Reading in another language

Cybercrimeinfo.nl (ccinfo.nl) is een onafhankelijk platform en is niet verbonden aan de Nederlandse Politie, AIVD of MIVD.

2025 | 2024 | 2023 | 2022 | 2021

december | november | oktober | september| augustus | juli | juni | mei | april | maart | februari | januari

Per categorie

Microsoft Patch Tuesday

EUVD-database voor kwetsbaarheden

Deze pagina wordt voortdurend bijgewerkt.

3.0 Kwetsbaarheden:

► CVE's Trending

► Top 10 misbruikte kwetsbaarheden

▽ JANUARI 2025

▽ FEBRUARI 2025

▽ MAART 2025

▽ APRIL 2025

▽ MEI 2025

▽ JUNI 2025

▽ JULI 2025

▽ AUGUSTUS 2025

▽ SEPTEMBER 2025

▽ OKTOBER 2025

▽ NOVEMBER 2025

▽ DECEMBER 2025

01 december 2025 | OpenAI Codex CLI kwetsbaarheid: Command injection risico via projectconfiguratie

Een nieuwe kwetsbaarheid in de OpenAI Codex CLI is ontdekt, waarbij een aanvaller misbruik kan maken van project-specifieke configuratiebestanden om willekeurige commando’s uit te voeren. Codex CLI, een tool die bedoeld is om de ontwikkelworkflow te ondersteunen met AI-ondersteunde redenering en interactie via de commandoregel, heeft een probleem in de manier waarop het projectgebonden configuratiebestanden verwerkt.

Tijdens tests werd ontdekt dat Codex CLI project-specifieke configuraties, zoals .env-bestanden en de bijbehorende ./.codex/config.toml, automatisch laadt en uitvoert wanneer het project wordt uitgevoerd. Dit betekent dat als een ontwikkelaar een repository met een besmet .env-bestand en een kwaadaardige config.toml met MCP-serverinstellingen kloneert, het systeem ongevraagd commando’s uitvoert bij het opstarten van Codex. Er is geen validatie of goedkeuring nodig van de gebruiker, waardoor aanvallers de mogelijkheid hebben om schadelijke code uit te voeren zonder dat de ontwikkelaar het merkt.

De kwetsbaarheid stelt een aanvaller in staat om op verschillende manieren toegang te krijgen. Zo kan een aanvaller een reverse shell in de configuratie plaatsen, waardoor ze persistente toegang verkrijgen tot het systeem van een ontwikkelaar die de besmette repository kloneert en Codex uitvoert. Dit creëert een achterdeur die elke keer dat Codex wordt uitgevoerd, opnieuw kan worden geactiveerd, wat het mogelijk maakt om gegevens te stelen, wachtwoorden te exfiltreren of verdere aanvallen uit te voeren.

De kwetsbaarheid werd op 7 augustus 2025 aan OpenAI gemeld, waarna op 20 augustus 2025 een patch werd uitgebracht in versie 0.23.0 van Codex CLI. Deze patch voorkomt dat de tool .env-bestanden zonder verdere goedkeuring kan gebruiken om de CODEX_HOME naar een projectmap te leiden. Gebruikers wordt dringend geadviseerd om Codex CLI bij te werken naar versie 0.23.0 of hoger om zich te beschermen tegen deze kwetsbaarheid.

Bron 1

02 december 2025 | Google brengt updates uit voor twee actief aangevallen Android-lekken

Google heeft recent beveiligingsupdates uitgebracht voor Android, waarbij twee kwetsbaarheden werden verholpen die actief werden aangevallen. Deze kwetsbaarheden, aangeduid als CVE-2025-48633 en CVE-2025-48572, bevinden zich beide in het Android Frame en waren kwetsbaar voor misbruik. CVE-2025-48633 kan leiden tot informatielekken, hoewel Google geen details heeft verstrekt over de aard van de gelekte informatie. CVE-2025-48572 stelt aanvallers die al toegang tot een Android-apparaat hebben, in staat om hun rechten te verhogen.

Naast deze kwetsbaarheden werd ook een kritiek lek gepatcht, CVE-2025-48631, dat remote denial of service (DoS)-aanvallen mogelijk maakte. Dit lek had geen rechten of permissies nodig om misbruikt te worden. Google heeft geen verdere details verstrekt over de exploitatie van dit beveiligingslek of de exacte gevolgen voor gebruikers.

De updates zijn beschikbaar voor Android-versies 13, 14, 15 en 16 en hebben patchniveaus van '2025-12-01' of '2025-12-05'. De updates zijn door fabrikanten van Android-toestellen ontvangen, die in staat waren om deze te verwerken en beschikbaar te stellen aan hun gebruikers. Het is echter mogelijk dat niet alle toestellen deze updates ontvangen, afhankelijk van de ondersteuning door de fabrikant of de beschikbaarheid van updates. Google meldde dat fabrikanten al een maand geleden op de hoogte werden gesteld van de kwetsbaarheden, wat hen de tijd gaf om updates te ontwikkelen.

De patchniveau-updates moeten worden toegepast door de fabrikanten om ervoor te zorgen dat alle toestellen met de nieuwste beveiligingsmaatregelen beschermd zijn tegen de geconstateerde kwetsbaarheden.

Bron 1

03 december 2025 | Tienduizenden WordPress-sites kwetsbaar door kritiek RCE-lek in plug-in

Tienduizenden WordPress-websites lopen momenteel een ernstig beveiligingsrisico door de aanwezigheid van een kritieke kwetsbaarheid in de plug-in Advanced Custom Fields: Extended. Door dit lek kunnen kwaadwillenden op afstand de volledige controle over een website overnemen via zogeheten remote code execution (RCE). Hoewel er sinds 21 november een beveiligingsupdate beschikbaar is, blijkt uit actuele cijfers dat tienduizenden beheerders deze update nog niet hebben geïnstalleerd.

Het beveiligingslek is geregistreerd onder de code CVE-2025-13486 en is vastgesteld in de plug-in Advanced Custom Fields: Extended. Dit is een specifieke uitbreiding voor de veelgebruikte Advanced Custom Fields (ACF) plug-in. Terwijl de basisversie van ACF op meer dan twee miljoen websites actief is, wordt de kwetsbare 'Extended' variant op ruim honderdduizend websites gebruikt. Het beveiligingsbedrijf Wordfence, dat het lek rapporteerde, heeft de ernst van de kwetsbaarheid vastgesteld op een score van 9.8 op een schaal van 1 tot 10.

De oorzaak van het probleem ligt in een functie binnen de software die op afstand kan worden aangeroepen, maar de gebruikersinvoer niet correct verwerkt. Hierdoor kunnen aanvallers zonder enige vorm van authenticatie willekeurige code uitvoeren op de server. Naast het uitvoeren van code stelt de kwetsbaarheid aanvallers in staat om willekeurige andere WordPress-functies aan te roepen. Een van de mogelijke scenario's is dat een aanvaller zichzelf een nieuw beheerdersaccount toewijst, waardoor de website volledig kan worden overgenomen.

De ontwikkelaars van Advanced Custom Fields: Extended hebben op 21 november versie 0.9.2 uitgebracht om dit beveiligingslek te verhelpen. Uit data van WordPress.org blijkt echter dat de uitrol van deze patch traag verloopt. Meer dan vijftigduizend websites die de plug-in gebruiken, hebben de update nog niet geïnstalleerd. Zolang deze websites op een verouderde versie draaien, blijven zij vatbaar voor aanvallen die gebruikmaken van deze specifieke kwetsbaarheid.

Bron 1, 2

03 december 2025 | Kritieke kwetsbaarheden in Picklescan lieten kwaadaardige PyTorch modellen onopgemerkt code uitvoeren

Drie kritieke beveiligingsfouten zijn recentelijk openbaar gemaakt in de open-source tool Picklescan, een hulpprogramma dat is ontworpen om Python pickle-bestanden te scannen op verdachte import- of functieoproepen voordat deze worden uitgevoerd. Pickle is een veelgebruikt serialisatieformaat binnen machine learning, onder meer door PyTorch, om modellen op te slaan en in te laden. Dit formaat brengt echter een aanzienlijk beveiligingsrisico met zich mee, aangezien het kan worden misbruikt om automatisch willekeurige Python-code uit te voeren zodra een bestand wordt geladen. Picklescan is juist bedoeld om dit risico te mitigeren.

De door JFrog ontdekte kwetsbaarheden maakten het in essentie mogelijk om de scanner te omzeilen, de gescande modelbestanden als veilig te presenteren en de uitvoering van kwaadaardige code mogelijk te maken. Dit opende de deur voor een mogelijke supply chain-aanval door de distributie van schadelijke machine learning-modellen met ondetecteerbare code.

De drie geïdentificeerde kritieke fouten (CVE-2025-10155, CVE-2025-10156 en CVE-2025-10157) hadden alle een hoge CVSS-score. CVE-2025-10155 betrof een omzeiling van de bestandsextensie, waardoor de scanner kon worden ondermijnd en het model toch werd geladen bij gebruik van een standaard pickle-bestand met een PyTorch-gerelateerde extensie zoals .bin of .pt. CVE-2025-10156 maakte het mogelijk om het scannen van ZIP-archieven uit te schakelen door een Cyclic Redundancy Check (CRC)-fout te introduceren. De derde fout, CVE-2025-10157, betrof een omzeiling van Picklescan's controle op onveilige globale variabelen, wat leidde tot de uitvoering van willekeurige code door een bloklijst van gevaarlijke imports te omzeilen. Succesvolle exploitatie van deze kwetsbaarheden stelde aanvallers in staat om kwaadaardige pickle payloads te verbergen in bestanden met gangbare PyTorch-extensies of opzettelijk CRC-fouten te introduceren in ZIP-archieven die schadelijke modellen bevatten. Na een verantwoordelijke melding op 29 juni 2025 zijn de drie kwetsbaarheden opgelost in Picklescan versie 0.0.31, die op 9 september werd uitgebracht.

Daarnaast werd door SecDim en DCODX nog een vierde kwetsbaarheid (CVE-2025-46417) met hoge ernst in dezelfde tool gedetailleerd. Deze fout kon worden misbruikt om de bloklijst van Picklescan te omzeilen en kwaadaardige pickle-bestanden toe te staan gevoelige informatie via DNS te exfiltreren wanneer het model werd geladen. In een geschetst aanvalsscenario kon een aanvaller legitieme Python-modules zoals linecache en ssl hergebruiken om gevoelige gegevens uit bestanden zoals /etc/passwd te lezen en deze gegevens via ssl.get_server_certificate() naar een domein onder hun controle te verzenden. De gelekte inhoud verscheen in DNS-logs.

Deze bevindingen illustreren fundamentele problemen, waaronder een te grote afhankelijkheid van één scanningtool en discrepanties in de manier waarop beveiligingstools en PyTorch omgaan met bestanden. Dit maakt de beveiligingsarchitecturen kwetsbaar voor aanvallen. Deskundigen benadrukken dat de toenemende complexiteit van AI-bibliotheken zoals PyTorch, met nieuwe functies, modelformaten en uitvoerpaden, sneller groeit dan beveiligingsscanningtools zich kunnen aanpassen.

Bron 1, 2

03 december 2025 | Kritieke Elementor-kwetsbaarheid laat aanvallers WordPress-adminrechten verkrijgen

Een ernstige kwetsbaarheid is geïdentificeerd in de King Addons for Elementor WordPress-plug-in, een component die wereldwijd in meer dan tienduizend actieve installaties wordt gebruikt. De kwetsbaarheid, geclassificeerd als een niet-geauthenticeerde privilege-escalatie, stelt aanvallers in staat om volledige administratieve controle over de getroffen WordPress-websites te verkrijgen. Dit wordt bereikt door het registreren van een nieuw account met beheerdersrechten zonder enige noodzakelijke authenticatie.

Het beveiligingslek, aangeduid met CVE-2025-8489, heeft een kritieke CVSS-score van 9.8. De grondoorzaak ligt in een onjuiste rolbeperking binnen de gebruikersregistratiefunctie van de plug-in. Het probleem bevindt zich specifiek in de handle_register_ajax() functie, die faalt in het adequaat valideren van de gebruikersrol tijdens het aanmaken van een account. Een aanvaller kan hierdoor een speciaal opgesteld registratieverzoek versturen via de plug-in's AJAX-handler, waarbij de gewenste rol als 'administrator' wordt gespecificeerd, wat vervolgens door het systeem wordt geaccepteerd.

Zodra de aanvallers administratieve toegang hebben verkregen, beschikken zij over de mogelijkheid om kwaadaardige bestanden te uploaden, de website-inhoud te manipuleren, spam te injecteren, of achterdeurtjes te installeren om persistente toegang tot de gecompromitteerde omgeving te behouden.

Het beveiligingsprobleem werd oorspronkelijk gemeld op 24 juli 2025. Op 25 september 2025 bracht de leverancier een gepatchte versie, 51.1.35, uit die de onderliggende fout verhelpt. Beveiligingsanalisten van Wordfence identificeerden de kwetsbaarheid en maakten de details op 30 oktober 2025 openbaar via de Wordfence Intelligence-database. De getroffen versies van de plug-in varieerden van 24.12.92 tot en met 51.1.14. De actieve exploitatie door aanvallers begon een dag na de publieke bekendmaking, op 31 oktober 2025. Sindsdien heeft de Wordfence Firewall al meer dan 48.400 exploitpogingen tegen kwetsbare websites geblokkeerd.

Bron 1

03 december 2025 | Microsoft pakt LNK-kwetsbaarheid in Windows stilletjes aan

Microsoft heeft onlangs een kwetsbaarheid in Windows gepatcht die het mogelijk maakte om kwaadaardige code te verbergen in .LNK-bestanden. Deze kwetsbaarheid, aangeduid als CVE-2025-9491, werd actief misbruikt door aanvallers om systemen aan te vallen. Het probleem deed zich voor bij de verwerking van .LNK-bestanden, die normaal gesproken worden gebruikt om snelkoppelingen naar programma's en bestanden aan te maken.

De kwetsbaarheid zorgde ervoor dat gevaarlijke commando’s, die normaal zichtbaar zouden moeten zijn bij het inspecteren van het bestand, onzichtbaar werden gemaakt. Dit werd mogelijk doordat in het bestand een speciaal bewerkte "whitespace" werd toegevoegd, waardoor kwaadaardige commando’s pas na 260 zichtbare tekens zichtbaar waren. Hierdoor konden aanvallers hun kwaadaardige code verbergen voor de gebruiker.

Het probleem werd oorspronkelijk gemeld door securitybedrijf ZDI in september 2024, maar Microsoft gaf aanvankelijk aan dat het niet voldoende ernstig was om een patch uit te brengen. Pas later, nadat de details openbaar werden gemaakt, besloot Microsoft de kwetsbaarheid onopgemerkt te verhelpen tijdens een reguliere patchronde in november 2025. In de nieuwe update is nu het volledige Target-commando zichtbaar, ongeacht de lengte ervan, wat de exploitatie van de kwetsbaarheid voorkomt.

Het is niet de eerste keer dat dergelijke kwetsbaarheden worden aangetroffen in .LNK-bestanden. Eerder werden soortgelijke technieken, zoals bij de Stuxnet-aanval, gebruikt om systemen te compromitteren. De ontdekking van deze kwetsbaarheid komt op een moment dat aanvallers steeds vaker gebruik maken van verborgen technieken om hun schade te maximaliseren zonder dat gebruikers het merken.

Bron 1

04 december 2025 | React waarschuwt voor kritieke RCE-kwetsbaarheid in Server Components

React, een veelgebruikte JavaScript-library voor de ontwikkeling van webapplicaties, heeft een kritieke kwetsbaarheid ontdekt in de Server Components versie van hun framework, waardoor remote code execution (RCE) mogelijk is. De kwetsbaarheid, aangeduid als CVE-2025-55182, werd beoordeeld met een score van 10.0 op een schaal van 1 tot 10, wat het tot een van de meest ernstige beveiligingslekken maakt. Het probleem treft specifieke versies van React Server Components, namelijk 19.0.0, 19.1.0, 19.1.1 en 19.2.0. Deze kwetsbaarheid maakt het mogelijk voor aanvallers om via een kwaadaardig HTTP-verzoek code op de server uit te voeren.

React Server Components zijn een technologie die ontwikkelaars in staat stelt om webapplicaties te creëren waarbij de meeste verwerking op de server plaatsvindt. Dit zou moeten zorgen voor betere prestaties en veiligheid. Echter, deze specifieke kwetsbaarheid heeft ernstige gevolgen voor systemen die gebruikmaken van de getroffen versies. Het probleem werd gedetecteerd bij versies die nog niet waren geüpdatet, maar een oplossing werd al verstrekt in versies 19.0.1, 19.1.2 en 19.2.1.

Beheerders van systemen die deze versies draaien, worden dringend verzocht om hun software te upgraden om verdere exploitatie te voorkomen. Het Nationaal Cyber Security Centrum (NCSC) heeft gewaarschuwd dat systemen die geen gebruik maken van React Server Components, of die geen server gebruiken, niet kwetsbaar zijn. Daarnaast kunnen frameworks en tools zoals Next, React Router en Waku ook getroffen worden, aangezien deze vaak React Server Components integreren in hun infrastructuur.

Het probleem ontstond doordat een aanvaller in staat was om een kwaadaardig verzoek te sturen naar een Server Function endpoint. Wanneer React deze verzoeken verwerkte zonder de juiste controles, kon de aanvaller remote code execution op de server uitvoeren, wat ernstige beveiligingsrisico’s met zich meebracht. React heeft bevestigd dat ze verder technische informatie zullen verstrekken zodra de uitrol van de beveiligingsupdates volledig is afgerond. Beveiligingsupdates zijn inmiddels beschikbaar, en zowel nationale als internationale instanties, waaronder de Australische en Italiaanse overheid, hebben waarschuwingen verspreid. Techbedrijven zoals Cloudflare, Fastly en Google hebben ook maatregelen getroffen om hun klanten te beschermen tegen deze kwetsbaarheid.

Bron 1, 2, 3

 

04 december 2025 | Kritieke kwetsbaarheid in React en Next.js stelt hackers in staat code op servers uit te voeren

Een ernstige kwetsbaarheid in het React Server Components (RSC) 'Flight'-protocol, genaamd 'React2Shell', stelt aanvallers in staat om zonder authenticatie code uit te voeren op servers die React- en Next.js-toepassingen draaien. De kwetsbaarheid, die een maximaal risiconiveau van 10/10 heeft gekregen, werd op 29 november ontdekt door beveiligingsonderzoeker Lachlan Davidson. Hij ontdekte dat aanvallers via een speciaal gemaakte HTTP-aanvraag op React Server Function-eindpunten code op afstand kunnen uitvoeren.

De kwetsbaarheid betreft versies van React (19.0, 19.1.0, 19.1.1, en 19.2.0) en Next.js (vanaf 14.3.0-canary.77 en alle versies van de 15.x- en 16.x-branches voor de gepatchte versies). Het probleem komt voort uit een fout in de deserialisatie, waarbij de server niet goed controleert of de inkomende gegevens correct zijn. Dit kan leiden tot de uitvoering van privilegie JavaScript-code in de servercontext.

Beveiligingsonderzoekers waarschuwen dat de kwetsbaarheid eenvoudig kan worden misbruikt, en dat 39% van de cloudomgevingen waar ze zicht op hebben, versies van React of Next.js draaien die kwetsbaar zijn voor deze aanval. React en Next.js worden veel gebruikt in cloudgebaseerde omgevingen, wat de impact van deze kwetsbaarheid vergroot, aangezien deze technologieën snel worden geïmplementeerd door bedrijven wereldwijd, ook in Nederland en België.

Het is belangrijk dat ontwikkelaars en bedrijven die deze technologieën gebruiken, hun omgevingen controleren en snel de nieuwste patches toepassen om zich te beschermen tegen potentiële aanvallen. De fixes zijn beschikbaar in React-versies 19.0.1, 19.1.2, en 19.2.1, en Next.js-versies 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7, en 16.0.7.

Door snel actie te ondernemen kunnen organisaties het risico van deze kwetsbaarheid aanzienlijk verminderen.

Bron 1

04 december 2025 | CISA waarschuwt voor kwetsbaarheden in industriële controlesystemen

Op 2 december 2025 heeft de Cybersecurity and Infrastructure Security Agency (CISA) vijf kritieke adviezen gepubliceerd met betrekking tot kwetsbaarheden in industriële controlesystemen (ICS). Deze kwetsbaarheden treffen systemen die essentieel zijn voor de werking van kritieke infrastructuren zoals de productie, energievoorziening en medische apparaten wereldwijd. De waarschuwingen richten zich op ernstige beveiligingsrisico’s die kunnen leiden tot inbreuken in de systemen die de ruggengraat vormen van vitale infrastructuur.

Industriële controlesystemen worden wereldwijd gebruikt om belangrijke infrastructuren te beheren, van energiecentrales tot waterzuiveringsinstallaties en medische apparatuur. Wanneer er kwetsbaarheden in deze systemen optreden, kunnen aanvallers toegang krijgen tot gevoelige netwerken, wat de stabiliteit van publieke diensten en de veiligheid van burgers in gevaar kan brengen. De vijf adviezen van CISA richten zich onder andere op leveranciers zoals Mitsubishi Electric, Iskra en Mirion Technologies, die apparatuur leveren die wereldwijd wordt ingezet in industriële omgevingen.

De kwetsbaarheden variëren van het omzeilen van authenticatieprocessen tot het uitvoeren van code op afstand, wat aanvallers de mogelijkheid biedt om ongeoorloofde toegang te krijgen tot belangrijke functies. CISA meldt dat deze kwetsbaarheden actief worden uitgebuit, wat de urgentie van de waarschuwing benadrukt. Organisaties die deze systemen gebruiken, worden aangemoedigd om zo snel mogelijk beveiligingsupdates door te voeren om verdere risico’s te vermijden.

CISA adviseert organisaties om netwerksegmentatie toe te passen en kwetsbare systemen te isoleren van het externe internet. Ook worden sterke authenticatieprocessen aanbevolen en moet er onmiddellijk netwerkmonitoring worden geïmplementeerd om verdachte activiteiten tijdig op te sporen. Door deze maatregelen te nemen, kunnen organisaties zich beter wapenen tegen de steeds geavanceerdere cyberdreigingen.

Deze publicatie van CISA benadrukt de dringende noodzaak voor organisaties in Nederland en België om kwetsbaarheden in industriële controlesystemen snel aan te pakken, met name in productieomgevingen waar storingen een directe impact kunnen hebben op de openbare veiligheid en economische stabiliteit.

Bron 1

04 december 2025 | WordPress-sites in Nederland en België bedreigd door kritieke kwetsbaarheid in Sneeit Framework plugin

Een ernstige kwetsbaarheid in de Sneeit Framework plugin voor WordPress wordt actief misbruikt door aanvallers, wat duizenden websites wereldwijd, ook in Nederland en België, in gevaar brengt. De kwetsbaarheid, geïdentificeerd als CVE-2025-6389 met een CVSS-score van 9.8, komt voor in versies 8.3 en eerder van de plugin, die ongeveer 1.700 actieve installaties heeft op WordPress-sites, inclusief premium thema’s.

De kwetsbaarheid werd op 10 juni 2025 ontdekt en gerapporteerd aan de ontwikkelaars. Een patch werd op 5 augustus 2025 uitgebracht, waarna de kwetsbaarheid op 24 november 2025 openbaar werd gedeeld. Vanaf die datum begonnen aanvallers de kwetsbaarheid actief te misbruiken om niet-gepatchte installaties aan te vallen. Beveiligingsonderzoekers van Wordfence hebben sindsdien meer dan 131.000 exploitpogingen geblokkeerd.

De kwetsbaarheid is te wijten aan onvoldoende invoervalidatie in een specifieke functie van de plugin, die gebruikersinvoer zonder de juiste beperkingen verwerkt. Aanvallers kunnen hierdoor via speciaal gemaakte verzoeken willekeurige PHP-code uitvoeren op de server, wat kan leiden tot volledige controle over de website.

Aangezien deze kwetsbaarheid wereldwijd van invloed is, wordt eigenaren van WordPress-websites met de Sneeit Framework plugin dringend geadviseerd om onmiddellijk te updaten naar versie 8.4 of hoger. Het uitblijven van een update kan leiden tot ernstige beveiligingsrisico’s, zoals de installatie van backdoors en het verlies van data.

Bron 1

04 december 2025 | Afname van CVE-publicaties in november 2025 door vertragingen bij grote CNAs

In november 2025 is het aantal gepubliceerde CVE’s (Common Vulnerabilities and Exposures) met 25% gedaald in vergelijking met dezelfde maand in 2024. Deze daling is opvallend, vooral omdat het aantal CVE-publicaties in 2025 als geheel een stijging vertoont ten opzichte van vorig jaar. De afname in november wordt voornamelijk toegeschreven aan vertragingen bij enkele belangrijke CVE Numbering Authorities (CNAs), zoals Patchstack, MITRE en het Linux-kernel ecosysteem.

Volgens experts in de cybersecuritygemeenschap is de daling in CVE-publicaties in november niet per se een indicatie van een afname van de algehele dreiging, maar eerder het gevolg van een tijdelijke vertraging in de werkstromen van enkele grote bronnen. Patchstack gaf aan dat hun interne migratie naar een nieuwe versie van hun platform tijdelijke vertragingen veroorzaakte in hun bugbounty- en triageprocessen. Dit had een directe invloed op het aantal gepubliceerde kwetsbaarheden, maar Patchstack verwacht dat de output weer zal toenemen in het vierde kwartaal van 2025.

Hoewel de cijfers voor november een daling laten zien, blijft het totale aantal CVE-publicaties in 2025 hoger dan in 2024. De gegevens tonen een stijging van 16,9% in het aantal gepubliceerde kwetsbaarheden, wat wijst op een algemeen stijgende trend in kwetsbaarheden wereldwijd. Deze cijfers benadrukken het belang van het monitoren van publicaties van grote CNAs en het niet enkel vertrouwen op de maandelijkse CVE-aantallen voor het inschatten van risico's.

Voor cybersecurityprofessionals en organisaties in Nederland en België blijft het belangrijk om kwetsbaarheden te blijven volgen, zelfs als er schommelingen zijn in het aantal CVE-publicaties. Het is cruciaal om verder te kijken dan alleen de publicatiecijfers en te letten op exploitatie-informatie en het tempo waarmee kwetsbaarheden worden misbruikt. Het inzicht in deze trends helpt bij het prioriteren van beveiligingsmaatregelen en het effectief mitigeren van dreigingen in hun netwerkomgevingen.

Bron 1

05 december 2025 | Kritieke XXE-kwetsbaarheid CVE-2025-66516 (CVSS 10.0) treft Apache Tika, vereist urgente patch

Op 5 december 2025 werd een ernstige beveiligingskwetsbaarheid ontdekt in Apache Tika, een veelgebruikte bibliotheek voor contentdetectie en -analyse. De kwetsbaarheid, aangeduid als CVE-2025-66516, maakt het mogelijk voor aanvallers om een XML External Entity (XXE)-injectie uit te voeren. Dit kan ernstige gevolgen hebben voor systemen die Apache Tika gebruiken, met mogelijke toegang tot gevoelige bestanden of zelfs remote code execution.

De kwetsbaarheid heeft een CVSS-score van 10.0, wat aangeeft dat deze uiterst kritisch is. Apache Tika wordt vaak ingezet in systemen die werken met PDF-bestanden en andere documenten, wat betekent dat de impact wereldwijd kan zijn, ook voor bedrijven en instellingen in Nederland en België. Het probleem is te vinden in verschillende versies van Apache Tika, waaronder de modules tika-core, tika-pdf-module en tika-parsers. Als gevolg van deze kwetsbaarheid kunnen aanvallers via een speciaal vervaardigd XFA-bestand in een PDF schadelijke opdrachten uitvoeren.

Gebruikers van Apache Tika wordt dringend geadviseerd om de beveiligingsupdates toe te passen. Deze zijn beschikbaar in versie 3.2.2, waarin de kwetsbaarheid is verholpen. Aangezien veel organisaties afhankelijk zijn van Apache Tika voor hun documentverwerkingssystemen, is het essentieel dat deze updates snel worden geïnstalleerd om potentiële aanvallen te voorkomen.

Bron 1

 

Microsoft brengt november Patch Tuesday uit met 1 zero-day en 63 kwetsbaarheden

Op 11 november 2025 heeft Microsoft zijn Patch Tuesday-update uitgebracht, waarin 63 kwetsbaarheden worden verholpen, waaronder één actief uitgebuite zero-day kwetsbaarheid in de Windows Kernel. De update bevat vier "kritieke" kwetsbaarheden, waaronder twee op afstand uit te voeren code, een privilegeverhoging en een lek van informatie. De zero-day kwetsbaarheid, aangeduid als CVE-2025-62215, stelt aanvallers in staat om privileges te verhogen naar systeemniveau op Windows-apparaten door middel van een race-conditie in de Windows Kernel. Dit beveiligingslek was al actief uitgebuit voordat een patch beschikbaar kwam. Daarnaast bevat de update fixen voor 29 privilegeverhogingskwetsbaarheden, 16 op afstand uit te voeren code-kwetsbaarheden en andere kwetsbaarheden die invloed kunnen hebben op systemen en applicaties zoals Microsoft Office, Dynamics 365 en Visual Studio.

Microsoft verhelpt zero-day kwetsbaarheid in Windows Kernel

Microsoft heeft een kwetsbaarheid in de Windows Kernel verholpen die actief werd uitgebuit door aanvallers om SYSTEM-privileges te verkrijgen. De kwetsbaarheid, aangeduid als CVE-2025-62215, werd veroorzaakt door een race-conditie, waarbij gelijktijdige uitvoering met onjuiste synchronisatie van gedeelde middelen het mogelijk maakte voor een geautoriseerde aanvaller om lokale privileges te verhogen. De aanvaller moest de race-conditie winnen om systeemrechten te verkrijgen. Microsoft heeft de kwetsbaarheid gepatcht, maar heeft niet gedeeld hoe deze precies werd uitgebuit. De kwetsbaarheid werd als zero-day aangeduid, wat betekent dat deze openbaar bekend werd gemaakt of actief werd misbruikt voordat er een officiële oplossing beschikbaar was.

Tag CVE ID CVE Title Severity
Azure Monitor Agent CVE-2025-59504 Azure Monitor Agent Remote Code Execution Vulnerability Important
Customer Experience Improvement Program (CEIP) CVE-2025-59512 Customer Experience Improvement Program (CEIP) Elevation of Privilege Vulnerability Important
Dynamics 365 Field Service (online) CVE-2025-62211 Dynamics 365 Field Service (online) Spoofing Vulnerability Important
Dynamics 365 Field Service (online) CVE-2025-62210 Dynamics 365 Field Service (online) Spoofing Vulnerability Important
GitHub Copilot and Visual Studio Code CVE-2025-62453 GitHub Copilot and Visual Studio Code Security Feature Bypass Vulnerability Important
Host Process for Windows Tasks CVE-2025-60710 Host Process for Windows Tasks Elevation of Privilege Vulnerability Important
Microsoft Configuration Manager CVE-2025-47179 Configuration Manager Elevation of Privilege Vulnerability Important
Microsoft Dynamics 365 (on-premises) CVE-2025-62206 Microsoft Dynamics 365 (On-Premises) Information Disclosure Vulnerability Important
Microsoft Graphics Component CVE-2025-60724 GDI+ Remote Code Execution Vulnerability Important
Microsoft Office CVE-2025-62216 Microsoft Office Remote Code Execution Vulnerability Important
Microsoft Office CVE-2025-62199 Microsoft Office Remote Code Execution Vulnerability Critical❗️
Microsoft Office Excel CVE-2025-62200 Microsoft Excel Remote Code Execution Vulnerability Important
Microsoft Office Excel CVE-2025-62201 Microsoft Excel Remote Code Execution Vulnerability Important
Microsoft Office Excel CVE-2025-60726 Microsoft Excel Information Disclosure Vulnerability Important
Microsoft Office Excel CVE-2025-62203 Microsoft Excel Remote Code Execution Vulnerability Important
Microsoft Office Excel CVE-2025-62202 Microsoft Excel Information Disclosure Vulnerability Important
Microsoft Office Excel CVE-2025-60727 Microsoft Excel Remote Code Execution Vulnerability Important
Microsoft Office Excel CVE-2025-60728 Microsoft Excel Information Disclosure Vulnerability Important
Microsoft Office Excel CVE-2025-59240 Microsoft Excel Information Disclosure Vulnerability Important
Microsoft Office SharePoint CVE-2025-62204 Microsoft SharePoint Remote Code Execution Vulnerability Important
Microsoft Office Word CVE-2025-62205 Microsoft Office Remote Code Execution Vulnerability Important
Microsoft Streaming Service CVE-2025-59514 Microsoft Streaming Service Proxy Elevation of Privilege Vulnerability Important
Microsoft Wireless Provisioning System CVE-2025-62218 Microsoft Wireless Provisioning System Elevation of Privilege Vulnerability Important
Microsoft Wireless Provisioning System CVE-2025-62219 Microsoft Wireless Provisioning System Elevation of Privilege Vulnerability Important
Multimedia Class Scheduler Service (MMCSS) CVE-2025-60707 Multimedia Class Scheduler Service (MMCSS) Driver Elevation of Privilege Vulnerability Important
Nuance PowerScribe CVE-2025-30398 Nuance PowerScribe 360 Information Disclosure Vulnerability Critical❗️
OneDrive for Android CVE-2025-60722 Microsoft OneDrive for Android Elevation of Privilege Vulnerability Important
Role: Windows Hyper-V CVE-2025-60706 Windows Hyper-V Information Disclosure Vulnerability Important
SQL Server CVE-2025-59499 Microsoft SQL Server Elevation of Privilege Vulnerability Important
Storvsp.sys Driver CVE-2025-60708 Storvsp.sys Driver Denial of Service Vulnerability Important
Visual Studio CVE-2025-62214 Visual Studio Remote Code Execution Vulnerability Critical❗️
Visual Studio Code CoPilot Chat Extension CVE-2025-62449 Microsoft Visual Studio Code CoPilot Chat Extension Security Feature Bypass Vulnerability Important
Visual Studio Code CoPilot Chat Extension CVE-2025-62222 Agentic AI and Visual Studio Code Remote Code Execution Vulnerability Important
Windows Administrator Protection CVE-2025-60721 Windows Administrator Protection Elevation of Privilege Vulnerability Important
Windows Administrator Protection CVE-2025-60718 Windows Administrator Protection Elevation of Privilege Vulnerability Important
Windows Ancillary Function Driver for WinSock CVE-2025-62217 Windows Ancillary Function Driver for WinSock Elevation of Privilege Vulnerability Important
Windows Ancillary Function Driver for WinSock CVE-2025-60719 Windows Ancillary Function Driver for WinSock Elevation of Privilege Vulnerability Important
Windows Ancillary Function Driver for WinSock CVE-2025-62213 Windows Ancillary Function Driver for WinSock Elevation of Privilege Vulnerability Important
Windows Bluetooth RFCOM Protocol Driver CVE-2025-59513 Windows Bluetooth RFCOM Protocol Driver Information Disclosure Vulnerability Important
Windows Broadcast DVR User Service CVE-2025-59515 Windows Broadcast DVR User Service Elevation of Privilege Vulnerability Important
Windows Broadcast DVR User Service CVE-2025-60717 Windows Broadcast DVR User Service Elevation of Privilege Vulnerability Important
Windows Client-Side Caching (CSC) Service CVE-2025-60705 Windows Client-Side Caching Elevation of Privilege Vulnerability Important
Windows Common Log File System Driver CVE-2025-60709 Windows Common Log File System Driver Elevation of Privilege Vulnerability Important
Windows DirectX CVE-2025-59506 DirectX Graphics Kernel Elevation of Privilege Vulnerability Important
Windows DirectX CVE-2025-60716 DirectX Graphics Kernel Elevation of Privilege Vulnerability Critical❗️
Windows DirectX CVE-2025-60723 DirectX Graphics Kernel Denial of Service Vulnerability Important
Windows Kerberos CVE-2025-60704 Windows Kerberos Elevation of Privilege Vulnerability Important
Windows Kernel CVE-2025-62215 Windows Kernel Elevation of Privilege Vulnerability Important
Windows License Manager CVE-2025-62208 Windows License Manager Information Disclosure Vulnerability Important
Windows License Manager CVE-2025-62209 Windows License Manager Information Disclosure Vulnerability Important
Windows OLE CVE-2025-60714 Windows OLE Remote Code Execution Vulnerability Important
Windows Remote Desktop CVE-2025-60703 Windows Remote Desktop Services Elevation of Privilege Vulnerability Important
Windows Routing and Remote Access Service (RRAS) CVE-2025-62452 Windows Routing and Remote Access Service (RRAS) Remote Code Execution Vulnerability Important
Windows Routing and Remote Access Service (RRAS) CVE-2025-59510 Windows Routing and Remote Access Service (RRAS) Denial of Service Vulnerability Important
Windows Routing and Remote Access Service (RRAS) CVE-2025-60715 Windows Routing and Remote Access Service (RRAS) Remote Code Execution Vulnerability Important
Windows Routing and Remote Access Service (RRAS) CVE-2025-60713 Windows Routing and Remote Access Service (RRAS) Elevation of Privilege Vulnerability Important
Windows Smart Card CVE-2025-59505 Windows Smart Card Reader Elevation of Privilege Vulnerability Important
Windows Speech CVE-2025-59507 Windows Speech Runtime Elevation of Privilege Vulnerability Important
Windows Speech CVE-2025-59508 Windows Speech Recognition Elevation of Privilege Vulnerability Important
Windows Speech CVE-2025-59509 Windows Speech Recognition Information Disclosure Vulnerability Important
Windows Subsystem for Linux GUI CVE-2025-62220 Windows Subsystem for Linux GUI Remote Code Execution Vulnerability Important
Windows TDX.sys CVE-2025-60720 Windows Transport Driver Interface (TDI) Translation Driver Elevation of Privilege Vulnerability Important
Windows WLAN Service CVE-2025-59511 Windows WLAN Service Elevation of Privilege Vulnerability Important