fabrikant of de updates op een later moment uitbrengen. Google maakte onlangs bekend dat 40 procent van de Androidtelefoons geen updates meer ontvangt.
Bron: source.android.com | Bron 2: grapheneos.org
08 april 2026 | Microsoft rolt server side fix uit voor zoekproblemen in Windows Startmenu
Microsoft heeft een server side fix uitgerold voor een bekend probleem dat de zoekfunctie van het Windows Startmenu op sommige Windows 11 23H2 apparaten verstoorde. Volgens een update van de Windows release health (WI1273488), die door Cybercrimeinfo werd opgemerkt, troffen deze problemen sinds 6 april slechts een klein aantal gebruikers. De oorzaak was een server side Bing update die bedoeld was om de zoekprestaties te verbeteren.
Hoewel Microsoft aangeeft dat de problemen recent zijn, waren er al maanden meldingen van vergelijkbare problemen online. Gebruikers meldden onder meer dat het Startmenu blanco zoekresultaten toonde die nog wel aanklikbaar waren.
Om dit probleem aan te pakken, heeft Microsoft de foutieve Bing update teruggedraaid. Het bedrijf verwacht dat de zoekproblemen zullen afnemen naarmate de fix wordt uitgerold naar de getroffen klanten. Microsoft meldt dat een onderzoek heeft uitgewezen dat het probleem samenviel met een server side Bing update die was ontworpen om de zoekprestaties te verbeteren. Om het probleem te verhelpen, is de server side Bing update teruggedraaid en het aantal meldingen van zoekfouten neemt gestaag af.
Het probleem zou automatisch moeten verdwijnen naarmate de server side fix geleidelijk wordt uitgerold naar de getroffen apparaten. Om de fix te ontvangen, moet het apparaat verbonden zijn met het internet en moet Web Search niet zijn uitgeschakeld door Groepsbeleid.
Dit is niet het eerste Startmenu probleem dat Windows klanten de afgelopen jaren heeft getroffen. In november deelde Microsoft een tijdelijke oplossing voor een andere bug die ervoor zorgde dat het Startmenu, File Explorer en andere belangrijke systeemcomponenten crashten bij het provisionen van systemen met cumulatieve updates die sinds juli 2025 waren uitgebracht. De oorzaak hiervan was dat XAML pakketten niet op tijd werden geregistreerd na de installatie van de update. Gebruikers van getroffen systemen ervoeren een breed scala aan problemen, waaronder crashes van het Startmenu en kritieke foutmeldingen, ontbrekende taakbalken, crashes van het ShellHost systeemproces en het stilletjes niet starten van de Instellingen app. Microsoft werkt nog aan een permanente oplossing, maar heeft geen tijdlijn gegeven voor wanneer deze beschikbaar zal zijn. In de tussentijd moeten getroffen klanten de ontbrekende XAML pakketten handmatig registreren. In mei heeft Microsoft ook stilletjes een probleem verholpen dat Startmenu jump lists voor alle apps op Windows 10 22H2 systemen verstoorde. In juni 2023 werd een bug verholpen die ervoor zorgde dat Windows Search en het Startmenu niet meer reageerden.
Bron: Microsoft | Bron 2: adaptivesecurity.com | Bron 3: hubs.li
08 april 2026 | Claude AI ontdekt 13 jaar oude RCE kwetsbaarheid in Apache ActiveMQ
Anthropic's Claude AI model heeft binnen 10 minuten een kritieke remote code execution (RCE) kwetsbaarheid ontdekt in Apache ActiveMQ Classic, een fout die meer dan een decennium onopgemerkt is gebleven. De kwetsbaarheid, geregistreerd als CVE-2026-34197, is een improper input validation en code injection kwetsbaarheid in de Jolokia JMX HTTP bridge van Apache ActiveMQ Classic, die via de web console op /api/jolokia/ op poort 8161 wordt blootgesteld.
De kwetsbaarheid stelt een geauthenticeerde aanvaller in staat om de addNetworkConnector(String) management operatie aan te roepen op de broker's MBean en een crafted VM transport URI te leveren die een door de aanvaller gecontroleerde brokerConfig=xbean http schema parameter bevat. Wanneer verwerkt, creëert ActiveMQ's VM transport layer een on the fly embedded broker door BrokerFactory.createBroker() te gebruiken met de door de aanvaller geleverde URL.
Het xbean: schema geeft de URL vervolgens door aan Spring's ResourceXmlApplicationContext, die alle bean definities in het remote XML bestand instantieert. Dit maakt het mogelijk om willekeurige OS commando's uit te voeren via Spring's MethodInvokingFactoryBean om Runtime.getRuntime().exec() aan te roepen.
De oorzaak van de kwetsbaarheid ligt in een eerdere fix voor CVE-2022-41678, waarbij Apache een algemene Jolokia allow rule toevoegde voor alle operaties op ActiveMQ's eigen MBeans (org.apache.activemq:*). Deze beslissing opende onbedoeld elke management operatie, inclusief addNetworkConnector, als een aanvalsoppervlak via Jolokia's REST API.
Hoewel CVE-2026-34197 in de meeste implementaties geldige credentials vereist, zijn default credentials (admin:admin) wijdverspreid in enterprise omgevingen. Organisaties die ActiveMQ versies 6.0.0 tot en met 6.1.1 draaien, lopen het risico op een volledig ongeauthenticeerde RCE path. Een afzonderlijke fout, CVE-2024-32114, verwijderde onbedoeld authenticatie constraints van het /api/* pad in die versies, waardoor het Jolokia endpoint geen credentials vereist, en CVE-2026-34197 een no-auth RCE wordt op die builds.
ActiveMQ heeft een geschiedenis van aanvallen in het wild. Zowel CVE-2016-3088 (geauthenticeerde RCE via de web console) als CVE-2023-46604 (ongeauthenticeerde RCE via de broker poort) staan vermeld op CISA's Known Exploited Vulnerabilities (KEV) catalogus.
Onderzoekers van Horizon3.ai gaven Anthropic's Claude AI de eer voor het identificeren van de fout tijdens een AI assisted source code review. Door Claude een vulnerability hunting prompt en een live target te geven voor validatie, kon de AI de multi component attack chain traceren die Jolokia, JMX, network connectors en VM transports omvat, in ongeveer 10 minuten.
Analisten merkten op dat deze chain een ervaren human researcher waarschijnlijk een hele week zou hebben gekost om handmatig in kaart te brengen, wat onderstreept hoe AI modellen de drempel voor vulnerability research verlagen.
Organisaties wordt aangeraden ActiveMQ broker logs te monitoren op vermeldingen die verwijzen naar vm:// URI's die brokerConfig=xbean:http bevatten, POST requests naar /api/jolokia/ met addNetworkConnector in de body, en onverwachte outbound HTTP connections van het ActiveMQ proces. Verdedigers moeten ook letten op ongebruikelijke child processen die door de ActiveMQ JVM worden gegenereerd.
De kwetsbaarheid is gepatcht in ActiveMQ Classic versies 5.19.4 en 6.2.3. De fix verwijdert de mogelijkheid voor addNetworkConnector om vm:// transports te registreren via de Jolokia API. Alle organisaties die getroffen versies draaien, wordt aangeraden onmiddellijk te updaten en deployments te controleren op default credential usage in alle ActiveMQ instances.
Bron: Horizon3.ai
08 april 2026 | CISA voegt kwetsbaarheid in Ivanti Endpoint Manager toe aan KEV catalogus
De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft een nieuwe kwetsbaarheid toegevoegd aan de Known Exploited Vulnerabilities (KEV) catalogus, op basis van bewijs van actieve exploitatie. Het betreft CVE-2026-1340, een code injectie kwetsbaarheid in Ivanti Endpoint Manager Mobile (EPMM).
CISA benadrukt dat dit type kwetsbaarheid een veelgebruikte aanvalsvector is voor kwaadwillende cyberactoren en aanzienlijke risico's met zich meebrengt. De KEV catalogus is vastgesteld als een actuele lijst van bekende Common Vulnerabilities and Exposures (CVE's) die een significant risico vormen.
Binding Operational Directive (BOD) 22-01 verplicht federale civiele uitvoerende instanties (FCEB) om geïdentificeerde kwetsbaarheden te verhelpen voor de gestelde deadline, om FCEB netwerken te beschermen tegen actieve bedreigingen. Hoewel BOD 22-01 alleen van toepassing is op FCEB agentschappen, adviseert CISA alle organisaties om hun blootstelling aan cyberaanvallen te verminderen door prioriteit te geven aan tijdige herstel van KEV catalogus kwetsbaarheden als onderdeel van hun vulnerability management praktijk. CISA zal doorgaan met het toevoegen van kwetsbaarheden aan de catalogus die voldoen aan de gestelde criteria.
Bron: CISA
08 april 2026 | Kritieke kwetsbaarheden in IBM Identity en Verify Access
Een recent beveiligingsbulletin waarschuwt voor meerdere kwetsbaarheden in IBM Verify Identity Access en Security Verify Access producten. Indien deze niet worden gepatcht, kunnen de wijdverspreide beveiligingsfouten kwaadwillenden in staat stellen om toegang te krijgen tot gevoelige informatie, hun systeemprivileges te verhogen of een denial-of-service te veroorzaken. Organisaties die op deze authenticatieplatforms vertrouwen, wordt aangeraden onmiddellijk actie te ondernemen om hun infrastructuur te patchen.
Een belangrijk probleem in het beveiligingsadvies draait om de manier waarop het platform webverkeer verwerkt. Gevolgd als CVE-2026-2862 en CVE-2026-1491, ontstaan deze HTTP request smuggling kwetsbaarheden door inconsistente reverse proxy handling en hebben een CVSS score van 5.3. Door deze kwetsbaarheid te misbruiken, kan een externe, niet-geauthenticeerde aanvaller de proxy server misleiden om intern webverkeer bloot te leggen. Uiteindelijk stelt deze inconsistentie de aanvaller in staat om stilletjes beveiligingscontroles te omzeilen en ongeautoriseerde toegang te krijgen tot zeer gevoelige gebruikersgegevens.
De beveiligingsupdate patched ook verschillende andere ernstige kwetsbaarheden waar systeembeheerders prioriteit aan moeten geven:
* CVE-2026-1188 (CVSS 9.8): Een kritieke buffer overflow fout in de Eclipse OMR port library. Omdat het systeem de buffer grootte niet correct berekent bij het lezen van processor features, kan een aanvaller een memory overflow veroorzaken die kan leiden tot volledige systeemcompromittering.
* CVE-2026-1346 (CVSS 9.3): Een ernstige fout in de Security Verify Access Container die een lokaal geauthenticeerde gebruiker in staat stelt zijn systeemprivileges rechtstreeks naar root te escaleren.
* CVE-2023-46233 (CVSS 9.1): Een grote zwakte werd gevonden in de crypto js library. De library gebruikt standaard SHA-1, een verouderd en onveilig hashing algoritme, en gebruikt slechts één iteratie om de wachtwoord moeilijkheid in te stellen. Dit verzwakt de wachtwoord- en handtekening beveiliging tegen brute-force aanvallen aanzienlijk.
* CVE-2026-1342 (CVSS 8.5): Een kwetsbaarheid in het Container platform waarmee lokaal geauthenticeerde gebruikers kwaadaardige scripts kunnen uitvoeren vanuit een niet-vertrouwde control sphere.
* CVE-2026-4101 (CVSS 8.1): Onder bepaalde zware belasting omstandigheden kunnen externe aanvallers bestaande authenticatie mechanismen omzeilen en ongeautoriseerde toegang krijgen tot de applicatie.
* CVE-2026-1345 (CVSS 7.3): Een OS command injection kwetsbaarheid waardoor niet-geauthenticeerde gebruikers willekeurige commando's kunnen uitvoeren als gevolg van onjuiste input validatie.
Het bulletin behandelt ook CVE-2026-1343 (Server Side Request Forgery), CVE-2025-12635 (Cross Site Scripting) en verschillende Java SE resource consumption kwetsbaarheden.
Deze beveiligingsfouten hebben invloed op IBM Verify Identity Access en IBM Security Verify Access versies 10.0 tot en met 11.0.2, inclusief hun respectievelijke Container deployments. Omdat er geen officiële workarounds of mitigaties beschikbaar zijn om deze aanvallen te stoppen, raadt IBM klanten ten zeerste aan om de software fixes onmiddellijk toe te passen. Systeembeheerders wordt geadviseerd om IBM Verify Identity Access v11.0.2 IF1 of IBM Security Verify Access v10.0.9.1 IF1 te downloaden en te installeren vanaf de officiële support portal. Container gebruikers moeten de meest recente bijgewerkte images uit het container registry halen om ervoor te zorgen dat hun omgevingen veilig blijft tegen externe bedreigingen.
Bron: IBM
08 april 2026 | WordPress sites aangevallen via lek in Ninja Forms plugin
WordPress sites worden actief aangevallen via een kritieke kwetsbaarheid in de plugin Ninja Forms - File Uploads. Securitybedrijf Wordfence meldde op 6 april details over het probleem en rapporteerde kort daarna actief misbruik. De afgelopen 24 uur detecteerde Wordfence bijna negenhonderd aanvallen waarbij werd geprobeerd om WordPress sites via het lek in de plugin te compromitteren.
Via Ninja Forms kunnen WordPress beheerders allerlei soorten formulieren voor hun website ontwikkelen. De plugin is op meer dan 600.000 websites actief. Ninja Forms - File Upload is een betaalde uitbreiding voor Ninja Forms waarmee WordPress sites een uploadveld aan hun formulieren kunnen toevoegen. De File Uploads plugin is op meer dan 50.000 WordPress sites actief.
Een ontbrekende 'file type validation' in de uploadfunctie zorgt ervoor dat allerlei soorten bestandstypes naar de onderliggende webserver kunnen worden geupload, waaronder .php bestanden. Omdat er geen 'filename sanitization' wordt toegepast is ook path traversal mogelijk, waardoor bestanden in de webroot directory zijn te plaatsen. Dit maakt het uploaden van malafide PHP code mogelijk en daarmee remote code execution op de server. De kwetsbaarheid is volledig verholpen in versie 3.3.27 die op 16 maart uitkwam. Hoeveel websites inmiddels up-to-date zijn is onbekend.
Bron: Wordfence
08 april 2026 | NCSC waarschuwt voor actief misbruikte kwetsbaarheid in Fortinet FortiClient EMS
Het Nationaal Cyber Security Centrum (NCSC) heeft Nederlandse organisaties met spoed opgeroepen om een kritieke kwetsbaarheid in Fortinet FortiClient EMS te patchen. Er wordt actief misbruik gemaakt van dit lek. Het Amerikaanse cyberagentschap CISA heeft federale overheidsinstanties in de VS bevolen om de update binnen drie dagen te installeren.
FortiClient EMS is een oplossing voor beheerders om systemen met FortiClient software op afstand te beheren, inclusief antivirussoftware, webfilters, VPN en signature updates. Een gecompromitteerd EMS systeem kan aanzienlijke gevolgen hebben.
Op 4 april 2026 waarschuwde Fortinet voor een 'Improper Access Control'-kwetsbaarheid. Hierdoor kan een ongeauthenticeerde aanvaller ongeautoriseerde code of commando's uitvoeren. Verdere details over de kwetsbaarheid zijn niet bekendgemaakt.
Fortinet meldde bij de release van de beveiligingsupdates dat aanvallers actief misbruik maken van het probleem. Het NCSC heeft naast een standaard beveiligingsbulletin nu ook een aparte waarschuwing afgegeven. "Deze kwetsbaarheid wordt beoordeeld als zeer ernstig en bevindt zich in de fase van actief misbruik. Het NCSC adviseert daarom om de beschikbare update meteen te installeren. Er is op dit moment (nog) geen publieke Proof of-Concept-code of exploit bekend. Het NCSC verwacht echter wel op korte termijn dat de PoC beschikbaar komt, waardoor de kans op scanverkeer en grootschalig misbruik toeneemt", aldus het NCSC.
CISA houdt een overzicht bij van actief aangevallen kwetsbaarheden en kan federale overheidsinstanties verplichten om deze beveiligingslekken binnen een bepaalde termijn te patchen. Normaal is dit twee weken, maar voor het Fortinet lek is dit teruggebracht tot drie dagen.
The Shadowserver Foundation detecteerde 1800 FortiClient EMS systemen die vanaf het internet toegankelijk zijn, waarvan 45 in Nederland. Het is onbekend hoeveel van deze systemen nog niet zijn gepatcht.
Bron: NCSC
09 april 2026 | Kwetsbaarheid in AWS AgentCore maakt IAM "God Mode" mogelijk
Uit onderzoek van Unit 42 van Palo Alto Networks is gebleken dat de standaardconfiguratie van de AgentCore starter toolkit van Amazon Web Services (AWS) een ernstig beveiligingsrisico introduceert. De toolkit, bedoeld om het implementeren van AI agents te vereenvoudigen, creëert Identity and Access Management (IAM)-rollen met te brede privileges. Dit leidt tot een situatie die Unit 42 "Agent God Mode" noemt, waarbij een gecompromitteerde agent de mogelijkheid heeft om privileges te escaleren en andere AgentCore agents binnen het AWS account te compromitteren.
De onderzoekers ontdekten een aanvalsketen in meerdere fasen die misbruik maakt van deze overmatige toegang. Een aanvaller die een agent compromitteert, kan:
* Propriëtaire ECR images exfiltreren
* Toegang krijgen tot de geheugens van andere agents
* Elke code interpreter aanroepen
* Gevoelige gegevens extraheren
Na de melding van Unit 42 heeft AWS de documentatie bijgewerkt met een waarschuwing dat de standaardrollen zijn ontworpen voor ontwikkel- en testdoeleinden en niet worden aanbevolen voor productie implementatie. De standaardconfiguratie is gericht op implementatiegemak in plaats van het principe van minimale privileges.
Palo Alto Networks klanten worden beschermd tegen deze dreigingen via Cortex AI SPM en Cortex Cloud Identity Security.
Bron: Unit 42 (Palo Alto Networks)
09 april 2026 | Actief aangevallen lek in Adobe Reader ontdekt, nog geen patch
Een beveiligingsonderzoeker waarschuwt voor een actief aangevallen kwetsbaarheid in Adobe Reader waarvoor nog geen update beschikbaar is. Onderzoeker Haifei Li meldt dat via het beveiligingslek, waar al vier maanden misbruik van zou worden gemaakt, allerlei informatie van systemen kan worden verzameld. Vervolgens wordt er op bepaalde doelwitten een verdere aanval uitgevoerd.
Via de kwetsbaarheid, waarvoor nog geen CVE nummer beschikbaar is, kan een aanvaller informatie over het besturingssysteem verzamelen, de gebruikte Adobe Reader versie en het lokale pad van het PDF bestand. Deze informatie wordt vervolgens naar een server van de aanvaller gestuurd. Ook is het via de kwetsbaarheid mogelijk om lokale bestanden te lezen. Li meldt in een blogposting over de kwetsbaarheid dat de exploit aanvallers niet alleen in staat stelt om lokale informatie te stelen, maar ook verdere aanvallen uit te voeren waarmee remote code execution of sandbox escapes mogelijk zijn, wat kan leiden tot volledige controle over het systeem van het slachtoffer.
Op basis van informatie die andere onderzoekers over de aanval vonden, stelt Li op X dat bij het misbruik niet alleen lokale informatie is verzameld, maar ook echt aanvullende exploits zijn uitgevoerd. Wat deze exploits precies doen, kon niet worden achterhaald. Uit informatie die naar Googles online virusscanner VirusTotal werd geupload, blijkt dat misbruik al sinds 28 november vorig jaar zou plaatsvinden. Adobe heeft nog niet gereageerd op de kwetsbaarheid. De door Li beschreven exploit maakt gebruik van JavaScript. Het is mogelijk om in Adobe Acrobat JavaScript uit te schakelen.
Bron: Haifei Li / Adobe | Bron 2: helpx.adobe.com
09 april 2026 | CISA waarschuwt voor kwetsbaarheid in GPL Odorizers GPL750
De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft op 9 april 2026 een ICS Advisory (ICSA-26-099-02) uitgebracht betreffende een kwetsbaarheid in GPL Odorizers GPL750. De advisory benadrukt het belang van cybersecuritymaatregelen en biedt diverse resources, zoals no cost Cyber Services, Secure by Design principes, en de Shields Up campagne. Daarnaast moedigt CISA organisaties aan om cyber issues te melden en benadrukt het de mogelijkheid tot het bekijken van CSAF (Common Security Advisory Framework) bestanden via GitHub. De kwetsbaarheid betreft "CWE-807 Reliance on Untrusted Inputs in a Security Decision". CISA roept op tot het invullen van een product survey en biedt links naar eerdere advisories over kwetsbaarheden in Mitsubishi Electric GENESIS64 en ICONICS Suite producten, Siemens SICAM 8 producten, en Yokogawa CENTUM VP.
Bron: CISA | Bron 2: github.com | Bron 3: cwe.mitre.org
09 april 2026 | Kwetsbaarheid in Android SDK stelt miljoenen crypto wallets bloot
Tijdens een routine beveiligingsonderzoek heeft Microsoft een ernstige intent redirection kwetsbaarheid ontdekt in een veelgebruikte third party Android SDK genaamd EngageSDK. Deze kwetsbaarheid stelt apps op hetzelfde apparaat in staat om de Android security sandbox te omzeilen en ongeautoriseerde toegang te krijgen tot private data.
Met meer dan 30 miljoen installaties van third party crypto wallet applicaties alleen al, werden PII, user credentials en financiële data blootgesteld aan risico. Alle gedetecteerde apps die gebruik maakten van kwetsbare versies zijn uit Google Play verwijderd.
Microsoft heeft EngageLab en het Android Security Team op de hoogte gesteld van de kwetsbaarheid. In samenwerking met alle partijen is het probleem onderzocht en gevalideerd, waarna het op 3 november 2025 is opgelost in versie 5.2.1 van de EngageSDK. Dit geval laat zien hoe zwakke punten in third party SDK's grootschalige gevolgen kunnen hebben voor de beveiliging, met name in waardevolle sectoren zoals digital asset management.
Op het moment van schrijven is er geen bewijs dat deze kwetsbaarheid in het wild is misbruikt. Microsoft raadt ontwikkelaars die de betreffende SDK integreren echter ten zeerste aan om te upgraden naar de nieuwste beschikbare versie. Android heeft automatische user protections bijgewerkt om extra bescherming te bieden tegen de specifieke EngageSDK risico's die in dit rapport worden beschreven, terwijl ontwikkelaars updaten naar de niet kwetsbare versie van EngageSDK. Gebruikers die eerder een kwetsbare app hebben gedownload, zijn beschermd.
De Android Security Team classificeert deze kwetsbaarheid als ernstig. Apps die als kwetsbaar zijn aangemerkt, zijn onderworpen aan handhavingsmaatregelen, waaronder mogelijke verwijdering van het platform.
Ontwikkelaars gebruiken de EngageLab SDK om messaging en push notificaties in mobiele apps te beheren. Het functioneert als een library die ontwikkelaars integreren in Android apps als een dependency. Eenmaal opgenomen, biedt de SDK API's voor het afhandelen van communicatietaken, waardoor het een core component is voor apps die real time engagement vereisen.
De kwetsbaarheid werd geïdentificeerd in een exported activity (MTCommonActivity) die wordt toegevoegd aan het Android manifest van een applicatie zodra de library in een project is geïmporteerd, na het build proces. Deze activity verschijnt alleen in het merged manifest, dat post build wordt gegenereerd, en wordt daarom soms gemist door ontwikkelaars.
Wanneer een activity wordt gedeclareerd als exported in het Android manifest, wordt deze toegankelijk voor andere applicaties die op hetzelfde apparaat zijn geïnstalleerd. Deze configuratie staat elke andere applicatie toe om expliciet een intent naar deze activity te sturen.
Intent Redirection treedt op wanneer een threat actor de inhoud manipuleert van een intent die een kwetsbare app verzendt met behulp van zijn eigen identiteit en permissions. In dit scenario maakt de threat actor gebruik van de trusted context van de getroffen app om een malicious payload uit te voeren met de app’s privileges.
Bron: Microsoft | Bron 2: source.android.com | Bron 3: developer.android.com
09 april 2026 | GitLab dicht meerdere kwetsbaarheden die DoS en code injectie mogelijk maken
GitLab heeft urgente beveiligingsupdates uitgebracht (versies 18.10.3, 18.9.5 en 18.8.9) voor zowel de Community Edition (CE) als de Enterprise Edition (EE). Deze updates zijn bedoeld om kwetsbaarheden van hoge urgentie aan te pakken, die Denial of Service (DoS) en code injectie aanvallen mogelijk maken. GitLab adviseert alle beheerders van zelf beheerde systemen dringend om onmiddellijk te upgraden om hun systemen te beschermen. De meest recente beveiligingsrelease lost drie hoog risico kwetsbaarheden op.
Bron: GitLab
09 april 2026 | Kritieke kwetsbaarheid in OpenAM maakt volledige compromittering mogelijk
Het Cyber Centrum België (CCB) waarschuwt voor een kritieke remote code execution kwetsbaarheid in OpenAM, waarmee een host volledig gecompromitteerd kan worden. Het CCB adviseert om onmiddellijk te patchen. De kwetsbaarheid betreft OpenIdentity Platform (OpenAM) versies ouder dan 16.0.6 en versie 16.0.6.
De kwetsbaarheid is geïdentificeerd onder de CVE nummers CVE-2021-35464 (CVSS 9.3, hoog risico) en CVE-2026-33439 (CVSS 4.0, laag risico).
Het CCB biedt via haar website de mogelijkheid om incidenten te melden en heeft een vulnerability policy gepubliceerd.
Bron: OpenIdentityPlatform | Bron 2: github.com | Bron 3: nvd.nist.gov
10 april 2026 | Kritieke kwetsbaarheid in Cisco Smart Software Manager lokale editie
Cisco heeft een kritieke kwetsbaarheid verholpen in de lokale editie van Cisco Smart Software Manager. Het NCSC publiceerde deze kwetsbaarheid op 10 april 2026 in advisory NCSC-2026-0110. Een aanvaller op afstand kan via een gemanipuleerd API verzoek commando's uitvoeren op het onderliggende besturingssysteem met de hoogste rechten.
Volgens de advisory ligt de oorzaak in een intern servicecomponent dat onbedoeld extern toegankelijk is. Cisco Smart Software Manager wordt gebruikt door organisaties om licenties van Cisco producten lokaal te beheren. Beheerders wordt aangeraden de patch zo snel mogelijk te installeren.
Bron: NCSC.nl
10 april 2026 | Synology patched kwetsbaarheden in SSL VPN Client
Synology heeft kwetsbaarheden verholpen in de Synology SSL VPN Client. Een kwaadwillende kan deze kwetsbaarheden misbruiken doordat de Synology SSL VPN Client met versie vóór 1.4.5-0684 de PIN-code onveilig opslaat en bestanden via een lokaal HTTP servercomponent onvoldoende afschermt. Dit kan leiden tot ongeautoriseerde configuratiewijzigingen aan de VPN client en onderschepping van VPN verkeer. De kwetsbaarheid beïnvloedt mogelijk de vertrouwelijkheid en integriteit van VPN sessies.
Bron: NCSC.nl
10 april 2026 | Juniper dicht rechtenverhoging in Junos OS Evolved op PTX routers (NCSC-2026-0108)
Juniper heeft een kwetsbaarheid verholpen in Junos OS Evolved dat draait op PTX Series apparaten. Een kwaadwillende kan deze kwetsbaarheid misbruiken om zijn rechten te verhogen. De kwetsbaarheid bevindt zich in de Flexible PIC Concentrators (FPC's) van Juniper Networks Junos OS Evolved op PTX systemen. Het misbruiken van de kwetsbaarheid kan leiden tot volledige compromittering van de Flexible PIC Concentrator component. De oorzaak ligt in onvoldoende access controls binnen de Junos OS Evolved omgeving op PTX Series hardware.
Bron: NCSC.nl
12 april 2026 | Adobe dicht kritieke kwetsbaarheid in Acrobat en Reader
Adobe heeft een kwetsbaarheid verholpen in Adobe Acrobat DC, Acrobat Reader DC en Acrobat 2024. Een kwaadwillende kan deze kwetsbaarheid misbruiken om willekeurige code uit te voeren op het systeem van het slachtoffer. Om dit te bewerkstelligen, moet de kwaadwillende het slachtoffer overtuigen om een malafide PDF bestand te openen. Uit informatie blijkt dat de kwetsbaarheid al sinds november 2025 actief wordt misbruikt. Een dergelijk malafide PDF bestand is geüpload naar VirusTotal.
Bron: NCSC
13 april 2026 | Kritieke pre-authenticatie RCE in Marimo actief misbruikt, direct patchen!
Het Cyber Security Centre Belgium (CCB) waarschuwt voor een kritieke kwetsbaarheid in Marimo, een open-source tool voor het maken van interactieve notebooks. De kwetsbaarheid, aangeduid als CVE-2026-39987, maakt het mogelijk voor aanvallers om op afstand code uit te voeren zonder authenticatie. De CVSS score is 9.3 (versie 3.0) en 4.0 (versie 4.0), wat duidt op een hoog risiconiveau.
Het CCB meldt dat deze kwetsbaarheid actief wordt misbruikt ("exploited in the wild") en adviseert gebruikers van Marimo om onmiddellijk de nieuwste versie te installeren waarin de kwetsbaarheid is verholpen. Meer informatie over de kwetsbaarheid en de getroffen versies is te vinden in de security advisory op GitHub. Het CCB biedt diverse diensten aan, waaronder Cyber Threat Research & Intelligence Sharing (CyTRIS) en het National Cybersecurity Coordination Centre Belgium (NCC-BE). Incidenten kunnen worden gemeld via de website van het CCB.
Bron: CCB | Bron 2: github.com | Bron 3: nvd.nist.gov
13 april 2026 | Nginx 1.29.8 en FreeNginx uitgebracht met kritieke beveiligingsupdates
Webserverbeheerders moeten prioriteit geven aan het updaten van hun infrastructuur, aangezien Nginx 1.29.8 en het parallelle FreeNginx project officieel kritieke updates hebben uitgebracht. Deze nieuwe versies, uitgebracht op 7 april 2026, introduceren essentiële beveiligingsfuncties, verbeterde cryptografische compatibiliteit en cruciale bugfixes die zijn ontworpen om robuuste serverprestaties te garanderen en te beschermen tegen moderne cyberdreigingen. FreeNginx, de fork gemaakt door kernontwikkelaar Maxim Dounin, blijft deze essentiële updates spiegelen, waardoor gebruikers in beide webserver ecosystemen beschermd blijven.
Een van de belangrijkste upgrades in de 1.29.8-release is de introductie van ondersteuning voor OpenSSL 4.0. Aangezien cryptografische normen snel evolueren om geavanceerde dreigingsactoren tegen te gaan, is het essentieel om compatibiliteit met de nieuwste OpenSSL frameworks te behouden voor het beveiligen van data tijdens transport. Deze integratie stelt beheerders in staat om geavanceerde encryptieprotocollen te gebruiken, waardoor gevoelig webverkeer beschermd blijft tegen moderne onderscheppingstechnieken en nieuw ontdekte cryptografische kwetsbaarheden.
Om webservers verder te versterken tegen HTTP gebaseerde aanvallen, introduceert Nginx 1.29.8 de nieuwe "max_headers"-richtlijn. Deze functie, ontwikkeld met bijdragen van Maxim Dounin, stelt beheerders in staat om het maximale aantal HTTP headers dat in een clientverzoek wordt geaccepteerd strikt te beperken. Door het aantal headers te beperken, kunnen servers effectief resource uitputtingsaanvallen beperken en buffer overflow kwetsbaarheden voorkomen, die denial of service dreigingsactoren vaak exploiteren.
Daarnaast ondersteunt de "include"-richtlijn binnen het "geo"-blok nu wildcards. Deze kwaliteitsverbetering stelt beheerders in staat om complexe geolocatiegebaseerde toegangscontrolelijsten efficiënter te beheren, waardoor beveiligingsconfiguraties en IP blokkering in grootschalige serverimplementaties worden gestroomlijnd.
Naast beveiligingsverbeteringen lost de update specifieke verwerkingsfouten op die de serverstabiliteit negatief kunnen beïnvloeden. Ontwikkelaars hebben een bug verholpen met betrekking tot de verwerking van HTTP 103 (Early Hints)-responses wanneer deze worden gerouteerd vanuit een proxied backend. Het oplossen hiervan zorgt ervoor dat browsers pre-load instructies soepel ontvangen zonder de verbindingsafhandeling te verstoren. De release lost ook een intern routeringsprobleem op waarbij de variabelen request_port en is_request_port voorheen niet beschikbaar waren in subverzoeken. Het oplossen hiervan zorgt ervoor dat interne serverroutering en logging mechanismen nauwkeurig functioneren, wat een kritieke component is voor incident response teams die serververkeer monitoren.
Cybersecurity experts adviseren systeembeheerders die op Nginx of FreeNginx vertrouwen ten zeerste om onmiddellijk de 1.29.8-update toe te passen om hun aanvalsoppervlak te verkleinen en hun webinfrastructuur te beveiligen.
Bron: Nginx
13 april 2026 | Hoge prioriteit: Kwetsbaarheid in Apache ActiveMQ vereist onmiddellijke patch!
Het Cybersecurity Centrum België (CCB) waarschuwt voor een ernstige kwetsbaarheid in Apache ActiveMQ, met CVE-nummer CVE-2026-34197 en een CVSS score van 8.8. Het CCB adviseert om onmiddellijk de nodige patches te installeren om misbruik te voorkomen.
Bron: CCB | Bron 2: nvd.nist.gov | Bron 3: activemq.apache.org
13 april 2026 | Meerdere kwetsbaarheden in Canonical LXD vereisen onmiddellijke patch
Het Cybersecurity Centrum België (CCB) waarschuwt voor meerdere kwetsbaarheden in Canonical LXD, die privilegeverhoging en compromittering van de host mogelijk maken. Het risiconiveau is ingeschat als laag. De getroffen versies zijn lager dan 5.0.7.
De kwetsbaarheden zijn geïdentificeerd als CVE-2026-34178, CVE-2026-34177 en CVE-2026-34179, met een CVSS score van 9.1 (CVSS:3.1). Het CCB adviseert gebruikers van Canonical LXD om onmiddellijk de nodige patches te installeren om de risico's te minimaliseren.
Bron: CCB | Bron 2: github.com
13 april 2026 | Hoog aantal kritieke kwetsbaarheden en zero day exploit door Interlock ransomware
In maart 2026 heeft Insikt Group 31 impactvolle kwetsbaarheden geïdentificeerd die prioriteit zouden moeten krijgen voor herstel. 29 hiervan hadden een Very Critical Recorded Future Risk Score. De kwetsbaarheden betroffen producten van Cisco, Microsoft, Google, ConnectWise, Langflow, Citrix, Aquasecurity, Nginx UI, Qualcomm, F5, Craft CMS, Laravel, Apple, Synacor, Wing FTP Server, n8n, Omnissa, SolarWinds, Ivanti, Hikvision, Rockwell en Broadcom. Microsoft en Apple waren het meest getroffen, met ongeveer 32% van de 31 kwetsbaarheden.
Een negen jaar oude kwetsbaarheid (CVE-2017-7921 in Hikvision) benadrukt dat aanvallers nog steeds oude zwakke plekken misbruiken in omgevingen waar patching achterloopt. Verouderde en ongepatchte systemen blijven aantrekkelijke doelwitten. Er zijn Nuclei templates gemaakt voor een high severity path traversal kwetsbaarheid in MindsDB (CVE-2026-27483) en een kritieke missing authenticatie kwetsbaarheid in Nginx UI (CVE-2026-27944). Er waren public proof of concept (PoC) exploits voor 10 van de 31 kwetsbaarheden.
De meest voorkomende zwakheden waren CWE-502 (Deserialization of Untrusted Data) en CWE-94 (Code Injection). Twee kwetsbaarheden en een exploit kit (met 23 exploits, waarvan 12 gekoppeld aan CVE's) waren verbonden aan malware campagnes. De Interlock ransomware groep misbruikte een zero day in Cisco Secure Firewall Management Center om bedrijfsnetwerken te compromitteren, custom remote access trojans (RATs) te deployen en ransomware operaties uit te voeren.
De DarkSword iOS full-chain exploit maakte Safari based remote code execution (RCE), sandbox escape en kernel-level access mogelijk, wat leidde tot de deployment van de G...
Een lijst van enkele van de actief geëxploiteerde kwetsbaarheden in maart 2026:
* CVE-2026-20131: Cisco Secure Firewall Management Center (FMC), CWE-502 (Deserialization of Untrusted Data)
* CVE-2026-21262: Microsoft SQL Server (2016 SP3, 2017, 2019, 2022, 2025), CWE-284 (Improper Access Control)
* CVE-2026-26127: Microsoft .NET (9.0, 10.0) en Microsoft.Bcl.Memory, CWE-125 (Out-of-bounds Read)
* CVE-2026-3909: Google Skia, CWE-787 (Out-of-bounds Write)
* CVE-2026-3910: Google Chromium V8, CWE-119 (Improper Restriction of Operations within the Bounds of a Memory Buffer)
* CVE-2026-3564: ConnectWise ScreenConnect, CWE-347 (Improper Verification of Cryptographic Signature)
* CVE-2026-33017: Langflow, CWE-94 (Code Injection), CWE-95 (Eval Injection), CWE-306 (Missing Authentication for Critical Function)
* CVE-2026-3055: Citrix NetScaler, CWE-125 (Out-of-bounds Read)
* CVE-2026-33634: Aquasecurity Trivy, CWE-506 (Embedded Malicious Code)
* CVE-2026-25187: Microsoft Windows, CWE-59 (Link Following)
* CVE-2026-33032: Nginx UI, CWE-306 (Missing Authentication for Critical Function)
* CVE-2026-21385: Qualcomm (Multiple Chipsets), CWE-190 (Integer Overflow or Wraparound)
* CVE-2025-53521: F5 BIG-IP, CWE-121 (Stack-based Buffer Overflow)
Bron: Recorded Future | Bron 2: github.com
► Lees ook: Alles over ransomware in onze bibliotheek: https://www.ccinfo.nl/menu-onderwijs-ontwikkeling/cybercrime/ransomware
13 april 2026 | Adobe Acrobat kwetsbaarheid CVE-2026-34621 actief misbruikt
Adobe heeft een kwetsbaarheid (CVE-2026-34621) verholpen in Adobe Acrobat DC, Acrobat Reader DC en Acrobat 2024. Het betreft een kwetsbaarheid van het type prototype pollution met CVSS-score 8.6. Een kwaadwillende kan deze kwetsbaarheid misbruiken om willekeurige code uit te voeren op het systeem van het slachtoffer. Hiervoor moet het slachtoffer een malafide PDF-bestand openen.
Er is een malafide PDF-bestand op VirusTotal aangetroffen, wat erop wijst dat de kwetsbaarheid al sinds november 2025 wordt misbruikt.
Inmiddels is er publieke exploitcode beschikbaar, wat de kans op grootschalig misbruik op korte termijn aanzienlijk vergroot.
Bron: NCSC
13 april 2026 | Kritieke kwetsbaarheid in wolfSSL maakt vervalsen certificaten mogelijk
Een kritieke kwetsbaarheid in de wolfSSL bibliotheek SSL/TLS maakt het mogelijk om de beveiliging te verzwakken door een onjuiste verificatie van het hash-algoritme of de grootte ervan bij het controleren van handtekeningen met ECDSA (Elliptic Curve Digital Signature Algorithm). Onderzoekers waarschuwen dat een aanvaller dit probleem kan misbruiken om een doelapparaat of -applicatie te dwingen vervalste certificaten te accepteren voor kwaadaardige servers of verbindingen.
wolfSSL is een lichtgewicht implementatie van TLS/SSL geschreven in C, ontworpen voor embedded systemen, IoT apparaten, industriële controlesystemen, routers, apparaten, sensoren, automotive systemen en zelfs apparatuur voor ruimtevaart of militair gebruik. Volgens de website van het project wordt wolfSSL gebruikt in meer dan 5 miljard applicaties en apparaten wereldwijd.
De kwetsbaarheid, ontdekt door Nicholas Carlini van Anthropic en gevolgd als CVE-2026-5194, is een cryptografische validatiefout die meerdere handtekeningalgoritmen in wolfSSL treft, waardoor onjuist zwakke digests kunnen worden geaccepteerd tijdens certificaatverificatie. Het probleem treft meerdere algoritmen, waaronder ECDSA/ECC, DSA, ML-DSA, Ed25519 en Ed448. Voor builds die zowel ECC als EdDSA of ML-DSA actief hebben, wordt aanbevolen om te upgraden naar de nieuwste release van wolfSSL, versie 5.9.1, uitgebracht op 8 april.
Het beveiligingsadvies meldt dat ontbrekende hash/digest-grootte en OID-controles digests kleiner dan toegestaan toestaan bij het verifiëren van certificaten met ECDSA, of kleiner dan geschikt is voor het relevante sleuteltype, om te worden geaccepteerd door handtekeningverificatiefuncties. Dit zou kunnen leiden tot verminderde beveiliging van ECDSA-certificaat gebaseerde authenticatie als de gebruikte publieke CA-sleutel (certificate authority) ook bekend is.
Volgens Lukasz Olejnik, onafhankelijk beveiligingsonderzoeker en consultant, zou het exploiteren van CVE-2026-5194 applicaties of apparaten die een kwetsbare wolfSSL-versie gebruiken, kunnen misleiden om een vervalste digitale identiteit als echt te accepteren, waardoor een kwaadaardige server, bestand of verbinding wordt vertrouwd die het had moeten afwijzen. Een aanvaller kan deze zwakte misbruiken door een vervalst certificaat te leveren met een kleinere digest dan cryptografisch geschikt is, zodat het systeem een handtekening accepteert die gemakkelijker te vervalsen of te reproduceren is.
Systeembeheerders wordt geadviseerd hun implementaties te controleren en de beveiligingsupdates onmiddellijk toe te passen om ervoor te zorgen dat de certificaatvalidatie veilig blijft.
Bron: wolfSSL | Bron 2: github.com | Bron 3: nvd.nist.gov
13 april 2026 | CISA voegt zeven bekende kwetsbaarheden toe aan KEV catalogus
De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft zeven nieuwe kwetsbaarheden toegevoegd aan de Known Exploited Vulnerabilities (KEV) catalogus, op basis van bewijs van actieve exploitatie. Het gaat om de volgende kwetsbaarheden:
* CVE-2012-1854: Microsoft Visual Basic for Applications Insecure Library Loading Vulnerability
* CVE-2020-9715: Adobe Acrobat Use-After-Free Vulnerability
* CVE-2023-21529: Microsoft Exchange Server Deserialization of Untrusted Data Vulnerability
* CVE-2023-36424: Microsoft Windows Out-of-Bounds Read Vulnerability
* CVE-2025-60710: Microsoft Windows Link Following Vulnerability
* CVE-2026-21643: Fortinet FortiClient EMS SQL Injection Vulnerability (CVSS 9.8)
* CVE-2026-34621: Adobe Acrobat and Reader Prototype Pollution Vulnerability (CVSS 8.6, actief misbruikt)
CISA benadrukt dat dit soort kwetsbaarheden vaak worden gebruikt als aanvalsvectoren door kwaadwillende cyberactoren en aanzienlijke risico's vormen.
Binding Operational Directive (BOD) 22-01 introduceerde de KEV catalogus als een actuele lijst van bekende Common Vulnerabilities and Exposures (CVE's) die een significant risico vormen voor de federale overheid. BOD 22-01 verplicht federale civiele uitvoerende instanties (FCEB) om geïdentificeerde kwetsbaarheden te verhelpen voor de deadline om FCEB-netwerken te beschermen tegen actieve bedreigingen.
Hoewel BOD 22-01 alleen van toepassing is op FCEB-instanties, adviseert CISA alle organisaties om hun blootstelling aan cyberaanvallen te verminderen door prioriteit te geven aan tijdige herstel van kwetsbaarheden in de KEV catalogus als onderdeel van hun vulnerability management praktijk. CISA zal de catalogus blijven aanvullen met kwetsbaarheden die aan de gestelde criteria voldoen.
Bron: CISA | Bron 2: cve.org
14 april 2026 | Microsoft Patch Tuesday april 2026: 165 kwetsbaarheden gepatcht
Microsoft heeft de maandelijkse beveiligingsupdate voor april 2026 uitgebracht, met fixes voor 165 kwetsbaarheden in diverse producten. Acht van deze kwetsbaarheden zijn door Microsoft als "kritiek" beoordeeld.
Een van de meest opvallende kwetsbaarheden is CVE-2026-23666, een kritieke Denial of Service (DoS) kwetsbaarheid in het .NET framework. Een succesvolle exploitatie kan een aanvaller in staat stellen om een service over het netwerk te ontregelen.
CVE-2026-32157 is een kritieke 'use after free' kwetsbaarheid in de Remote Desktop Client die kan leiden tot het uitvoeren van code. Voor een succesvolle aanval is een geautoriseerde gebruiker op de client nodig die verbinding maakt met een kwaadwillige server. Dit kan resulteren in het uitvoeren van code op de client.
CVE-2026-32190 is een kritieke 'user-after-free' kwetsbaarheid in Microsoft Office die kan leiden tot lokale code-executie. De aanvaller is op afstand, maar de aanval wordt lokaal uitgevoerd. Code van de lokale machine moet worden uitgevoerd om de kwetsbaarheid te exploiteren.
CVE-2026-33114 is een kritieke 'untrusted pointer deference' kwetsbaarheid in Microsoft Office Word die een aanvaller in staat kan stellen om lokaal code uit te voeren. Code van de lokale machine moet worden uitgevoerd om deze kwetsbaarheid te exploiteren. CVE-2026-33115 is een kritieke 'use after free' kwetsbaarheid in Microsoft Office Word die kan leiden tot lokale code-executie. Net als bij CVE-2026-33114 en CVE-2026-32190 is de aanvaller op afstand, maar code moet worden uitgevoerd vanaf de lokale machine om de kwetsbaarheid te exploiteren.
CVE-2026-33824 is een kritieke 'double-free' kwetsbaarheid in de Windows Internet Key Exchange (IKE) extensie, waardoor code op afstand kan worden uitgevoerd. Een niet-geauthenticeerde aanvaller kan speciaal vervaardigde pakketten verzenden naar een Windows-machine waarop IKE versie 2 is ingeschakeld om mogelijk code op afstand uit te voeren. Aanvullende mitigaties kunnen bestaan uit het blokkeren van inkomend verkeer op UDP-poorten 500 en 4500 als IKE niet in gebruik is.
CVE-2026-33826 is een kritieke 'improper input validation' in Windows Active Directory die kan leiden tot het uitvoeren van code via een aangrenzend netwerk. Vereist een geauthenticeerde aanvaller om speciaal vervaardigde RPC-aanroepen te verzenden naar een RPC-host. Kan resulteren in het uitvoeren van code op afstand. Succesvolle exploitatie vereist dat de aanvaller zich in hetzelfde beperkte Active Directory-domein bevindt als het doelsysteem.
CVE-2026-33827 is een kritieke 'race condition' kwetsbaarheid in Windows TCP/IP die kan leiden tot het uitvoeren van code op afstand. Succesvolle exploitatie vereist dat de aanvaller een 'race condition' wint, samen met aanvullende acties voorafgaand aan de exploitatie om de doelomgeving voor te bereiden. Een niet-geauthenticeerde actor kan speciaal vervaardigde IPv6-pakketten verzenden naar een Windows-node waar IPSec is ingeschakeld om mogelijk code op afstand uit te voeren.
CVE-2026-32201 is een belangrijke 'improper input validation' kwetsbaarheid in Microsoft Office SharePoint die een niet-geautoriseerde gebruiker in staat kan stellen om spoofing uit te voeren. Een aanvaller die deze kwetsbaarheid succesvol exploiteert, kan gevoelige informatie bekijken en wijzigingen aanbrengen in vrijgegeven informatie. Deze kwetsbaarheid is al gedetecteerd en wordt in het wild misbruikt.
Naast de kritieke kwetsbaarheden zijn er verschillende belangrijke kwetsbaarheden die door Microsoft als "meer waarschijnlijk" worden beschouwd om te worden misbruikt: CVE-2026-0390, CVE-2026-26151, CVE-2026-26169, CVE-2026-26173, CVE-2026-26177, CVE-2026-26182, CVE-2026-27906, CVE-2026-27908, CVE-2026-27909, CVE-2026-27913, CVE-2026-27914, CVE-2026-27921, CVE-2026-27922, CVE-2026-32070, CVE-2026-32075, CVE-2026-32093, CVE-2026-32152, CVE-2026-32154, CVE-2026-32155 en CVE-2026-32162.
Bron: Cisco Talos | Bron 2: msrc.microsoft.com
14 april 2026 | CISA voegt CVE-2009-0238 en CVE-2026-32201 toe aan KEV catalogus
De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft twee nieuwe kwetsbaarheden toegevoegd aan de Known Exploited Vulnerabilities (KEV) catalogus, op basis van bewijs van actieve exploitatie. Het gaat om de volgende kwetsbaarheden:
* CVE-2009-0238: Microsoft Office Remote Code Execution Vulnerability
* CVE-2026-32201: Microsoft SharePoint Server Improper Input Validation Vulnerability
CISA stelt dat dit type kwetsbaarheden frequente aanvalsvectoren zijn voor kwaadwillende cyberactoren en aanzienlijke risico's vormen. Binding Operational Directive (BOD) 22-01 vestigde de KEV catalogus als een actuele lijst van bekende Common Vulnerabilities and Exposures (CVE's) die een significant risico vormen voor de federale overheid. BOD 22-01 verplicht federale civiele uitvoerende instanties (FCEB) voor herstel van geïdentificeerde kwetsbaarheden voor de deadline om FCEB-netwerken te beschermen tegen actieve bedreigingen.
Hoewel BOD 22-01 alleen van toepassing is op FCEB-agentschappen, dringt CISA er bij alle organisaties op aan om hun blootstelling aan cyberaanvallen te verminderen door prioriteit te geven aan tijdige herstel van KEV catalogus kwetsbaarheden als onderdeel van hun vulnerability management praktijk. CISA zal kwetsbaarheden blijven toevoegen aan de catalogus die voldoen aan de gespecificeerde criteria.
Bron: CISA | Bron 2: cve.org | Bron 3: go.dhs.gov
14 april 2026 | Kritiek lek door SQL injection in SAP Business Planning en Warehouse
SAP heeft een kritieke kwetsbaarheid (CVE-2026-27681) in Business Planning en Business Warehouse verholpen. Via dit lek kan een ongeautoriseerde aanvaller op afstand willekeurige SQL-commando's uitvoeren op de database. De impact van het beveiligingslek is beoordeeld met een score van 9.9 op een schaal van 1 tot 10. Het beveiligingsbedrijf Onapsis heeft de kwetsbaarheid aan SAP gerapporteerd.
SAP Business Planning and Consolidation (BPC) is een oplossing voor het plannen en consolideren van bedrijfsfinanciën. SAP Business Warehouse (BW) is een oplossing voor het opslaan en analyseren van grote hoeveelheden bedrijfsgegevens. De kwetsbaarheid bevindt zich in een ABAP-programma dat een gebruiker met lage rechten een bestand laat uploaden met willekeurige SQL-commando's die vervolgens worden uitgevoerd. SAP heeft het probleem verholpen door alle uitvoerbare code in het kwetsbare programma uit te schakelen.
Als tijdelijke oplossing adviseert SAP om de autorisatie van gebruikersaccounts om bestanden te uploaden te verwijderen. Dit kan echter gevolgen hebben voor gebruikers in andere applicaties. Onapsis raadt aan om de patch zo snel mogelijk te installeren, omdat de workaround kan leiden tot bijwerkingen voor de getroffen gebruikers in andere applicaties en vanwege de impact van de kwetsbaarheid.
Naast het kritieke SQL-injectielek verhelpt SAP ook een kwetsbaarheid in ERP en S/4HANA (CVE-2026-34256) waardoor een geauthenticeerde aanvaller een ABAP-programma kan uitvoeren om bestaande achtkarakters uitvoerbare programma's te overschrijven. De impact van dit beveiligingslek is beoordeeld met een score van 7.1.
Bron: Onapsis | Bron 2: support.sap.com
14 april 2026 | Kwetsbaarheden in diverse SAP producten verholpen
SAP heeft een reeks beveiligingsupdates uitgebracht om kwetsbaarheden in verschillende producten te verhelpen. De getroffen producten omvatten SAP Supplier Relationship Management, SAP BusinessObjects Business Intelligence Platform, SAP NetWeaver Application Server Java en ABAP, SAP Landscape Transformation, SAP Business Planning and Consolidation, SAP Business Warehouse, SAP Content Management, en SAP Human Capital Management.
De kwetsbaarheden variëren van Cross-Site Scripting (XSS) tot code injectie en open redirect problemen. Deze problemen kunnen door ongeauthenticeerde aanvallers worden misbruikt, wat de vertrouwelijkheid, integriteit en beschikbaarheid van data en systemen in gevaar brengt. Daarnaast zijn er SQL-injectiekwetsbaarheden gevonden in SAP Business Planning and Consolidation en SAP Business Warehouse. Deze kwetsbaarheden kunnen ernstige gevolgen hebben voor de getroffen organisaties.
Bron: NCSC
14 april 2026 | Microsoft dicht kritieke lekken in SQL Server (april 2026)
Microsoft heeft beveiligingsupdates uitgebracht om kwetsbaarheden in SQL Server te verhelpen. Een aanvaller kan deze kwetsbaarheden misbruiken door onvoldoende neutralisatie van invoer en het onveilig derefereren van niet vertrouwde pointers door SQL Server. Een geautoriseerde aanvaller kan hierdoor lokaal verhoogde rechten verkrijgen of op afstand, via het netwerk, willekeurige code uitvoeren.
De National Cyber Security Centre (NCSC) waarschuwt voor drie specifieke kwetsbaarheden: CVE-2026-32167 en CVE-2026-32176, beide met een CVSS score van 6.70, waardoor een aanvaller verhoogde rechten kan verkrijgen. Daarnaast is er CVE-2026-33120 met een CVSS score van 8.80, die het mogelijk maakt om op afstand willekeurige code uit te voeren.
Bron: NCSC
14 april 2026 | Microsoft dicht kwetsbaarheden in componenten van Azure
Microsoft heeft diverse kwetsbaarheden verholpen in verschillende componenten van Azure. Door onvoldoende validatie van invoer of onveilige verwerking van niet vertrouwde data door meerdere Azure en Microsoft-componenten, kan een geautoriseerde aanvaller zijn rechten verhogen, zowel lokaal als via het netwerk.
De volgende kwetsbaarheden zijn verholpen:
* **Microsoft High Performance Compute Pack (HPC):**
* CVE-2026-32184: CVSS 7,80 - Verkrijgen van verhoogde rechten
* **Azure Monitor Agent:**
* CVE-2026-32168: CVSS 7,80 - Verkrijgen van verhoogde rechten
* CVE-2026-32192: CVSS 7,80 - Verkrijgen van verhoogde rechten
* **Azure Logic Apps:**
* CVE-2026-32171: CVSS 8,80 - Verkrijgen van verhoogde rechten
Bron: NCSC
14 april 2026 | Microsoft dicht kwetsbaarheden in Office producten
Microsoft heeft diverse kwetsbaarheden verholpen in verschillende Office producten. Deze kwetsbaarheden kunnen door kwaadwillenden worden misbruikt om beveiligingsmaatregelen te omzeilen, zich voor te doen als een andere gebruiker, verhoogde rechten te verkrijgen en toegang te krijgen tot gevoelige gegevens.
Voor een succesvolle aanval moet de kwaadwillende het slachtoffer misleiden om een malafide bestand te openen of een link te volgen. De kwetsbaarheden betreffen de volgende producten:
Microsoft Office PowerPoint:
* CVE-2026-32200 | CVSS 7,80 | Uitvoeren van willekeurige code
Microsoft Office Word:
* CVE-2026-33095 | CVSS 7,80 | Uitvoeren van willekeurige code
* CVE-2026-33822 | CVSS 6,10 | Toegang tot gevoelige gegevens
* CVE-2026-23657 | CVSS 7,80 | Uitvoeren van willekeurige code
* CVE-2026-33114 | CVSS 8,40 | Uitvoeren van willekeurige code
* CVE-2026-33115 | CVSS 8,40 | Uitvoeren van willekeurige code
Microsoft Office:
* CVE-2026-32190 | CVSS 8,40 | Uitvoeren van willekeurige code
Microsoft Office SharePoint:
* CVE-2026-20945 | CVSS 4,60 | Voordoen als andere gebruiker
* CVE-2026-32201 | CVSS 6,50 | Voordoen als andere gebruiker
Microsoft Office Excel:
* CVE-2026-32188 | CVSS 7,10 | Toegang tot gevoelige gegevens
* CVE-2026-32189 | CVSS 7,80 | Uitvoeren van willekeurige code
* CVE-2026-32197 | CVSS 7,80 | Uitvoeren van willekeurige code
* CVE-2026-32198 | CVSS 7,80 | Uitvoeren van willekeurige code
* CVE-2026-32199 | CVSS 7,80 | Uitvoeren van willekeurige code
Bron: NCSC
14 april 2026 | Microsoft dicht reeks kwetsbaarheden in .NET, Visual Studio en PowerShell
Microsoft heeft een reeks kwetsbaarheden verholpen in .NET, .NET Framework, Visual Studio en PowerShell. Deze kwetsbaarheden kunnen door kwaadwillenden worden misbruikt om verschillende soorten aanvallen uit te voeren, waaronder Denial of Service (DoS), ongeautoriseerde toegang tot gevoelige gegevens, het omzeilen van beveiligingsmaatregelen en spoofing.
Een overzicht van de specifieke kwetsbaarheden:
* **.NET, .NET Framework, Visual Studio:**
* CVE-2026-33116: Een Denial of Service kwetsbaarheid met een CVSS score van 7.50.
* **Microsoft PowerShell:**
* CVE-2026-26143: Een kwetsbaarheid die het mogelijk maakt om beveiligingsmaatregelen te omzeilen, met een CVSS score van 7.80.
* **GitHub Copilot en Visual Studio Code:**
* CVE-2026-23653: Een kwetsbaarheid die toegang geeft tot gevoelige gegevens, met een CVSS score van 5.70.
* **.NET en Visual Studio:**
* CVE-2026-32203: Een Denial of Service kwetsbaarheid met een CVSS score van 7.50.
* **.NET Framework:**
* CVE-2026-32226: Een Denial of Service kwetsbaarheid met een CVSS score van 5.90.
* CVE-2026-23666: Een Denial of Service kwetsbaarheid met een CVSS score van 7.50.
* **.NET:**
* CVE-2026-32178: Een kwetsbaarheid die het mogelijk maakt om zich voor te doen als een andere gebruiker (spoofing), met een CVSS score van 7.50.
* CVE-2026-26171: Een Denial of Service kwetsbaarheid met een CVSS score van 7.50.
Bron: NCSC
14 april 2026 | Kwetsbaarheden in Juniper Junos OS maken Denial of Service mogelijk
Het Cyber Security Centre Belgium (CCB) waarschuwt voor kwetsbaarheden in Juniper Junos OS die een Denial of Service (DoS) kunnen veroorzaken. Het gaat om de volgende CVE-nummers: CVE-2026-33782, CVE-2026-33783. De CVSS scores zijn respectievelijk 7.1 en 8.7, wat duidt op een matig tot hoog risico. Een derde kwetsbaarheid heeft een CVSS score van 4.0, wat een laag risico inhoudt. Het CCB adviseert om de betreffende systemen onmiddellijk te patchen.
Bron: CCB | Bron 2: nvd.nist.gov
14 april 2026 | Kritieke Remote Code Execution in Talend JobServer en Runtime
Het Cyber Security Centre Belgium (CCB) waarschuwt voor een kritieke remote code execution kwetsbaarheid in Talend JobServer en Talend Runtime. De kwetsbaarheid, aangeduid met CVE-2026-6264, heeft een CVSS score van 9.8 en kan leiden tot het uitvoeren van code op afstand. Het risiconiveau is geclassificeerd als "Kritiek". De kwetsbaarheid betreft versie 7.3 en versie 8.0. Het CCB adviseert om onmiddellijk de nodige patches te installeren.
Bron: CCB | Bron 2: github.com | Bron 3: nvd.nist.gov
14 april 2026 | Kritieke kwetsbaarheid in ShowDoc actief misbruikt
Cybercriminelen maken actief misbruik van een kritieke kwetsbaarheid in ShowDoc, een online tool voor het delen van documenten en samenwerking die wereldwijd door IT teams wordt gebruikt. De kwetsbaarheid, aangeduid als CNVD-2020-26585, stelt niet-geauthenticeerde aanvallers in staat om kwaadaardige bestanden te uploaden en willekeurige code uit te voeren op kwetsbare servers.
Omdat ShowDoc vaak gevoelige interne documentatie en API-specificaties bevat, kan een succesvolle inbraak aanvallers een aanzienlijke toegang tot het interne netwerk van een organisatie geven. De kwetsbaarheid is te wijten aan een onbeperkt mechanisme voor het uploaden van bestanden in ShowDoc-versies vóór 2.8.7. Het probleem zit in de manier waarop de applicatie inkomende bestand uploads verwerkt via het image upload API endpoint.
Aanvallers kunnen standaard beveiligingsfilters volledig omzeilen, zonder voorafgaande authenticatie of systeemrechten, om een kwaadaardige payload rechtstreeks naar de serverinfrastructuur te sturen. Security onderzoekers van het Vulhub-project hebben aangetoond dat de exploit slechts één, speciaal vervaardigd HTTP POST verzoek vereist. Door zich te richten op het /index.php?s=/home/page/uploadImg endpoint, kunnen aanvallers de server dwingen om uitvoerbare PHP scripts te accepteren in plaats van standaard afbeeldingsformaten.
De exploit manipuleert de content disposition header door specifieke karakters in de bestandsnaam te injecteren, zoals test.<>php, om basis extensievalidatie te omzeilen. Aanvallers embedden een eenvoudige webshell of PHP execution command in de ruwe tekst van de geüploade multipart form data. Zodra de server het kwaadaardige verzoek succesvol verwerkt, reageert hij met de directe URL naar het nieuw geüploade PHP bestand. Door naar dit gegenereerde adres te navigeren, wordt het geïnjecteerde script uitgevoerd met de privileges van de webserver, waardoor de aanvaller volledige remote code execution mogelijkheden krijgt.
Organisaties die op ShowDoc vertrouwen, moeten onmiddellijk actie ondernemen om hun documentatie omgevingen te beveiligen tegen deze actieve dreiging. Op GitHub wordt benadrukt dat de wijdverspreide exploit code niet-gepatchte servers tot gemakkelijke doelwitten maakt voor geautomatiseerde scans en aanvallen.
Beheerders moeten hun ShowDoc instanties upgraden naar versie 2.8.7 of later om de officiële security patch voor deze kwetsbaarheid toe te passen. Security teams moeten webserver toegangslogs agressief controleren op verdachte POST verzoeken die gericht zijn op de image upload directory. Netwerkverdedigers moeten de toegang tot interne documentatie servers beperken om te voorkomen dat ze rechtstreeks aan het openbare internet worden blootgesteld. Organisaties moeten Web Application Firewalls configureren om inkomend verkeer te inspecteren en verkeerd geformatteerde file upload verzoeken met uitvoerbare script extensies te blokkeren.
Bron: Vulhub | Bron 2: github.com
14 april 2026 | Siemens dicht reeks kwetsbaarheden in industriële producten (april 2026)
Siemens heeft een reeks kwetsbaarheden verholpen in verschillende industriële producten, waaronder de Analytics Toolkit, Ruggedcom, Industrial Edge Management Pro, SIDIS en TPM. Deze kwetsbaarheden kunnen door kwaadwillenden worden misbruikt om diverse soorten schade aan te richten, waarschuwt het Nationaal Cyber Security Centrum (NCSC).
De potentiële gevolgen van misbruik omvatten Denial of Service (DoS) aanvallen, waarbij systemen onbereikbaar worden gemaakt, manipulatie van gegevens, het omzeilen van beveiligingsmaatregelen en het uitvoeren van code op afstand met root of administratorrechten. Daarnaast kunnen aanvallers toegang krijgen tot gevoelige systeemgegevens en hun privileges verhogen binnen het systeem.
Het NCSC benadrukt dat voor een succesvolle exploitatie van deze kwetsbaarheden een kwaadwillende toegang moet hebben tot de productieomgeving. Het wordt sterk aangeraden om dergelijke omgevingen niet publiek toegankelijk te maken, om zo het risico op misbruik te minimaliseren.
Bron: NCSC
14 april 2026 | NCSC waarschuwt voor misbruik kritiek Adobe Acrobat lek
Het Nationaal Cyber Security Centrum (NCSC) waarschuwt voor grootschalig misbruik van een kritieke kwetsbaarheid in Adobe Acrobat. Aanleiding is het verschijnen van proof of concept exploitcode op het internet. Het NCSC adviseert gebruikers van de pdf software om de noodpatch van Adobe zo snel mogelijk te installeren. Er zijn aanwijzingen dat misbruik van de kwetsbaarheid al maandenlang plaatsvindt.
Het beveiligingslek (CVE-2026-34621) maakt het mogelijk voor een aanvaller om willekeurige code uit te voeren op een systeem, wanneer een gebruiker met een kwetsbare versie van Acrobat een speciaal geprepareerd pdf-document opent. Beveiligingsonderzoeker Haifei Li maakte het bestaan van de kwetsbaarheid vorige week bekend en stelde dat er actief misbruik van werd gemaakt. Li ontdekte het lek via een systeem dat hij ontwikkelde voor het detecteren van exploits. Onderzoek wees uit dat aanvallen mogelijk al sinds eind november vorig jaar plaatsvinden.
Adobe bracht op zaterdag 11 april, buiten de vaste patchcyclus om, een noodpatch uit. Het softwarebedrijf omschrijft het probleem als een 'Improperly Controlled Modification of Object Prototype Attributes' kwetsbaarheid, maar geeft geen verdere details. Kort na het uitkomen van de updates verscheen er proof of concept exploitcode online. Het NCSC verwacht dat dit andere aanvallers zal helpen bij het uitvoeren van aanvallen. Vanwege de ernst van de kwetsbaarheid kwam het NCSC met een aparte waarschuwing.
Bron: NCSC
15 april 2026 | Kritieke kwetsbaarheden in Fortinet FortiSandbox verholpen
Fortinet heeft een reeks kwetsbaarheden in FortiSandbox aangepakt, waaronder zowel on-premises versies als FortiSandbox Cloud. Twee van deze kwetsbaarheden zijn door Fortinet zelf als kritiek beoordeeld. Het gaat om CVE-2026-39813, een OS command injection kwetsbaarheid, en CVE-2026-39808, een path traversal kwetsbaarheid in de JRPC API.
Door misbruik te maken van deze kwetsbaarheden, kan een niet-geauthenticeerde aanvaller ongeautoriseerde code of commando's uitvoeren en authenticatie omzeilen via gemanipuleerde HTTP-verzoeken.
Daarnaast zijn er andere kwetsbaarheden verholpen, waaronder een path traversal-kwetsbaarheid die een geprivilegieerde super-admin met CLI-toegang in staat stelt om via HTTP-verzoeken mappen te verwijderen. Ook zijn er meerdere cross-site scripting (XSS) kwetsbaarheden (zowel reflected als stored) verholpen, waardoor XSS aanvallen kunnen worden uitgevoerd via gemanipuleerde HTTP-verzoeken.
Bron: Fortinet
15 april 2026 | Microsoft dicht reeks kwetsbaarheden in Windows
Microsoft heeft een reeks beveiligingslekken in Windows verholpen. Een aanvaller kan deze kwetsbaarheden misbruiken om diverse schadelijke acties uit te voeren, waaronder Denial-of-Service (DoS), manipulatie van gegevens, toegang tot gevoelige gegevens, het uitvoeren van willekeurige code met gebruikersrechten, het verkrijgen van verhoogde rechten, het omzeilen van beveiligingsmaatregelen en spoofing.
De kwetsbaarheden betreffen verschillende componenten van Windows. In de Function Discovery Service (fdwsd.dll) zijn de CVE-2026-32087, CVE-2026-32093, CVE-2026-32086 en CVE-2026-32150 gedicht, allen met een CVSS-score van 7.00, die het mogelijk maken om verhoogde rechten te verkrijgen.
De Applocker Filter Driver (applockerfltr.sys) bevat de kwetsbaarheid CVE-2026-25184 (CVSS 7.00), die eveneens leidt tot het verkrijgen van verhoogde rechten.
In de Windows Kernel zijn de CVE-2026-26179, CVE-2026-26180, CVE-2026-26163 (allen CVSS 7.80) en CVE-2026-32195 (CVSS 7.00) verholpen, die het mogelijk maken om verhoogde rechten te verkrijgen. Daarnaast zijn er de CVE-2026-32215, CVE-2026-32217 en CVE-2026-32218 (allen CVSS 5.50) die toegang tot gevoelige gegevens mogelijk maken.
Windows Remote Procedure Call bevat CVE-2026-32085 (CVSS 5.50), waardoor toegang tot gevoelige gegevens mogelijk is.
In de Windows Common Log File System Driver is CVE-2026-32070 (CVSS 7.00) verholpen, wat kan leiden tot het verkrijgen van verhoogde rechten.
Microsoft Management Console is getroffen door CVE-2026-27914 (CVSS 7.80), waardoor verhoogde rechten verkregen kunnen worden.
Windows Push Notification Core kent de kwetsbaarheden CVE-2026-26167 (CVSS 8.80), CVE-2026-32158, CVE-2026-32159, CVE-2026-32160 en CVE-2026-26172 (allen CVSS 7.80), die het mogelijk maken om verhoogde rechten te verkrijgen.
Windows Installer bevat CVE-2026-27910 (CVSS 7.80), wat eveneens leidt tot het verkrijgen van verhoogde rechten.
In Windows File Explorer zijn de CVE-2026-32081, CVE-2026-32079 en CVE-2026-32084 (allen CVSS 5.50) gedicht, die toegang tot gevoelige gegevens mogelijk maken.
Windows Boot Manager is getroffen door CVE-2026-26175 (CVSS 4.60), waardoor een beveiligingsmaatregel omzeild kan worden.
Windows Boot Loader bevat CVE-2026-0390 (CVSS 6.70), wat ook het omzeilen van een beveiligingsmaatregel mogelijk maakt.
In Windows User Interface Core zijn de CVE-2026-32165, CVE-2026-27911, CVE-2026-32163 en CVE-2026-32164 (allen CVSS 7.80) verholpen, die het mogelijk maken om verhoogde rechten te verkrijgen.
Microsoft Windows Speech is getroffen door CVE-2026-32153 (CVSS 7.80), waardoor verhoogde rechten verkregen kunnen worden.
Windows USB Print Driver bevat CVE-2026-32223 (CVSS 6.80), wat kan leiden tot het verkrijgen van verhoogde rechten.
Windows COM is getroffen door de CVE-ID's CVE-2026-20806 (CVSS 5.50) en CVE-2026-32162 (CVSS 8.40).
Input-Output Memory Management Unit (IOMMU) is getroffen door CVE-2023-20585 (CVSS 5.30).
Universal Plug and Play (upnp.dll) bevat de kwetsbaarheden CVE-2026-32212 en CVE-2026-32214 (allen CVSS 5.50) die toegang tot gevoelige gegevens mogelijk maken.
Windows Redirected Drive Buffering is getroffen door CVE-2026-32216 (CVSS 7.80), wat kan leiden tot het verkrijgen van verhoogde rechten.
Windows Virtualization-Based Security (VBS) Enclave is getroffen door CVE-2026-23670 (CVSS 5.70) en CVE-2026-32220 (CVSS 4.40), waardoor een beveiligingsmaatregel omzeild kan worden.
Windows Active Directory is getroffen door CVE-2026-33826 (CVSS 8.00), wat kan leiden tot het uitvoeren van willekeurige code, en CVE-2026-32072 (CVSS 6.20) wat het mogelijk maakt om je voor te doen als een andere gebruiker.
Bron: NCSC
15 april 2026 | Microsoft beloont onderzoekers met $2,3 miljoen voor cloud en AI kwetsbaarheden
Microsoft heeft $2,3 miljoen uitgekeerd aan beveiligingsonderzoekers als beloning voor het vinden van kwetsbaarheden tijdens de Zero Day Quest hacking contest van dit jaar. Volgens Tom Gallagher, Vice President of Engineering bij Microsoft Security Response Center (MSRC), werden er meer dan 80 impactvolle cloud- en AI-beveiligingslekken gevonden tijdens het live evenement op Microsoft's campus in Redmond.
Aan de wedstrijd deden onderzoekers uit meer dan 20 landen mee, met verschillende achtergronden, van middelbare scholieren tot professoren. Alle tests werden uitgevoerd binnen geautoriseerde omgevingen en volgens de regels van Microsoft, waarbij de onderzoekers de potentiële impact aantoonden zonder toegang te krijgen tot klantgegevens of andere tenantsystemen. Binnen deze beperkingen identificeerden de onderzoekers kritieke paden met betrekking tot blootstelling van inloggegevens, SSRF-chains en cross-tenant access.
In augustus 2025 kondigde Microsoft aan dat het de prijzenpot voor de Zero Day Quest hacking contest van 2026 zou verhogen tot $5 miljoen. De Zero Day Quest contest is onderdeel van Microsoft's Secure Future Initiative (SFI), een cybersecurity engineering project dat in november 2023 werd gelanceerd.
In 2025 betaalde Microsoft $1,6 miljoen aan beloningen na meer dan 600 inzendingen van kwetsbaarheden te hebben ontvangen. Gallagher zei dat de lessen van de Zero Day Quest binnen Microsoft zullen worden gedeeld om de cloud- en AI-beveiliging te verbeteren in overeenstemming met de kernprincipes van SFI: standaard, door ontwerp en in operaties beveiligen.
Eerder die maand kondigde Microsoft aan dat het tussen juli 2024 en juni 2025 een recordbedrag van $17 miljoen had betaald aan 344 beveiligingsonderzoekers uit 59 landen via zijn bug bounty programma. In december werd ook aangekondigd dat beveiligingsonderzoekers zouden worden betaald voor het vinden van kritieke kwetsbaarheden in alle online services van Microsoft, zelfs als de kwetsbare code door een derde partij was geschreven.
Bron: Microsoft
15 april 2026 | CISA waarschuwt voor actief misbruikte Windows Task Host kwetsbaarheid
De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft Amerikaanse overheidsinstanties gewaarschuwd om hun systemen te beveiligen tegen een privilege escalation kwetsbaarheid in Windows Task Host. Deze kwetsbaarheid, aangeduid als CVE-2025-60710, kan aanvallers in staat stellen om SYSTEM-privileges te verkrijgen.
Task Host is een kerncomponent van Windows dat dient als een container voor DLL-gebaseerde processen, waardoor ze op de achtergrond kunnen werken en correct worden afgesloten tijdens het afsluiten om datacorruptie te voorkomen. Het beveiligingslek wordt veroorzaakt door een 'link following' zwakte in Windows 11 en Windows Server 2025. Microsoft heeft in november 2025 een patch uitgebracht voor dit probleem.
De kwetsbaarheid kan worden misbruikt door lokale aanvallers met basisgebruikersrechten via aanvallen met een lage complexiteit. Hierdoor kunnen ze SYSTEM-privileges verkrijgen en de volledige controle over het getroffen apparaat overnemen. Microsoft legt uit dat een onjuiste linkresolutie voorafgaand aan bestandstoegang ('link following') in Host Process for Windows Tasks een geautoriseerde aanvaller in staat stelt om lokaal privileges te verhogen.
CISA heeft CVE-2025-60710 toegevoegd aan haar catalogus van actief misbruikte kwetsbaarheden en gaf federale civiele uitvoerende tak (FCEB) agentschappen twee weken de tijd om hun systemen te beveiligen, zoals vereist door Binding Operational Directive (BOD) 22-01 uit november 2021. Hoewel CISA geen details heeft gedeeld over de specifieke aanvallen, heeft Microsoft zijn security advisory nog niet bijgewerkt om actieve exploitatie te bevestigen.
CISA dringt er bij alle beheerders, ook die in de private sector, op aan om de CVE-2025-60710 patches zo snel mogelijk te implementeren en de netwerken van hun organisaties te beveiligen. Het agentschap waarschuwt dat dit type kwetsbaarheid een veelgebruikte aanvalsvector is voor kwaadwillende cyberactoren en aanzienlijke risico's vormt.
Een week eerder gaf CISA federale agentschappen vier dagen de tijd om hun netwerken te beveiligen tegen een kritieke kwetsbaarheid in Ivanti Endpoint Manager Mobile (EPMM) die sinds januari in aanvallen wordt misbruikt. Microsoft heeft onlangs ook beveiligingsupdates uitgebracht voor 167 kwetsbaarheden, waaronder twee zero-day lekken, als onderdeel van de April 2026 Patch Tuesday.
Bron: CISA | Bron 2: msrc.microsoft.com | Bron 3: nvd.nist.gov
15 april 2026 | Kwetsbaarheid in Model Context Protocol maakt grootschalige aanvallen mogelijk
Onderzoekers van het securitybedrijf OX Security waarschuwen voor een kwetsbaarheid in het Model Context Protocol (MCP) die grootschalige aanvallen mogelijk kan maken. MCP is een protocol dat wordt gebruikt voor de data-uitwisseling tussen AI modellen en externe tools. Het protocol is ontwikkeld door Anthropic en wordt door diverse partijen gebruikt.
Het probleem zit in de MCP-implementatie van Anthropic, die door de meeste MCP-providers wordt gebruikt. De kwetsbaarheid stelt een aanvaller in staat om willekeurige commando's uit te voeren op een MCP-server. Volgens de onderzoekers is de kwetsbaarheid eenvoudig te misbruiken.
OX Security heeft Anthropic op de hoogte gesteld van de kwetsbaarheid, maar Anthropic beschouwt dit als "expected behaviour". De onderzoekers stellen dat het probleem niet is opgelost en dat miljoenen gebruikers en duizenden systemen risico lopen. Zij benadrukken dat de huidige implementatie van het Model Context Protocol de volledige verantwoordelijkheid voor de beveiliging bij de downstream developers legt. De onderzoekers roepen Anthropic op om de kwetsbaarheid alsnog te verhelpen.
Bron: OX Security
15 april 2026 | Windows Server 2025 vraagt om BitLocker sleutel na april updates
Microsoft heeft bevestigd dat sommige Windows Server 2025-apparaten in BitLocker-herstelmodus opstarten na de installatie van de KB5082063 Windows-beveiligingsupdate van april 2026. BitLocker is een Windows-beveiligingsfunctie die opslagstations versleutelt om datadiefstal te voorkomen. Windows-computers gaan doorgaans naar de BitLocker-herstelmodus na hardwarewijzigingen of gebeurtenissen zoals TPM-updates (Trusted Platform Module), om toegang weer mogelijk te maken tot beschermde stations die niet zijn ontgrendeld via het standaard ontgrendelingsmechanisme.
Volgens Microsoft kan het voorkomen dat op systemen met een niet-aanbevolen BitLocker Group Policy-configuratie de BitLocker-herstelsleutel moet worden ingevoerd bij de eerste herstart na de installatie van deze update. In dit scenario hoeft de BitLocker-herstelsleutel slechts één keer te worden ingevoerd. Latere herstarts zullen geen BitLocker-herstelscherm activeren, zolang de groepsbeleidconfiguratie niet wordt gewijzigd.
Dit probleem treedt op bij specifieke configuraties, namelijk wanneer BitLocker is ingeschakeld op het OS-station, de Group Policy "Configure TPM platform validation profile for native UEFI firmware configurations" is geconfigureerd en PCR7 is opgenomen in het validatieprofiel (of de equivalente registersleutel handmatig is ingesteld). Daarnaast moet System Information (msinfo32.exe) rapporteren dat de Secure Boot State PCR7 Binding "Not Possible" is. Verder moet het Windows UEFI CA 2023-certificaat aanwezig zijn in de Secure Boot Signature Database (DB) van het apparaat, waardoor het apparaat in aanmerking komt voor de 2023-ondertekende Windows Boot Manager om de standaard te worden. Ten slotte mag het apparaat nog niet de 2023-ondertekende Windows Boot Manager gebruiken.
Microsoft acht het onwaarschijnlijk dat dit bekende probleem persoonlijke apparaten treft, omdat de getroffen configuraties doorgaans worden aangetroffen op systemen die worden beheerd door IT-teams van ondernemingen. Microsoft werkt aan een oplossing voor dit probleem en heeft tijdelijke workarounds gedeeld waarmee de beveiligingsupdates van deze maand kunnen worden geïnstalleerd.
Beheerders wordt geadviseerd de Group Policy-configuratie te verwijderen voordat ze de KB5082063-update implementeren en ervoor te zorgen dat BitLocker-bindingen het PCR7-profiel gebruiken. Degenen die het PCR7-groepsbeleid niet kunnen verwijderen vóór de installatie, kunnen een Known Issue Rollback (KIR) toepassen op de getroffen apparaten die de automatische overstap naar de 2023 Boot Manager voorkomt en daarmee BitLocker-herstel niet triggert.
Bron: Microsoft
15 april 2026 | Microsoft verhelpt bug achter automatische upgrades Windows Server 2025
Microsoft heeft een probleem verholpen dat ervoor zorgde dat systemen met Windows Server 2019 en 2022 "onverwachts" werden geüpgraded naar Windows Server 2025. Het probleem werd voor het eerst erkend in september 2024, na meldingen van Windows-beheerders over servers die automatisch waren geüpgraded naar een Windows Server-versie waarvoor ze geen licentie hadden.
Microsoft gaf aan dat organisaties die in-place upgrades wilden uitvoeren, een Windows Server 2025-upgrade aangeboden kregen via een banner op de Windows Update-instellingenpagina. Microsoft gaf de schuld aan updatebeheersoftware van derden die niet correct was geconfigureerd. De softwaremakers verklaarden dat de upgrade problemen werden veroorzaakt door een "procedurele fout aan de kant van Microsoft, zowel met de snelheid van de release als de classificatie."
Na meer dan een jaar heeft Microsoft het probleem nu verholpen. Klanten kunnen weer controleren op upgrades via de app Instellingen. "Dit probleem is opgelost en Microsoft heeft de upgrade-aanbieding via het Windows Update-instellingenpaneel opnieuw ingeschakeld," aldus het bedrijf in een Windows release health update.
Vorige maand bracht Microsoft een out-of-band update uit om de niet-beveiligingspreviewupdate van maart 2026 te verhelpen die was teruggetrokken vanwege installatieproblemen. Minder dan een week eerder werd een andere noodupdate uitgebracht die een probleem oploste dat werd veroorzaakt door de beveiligingsupdates van Patch Tuesday in maart, die aanmeldingen met Microsoft accounts in meerdere Microsoft apps verhinderde, waaronder Edge, Teams, OneDrive en Microsoft 365 Copilot. Er werden ook twee andere out-of-band updates uitgebracht om een bug met betrekking tot de zichtbaarheid van Bluetooth-apparaten en verschillende beveiligingslekken in de Routing and Remote Access Service (RRAS) management tool te verhelpen die van invloed zijn op Windows 11 Enterprise-apparaten.
Bron: Microsoft
15 april 2026 | Microsoft dicht actief aangevallen spoofinglek in SharePoint Server
Microsoft heeft tijdens de patchdinsdag van april een actief aangevallen spoofinglek in SharePoint Server verholpen. De kwetsbaarheid, aangeduid als CVE-2026-32201, stelt een ongeauthenticeerde aanvaller in staat om een spoofing aanval via een netwerk uit te voeren. Microsoft heeft geen verdere details vrijgegeven over de aard van de kwetsbaarheid of de waargenomen aanvallen.
In totaal dicht Microsoft deze maand 165 kwetsbaarheden. Een van de verholpen lekken betreft een beveiligingsprobleem in Microsoft Defender, waardoor een aanvaller die al toegang heeft tot een systeem zijn rechten kan verhogen. Deze kwetsbaarheid, CVE-2026-33825, werd eerder deze maand openbaar gemaakt door een onderzoeker die zichzelf Chaotic Eclipse noemt, uit onvrede over de manier waarop Microsoft met bugmeldingen omgaat.
Chaotic Eclipse publiceerde exploitcode voor dit beveiligingslek op GitHub. Microsoft stelt dat de kwetsbaarheid alleen misbruikt kan worden door een aanvaller die al toegang tot het systeem heeft. De impact van de kwetsbaarheid is beoordeeld met een score van 7.8 op een schaal van 1 tot 10.
Bron: Microsoft
15 april 2026 | Microsoft dicht lek in Windows Defender na verschijnen PoC code
Microsoft heeft een kwetsbaarheid in Windows Defender verholpen. Deze kwetsbaarheid, aangeduid met CVE-2026-33825, maakt het mogelijk voor een geautoriseerde, lokale aanvaller om zijn rechten te verhogen. Dit komt doordat Windows Defender onvoldoende gedetailleerde toegangscontrole toepast.
Het Nationaal Cyber Security Centrum (NCSC) adviseert om te controleren of de desbetreffende beveiligingsupdates zijn geïnstalleerd, zeker indien Microsoft Defender zichzelf automatisch bijwerkt in de IT omgeving.
Er is publieke Proof-of-Concept (PoC) code verschenen die de kwetsbaarheid aantoont en mogelijk misbruikt. Het verschijnen van deze PoC-code verhoogt de kans op misbruik van de kwetsbaarheid aanzienlijk.
Bron: NCSC
16 april 2026 | Kritieke Nginx UI authenticatie bypass actief misbruikt
Een kritieke kwetsbaarheid in Nginx UI met Model Context Protocol (MCP) ondersteuning wordt momenteel actief misbruikt. Het lek, geregistreerd als CVE-2026-33032, maakt het mogelijk om zonder authenticatie volledige controle over de server te krijgen.
De oorzaak van de kwetsbaarheid is dat nginx-ui het '/mcp_message' endpoint onbeschermd laat, waardoor aanvallers op afstand geprivilegieerde MCP-acties kunnen uitvoeren zonder inloggegevens. Omdat deze acties het schrijven en herladen van Nginx configuratiebestanden omvatten, kan een enkel niet-geauthenticeerd verzoek het servergedrag wijzigen en effectief de webserver overnemen.
Volgens de beschrijving van het National Vulnerability Database (NVD) kan elke netwerkaanvaller alle MCP-tools aanroepen zonder authenticatie, inclusief het herstarten van Nginx, het maken, wijzigen of verwijderen van Nginx configuratiebestanden en het activeren van automatische configuratie herladingen, waardoor de volledige Nginx service kan worden overgenomen.
Nginx heeft op 15 maart een fix voor de kwetsbaarheid uitgebracht in versie 2.3.4, een dag nadat onderzoekers van Pluto Security AI het probleem hadden gemeld. Eind maart verscheen de vulnerability identifier, samen met technische details en een proof-of-concept (PoC) exploit. Threat intelligence bedrijf Recorded Future merkte eerder deze week op dat CVE-2026-33032 actief wordt misbruikt.
Nginx UI is een web-based management interface voor de Nginx webserver. De library is populair, met meer dan 11.000 sterren op GitHub en 430.000 Docker pulls. Scans van Pluto Security met de Shodan engine tonen aan dat er momenteel 2.600 publiek toegankelijke instances zijn die mogelijk kwetsbaar zijn voor aanvallen. De meeste bevinden zich in China, de Verenigde Staten, Indonesië, Duitsland en Hong Kong.
Volgens Yotam Perkal van Pluto Security is voor misbruik slechts netwerktoegang vereist. Dit wordt bereikt door een SSE-verbinding tot stand te brengen, een MCP-sessie te openen en vervolgens de geretourneerde 'sessionID' te gebruiken om verzoeken naar het '/mcp_message' endpoint te sturen. Van daaruit kunnen aanvallers MCP-tools zonder authenticatie aanroepen en de volgende acties uitvoeren:
* Verbinding maken met de doel nginx-ui instance
* Verzoeken verzenden zonder authenticatie headers
* Toegang krijgen tot alle 12 MCP-tools (waarvan 7 destructief)
* Nginx configuratiebestanden lezen en exfiltreren
* Een nieuw Nginx server block injecteren met kwaadaardige configuratie
* Automatisch Nginx reload triggeren
Een demo van Pluto Security laat zien dat een aanvaller het niet-geauthenticeerde MCP message endpoint kan gebruiken om geprivilegieerde Nginx management acties uit te voeren, configuratie te injecteren en uiteindelijk de controle over de Nginx server over te nemen, allemaal zonder authenticatie.
Gezien de actieve misbruikstatus en de beschikbaarheid van publieke PoC's, wordt systeembeheerders aangeraden om zo snel mogelijk de beschikbare beveiligingsupdates toe te passen. De meest recente veilige versie van nginx-ui is 2.3.6, die vorige week is uitgebracht.
Bron: Pluto Security | Bron 2: github.com | Bron 3: nvd.nist.gov
16 april 2026 | Cisco Talos ontdekt kwetsbaarheden in Foxit Reader en LibRaw
Het Vulnerability Discovery & Research team van Cisco Talos heeft recentelijk een kwetsbaarheid in Foxit Reader en zes kwetsbaarheden in de LibRaw file reader openbaar gemaakt. De betreffende leveranciers hebben de kwetsbaarheden inmiddels gepatcht, in overeenstemming met het beleid van Cisco met betrekking tot de openbaarmaking van kwetsbaarheden van derden.
De door KPC van Cisco Talos ontdekte use-after-free kwetsbaarheid (CVE-2026-3779) in Foxit Reader bevindt zich in de manier waarop Foxit Reader een Array object behandelt. Een kwaadaardig PDF-document met speciaal ontworpen JavaScript-code kan deze kwetsbaarheid triggeren, wat kan leiden tot geheugenbeschadiging en het uitvoeren van willekeurige code. Een aanvaller moet een gebruiker misleiden om het kwaadaardige bestand te openen om deze kwetsbaarheid te activeren. Deze kwetsbaarheid heeft het identificatienummer TALOS-2026-2365.
Daarnaast heeft Francesco Benvenuto van Cisco Talos zes kwetsbaarheden ontdekt in LibRaw. Het gaat om de volgende heap-based buffer overflow kwetsbaarheden: CVE-2026-20911 (TALOS-2026-2330), CVE-2026-21413 (TALOS-2026-2331), CVE-2026-20889 (TALOS-2026-2358) en CVE-2026-24660 (TALOS-2026-2359). Ook zijn er integer overflow kwetsbaarheden gevonden met de nummers CVE-2026-24450 (TALOS-2026-2363) en CVE-2026-20884 (TALOS-2026-2364). Speciaal ontworpen kwaadaardige bestanden kunnen in alle gevallen leiden tot een heap buffer overflow. Een aanvaller kan een kwaadaardig bestand aanbieden om deze kwetsbaarheden te triggeren.
Voor Snort-dekking om de exploitatie van deze kwetsbaarheden te detecteren, kunnen de nieuwste regelsets worden gedownload van Snort.org. De meest recente Vulnerability Advisories zijn altijd te vinden op de website van Talos Intelligence.
Bron: Cisco Talos | Bron 2: sec.cloudapps.cisco.com | Bron 3: talosintelligence.com
16 april 2026 | Microsoft Patch Tuesday april 2026 dicht 163 kwetsbaarheden
Het Cyber Security Centre Belgium (CCB) waarschuwt voor de Microsoft Patch Tuesday van april 2026, waarbij 163 kwetsbaarheden zijn gedicht. Van deze kwetsbaarheden zijn er 8 als kritiek beoordeeld, 154 als belangrijk en 1 als matig. Het CCB adviseert om de patches onmiddellijk te installeren.
De kritieke kwetsbaarheden zijn: CVE-2026-32201, CVE-2026-20945, CVE-2026-33824, CVE-2026-26151, CVE-2026-33825, CVE-2026-33827, CVE-2026-27913 en CVE-2026-33826.
Bron: CCB | Bron 2: msrc.microsoft.com | Bron 3: go.microsoft.com
16 april 2026 | Kritieke kwetsbaarheid in Cisco Webex Services vereist actie van klanten
Cisco heeft beveiligingsupdates uitgebracht om vier kritieke kwetsbaarheden te verhelpen, waaronder een improper certificate validation flaw in het cloudgebaseerde Webex Services platform. Deze kwetsbaarheid vereist actie van de klanten. Webex Services is een platform dat communicatie binnen hybride werkomgevingen mogelijk maakt, waardoor teamleden kunnen bellen, vergaderen en berichten uitwisselen vanaf elke locatie en elk apparaat.
De kwetsbaarheid, aangeduid als CVE-2026-20184, bevindt zich in de single sign-on (SSO) integratie met Control Hub en stelt aanvallers zonder privileges in staat om elke gebruiker te imiteren. Cisco waarschuwt dat klanten die gebruikmaken van SSO-integratie een nieuw SAML-certificaat voor hun identity provider (IdP) moeten uploaden naar Control Hub om serviceonderbrekingen te voorkomen.
Naast CVE-2026-20184 heeft Cisco nog drie kritieke kwetsbaarheden gepatcht in de Identity Services Engine (ISE), aangeduid als CVE-2026-20147, CVE-2026-20180 en CVE-2026-20186. Deze kwetsbaarheden stellen aanvallers in staat om willekeurige commando's uit te voeren op het onderliggende besturingssysteem, ongeacht de apparaatconfiguratie. Voor een succesvolle exploitatie zijn echter wel beheerdersrechten vereist op de betreffende systemen.
De volledige lijst met beveiligingsproblemen die deze week zijn aangepakt, bevat ook tien kwetsbaarheden met een gemiddelde impact die kunnen worden misbruikt om authenticatie te omzeilen, privileges te escaleren en denial-of-service situaties te veroorzaken. Cisco meldt dat het Product Security Incident Response Team (PSIRT) geen bewijs heeft dat deze kwetsbaarheden al zijn misbruikt in aanvallen.
Afgelopen maand heeft CISA federale agentschappen bevolen om een kwetsbaarheid met maximale impact (CVE-2026-20131) in Cisco's Secure Firewall Management Center (FMC) te patchen. Deze kwetsbaarheid werd als zero day geëxploiteerd in Interlock ransomware aanvallen sinds eind januari 2026.
Bron: Cisco | Bron 2: nvd.nist.gov
16 april 2026 | CISA voegt kwetsbaarheid in Apache ActiveMQ toe aan KEV catalogus
De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft een nieuwe kwetsbaarheid toegevoegd aan de Known Exploited Vulnerabilities (KEV) catalogus, vanwege het bewijs van actieve exploitatie. Het betreft CVE-2026-34197, een improper input validatie kwetsbaarheid in Apache ActiveMQ.
Volgens CISA is dit type kwetsbaarheid een veelgebruikte aanvalsvector voor kwaadwillende cyberactoren en vormt het een significant risico. Binding Operational Directive (BOD) 22-01, gericht op het verminderen van het risico van bekende geëxploiteerde kwetsbaarheden, heeft de KEV-catalogus in het leven geroepen als een actuele lijst van Common Vulnerabilities and Exposures (CVE's) die een aanzienlijk risico vormen voor de federale overheid.
BOD 22-01 verplicht federale civiele uitvoerende instanties (FCEB) om geïdentificeerde kwetsbaarheden te verhelpen voor de gestelde deadline, om FCEB-netwerken te beschermen tegen actieve bedreigingen. Hoewel BOD 22-01 alleen van toepassing is op FCEB-agentschappen, adviseert CISA alle organisaties dringend om hun blootstelling aan cyberaanvallen te verminderen door prioriteit te geven aan tijdige herstel van KEV-catalogus kwetsbaarheden als onderdeel van hun vulnerability management praktijk. CISA zal de catalogus blijven aanvullen met kwetsbaarheden die aan de gestelde criteria voldoen.
Bron: CISA | Bron 2: cve.org | Bron 3: go.dhs.gov
16 april 2026 | Microsoft verlengt betaalde security updates Exchange en Skype
Microsoft heeft besloten om de beveiligingsupdates voor Exchange Server 2016/2019 en Skype for Business Server 2015/2019 met zes maanden te verlengen. De software wordt sinds oktober vorig jaar niet meer ondersteund, maar via het Extended Security Updates programma (ESU) bleef Microsoft nog wel beveiligingsupdates uitbrengen. Oorspronkelijk zou het ESU programma op 14 april van dit jaar aflopen.
Het techbedrijf laat weten dat het een tweede periode van het ESU programma aanbiedt. Deze periode loopt van 1 mei tot en met 31 oktober 2026. Klanten die aan het ESU programma willen deelnemen, moeten hiervoor opnieuw betalen, ook als ze al aan het eerste ESU programma deelnamen. Microsoft geeft aan dat het niet van plan is om de updates na deze periode nogmaals te verlengen.
De beveiligingsupdates die Microsoft via het ESU programma aanbiedt, zijn alleen bedoeld voor kritieke en belangrijke kwetsbaarheden, zoals door het Microsoft Security Response Center (MSRC) wordt gedefinieerd. Microsoft garandeert niet dat er tijdens de tweede periode van het ESU programma beveiligingsupdates zullen verschijnen. Wanneer er wel updates beschikbaar komen, zullen die alleen onder deelnemers aan het ESU programma worden verspreid.
Bron: Microsoft
16 april 2026 | Beveiligingsonderzoeker ontdekt nieuwe zwakte in Windows Recall
Beveiligingsonderzoeker Alexander Hagenah heeft een nieuwe potentiële zwakte in de beveiliging van Windows Recall blootgelegd, ondanks eerdere beweringen van Microsoft dat de functie veilig is. Hagenah deelde via GitHub details over hoe de beveiliging van Recall omzeild kan worden, met behulp van zijn tool TotallRecall Reloaded. Dit is niet de eerste keer dat Hagenah kwetsbaarheden in Recall aantoont; twee jaar geleden ontwikkelde hij al de eerste versie van TotallRecall.
Recall, aangekondigd tijdens de Build conferentie van Microsoft in 2024, maakt periodiek screenshots van de pc activiteit van de gebruiker en slaat deze lokaal op, waardoor het mogelijk is om snel specifieke informatie terug te vinden. De functie is exclusief voor Copilot+-pc's en maakt gebruik van de lokale NPU. De aankondiging van Recall stuitte op kritiek van pc gebruikers en beveiligingsexperts, die zich zorgen maakten over de privacyrisico's van het registreren van muisklikken en toetsaanslagen. Microsoft introduceerde vervolgens extra beveiligingsmaatregelen, zoals opt-in, authenticatie met Windows Hello, VBS-enclaves en encryptie op niveau van de TPM-chip.
Volgens Hagenah is de zwakte niet in de 'kluis' van Recall te vinden, maar in de 'bestelwagen', een onbeveiligd AIXHost.exe-proces dat screenshots, tekst en metadata vervoert. Dit proces komt in actie nadat de gebruiker zich met Windows Hello verifieert. Hagenah stelt dat elke applicatie die draait onder dezelfde aangemelde gebruiker code in dit proces kan injecteren, waardoor Recall-gegevens toegankelijk worden. Hij benadrukt dat deze methode geen kraak van Windows Hello of Recall-versleuteling vereist. De aanvaller zou moeten wachten tot de gebruiker zich aanmeldt bij Recall en vervolgens meeliften op de legitieme processen om data op te halen. Hagenah ontdekte ook een manier om zonder autorisatie Recall-screenshots in volle resolutie op te vragen en metadata te lezen, en een bypass voor het intrekken van datatoegang door toegangsrechten te herconfigureren.
Hagenah deelde zijn bevindingen eerst met Microsoft, maar kreeg geen gehoor. Microsoft stelt dat de beveiliging van Recall werkt zoals bedoeld en dat er geen sprake is van een beveiligingslek, waardoor er geen patches zullen worden uitgebracht.
Bron: Alexander Hagenah | Bron 2: github.com
16 april 2026 | Kritieke kwetsbaarheden in Cisco ISE maken code executie op afstand mogelijk
Cisco heeft een beveiligingsadvies uitgebracht waarin wordt gewaarschuwd voor meerdere kwetsbaarheden in de Identity Services Engine (ISE) en ISE Passive Identity Connector (ISE-PIC). Volgens het officiële beveiligingsadvies, gepubliceerd op 15 april 2026, kunnen deze kwetsbaarheden een geauthenticeerde aanvaller op afstand in staat stellen willekeurige opdrachten uit te voeren op getroffen apparaten. Ze kunnen ook path traversal aanvallen mogelijk maken, een terugkerend en kritiek dreigingsvector in de netwerkinfrastructuur van ondernemingen.
Het advies vermeldt twee onafhankelijke kwetsbaarheden, waarbij apparaten die door de ene worden getroffen, mogelijk geen last hebben van de andere, en exploitatie van de ene niet vereist is voor de andere. De ernstigste kwetsbaarheid, CVE-2026-20147 (CVSS 9.9), is een kritieke remote code execution (RCE)-kwetsbaarheid veroorzaakt door onvoldoende validatie van door de gebruiker geleverde input. Een aanvaller met geldige administratieve inloggegevens kan dit exploiteren door een speciaal vervaardigd HTTP-verzoek naar het beoogde apparaat te sturen. Een succesvolle aanval geeft toegang op gebruikersniveau tot het onderliggende besturingssysteem, waardoor de aanvaller privileges kan escaleren tot root. In single-node ISE-implementaties kan het exploiteren van deze kwetsbaarheid ervoor zorgen dat de node crasht, waardoor een denial-of-service (DoS)-conditie wordt geactiveerd. Niet-geauthenticeerde endpoints hebben geen toegang tot het netwerk totdat beheerders het systeem volledig hebben hersteld.
De tweede kwetsbaarheid, CVE-2026-20148 (CVSS 4.9), is een path traversal-kwetsbaarheid die geldige beheerdersreferenties vereist en wordt veroorzaakt door onjuiste inputvalidatie. Door een vervalst HTTP-verzoek te verzenden, kan een aanvaller path traversal aanvallen uitvoeren om toegang te krijgen tot gevoelige, willekeurige bestanden en deze rechtstreeks van het onderliggende besturingssysteem te lezen.
Cisco bevestigt dat er geen workarounds beschikbaar zijn en dringt er bij beheerders op aan om onmiddellijk te upgraden naar de gepatchte versies. De vereiste beveiligingsupdates worden hieronder beschreven, volgens de standaard rapportagestructuren voor kwetsbaarheden voor systeembeheerders:
- Releases ouder dan 3.1: Migreer naar een ondersteunde, vaste release.
- Release 3.1: Upgrade naar 3.1 Patch 11.
- Release 3.2: Upgrade naar 3.2 Patch 10.
- Release 3.3: Upgrade naar 3.3 Patch 11.
- Release 3.4: Upgrade naar 3.4 Patch 6.
- Release 3.5: Upgrade naar 3.5 Patch 3.
Beheerders moeten er rekening mee houden dat Cisco ISE-PIC release 3.4 de laatste ondersteunde versie is, aangezien het product officieel de end-of-sale datum heeft bereikt. De kwetsbaarheden werden ontdekt en aan Cisco gerapporteerd door beveiligingsonderzoeker Jonathan Lein van TrendAI Research. Ten tijde van de publicatie van het advies verklaarde het Cisco Product Security Incident Response Team (PSIRT) dat ze niet op de hoogte zijn van openbare aankondigingen of actieve kwaadaardige exploitatie van deze kwetsbaarheden in het wild.
Bron: Cisco
16 april 2026 | Microsoft onderzoekt installatiefouten in Windows Server 2025 update
Microsoft onderzoekt een probleem waarbij de KB5082063 beveiligingsupdate van deze maand mogelijk niet kan worden geïnstalleerd op sommige Windows Server 2025-systemen. Gebruikers melden ook 0x800F0983-installatiefouten bij het implementeren van de cumulatieve updates van april 2026.
Volgens een service alert van Microsoft wordt een terugkerende fout waargenomen op Windows Server 2025-apparaten bij het installeren van de Windows beveiligingsupdate van april 2026 (de Originating KB's). Een beperkt aantal getroffen servers ondervindt mogelijk een installatiefout met de foutcode 800F0983. Microsoft zegt het probleem te onderzoeken en zal meer details delen zodra er meer bekend is over de oorzaak.
Afgelopen woensdag waarschuwde Microsoft IT beheerders dat sommige Windows Server 2025-apparaten in BitLocker herstel zullen opstarten na de implementatie van de KB5082063 Windows beveiligingsupdate, waarbij gebruikers wordt gevraagd om een BitLocker sleutel in te voeren. Dit zal waarschijnlijk geen invloed hebben op thuisgebruikers, aangezien de getroffen configuraties meestal worden gevonden op systemen die worden beheerd door enterprise teams.
Deze week heeft Microsoft ook een bug verholpen die Windows servers al 1,5 jaar teistert, waardoor systemen met Windows Server 2019 en 2022 "onverwachts" upgraden naar Windows Server 2025. Hoewel Microsoft het probleem aanvankelijk toeschreef aan verkeerd geconfigureerde updatebeheersoftware van derden, is het probleem nu verholpen en kunnen klanten weer controleren op updates via de Windows Instellingen app.
Sinds het begin van het jaar heeft Microsoft ook verschillende noodupdates uitgebracht om beveiligingsproblemen op te lossen in de Routing and Remote Access Service (RRAS) management tool, een Bluetooth-apparaat zichtbaarheid bug, verbroken aanmeldingen met Microsoft accounts en update installatieproblemen die de niet-beveiligingspreview update van maart 2026 beïnvloeden.
Bron: Microsoft | Bron 2: askwoody.com
17 april 2026 | Gelekte Windows zero days worden actief misbruikt in aanvallen
Dreigingsactoren maken misbruik van drie recentelijk openbaar gemaakte Windows beveiligingslekken. De aanvallen zijn gericht op het verkrijgen van SYSTEM of verhoogde administratorrechten. Sinds begin april heeft een beveiligingsonderzoeker, bekend als "Chaotic Eclipse" of "Nightmare-Eclipse", proof-of-concept exploitcode gepubliceerd voor alle drie de beveiligingsproblemen, uit protest tegen de manier waarop Microsoft's Security Response Center (MSRC) het onthullingsproces heeft afgehandeld.
Twee van de kwetsbaarheden (genaamd BlueHammer en RedSun) zijn Microsoft Defender local privilege escalation (LPE)-fouten, terwijl de derde (bekend als UnDefend) kan worden misbruikt als een standaardgebruiker om Microsoft Defender definitie updates te blokkeren. Ten tijde van het lek werden de beveiligingsfouten die deze exploits targetten beschouwd als zero days, omdat er geen officiële patches of updates waren om ze aan te pakken.
Op donderdag meldden onderzoekers van Huntress Labs dat alle drie de zero day exploits in het wild werden ingezet, waarbij de BlueHammer kwetsbaarheid sinds 10 april werd misbruikt. Ze ontdekten ook UnDefend en RedSun exploits op een Windows apparaat dat was gecompromitteerd met behulp van een gecompromitteerde SSLVPN gebruiker, in aanvallen die bewijs vertoonden van "hands on-keyboard dreigingsactoractiviteit."
Microsoft is BlueHammer inmiddels aan het tracken als CVE-2026-33825 en heeft het gepatcht in de beveiligingsupdates van april 2026, maar de andere twee fouten zijn nog niet verholpen. Aanvallers kunnen de RedSun exploit gebruiken om SYSTEM rechten te verkrijgen op Windows 10, Windows 11 en Windows Server 2019 en latere systemen wanneer Windows Defender is ingeschakeld, zelfs na het toepassen van de April Patch Tuesday patches.
Volgens de onderzoeker herschrijft Windows Defender, wanneer het zich realiseert dat een kwaadaardig bestand een cloudtag heeft, het bestand terug naar de oorspronkelijke locatie. De PoC maakt misbruik van dit gedrag om systeembestanden te overschrijven en administratieve privileges te verkrijgen.
Een Microsoft woordvoerder verklaarde dat Microsoft zich inzet voor het onderzoeken van gemelde beveiligingsproblemen en het zo snel mogelijk updaten van getroffen apparaten om klanten te beschermen. Microsoft ondersteunt ook gecoördineerde openbaarmaking van kwetsbaarheden, een breed toegepaste industriepraktijk die ervoor zorgt dat problemen zorgvuldig worden onderzocht en aangepakt voordat ze openbaar worden gemaakt.
Bron: Nightmare-Eclipse | Bron 2: learn.microsoft.com | Bron 3: github.com
17 april 2026 | EU leeftijdsverificatie app binnen 2 minuten gehackt
De Digital Age Verification App van de Europese Commissie, gelanceerd op 14 april 2026 om minderjarigen te beschermen tegen schadelijke online content, is al gecompromitteerd. De in het Verenigd Koninkrijk gevestigde security consultant Paul Moore demonstreerde een volledige authenticatie bypass in minder dan twee minuten.
Tijdens de installatie van de app wordt gebruikers gevraagd een pincode aan te maken. De app versleutelt deze pincode en slaat deze op in een lokaal configuratiebestand genaamd `shared_prefs` op het apparaat van de gebruiker. Onderzoekers identificeerden twee kritieke architectuurfouten, namelijk dat de versleutelde pincode wordt lokaal opgeslagen, maar is niet cryptografisch gekoppeld aan de identiteitskluis die de daadwerkelijke verificatiegegevens bevat. Bovendien heeft de encryptie zelf geen significante beveiligingswaarde gezien de bewerkbare aard ervan.
Een aanvaller met fysieke toegang tot het apparaat kan dit exploiteren door simpelweg de `PinEnc`- en `PinIV`-waarden uit het `shared_prefs`-bestand te verwijderen, de app opnieuw te starten en een nieuwe pincode naar keuze in te voeren. De app presenteert vervolgens credentials van het oorspronkelijke geverifieerde identiteitsprofiel als geldig onder de nieuwe pincode van de aanvaller, waardoor de diefstal van leeftijdsverificatiegegevens mogelijk wordt zonder waarschuwingen te activeren.
Naast de pincode kwetsbaarheid ontdekten onderzoekers nog twee zwakke punten in hetzelfde bewerkbare configuratiebestand:
* **Rate limiting bypass:** De brute-force bescherming is geïmplementeerd als een eenvoudige incrementele teller in hetzelfde `shared_prefs`-bestand. Een aanvaller kan deze waarde resetten naar nul, waardoor onbeperkte pogingen tot het raden van de pincode mogelijk zijn zonder lockout.
* **Biometrische authenticatie bypass:** Een boolean flag met het label `UseBiometricAuth` bepaalt of biometrische verificatie vereist is. Het instellen van deze waarde op `false` slaat de biometrische stap volledig over, waardoor een volledige authenticatielaag wordt verwijderd.
Security experts hebben benadrukt dat dit geen kleine edge case is, maar een fundamentele ontwerpfout. De EU Age Verification App is gebouwd als een prototype voor het bredere European Digital Identity Wallet ecosysteem, waardoor deze kwetsbaarheden bijzonder significant zijn voor kritieke nationale infrastructuur.
Critici hebben ook gewezen op een afzonderlijke architectuurfout die in maart 2026 werd ontdekt, waarbij het systeem niet kan verifiëren of paspoortvalidatie daadwerkelijk op het apparaat van een gebruiker heeft plaatsgevonden. Moore waarschuwde publiekelijk Commissievoorzitter Ursula von der Leyen dat "dit product de katalysator zal zijn voor een enorme inbreuk op een bepaald moment, het is slechts een kwestie van tijd". Zes EU lidstaten, waaronder Frankrijk, Spanje en Denemarken, bevinden zich momenteel in de testfase van de app.
De Europese Commissie heeft per 17 april 2026 nog geen officiële patch of openbare reactie op de bekendgemaakte kwetsbaarheden uitgebracht.
Bron: Paul Moore
17 april 2026 | Actieve pogingen tot misbruik van CVE-2023-33538 op TP-Link routers
Unit 42, het threat intelligence team van Palo Alto Networks, heeft actieve, geautomatiseerde scans en pogingen tot misbruik van CVE-2023-33538 geïdentificeerd. Deze kwetsbaarheid bevindt zich in verschillende end-of-life TP-Link Wi-Fi router modellen, waaronder de TL-WR940N v2 en v4, TL-WR740N v1 en v2, en TL-WR841N v8 en v10.
De waargenomen payloads zijn kwaadaardige binaries die kenmerkend zijn voor Mirai achtige botnet malware. De exploits proberen deze malware te downloaden en uit te voeren op kwetsbare apparaten. Deze activiteit werd waargenomen nadat het Cybersecurity and Infrastructure Security Agency (CISA) deze CVE in juni 2025 had toegevoegd aan de Known Exploited Vulnerabilities (KEV) Catalog.
Om de impact van deze actieve campagnes te onderzoeken, heeft Unit 42 een deep-dive onderzoek uitgevoerd door de TP-Link TL-WR940N router te emuleren. Door middel van firmware emulatie en reverse engineering analyseerden ze of de specifieke exploits die in hun telemetrie werden waargenomen, deze kwetsbaarheid succesvol konden gebruiken om de payload op dat apparaatmodel af te leveren.
Het onderzoek onthulde twee belangrijke feiten, namelijk dat hoewel de in het wild waargenomen aanvallen gebrekkig waren en zouden mislukken, bevestigt de analyse dat de onderliggende kwetsbaarheid reëel is. Succesvolle exploitatie vereist authenticatie bij de webinterface van de router.
TP-Link heeft bevestigd dat de getroffen apparaten end-of-life zijn en dat er geen vendor patches beschikbaar zijn. Hun aanbeveling aan klanten is om deze units te vervangen door ondersteunde hardware en ervoor te zorgen dat er geen standaard inloggegevens worden gebruikt.
Bron: Unit 42 | Bron 2: virustotal.com | Bron 3: learn.microsoft.com
17 april 2026 | Microsoft waarschuwt voor herstartloops op Windows domeincontrollers na april updates
Microsoft heeft bevestigd dat sommige Windows domeincontrollers in een herstart-loop terechtkomen als gevolg van LSASS-crashes (Local Security Authority Subsystem Service) na de installatie van de beveiligingsupdates van april 2026. Het bedrijf waarschuwt ook dat Windows-beheerders dit probleem kunnen tegenkomen bij het instellen van nieuwe domeincontrollers, of zelfs op bestaande, als de server zeer vroeg in het opstartproces authenticatieverzoeken verwerkt.
"Na de installatie van de Windows-beveiligingsupdate van april 2026 (KB5082063) en het opnieuw opstarten, kunnen niet-Global Catalog (niet-GC) domeincontrollers (DC's) in omgevingen die Privileged Access Management (PAM) gebruiken, LSASS-crashes ervaren tijdens het opstarten," aldus Microsoft in een update van het release health dashboard. "Als gevolg hiervan kunnen de getroffen DC's herhaaldelijk opnieuw opstarten, waardoor authenticatieservices en directoryservices niet meer functioneren en het domein mogelijk niet meer beschikbaar is."
Dit bekende probleem treft alleen organisaties die Privileged Access Management (PAM) gebruiken en zal waarschijnlijk geen invloed hebben op persoonlijke apparaten die niet door een IT-afdeling worden beheerd. De lijst met getroffen platforms omvat systemen met Windows Server 2025, Windows Server 2022, Windows Server 23H2, Windows Server 2019 en Windows Server 2016.
Hoewel Microsoft nog aan een oplossing werkt, adviseert het IT-beheerders om contact op te nemen met Microsoft Support for Business voor mitigerende maatregelen die zelfs na de implementatie van de update van april 2026 kunnen worden toegepast. Microsoft heeft in de afgelopen jaren meerdere problemen met domeincontrollers opgelost die werden veroorzaakt door beveiligingsupdates, waaronder recentelijk de Windows Server-authenticatieproblemen in juni 2025, die werden veroorzaakt door de beveiligingsupdates van april 2025. In mei 2024 werd een ander bekend probleem verholpen dat NTLM-authenticatiefouten en het opnieuw opstarten van domeincontrollers veroorzaakte na de implementatie van de Windows Server-beveiligingsupdates van april 2024. In maart 2024 werden emergency out-of-band (OOB)-updates uitgebracht om Windows-domeincontrollercrashes te verhelpen na de installatie van de Windows Server-beveiligingspatches van maart 2024.
Microsoft onderzoekt nu ook een afzonderlijk probleem waardoor de KB5082063 Windows-beveiligingsupdate van deze maand niet kan worden geïnstalleerd op sommige Windows Server 2025-systemen. Afgelopen woensdag waarschuwde het ook beheerders dat sommige Windows Server 2025-apparaten gebruikers kunnen vragen om een BitLocker-sleutel in te voeren na de implementatie van de KB5082063-update.
Bron: Microsoft
18 april 2026 | PoC exploit beschikbaar voor kritieke kwetsbaarheid in FortiSandbox
Er is een proof-of-concept (PoC) exploit gepubliceerd voor een kritieke kwetsbaarheid in Fortinet's FortiSandbox, aangeduid als CVE-2026-39808. De kwetsbaarheid stelt een niet-geauthenticeerde aanvaller in staat om willekeurige besturingssysteemcommando's uit te voeren als root, met de hoogste privileges, zonder inloggegevens.
De kwetsbaarheid werd ontdekt in november 2025 en is nu openbaar gemaakt na de patch release van Fortinet in april 2026. Security onderzoekers wordt aangeraden de patch onmiddellijk toe te passen, aangezien een werkende exploit beschikbaar is op GitHub.
CVE-2026-39808 is een OS command injection kwetsbaarheid in Fortinet's FortiSandbox, een sandboxing oplossing voor het detecteren en analyseren van geavanceerde dreigingen en malware. De kwetsbaarheid bevindt zich in de /fortisandbox/job-detail/tracer-behavior endpoint.
Een aanvaller kan kwaadaardige besturingssysteemcommando's injecteren via de jidGET parameter met behulp van het pipe symbool (|), een veelgebruikte techniek om commando's te combineren in Unix systemen. Omdat de endpoint de gebruikersinvoer niet goed opschoont, worden de geïnjecteerde commando's direct uitgevoerd door het besturingssysteem met root-privileges.
FortiSandbox versies 4.4.0 tot en met 4.4.8 zijn getroffen door deze kwetsbaarheid. Onderzoeker samu-delucas, die de PoC publiceerde op GitHub, stelt dat een enkel curl commando voldoende is voor unauthenticated remote code execution (RCE) als root:
`curl -s -k --get "http://$HOST/fortisandbox/job-detail/tracer-behavior" --data-urlencode "jid=|(id > /web/ng/out.txt)|"`
In dit voorbeeld leidt de aanvaller de commando output om naar een bestand in de web root, dat vervolgens via een browser kan worden opgehaald. Dit betekent dat een aanvaller gevoelige bestanden kan lezen, malware kan plaatsen of het host systeem volledig kan compromitteren zonder in te loggen.
Fortinet heeft de kwetsbaarheid gepatcht en een advisory gepubliceerd onder FG-IR-26-100 via het FortiGuard PSIRT portal. De advisory bevestigt de ernst van de kwetsbaarheid en geeft een overzicht van de getroffen versies. Organisaties die FortiSandbox 4.4.0 tot en met 4.4.8 gebruiken, moeten upgraden naar een gepatchte versie.
Het wordt aanbevolen om FortiSandbox direct te upgraden naar een versie hoger dan 4.4.8 zoals aangegeven in de officiële advisory van Fortinet. Controleer of FortiSandbox management interfaces zijn blootgesteld aan niet-vertrouwde netwerken of het publieke internet. Onderzoek logs op ongebruikelijke GET requests naar de /fortisandbox/job-detail/tracer-behavior endpoint als indicatoren van exploitatie pogingen. Beperk de toegang tot FortiSandbox administratieve interfaces tot vertrouwde IP ranges.
Lees ook: de eerdere publicatie over de Fortinet FortiSandbox patches van 15 april 2026 op ccinfo.nl.
Bron: Fortinet | Bron 2: github.com
18 april 2026 | Kritieke kwetsbaarheid in Protobuf bibliotheek maakt code uitvoering mogelijk
In protobuf.js, een veelgebruikte JavaScript implementatie van Google's Protocol Buffers, is een kritieke remote code execution (RCE) kwetsbaarheid ontdekt. De tool is populair in de Node Package Manager (npm) registry, met gemiddeld bijna 50 miljoen wekelijkse downloads. Het wordt gebruikt voor inter-service communicatie, in real-time applicaties en voor efficiënte opslag van gestructureerde data in databases en cloudomgevingen.
Volgens een rapport van applicatiebeveiligingsbedrijf Endor Labs wordt de kwetsbaarheid (RCE) in protobuf.js veroorzaakt door onveilige dynamische codegeneratie. De kwetsbaarheid heeft nog geen officieel CVE nummer, maar wordt getrackt als GHSA-xq3m-2v4x-88gg.
Endor Labs legt uit dat de bibliotheek JavaScript functies bouwt uit Protobuf schema's door strings samen te voegen en deze uit te voeren via de Function() constructor. De bibliotheek valideert echter geen identifiers afgeleid van schemas, zoals message names. Een aanvaller kan een kwaadaardig schema leveren dat willekeurige code injecteert in de gegenereerde functie. Deze code wordt vervolgens uitgevoerd wanneer de applicatie een bericht verwerkt met behulp van dat schema. Dit opent de weg naar RCE op servers of applicaties die door de aanvaller beïnvloede schema's laden, waardoor toegang wordt verkregen tot omgevingsvariabelen, credentials, databases en interne systemen, en zelfs laterale beweging binnen de infrastructuur mogelijk wordt. De aanval kan ook van invloed zijn op developer machines als die lokaal niet-vertrouwde schema's laden en decoderen.
De kwetsbaarheid treft protobuf.js versies 8.0.0/7.5.4 en lager. Endor Labs adviseert om te upgraden naar 8.0.1 en 7.5.5, waarin het probleem is verholpen. De patch sanitiseert type names door niet-alfanumerieke karakters te verwijderen, waardoor de aanvaller de synthetische functie niet kan sluiten. Endor merkt op dat een fix voor de lange termijn zou zijn om te stoppen met het rondsturen van door de aanvaller bereikbare identifiers via Function.
Endor Labs waarschuwt dat "exploitatie eenvoudig is" en dat de minimale proof-of-concept (PoC) in de security advisory dit weerspiegelt. Tot op heden is er echter geen actieve exploitatie in het wild waargenomen. De kwetsbaarheid werd op 2 maart gerapporteerd door onderzoeker Cristian Staicu van Endor Labs, tevens bug bounty onderzoeker. De beheerders van protobuf.js brachten op 11 maart een patch uit op GitHub. Fixes voor de npm pakketten werden op 4 april beschikbaar gesteld voor de 8.x branch en op 15 april voor de 7.x branch.
Naast het upgraden naar gepatchte versies, adviseert Endor Labs systeembeheerders om transitieve dependencies te auditen, het laden van schemas te behandelen als niet-vertrouwde input en precompiled/statische schema's in productie te prefereren.
Bron: Endor Labs | Bron 2: github.com | Bron 3: bleepingcomputer.com
20 april 2026 | Acht actief misbruikte CVE's toegevoegd aan CISA KEV lijst
Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft acht nieuwe kwetsbaarheden toegevoegd aan de Known Exploited Vulnerabilities (KEV) catalogus. Deze toevoeging is gebaseerd op bewijs van actieve exploitatie in het wild. De catalogus bevat een lijst van bekende Common Vulnerabilities and Exposures (CVE's) die een significant risico vormen.
De nieuw toegevoegde kwetsbaarheden zijn:
* CVE-2023-27351: PaperCut NG/MF Improper Authentication Vulnerability
* CVE-2024-27199: JetBrains TeamCity Relative Path Traversal Vulnerability
* CVE-2025-2749: Kentico Xperience Path Traversal Vulnerability
* CVE-2025-32975: Quest KACE Systems Management Appliance (SMA) Improper Authentication Vulnerability
* CVE-2025-48700: Synacor Zimbra Collaboration Suite (ZCS) cross-site Scripting Vulnerability
* CVE-2026-20122: Cisco Catalyst SD-WAN Manager Incorrect Use of Privileged APIs Vulnerability
* CVE-2026-20128: Cisco Catalyst SD-WAN Manager Storing Passwords in a Recoverable Format Vulnerability
* CVE-2026-20133: Cisco Catalyst SD-WAN Manager Exposure of Sensitive Information to an Unauthorized Actor Vulnerability
CISA benadrukt dat deze types kwetsbaarheden vaak worden gebruikt door kwaadwillende cyberactoren en een significant risico vormen. De Binding Operational Directive (BOD) 22-01 verplicht federale civiele uitvoerende instanties (FCEB) om geïdentificeerde kwetsbaarheden te verhelpen voor de gestelde deadline, om FCEB netwerken te beschermen tegen actieve dreigingen. Hoewel BOD 22-01 alleen van toepassing is op FCEB agentschappen, adviseert CISA alle organisaties om hun blootstelling aan cyberaanvallen te verminderen door prioriteit te geven aan tijdige herstel van KEV catalogus kwetsbaarheden als onderdeel van hun vulnerability management praktijk. CISA zal de catalogus blijven aanvullen met kwetsbaarheden die aan de gestelde criteria voldoen.
Bron: CISA | Bron 2: cve.org
20 april 2026 | Kritieke kwetsbaarheid CVE-2026-5760 in SGLang AI framework maakt code uitvoering mogelijk
Onderzoekers hebben een kritieke kwetsbaarheid bekendgemaakt in het SGLang AI framework met kenmerk CVE-2026-5760 en een CVSS score van 9.8 op 10, ruim in de "kritiek" categorie. De fout maakt het mogelijk voor een aanvaller om willekeurige code uit te voeren op een server die SGLang gebruikt voor het aanbieden van taalmodellen.
De kwetsbaarheid zit in het rerank-endpoint /v1/rerank. Wanneer dit endpoint een modelbestand laadt dat een kwaadaardige tokenizer.chat_template bevat, rendert SGLang dit Jinja2-template in een niet-gesandboxte omgeving. Een aanvaller kan een GGUF-modelbestand opstellen met een Jinja2 SSTI (Server Side Template Injection) payload die wordt geactiveerd door de Qwen3 reranker trigger phrase. Bij elke request aan /v1/rerank wordt de kwaadaardige template gerenderd, met code uitvoering op de server als gevolg.
CVE-2026-5760 valt in dezelfde klasse als CVE-2024-34359 (Llama Drama, CVSS 9.7) die eerder werd gepatched in llama_cpp_python. De onderliggende oorzaak is hetzelfde, namelijk onveilige defaults bij Jinja2-template rendering binnen AI-infrastructuur.
Organisaties die SGLang draaien voor hun AI workloads moeten de SGLang versies controleren en, zodra beschikbaar, de patch toepassen. Zolang er geen patch is, wordt aangeraden om zelf getrainde modellen te gebruiken, alleen modellen uit vertrouwde bronnen te laden, en het /v1/rerank endpoint indien niet strikt nodig af te schermen via netwerkcontroles.
Bron: OpenCVE | Bron 2: thehackerwire.com
20 april 2026 | Kritieke kwetsbaarheid in Anthropic MCP SDK maakt RCE mogelijk en bedreigt 200.000 servers
Onderzoekers van OX Security hebben een kritieke zwakte by design ontdekt in de architectuur van Model Context Protocol (MCP) van Anthropic, die remote code execution mogelijk maakt met cascaderende gevolgen voor de hele AI supply chain. De kwetsbaarheid is ingebouwd in de officiële Anthropic MCP software development kit en raakt elke ondersteunde taal, waaronder Python, TypeScript, Java en Rust.
Kern van het probleem ligt in de STDIO-interface van MCP. Een configuratie die naar een command wordt gestuurd, wordt direct uitgevoerd op het besturingssysteem. Als het command een werkende STDIO-server opstart, krijgt de gebruiker een handle terug. Bij een ander command voert het systeem het commando gewoon uit en geeft een foutmelding terug, dat betekent dat willekeurige OS-commando's via configuratie kunnen worden uitgerold. Meer dan 7.000 publiek bereikbare servers en softwarepakketten met samen ruim 150 miljoen downloads zijn betrokken. Volgens OX Security onderzoek gepubliceerd op 15 april 2026 zijn tot 200.000 servers blootgesteld aan volledige overname.
De onderzoekers identificeerden tien concrete kwetsbaarheden verspreid over populaire projecten waaronder LiteLLM, LangChain, LangFlow, Flowise, LettaAI en LangBot. Deze bibliotheken worden veel gebruikt door AI-startups en door grote organisaties die hun eigen AI-pipelines bouwen. Een aanvaller die een kwaadaardige MCP-configuratie kan afleveren (bijvoorbeeld via een gecompromitteerd marktplaats-plugin of een kwaadaardige repository) krijgt code uitvoering op de server die de MCP-client draait.
Anthropic heeft besloten de architectuur niet aan te passen en noemt het gedrag "expected". Voor Nederlandse en Belgische organisaties die AI workflows draaien op basis van MCP, is defense in depth essentieel. Zet MCP-clients in een geïsoleerd netwerk, controleer elke configuratie op herkomst en inhoud, en blokkeer onverwachte uitgaande verbindingen. Het gebruik van alternatieve AI-orchestratie frameworks valt te overwegen zolang MCP deze risico's niet structureel mitigeert.
Bron: OX Security Research | Bron 2: theregister.com
20 april 2026 | BOLA kwetsbaarheid in Lovable AI app builder stelt duizenden projecten open, inclusief Supabase credentials
Een kritieke Broken Object Level Authorization (BOLA) kwetsbaarheid in Lovable, een populair AI-gedreven platform voor het bouwen van webapps, stelt onbevoegden in staat om gevoelige projectdata in te zien. Het gaat onder meer om broncode, Supabase databank credentials, AI chat histories en echte klantendata uit duizenden projecten die vóór november 2025 zijn aangemaakt. De kwetsbaarheid werd publiekelijk bekend op 3 maart 2026 en is volgens recente publicaties nog niet volledig verholpen voor oude projecten.
Het probleem zit in de API laag. Een houder van een gratis Lovable account kan ongeauthenticeerde API calls doen naar de platform backend en projectdata van andere gebruikers ophalen. BOLA kwetsbaarheden staan op nummer één in de OWASP API Security Top 10 vanwege hun prevalentie en het gemak van misbruik. Ze ontstaan wanneer een API toegang geeft tot objecten zonder te controleren of de vragende gebruiker ook daadwerkelijk eigenaar is of toestemming heeft.
De omvang is aanzienlijk. Elk project aangemaakt voor november 2025 valt binnen de risicozone, wat neerkomt op tienduizenden ontwikkelaars en hun eindgebruikers. Eén gecompromitteerd project hoort bij de non-profit Connected Women in AI, waar volgens de onderzoekers Supabase credentials en echte gebruikersdata toegankelijk bleken. Lovable heeft een fix toegepast voor nieuw aangemaakte projecten, maar de legacy projectbasis blijft kwetsbaar. Het bedrijf heeft de zaak inmiddels openbaar ontkend als datalek en spreekt van intentional behavior, een framing die door beveiligingsonderzoekers wordt betwist.
Nederlandse en Belgische gebruikers van Lovable wordt geadviseerd om onmiddellijk API sleutels, databank credentials en andere secrets te roteren die zijn opgeslagen in projecten ouder dan november 2025. Ga ervan uit dat chat histories en broncode mogelijk al zijn benaderd. Voor organisaties die Lovable evalueren, is dit incident reden om eerst security due diligence te doen op de API beveiliging, met speciale aandacht voor authorization checks op objectniveau.
Bron: The Register | Bron 2: superblocks.com
21 april 2026 | Kritieke Microsoft kwetsbaarheden verdubbelen ondanks daling totaal aantal lekken
Het totale aantal beveiligingslekken in software van Microsoft is dit jaar met 6% gedaald tot 1.273, wat op het eerste gezicht een positieve ontwikkeling lijkt. Echter, dit cijfer maskeert een zorgwekkende trend: het aantal kritieke kwetsbaarheden is verdubbeld. Dit blijkt uit het 13e jaarlijkse Microsoft Vulnerabilities Report van BeyondTrust, een leider op het gebied van privilege-gerichte identiteitsbeveiliging. Hoewel aanvallers minder bugs vinden, zijn de ontdekte lekken aanzienlijk krachtiger.
James Maude, Field CTO bij BeyondTrust, waarschuwt: "Laat u niet misleiden door de daling in het totale aantal kwetsbaarheden. Kritieke kwetsbaarheden zijn verdubbeld. Dit is een waarschuwing dat het risico niet afneemt, maar zich concentreert, en wel rondom privileges."
Aanzienlijke risico's in Office en Azure
De meest alarmerende stijgingen werden waargenomen in veelgebruikte zakelijke tools. Kwetsbaarheden in Microsoft Office zijn verdrievoudigd tot 157, met een vertienvoudiging van kritieke bugs binnen de suite. Veel van deze lekken exploiteren het previewvenster, een functie die inhoud automatisch weergeeft. Onderzoek van BeyondTrust's Phantom Labs team toont aan dat aanvallers deze methode gebruiken om kwaadaardige code uit te voeren zodra een gebruiker een bijlage markeert, zonder verdere interactie. Kwetsbaarheden in Windows Server stegen in 2025 tot 780, waarvan 50 als kritiek werden geclassificeerd.
Hoewel de cloudplatforms van Microsoft, Azure en Dynamics 365, minder totale bugs hadden, namen de kritieke lekken hier negenmaal toe. Een prominent voorbeeld is CVE-2025-55241, een ernstig imitatielek in Azure Entra ID. Dit lek creëerde een nachtmerriescenario waarin een dreigingsactor zich kon voordoen als een Global Administrator, waardoor de vertrouwensgrenzen die de cloudinfrastructuur van een onderneming beschermen, succesvol werden omzeild.
Verborgen risico's: de 'ghost in the machine'
Menselijke gebruikers zijn niet langer de enige doelwitten; het rapport benadrukt een groeiende dreiging voor niet-menselijke identiteiten (NHI's). Dit zijn geautomatiseerde serviceaccounts en AI-agenten die moderne workflows aandrijven. BeyondTrust noemt deze de "ghost in the machine" omdat deze identiteiten doorgaans hoge machtigingen bezitten en opereren zonder traditionele beveiligingsmaatregelen zoals multi-factor authenticatie, waardoor ze primaire doelwitten worden voor spionageactoren. Ongeveer 40% van alle kwetsbaarheden vorig jaar betrof privilege escalatie (EoP), een consistent gerapporteerde aanvalsmethode waarbij een aanvaller lateraal kan bewegen van een standaardaccount naar een zeer geprivilegieerde status en beveiligingscontroles kan uitschakelen.
Strategische aanbevelingen voor 2026
Er is ook positief nieuws: het aantal bugs in Microsoft Edge is met 50 op een historisch laag niveau (een daling van 83%). Dit duidt erop dat de architectonische investeringen van Microsoft in sandboxing en isolatie resultaten opleveren. Ook daalden kwetsbaarheden voor Security Feature Bypass met 36% nadat oudere beveiligingsmechanismen werden versterkt tegen nieuwe aanvalsmethoden.
De druk om up-to-date te blijven is echter hoger dan ooit. De eerste Patch Tuesday van dit jaar bracht alleen al 114 fixes, waaronder drie zero-day kwetsbaarheden die al actief werden misbruikt. Het rapport van BeyondTrust moet daarom als een waarschuwing worden opgevat. Naast het oplossen van bugs, moeten bedrijven nu zorgen voor het principe van de minste privileges voor gebruikers en geautomatiseerde bots, want zelfs als een hacker erin slaagt een apparaat zonder hogere privileges te infiltreren, blijft de schade beperkt.
Trey Ford, Chief Strategy and Trust Officer bij Bugcrowd, merkt op dat "cloud misconfiguraties zo waardevol zijn voor zowel aanvallers als verdedigers, omdat ze ons de mogelijkheid geven om 'per ongeluk' tot een negatief resultaat te komen, zowel globaal als direct." Amit Zimerman, Co-Founder en Chief Product Officer bij Oasis Security, voegt toe dat "hoewel AI zeer efficiënt is in het automatiseren en schalen van taken, menselijke expertise noodzakelijk is om complexe resultaten te interpreteren, kritieke beslissingen te nemen en contextspecifieke redenering toe te passen."
Bron: BeyondTrust | Bron 2: nvd.nist.gov
21 april 2026 | Kritieke kwetsbaarheden in Kentico Xperience vereisen directe patch
Het Centrum voor Cybersecurity België (CCB) heeft een dringende waarschuwing uitgegeven betreffende meerdere kritieke en hoge kwetsbaarheden in Kentico Xperience. Deze beveiligingslekken kunnen leiden tot Remote Code Execution (RCE), waarbij aanvallers op afstand kwaadaardige code kunnen uitvoeren op getroffen systemen. Organisaties die gebruikmaken van de Kentico Xperience software worden met klem geadviseerd hun systemen onmiddellijk te patchen.
De waarschuwing betreft Kentico Xperience versies tot en met 13.0.178. Drie specifieke kwetsbaarheden zijn geïdentificeerd met CVE-nummers: CVE-2025-2749, CVE-2025-2746 en CVE-2025-2747.
De meest ernstige van deze kwetsbaarheden is CVE-2025-2749, die een CVSS-score van 9.8 heeft en daarmee als kritiek wordt geclassificeerd. Dit lek kan direct RCE mogelijk maken, wat aanvallers volledige controle over het systeem geeft. De andere twee kwetsbaarheden, CVE-2025-2746 en CVE-2025-2747, hebben elk een CVSS-score van 7.2, wat duidt op een hoog risiconiveau. Deze kwetsbaarheden kunnen eveneens ernstige gevolgen hebben voor de integriteit en beschikbaarheid van de getroffen systemen.
Onderzoek naar deze kwetsbaarheden is onder andere uitgevoerd door WatchTowr Labs, die technische details hierover hebben gepubliceerd. De ernst van de situatie wordt verder onderstreept door het feit dat het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) deze kwetsbaarheden heeft toegevoegd aan hun catalogus van bekende misbruikte kwetsbaarheden. Dit betekent dat de kwetsbaarheden actief worden uitgebuit of een hoog risico vormen voor misbruik.
Het CCB benadrukt de noodzaak voor beheerders om de aanbevolen patches onverwijld toe te passen. Het niet tijdig aanpakken van deze beveiligingslekken kan leiden tot aanzienlijke operationele verstoringen, dataverlies en ongeautoriseerde toegang tot gevoelige informatie.
Bron: CCB | Bron 2: github.com | Bron 3: cisa.gov
21 april 2026 | Kritieke kwetsbaarheden ontdekt in JetBrains TeamCity
Het Centre for Cybersecurity Belgium (CCB) waarschuwt voor ernstige kwetsbaarheden in JetBrains TeamCity, een veelgebruikt platform voor continue integratie en continue levering (CI/CD). Organisaties die versies van TeamCity ouder dan 2023.11.4 gebruiken, wordt dringend geadviseerd om onmiddellijk updates toe te passen. De kwetsbaarheden, geïdentificeerd als CVE-2024-27198 en CVE-2024-27199, maken het mogelijk voor aanvallers om ongeautoriseerde acties als beheerder uit te voeren.
CVE-2024-27198 wordt beoordeeld met een CVSS-score van 9.8 (kritiek), wat duidt op een zeer hoog risico. Deze kwetsbaarheid betreft een authenticatie-bypass die aanvallers in staat stelt om zonder geldige inloggegevens toegang te krijgen tot systemen. Een succesvolle exploitatie kan leiden tot volledige compromittering van de vertrouwelijkheid, integriteit en beschikbaarheid van data en infrastructuur. Dit betekent dat aanvallers potentieel gevoelige informatie kunnen stelen, data kunnen manipuleren of systemen ontoegankelijk kunnen maken.
De tweede kwetsbaarheid, CVE-2024-27199, heeft een CVSS-score van 7.3. Dit betreft een path traversal kwetsbaarheid, die aanvallers in staat stelt om bestanden en directories buiten hun geautoriseerde bereik te benaderen. Hoewel de impact iets lager is dan die van CVE-2024-27198, kan ook deze kwetsbaarheid leiden tot ongeautoriseerde toegang tot informatie en manipulatie van data, zij het met een beperktere scope.
JetBrains TeamCity is een essentieel onderdeel van de pijplijn voor softwareontwikkeling voor veel organisaties, wat de ernst van deze kwetsbaarheden onderstreept. Het platform faciliteert flexibele workflows, samenwerking en ontwikkelingspraktijken. Een aanval op dit systeem kan verstrekkende gevolgen hebben voor de gehele cyclus van softwareontwikkeling en de eindproducten.
De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft CVE-2024-27198 en CVE-2024-27199 toegevoegd aan hun catalogus van bekende en actief misbruikte kwetsbaarheden. Dit onderstreept het belang van snelle patching, aangezien er een verhoogd risico is op actieve exploitatie door cybercriminelen. Organisaties worden sterk aangeraden om hun TeamCity-installaties onmiddellijk te controleren en te updaten naar versie 2023.11.4 of nieuwer om zich te beschermen tegen potentiële aanvallen.
Bron: CCB | Bron 2: nvd.nist.gov | Bron 3: cisa.gov
22 april 2026 | Microsoft patcht kritieke privilege-escalatie in ASP.NET Core
Microsoft heeft buiten de reguliere Patch Tuesday om spoedupdates uitgebracht om een kritieke kwetsbaarheid voor privilege-escalatie in ASP.NET Core te verhelpen. Deze kwetsbaarheid, aangeduid als CVE-2026-40372, bevindt zich in de cryptografische API's van ASP.NET Core Data Protection. Ongeauthenticeerde aanvallers zouden deze kunnen misbruiken om systeemprivileges te verkrijgen op getroffen systemen door het vervalsen van authenticatiecookies.
Microsoft ontdekte het lek nadat gebruikers melding maakten van mislukte decryptie in hun applicaties na de installatie van de.NET 10.0.6 update, die eerder deze maand tijdens Patch Tuesday werd uitgebracht. Volgens Microsoft's releasenotes voor.NET 10.0.7 veroorzaakt een regressie in de Microsoft.AspNetCore.DataProtection 10.0.0-10.0.6 NuGet-pakketten dat de beheerde geauthenticeerde encryptor de HMAC-validatietag over de verkeerde bytes van de payload berekent en de berekende hash in sommige gevallen negeert.
In dergelijke situaties zou de gebrekkige validatie een aanvaller in staat kunnen stellen om payloads te vervalsen die de authenticiteitscontroles van Data Protection passeren. Dit omvat de mogelijkheid om eerder beveiligde payloads te ontsleutelen die aanwezig zijn in authenticatiecookies, antiforgery-tokens, TempData en OIDC-state. Microsoft waarschuwt dat als een aanvaller tijdens de kwetsbare periode vervalste payloads gebruikte om zich als een bevoegde gebruiker te authentiseren, zij de applicatie mogelijk hebben aangezet om legitiem ondertekende tokens (zoals sessieverversing, API-sleutels of wachtwoordherstellinks) aan zichzelf uit te geven. Deze tokens blijven geldig na de upgrade naar versie 10.0.7, tenzij de Data Protection key ring wordt geroteerd.
Het beveiligingsadvies van Microsoft van dinsdag licht verder toe dat deze kwetsbaarheid ook kan leiden tot openbaarmaking van bestanden en het wijzigen van gegevens, hoewel de beschikbaarheid van het systeem niet beïnvloed kan worden. Programmamanager Rahul Bhandari adviseerde dinsdag alle klanten wiens applicaties gebruikmaken van ASP.NET Core Data Protection om het Microsoft.AspNetCore.DataProtection-pakket zo snel mogelijk te updaten naar versie 10.0.7. Een herimplementatie is noodzakelijk om de validatieroutine te herstellen en te garanderen dat vervalste payloads automatisch worden afgewezen. Aanvullende informatie over getroffen platforms, pakketten en applicatieconfiguratie is te vinden in de oorspronkelijke aankondiging van Microsoft.
In oktober heeft Microsoft ook een fout voor HTTP-requestsmuggling (CVE-2025-55315) in de Kestrel-webserver gepatcht. Deze fout werd destijds beoordeeld met de "hoogste ooit" ernstgraad voor een beveiligingslek in ASP.NET Core. Succesvolle exploitatie van CVE-2025-55315 kan geauthenticeerde aanvallers in staat stellen om referenties van andere gebruikers te kapen, front-end beveiligingscontroles te omzeilen of de server te laten crashen. Microsoft heeft maandag ook een andere reeks buiten-band updates uitgebracht om problemen met Windows Server systemen op te lossen na de installatie van de beveiligingsupdates van april 2026.
Bron: Microsoft | Bron 2: github.com
22 april 2026 | Meer dan 1.300 Microsoft SharePoint servers kwetsbaar voor spoofing aanvallen
Meer dan 1.300 Microsoft SharePoint servers die online bereikbaar zijn, zijn nog steeds niet gepatcht tegen een spoofing-kwetsbaarheid die als zero-day is misbruikt en nog steeds wordt ingezet in lopende aanvallen. De beveiligingsfout, aangeduid als CVE-2026-32201, treft SharePoint Enterprise Server 2016, SharePoint Server 2019 en SharePoint Server Subscription Edition. Deze laatste is de nieuwste on-premises versie die een continu update-model hanteert.
Microsoft legde uit dat succesvolle exploitatie van dit beveiligingsprobleem, dat werd gepatcht als onderdeel van de April 2026 Patch Tuesday, bedreigingsactoren zonder privileges in staat stelt netwerk-spoofing uit te voeren. Dit gebeurt door misbruik te maken van een zwakte in de validatie van invoer. De aanvallen zijn met lage complexiteit en vereisen geen gebruikersinteractie. Microsoft specificeerde dat een aanvaller die de kwetsbaarheid succesvol misbruikt, gevoelige informatie kan bekijken (vertrouwelijkheid) en wijzigingen kan aanbrengen in openbaar gemaakte informatie (integriteit), maar de toegang tot de bron niet kan beperken (beschikbaarheid).
Hoewel Microsoft de kwetsbaarheid als een zero-day markeerde, heeft het bedrijf nog niet bekendgemaakt hoe deze precies is misbruikt in aanvallen, noch heeft het de kwaadaardige activiteit gekoppeld aan een specifieke bedreigingsactor of hackinggroep.
Afgelopen dinsdag waarschuwde internetbeveiligingsgroep Shadowserver dat meer dan 1.300 ongepatchte Microsoft SharePoint servers die online zijn blootgesteld, nog steeds wachten op beveiliging. Sinds Microsoft vorige week de beveiligingsupdates voor CVE-2026-32201 heeft uitgebracht, zijn minder dan 200 systemen gepatcht.
Op dezelfde dag dat Microsoft de patches voor CVE-2026-32201 uitbracht, voegde CISA (het Amerikaanse cybersecurity agentschap) de kwetsbaarheid toe aan zijn Known Exploited Vulnerabilities (KEV) Catalog. CISA gaf ook opdracht aan Federal Civilian Executive Branch (FCEB) agentschappen - civiele overheidsagentschappen die niet militair zijn, zoals het Ministerie van Financiën en het Ministerie van Binnenlandse Veiligheid - om SharePoint servers binnen twee weken, uiterlijk 28 april, te patchen, zoals voorgeschreven door de Binding Operational Directive (BOD) 22-01. CISA waarschuwde dat "dit type kwetsbaarheid een veelvoorkomende aanvalsvector is voor kwaadaardige cyberactoren en aanzienlijke risico's vormt voor de federale onderneming." Het agentschap adviseerde mitigaties toe te passen volgens de instructies van de leverancier, de toepasselijke BOD 22-01 richtlijnen voor clouddiensten te volgen, of het product niet langer te gebruiken als mitigaties niet beschikbaar zijn.
Een week eerder markeerde CISA ook een Windows Task Host privilege-escalatie kwetsbaarheid als actief misbruikt, waarbij federale agentschappen werden gewaarschuwd hun apparaten zo snel mogelijk te beveiligen, aangezien aanvallers hiermee SYSTEEM-privileges op kwetsbare apparaten zouden kunnen verkrijgen. Op 14 april bracht Microsoft beveiligingsupdates uit die 167 kwetsbaarheden aanpakten, waaronder twee zero-day gebreken, als onderdeel van zijn April 2026 Patch Tuesday.
Bron: Microsoft | Bron 2: cisa.gov | Bron 3: nvd.nist.gov
22 april 2026 | Kritieke kwetsbaarheid in CrowdStrike LogScale maakt lezen van bestanden op afstand mogelijk
CrowdStrike heeft een urgente beveiligingswaarschuwing uitgegeven voor een kritieke, ongeauthenticeerde kwetsbaarheid voor path traversal (CVE-2026-40050) die het LogScale-platform treft. Het bedrijf waarschuwt dat een externe aanvaller de kwetsbaarheid kan misbruiken om willekeurige bestanden rechtstreeks van het bestandssysteem van de server te lezen, zonder enige vorm van authenticatie.
De kwetsbaarheid bevindt zich specifiek in een cluster API-endpoint binnen CrowdStrike LogScale. Als dit endpoint is blootgesteld, kan een externe aanvaller het gebruiken om de directorystructuur van de server te doorlopen en gevoelige bestanden te benaderen zonder dat inloggegevens nodig zijn. De kwetsbaarheid heeft een CVSS v3.1-score van 9.8 (KRITIEK), wat de ernstige potentiële impact op vertrouwelijkheid, integriteit en beschikbaarheid onderstreept.
Twee zwakheidstypes liggen ten grondslag aan deze kwetsbaarheid: CWE-306 (Missing Authentication for Critical Function) en CWE-22 (Improper Limitation of a Pathname to a Restricted Directory oftewel Path Traversal).
De kwetsbaarheid treft LogScale Self-Hosted GA-versies 1.224.0 tot en met 1.234.0, evenals LogScale Self-Hosted LTS-versies 1.228.0 en 1.228.1. Klanten van Next-Gen SIEM worden niet getroffen en hoeven geen actie te ondernemen.
Voor LogScale SaaS-klanten heeft CrowdStrike op 7 april 2026 al netwerklaagblokkades geïmplementeerd over alle clusters, waardoor het risico op infrastructuurniveau effectief is beperkt. Het bedrijf heeft ook een proactieve controle van alle loggegevens uitgevoerd en geen bewijs gevonden van misbruik in de praktijk.
CrowdStrike heeft bevestigd dat er momenteel geen indicatie is van actieve exploitatie. De kwetsbaarheid werd intern ontdekt via het continue producttestprogramma van het bedrijf, en niet gerapporteerd door een externe onderzoeker of waargenomen in een echte aanval. CrowdStrike monitort actief LogScale SaaS-omgevingen op tekenen van misbruik of verdachte activiteiten gerelateerd aan deze kwetsbaarheid.
Self-hosted LogScale-klanten wordt dringend geadviseerd onmiddellijk te upgraden naar een van de volgende gepatchte versies: 1.228.2 (LTS) of nieuwer. CrowdStrike heeft bevestigd dat de gepatchte builds geen directe of indirecte prestatie-impact hebben op de LogScale-activiteiten. Organisaties die self-hosted instanties draaien, moeten ook standaard incidentrespons-procedures volgen om te controleren op eerdere ongeautoriseerde toegang of bestands-exfiltratie.
Bron: CrowdStrike
22 april 2026 | Apple dicht iOS-lek dat verwijderde Signal-notificaties bewaarde
Apple heeft recentelijk buiten de reguliere updatecyclus om beveiligingsupdates uitgebracht voor iPhone- en iPad-apparaten. Deze updates adresseren een kwetsbaarheid in de Notification Services die ervoor kon zorgen dat notificaties, zelfs nadat ze waren gemarkeerd voor verwijdering, onverwacht op het apparaat bleven opgeslagen. Het lek, aangeduid als CVE-2026-28950, is op 22 april 2026 verholpen met de introductie van iOS 26.4.2, iPadOS 26.4.2, iOS 18.7.8 en iPadOS 18.7.8.
Volgens het beveiligingsbulletin van Apple konden "notificaties die voor verwijdering waren gemarkeerd onverwacht op het apparaat worden bewaard." Apple heeft aangegeven dat de kwetsbaarheid is opgelost door middel van verbeterde gegevensredactie, maar heeft verder geen aanvullende informatie verstrekt. Het bedrijf heeft niet bevestigd of de kwetsbaarheid actief is uitgebuit, noch heeft het de reden toegelicht waarom deze specifieke update buiten de normale beveiligingsupdatecyclus is uitgebracht. Ook heeft Apple geen technische details gedeeld over hoe lang de notificatiegegevens op het apparaat bleven staan of hoe deze potentieel konden worden hersteld.
Hoewel Apple geen directe verklaring heeft gegeven voor deze noodupdate, heeft een recent rapport van 404 Media licht geworpen op een gerelateerd incident. 404 Media beschreef hoe de FBI erin slaagde om kopieën van Signal-berichten te herstellen van de iPhone van een verdachte, zelfs nadat deze berichten in de app waren verwijderd. Volgens procesnotities, gepubliceerd door supporters van de verdachten, kwamen de herstelde gegevens niet uit de versleutelde berichtenopslag van Signal zelf, maar uit de notificatieopslag van de iPhone. De notities vermelden specifiek: "Berichten werden hersteld van Sharps telefoon via de interne notificatieopslag van Apple – Signal was verwijderd, maar inkomende notificaties bleven bewaard in het interne geheugen."
Signal heeft Apple geprezen voor de snelle actie om deze kwetsbaarheid aan te pakken, die volgens hen de veiligheid van privécommunicatie bedreigde. "We zijn Apple dankbaar voor de snelle actie en voor het begrip en handelen naar de ernst van dit soort problemen. Er is een heel ecosysteem nodig om het fundamentele mensenrecht op privécommunicatie te behouden," aldus Signal in een openbare verklaring. 404 Media meldde tevens dat de notificatiegegevens bewaard bleven, zelfs nadat de Signal-applicatie van het apparaat was verwijderd. Hoewel het advies van Apple geen directe verwijzing bevat naar de specifieke zaak, komt de beschrijving van het bewaren van notificaties op het apparaat sterk overeen met het type gegevenspersistentie dat in het 404 Media-rapport werd beschreven.
Gebruikers wordt dringend geadviseerd de nieuwste updates zo spoedig mogelijk te installeren om te voorkomen dat verwijderde notificatiegegevens onverwacht op hun apparaten blijven opgeslagen. Bovendien is het mogelijk om te voorkomen dat de inhoud van Signal-berichten wordt bewaard in de iOS-notificatiegegevensopslag door in de Signal-instellingen te navigeren naar 'Meldingen' > 'Meldingsinhoud' en 'Toon' in te stellen op "Alleen naam" of "Geen naam of inhoud". BleepingComputer heeft contact opgenomen met Apple voor vragen over deze updates, maar heeft nog geen antwoord ontvangen.
Bron: Apple | Bron 2: adaptivesecurity.com | Bron 3: 404media.co
22 april 2026 | Kritieke kwetsbaarheden in Spinnaker vereisen onmiddellijke patch
Het Belgisch Centrum voor Cyberbeveiliging (CCB) heeft een urgente waarschuwing doen uitgaan betreffende twee extreem kritieke kwetsbaarheden die zijn geïdentificeerd in het Spinnaker platform voor continue levering. Deze kwetsbaarheden, aangeduid met de CVE-nummers CVE-2026-32613 en CVE-2026-32604, vormen een onmiddellijk en aanzienlijk risico voor gebruikers van de software.
Beide beveiligingslekken zijn door het Common Vulnerability Scoring System (CVSS) beoordeeld met de maximale score van 10.0 op schaal 3.1. Een dergelijke classificatie impliceert dat de kwetsbaarheden als 'CRITICAL' worden beschouwd en potentieel leiden tot de meest ernstige vormen van cyberaanvallen. Dit omvat doorgaans scenario's waarin een aanvaller op afstand en zonder enige vorm van authenticatie volledige controle over de getroffen systemen kan verkrijgen. De mogelijke impact strekt zich uit tot het uitvoeren van willekeurige code, het escaleren van privileges en het volledig compromitteren van de integriteit en vertrouwelijkheid van de systemen waarop Spinnaker draait.
Gezien de ernst van deze bevindingen, adviseert de CCB met klem om onmiddellijk actie te ondernemen en de benodigde patches toe te passen. De waarschuwing benadrukt de directe dreiging en de noodzaak van snelle mitigatie om potentiële exploitatie te voorkomen.
Spinnaker is een veelgebruikt open-source platform dat organisaties in staat stelt om op een geautomatiseerde en betrouwbare wijze software te leveren aan verschillende multi-cloud omgevingen. De functionaliteit van Spinnaker is cruciaal voor de operationele continuïteit en de snelle innovatiecycli van veel bedrijven. Daarom is deze waarschuwing van bijzonder belang voor alle organisaties die Spinnaker in hun infrastructuur hebben geïntegreerd, zowel in België als daarbuiten, inclusief in Nederland.
Het misbruik van deze kritieke kwetsbaarheden kan verstrekkende gevolgen hebben. Kwaadwillende actoren zouden in staat kunnen zijn om kritieke IT-processen te verstoren, ongeautoriseerd toegang te krijgen tot gevoelige bedrijfsgegevens of zelfs kwaadaardige componenten in de keten voor software-implementatie te injecteren. Dit zou de betrouwbaarheid van de geleverde software en de algehele beveiligingshouding van een organisatie ernstig ondermijnen.
Het is essentieel dat systeembeheerders en ontwikkelteams die verantwoordelijk zijn voor Spinnaker-implementaties, zonder uitstel hun systemen controleren en de meest recente beveiligingsupdates toepassen die door het Spinnaker-project zijn uitgebracht. Het negeren van deze waarschuwing kan leiden tot aanzienlijke beveiligingsincidenten en operationele verstoringen. De proactieve melding van de CCB onderstreept het voortdurende belang van alertheid en snelle respons op kritieke softwarekwetsbaarheden om de digitale weerbaarheid te waarborgen.
Bron: CCB | Bron 2: github.com
22 april 2026 | Anthropic's AI ontdekt 271 kwetsbaarheden in Firefox
Mozilla heeft deze week een nieuwe versie van de Firefox-browser uitgebracht die maar liefst 271 kwetsbaarheden verhelpt. Deze aanzienlijke reeks beveiligingslekken is ontdekt door een AI model, genaamd Claude Mythos Preview, ontwikkeld door Anthropic. Anthropic is een bedrijf dat bekendstaat om zijn chatbot Claude en had eerder geclaimd dat zijn AI model in staat is duizenden zero-day lekken te vinden.
Ondanks de grote hoeveelheid gevonden kwetsbaarheden, stelt Bobby Holley van Mozilla dat er geen lekken zijn gevonden die niet ook door een ervaren menselijke onderzoeker hadden kunnen worden ontdekt. Holley merkt op dat sommige experts voorspellen dat toekomstige AI modellen geheel nieuwe soorten kwetsbaarheden zullen vinden die de huidige menselijke kennis te boven gaan, maar Mozilla deelt deze mening niet.
In het officiële beveiligingsbulletin van Firefox versie 150 worden specifiek drie van de ontdekte kwetsbaarheden toegeschreven aan Anthropic. Het betreft CVE-2026-6746, CVE-2026-6757 en CVE-2026-6758. De impact van deze specifieke lekken is beoordeeld als 'high' en 'moderate'. Een van de vermelde kwetsbaarheden betreft een 'use-after-free'-probleem binnen de JavaScript-engine van Firefox. Verdere technische details over deze specifieke lekken zijn niet openbaar gemaakt.
Anthropic heeft besloten zijn geavanceerde AI model niet breed beschikbaar te maken voor het publiek. In plaats daarvan wordt Claude Mythos Preview exclusief aangeboden aan een selecte groep grote technologiebedrijven en organisaties. Tot deze groep behoren onder andere Amazon, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, de Linux Foundation, Microsoft, Nvidia en Palo Alto Networks. Deze organisaties kunnen het AI model inzetten om hun eigen software te controleren op potentiële kwetsbaarheden, wat de adoptie van AI in softwarebeveiliging verder onderstreept.
Bron: Mozilla
22 april 2026 | Oracle dicht 481 kwetsbaarheden in kwartaalupdate, inclusief kritieke RCE
Oracle heeft in de recentste kwartaalpatchronde van april een totaal van 481 nieuwe beveiligingspatches uitgebracht. Deze updates zijn essentieel voor het dichten van kwetsbaarheden in een breed scala aan Oracle-producten, waaronder Oracle Communications, Financial Services Applications en Fusion Middleware.
De meeste van de verholpen lekken bevonden zich in Oracle Communications, waar 139 kwetsbaarheden zijn aangepakt. Dit omvat belangrijke componenten zoals Cloud Native Core Network Exposure Function, EAGLE, Messaging Server, Operations Monitor en Unified Assurance. Daarnaast zijn er 75 kwetsbaarheden opgelost in Oracle Financial Services Applications en nog eens 59 lekken in Fusion Middleware.
Deze kwartaalupdates zijn een standaardonderdeel van Oracle's beveiligingsstrategie, met patchrondes die plaatsvinden in januari, april, juli en oktober. De volgende geplande patchronde staat vastgesteld voor 21 juli.
Eind maart kwam Oracle al met een noodpatch voor een zeer kritieke kwetsbaarheid, aangeduid als CVE-2026-21992. Dit lek trof Oracle Identity Manager en Oracle Web Services Manager en maakte remote code execution (RCE) mogelijk. De kwetsbaarheid had een indrukwekkende impactscore van 9.8 op een schaal van 1 tot en met 10, wat de urgentie van de noodpatch onderstreepte. Het regelmatig toepassen van deze patches is cruciaal voor organisaties die Oracle-producten gebruiken om hun systemen te beschermen tegen potentiële cyberaanvallen.
Bron: Oracle
22 april 2026 | CISA voegt actief geëxploiteerde kwetsbaarheid in Microsoft Defender toe aan KEV Catalogus
De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft een nieuwe kwetsbaarheid toegevoegd aan haar Known Exploited Vulnerabilities (KEV) Catalogus. Het betreft CVE-2026-33825, een lek in Microsoft Defender, specifiek aangeduid als een 'Insufficient Granularity of Access Control Vulnerability'. CISA heeft de kwetsbaarheid opgenomen in de catalogus op basis van bewijs van actieve exploitatie.
Volgens CISA vormt dit type kwetsbaarheid een veelvoorkomende aanvalsvector voor kwaadwillende cyberactoren en brengt het aanzienlijke risico’s met zich mee, vooral voor federale overheidsinstanties. De KEV Catalogus werd in het leven geroepen door Binding Operational Directive (BOD) 22-01. Deze richtlijn verplicht federale civiele uitvoerende takken van de overheid (FCEB agencies) om geïdentificeerde kwetsbaarheden vóór de gestelde deadline te herstellen, met als doel hun netwerken te beschermen tegen actieve dreigingen.
Hoewel BOD 22-01 primair van toepassing is op FCEB agencies, benadrukt CISA met klem dat alle organisaties hun blootstelling aan cyberaanvallen moeten verminderen. Dit kan door prioriteit te geven aan het tijdig patchen van kwetsbaarheden die in de KEV Catalogus zijn opgenomen, als integraal onderdeel van hun kwetsbaarheidsbeheer. CISA zal de catalogus continu blijven aanvullen met kwetsbaarheden die voldoen aan de gespecificeerde criteria voor opname. De waarschuwing is van breed belang, gezien het wijdverbreide gebruik van Microsoft Defender in zowel overheids- als private sectoren wereldwijd, inclusief in Nederland en België. Organisaties worden aangespoord om de CISA-richtlijnen te volgen en hun systemen proactief te beveiligen tegen deze bekende en actief misbruikte kwetsbaarheid.
Bron: CISA | Bron 2: cve.org | Bron 3: go.dhs.gov
23 april 2026 | Kritieke kwetsbaarheid in Breeze Cache WordPress plugin actief misbruikt
Hackers maken momenteel actief misbruik van een kritieke kwetsbaarheid in de Breeze Cache plugin voor WordPress. Deze kwetsbaarheid, aangeduid als CVE-2026-3844, maakt het mogelijk om willekeurige bestanden naar de server te uploaden zonder authenticatie. Volgens de beveiligingsoplossing Wordfence, gericht op het WordPress-ecosysteem, zijn er al meer dan 170 pogingen tot misbruik van deze kwetsbaarheid gedetecteerd.
De Breeze Cache plugin, ontwikkeld door Cloudways, heeft meer dan 400.000 actieve installaties. De primaire functie van de plugin is het verbeteren van de prestaties en laadsnelheid van websites door middel van caching, bestandsoptimalisatie en database-opschoning.
De kwetsbaarheid heeft een kritieke ernstscore van 9.8 op een schaal van 10 en werd ontdekt en gerapporteerd door beveiligingsonderzoeker Hung Nguyen (bashu). Onderzoekers van Defiant, het bedrijf achter Wordfence, stellen dat het probleem voortkomt uit een ontbrekende validatie van bestandstypen in de functie 'fetch_gravatar_from_remote'. Dit stelt een niet-geauthenticeerde aanvaller in staat om willekeurige bestanden naar de server te uploaden, wat kan leiden tot remote code execution (RCE) en een volledige overname van de website.
Succesvolle exploitatie is echter alleen mogelijk als de add-on "Host Files Locally - Gravatars" is ingeschakeld, wat niet de standaardinstelling is, aldus de onderzoekers. CVE-2026-3844 treft alle versies van Breeze Cache tot en met 2.4.4. Cloudways heeft de kwetsbaarheid verholpen in versie 2.4.5, die eerder deze week is uitgebracht. Volgens statistieken van WordPress.org is de plugin sinds de release van de nieuwste versie ongeveer 138.000 keer gedownload. Het is onduidelijk hoeveel websites momenteel kwetsbaar zijn, aangezien er geen gegevens beschikbaar zijn over het aantal installaties waarbij de functie "Host Files Locally - Gravatars" is geactiveerd.
Gezien de actieve exploitatie wordt website-eigenaren en beheerders die afhankelijk zijn van Breeze Cache dringend aangeraden om zo snel mogelijk te upgraden naar de nieuwste versie van de plugin of deze tijdelijk uit te schakelen. Indien een upgrade momenteel niet mogelijk is, dienen beheerders ten minste de functie "Host Files Locally - Gravatars" uit te schakelen.
Bron: Wordfence | Bron 2: wordpress.org
23 april 2026 | GitLab verhelpt meerdere kwetsbaarheden in Community en Enterprise edities
GitLab Inc. heeft recentelijk diverse kwetsbaarheden aangepakt in zowel de GitLab Community Edition als de Enterprise Edition. De getroffen versies variëren van 9.2 tot en met releases vóór 18.11.1, inclusief diverse 18.x uitgaven. Deze kwetsbaarheden beïnvloeden verschillende componenten binnen het GitLab-platform, waaronder het discussions endpoint, de GraphQL API, de note retrieval functie, issue import, de Mermaid sandbox, de Storybook development environment, issue rendering, de web interface en Virtual Registries.
Eén van de problemen betreft de mogelijkheid voor geauthenticeerde gebruikers om resource-exhaustie te veroorzaken. Dit kan leiden tot een Denial-of-Service (DoS) aanval als gevolg van onvoldoende resource limits of onjuiste inputvalidatie. Daarnaast zijn er tekortkomingen in de autorisatiecontroles, waardoor project owners de group fork preventie kunnen omzeilen.
Verder is er een kwestie met onvoldoende CSRF-bescherming, die ongeauthenticeerde gebruikers in staat stelt om GraphQL mutaties uit te voeren. Ook werd een cross-site scripting (XSS) kwetsbaarheid ontdekt, waarmee ongeauthenticeerde gebruikers JavaScript code kunnen uitvoeren in de browser van een gebruiker. Onjuiste toegangscontrole stelt gebruikers bovendien in staat om de titels van vertrouwelijke issues in publieke projecten in te zien.
Gebruikers kunnen ook toegang krijgen tot Virtual Registries via onjuist gescopeerde credentials. Tot slot maken sommige van de verholpen kwetsbaarheden het mogelijk om ongeautoriseerde content te injecteren in browser sessies van andere gebruikers. De kwetsbaarheden zijn aanwezig in meerdere opeenvolgende versies en beïnvloeden zowel de Community als de Enterprise edities van GitLab.
Bron: NCSC
24 april 2026 | 'Pack2TheRoot' kwetsbaarheid geeft roottoegang tot Linux systemen
Een recent ontdekte kwetsbaarheid, genaamd Pack2TheRoot (CVE-2026-41651), stelt lokale Linux-gebruikers in staat om systeempakketten te installeren of te verwijderen en zo rootrechten te verkrijgen. Deze kwetsbaarheid, die een hoge CVSS-score van 8.8 op 10 heeft gekregen, bestond twaalf jaar lang in de PackageKit-daemon, een achtergrondservice die verantwoordelijk is voor software-installatie, updates en verwijdering op Linux systemen.
De Deutsche Telekom Red Team heeft de oorzaak van de bug blootgelegd. Het probleem ligt in de manier waarop PackageKit verzoeken voor pakketbeheer afhandelt. Onderzoekers ontdekten dat commando's zoals 'pkcon install' onder bepaalde voorwaarden op een Fedora systeem zonder authenticatie konden worden uitgevoerd, waardoor het mogelijk was om een systeempakket te installeren. Met behulp van de Claude Opus AI tool werd het potentieel voor het misbruiken van dit gedrag verder onderzocht, wat leidde tot de ontdekking van CVE-2026-41651.
Deutsche Telekom's Red Team rapporteerde hun bevindingen op 8 april aan Red Hat en de onderhouders van PackageKit. Zij stellen dat alle distributies die standaard met PackageKit zijn geïnstalleerd en geactiveerd, kwetsbaar zijn voor CVE-2026-41651. De kwetsbaarheid is aanwezig sinds PackageKit versie 1.0.2, uitgebracht in november 2014, en treft alle versies tot en met 1.3.4.
Tests door de onderzoekers bevestigden dat een aanvaller de kwetsbaarheid CVE-2026-41651 kon misbruiken in de volgende Linux-distributies: Ubuntu Desktop 18.04 (EOL), 24.04.4 (LTS), 26.04 (LTS beta); Ubuntu Server 22.04 - 24.04 (LTS); Debian Desktop Trixie 13.4; RockyLinux Desktop 10.1; Fedora 43 Desktop; en Fedora 43 Server. De lijst is niet uitputtend; elke Linux-distributie die PackageKit gebruikt, moet als potentieel kwetsbaar worden beschouwd.
Gebruikers wordt geadviseerd om zo snel mogelijk te upgraden naar PackageKit versie 1.3.5 en ervoor te zorgen dat andere software die afhankelijk is van PackageKit, ook is bijgewerkt naar een veilige release. Gebruikers kunnen de commando's `dpkg -l | grep -i packagekit` of `rpm -qa | grep -i packagekit` gebruiken om te controleren of een kwetsbare versie van PackageKit is geïnstalleerd. De status van de PackageKit-daemon kan worden gecontroleerd met `systemctl status packagekit` of `pkmon`. Hoewel er geen details zijn gedeeld over de status van actieve exploitatie, merkten de onderzoekers op dat er sterke aanwijzingen zijn voor compromittering, omdat exploitatie leidt tot een assertion failure en crash van de PackageKit-daemon, wat zichtbaar is in de systeemlogs.
Bron: Deutsche Telekom Red Team | Bron 2: github.com | Bron 3: nvd.nist.gov
24 april 2026 | Drie ernstige kwetsbaarheden in OpenClaw software vereisen onmiddellijke patch
Het Centrum voor Cybersecurity België (CCB) heeft een dringende waarschuwing uitgegeven met betrekking tot drie kwetsbaarheden met een hoge ernstgraad, die zijn ontdekt in de OpenClaw software. Deze beveiligingslekken, geïdentificeerd als CVE-2026-41352, CVE-2026-41353 en CVE-2026-41349, kunnen potentieel leiden tot Remote Code Execution (RCE). Dit betekent dat onbevoegde aanvallers in staat zouden kunnen zijn om willekeurige code uit te voeren op de getroffen systemen. Gezien de kritieke aard van deze kwetsbaarheden, adviseert het CCB gebruikers en beheerders van OpenClaw met klem om de beschikbare patches onmiddellijk toe te passen.
De kwetsbaarheden zijn beoordeeld met hoge CVSS (Common Vulnerability Scoring System) scores, wat de aanzienlijke potentiële impact ervan benadrukt. CVE-2026-41352 en CVE-2026-41353 hebben beide een CVSS score van 8.8, terwijl CVE-2026-41349 een score van 8.1 heeft gekregen. Deze scores onderstrepen zowel het relatieve gemak van exploitatie als de ernstige gevolgen die kunnen optreden wanneer deze zwakheden succesvol worden misbruikt door kwaadwillende actoren. Remote Code Execution wordt beschouwd als een van de meest gevaarlijke typen kwetsbaarheden, omdat het aanvallers uitgebreide controle geeft over een gecompromitteerd systeem. Dit kan leiden tot datadiefstal, verstoring van de bedrijfsvoering, of verdere penetratie van het netwerk.
Het CCB, als de nationale autoriteit voor cybersecurity in België, benadrukt het cruciale belang van het tijdig patchen om de risico's die samenhangen met deze kwetsbaarheden te mitigeren. Organisaties die OpenClaw gebruiken binnen hun infrastructuur worden dringend verzocht hun systemen te controleren en de noodzakelijke beveiligingsupdates zonder uitstel te implementeren. De details en aanbevelingen voor deze kwetsbaarheden zijn gepubliceerd op GitHub in de beveiligingsadviezen (security advisories), die specifieke informatie over de problemen en de aanbevolen oplossingen bevatten.
Deze waarschuwing onderstreept de voortdurende noodzaak tot alertheid op het gebied van cybersecurity en het proactieve beheer van softwarekwetsbaarheden. Het nalaten om patches voor dergelijke ernstige problemen toe te passen, kan systemen blootstellen aan aanzienlijke bedreigingen, met potentieel ernstige operationele en financiële gevolgen voor organisaties. Het advies van het CCB dient als een belangrijke herinnering voor alle gebruikers van OpenClaw om deze beveiligingsupdates te prioriteren.
Bron: Centrum voor Cybersecurity België | Bron 2: github.com
24 april 2026 | Kritieke kwetsbaarheden in Rclone vereisen onmiddellijke patch
Het Belgisch Centrum voor Cyberbeveiliging (CCB) heeft een dringende waarschuwing uitgegeven betreffende twee kritieke kwetsbaarheden in Rclone, een veelgebruikt open-source commandoregelprogramma voor het synchroniseren van bestanden met cloudopslag. De kwetsbaarheden, geïdentificeerd als CVE-2026-41179 en CVE-2026-41176, maken ongeauthenticeerde code-executie mogelijk en hebben een CVSS-score van 9.2, gebaseerd op CVSS versie 4.0. Dit duidt op een zeer hoog risiconiveau.
De kwetsbaarheden stellen kwaadwillende actoren in staat om op afstand willekeurige code uit te voeren op getroffen systemen zonder dat authenticatie vereist is. Dit betekent dat aanvallers, onder bepaalde omstandigheden, volledige controle over een systeem kunnen krijgen zonder geldige inloggegevens. Gezien de kritieke aard van deze zwakke punten en de mogelijke impact op de integriteit en beschikbaarheid van gegevens, dringt het CCB aan op onmiddellijke actie.
Hoewel de exacte details van de exploitatiemethoden niet nader zijn gespecificeerd in de waarschuwing, is het principe van ongeauthenticeerde code-executie een van de meest ernstige kwetsbaarheden die er zijn. Het kan leiden tot datalekken, systeemovernames, de installatie van malware of andere kwaadaardige activiteiten. Organisaties en individuele gebruikers die Rclone gebruiken, met name versie 1.73.5, worden geadviseerd de waarschuwing serieus te nemen.
Het Rclone-project heeft naar aanleiding van deze bevindingen al security advisories uitgebracht en patches beschikbaar gesteld. Het is van cruciaal belang dat beheerders en gebruikers hun Rclone-installaties onmiddellijk updaten naar de nieuwste, gepatchte versie. Het negeren van deze waarschuwing kan leiden tot aanzienlijke beveiligingsrisico's en potentiële schade. De aanbevolen actie is dan ook om zonder uitstel de noodzakelijke updates uit te voeren.
Bron: CCB | Bron 2: github.com
24 april 2026 | CISA voegt vier actief misbruikte kwetsbaarheden toe aan catalogus
De Amerikaanse Cybersecurity en Infrastructuur Beveiligingsagentschap (CISA) heeft recentelijk vier nieuwe kwetsbaarheden toegevoegd aan haar 'Known Exploited Vulnerabilities (KEV) Catalog', een lijst van beveiligingslekken waarvan bekend is dat deze actief worden misbruikt door cybercriminelen. Deze toevoeging is gebaseerd op concreet bewijs van actieve exploitatie.
De vier specifieke kwetsbaarheden die zijn opgenomen, zijn:
* **CVE-2024-7399**: Een path traversal kwetsbaarheid in Samsung MagicINFO 9 Server. Dit type kwetsbaarheid stelt aanvallers in staat om buiten de beoogde directory te navigeren en mogelijk gevoelige bestanden te openen of te manipuleren.
* **CVE-2024-57726**: Een ontbrekende autorisatie kwetsbaarheid in SimpleHelp. Dit betekent dat bepaalde functionaliteiten of bronnen toegankelijk zijn zonder de juiste authenticatie of autorisatie, wat ongeautoriseerde toegang mogelijk maakt.
* **CVE-2024-57728**: Eveneens een path traversal kwetsbaarheid in SimpleHelp. Net als bij de Samsung kwetsbaarheid kan dit leiden tot ongeoorloofde toegang tot bestanden buiten het bedoelde bereik.
* **CVE-2025-29635**: Een command injection kwetsbaarheid in D-Link DIR-823X routers. Deze kwetsbaarheid kan aanvallers in staat stellen om arbitraire commando's uit te voeren op het onderliggende besturingssysteem van de router, wat kan resulteren in volledige controle over het apparaat.
CISA benadrukt dat dit soort kwetsbaarheden veelvoorkomende aanvalsvectoren zijn voor kwaadwillende cyberactoren en aanzienlijke risico's vormen voor diverse organisaties. De KEV Catalog is opgericht onder Binding Operational Directive (BOD) 22-01, met als doel het verminderen van het aanzienlijke risico van actief misbruikte kwetsbaarheden. Hoewel BOD 22-01 primair van toepassing is op Amerikaanse federale civiele uitvoerende tak (FCEB) agentschappen, die de geïdentificeerde kwetsbaarheden voor een bepaalde deadline moeten patchen, spoort CISA alle organisaties wereldwijd dringend aan om hun blootstelling aan cyberaanvallen te verminderen. Dit kan door het tijdig prioriteren van de mitigatie van kwetsbaarheden die in de KEV Catalog zijn opgenomen, als een integraal onderdeel van hun kwetsbaarhedenbeheerpraktijk. CISA zal de catalogus blijven aanvullen met kwetsbaarheden die aan de gespecificeerde criteria voldoen.
Bron: CISA | Bron 2: cve.org
24 april 2026 | Kaspersky waarschuwt voor privilege-escalatie kwetsbaarheid in Windows
Kaspersky heeft gewaarschuwd voor een beveiligingslek in Windows dat het voor een lokale aanvaller mogelijk maakt om systeemrechten te verkrijgen. Deze aanval vereist dat de aanvaller reeds beschikt over "impersonation privileges" (specifiek "SeImpersonatePrivilege"). Volgens onderzoek van Kaspersky is de kwetsbaarheid vermoedelijk aanwezig in alle huidige versies van het Windows besturingssysteem.
Kaspersky bracht Microsoft op 19 september vorig jaar op de hoogte van de ontdekte kwetsbaarheid. Microsoft reageerde op 10 oktober en liet weten dat het probleem niet als "high-severity" werd geclassificeerd en dat er geen CVE-nummer aan zou worden toegekend. De reden die Microsoft hiervoor opgaf, was dat een aanvaller al over de benodigde impersonation privileges moet beschikken om de kwetsbaarheid te kunnen misbruiken.
Na de reactie van Microsoft heeft Kaspersky de technische details van de kwetsbaarheid openbaar gemaakt, inclusief proof-of-concept code. Kaspersky heeft aangegeven geen instructies te zullen publiceren die het voor kwaadwillenden eenvoudiger zouden maken om deze kwetsbaarheid op grote schaal te misbruiken. De waarschuwing benadrukt echter wel de potentiële impact voor systemen waar een lokale aanvaller reeds een beperkt toegangsniveau heeft verworven. Dit type kwetsbaarheid wordt vaak gebruikt in de latere fasen van een aanval om de controle over een gecompromitteerd systeem verder uit te breiden.
Bron: Kaspersky | Bron 2: securelist.com
24 april 2026 | Kwetsbaarheid in Python asyncio leidt tot out-of-bounds write op Windows
Er is een beveiligingskwetsbaarheid ontdekt in de Windows asyncio-implementatie van Python. Deze kwetsbaarheid stelt aanvallers in staat om out-of-bounds geheugen schrijfbewerkingen te activeren. De oorzaak hiervan is een ontbrekende grenscontrole bij netwerk socket operaties.
De kwetsbaarheid, geregistreerd onder CVE-2026-3298, heeft een hoge ernstclassificatie. Het probleem treft uitsluitend systemen die op Windows draaien en werd publiekelijk bekendgemaakt op 21 april 2026. De fout bevindt zich specifiek in de `sock_recvfrom_into()` methode van Python's `asyncio.proactorEventLoop` klasse, die de native Windows-implementatie betreft.
Bron: CyberSecurityNews
24 april 2026 | Kritieke kwetsbaarheid in Ollama lekt gevoelige serverdata
Een recent ontdekte, ongepatchte kwetsbaarheid in Ollama, een veelgebruikt open source platform voor het lokaal uitvoeren van Large Language Models (LLM's), stelt onbevoegde aanvallers in staat gevoelige servergegevens te stelen. De kwetsbaarheid, aangeduid als CVE-2026-5757, betreft een ernstig geheugenlek dat het mogelijk maakt om zonder authenticatie op afstand data rechtstreeks uit de heap van een server te extraheren.
De kwetsbaarheid werd ontdekt door beveiligingsonderzoeker Jeremy Brown, die gebruikmaakte van AI-ondersteund kwetsbaarhedenonderzoek. De details werden op 22 april 2026 publiekelijk bekendgemaakt. Aangezien de ontwikkelaars nog geen software-update hebben uitgebracht, moeten beheerders hun implementaties actief beveiligen om ongeautoriseerde toegang te voorkomen.
Ollama is ontworpen om ontwikkelaars te helpen bij het draaien van resource-intensieve AI modellen op standaard hardware, zowel op Windows, macOS als Linux. Het platform maakt hiervoor gebruik van een compressietechniek genaamd modelkwantisatie, die de wiskundige precisie van het AI model vermindert om geheugen en verwerkingskracht te besparen. Hoewel deze methode zeer efficiënt is, bevat de kwantisatie-engine van Ollama een kritieke fout in de verwerking van inkomende bestandsuploads.
Aanvallers kunnen dit proces misbruiken door de metadata in modelbestanden te manipuleren. De aanval begint wanneer een kwaadwillende actor een speciaal geprepareerd GPT-Generated Unified Format (GGUF)-bestand uploadt naar de doelserver. Deze upload activeert een gevaarlijke combinatie van drie afzonderlijke softwarefouten die geheugen blootleggen:
1. De engine slaat de juiste grenzencontrole over, omdat het blindelings de metadata van het bestand vertrouwt in plaats van te verifiëren of het opgegeven aantal elementen overeenkomt met de werkelijke datagrootte.
2. Het systeem voert onveilige geheugentoegang uit met behulp van Go's unsafe.Slice-commando, waardoor de applicatie geheugen kan lezen ver buiten de legitieme databuffer en in de backend heap van de server.
3. De server schrijft onbedoeld deze gelekte heap-gegevens weg naar een nieuwe modellaag, waardoor een verborgen maar zeer effectief pad voor data-exfiltratie ontstaat.
De aanvaller kan vervolgens de ingebouwde registry API van Ollama gebruiken om deze nieuw gecreëerde, met data gevulde laag eenvoudig naar een eigen externe server te pushen. Heap-geheugen kan zeer gevoelige systeeminformatie bevatten, waaronder encryptiesleutels, gebruikersreferenties, API-tokens en privégebruikersprompts. Het blootstellen van dergelijke gegevens kan leiden tot een volledige systeemcompromis en aanvallers in staat stellen om onopgemerkte, langetermijnpersistentie binnen een bedrijfsnetwerk te vestigen.
Omdat de leverancier tijdens het openbaarmakingsproces onbereikbaar was, bestaat er momenteel geen officiële softwarepatch om de onderliggende codefout te verhelpen. CERT/CC adviseert beveiligingsteams om direct defensieve mitigaties toe te passen om hun infrastructuur te beschermen. Dit omvat het volledig uitschakelen van de uploadfunctionaliteit voor modellen indien deze niet strikt noodzakelijk is voor dagelijkse operaties. Daarnaast wordt aangeraden de toegang tot de upload-interface te beperken tot vertrouwde lokale netwerken en alle onvertrouwde externe IP-adressen actief te blokkeren. Tot slot dienen modeluploads uitsluitend van geverifieerde, zeer vertrouwde bronnen te worden geaccepteerd om te voorkomen dat kwaadaardige bestanden in de pipeline terechtkomen.
Bron: CyberSecurityNews
26 april 2026 | Kritieke kwetsbaarheid in Microsoft Entra Agent ID maakt tenantovername mogelijk
Onderzoekers van het identiteitsbeveiligingsbedrijf Silverfort hebben een kwetsbaarheid ontdekt in een Microsoft-platform dat is ontworpen voor het beheer van kunstmatige intelligentie. Het probleem betrof Microsoft Entra Agent ID, een framework voor identiteitsbeheer en autorisatiebeheer dat AI-agenten hun eigen identiteiten geeft. Deze identiteiten stellen de AI-agenten in staat om in te loggen op systemen en toegang te krijgen tot bronnen, net als menselijke gebruikers. Voor het beheer van deze omgeving heeft Microsoft een specifieke directoryrol gecreëerd, bekend als de Agent ID Administrator.
Silverfort-onderzoekers Noa Ariel en Yoav S constateerden dat deze directoryrol een gevaarlijk bereik had. Hoewel de rol bedoeld was om objecten gerelateerd aan agenten, zoals Blueprints en Agent Identities, te beheren, bleek deze in staat te zijn om vrijwel elke Application Service Principal binnen een tenant te wijzigen. Een Service Principal kan worden gezien als een digitale identiteitskaart voor software. Een overname van een Service Principal is in feite identiteitsdiefstal voor applicaties; als een aanvaller eigenaar wordt van deze digitale identiteit, kunnen zij hun eigen geheime sleutel creëren om in te loggen. Aangezien deze digitale accounts doorgaans hoge machtigingen hebben voor het verplaatsen van gegevens of het wijzigen van instellingen, stelt het stelen van een Service Principal een aanvaller in staat om het systeem te controleren en tegelijkertijd verborgen te blijven.
Tijdens een aanval voert een gebruiker met de rol van Agent ID Administrator een enumeratie uit met behulp van de Microsoft Graph API of Azure CLI. Dit wordt gedaan om accounts met verhoogde machtigingen te vinden, specifiek gericht op Service Principals met Graph-machtigingen met hoge impact, zoals RoleManagement.ReadWrite.Directory. De aanvaller gebruikt vervolgens de rol om zichzelf toe te voegen als eigenaar van een niet-agent Service Principal. Dit was mogelijk omdat de machtigingen voor het bijwerken van eigenaren niet strikt beperkt waren tot objecten die door agenten werden ondersteund. Nadat de aanvaller eigenaar is geworden, voeren zij 'credential injection' uit door een nieuw wachtwoord of certificaat aan dat account toe te voegen. Vervolgens authentiseren zij zich als die Service Principal.
De onderzoekers merkten in hun blogpost op dat "eigendom een overname-primitive is", wat betekent dat het verkrijgen van eigendom een gebruiker in staat stelt de identiteit van het account volledig te stelen. Deze techniek is een vorm van privilege-escalatie die een aanvaller totale controle geeft over de tenant. Om het risico aan te tonen, namen de onderzoekers een demo op waarin een Agent ID Administrator succesvol een account van een Global Administrator kaapte. Door in te loggen met deze gestolen referenties, verkregen zij volledige controle over het gehele netwerk.
Het gevaar was wijdverspreid. Ongeveer 99% van de bedrijfsnetwerken heeft ten minste één bevoorrechte Service Principal. Hoewel de rol van Agent ID Administrator relatief nieuw is, gebruikt meer dan de helft van de onderzochte bedrijven al agentidentiteiten. Sommige bedrijven draaien zelfs meer dan 100 actieve agenten, wat een situatie creëert waarin de beveiligingsregels voor de rol simpelweg niet overeenkwamen met de daadwerkelijke macht.
Silverfort ontdekte de kwetsbaarheid op 24 februari 2026 en rapporteerde deze op 1 maart aan het Microsoft Security Response Center (MSRC). Microsoft bevestigde de kwetsbaarheid op 26 maart en op 9 april werd een volledige fix uitgerold naar alle cloudomgevingen, waardoor de rol van Agent ID Administrator werd geblokkeerd voor het beheren van eigenaren van reguliere, niet-agent Service Principals. Bedrijven worden dringend geadviseerd om AuditLogs te controleren op wijzigingen in accounteigendom of de aanmaak van nieuwe geheimen op gevoelige accounts.
Bron: Silverfort
27 april 2026 | Kritieke kwetsbaarheid in Nessus Agent voor Windows kan uitvoering van willekeurige code mogelijk maken
Een recent onthulde beveiligingskwetsbaarheid in Tenable's Nessus Agent voor Windows kan aanvallers in staat stellen kwaadaardige code uit te voeren met het hoogste niveau van systeemrechten (SYSTEM-privileges). Dit baart ernstige zorgen bij bedrijfsbeveiligingsteams die vertrouwen op het wijdverspreide platform voor kwetsbaarheidsanalyse.
De kwetsbaarheid stelt een dreigingsactor in staat om een Windows junction te creëren, een type bestandssysteem symbolische link die kan worden misbruikt om willekeurige bestanden te verwijderen met SYSTEM-niveau privileges. Zodra het verwijderen van bestanden op dit privilege niveau is bereikt, kan deze situatie escaleren naar een volledig scenario van willekeurige uitvoering van code, waardoor een aanvaller effectief volledige controle over de getroffen machine krijgt.
De kwetsbaarheid exploiteert een klasse van privilege escalatie zwaktes die algemeen bekend staat als een "symlink attack" of junction misbruik. Op Windows systemen leiden NTFS junctions bestandssysteemoperaties om van de ene directory naar de andere. Wanneer een geprivilegieerd proces, zoals de Nessus Agent service, een junction volgt tijdens een bestandsbewerking zonder de juiste validatie, kan het worden gemanipuleerd om op onbedoelde doelen te werken.
In dit specifieke geval kan een aanvaller met lokale toegang een kwaadaardige junction plaatsen op een locatie waarmee de Nessus Agent service interactie heeft. Door de verwijderingsroutine van de agent om te leiden naar een kritiek systeembestand of directory, kan de aanvaller de besturingsomgeving op een gecontroleerde manier corrumperen. Vervolgens kan een kwaadaardige payload worden geplaatst die onder de SYSTEM-context wordt uitgevoerd.
Deze techniek is bijzonder gevaarlijk omdat SYSTEM het hoogste privilege niveau in Windows is, zelfs hoger dan standaard administrator accounts. Code die als SYSTEM draait, kan elk bestand wijzigen, rootkits installeren, beveiligingstools uitschakelen en persisteren na herstarts zonder beperking.
De kwetsbaarheid treft specifiek Nessus Agent installaties die draaien op Windows. Organisaties die Nessus Agents inzetten op bedrijfsendpoints voor continue kwetsbaarheidsscans, bevinden zich direct in de risicozone. Gezien het feit dat Nessus Agents vaak op gevoelige servers en werkstations zijn geïnstalleerd, kan een succesvolle exploitatie catastrofale gevolgen hebben voor de beveiligingshouding van een organisatie.
Tenable heeft de kwetsbaarheid aangepakt in Nessus Agent versie 11.1.3, die nu beschikbaar is via het Tenable Downloads Portal. Het bedrijf dringt er bij alle gebruikers op aan onmiddellijk te upgraden, en benadrukt dat tijdige patch applicatie cruciaal is om de blootstelling te verminderen. Tenable heeft zijn toewijding aan verantwoorde openbaarmaking herhaald, door te stellen dat het actieve communicatie onderhoudt met beveiligingsonderzoekers en prioriteit geeft aan snelle oplossing van productkwetsbaarheden. Beveiligingsteams worden ook aangemoedigd om nieuw ontdekte kwetsbaarheden rechtstreeks aan Tenable te rapporteren om gecoördineerde patching te vergemakkelijken. Beveiligingsbeheerders moeten deze update als een prioriteitsimplementatie behandelen, vooral in omgevingen waar Nessus Agents zijn geïnstalleerd op waardevolle of internet-aangrenzende Windows systemen.
Bron: Tenable
27 april 2026 | CrowdStrike en Tenable dichten kritieke kwetsbaarheden in securityproducten
Zowel CrowdStrike als Tenable hebben recentelijk ernstige kwetsbaarheden in hun respectievelijke producten verholpen. Deze beveiligingslekken, die variëren in impact van ongeautoriseerd lezen van bestanden tot het uitvoeren van willekeurige code, benadrukken het belang van tijdige updates voor gebruikers van deze veelgebruikte cybersecurityoplossingen.
Bij CrowdStrike betreft het een kritieke path traversal kwetsbaarheid (CVE-2026-40050) in hun LogScale platform. LogScale is ontworpen voor het verzamelen, indexeren en doorzoeken van logbestanden. Dit specifieke lek stelde een ongeauthenticeerde aanvaller in staat om willekeurige bestanden van het systeem te lezen. De kwetsbaarheid is door CrowdStrike zelf ontdekt en heeft een CVSS-score van 9.8 gekregen, wat duidt op een zeer hoge impact. CrowdStrike heeft aangegeven dat het probleem alleen relevant is voor klanten die specifieke, zelf-gehoste versies van LogScale gebruiken. Hoewel er geen aanwijzingen zijn dat de kwetsbaarheid actief is misbruikt, wordt klanten dringend geadviseerd om zo snel mogelijk hun systemen te updaten naar een gepatchte versie.
Daarnaast heeft Tenable een beveiligingsbulletin uitgebracht voor een kwetsbaarheid (CVE-2026-33694) in de Nessus Agent voor Windows. Via dit lek kon een aanvaller willekeurige bestanden met SYSTEM rechten verwijderen. Dit kan op zijn beurt leiden tot de uitvoering van willekeurige code met dezelfde hoge rechten, wat een ernstig risico vormt voor de integriteit en veiligheid van getroffen systemen. Tenable heeft eveneens een update beschikbaar gesteld om dit probleem te verhelpen, en gebruikers van de Nessus Agent op Windows worden geadviseerd deze direct te installeren om potentiële misbruik te voorkomen.
Bron: CrowdStrike en Tenable | Bron 2: open-scap.org
27 april 2026 | Kritieke kwetsbaarheid in Apache MINA vereist onmiddellijke patch
Het Belgische Centrum voor Cybersecurity (CCB) heeft een dringende waarschuwing uitgegeven voor een kritieke kwetsbaarheid in Apache MINA. Deze kwetsbaarheid, geïdentificeerd als CVE-2026-41635, heeft een CVSS-score van 9.8 volgens CVSS:3.1, wat duidt op een zeer hoog risiconiveau. Organisaties die gebruikmaken van Apache MINA worden dringend geadviseerd om onmiddellijk patches toe te passen om potentiële aanvallen te voorkomen.
De kwetsbaarheid maakt het mogelijk voor aanvallers om willekeurige code uit te voeren op getroffen systemen. Dit betekent dat een succesvolle exploit de aanvaller volledige controle kan geven over het systeem, wat kan leiden tot datalekken, systeemuitval of de installatie van verdere kwaadaardige software. Gezien de kritieke aard van de kwetsbaarheid en de potentieel verwoestende gevolgen, is snelle actie essentieel.
Apache MINA is een open-source netwerkapplicatieframework dat wordt gebruikt voor het ontwikkelen van hoogpresterende en schaalbare netwerktoepassingen. Het wordt breed ingezet in diverse sectoren voor het bouwen van netwerkservers en clients. De wijdverspreide adoptie van Apache MINA betekent dat een groot aantal systemen wereldwijd, inclusief binnen Nederland en België, potentieel kwetsbaar is voor deze dreiging.
Het CCB benadrukt het belang van proactief beveiligingsbeheer. Naast het onmiddellijk installeren van de beschikbare patches, wordt organisaties aangeraden om hun systemen te scannen op indicatoren van compromis en om hun netwerkverkeer te monitoren op verdachte activiteiten. Het NVD (National Vulnerability Database) van NIST biedt verdere technische details over CVE-2026-41635, die beheerders kunnen raadplegen voor een dieper inzicht in de kwetsbaarheid en de aanbevolen mitigatiemaatregelen.
Deze waarschuwing onderstreept nogmaals de noodzaak voor bedrijven en overheidsinstanties om hun software up-to-date te houden en een robuust patchmanagementbeleid te voeren. Het verwaarlozen van dergelijke kritieke kwetsbaarheden kan leiden tot ernstige beveiligingsincidenten met aanzienlijke financiële en reputatieschade tot gevolg. Het CCB zal de situatie blijven monitoren en verdere updates verstrekken indien nodig.
Bron: CCB | Bron 2: nvd.nist.gov
27 april 2026 | Kritieke kwetsbaarheid in Google Gemini CLI maakt RCE mogelijk
Google heeft een kritieke beveiligingsfout verholpen in de Gemini Command Line Interface (CLI) die aanvallers in staat stelde om via Remote Code Execution (RCE) schadelijke code uit te voeren binnen specifieke geautomatiseerde workflows. De kwetsbaarheid treft met name het npm-pakket `@google/gemini-cli` en de `google-github-actions/run-gemini-cli` GitHub Action, vooral wanneer deze worden ingezet in headless-omgevingen zoals CI/CD-pipelines.
Volgens het beveiligingsadvies vloeit de kwetsbaarheid voort uit twee gerelateerde zwaktes: een onveilige afhandeling van workspace trust en een omzeiling van de allowlisting van tools onder de `--yolo`-modus. Gecombineerd konden deze gebreken systemen blootstellen die onvertrouwde inhoud verwerken, zoals pull requests of issue-inzendingen van externe gebruikers.
Het eerste probleem betreft het automatisch vertrouwen van mappen in headless-modus. In eerdere versies vertrouwde de Gemini CLI automatisch de huidige workspace bij uitvoering in niet-interactieve omgevingen. Dit betekende dat de tool lokale configuratiebestanden en omgevingsvariabelen kon laden vanuit de `.gemini/`-directory zonder expliciete goedkeuring. Indien een aanvaller malafide inhoud in deze directory plaatste, kon de CLI deze verwerken en potentieel schadelijke commando's uitvoeren. In de praktijk creëerde dit een pad naar Remote Code Execution in CI-workflows die onvertrouwde repositories afhandelden.
Het tweede probleem had betrekking op de allowlisting van tools onder de `--yolo`-modus. Eerdere releases handhaafden fijne toolrestricties, gedefinieerd in `~/.gemini/settings.json`, niet correct wanneer de `--yolo`-modus was ingeschakeld. Dit kon bijvoorbeeld leiden tot een te breed beleid als een workflow `run_shell_command` toestond, waardoor gevaarlijke commando's werden toegestaan in plaats van uitsluitend goedgekeurde. In omgevingen die onvertrouwde prompts of door de gebruiker gecontroleerde tekst verwerken, kon deze zwakte worden misbruikt via prompt-injectie om commando-uitvoering te triggeren.
Google waarschuwt dat de impact beperkt is tot Gemini CLI-implementaties in headless-modus, maar dit omvat nog steeds een groot aantal GitHub Actions workflows. Alle gebruikers wordt geadviseerd om de configuratie van Gemini CLI in automatiseringspipelines te herzien, met name daar waar externe bijdragers invloed kunnen uitoefenen op bestanden, prompts of omgevingsinstellingen.
Gepatchede versies zijn inmiddels beschikbaar. Gebruikers dienen `@google/gemini-cli` te upgraden naar de nieuwste versie. De `run-gemini-cli` GitHub Action is eveneens gepatcht in de meest recente versie. Workflows die oudere Gemini CLI-versies gebruiken, dienen onmiddellijk te worden bijgewerkt.
Google heeft ook een ingrijpende beveiligingswijziging doorgevoerd: de headless-modus zal workspace-mappen niet langer automatisch vertrouwen. Organisaties die met vertrouwde invoer werken, moeten expliciet `GEMINI_TRUST_WORKSPACE: 'true'` instellen. Voor workflows die onvertrouwde inhoud verwerken, raadt Google aan de hardening-richtlijnen te volgen en toegestane tools en instellingen voor commando-uitvoering zorgvuldig te controleren. De kwetsbaarheid werd gerapporteerd door Elad Meged (Novee Security) en Dan Lisichkin (Pillar Security) via Google's Vulnerability Rewards Program. Dit incident benadrukt een groeiend risico in AI-gestuurde ontwikkelaarstools: wanneer automatisering, promptverwerking en shell-toegang samenkomen met onvertrouwde invoer, kunnen kleine beleidslacunes snel uitgroeien tot kritieke aanvalspaden.
Bron: github.com
28 april 2026 | Kritieke SQL-injectiekwetsbaarheid in LiteLLM actief misbruikt
Hackers maken momenteel misbruik van een kritieke kwetsbaarheid in LiteLLM, de open source gateway voor large language models (LLM). De kwetsbaarheid, aangeduid als CVE-2026-42208, is een SQL-injectieprobleem dat optreedt tijdens de verificatiestap van de proxy API sleutel. Zonder authenticatie kunnen aanvallers de kwetsbaarheid uitbuiten door een speciaal vervaardigde Authorization header te sturen naar elke LLM API route. Dit stelt hen in staat om data uit de database van de proxy te lezen en te wijzigen.
Volgens het beveiligingsadvies van de maintainer kan deze kwetsbaarheid leiden tot "ongeautoriseerde toegang tot de proxy en de referenties die deze beheert". LiteLLM slaat gevoelige informatie op, zoals API sleutels, virtuele en master sleutels, en omgevings-/configuratiegeheimen. Toegang tot de database stelt aanvallers in staat deze gevoelige data te lezen en mogelijk te gebruiken voor verdere aanvallen.
LiteLLM is een veelgebruikte proxy/SDK middleware laag die ontwikkelaars in staat stelt AI modellen aan te roepen via één uniforme API. Het project is populair onder ontwikkelaars van LLM apps en platforms die meerdere modellen beheren, met 45.000 sterren en 7.600 forks op GitHub. Het project was recentelijk ook het doelwit van een supply chain aanval, waarbij TeamPCP hackers kwaadaardige PyPI pakketten uitbrachten die een infostealer installeerden om referenties, tokens en geheimen van geïnfecteerde systemen te verzamelen.
Onderzoekers van Sysdig, een cloudbeveiligingsbedrijf, melden dat de actieve exploitatie van CVE-2026-42208 ongeveer 36 uur na de openbare bekendmaking van de bug op 24 april begon. De onderzoekers observeerden gerichte exploitatiepogingen waarbij vervaardigde verzoeken naar ‘/chat/completions’ werden gestuurd met een kwaadaardige ‘Authorization: Bearer’ header. Deze verzoeken waren gericht op specifieke tabellen die API sleutels, provider (zoals OpenAI, Anthropic, Bedrock) referenties, omgevingsdata en configuraties bevatten. Sysdig merkte op dat er geen verkenningen waren tegen onschuldige tabellen, wat een sterke indicatie is dat de aanvaller precies wist wat hij moest targeten.
In een tweede fase van de aanval wisselde de dreigingsactor van IP adres, waarschijnlijk om detectie te omzeilen, en herhaalde dezelfde SQL-injectiepogingen. Deze keer richtte de aanvaller zich op de correcte tabelnamen en structuren die in de vorige fase waren afgeleid, met minder, maar preciezere payloads. Sysdig waarschuwt dat blootgestelde LiteLLM instanties die nog kwetsbare versies draaien, als potentieel gecompromitteerd moeten worden beschouwd. Alle virtuele API sleutels, master sleutels en provider referenties die zijn opgeslagen in via internet blootgestelde LiteLLM instanties moeten worden geroteerd.
Een oplossing is geleverd in LiteLLM versie 1.83.7, die string concatenatie vervangt door geparameteriseerde queries. Voor gebruikers die niet direct kunnen upgraden naar LiteLLM 1.83.7 of hoger, suggereren de maintainers de workaround om ‘disable_error_logs: true’ in te stellen onder ‘general_settings’. Dit blokkeert de weg waarlangs kwaadaardige invoer de kwetsbare query kan bereiken.
Bron: LiteLLM | Bron 2: github.com | Bron 3: adaptivesecurity.com
28 april 2026 | Kritieke Kwetsbaarheid in GitHub gaf Wiz Toegang tot Miljoenen Repositories
Securityonderzoekers van Wiz, een cloudbeveiligingsbedrijf, hebben een ernstige kwetsbaarheid ontdekt in GitHub, het wereldwijd gebruikte platform voor softwareontwikkeling en versiebeheer. Deze kwetsbaarheid, geïdentificeerd als CVE-2026-3854, maakte het mogelijk om via een enkele `git push`-opdracht toegang te verkrijgen tot miljoenen code-repositories. Dit trof zowel individuele gebruikers als organisaties die hun projecten op GitHub hosten.
De kwetsbaarheid lag specifiek in de manier waarop GitHub de `git push -o options` verwerkte. Deze opties konden worden geïnjecteerd in een interne header die door het systeem werd gesplitst op puntkomma's. Door een 'last-write-wins'-principe bij het parsen van deze header, konden de onderzoekers van Wiz ongeautoriseerde toegang verkrijgen tot de gevoelige code-repositories. De mogelijkheid om met een relatief eenvoudige methode dergelijke brede toegang te verkrijgen, benadrukt de kritieke aard van het lek.
De impact van een dergelijke kwetsbaarheid op een platform als GitHub is aanzienlijk. GitHub fungeert als een centrale hub voor de ontwikkeling van software en digitale infrastructuur voor talloze bedrijven en ontwikkelaars wereldwijd, waaronder een groot aantal in Nederland en België. Ongeautoriseerde toegang tot repositories kan leiden tot het stelen van intellectueel eigendom, het injecteren van kwaadaardige code in projecten, of het compromitteren van de softwaretoeleveringsketen. Dit kan verstrekkende gevolgen hebben voor de veiligheid en integriteit van softwareproducten.
GitHub reageerde adequaat en snel op de melding van de kwetsbaarheid door Wiz. Het bedrijf heeft de noodzakelijke patches binnen zes uur na de ontdekking doorgevoerd in de productieomgeving. Deze snelle reactie heeft de potentiële schade en de periode waarin het lek misbruikt kon worden, aanzienlijk beperkt. Het incident onderstreept het belang van continue beveiligingsaudits en de cruciale rol van verantwoordelijke openbaarmaking door securityonderzoekers.
Bron: Wiz
28 april 2026 | CCB waarschuwt voor kritieke kwetsbaarheden in Spring Boot
Het Centre for Cybersecurity Belgium (CCB) heeft een dringende waarschuwing uitgegeven betreffende meerdere beveiligingslekken in het populaire Spring Boot-framework. Organisaties die gebruikmaken van deze software worden met klem geadviseerd om onmiddellijk de beschikbare patches toe te passen om potentiële risico's te mitigeren. De waarschuwing benadrukt de noodzaak van snelle actie, gezien de aard van de ontdekte kwetsbaarheden.
Drie specifieke kwetsbaarheden zijn geïdentificeerd en voorzien van een CVE-nummer. Het betreft CVE-2026-40973, CVE-2026-40976 en CVE-2026-40972. Deze lekken variëren in hun potentieel risico, zoals blijkt uit de toegekende Common Vulnerability Scoring System (CVSS)-scores.
De meest ernstige van de drie is CVE-2026-40976, die een CVSS-score van 9.1 heeft gekregen. Dit duidt op een kritiek risiconiveau, wat betekent dat misbruik van deze kwetsbaarheid ernstige gevolgen kan hebben voor de integriteit, beschikbaarheid of vertrouwelijkheid van systemen. Een dergelijke hoge score vereist doorgaans onmiddellijke aandacht en actie van systeembeheerders en ontwikkelaars.
De andere twee kwetsbaarheden, CVE-2026-40973 en CVE-2026-40972, hebben respectievelijk CVSS-scores van 7.5 en 7.0. Hoewel deze scores lager zijn dan die van CVE-2026-40976, vertegenwoordigen ze nog steeds aanzienlijke risico's die niet genegeerd mogen worden. De CCB-waarschuwing vermeldt een algemeen risiconiveau van "critical" en "low", wat mogelijk duidt op de spreiding van ernst over de verschillende kwetsbaarheden, waarbij de hoogste score als kritiek wordt beschouwd en de andere in een lagere categorie vallen. De CVSS-scores zijn berekend volgens de versie 3.1 van het CVSS-framework.
De kwetsbaarheden zijn specifiek van toepassing op versie 4.0.0 van Spring Boot. Gebruikers van deze specifieke versie dienen extra alert te zijn en ervoor te zorgen dat hun implementaties zo snel mogelijk worden bijgewerkt naar een veilige versie. Het toepassen van patches is de meest effectieve manier om te voorkomen dat deze kwetsbaarheden door kwaadwillenden worden misbruikt. Het CCB adviseert alle getroffen partijen om de officiële beveiligingsbulletins van Spring.io te raadplegen voor gedetailleerde informatie en instructies voor het patchen.
Bron: Spring
28 april 2026 | CISA waarschuwt voor ernstige kwetsbaarheden in elektrische motorfietsen en scooters
Het Amerikaanse cyberagentschap CISA heeft een waarschuwing uitgegeven voor ernstige beveiligingslekken in elektrische motorfietsen van Zero Motorcycles en elektrische scooters van Yadea. Deze kwetsbaarheden stellen aanvallers in staat om de voertuigen op afstand over te nemen, wat aanzienlijke risico's met zich meebrengt voor de veiligheid van de gebruikers. CISA heeft de ernst van de lekken beoordeeld met scores van 6.4 en 7.3 op een schaal van 1 tot en met 10.
De kwetsbaarheid die is ontdekt in de elektrische motorfietsen van Zero Motorcycles maakt het mogelijk voor een aanvaller om via bluetooth verbinding te maken met de motorfiets. Door deze verbinding kunnen aanvallers toegang krijgen tot alle bluetooth-functies, waaronder de mogelijkheid om de firmware van het voertuig aan te passen. Voor een succesvolle aanval moet de motorfiets echter wel in bluetooth pairing mode staan. Daarnaast dient de aanvaller zich in de directe nabijheid van het voertuig te bevinden en het volledige pairing proces te kennen. Na het tot stand brengen van de verbinding, moet het apparaat van de aanvaller gepaird blijven en in de buurt van de motorfiets zijn totdat een eventuele firmware-update volledig is voltooid.
Voor de elektrische scooters van Yadea, specifiek het T5-model, betreft het beveiligingslek een zwak authenticatiemechanisme. Dit lek stelt een aanvaller in staat om de communicatie tussen de scooter en de key fob te onderscheppen. Door deze onderschepping kan de aanvaller de scooter op afstand ontgrendelen en starten, wat ongeautoriseerde toegang tot en gebruik van het voertuig mogelijk maakt.
CISA heeft aangegeven dat er momenteel geen meldingen bekend zijn van aanvallen die daadwerkelijk misbruik maken van deze genoemde kwetsbaarheden. De betrokken leveranciers, Zero Motorcycles en Yadea, zijn inmiddels op de hoogte gebracht van de beveiligingsproblemen. Echter, op het moment van deze waarschuwing is er door de fabrikanten nog geen update of patch uitgebracht om de lekken te verhelpen. Dit betekent dat eigenaren van de getroffen elektrische motorfietsen en scooters vooralsnog kwetsbaar blijven totdat de fabrikanten met een oplossing komen.
Bron: CISA | Bron 2: security.nl
28 april 2026 | CISA voegt twee actief misbruikte kwetsbaarheden toe aan KEV Catalogus
CISA (Cybersecurity and Infrastructure Security Agency) heeft op 28 april 2026 twee nieuwe kwetsbaarheden toegevoegd aan haar Known Exploited Vulnerabilities (KEV) Catalogus. Deze beslissing is genomen op basis van concreet bewijs dat beide kwetsbaarheden actief worden misbruikt door kwaadwillende cyberactoren.
De twee specifieke kwetsbaarheden die nu zijn opgenomen, zijn:
1. **CVE-2024-1708:** Een Path Traversal kwetsbaarheid die is gevonden in ConnectWise ScreenConnect. Deze kwetsbaarheid stelt aanvallers potentieel in staat om ongeautoriseerde toegang te krijgen tot bestanden en directory's buiten de beoogde beperkingen.
2. **CVE-2026-32202:** Een kwetsbaarheid in Microsoft Windows, omschreven als een falend beschermingsmechanisme. Details over de precieze aard van dit falen worden niet verder gespecificeerd in de alert, maar de actieve exploitatie ervan duidt op een ernstig risico.
CISA benadrukt dat dit soort kwetsbaarheden, die actief worden misbruikt, veelvoorkomende aanvalsvectoren vormen voor cybercriminelen en aanzienlijke risico's met zich meebrengen, met name voor de federale infrastructuur. De KEV Catalogus is opgericht onder de Binding Operational Directive (BOD) 22-01, getiteld "Reducing the Significant Risk of Known Exploited Vulnerabilities". Deze richtlijn heeft tot doel de risico's van bekende, actief misbruikte kwetsbaarheden te verminderen. De catalogus fungeert als een dynamische lijst van Common Vulnerabilities and Exposures (CVE's) die een aantoonbaar en significant risico vormen.
BOD 22-01 verplicht Federal Civilian Executive Branch (FCEB) agentschappen om de geïdentificeerde kwetsbaarheden in de catalogus te herstellen vóór een specifieke deadline. Dit mandaat is essentieel om de netwerken van FCEB agentschappen te beschermen tegen de actieve dreigingen die voortvloeien uit deze kwetsbaarheden. Hoewel de richtlijn formeel alleen van toepassing is op deze federale agentschappen, dringt CISA er sterk bij álle organisaties op aan om hun blootstelling aan cyberaanvallen proactief te verminderen. Dit dient te gebeuren door het prioriteren van de tijdige remediëring van kwetsbaarheden die in de KEV Catalogus zijn opgenomen, als een integraal onderdeel van hun bredere praktijk voor kwetsbaarhedenbeheer. CISA zal de catalogus continu blijven aanvullen met kwetsbaarheden die voldoen aan de vastgestelde criteria voor opname, wat de dynamische aard van het dreigingslandschap weerspiegelt.
Bron: CISA | Bron 2: cve.org | Bron 3: go.dhs.gov
28 april 2026 | Kritieke Firefox kwetsbaarheid maakt cross-site tracking en fingerprinting via Tor mogelijk
Mozilla heeft een kwetsbaarheid in de Firefox-browser gedicht die het mogelijk maakte om gebruikers te fingerprinten. Dit beveiligingslek, aangeduid als CVE-2026-6770, bevond zich in IndexedDB, een client-side database die door websites wordt gebruikt. De kwetsbaarheid stelde websites in staat om een unieke, voorspelbare en stabiele "fingerprint" te creëren voor een browserproces. Deze fingerprint was gebaseerd op de interne volgorde van entries in IndexedDB.
De impact van dit lek was significant, aangezien de fingerprint stabiel bleef onder omstandigheden die normaal gesproken bedoeld zijn om privacy te waarborgen. Zo bleef de fingerprint intact in de Private Browsing modus van Firefox, zelfs nadat alle privé-tabs waren gesloten. Nog verontrustender was de implicatie voor de Tor Browser, waar de fingerprint stabiel bleef na gebruik van de "New Identity" functie. Deze functie is specifiek ontworpen om een volledige reset van de gebruikersidentiteit uit te voeren, inclusief cookies, browsergeschiedenis en het Tor-circuit.
De consistentie van de fingerprint, gebaseerd op de interne volgorde van IndexedDB-entries, betekende dat deze informatie misbruikt kon worden om een gebruiker over meerdere sessies heen te volgen. Dit was mogelijk zelfs wanneer cookies werden verwijderd of de browsergeschiedenis werd gewist, waardoor traditionele privacymaatregelen werden omzeild.
Mozilla heeft gebruikers geadviseerd hun browser bij te werken naar de nieuwste versie om de kwetsbaarheid te dichten. De fix voor dit probleem is geïmplementeerd in Firefox versie 150. Voor gebruikers van de Extended Support Release (ESR) van Firefox, die onder andere door de Tor Browser wordt gebruikt, is de kwetsbaarheid gerepareerd in versie 140.10, die op 21 april beschikbaar kwam. De Tor Browser is inmiddels bijgewerkt naar Firefox 140.10.1esr voor Windows, macOS en Linux. Het is essentieel dat gebruikers hun browsers up-to-date houden om dergelijke trackingmechanismen te voorkomen.
Bron: Mozilla | Bron 2: support.torproject.org
29 april 2026 | cPanel waarschuwt voor kritieke authenticatiekwetsbaarheid, noodpatch uitgebracht
cPanel, de toonaangevende ontwikkelaar van controlepanelen voor webhosting, heeft een noodbeveiligingsupdate uitgebracht. Deze update is cruciaal voor het aanpakken van een ernstige kwetsbaarheid die de kernsoftware van het platform treft. De beveiligingsfout heeft directe gevolgen voor meerdere authenticatiepaden binnen zowel het cPanel- als het Web Host Manager (WHM)-ecosysteem.
Systeembeheerders en webhostingproviders wordt met klem geadviseerd de uitgebrachte patch onmiddellijk toe te passen om hun omgevingen te beveiligen tegen mogelijke ongeautoriseerde toegang. Het ontwikkelingsteam van cPanel bevestigde het beveiligingsprobleem op 28 april 2026 en merkte op dat alle momenteel ondersteunde versies van het platform zijn getroffen. Hoewel specifieke technische details over exploitatiemethoden beperkt blijven om gebruikers te beschermen, is bekend dat kwetsbaarheden in authenticatiepaden historisch gezien ernstige gevolgen kunnen hebben. Bij exploitatie zou een aanvaller potentieel inlogmechanismen kunnen omzeilen om administratieve controle over de server te verkrijgen.
De attack surface van deze kwetsbaarheid is aanzienlijk, aangezien cPanel en WHM wereldwijd worden gebruikt voor het beheer van webhostinginfrastructuur. WHM biedt root niveau toegang tot de server, waardoor beheerders beveiligingsprotocollen kunnen configureren, SSL-certificaten kunnen beheren en individuele hostingaccounts kunnen aanmaken. Een gecompromitteerd authenticatiepad op dit niveau verleent dreigingsactoren volledige controle over alle gehoste websites, gevoelige databases en e-mailcommunicatie. Dergelijke toegang leidt vaak tot ernstige beveiligingsincidenten, waaronder massale website defacement, de inzet van ransomware en de exfiltratie van vertrouwelijke klantgegevens. Bovendien worden gecompromitteerde servers vaak opgenomen in botnets voor het lanceren van distributed denial of service aanvallen of het verspreiden van kwaadaardige spamcampagnes. Het beveiligen van deze administratieve toegangspunten is essentieel voor het handhaven van de integriteit van de bredere webhosting supply chain.
Om deze dreiging te neutraliseren, heeft het beveiligingsteam van cPanel noodpatches uitgebracht voor alle ondersteunde release-tiers. Beheerders moeten controleren of hun servers draaien op een van de volgende beveiligde builds: 11.110.0.97, 11.118.0.63, 11.126.0.54, 11.132.0.29, 11.134.0.20 en 11.136.0.5. Serverbeheerders kunnen het updateproces handmatig afdwingen via de command-line interface. Het uitvoeren van het commando `/scripts/upcp --force` zal de server instrueren om de nieuwste gepatchte release rechtstreeks van de officiële repositories op te halen en te installeren. Beheerders dienen ook hun authenticatielogs te controleren op ongebruikelijke inlogpogingen die mogelijk vóór het patchen hebben plaatsgevonden.
Het beveiligingsadvies bevat een kritieke waarschuwing voor omgevingen die end of life of niet-ondersteunde versies van de software gebruiken. Oudere versies bevatten hoogstwaarschijnlijk dezelfde authenticatiekwetsbaarheid, maar zullen deze noodfix niet ontvangen. Beheerders van legacy servers moeten zo snel mogelijk een migratie naar een ondersteunde release-track plannen. In de tussentijd kunnen het implementeren van strikte firewallregels, het afdwingen van multi factor authenticatie en het gebruik van IP-allowlisting voor WHM-toegang helpen om het directe risico op exploitatie te beperken.
Bron: cPanel
29 april 2026 | Kritieke kwetsbaarheden verholpen in Apache Camel
De Apache Software Foundation heeft recentelijk meerdere kwetsbaarheden aangepakt in Apache Camel, een open-source integratieframework. Deze beveiligingslekken zijn verspreid over diverse componenten van het framework en kunnen ernstige gevolgen hebben voor gebruikers. De meest kritieke kwetsbaarheid stelt kwaadwillenden in staat om op afstand en zonder authenticatie willekeurige code uit te voeren op getroffen systemen, wat een aanzienlijk risico vormt voor de integriteit en vertrouwelijkheid van gegevens.
De geïdentificeerde problemen omvatten onder andere onveilige deserialisatie, wat kan leiden tot de uitvoering van schadelijke code wanneer speciaal geprepareerde data wordt verwerkt. Daarnaast zijn er kwetsbaarheden met betrekking tot onvoldoende filtering van e-mailheaders, waardoor aanvallers mogelijk kwaadaardige informatie kunnen injecteren of misbruiken. Onjuiste authenticatiepadmatching vormt een ander risico, waarbij het systeem de authenticatiecontroles omzeilt en ongeautoriseerde toegang verleent. Tot slot is er een probleem met de onjuiste verwerking van interne headers, wat eveneens kan leiden tot ongewenste gedragingen of beveiligingslekken.
Deze kwetsbaarheden zijn aanwezig in een breed scala aan versies van Apache Camel, specifiek vanaf versie 3.0.0. De precieze getroffen versies variëren per component, maar het risico is aanwezig tot net vóór de recentelijk uitgebrachte gepatchte versies. Gebruikers van Apache Camel worden geadviseerd om zo snel mogelijk te upgraden naar de veilige versies 4.14.6, 4.14.7, 4.18.1, 4.18.2, 4.19.0 of 4.20.0, afhankelijk van de specifieke implementatie.
De oplossingen die door de Apache Software Foundation zijn geïmplementeerd, omvatten de toepassing van veilige deserialisatiemechanismen om misbruik van geprepareerde data te voorkomen. Bovendien zijn er correcte filtering van headers en verbeterde authenticatiecontroles geïntroduceerd om de integriteit van e-mailheaders en de authenticatiepaden te waarborgen. Deze fixes zijn essentieel voor de beveiliging van Apache Camel-implementaties te herstellen en potentiële aanvallen te mitigeren. Organisaties die Apache Camel gebruiken, dienen de updates onverwijld te installeren om hun systemen te beschermen tegen exploitatie.
Bron: NCSC
30 april 2026 | Kwetsbaarheid in Cursor AI extensie leidt tot diefstal ontwikkelaartokens
Een ernstige kwetsbaarheid in toegangscontrole (CVSS 8.2) is ontdekt in Cursor, een veelgebruikte, door AI aangedreven codeeromgeving. Deze kwetsbaarheid, blootgelegd door LayerX, stelt elke geïnstalleerde extensie in staat om de API-sleutels en sessietokens van een ontwikkelaar in het geheim te benaderen. Dit resulteert in een volledige compromittering van de referenties zonder waarschuwingen of gebruikersinteractie.
In tegenstelling tot veilige applicaties die gevoelige geheimen opslaan in beveiligde sleutelkluizen van het besturingssysteem, bewaart Cursor deze referenties in een onbeveiligde, lokale SQLite-database. De database bevindt zich op `~/Library/Application Support/Cursor/User/globalStorage/state.vscdb`. Omdat Cursor geen begrenzingen voor toegangscontrole heeft tussen zijn extensies en deze database, kan elke geïnstalleerde extensie het bestand lezen. Er zijn geen speciale privileges vereist, wat betekent dat elke kwaadaardige add-on de opgeslagen gegevens in platte tekst kan extraheren.
Het exploitatieproces is eenvoudig en vereist een lage aanvalscomplexiteit. Een realistisch aanvalsscenario omvat de volgende stappen:
1. Een aanvaller publiceert een normaal ogende extensie, zoals een aangepast thema of een productiviteitstool.
2. Een ontwikkelaar installeert de extensie zonder enige toestemmingswaarschuwingen te ontvangen met betrekking tot toegang tot referenties.
3. De kwaadaardige extensie bevraagt stil de lokale SQLite-database om API-sleutels en sessietokens te vinden.
4. De gestolen gegevens worden geruisloos naar een externe server van de aanvaller verzonden zonder zichtbare wijzigingen in de gebruikersinterface.
Aangezien veel ontwikkelaars AI-diensten van derden gebruiken binnen Cursor, kunnen de gevolgen van deze kwetsbaarheid ernstig zijn. Gestolen referenties creëren een direct pad naar de volgende risico's:
* Volledige blootstelling van sessietokens en toegang tot backend-diensten.
* Compromittering van gekoppelde AI-accounts zoals OpenAI, Google of Anthropic.
* Aanzienlijke financiële verliezen als aanvallers geautomatiseerde gebruikskosten opstapelen met gestolen API-sleutels.
* Ongeautoriseerde toegang tot privédata, eerdere chatprompts en gevoelige code-metadata.
LayerX rapporteerde dit probleem oorspronkelijk aan Cursor op 1 februari 2026. Het beveiligingsteam van Cursor erkende het rapport op 5 februari. Echter, zij stelden dat extensies binnen dezelfde lokale vertrouwensgrens opereren als de gebruiker. Zij argumenteerden dat elke lokale applicatie met bestandssysteemtoegang deze gegevens potentieel zou kunnen lezen. Per 28 april 2026 blijft de kwetsbaarheid onopgelost. De leverancier handhaaft het standpunt dat het de verantwoordelijkheid van de gebruiker is om alleen vertrouwde extensies te installeren.
Om gebruikersgegevens correct te beveiligen, adviseren beveiligingsexperts Cursor dringend om strikte isolatiebegrenzingen tussen extensies te implementeren. Gevoelige referenties moeten worden verplaatst naar versleutelde opslag op systeemniveau, zoals de Windows Credential Manager of de macOS Keychain. Totdat een structurele oplossing wordt uitgebracht, wordt ontwikkelaars aangeraden hun geïnstalleerde extensies nauwgezet te controleren en het downloaden van ongeverifieerde tools van de marktplaats te vermijden.
Bron: LayerX | Bron 2: ersecuritynews.com
30 april 2026 | Kritieke 'Copy Fail' zeroday kwetsbaarheid in Linux kernel geeft roottoegang
Een kritieke zero-day kwetsbaarheid in de Linux-kernel, genaamd "Copy Fail" en bijgehouden als CVE-2026-31431, is publiekelijk bekendgemaakt. Deze kwetsbaarheid stelt elke ongeprivilegieerde lokale gebruiker in staat om roottoegang te verkrijgen op vrijwel elke belangrijke Linux-distributie die sinds 2017 is uitgebracht.
De kwetsbaarheid werd ontdekt door Theori-onderzoeker Taeyang Lee en door het Xint Code Research Team uitgewerkt tot een volledige exploitketen met behulp van door AI ondersteunde analyse. Copy Fail is een logische bug en geen race-conditie. Het bevindt zich in de cryptografische template `authencesn` van de Linux-kernel en is bereikbaar via de AF_ALG socket-interface in combinatie met de `splice()` systeemaanroep. In tegenstelling tot eerdere kwetsbaarheden zoals Dirty Cow (CVE-2016-5195) of Dirty Pipe (CVE-2022-0847), vereist deze kwetsbaarheid geen race te winnen, geen offsets in kernelversies, geen hercompilatie en geen gecompileerde payloads.
Een enkel Python script van 732 bytes, dat alleen standaard bibliotheekmodules gebruikt, bereikt deterministische roottoegang op alle geteste distributies en architecturen. De exploit richt zich op de page cache van de kernel, de in-memory representatie van bestanden, door een gecontroleerde schrijfoperatie van 4 bytes te activeren in een page cache-pagina die behoort tot elk bestand dat door de aanvaller leesbaar is. Omdat de Linux-kernel de corrupte pagina nooit als 'dirty' markeert voor writeback, blijft het bestand op de schijf onaangetast. Dit zorgt ervoor dat standaard hulpmiddelen voor bestandsintegriteit op basis van checksums de wijziging volledig missen. De aanvaller voert vervolgens de corrupte in-memory versie uit van een setuid-binary, zoals `/usr/bin/su`, om zo een root shell uit te voeren.
De kwetsbaarheid is ontstaan door een in-place optimalisatie die in 2017 werd geïntroduceerd in `algif_aead.c` (commit 72548b093ee3). Wanneer een gebruiker een bestand in een pipe splitst en dit naar een AF_ALG socket stuurt, bevat de AEAD-invoer scatterlist directe verwijzingen naar de fysieke page cache-pagina's van dat bestand, en geen kopieën. Voor AEAD-decryptieoperaties stelt `algif_aead.c` `setreq->src = req->dst` in, waardoor zowel de bron als de bestemming naar dezelfde gecombineerde scatterlist wijzen. Dit plaatste page cache-pagina's in een beschrijfbare bestemming scatterlist. Het `authencesn`-algoritme, dat door IPsec wordt gebruikt voor 64-bit Extended Sequence Number (ESN) ondersteuning, gebruikt vervolgens de bestemmingsbuffer van de aanroeper als scratch space om ESN-bytes te herschikken, waarbij 4 bytes worden geschreven op offset `assoclen + cryptlen` buiten de gedeclareerde uitvoergrens, direct in gekoppelde page cache-pagina's. Drie onafhankelijke, redelijke codewijzigingen uit 2011, 2015 en 2017 kwamen samen om deze exploiteerbare conditie te creëren, zonder dat iemand hun kruispunt bijna een decennium lang heeft opgemerkt. De kwetsbaarheid werd geïntroduceerd met kernel 4.14 en treft alle distributies via de ongefixeerde lijn.
Naast lokale privilege-escalatie functioneert Copy Fail als een primitieve om uit Kubernetes-containers te ontsnappen. Omdat de page cache wordt gedeeld door alle processen op een host, inclusief over containergrenzen heen, kan een gecompromitteerde container setuid-binaries corrumperen die zichtbaar zijn voor andere containers en de hostkernel. Deel 2 van de Xint Code-onderzoeksserie behandelt de volledige compromittering van Kubernetes-nodes.
De officiële fix (commit a664bf3d603d) herstelt `algif_aead.c` naar een out-of-place AEAD-operatie, waardoor de TX scatterlist (die page cache-pagina's kan bevatten) permanent wordt gescheiden van de RX scatterlist (de uitvoerbuffer van de gebruiker). Dit elimineert het `sg_chain()` mechanisme dat page cache-pagina's in de beschrijfbare bestemming koppelde.
Onmiddellijke mitigaties in afwachting van een kernelupdate omvatten het toepassen van de upstream kernelpatch via het updatekanaal van uw distributie en het uitschakelen van de `algif_aead` kernelmodule om het aanvalsoppervlak te elimineren.
De kwetsbaarheid werd op 23 maart 2026 gemeld aan het beveiligingsteam van de Linux-kernel, met patches die op 1 april 2026 aan de hoofdlijn werden toegevoegd, CVE toegewezen op 22 april 2026 en openbare bekendmaking op 29 april 2026. Systeembeheerders wordt dringend geadviseerd om kernelupdates onmiddellijk toe te passen.
Bron: Xint Code
30 april 2026 | Copy Fail kwetsbaarheid in Linux maakt lokale gebruiker root
Een recent ontdekte kwetsbaarheid, genaamd 'Copy Fail' (CVE-2026-31431), stelt een lokale, ongeprivilegieerde gebruiker in staat om rootrechten te verkrijgen op nagenoeg alle Linux distributies die sinds 2017 zijn uitgebracht. De kwetsbaarheid werd ontdekt door een onderzoeker met behulp van een tool met kunstmatige intelligentie en is gedetailleerd beschreven door securitybedrijf Theori.
Het probleem betreft een logicafout in het 'authencesn cryptographic template' van de Linux kernel. Deze fout maakt het mogelijk voor een lokale gebruiker zonder speciale rechten om vier bytes naar de page cache te schrijven van elk leesbaar bestand op een Linux systeem. De page cache is een kopie van een bestand in het geheugen die de Linux kernel gebruikt wanneer een bestand wordt geladen. Door deze manipulatie in het geheugen kan de gebruiker root worden. Een opvallend kenmerk van de Copy Fail aanval is dat deze geen aanpassingen aan bestanden op de schijf vereist, wat detectie van een aanval aanzienlijk bemoeilijkt.
De kwetsbaarheid is met name risicovol voor multi-tenant Linux omgevingen, shared-kernel containers en CI runners die onvertrouwde code uitvoeren. Een ander aspect dat de ernst van de kwetsbaarheid benadrukt, is dat eenzelfde exploit script functioneert op diverse Linux distributies, waaronder Ubuntu, Amazon Linux, RHEL en SUSE, zonder dat aparte versies per distributie nodig zijn.
Diverse belangrijke Linux distributies, waaronder Debian, Ubuntu en SUSE, hebben inmiddels fixes ontwikkeld en uitgebracht om dit beveiligingslek te verhelpen. Eric Biggers, een expert die werkt aan de cryptografische code van de Linux kernel, uitte op Hacker News zijn kritiek op het kwetsbare AF_ALG onderdeel van de Linux kernel, waarin het probleem werd gevonden. Hij benadrukt dat dit onderdeel een zeer groot aanvalsoppervlak vormt en stelt dat het algoritme dat in de Copy Fail aanval wordt gebruikt, nooit als algemene encryptie API aan userspace blootgesteld had mogen worden.
Bron: Theori | Bron 2: ubuntu.com | Bron 3: xint.io
30 april 2026 | CISA voegt actief misbruikte kwetsbaarheid in cPanel & WHM toe aan KEV Catalogus
De Cybersecurity and Infrastructure Security Agency (CISA) van de Verenigde Staten heeft een nieuwe kwetsbaarheid toegevoegd aan haar 'Known Exploited Vulnerabilities (KEV) Catalogus'. Deze toevoeging, geïdentificeerd als CVE-2026-41940, betreft een kwetsbaarheid in WebPros cPanel & WHM en WP2 (WordPress Squared) en wordt actief misbruikt door kwaadwillende cyberactoren. CISA benadrukt dat dit type kwetsbaarheid, gekenmerkt door een ontbrekende authenticatie voor een kritieke functie, een veelvoorkomende aanvalsvector is die aanzienlijke risico's met zich meebrengt voor digitale infrastructuren.
De specifieke kwetsbaarheid, CVE-2026-41940, maakt het mogelijk voor aanvallers om kritieke functies uit te voeren zonder de vereiste authenticatie, wat kan leiden tot ongeautoriseerde toegang en potentieel ernstige gevolgen voor de getroffen systemen. Gezien de wijdverspreide adoptie van cPanel & WHM en WordPress Squared in diverse organisaties wereldwijd, waaronder in Nederland en België, is de waarschuwing van CISA van groot belang voor een breed publiek.
De KEV Catalogus is een dynamische lijst van bekende Common Vulnerabilities and Exposures (CVE's) die een aanzienlijk risico vormen. Deze lijst is opgesteld in het kader van de Binding Operational Directive (BOD) 22-01, die tot doel heeft de risico's van actief misbruikte kwetsbaarheden te verminderen. Hoewel BOD 22-01 primair van toepassing is op federale civiele uitvoerende overheidsinstanties (FCEB agencies) in de VS, dringt CISA er bij alle organisaties op aan om de blootstelling aan cyberaanvallen te verminderen. Dit kan door prioriteit te geven aan tijdige herstelmaatregelen voor kwetsbaarheden die zijn opgenomen in de KEV Catalogus, als integraal onderdeel van hun beheer van kwetsbaarheden.
CISA blijft kwetsbaarheden toevoegen aan de catalogus die voldoen aan de gespecificeerde criteria, voortbouwend op bewijzen van actieve exploitatie. Organisaties worden sterk aangemoedigd om de KEV Catalogus regelmatig te raadplegen en de aanbevolen patches of mitigaties zo snel mogelijk toe te passen om hun netwerken te beschermen tegen bekende en actieve dreigingen. Het negeren van dergelijke kwetsbaarheden kan leiden tot ernstige beveiligingsincidenten en aanzienlijke operationele verstoringen.
Bron: CISA | Bron 2: cve.org | Bron 3: go.dhs.gov
30 april 2026 | Windows 11 update KB5083769 verstoort backup software van derde partijen
De cumulatieve beveiligingsupdate van Microsoft voor Windows 11, uitgebracht in april 2026, veroorzaakt aanzienlijke problemen voor gebruikers die afhankelijk zijn van back-up software van derde partijen. Deze verstoring heeft geleid tot een MS-DEFCON niveau 3 waarschuwing van beveiligingspatchanalist Susan Bradley van AskWoody. De problematische update, met nummer KB5083769, is van toepassing op de versies 24H2 en 25H2 van Windows 11 (besturingssysteem builds 26200.8246 en 26100.8246) en werd op 14 april 2026 uitgebracht.
De kern van het probleem ligt bij een storing in de Volume Shadow Copy Service (VSS) van Microsoft, een cruciaal onderdeel van Windows dat momentopname-gebaseerde back-up en hersteloperaties mogelijk maakt voor een breed scala aan back-up oplossingen, zowel voor bedrijven als voor consumenten. Wanneer VSS faalt, worden back-up taken onderbroken of eindigen ze met time-out fouten, waardoor systemen zonder geplande back-up dekking achterblijven. Dit vormt een ernstig risico voor zowel individuele gebruikers als enterprise omgevingen.
Diverse leveranciers van back-up software van derde partijen hebben het probleem reeds erkend. UrBackup meldt dat bestandsback-ups mislukken na de update en adviseert getroffen gebruikers om KB5083769 te verwijderen. Macrium Reflect heeft meldingen ontvangen van storingen gerelateerd aan VSS in actieve discussies op Reddit en voert een onderzoek uit. Acronis Cyber Protect Cloud ondervindt eveneens problemen, waarbij back-up taken mislukken met de foutmelding "Microsoft VSS heeft een time-out bereikt tijdens het aanmaken van een snapshot". Acronis adviseert hierbij ook om de update te verwijderen en het systeem opnieuw op te starten.
Het is belangrijk op te merken dat niet alle back-up oplossingen worden getroffen. De eigen cloud-gebaseerde back-up functie van Windows 11, die niet afhankelijk is van VSS, blijft onaangetast. De VSS-component is tevens fundamenteel voor de toekomstige Point-in-Time Restore (PITR) functie van Windows 11, die voor het eerst werd getoond tijdens Microsoft Ignite in november 2025 via Insider build KB5070307. Aangezien PITR nog niet algemeen beschikbaar is, lopen de meeste standaard gebruikers van Windows 11 geen extra risico op dit vlak.
Voor gebruikers die back-up storingen ervaren na het installeren van KB5083769, wordt de volgende terugrolprocedure geadviseerd, navigeer naar Instellingen → Windows Update → Updategeschiedenis, scrol naar Gerelateerde instellingen en klik op Updates verwijderen. Zoek vervolgens de beveiligingsupdate voor Microsoft Windows (KB5083769), klik op Verwijderen en laat het systeem opnieuw opstarten. Keer daarna terug naar Windows Update en pauzeer updates om herinstallatie te voorkomen. Voordat men de update verwijdert, is het raadzaam om te controleren of de specifieke back-up oplossing wordt beïnvloed door de officiële ondersteuningskanalen en forums van de leverancier te raadplegen. MS-DEFCON 3 geeft aan dat beheerders de implementatie van KB5083769 in productieomgevingen moeten uitstellen totdat Microsoft een oplossing heeft uitgebracht, aldus Susan Bradley van AskWoody. Een patch die de regressie in VSS aanpakt, wordt verwacht in een aankomende out-of-band of cumulatieve update van mei 2026.
Bron: Microsoft
30 april 2026 | Backdoors ontdekt in populaire WordPress plugin met 70.000 installaties
Een onderzoeker heeft twee backdoors ontdekt in de WordPress plugin 'Quick Page/Post Redirect', die wereldwijd meer dan zeventigduizend actieve installaties telt. Deze kwaadaardige functionaliteit zou al sinds 2021 in de plugin aanwezig zijn geweest. Als gevolg van deze ontdekking heeft WordPress.org de betreffende plugin tijdelijk offline gehaald en een onderzoek ingesteld.
De 'Quick Page/Post Redirect' plugin is ontworpen om WordPress sites URL's te laten doorverwijzen naar andere locaties. Onderzoeker Austin Ginder heeft in een analyse de details van de backdoors uiteengezet. De eerste backdoor stelt aanvallers in staat om content te injecteren op de getroffen WordPress site, wat vermoedelijk wordt ingezet voor SEO spamdoeleinden.
De tweede backdoor is ernstiger en maakt remote code execution (RCE) mogelijk. Deze functionaliteit zorgt ervoor dat de plugin ongevraagd updates installeert vanaf een specifiek kwaadaardig domein. Door deze updates te installeren, kunnen aanvallers op afstand code uitvoeren op de server, wat hen volledige controle over de website kan geven.
Gezien de ernst van de kwetsbaarheden en het grote aantal actieve installaties, worden WordPress beheerders die de 'Quick Page/Post Redirect' plugin gebruiken met klem opgeroepen deze per direct van hun website te verwijderen. WordPress.org onderzoekt momenteel de omvang en impact van deze ontdekking om verdere stappen te bepalen en gebruikers te beschermen.
Bron: Security.NL
30 april 2026 | Kritieke kwetsbaarheden in Google Gemini CLI en Cursor IDE maken code uitvoering mogelijk
Google heeft een kwetsbaarheid met maximale ernst in de Gemini CLI aangepakt, specifiek in het npm-pakket "@google/gemini-cli" en de GitHub Actions workflow "google-github-actions/run-gemini-cli". Deze kwetsbaarheid, met een CVSS-score van 10.0 en zonder CVE-identificatie, stelde onbevoegde externe aanvallers in staat om kwaadaardige inhoud als Gemini-configuratie te laden. Dit leidde tot directe uitvoering van commando's op het hostsysteem, nog voordat de sandbox van de agent werd geïnitialiseerd, zo meldde Novee Security in een recent rapport.
De kwetsbaarheid trof versies van "@google/gemini-cli" kleiner dan 0.39.1 en kleiner dan 0.40.0-preview.3, evenals "google-github-actions/run-gemini-cli" kleiner dan 0.1.22. Google heeft in zijn advies aangegeven dat de impact beperkt is tot workflows die Gemini CLI in headless modus gebruiken. Voor gebruik in headless modus zonder mapvertrouwen is een handmatige controle vereist om dit vertrouwensmechanisme te configureren. Eerdere versies van Gemini CLI in CI-omgevingen vertrouwden automatisch werkruimtemappen voor het laden van configuratie en omgevingsvariabelen. Dit gedrag kon leiden tot uitvoering van code op afstand via kwaadaardige omgevingsvariabelen in de lokale .gemini/-directory wanneer de tool werd gebruikt met niet-vertrouwde directory-inhoud, zoals bij het beoordelen van door gebruikers ingediende pull requests.
Aanvallers konden dit misbruiken door een speciaal vervaardigde configuratie te plaatsen die code uitvoering op de host die de agent uitvoert mogelijk maakte, waardoor CI/CD-pijplijnen konden worden omgezet in aanvalspaden in de toeleveringsketen. De update vereist expliciet vertrouwen van mappen voordat configuratiebestanden toegankelijk zijn. Gebruikers worden geadviseerd om hun workflows te controleren en `GEMINI_TRUST_WORKSPACE: 'true'` in te stellen voor workflows die op vertrouwde inputs draaien. Voor workflows met niet-vertrouwde inputs wordt geadviseerd de richtlijnen van Google te volgen en de omgevingsvariabele dienovereenkomstig in te stellen. Google heeft ook stappen ondernomen om de witte lijst van tools te versterken wanneer Gemini CLI in --yolo modus wordt geconfigureerd, om scenario's te voorkomen waarbij prompt-injectie via niet-vertrouwde inputs (zoals door gebruikers ingediende GitHub-issues) kon leiden tot uitvoering van code op afstand.
Daarnaast heeft Novee Security gewezen op een kwetsbaarheid met hoge ernst in de ontwikkeltool Cursor, aangedreven door AI, vóór versie 2.5 (CVE-2026-26268, CVSS-score: 8.1). Deze kwetsbaarheid kon eveneens leiden tot willekeurige uitvoering van code via prompt-injectie. Cursor beschreef dit in een alert in februari 2026 als een sandbox-ontsnapping via .git-configuraties, waarbij een malafide agent een bare repository kon opzetten met een kwaadaardige Git-hook die automatisch wordt geactiveerd bij elke commit-operatie binnen de ingebedde repository-context, zonder gebruikersinteractie. Dit resulteerde in goedgekeurde uitvoering van code op afstand op de machine van het slachtoffer.
Een tweede kwetsbaarheid met hoge ernst in Cursor (CVSS-score: 8.2), codenaam CursorJacking door LayerX, betreft een toegangscontroleprobleem. Deze kwetsbaarheid stelt elke geïnstalleerde extensie in staat om toegang te krijgen tot gevoelige API-sleutels en inloggegevens die lokaal in een SQLite-database zijn opgeslagen. Dit kan leiden tot accountovername, blootstelling van data en financieel verlies door ongeautoriseerd API-gebruik. Dit probleem blijft onopgelost.
Bron: Novee Security | Bron 2: github.com
01 mei 2026 | Kwetsbaarheid in Linux kernel algif_aead crypto module verholpen
Het Nationale Cyber Security Centrum (NCSC) heeft melding gemaakt van een verholpen kwetsbaarheid in de Linux kernel, specifiek binnen de `algif_aead` crypto module van het cryptografische subsysteem. Deze kwetsbaarheid bood de mogelijkheid voor een gebruiker zonder `sudo` rechten om verhoogde privileges te verkrijgen op een getroffen systeem.
De `algif_aead` crypto module is een essentieel onderdeel van de Linux kernel dat verantwoordelijk is voor het afhandelen van diverse cryptografische operaties. De kern van het probleem lag in een fout die optrad tijdens zogenaamde 'in-place operaties'. Bij dergelijke operaties wordt data direct in het geheugen verwerkt en gewijzigd, waarbij de bronmappings en bestemmingsmappings in principe identiek zouden moeten zijn om correcte en veilige verwerking te garanderen. Echter, in het geval van deze kwetsbaarheid, verschilden de bronmappings en bestemmingsmappings, wat leidde tot een onverwachte en potentieel gevaarlijke situatie.
Deze discrepantie in de geheugenmappings creëerde een opening die een aanvaller kon misbruiken. Een lokale gebruiker met standaard, beperkte rechten kon deze fout exploiteren om onrechtmatig toegang te krijgen tot hogere systeemrechten. Dit type beveiligingslek, bekend als privilege-escalatie, is bijzonder zorgwekkend omdat het een aanvaller in staat stelt om dieper in een systeem door te dringen nadat initiële toegang is verkregen, zelfs met minimale autorisatie. Hierdoor kunnen beveiligingsmaatregelen worden omzeild en kan een aanvaller volledige controle over de server of werkstation verkrijgen.
Het NCSC heeft bevestigd dat de kwetsbaarheid inmiddels is verholpen door de ontwikkelaars van de Linux kernel. Het tijdig uitbrengen van patches voor dergelijke kritieke kwetsbaarheden is van groot belang om de veiligheid en integriteit van Linux-gebaseerde systemen wereldwijd te waarborgen. Organisaties en individuele gebruikers die Linux systemen beheren, worden geadviseerd om hun kernels zo spoedig mogelijk bij te werken naar de gepatchte versies om het risico op exploitatie te minimaliseren en hun digitale infrastructuur te beschermen tegen potentiële aanvallen.
Bron: NCSC
01 mei 2026 | Kritieke kwetsbaarheden in Wireshark maken uitvoeren van code mogelijk
Wireshark, de meest gebruikte open-source netwerkprotocolanalysator wereldwijd, heeft een belangrijke beveiligingsupdate uitgebracht. Deze update pakt meer dan 40 kwetsbaarheden aan, waarvan meerdere willekeurige code-uitvoering mogelijk maken. Aanvallers kunnen hiervan misbruik maken via de injectie van malafide pakketten of door middel van kwaadaardige opnamebestanden.
Organisaties en individuen die Wireshark inzetten voor netwerkmonitoring, forensisch onderzoek en verkeersanalyse, worden dringend geadviseerd om onmiddellijk te updaten naar Wireshark versie 4.6.5. Deze kritieke kwetsbaarheden vormen een aanzienlijk risico, aangezien ze een aanvaller in staat stellen om ongemerkt schadelijke code uit te voeren op systemen die de software gebruiken. Het risico ligt in het verwerken van specifiek geprepareerde netwerkpakketten of opnamebestanden, die de kwetsbaarheden in de software activeren en zo de controle over het systeem overnemen.
De omvang van de ontdekte problemen, met meer dan 40 afzonderlijke kwetsbaarheden, onderstreept het belang van proactieve beveiligingsmaatregelen. Het updaten van de software is essentieel om potentiële inbreuken en het misbruik van deze beveiligingslekken te voorkomen.
Bron: Wireshark
01 mei 2026 | Kritieke kwetsbaarheid in cPanel/WHM leidt tot vermoedelijke hack van 44.000 installaties
Meer dan 44.000 installaties van cPanel en WebHost Manager (WHM) zijn hoogstwaarschijnlijk gecompromitteerd als gevolg van een recent ontdekte kritieke kwetsbaarheid. Dit is gemeld door The Shadowserver Foundation, een stichting die zich richt op de bestrijding van cybercrime. De kwetsbaarheid, aangeduid als CVE-2026-41940, betreft een authenticatie bypass die ongeauthenticeerde aanvallers in staat stelt op afstand toegang te verkrijgen tot het controlepaneel en code uit te voeren.
Zowel het Australische Cyber Security Centre (ACSC) als het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) hebben bevestigd dat aanvallers actief misbruik maken van dit beveiligingslek. De ACSC heeft specifiek gemeld dat de kwetsbaarheid in Australië wordt uitgebuit.
The Shadowserver Foundation, bekend van haar onderzoek naar kwetsbare systemen op het internet, heeft via haar honeypots waargenomen dat ten minste 44.000 IP-adressen van cPanel-installaties deze honeypots hebben gescand. Wereldwijd zijn er naar schatting 650.000 cPanel-installaties direct vanaf het internet toegankelijk. Van dit aantal bevinden zich bijna dertienduizend in Nederland. Het exacte aantal gecompromitteerde Nederlandse installaties is op dit moment onbekend.
Hoewel updates voor CVE-2026-41940 al sinds 28 april beschikbaar zijn, suggereren sommige meldingen dat het misbruik van de kwetsbaarheid al op 23 februari is begonnen. Systeembeheerders en hostingbedrijven die gebruikmaken van WHM en cPanel worden dringend geadviseerd de beschikbare updates en patches onmiddellijk toe te passen om hun systemen te beveiligen tegen verdere exploitatie.
Bron: cPanel | Bron 2: cisa.gov | Bron 3: cyber.gov.au
01 mei 2026 | CISA voegt Linux Kernel kwetsbaarheid toe aan KEV-catalogus wegens actieve exploitatie
Op 01 mei 2026 heeft CISA (Cybersecurity and Infrastructure Security Agency) een nieuwe kwetsbaarheid toegevoegd aan haar Known Exploited Vulnerabilities (KEV) Catalogus. De toevoeging, geïdentificeerd als CVE-2026-31431, betreft een "Linux Kernel Incorrect Resource Transfer Between Spheres Vulnerability". Deze stap is genomen op basis van concreet bewijs van actieve exploitatie van dit beveiligingslek.
Volgens CISA vertegenwoordigen kwetsbaarheden van dit type een veelvoorkomende aanvalsvector voor kwaadwillende cyberactoren en brengen ze aanzienlijke risico's met zich mee voor digitale infrastructuren. De KEV Catalogus is opgericht als een dynamische lijst van bekende Common Vulnerabilities and Exposures (CVE's) die een significant risico vormen. Dit initiatief vloeit voort uit Binding Operational Directive (BOD) 22-01, getiteld "Reducing the Significant Risk of Known Exploited Vulnerabilities".
BOD 22-01 verplicht Federal Civilian Executive Branch (FCEB) instanties in de Verenigde Staten om geïdentificeerde kwetsbaarheden vóór een vastgestelde deadline te remediëren. Het doel hiervan is om FCEB-netwerken effectief te beschermen tegen actieve dreigingen. Hoewel deze richtlijn specifiek van toepassing is op Amerikaanse federale civiele instanties, benadrukt CISA met klem dat alle organisaties wereldwijd hun blootstelling aan cyberaanvallen moeten verminderen. Dit kan door prioriteit te geven aan de tijdige remediëring van kwetsbaarheden die zijn opgenomen in de KEV Catalogus, als een essentieel onderdeel van hun kwetsbaarhedenbeheerpraktijk.
De "Linux Kernel Incorrect Resource Transfer Between Spheres Vulnerability" (CVE-2026-31431) duidt op een fout in de Linux kernel waarbij middelen, zoals geheugen of bestandsdescriptors, onjuist worden overgedragen tussen verschillende beveiligingsdomeinen of "spheres". Dit kan leiden tot privilege-escalatie, informatielekken of denial-of-service, afhankelijk van de specifieke implementatie en de manier waarop de exploit wordt uitgevoerd. Gezien de wijdverspreide adoptie van Linux in diverse systemen, van servers tot embedded apparaten, is de actieve exploitatie van een dergelijke kwetsbaarheid een belangrijke zorg voor een breed scala aan organisaties.
CISA heeft aangegeven de KEV Catalogus voortdurend aan te vullen met kwetsbaarheden die voldoen aan de gestelde criteria voor actieve exploitatie en significant risico. Organisaties wordt geadviseerd om de KEV Catalogus regelmatig te raadplegen en hun systemen proactief te patchen om zich te weren tegen bekende en actief misbruikte kwetsbaarheden. Het niet tijdig aanpakken van dergelijke kwetsbaarheden kan leiden tot ernstige beveiligingsincidenten en operationele verstoringen.
Bron: CISA | Bron 2: cve.org
01 mei 2026 | Microsoft brengt Windows 11 update KB5083631 uit met beveiligingsverbeteringen
Microsoft heeft de optionele cumulatieve update KB5083631 voor Windows 11 uitgebracht. Deze preview-update bevat 34 wijzigingen en verbeteringen, waaronder een nieuwe Xbox-modus voor Windows-pc's, verbeterde beveiliging en prestaties voor batchbestanden, en prestatieverbeteringen voor het opstarten van applicaties. In tegenstelling tot reguliere cumulatieve updates, bevatten maandelijkse optionele updates geen beveiligingsfixes, maar richten ze zich op kwaliteitsverbeteringen en bugfixes. Deze update biedt beheerders de mogelijkheid om deze wijzigingen te testen voordat ze algemeen beschikbaar komen tijdens de Patch Tuesday-release van volgende maand.
De update van april 2026 verbetert de prestaties van applicaties die zijn vermeld onder 'Instellingen > Apps > Opstarten' bij het opstarten van het apparaat. Daarnaast introduceert Microsoft een nieuwe Xbox-modus voor Windows 11-pc's, zoals laptops, desktops en tablets. Deze modus biedt een fullscreen-interface die games centraal stelt en afleidingen op de achtergrond minimaliseert. Gebruikers kunnen de Xbox-modus activeren via de Xbox app, de Game Bar-instellingen, of met de toetsencombinatie Windows-logo + F11.
Een belangrijke beveiligingsverbetering in deze preview-update is de verbeterde beveiliging en prestaties voor batchbestanden en CMD-scripts. Deze wijziging werd eerder in februari uitgerold naar Windows 11 Insiders in de Beta en Dev-kanalen. Microsoft heeft hierover uitgelegd dat beheerders nu een veiligere verwerkingsmodus voor batchbestanden kunnen inschakelen, wat voorkomt dat deze bestanden tijdens de uitvoering worden gewijzigd.
Na installatie zal deze optionele niet-beveiligingsupdate Windows 11 24H2 en 25H2-apparaten respectievelijk bijwerken naar builds 26100.8328 en 26200.8328. Gebruikers kunnen KB5083631 installeren via 'Windows Instellingen', door te klikken op 'Windows Update' en vervolgens op 'Controleren op updates'. Aangezien het een optionele update betreft, is het noodzakelijk om op de link 'Downloaden en installeren' te klikken, tenzij men de update handmatig installeert via de Microsoft Update Catalogus.
De update omvat ook diverse andere wijzigingen. Zo is haptische feedback nu beschikbaar op ondersteunde invoerapparaten bij bepaalde acties, zoals het uitlijnen van objecten in PowerPoint of het aanpassen van vensters. Deze feedback kan worden beheerd via 'Instellingen > Bluetooth & apparaten > Muis, Touchpad of Pen > Haptische signalen'. Wat betreft Secure Boot, omvatten Windows-kwaliteitsupdates nu aanvullende, betrouwbare apparaat-targetinggegevens, wat de dekking van apparaten vergroot die automatisch nieuwe Secure Boot-certificaten kunnen ontvangen. Deze certificaten worden gefaseerd uitgerold, waarbij apparaten ze pas ontvangen na voldoende succesvolle updatesignalen. Dit is relevant omdat de originele Secure Boot-certificaten uit 2011 in juni 2026 zullen verlopen. Microsoft kondigde deze plannen in januari al aan, na een waarschuwing aan beheerders in november om de beveiligingscertificaten tijdig bij te werken.
Verdere verbeteringen omvatten een betere Kerberos-authenticatie voor Remote Desktop-sessies die gebruikmaken van Remote Credential Guard, waarbij de fout 0xc000009a wordt opgelost. Daarnaast verbetert de update de gebeurtenislogboekregistratie met betrekking tot CVE-2024-30098 door de naam van de getroffen applicatie op te nemen. Dit maakt het eenvoudiger om applicaties te identificeren die afhankelijk zijn van smartcardcertificaten en mogelijk updates nodig hebben na recente beveiligingswijzigingen. De update verhelpt ook een witte flits die kon verschijnen bij het openen van 'Deze pc' of bij het wijzigen van het detailvenster in de donkere modus, en verbetert de betrouwbaarheid van relevante explorer.exe-processen, zodat deze stoppen na het sluiten van File Explorer-vensters. Tot slot heeft Microsoft opgemerkt dat sommige Windows Server 2025-apparaten met een "niet-aanbevolen BitLocker Groepsbeleid-configuratie" na de update in BitLocker-herstelmodus kunnen opstarten, waarbij gebruikers de BitLocker-herstelsleutel moeten invoeren bij de eerste herstart.
Bron: Microsoft
01 mei 2026 | Privacy OS Tails brengt noodpatch uit voor kritieke Tor Browser kwetsbaarheden
De ontwikkelaars van Tails, een privacy gericht besturingssysteem, hebben een noodpatch uitgebracht naar aanleiding van meerdere kwetsbaarheden in de Tor Browser. Tails, voluit "The Amnesic Incognito Live System", is een op Linux gebaseerd systeem dat specifiek is ontworpen om de privacy en anonimiteit van gebruikers te waarborgen. Het OS kan direct vanaf een USB-stick of dvd worden opgestart.
Tails maakt gebruik van het netwerk van Tor om het IP-adres van de gebruiker af te schermen en integreert diverse applicaties die gericht zijn op privacybescherming. De standaard browser binnen Tails is Tor Browser, die op zijn beurt gebaseerd is op Firefox. Eerder deze week verscheen Firefox ESR 140.10.1, waarin diverse beveiligingslekken zijn verholpen. Onder deze verholpen kwetsbaarheden bevindt zich een kritiek beveiligingslek, aangeduid als CVE-2026-7322.
Deze specifieke kwetsbaarheid zou potentieel de uitvoering van willekeurige code op het systeem van gebruikers mogelijk maken. Een aanval via dit lek vereist geen verdere actie van de gebruiker; het volstaat om een gehackte of malafide website te bezoeken, of blootgesteld te worden aan besmette advertenties. Na de update van Firefox ESR heeft ook Tor Browser een nieuwe versie uitgebracht, die nu is geïntegreerd in de noodpatch voor Tails. De ontwikkelaars van Tails hebben aangegeven dat zij niet bekend zijn met actief misbruik van deze beveiligingslekken in Tor Browser. Gebruikers van Tails worden met klem geadviseerd om zo spoedig mogelijk te updaten naar versie 7.7.1 om hun systemen te beveiligen tegen de geïdentificeerde risico's.
Bron: Tails | Bron 2: mozilla.org | Bron 3: blog.torproject.org
03 mei 2026 | Kritieke kwetsbaarheid in cPanel/WHM massaal misbruikt voor botnet en ransomware
Een kritieke kwetsbaarheid in cPanel en WHM, aangeduid als CVE-2026-41940, wordt sinds eind april 2026 op grote schaal misbruikt door cybercriminelen. Het lek heeft een CVSS score van 9.8 en betreft een het omzeilen van authenticatie via CRLF injectie in het inlogproces, waardoor aanvallers zich zonder geldige inloggegevens kunnen voordoen als root beheerder.
cPanel bracht op 28 april 2026 een patch uit voor de kwetsbaarheid, maar uit telemetrie van security onderzoekers blijkt dat het lek al sinds eind februari 2026 actief werd misbruikt als zero day. Een dag na de patch publiceerde onderzoeksbureau watchTowr een technische analyse en een werkende proof of concept, waarna de exploitatie verder explodeerde.
De impact van deze kwetsbaarheid is direct zichtbaar in de toename van gecompromitteerde systemen. Terwijl het aantal als kwaadaardig gemarkeerde hosts in de dagen vóór 1 mei relatief laag was (variërend van 47 tot 146), explodeerde dit aantal op 1 mei. Op die dag steeg het totale aantal kwaadaardige hosts met 19.131, waarvan maar liefst 15.302 (ongeveer 80 procent) cPanel/WHM systemen waren. Dit staat in schril contrast met eerdere dagen, waarin cPanel systemen minder dan 1,2 procent van de dagelijkse wijzigingen uitmaakten, wat duidt op een gecoördineerde en massale aanval.
Het aanvalsoppervlak is aanzienlijk, met meer dan een miljoen cPanel/WHM hosts wereldwijd die publiekelijk toegankelijk zijn via het internet. Op dit moment zijn 'slechts' 9.595 van deze hosts als kwaadaardig gemarkeerd, wat aangeeft dat het potentiële aantal slachtoffers nog enorm kan groeien. Onder de zwaarst getroffen hostingproviders bevinden zich DigitalOcean (1.043), Contabo (716), OVH (501), Vultr (391), Oracle (321), Unified Layer (280), Hetzner (277), Akamai en Linode (275), GoDaddy (209) en Microsoft (169).
Er zijn momenteel minstens twee parallelle campagnes actief die misbruik maken van de kwetsbaarheid. Eén campagne omvat de inzet van een Mirai botnet variant, specifiek de "nuclear.x86" variant, die na de compromittering van een systeem wordt gebruikt om verdere aanvallen uit te voeren. De tweede campagne betreft een ransomware aanval die is gekoppeld aan de Sorry of Hidden-Tear familie. Ongeveer 7.000 cPanel servers zijn reeds getroffen door deze ransomware, waarbij bestanden zijn versleuteld met de extensie ".sorry". Specifieke voorbeelden van versleutelde bestanden zijn index.html.sorry (6.465 hosts), index.php.sorry (1.637 hosts) en wp-config.php.sorry (795 hosts). Slachtoffers worden via het qTox communicatieplatform naar de aanvallers geleid.
Op 30 april 2026 verscheen op GitHub een publieke proof of concept exploit tool genaamd cPanelSniper, geschreven door security onderzoeker Mitsec onder de gebruikersnaam ynsmroztas. Deze 4 fase aanvalsketen automatiseert preauth sessie aanmaken, CRLF injectie via Authorization header, escalatie via interne gadgets en verificatie van root toegang via de WHM API. De publicatie verlaagt de drempel voor minder vaardige aanvallers aanzienlijk. Volgens onafhankelijke security publicaties zoals gbhackers en cyberpress zijn op honeypots ongeveer 44.000 servers gedetecteerd als gecompromitteerd kort na de release.
Organisaties en individuen die cPanel en WHM gebruiken, wordt dringend geadviseerd om onmiddellijk de beschikbare patch (versie 11.136.0.5 of hoger) te installeren om hun systemen te beveiligen tegen verdere exploitatie.
Bron: Censys | Bron 2: github.com | Bron 3: gbhackers.com