2025 | 2024 | 2023 | 2022 | 2021

Recent onderzoek heeft drie kwetsbaarheden geïdentificeerd in de Graphics Device Interface (GDI) van Windows. Deze kwetsbaarheden, CVE-2025-30388, CVE-2025-53766 en CVE-2025-47984, kunnen leiden tot externe code-executie, onterechte toegang tot geheugengegevens en de mogelijkheid voor aanvallers om kritieke gegevens over het netwerk te onthullen. De kwetsbaarheden werden ontdekt door middel van een fuzzing-campagne gericht op Windows GDI en kunnen worden uitgebuit via speciaal aangepaste EMF+ metafiles. De kwetsbaarheden zijn inmiddels door Microsoft gepatcht in de Patch Tuesday-updates van mei, juli en augustus 2025. Desondanks blijft het belangrijk om kwetsbaarheden actief te monitoren en te verhelpen, aangezien gedeeltelijke fixes in het verleden niet altijd effectief waren.

Bron 1

Op 3 november 2025 missen nog steeds 74 DNS-servers in Nederland en 18 in België een essentiële beveiligingsupdate voor twee ernstige kwetsbaarheden in BIND 9, de populairste DNS-software. Deze kwetsbaarheden kunnen leiden tot cache poisoning, waarbij aanvallers DNS-servers vervalste informatie laten verstrekken, waardoor gebruikers naar malafide websites worden geleid. Het Nationaal Cyber Security Centrum (NCSC) waarschuwde voor mogelijk misbruik van deze kwetsbaarheden. De kwetsbaarheden (CVE-2025-40778 en CVE-2025-40780) betreffen respectievelijk een zwakte in de Pseudo Random Number Generator en de acceptatie van onbetrouwbare DNS-records. Meer dan 8200 DNS-servers wereldwijd, missen de benodigde updates. Dit verhoogt het risico op aanvallen. Updates werden eind oktober gepubliceerd, maar veel servers zijn nog steeds kwetsbaar.

Bron 1

Een recente noodpatch voor een kwetsbaarheid in de Windows Server Update Services (WSUS) heeft hotpatching op sommige Windows Server 2025-systemen geblokkeerd. De update, KB5070881, werd uitgebracht om de CVE-2025-59287-kwetsbaarheid te verhelpen, die actief werd misbruikt door cybercriminelen. Deze kwetsbaarheid kan leiden tot remote code execution (RCE) aanvallen. De patch werd al snel teruggetrokken voor systemen die hotpatching gebruiken, nadat het probleem werd ontdekt. In plaats van de hotpatch-methode ontvangen getroffen systemen nu reguliere updates, die een herstart vereisen. Microsoft raadt beheerders aan de gecorrigeerde patch KB5070893 te installeren, die geen problemen veroorzaakt met hotpatching. Het probleem heeft impact op machines die zijn ingeschreven voor hotpatching, maar degenen die deze update nog niet hebben geïnstalleerd, kunnen de nieuwe patch zonder problemen toepassen.

Bron 1

Een beveiligingsprobleem met de AzureHound-tool is onlangs ontdekt. Deze tool, die bedoeld is voor het exporteren van gegevens vanuit Azure voor gebruik in BloodHound, werd misbruikt door cybercriminelen om gevoelige gegevens te verkrijgen. De exploitatie van AzureHound biedt aanvallers toegang tot Azure Active Directory-omgevingen en kan leiden tot escalatie van privileges binnen systemen. Palo Alto Networks heeft een gedetailleerde analyse van het misbruik gepresenteerd in hun rapport. Het gebruik van AzureHound door kwaadwillende actoren kan een bedreiging vormen voor organisaties die afhankelijk zijn van Azure voor hun cloudinfrastructuur. Het incident benadrukt de kwetsbaarheid van cloudgebaseerde systemen voor aanvallen en het belang van robuuste beveiligingsmaatregelen in dergelijke omgevingen.

Bron 1

Er is een kritieke kwetsbaarheid ontdekt in de Post SMTP-plug-in voor WordPress, die actief wordt misbruikt door aanvallers. De kwetsbaarheid, aangeduid als CVE-2025-11833, stelt ongeauthenticeerde aanvallers in staat om op afstand e-mails te lezen die naar de logbestanden van websites worden gestuurd, inclusief wachtwoordreset-links. Dit stelt hen in staat om wachtwoorden van beheerdersaccounts te resetten en de volledige controle over de website te verkrijgen. De impact van de kwetsbaarheid is beoordeeld met een 9,8 op een schaal van 10. Hoewel er sinds 29 oktober een beveiligingsupdate beschikbaar is, hebben nog ongeveer 200.000 websites de update niet geïnstalleerd. Sinds 1 november zijn aanvallers begonnen met het misbruiken van de kwetsbaarheid. De plug-in wordt door meer dan 400.000 websites gebruikt.

Bron 1, 2

Google heeft beveiligingsupdates uitgebracht voor Android om een ernstige kwetsbaarheid te verhelpen, aangeduid als CVE-2025-48593. Het probleem bevindt zich in het systeemcomponent van Android 13, 14, 15 en 16, en stelt aanvallers in staat om op afstand code uit te voeren zonder extra rechten. Deze kwetsbaarheid kan ernstige gevolgen hebben voor Android-apparaten, omdat kwaadwillenden toegang kunnen krijgen zonder de toestemming van de gebruiker. Naast deze kritieke kwetsbaarheid heeft Google ook een probleem gepatcht waarbij een aanvaller met toegang tot een apparaat de rechten kan verhogen. De updates zijn beschikbaar voor toestellen met Android 13 tot 16, maar niet alle apparaten zullen automatisch de updates ontvangen, vooral niet voor oudere modellen of toestellen die geen ondersteuning meer krijgen. Google heeft fabrikanten tijdig ingelicht zodat zij de benodigde updates konden ontwikkelen.

Bron 1

Apple heeft beveiligingsupdates uitgebracht voor iOS en macOS, gericht op meerdere kwetsbaarheden, voornamelijk privacygerelateerd. Deze lekken stellen apps in staat om toegang te krijgen tot gevoelige gebruikersdata, al geeft Apple geen details over de aard van deze gegevens. Ook zijn er kwetsbaarheden verholpen die apps in staat stelden om gebruikers te volgen of te fingerprinten. Een ander probleem betrof het camerabeeld, dat kon worden bekeken voordat de camerapermissie werd goedgekeurd. Fysieke toegang tot een apparaat stelde aanvallers in staat om "restricted content" of "sensitive user information" op een vergrendeld scherm te bekijken. Daarnaast werd een lek in de Mail-app gepatcht, waardoor trackingpixels konden worden geladen, zelfs als deze optie was uitgeschakeld. Safari had een kwetsbaarheid waardoor apps privacy-instellingen konden omzeilen. Gebruikers van macOS en iOS kunnen de updates installeren via de laatste versie van hun besturingssysteem.

1, 2, 3, 4

Hackers maken gebruik van een kritieke kwetsbaarheid in het JobMonster WordPress-thema, die hen in staat stelt beheerdersaccounts over te nemen. De kwetsbaarheid, geïdentificeerd als CVE-2025-5397, wordt veroorzaakt doordat de functie check_login() de identiteit van gebruikers niet goed verifieert, wat aanvallers in staat stelt de standaard authenticatie te omzeilen. Dit probleem beïnvloedt alle versies van het thema tot versie 4.8.1 en heeft een ernstige score van 9.8 op de CVSS-schaal. Het lek heeft alleen impact als de social login-functie is ingeschakeld, wat de mogelijkheid biedt voor aanvallers om zich voor te doen als beheerders zonder geldige inloggegevens. De kwetsbaarheid is inmiddels opgelost in versie 4.8.2 van JobMonster, en het wordt aanbevolen deze versie onmiddellijk te installeren. Gebruikers wordt ook aangeraden social login uit te schakelen, tweefactorauthenticatie in te schakelen en toeganglogs te controleren op verdachte activiteiten.

Bron 1, 2

Een ernstige kwetsbaarheid in het populaire React Native CLI-pakket stelde aanvallers in staat om op afstand besturingssysteemcommando’s uit te voeren. De kwetsbaarheid, aangeduid als CVE-2025-11953, heeft een CVSS-score van 9,8, wat wijst op de hoge ernst ervan. De kwetsbaarheid deed zich voor in het @react-native-community/cli-pakket, dat wereldwijd miljoenen ontwikkelaars ondersteunt bij het bouwen van mobiele applicaties. De kwetsbaarheid ontstaat doordat de Metro-ontwikkelserver verbinding maakt met externe interfaces in plaats van localhost en een endpoint "/open-url" heeft dat kwetsbaar is voor besturingssysteemcommando-injectie. Aanvallers konden via een speciaal gemaakte POST-aanvraag willekeurige commando’s uitvoeren. Meta heeft inmiddels een patch uitgebracht in versie 20.0.0. Ontwikkelaars die gebruikmaken van andere frameworks die niet de Metro-server gebruiken, werden niet getroffen door deze kwetsbaarheid.

Bron 1

AMD heeft een kritieke kwetsbaarheid onthuld in de Zen 5-processors, die de betrouwbaarheid van willekeurige getallengeneratie aantast, een essentieel onderdeel van moderne beveiliging. De fout, geïdentificeerd als CVE-2025-62626, betreft de RDSEED-instructie die gebruikt wordt om cryptografisch veilige willekeurige getallen te genereren, noodzakelijk voor encryptie en authenticatie. Door een defect in de implementatie van de RDSEED-instructie kan de instructie een waarde van nul teruggeven, terwijl ten onrechte succes wordt aangegeven via de carry flag. Dit creëert een gevaarlijke situatie waarin software denkt dat een geldig willekeurig getal is ontvangen, terwijl het in werkelijkheid een voorspelbare nulwaarde betreft. De kwetsbaarheid is van invloed op zowel 16-bits als 32-bits versies van de RDSEED-instructie, maar de 64-bits versie blijft onaangetast. AMD werkt aan microcode-updates en firmware-aanpassingen, die naar verwachting in november 2025 beschikbaar komen. Tot de updates uitgerold zijn, wordt aangeraden software-aanpassingen door te voeren.

Bron 1

Het Amerikaanse cyberagentschap CISA meldt dat een kritiek beveiligingslek in CentOS Web Panel actief wordt misbruikt. Het lek, geregistreerd als CVE-2025-48703, maakt het mogelijk dat een ongeauthenticeerde aanvaller op afstand code uitvoert zodra een geldige non-root gebruikersnaam bekend is. Volgens de onderzoeker waren in mei meer dan tweehonderdduizend installaties via Shodan zichtbaar, wat de potentiële blootstelling aanzienlijk maakt. De kwetsbaarheid heeft een impactscore van 9.0 en is verholpen in versie 0.9.8.1205 die afgelopen juni beschikbaar kwam. CISA bevestigt dat aanvallen plaatsvinden, maar verstrekt geen technische details. In juli meldden gebruikers al misbruik. Amerikaanse overheidsinstellingen die het panel gebruiken moeten uiterlijk 25 november de beveiligingsupdate installeren. Het bericht onderstreept de noodzaak om systemen die internetgericht draaien tijdig te patchen, vooral wanneer er publiek bewijs is van actieve exploitatie.

Bron 1

Er is een kwetsbaarheid ontdekt in Elastic Cloud Enterprise (ECE) versies 3.8.3 en 4.0.3 die kan leiden tot privilege escalation. De kwetsbaarheid, gemeld onder CVE-2025-37736, stelt een kwaadwillende met leesrechten in staat om API-eindpunten te benaderen die normaal gesproken niet toegankelijk zouden moeten zijn. Dit kan leiden tot ongeautoriseerde acties, zoals het aanmaken of verwijderen van gebruikers, het beheren van authenticatiesleutels en het beheren van serviceaccounts. Er is op dit moment geen bewijs van misbruik, maar het wordt sterk aanbevolen om de kwetsbaarheid te verhelpen door de betreffende updates onmiddellijk te installeren. Systemen moeten ook nauwlettend worden gemonitord om verdachte activiteiten te detecteren en snel te kunnen reageren bij een mogelijke inbreuk.

Bron 1, 2

Een kritieke kwetsbaarheid in de AI Engine-plugin voor WordPress heeft meer dan 100.000 actieve installaties blootgesteld aan privilege-escalatie-aanvallen. De kwetsbaarheid, geregistreerd als CVE-2025-11749, maakt het mogelijk voor onbevoegde aanvallers om bearer-tokens te extraheren en volledige administratieve controle over kwetsbare websites te verkrijgen. Deze zwakte werd ontdekt door beveiligingsonderzoeker Emiliano Versini en verantwoord gerapporteerd via het Wordfence Bug Bounty Programma. De kwetsbaarheid bevindt zich in de 'No-Auth URL'-instelling van de plugin, die tokens openbaar maakt via de /wp-json/ REST API. Door deze blootstelling kunnen aanvallers zich authentiseren en beheerdersrechten verkrijgen, waarmee ze kwaadaardige plugins kunnen uploaden, inhoud kunnen wijzigen of bezoekers naar schadelijke websites kunnen leiden. De ontwikkelaar van de plugin heeft een patch uitgebracht in versie 3.1.4 om de kwetsbaarheid te verhelpen. Gebruikers wordt aangeraden hun tokens onmiddellijk te vernieuwen.

Bron 1

Ransomware-aanvallen op Europese organisaties nemen sinds 2024 aanzienlijk toe, met 2.100 slachtoffers die tot nu toe zijn geregistreerd, wat een stijging van 13% betekent ten opzichte van het voorgaande jaar. Het VK, Duitsland, Italië, Frankrijk en Spanje worden het zwaarst getroffen, vooral in de sectoren productie, professionele diensten en technologie. Een belangrijke factor in de stijging van deze aanvallen is de integratie van kunstmatige intelligentie (AI) door cybercriminelen. AI wordt ingezet voor het verfijnen van phishing-aanvallen, het genereren van polymorfe code en het uitvoeren van geautomatiseerde verkenning van potentiële doelen. Daarnaast maken aanvallers gebruik van de Europese privacywetgeving om slachtoffers onder druk te zetten tijdens losgeldonderhandelingen. Diefstal van inloggegevens en het gebruik van niet-beheerde systemen zijn veelgebruikte technieken om ransomware te verspreiden. De inzet van AI maakt de aanvallen steeds moeilijker te detecteren en te stoppen.

Bron 1

Cisco heeft beveiligingsupdates uitgebracht voor een ernstige kwetsbaarheid in de Unified Contact Center Express (UCCX) software. Deze software, die wordt gebruikt door middelgrote bedrijven om callcenters te beheren, bevat twee kritieke beveiligingslekken: CVE-2025-20354 en CVE-2025-20358. Het gevaarlijkste lek, CVE-2025-20354, stelt ongeauthenticeerde aanvallers in staat om willekeurige bestanden te uploaden en commando's met rootrechten uit te voeren op de UCCX-server. De kwetsbaarheid heeft een impactscore van 9.8. De andere kwetsbaarheid, CVE-2025-20358, maakt het mogelijk om scripts met adminrechten uit te voeren, met een impactscore van 9.4. Cisco heeft geen meldingen van actief misbruik ontvangen, maar raadt klanten aan de beveiligingsupdates zo snel mogelijk te installeren.

Bron 1

QNAP heeft zeven zero-day kwetsbaarheden verholpen die tijdens de Pwn2Own 2025 competitie in Ierland werden misbruikt om netwerk-opslagapparaten (NAS) van het bedrijf te hacken. De kwetsbaarheden betroffen de besturingssystemen QTS en QuTS Hero, evenals verschillende QNAP-applicaties, zoals Hyper Data Protector en Malware Remover. Het exploiteren van deze kwetsbaarheden werd gedemonstreerd door diverse teams van onderzoekers. QNAP heeft updates uitgebracht voor de getroffen softwareversies en raadt gebruikers aan hun apparaten regelmatig bij te werken en wachtwoorden te veranderen voor extra beveiliging. Gebruikers kunnen de updates installeren via het Controlepaneel of de App Center in QTS en QuTS Hero.

Bron 1, 2, 3

Op 7 november 2025 werd een kritieke SQL-injectie kwetsbaarheid (CVE-2025-64459) in het populaire webtoepassingsframework Django bekendgemaakt. Deze kwetsbaarheid, die voorkomt in versies voor 5.2.8, 5.1.14 en 4.2.26, stelt aanvallers in staat ongeauthenticeerde SQL-injectie-aanvallen uit te voeren op databases die door Django-applicaties worden gebruikt. Het probleem ontstaat wanneer gebruikersinvoer via dynamische SQL-query’s wordt verwerkt zonder voldoende controle, waardoor aanvallers de mogelijkheid hebben om ongeoorloofde toegang te krijgen, gegevens te wijzigen of zelfs databaseaccounts over te nemen. De kwetsbaarheid heeft een hoge CVSS-score van 9.1 en kan aanzienlijke gevolgen hebben voor de vertrouwelijkheid en integriteit van gegevens. Het wordt sterk aanbevolen om de software te upgraden naar de nieuwste versies om verdere risico’s te vermijden.

Bron 1, 2

Drie recent ontdekte kwetsbaarheden in runC, de container-runtime die wordt gebruikt in Docker en Kubernetes, kunnen door aanvallers worden misbruikt om de isolatiebeperkingen van containers te omzeilen en toegang te krijgen tot het hostbesturingssysteem. De beveiligingsproblemen, geclassificeerd als CVE-2025-31133, CVE-2025-52565 en CVE-2025-52881, kunnen worden benut om schrijfrechten te verkrijgen op het onderliggende systeem met rootbevoegdheden. Dit kan leiden tot ernstige beveiligingsrisico's. De kwetsbaarheden hebben betrekking op versies van runC vóór en na versie 1.0.0-rc3, met beschikbare patches in latere versies. Er zijn momenteel geen meldingen van actieve exploits, maar deskundigen raden aan om voorzorgsmaatregelen te nemen, zoals het gebruik van rootless containers of het inschakelen van gebruikersnamenruimten om de impact van aanvallen te beperken.

Bron 1, 2, 3, 4, 5

Een ernstige kwetsbaarheid in de veelgebruikte expr-eval JavaScript bibliotheek, die meer dan 800.000 wekelijkse downloads heeft op NPM, maakt het mogelijk om op afstand code uit te voeren via schadelijk ingevoerde gegevens. De kwetsbaarheid, bekend als CVE-2025-12735, werd ontdekt door beveiligingsonderzoeker Jangwoo Choe. De kwetsbaarheid komt voort uit het niet valideren van variabelen in de functie Parser.evaluate(), waardoor een aanvaller kwaadaardige functieobjecten kan doorgeven die tijdens de evaluatie worden uitgevoerd. De beveiligingsscore is 9.8, wat de kwetsbaarheid als kritiek bestempelt. Zowel de originele expr-eval versie als de actieve fork (expr-eval-fork) worden getroffen. Een oplossing is beschikbaar in versie 3.0.0 van expr-eval-fork. Gebruikers van expr-eval wordt geadviseerd over te stappen op deze versie om verdere risico's te vermijden.

Bron 1, 2, 3, 4

Een ernstige kwetsbaarheid is ontdekt in de QuMagie-software versie 2.6.x van QNAP, een multimediaapplicatie voor QNAP NAS-systemen. Deze kwetsbaarheid, gecategoriseerd als SQL-injectie (CVE-2025-52425), kan een aanvaller in staat stellen om op afstand ongeautoriseerde code uit te voeren. De kwetsbaarheid heeft een hoge impact op de vertrouwelijkheid, integriteit en beschikbaarheid van gegevens en systemen. Hoewel er momenteel geen aanwijzingen zijn dat de kwetsbaarheid actief wordt misbruikt, wordt sterk aanbevolen om kwetsbare apparaten bij te werken naar versie 2.7.0 of hoger. Organisaties moeten hun monitoringcapaciteiten versterken om verdachte activiteiten snel te detecteren. Het is cruciaal om de nieuwste updates te installeren en de impact van eerdere compromitteringen te beoordelen.

Bron 1

CISA heeft een kritieke kwetsbaarheid (CVE-2025-21042) in Samsung Galaxy-smartphones toegevoegd aan de Known Exploited Vulnerabilities (KEV)-database. De kwetsbaarheid betreft een library voor afbeeldingsverwerking, die aanvallers in staat stelt willekeurige code uit te voeren op kwetsbare apparaten. Deze kwetsbaarheid kan via geprepareerde DNG-afbeeldingen via WhatsApp worden verspreid en maakt het mogelijk dat de Landfall-spyware op de smartphone wordt geïnstalleerd. Het lek werd in september 2024 aan Samsung gemeld en in april 2025 gedicht. Desondanks wordt het sinds medio 2024 actief misbruikt. De KEV-database helpt organisaties bij het prioriteren van noodzakelijke patches door kwetsbaarheden die actief worden misbruikt te markeren. CISA adviseert gebruikers om updates te installeren om zich tegen deze bedreiging te beschermen.

Bron 1

Hackers hebben een kwetsbaarheid in Triofox, een platform voor bestandsdeling en externe toegang, misbruikt om op systemen kwaadaardige toegangstools te installeren. De kwetsbaarheid, CVE-2025-12480, stelde aanvallers in staat om authenticatie te omzeilen en toegang te krijgen tot de configuratiepagina's van het platform. Via deze toegang konden zij een nieuwe beheerder aanmaken, die vervolgens werd gebruikt om kwaadaardige bestanden te uploaden en uit te voeren. Deze bestanden werden gedownload via de ingebouwde antivirusfunctie van Triofox, die door de aanvallers werd geconfigureerd om scripts uit te voeren. De gecompromitteerde systemen werden gebruikt voor verdere verkenning en het escaleren van privileges door gebruikerswachtwoorden te wijzigen. Gebruikers van Triofox wordt aangeraden hun systemen te updaten naar de laatste versie en de antivirusinstellingen te controleren om ongeautoriseerde scripts te voorkomen.

Bron 1, 2

SAP heeft zijn november 2025 beveiligingsupdates uitgebracht, waarin meerdere kwetsbaarheden worden aangepakt. Een van de belangrijkste kwetsbaarheden betreft hardcoded inloggegevens in de niet-GUI versie van de SQL Anywhere Monitor, aangeduid als CVE-2025-42890. Deze kwetsbaarheid heeft de hoogste ernstscore van 10,0 en kan aanvallers in staat stellen om willekeurige code uit te voeren door toegang te krijgen tot beheerdersfunctionaliteiten. Daarnaast is er een kritieke code-injectiekwetsbaarheid in de SAP Solution Manager (CVE-2025-42887), die de integriteit van het systeem in gevaar kan brengen. Beide kwetsbaarheden kunnen leiden tot volledige controle over de getroffen systemen. SAP adviseert gebruikers om de updates zo snel mogelijk toe te passen om deze risico’s te mitigeren. De updates verhelpen ook andere kwetsbaarheden met een lagere ernstscore.

Bron 1

Op de Patch Tuesday van november 2025 heeft Microsoft een reeks beveiligingsupdates uitgebracht voor 63 kwetsbaarheden, waaronder een actief misbruikte zero-day in de Windows Kernel. Deze kwetsbaarheid, CVE-2025-62215, maakt het mogelijk voor aanvallers om systeemprivileges te verkrijgen via een race-conditie in de kernel. Naast deze zero-day zijn er vier andere ernstige kwetsbaarheden verholpen, waaronder twee voor remote code execution, één voor privilege escalation, en één voor informatielekken. In totaal betreft het 29 privilege-escalatie kwetsbaarheden, 16 voor remote code execution, en diverse andere, waaronder beveiligingsomzeilingen en denial of service. Gebruikers van Windows 10 wordt geadviseerd om over te stappen naar Windows 11 of het Extended Security Update-programma te volgen, aangezien de ondersteuning voor Windows 10 afloopt. Deze maand is ook de eerste ESU-update voor Windows 10 uitgerold.

Overzicht

Microsoft heeft op 11 november 2025 de cumulatieve updates KB5068861 en KB5068865 uitgebracht voor Windows 11 versies 25H2, 24H2 en 23H2. Deze updates richten zich op de oplossing van beveiligingskwetsbaarheden, bugfixes en de toevoeging van nieuwe functies. De updates zijn verplicht, aangezien ze de Patch Tuesday-beveiligingspatches voor november 2025 bevatten, die kwetsbaarheden verhelpen die eerder dit jaar werden ontdekt. De belangrijkste wijzigingen omvatten een vernieuwde startmenu-interface, verbeterde batterij-indicatoren op het vergrendelingsscherm en nieuwe instellingen voor Microsoft 365 Copilot voor commerciële apparaten. Verder zijn er diverse bugfixes doorgevoerd voor onder andere de taakbalk, bestandsverkenner en instellingen. Microsoft heeft aangegeven dat dit de laatste update is voor versie 23H2, aangezien de ondersteuning voor deze versie nu eindigt. Er zullen geen optionele updates in december worden uitgebracht, maar de Patch Tuesday-updates gaan zoals gepland door.

Bron 1

Microsoft heeft de KB5068781-update uitgebracht, de eerste Extended Security Update (ESU) voor Windows 10, nadat de ondersteuning voor dit besturingssysteem vorige maand eindigde. Deze update is beschikbaar voor zowel consumenten als zakelijke klanten die zich hebben aangemeld voor de ESU, wat hen tot drie jaar lang toegang biedt tot beveiligingsupdates. De update verhelpt een foutmelding die ten onrechte aangeeft dat Windows 10 LTSC-apparaten de ondersteuning hebben bereikt, terwijl deze in werkelijkheid doorloopt tot januari 2027. De update bevat ook de maandelijkse Patch Tuesday-beveiligingspatches, die 63 kwetsbaarheden aanpakken, inclusief één voor een actief misbruikte escalatie-van-privilegeskwetsbaarheid. Dit is een verplichte update, die automatisch wordt geïnstalleerd en gebruikers vraagt hun apparaat opnieuw op te starten na de installatie.

Synology heeft een kritieke kwetsbaarheid verholpen in zijn BeeStation-producten, die werd gedemonstreerd tijdens de Pwn2Own hackingwedstrijd in Ierland. De kwetsbaarheid (CVE-2025-12686) betreft een probleem waarbij de grootte van de invoer niet wordt gecontroleerd, wat kan leiden tot remote code execution (RCE). Deze kwetsbaarheid beïnvloedt meerdere versies van BeeStation OS, dat wordt gebruikt in Synology’s netwerkopslagapparaten, welke bedoeld zijn voor consumenten als "persoonlijke cloud". De kwetsbaarheid werd door onderzoekers van Synacktiv, Tek en anyfun, met succes uitgebuit tijdens de wedstrijd, waarvoor ze een beloning van $40.000 ontvingen. Synology raadt gebruikers aan om BeeStation OS bij te werken naar versie 1.3.2-65648 of hoger om de kwetsbaarheid te verhelpen.

Bron 1, 2

Een beveiligingsfout is ontdekt in de Zoom Workplace VDI Client voor Windows, waardoor aanvallers de mogelijkheid krijgen om hun privileges op kwetsbare systemen te verhogen. De kwetsbaarheid, gemarkeerd als CVE-2025-64740, heeft een hoge ernst met een CVSS-score van 7,5. Deze zwakte wordt veroorzaakt door onjuiste verificatie van cryptografische handtekeningen in de installatie van de Zoom-software. Wanneer misbruikt, kan een aanvaller met lokale toegang hogere beheerdersrechten verkrijgen, wat kan leiden tot ongeautoriseerde commando's, toegang tot gevoelige gegevens of het compromitteren van de systeembetrouwbaarheid. De fout komt voor in versies van de Zoom Workplace VDI Client vóór 6.3.14, 6.4.12 en 6.5.10. Hoewel de kwetsbaarheid enige interactie van de gebruiker vereist, blijft de impact significant, vooral in bedrijfsomgevingen waar Zoom veel gebruikt wordt. Zoom heeft updates uitgebracht om het probleem te verhelpen en beveelt aan dat gebruikers zo snel mogelijk upgraden.

Bron 1

Geavanceerde dreigingsactoren hebben de kritieke kwetsbaarheden "Citrix Bleed 2" (CVE-2025-5777) in NetScaler ADC en Gateway, en CVE-2025-20337 in Cisco Identity Service Engine (ISE) uitgebuit als zero-days voor het implementeren van op maat gemaakte malware. De aanval werd gedetecteerd door Amazon's threat intelligence team, dat ontdekte dat de kwetsbaarheden al werden misbruikt vóór de publieke bekendmaking en de beschikbaarheid van patches. De Citrix-kwetsbaarheid, die een geheugenlekkage veroorzaakte, werd in juni gepatcht, terwijl de kwetsbaarheid in Cisco ISE, die pre-authenticatie toegang verleende, in juli werd aangekondigd. De aanvallers gebruikten deze kwetsbaarheden om een op maat gemaakte webshell te installeren, waarmee ze ongeautoriseerde toegang verkregen tot systemen. Deze aanvallen wijzen op een goed georganiseerde en goed uitgeruste dreigingsactor. Het wordt aanbevolen om de beschikbare beveiligingsupdates onmiddellijk toe te passen.

Bron 1

De Amerikaanse CISA (Cybersecurity & Infrastructure Security Agency) heeft een waarschuwing uitgegeven voor een ernstige kwetsbaarheid in WatchGuard Firebox firewalls, welke actief wordt misbruikt in cyberaanvallen. De kwetsbaarheid, aangeduid als CVE-2025-9242, stelt aanvallers in staat om op afstand kwaadaardige code uit te voeren op kwetsbare apparaten door een out-of-bounds schrijfzwakte in de Fireware OS 11.x, 12.x en 2025.1 versies. CISA heeft deze kwetsbaarheid toegevoegd aan de lijst van Bekende Exploiteerbare Kwetsbaarheden (KEV) en gaf overheidsinstanties tot 3 december de tijd om hun systemen te patchen. WatchGuard had in september al beveiligingspatches uitgebracht, maar bevestigde pas eind oktober dat de kwetsbaarheid actief werd misbruikt. Wereldwijd zijn er nog duizenden kwetsbare apparaten, waarvan 601 in Nederland en 1154 in België. Organisaties wordt aangeraden om deze kwetsbaarheid zo snel mogelijk te verhelpen.

Bron 1, 2

Microsoft heeft updates vrijgegeven om een ernstige kwetsbaarheid in SQL Server te verhelpen, die aanvallers in staat stelt om hogere systeemprivileges te verkrijgen. De kwetsbaarheid, aangeduid als CVE-2025-59499, werd op 11 november 2025 openbaar gemaakt en heeft invloed op meerdere versies van SQL Server, waaronder 2016, 2017, 2019 en 2022. Deze kwetsbaarheid is het gevolg van een onjuiste verwerking van speciale tekens in SQL-opdrachten, waardoor SQL-injectie-aanvallen mogelijk zijn. Het gevaar schuilt in het feit dat aanvallers met beperkte toegang via een netwerk de kwetsbaarheid kunnen misbruiken zonder enige gebruikersinteractie. Dit maakt de kwetsbaarheid bijzonder risicovol voor blootgestelde databaseservers. Wanneer deze wordt geëxploiteerd, kunnen aanvallers willekeurige opdrachten uitvoeren met verhoogde machtigingen, wat hen volledige controle over de SQL Server kan geven. Microsoft heeft patches uitgebracht om de systemen te beschermen tegen mogelijke misbruik.

Palo Alto Networks heeft een kritieke denial-of-service (DoS) kwetsbaarheid onthuld in zijn PAN-OS firewallsoftware, die aanvallers zonder authenticatie in staat stelt om firewalls op afstand opnieuw op te starten door middel van speciaal geconfigureerde pakketten. Deze kwetsbaarheid, gemarkeerd als CVE-2025-4619, heeft betrekking op de dataplane van de PAN-OS software. Aanvallers kunnen de fout misbruiken zonder gebruikersinteractie of inloggegevens. Bij succesvolle exploitatie kan de firewall onverwachts opnieuw opstarten, wat ernstige verstoringen in het netwerkverkeer kan veroorzaken. Herhaalde aanvallen kunnen de firewall zelfs in de onderhoudsmodus plaatsen, wat de werking van het netwerk aanzienlijk verstoort. De kwetsbaarheid heeft invloed op verschillende versies van PAN-OS, waaronder 10.2, 11.1 en 11.2, maar versie 12.1 is niet getroffen. Palo Alto Networks raadt organisaties aan om hun software bij te werken naar de nieuwste versies om het risico te mitigeren.

Een kwetsbaarheid in OpenAI's videomodel Sora 2 stelt aanvallers in staat om verborgen systeeminstellingen te extraheren via audiotranscripties. Deze ontdekking, gedeeld door het AI-beveiligingsbedrijf Mindgard, benadrukt de kwetsbaarheid van multimodale AI-systemen voor het lekken van prompts, die normaal gesproken verborgen zouden moeten blijven. Het onderzoek toont aan hoe creatieve prompts via tekst, beeld, video en audio de beveiligingsmaatregelen kunnen omzeilen die ontworpen zijn om interne instructies vertrouwelijk te houden. In plaats van de traditionele tekst-naar-tekst-benadering bleek audio een effectievere manier om de systeeminstellingen te extraheren, omdat het de ruis van visuele outputs vermijdt. De blootgelegde instructies omvatten regels over videoformaten en het vermijden van auteursrechtelijk beschermde of ongepaste inhoud. Hoewel de onmiddellijke risico’s van deze kwetsbaarheid laag zijn, roept de ontdekking op tot strengere maatregelen tegen misbruik, vooral met het oog op de opkomst van deepfake-technologieën en desinformatie.

Bron 1

De Akira-ransomware vormt nog steeds een ernstige dreiging voor organisaties wereldwijd. Daarom hebben CISA, FBI, Europol (EC3) en het Nederlandse NCSC een gezamenlijk advies uitgebracht binnen de #StopRansomware-campagne. Het document benadrukt dat organisaties hun systemen moeten bijwerken, kwetsbaarheden moeten verhelpen en een streng identity-, credential- en accessmanagementbeleid moeten hanteren volgens NIST-richtlijnen. De Akira-groep, actief sinds maart 2023, richt zich vooral op middelgrote bedrijven in sectoren als industrie, onderwijs, zorg, ICT en financiële dienstverlening. Sinds april 2023 worden naast Windows ook Linux-systemen aangevallen, waaronder VMware ESXi-omgevingen. De criminelen exploiteren onder meer de kwetsbaarheid CVE-2024-40766 in SonicWall-firewalls en zouden al meer dan 244 miljoen dollar hebben verdiend. Het advies waarschuwt dat de groep banden onderhoudt met bekende ransomwarecollectieven zoals Conti en Howling Scorpius.

Bron 1

Google meldt dat het aantal memory safety-kwetsbaarheden in Android met een factor duizend is afgenomen sinds het gebruik van de programmeertaal Rust. In vergelijking met oudere C- en C++-code is de kans op fouten aanzienlijk verminderd, terwijl codeaanpassingen vier keer minder vaak worden teruggedraaid en de tijd voor codebeoordeling met een kwart is gedaald. Google breidt het gebruik van Rust uit binnen de Android-softwarestack, waaronder de Linux-kernel, firmware en eigen apps. Ook werkt het bedrijf met partners zoals ARM en Collabora aan een GPU-driver in Rust voor kernelmodus. Ondanks de verbeterde veiligheid blijft de taal niet volledig vrij van risico’s. Een recente kwetsbaarheid, CVE-2025-48530, in de CrabbyAVIF-bibliotheek toont dit aan, maar dankzij de Scudo-hardened allocator kon exploitatie worden voorkomen.

Bron 1

Een kritieke kwetsbaarheid in de ImunifyAV-malwarescanner voor Linux-servers kan door kwaadwillenden worden misbruikt om willekeurige code op afstand uit te voeren. De fout bevindt zich in de AI-Bolit-component, die wordt gebruikt in Imunify360, ImunifyAV+ en de gratis ImunifyAV-versie. Door een gebrek aan validatie in de functie ‘call_user_func_array’ kunnen aanvallers schadelijke PHP-functies uitvoeren, zoals ‘system’ en ‘exec’. De fout treft miljoenen websites die draaien op gedeelde hostingplatforms, waaronder servers met cPanel en Plesk. Volgens Patchstack is de kwetsbaarheid eind oktober ontdekt, waarna leverancier CloudLinux op 10 november een beveiligingsupdate uitbracht naar versie 32.7.4.0. Ondanks het ontbreken van een CVE-nummer of actief misbruik in het wild, benadrukken onderzoekers dat het lek ernstige risico’s vormt voor de hostingomgeving. CloudLinux heeft inmiddels een whitelist-mechanisme toegevoegd om misbruik te voorkomen.

Bron 1

ASUS heeft een beveiligingsupdate uitgebracht voor een kritieke authenticatie-omzeilingskwetsbaarheid in meerdere DSL-serie routers. De fout, geregistreerd als CVE-2025-59367, maakt het mogelijk voor externe aanvallers om zonder inloggegevens toegang te krijgen tot niet-gepatchte apparaten. De kwetsbaarheid vereist geen gebruikersinteractie en kan leiden tot ongeautoriseerde controle over het systeem. De getroffen modellen zijn onder andere de DSL-AC51, DSL-N16 en DSL-AC750. De fabrikant heeft firmwareversie 1.1.2.3_1010 gepubliceerd om het lek te dichten. Hoewel er nog geen aanwijzingen zijn voor actieve exploitatie, waarschuwt ASUS dat dergelijke routerlekken vaak worden gebruikt om apparaten op te nemen in botnetnetwerken die voor DDoS-aanvallen worden ingezet. Eerdere kwetsbaarheden in ASUS-routers zijn in het verleden actief misbruikt door geavanceerde actoren, wat het belang van tijdige updates benadrukt.

Bron 1

Op 12 november 2025 werden twee kritieke kwetsbaarheden (CVE-2025-11366 en CVE-2025-11367) ontdekt in de N-able N-Central software, die wordt gebruikt voor remote monitoring en management. De kwetsbaarheden stellen aanvallers in staat om op afstand zonder gebruikersinteractie code uit te voeren. De eerste kwetsbaarheid betreft een Path Traversal-zwakte, terwijl de tweede gaat over het deserialiseren van onbetrouwbare gegevens. Beide kwetsbaarheden kunnen leiden tot ongeautoriseerde toegang, systeemcompromittatie en gegevensdiefstal. Het exploiteren van deze kwetsbaarheden heeft een hoge impact op de vertrouwelijkheid, integriteit en beschikbaarheid van systemen. Organisaties wordt aangeraden de software onmiddellijk te patchen en hun monitoringcapaciteiten te versterken om verdachte activiteiten snel te detecteren.

Bron 1, 2

Op 14 november 2025 werd een kritieke kwetsbaarheid gemeld in Dell Data Lakehouse (CVE-2025-46608), die te maken heeft met onterecht toegangsbeheer. De kwetsbaarheid is aanwezig in versies vóór 1.6.0.0 en kan door een aanvaller met hoge privileges worden misbruikt om verdere escalatie van rechten te verkrijgen, wat leidt tot volledige controle over het systeem. Deze kwetsbaarheid heeft aanzienlijke impact op de vertrouwelijkheid, integriteit en beschikbaarheid van de getroffen systemen. Er is momenteel geen bewijs van exploitatie, maar het wordt sterk aanbevolen om systemen zo snel mogelijk te patchen naar versie 1.6.0.0 of hoger. Daarnaast wordt aanbevolen om de monitoring- en detectiemogelijkheden te verbeteren om verdachte activiteiten tijdig te herkennen en erop te reageren.

Bron 1

Op 14 november 2025 zijn ernstige beveiligingslekken ontdekt in IBM AIX- en VIOS-systemen, specifiek binnen de NIM-server. De kwetsbaarheden, variërend van CVSS 8,2 tot 10, maken het mogelijk voor aanvallers om op afstand willekeurige commando's uit te voeren, vertrouwelijke gegevens te stelen en bestandsstructuren te manipuleren. Deze zwakheden kunnen ernstige gevolgen hebben voor de bedrijfsvoering en de vertrouwelijkheid, integriteit en beschikbaarheid van systemen. De kwetsbaarheden zijn gecategoriseerd als CVE-2025-36251, CVE-2025-36250, CVE-2025-36096 en CVE-2025-36236. Organisaties wordt dringend aangeraden om de nodige beveiligingsupdates zo snel mogelijk door te voeren, na grondige tests. Daarnaast wordt het versterken van monitoring- en detectiemogelijkheden aanbevolen om verdachte activiteiten snel te kunnen identificeren.

Bron 1

Er zijn ernstige kwetsbaarheden ontdekt in PostgreSQL pgAdmin tot en met versie 9.9, waaronder LDAP-injectie, TLS-certificaatverificatieomzeiling en remote code execution. De kwetsbaarheden, gelabeld als CVE-2025-12762, CVE-2025-12764 en CVE-2025-12765, kunnen ernstige risico’s veroorzaken, zoals het uitvoeren van willekeurige code op kwetsbare systemen, het blootstellen van vertrouwelijke gegevens en verstoring van bedrijfsprocessen. Een van de kwetsbaarheden kan leiden tot Denial of Service door LDAP-injectie, terwijl een andere de integriteit van versleutelde communicatie ondermijnt door de omzeiling van TLS-certificaatverificatie. De meest kritieke kwetsbaarheid maakt het mogelijk om remote code execution uit te voeren tijdens het herstellen van dumpbestanden. Het wordt sterk aanbevolen om de systemen bij te werken naar de nieuwste versie en verdachte activiteiten nauwlettend te monitoren.

Bron 1, 2, 3

Onderzoekers hebben ernstige kwetsbaarheden ontdekt in AI-inferentie-engines van grote bedrijven, waaronder Meta, Nvidia en Microsoft, evenals in open-sourceprojecten zoals PyTorch. De kwetsbaarheden, die leiden tot remote code execution (RCE), hebben een gemeenschappelijke oorzaak: de onveilige toepassing van ZeroMQ en Python's pickle-deserialisatie. Dit probleem, bekend als ShadowMQ, is verspreid door codehergebruik tussen verschillende projecten, waardoor dezelfde kwetsbaarheden in meerdere platforms zijn geïntroduceerd. De kwetsbaarheden in Meta’s Llama framework (CVE-2024-50050) en andere engines zoals Nvidia’s TensorRT-LLM en Microsoft’s Sarathi-Serve maken het mogelijk voor aanvallers om kwaadaardige code uit te voeren door het verzenden van manipulatiegegevens via onveilige verbindingen. De kwetsbaarheden kunnen leiden tot modeldiefstal, privilege-escalatie en het uitvoeren van schadelijke payloads zoals cryptocurrency-miners. De meeste van deze kwetsbaarheden zijn inmiddels gepatcht, maar sommige blijven onopgelost.

Bron 1

Een ernstige beveiligingsfout in de Cisco Catalyst Center Virtual Appliance is ontdekt, die aanvallers met beperkte toegang in staat stelt om volledige beheerderscontrole over getroffen systemen te verkrijgen. De kwetsbaarheid, geïdentificeerd als CVE-2025-20341, heeft betrekking op virtuele appliances die draaien op VMware ESXi en heeft een hoge ernst, met een CVSS-score van 8.8. Dit vormt een aanzienlijke bedreiging voor organisaties die deze systemen gebruiken voor netwerkbeheer en -monitoring.

De kwetsbaarheid is het gevolg van inadequate invoervalidatie binnen het systeem. Wanneer gebruikers gegevens via webverzoeken indienen, controleert de software deze informatie niet op de juiste manier. Deze fout biedt aanvallers de mogelijkheid om speciaal ontworpen HTTP-verzoeken te sturen die het systeem misleiden en hen hogere rechten toekennen. Het risico is bijzonder groot omdat de aanval op afstand kan worden uitgevoerd, wat het gevaar voor blootgestelde systemen vergroot.

Wat deze kwetsbaarheid nog zorgwekkender maakt, is dat aanvallers slechts basis toegangsgegevens nodig hebben om deze te exploiteren. Iemand met alleen leesrechten, typisch toegewezen aan gebruikers die systeeminformatie moeten kunnen bekijken, kan deze fout gebruiken om zijn rechten te verhogen tot beheerdersniveau. Zodra aanvallers beheerdersrechten verkrijgen, kunnen ze nieuwe gebruikersaccounts aanmaken, systeeminstellingen aanpassen en andere ongeautoriseerde acties uitvoeren die de beveiliging van het gehele netwerk in gevaar brengen.

Cisco heeft bevestigd dat er geen openbare exploitatie van deze kwetsbaarheid is waargenomen, wat organisaties de kans geeft om hun systemen te patchen voordat grootschalige aanvallen beginnen. De kwetsbaarheid treft Cisco Catalyst Center Virtual Appliance versies 2.3.7.3-VA en latere versies. Cisco heeft versie 2.3.7.10-VA uitgebracht als de gepatchte versie die dit beveiligingsprobleem verhelpt. Organisaties die getroffen versies draaien, wordt aangeraden om onmiddellijk naar deze nieuwe versie te upgraden.

De kwetsbaarheid is alleen van toepassing op virtuele appliances die draaien op VMware ESXi. Hardware-appliances en AWS-gebaseerde virtuele appliances worden niet door dit probleem getroffen. Omdat er geen tijdelijke oplossingen beschikbaar zijn, is een software-update de enige effectieve manier om bescherming tegen deze kwetsbaarheid te bieden.

Bron 1

Google heeft recent beveiligingsupdates vrijgegeven om een kwetsbaarheid in de JavaScript-engine V8 van de Chrome-browser te verhelpen. Het probleem, aangeduid als CVE-2025-13223, wordt momenteel actief misbruikt door cybercriminelen. De kwetsbaarheid bevindt zich in V8, die wordt gebruikt door Chrome en andere browsers voor het uitvoeren van JavaScript-code. Google heeft de kwetsbaarheid als 'high' geclassificeerd, wat betekent dat aanvallers mogelijk code kunnen uitvoeren binnen de context van de browser. Dit kan leiden tot het uitlekken of manipuleren van gevoelige gegevens, zoals inloggegevens of persoonlijke informatie.

De kwetsbaarheid werd op 12 november gemeld door de Google Threat Analysis Group, die verantwoordelijk is voor het detecteren van aanvallen door overheden en andere gerichte aanvallers. Hoewel Google geen specifieke details heeft gegeven over de waargenomen aanvallen, is de impact aanzienlijk. Gebruikers kunnen gevoelige informatie verliezen of last krijgen van andere schadelijke gevolgen. Het lek kan niet op zichzelf een systeem volledig overnemen, maar zou, in combinatie met andere kwetsbaarheden, wel kunnen worden gebruikt voor verdere aanvallen.

Om het probleem te verhelpen, heeft Google de update naar versie 142.0.7444.175/.176 van Chrome uitgerold voor Windows en macOS, en versie 142.0.7444.175 voor Linux. De update wordt doorgaans automatisch geïnstalleerd, maar gebruikers kunnen handmatig controleren of zij de nieuwste versie hebben geïnstalleerd. Voor Microsoft Edge, dat is gebaseerd op dezelfde Chromium-engine als Chrome, is er op dit moment nog geen update beschikbaar. Eerdere waarschuwingen van Google voor vergelijkbare kwetsbaarheden in juni en september van dit jaar benadrukken de voortdurende dreiging van aanvallen op de V8-engine.

Bron 1, 2, 3

Een kwetsbaarheid in het systeem van DoorDash maakte het mogelijk voor kwaadwillenden om e-mails te versturen die volledig op officiële DoorDash-correspondentie leken. Deze kwetsbaarheid stelde aanvallers in staat om via het DoorDash for Business-platform e-mails te genereren die uit de naam van het bedrijf werden verzonden, zonder dat ze gemarkeerd werden als verdachte berichten. Dit creëerde een ideale mogelijkheid voor phishingcampagnes, waarin aanvallers zich voordeden als DoorDash om vertrouwelijke informatie van slachtoffers te verkrijgen.

De kwetsbaarheid werd ontdekt door een beveiligingsonderzoeker die aantoonde dat een invoerveld voor 'budgetnaam' op het platform onvoldoende werd gecontroleerd. Hierdoor konden aanvallers kwaadaardige HTML-code in de e-mail plaatsen, wat leidde tot de mogelijkheid om onveilige links of bijlagen te verspreiden. Het systeem van DoorDash stuurde de e-mail vervolgens door zonder enige waarschuwing, waardoor het leek alsof het een betrouwbare communicatie was van het bedrijf.

Na de ontdekking van de kwetsbaarheid werd deze snel gepatcht, maar de communicatie tussen de onderzoeker en DoorDash leidde tot een controversiële situatie. De onderzoeker klaagde dat het bedrijf de kwetsbaarheid te lang had genegeerd, wat mogelijk risico's voor de digitale veiligheid heeft vergroot. De kwestie legt de spanningen bloot over de ethiek van kwetsbaarheidsrapportage, waarbij bedrijven en beveiligingsonderzoekers soms verschillende verwachtingen hebben over de omgang met ontdekte problemen.

Bron 1, 2

Fortinet heeft opnieuw gewaarschuwd voor een actief misbruik van een beveiligingslek in de FortiWeb-firewall, een apparaat dat bedoeld is om applicaties te beschermen tegen aanvallen. De kwetsbaarheid, aangeduid als CVE-2025-58034, maakt het mogelijk voor geauthenticeerde aanvallers om via HTTP-requests OS-commando’s op de firewall uit te voeren, wat kan leiden tot compromittering van het apparaat. Deze kwetsbaarheid werd eerder al gepatcht in versies 8.0.2, 7.6.6, 7.4.11, 7.2.12 en 7.0.12, maar de kwetsbaarheid werd niet vermeld in de release notes van de updates.

Onlangs bevestigde Fortinet dat er ook andere kwetsbaarheden actief werden misbruikt, waaronder een eerder gepatchte kwetsbaarheid (CVE-2025-64446), maar wederom zonder melding in de betreffende updates. Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft federale overheidsinstanties opgedragen de patch voor CVE-2025-58034 binnen een week te implementeren. Het CISA hanteert doorgaans een drie weken termijn voor dergelijke patches, maar heeft vanwege de ernst van de situatie besloten een versnelde aanpak toe te passen.

Deze herhaalde waarschuwingen benadrukken de voortdurende risico's die voortkomen uit het niet adequaat communiceren van kwetsbaarheden in beveiligingsproducten en de noodzaak voor bedrijven en overheidsinstanties om tijdig patches toe te passen.

Bron 1, 2

Op 19 november 2025 werd een ernstige kwetsbaarheid ontdekt in Emby Server, versie 4.8.1.0 en eerdere versies, die het mogelijk maakt voor aanvallers om op afstand kwaadaardige code uit te voeren. Deze kwetsbaarheid, aangeduid als CVE-2025-64325, heeft een CVSS-score van 8.4, wat wijst op een hoge ernst. De kwetsbaarheid ontstaat doordat aanvallers via gemanipuleerde authenticatieverzoeken toegang kunnen verkrijgen tot het beheerdersdashboard van de server. Hierdoor kunnen zij code uitvoeren met administratieve rechten, wat hen in staat stelt om persistentie op de server te verkrijgen en mogelijk andere systemen binnen hetzelfde netwerk aan te vallen.

De kwetsbaarheid vormt een aanzienlijk risico, vooral wanneer de Emby-server openbaar toegankelijk is. Een succesvolle exploitatie kan leiden tot verlies van vertrouwelijkheid en integriteit van de server, terwijl de beschikbaarheid onaangetast blijft.

Het wordt sterk aanbevolen om Emby Server direct te patchen naar de nieuwste versie om deze kwetsbaarheid te verhelpen. Het is belangrijk te realiseren dat het patchen van de software toekomstige aanvallen voorkomt, maar geen oplossing biedt voor eerder opgetreden compromitteringen.

Een nieuwe kwetsbaarheid in de ServiceNow Now Assist AI-platformen is ontdekt, die het mogelijk maakt voor aanvallers om de AI-agenten tegen elkaar te laten werken via tweede-orde promptinjectie. Dit maakt misbruik van de agent-naar-agent ontdekking die standaard in de configuratie van het platform is ingeschakeld. De kwetsbaarheid stelt kwaadwillenden in staat om onbevoegde acties uit te voeren, zoals het kopiëren van vertrouwelijke bedrijfsgegevens, het wijzigen van records en het escaleren van machtigingen.

De kwetsbaarheid wordt mogelijk doordat ServiceNow Now Assist-agenten automatisch worden gegroepeerd en als 'ontdekbaar' gemarkeerd wanneer ze worden gepubliceerd. Dit maakt het mogelijk voor een schijnbaar onschuldige agent om toegang te krijgen tot gevoelige data of interne systemen door een ander agent in het team in te schakelen voor kwaadaardige doeleinden. Het gevaar hiervan is dat de acties vaak onopgemerkt blijven bij de getroffen organisatie, aangezien ze plaatsvinden op de achtergrond. Dit wordt als normaal gedrag binnen de platformconfiguratie beschouwd, maar biedt ruimte voor misbruik via het manipuleren van de instellingen voor agent-communicatie.

Om dergelijke aanvallen te voorkomen, wordt geadviseerd om een gecontroleerde uitvoeringsmodus voor machtigde agenten in te schakelen, de autonome override-optie uit te schakelen en agenten op basis van teamtaken te segmenteren. Het is belangrijk voor organisaties die gebruik maken van Now Assist om hun configuraties zorgvuldig te controleren om zo het risico op dergelijke promptinjectie-aanvallen te minimaliseren.

Bron 1

Een ernstige kwetsbaarheid in de W3 Total Cache (W3TC) WordPress-plugin is recent ontdekt, waarmee kwaadwillenden PHP-commando’s op de server kunnen uitvoeren door het plaatsen van een commentaar met een kwaadwillige payload. De kwetsbaarheid, aangeduid als CVE-2025-9501, heeft betrekking op alle versies van de W3TC-plugin vóór versie 2.8.13. Het probleem wordt beschreven als een niet-geauthenticeerde commando-injectie.

De W3TC-plugin is geïnstalleerd op meer dan één miljoen websites en wordt gebruikt om de prestaties van sites te verbeteren door laadtijden te verminderen. De ontwikkelaar bracht op 20 oktober 2025 versie 2.8.13 uit, die de beveiligingsfout verhelpt. Desondanks blijkt uit gegevens van WordPress.org dat honderden duizenden websites mogelijk nog kwetsbaar zijn, aangezien er sinds de uitgave van de patch ongeveer 430.000 downloads hebben plaatsgevonden.

Beveiligingsonderzoekers van WPScan melden dat een aanvaller de kwetsbaarheid kan uitbuiten door de _parse_dynamic_mfunc()-functie, die verantwoordelijk is voor het verwerken van dynamische functieverzoeken in gecachete inhoud, te misbruiken. Hiermee kunnen onbevoegde gebruikers PHP-commando’s uitvoeren door een schadelijke payload in een commentaar te plaatsen.

Als de kwetsbaarheid wordt misbruikt, kan de aanvaller volledige controle over de getroffen website verkrijgen, aangezien er geen authenticatie nodig is om commando’s op de server uit te voeren. WPScan heeft een proof-of-concept (PoC) voor deze kwetsbaarheid ontwikkeld en zal dit op 24 november 2025 publiceren, zodat beheerders voldoende tijd hebben om de benodigde updates te installeren.

Websitebeheerders die niet op tijd kunnen upgraden, wordt aangeraden om de W3 Total Cache-plugin tijdelijk uit te schakelen of maatregelen te nemen om te voorkomen dat opmerkingen schadelijke payloads bevatten die de exploit kunnen activeren. De aanbevolen actie is om over te stappen naar versie 2.8.13 van de plugin.

Bron 1

De Britse gezondheidszorgorganisatie NHS heeft een waarschuwing uitgegeven over de actieve exploitatie van een kwetsbaarheid in het populaire archiveringsprogramma 7-Zip, bekend als CVE-2025-11001. Deze kwetsbaarheid stelt aanvallers in staat om via speciaal geprepareerde zip-bestanden remote code execution uit te voeren. Het probleem doet zich voor bij de verwerking van symbolische links in zip-bestanden, waarmee een aanvaller schadelijke bestanden kan plaatsen in een andere directory. Dit kan leiden tot het laden van malware of andere schadelijke code wanneer het zip-bestand door een slachtoffer wordt geopend.

De kwetsbaarheid werd in juli 2025 verholpen in versie 25.00 van 7-Zip, maar het bestaan van het lek werd niet expliciet vermeld in de release notes. De impact van de kwetsbaarheid wordt beoordeeld met een score van 7.0 op de schaal van 1 tot 10, aangezien het slachtoffer het bestand zelf moet openen om de aanval mogelijk te maken.

Volgens NHS Digital wordt de kwetsbaarheid actief misbruikt door aanvallers, maar worden er geen specifieke details over de aanvallen gedeeld. Organisaties die gebruikmaken van 7-Zip wordt geadviseerd de software te updaten naar de laatste versie om beveiligingsrisico’s te minimaliseren.

Bron 1, 2

D-Link heeft een waarschuwing afgegeven voor drie kwetsbaarheden in de DIR-878 router, die het mogelijk maken om op afstand commando's uit te voeren. Deze router, die in 2017 werd geïntroduceerd als een high-performance dual-band draadloze router, heeft zijn einde van de levensduur bereikt, maar wordt nog steeds in verschillende markten verkocht. De kwetsbaarheden kunnen op afstand worden misbruikt en zijn van toepassing op alle modellen en hardwareversies van de DIR-878.

De kwetsbaarheden omvatten onder andere de mogelijkheid voor ongeauthenticeerde afstandsbediening via bepaalde netwerkcommando’s die in de router zijn opgeslagen, en via IP-adressen die in de iptables-commando’s worden geïnjecteerd. D-Link heeft aangekondigd dat het geen beveiligingsupdates meer zal uitbrengen voor dit model, aangezien de ondersteuning voor de DIR-878 in 2021 is beëindigd. Het bedrijf raadt gebruikers aan om de router te vervangen door een model dat nog actief ondersteund wordt.

Hoewel de kwetsbaarheden als medium-severity zijn beoordeeld door de U.S. Cybersecurity and Infrastructure Security Agency (CISA), kunnen ze misbruikt worden door aanvallers, waaronder botnet-operators, die vaak kwetsbaarheden gebruiken om hun netwerk uit te breiden. De recente toevoeging van deze kwetsbaarheden aan exploit-kits verhoogt de risico’s, vooral gezien de beschikbaarheid van de exploitcode.

Dit benadrukt de gevaren van het blijven gebruiken van apparaten die hun levensduur hebben bereikt, zonder verdere ondersteuning voor beveiligingsupdates.

Bron 1, 2, 3

SonicWall heeft klanten gewaarschuwd voor een ernstige kwetsbaarheid in de SonicOS-SSLVPN, die aanvallers in staat stelt om firewalls te laten crashen. De kwetsbaarheid, aangeduid als CVE-2025-40601, is een buffer overflow op de stack, die een denial-of-service (DoS) aanval mogelijk maakt. Deze kwetsbaarheid treft zowel Gen8- als Gen7-firewalls, zowel hardware- als virtuele versies.

De kwetsbaarheid kan een remote, ongeauthenticeerde aanvaller in staat stellen om de firewall te laten crashen, wat de werking van netwerken kan verstoren. SonicWall heeft aangegeven dat er momenteel geen meldingen zijn van actieve aanvallen of van bewijs dat de kwetsbaarheid al in het wild wordt misbruikt. Desondanks wordt het dringend aanbevolen om de beveiligingsupdates toe te passen die vandaag zijn uitgebracht.

De kwetsbaarheid heeft invloed op een breed scala aan SonicWall-firewallmodellen, waaronder de TZ270, TZ370, NSa-serie en verschillende andere Gen7- en Gen8-modellen. Beheerders die de patch nog niet kunnen implementeren, wordt geadviseerd de SonicOS-SSLVPN-service uit te schakelen of toegang te beperken tot vertrouwde bronnen.

SonicWall heeft ook updates uitgebracht voor andere producten, waaronder de Email Security-apparaten, die kwetsbaarheden bevatten die kunnen leiden tot code-executie en toegang tot gevoelige informatie. Het bedrijf raadt gebruikers van de betrokken producten aan om ook deze updates snel door te voeren.

Bron 1, 2

Op 20 november 2025 werd een ernstige kwetsbaarheid in de Vue I18n-plugin voor Vue.js bekendgemaakt, die mogelijk kan leiden tot externe code-uitvoering (RCE) door misbruik van objectprototype-attributen. De kwetsbaarheid, gemeld als CVE-2025-27597, heeft betrekking op versies van de plugin die variëren van 9.1.0 tot 9.14.3, evenals enkele versies van de alpha- en beta-fases van Vue I18n 10.x en 11.x. De kwetsbaarheid werd geclassificeerd met een hoge ernst, met een CVSS-score van 8.9, wat wijst op aanzienlijke risico's voor zowel de beschikbaarheid als de integriteit en vertrouwelijkheid van de getroffen systemen.

De oorzaak van de kwetsbaarheid ligt in het onbeheerd verwerken van gebruikersinvoer, die kan leiden tot de wijziging of toevoeging van objecteigenschappen binnen de Vue.js-toepassing. Dit gebeurt wanneer woorden zoals "proto" of "constructor" in vertaalde gegevens worden ingebracht, waardoor eigenschappen op objecten worden aangepast. In sommige gevallen kan dit leiden tot onbedoelde uitvoer van commando's, waardoor kwaadwillende actoren mogelijk toegang krijgen tot kritieke systemen.

Gezien de eenvoud van de exploitatie en de beschikbaarheid van een proof-of-concept (PoC), wordt onmiddellijk patchen aangeraden om verdere schade te voorkomen. Organisaties die kwetsbare versies van Vue I18n gebruiken, wordt sterk geadviseerd de updates met hoge prioriteit te installeren na grondige tests.

Bron 1, 2

Een ernstige kwetsbaarheid in Oracle Identity Manager, een softwareoplossing voor gebruikersbeheer, heeft mogelijk weken voor het uitkomen van een beveiligingsupdate tot misbruik geleid. Het betreft een remote code execution (RCE) kwetsbaarheid, geïdentificeerd als CVE-2025-61757, die werd gemeld door het bedrijf Searchlight Cyber. Deze kwetsbaarheid kreeg de hoogst mogelijke risicoscore van 9.8 op een schaal van 10. Het lek stelt een aanvaller in staat om op afstand code uit te voeren zonder authenticatie.

Oracle bracht op 21 oktober 2025 beveiligingsupdates uit, die deze kwetsbaarheid moesten verhelpen. Onderzoekers van het Internet Storm Center (ISC) ontdekten in logbestanden van honeypots dat een URL, die verband houdt met de kwetsbaarheid, herhaaldelijk werd bezocht tussen 30 augustus en 9 september 2025. Dit kan wijzen op pogingen om de kwetsbaarheid te misbruiken, hoewel het niet mogelijk was om te bevestigen of deze bezoeken daadwerkelijk werden gebruikt voor misbruik. Het lek in Oracle Identity Manager stelt aanvallers in staat om toegang te krijgen tot gevoelige systemen en mogelijk ernstige gevolgen voor de veiligheid van de getroffen organisaties te veroorzaken.

Bron 1, 2

Grafana Labs heeft een waarschuwing uitgegeven voor een kwetsbaarheid met maximale ernst in haar Enterprise-product. De kwetsbaarheid, aangeduid als CVE-2025-41115, stelt aanvallers in staat om nieuwe gebruikers ten onrechte als beheerders te behandelen of om priviliges op te schalen. Dit probleem doet zich voor wanneer de SCIM (System for Cross-domain Identity Management) provisioning is ingeschakeld en correct is geconfigureerd.

Om de kwetsbaarheid te kunnen misbruiken, moeten zowel de 'enableSCIM'-featureflag als de optie 'user_sync_enabled' op 'waar' staan. Hierdoor kan een kwaadwillende of gecompromitteerde SCIM-client een gebruiker voorzien van een extern ID dat overeenkomt met een intern account, zoals dat van een beheerder. Dit kan leiden tot het vervalsen van gebruikers of het verkrijgen van verhoogde privileges.

De kwetsbaarheid treft alleen de versies 12.0.0 tot 12.2.1 van Grafana Enterprise wanneer SCIM is ingeschakeld. Grafana OSS-gebruikers zijn niet getroffen, en Grafana Cloud-services hebben reeds patches ontvangen. Grafana adviseert beheerders van zelfbeheerde installaties om snel de beschikbare patches toe te passen, zoals versie 12.3.0 of een van de eerdere versies die de fout verhelpen.

De kwetsbaarheid werd ontdekt tijdens een interne audit op 4 november 2025. Grafana Labs heeft de patch binnen 24 uur uitgebracht, zonder aanwijzingen dat de kwetsbaarheid in Grafana Cloud was misbruikt. Gebruikers wordt dringend aangeraden de beveiligingsupdate toe te passen of de SCIM-configuratie tijdelijk uit te schakelen om verdere misbruik te voorkomen.

Bron 1

Op 21 november 2025 werd de Europese Unie Agentschap voor Cyberbeveiliging (ENISA) gepromoveerd tot een CVE Root, een belangrijke stap in de ontwikkeling van de Europese benadering van kwetsbaarheidsbeheer. Deze wijziging stelt ENISA in staat een centrale rol te vervullen in de coördinatie van kwetsbaarheidsrapportages, openbaarmaking en grensoverschrijdende reacties binnen de EU. Voorheen was ENISA al een CVE Numbering Authority (CNA), maar met de status van CVE Root heeft de organisatie een veel bredere verantwoordelijkheid gekregen, die verder gaat dan alleen de nationale context.

Het CVE-systeem (Common Vulnerabilities and Exposures) is een wereldwijd erkende lijst van bekende kwetsbaarheden in software en hardware. De CVE Roots zijn de hoogste autoriteiten in dit systeem, die toezicht houden op de nummering van kwetsbaarheden en de naleving van de CVE-regels door andere organisaties, de zogenaamde CVE Numbering Authorities. Met de nieuwe status van ENISA als Root krijgt de organisatie de taak om de processen voor het toewijzen en publiceren van CVE-nummers te stroomlijnen en te verbeteren voor de Europese regio.

Een van de belangrijkste voordelen van deze verandering is de centralisatie van de kwetsbaarheidscoördinatie binnen de EU. Voorheen was de coördinatie vooral afhankelijk van internationale organisaties zoals MITRE en CISA, die niet altijd optimaal afgestemd zijn op de specifieke behoeften van Europese landen. Met ENISA in de hoofdrol kan de EU nu zorgen voor een uniformere aanpak in het beheer van kwetsbaarheden, vooral in gevallen waarin een beveiligingsprobleem meerdere lidstaten beïnvloedt. Dit kan helpen om de snelheid en effectiviteit van de kwetsbaarheidsbehandeling te verbeteren, wat van cruciaal belang is in een steeds complexere cyberdreigingsomgeving.

Een ander belangrijk aspect van ENISA's nieuwe rol is de integratie met twee belangrijke EU-initiatieven: de Europese Kwetsbaarheidsdatabase (EUVD) en het Single Reporting Platform (SRP) onder de Cyber Resilience Act. De EUVD, beheerd door ENISA, is de centrale opslagplaats voor kwetsbaarheidsinformatie binnen de EU en wordt verplicht gesteld door de NIS2-richtlijn. Daarnaast zal het SRP vanaf 2026 fabrikanten verplichten om kwetsbaarheden die actief worden misbruikt, te melden bij ENISA. Deze initiatieven zorgen ervoor dat kwetsbaarheden sneller en efficiënter kunnen worden gedeeld tussen de EU-lidstaten en de bredere CVE-gemeenschap, wat de algehele respons op cyberdreigingen ten goede zal komen.

Met de nieuwe status van CVE Root kan ENISA ook een belangrijke rol spelen in het verminderen van wereldwijde knelpunten binnen het CVE-systeem. De afgelopen jaren heeft het systeem te maken gehad met vertragingen en inconsistenties in de verwerking van kwetsbaarheidsrapporten, deels door de hoge werkdruk op bestaande Roots. Door ENISA toe te voegen aan dit netwerk, wordt de werklast verdeeld, waardoor er sneller en consistenter kan worden gereageerd op nieuwe kwetsbaarheden.

Samenvattend betekent de promotie van ENISA naar een CVE Root een aanzienlijke versterking van de rol van de EU in het beheer van cyberkwetsbaarheden. Dit is niet alleen een belangrijke stap voor Europese cyberbeveiliging, maar ook een teken van de bredere strategie van de EU om meer autonomie te verkrijgen in het beheer van kwetsbaarheden en compliance binnen de regio.

Bron 1

Onderzoekers van de Universiteit van Wenen en SBA Research hebben ontdekt dat een kwetsbaarheid in de WhatsApp API hen in staat stelde om 3,5 miljard accounts van het platform te extraheren. Deze kwetsbaarheid zat in de contactdiscoveriefunctie van WhatsApp, die telefoonnummers controleert op de aanwezigheid van een account en de bijbehorende apparaten. Het probleem was het gebrek aan adequate rate limiting op de API, waardoor onderzoekers in staat waren om zonder restricties massale aanvragen naar de servers van WhatsApp te sturen.

De onderzoekers gebruikten een enkele server om meer dan 100 miljoen nummers per uur te controleren, wat resulteerde in een dataset met 3,5 miljard actieve WhatsApp-accounts. Ze ontdekten gegevens van gebruikers wereldwijd, waaronder profielafbeeldingen, "over"-tekst en informatie over de apparaten die aan een nummer waren gekoppeld. Het onderzoek toonde ook aan dat in landen waar WhatsApp geblokkeerd was, zoals China en Iran, het gebruik van de app doorging.

Deze ontdekking illustreert een groter probleem met onbeveiligde API’s, die gemakkelijk kunnen worden misbruikt voor grootschalige gegevensscraping. Dit type kwetsbaarheid is niet uniek voor WhatsApp; ook andere platforms, zoals Facebook en Twitter, zijn in het verleden slachtoffer geworden van vergelijkbare aanvallen.

WhatsApp heeft inmiddels maatregelen genomen om de API te beschermen door rate-limiting in te voeren, maar het incident benadrukt de noodzaak voor strengere beveiliging van online platformen tegen misbruik van API’s. Het lek van zo’n omvang kan ernstige gevolgen hebben voor de privacy van gebruikers, vooral omdat gegevens zoals telefoonnummers en profielinformatie jarenlang kunnen worden misbruikt voor andere kwaadaardige doeleinden.

Bron 1

Een ernstige geheugenfout in vLLM versies 0.10.2 en later stelt aanvallers in staat om op afstand code uit te voeren via de Completions API door kwaadwillig gemaakte prompt-embeddings naar de server te sturen. Deze kwetsbaarheid bevindt zich in het tensor-deserialisatieproces van vLLM, specifiek in de bestandscode binnen "entrypoints/renderer.py" op regel 148. Wanneer gebruikersprompten worden verwerkt, laadt het systeem geserialiseerde tensors met de functie torch.load(), zonder voldoende validatie van de invoer.

De kwetsbaarheid is het gevolg van een wijziging in PyTorch versie 2.8.0, waarin de standaardcontrole op de integriteit van sparsetensors werd uitgeschakeld. Hierdoor kunnen aanvallers tensors maken die de interne grenscontroles omzeilen, wat leidt tot een geheugenbeschrijving buiten de toegestane grenzen tijdens de conversie naar een dichte tensor (to_dense()). Dit kan resulteren in een crash van de vLLM-server en mogelijk in de uitvoering van willekeurige code binnen het serverproces.

De kwetsbaarheid heeft een CVSS-score van 8.8/10, wat aangeeft dat deze ernstig is. De aanval vereist geen speciale bevoegdheden, waardoor zowel geauthenticeerde als ongeauthenticeerde gebruikers, afhankelijk van de configuratie van de API, de kwetsbaarheid kunnen uitbuiten. Alle implementaties van vLLM als server, vooral die waarbij onbetrouwbare of door het model aangeleverde payloads worden gedeserialiseerd, lopen risico. Organisaties die vLLM gebruiken in productieomgevingen, cloudomgevingen of gedeelde infrastructuren worden geadviseerd om snel over te schakelen naar de gepatchte versie van vLLM om verdere risico's te vermijden.

Het vLLM-project heeft de kwetsbaarheid aangepakt in pull request #27204, en gebruikers worden aangespoord om onmiddellijk te upgraden naar de nieuwste versie. Totdat de update is doorgevoerd, kunnen beheerders de toegang tot de API beperken tot vertrouwde gebruikers en invoervalidatielagen implementeren die prompt-embeddings inspecteren voordat ze de verwerkingspijplijn van vLLM bereiken.

Bron 1

Onderzoekers in cybersecurity hebben vijf ernstige kwetsbaarheden ontdekt in Fluent Bit, een veelgebruikte open-source tool voor telemetrie, die in miljarden containers wordt ingezet. Deze kwetsbaarheden kunnen door aanvallers worden benut om cloudinfrastructuren over te nemen, logbestanden te manipuleren en systemen op afstand uit te voeren. Fluent Bit wordt vaak gebruikt om loggegevens te verzamelen en te verwerken in cloudomgevingen, waaronder Kubernetes-clusters, wat het een aantrekkelijk doelwit maakt voor cybercriminelen.

De kwetsbaarheden omvatten onder andere een padtraversal-fout die het mogelijk maakt om willekeurige bestanden op de schijf te schrijven, wat logmanipulatie en op afstand uitvoeren van code mogelijk maakt. Andere fouten kunnen worden gebruikt om buffer-overflows te veroorzaken, toegang te verkrijgen tot vertrouwelijke gegevens door middel van misbruik van tag-logica, en zelfs om ongeautoriseerde log-invoer mogelijk te maken door het ontbreken van een juiste authenticatiecontrole in het in_forward-plugin van Fluent Bit.

De potentiële gevolgen van deze kwetsbaarheden zijn groot. Aanvallers zouden toegang kunnen krijgen tot logdata, waarmee ze misleidende of valse informatie kunnen injecteren, of zelfs het logproces kunnen manipuleren om hun eigen sporen te wissen na een aanval. Door deze kwetsbaarheden te benutten, kunnen aanvallers zich diep in de infrastructuur verankeren en onopgemerkt malware uitvoeren of andere schadelijke activiteiten ondernemen.

Fluent Bit heeft updates vrijgegeven om deze kwetsbaarheden te verhelpen, en gebruikers wordt dringend aangeraden om over te stappen naar de nieuwste versie van de software. Amazon Web Services (AWS), die betrokken was bij de coördinatie van de bekendmaking, heeft klanten aangespoord om hun versies bij te werken om een optimale bescherming te garanderen.

De ontdekte kwetsbaarheden benadrukken het belang van het handhaven van strikte beveiligingsmaatregelen in cloudomgevingen, vooral in systemen die afhankelijk zijn van open-source tools zoals Fluent Bit. Het is belangrijk om dynamische tags voor routering te vermijden, outputpaden te vergrendelen om padtraversal te voorkomen, en configuratiebestanden als alleen-lezen in te stellen om runtime-tampering tegen te gaan.

Fluent Bit is populair binnen enterprise-omgevingen en de impact van deze kwetsbaarheden kan aanzienlijk zijn, aangezien ze kunnen leiden tot verstoring van clouddiensten, manipulatie van gegevens en zelfs overname van logservices.

Bron 1, 2, 3

Honderden installaties van Monsta FTP, een webgebaseerde FTP-client, vertonen een ernstige kwetsbaarheid die vanaf het internet toegankelijk is. Deze kwetsbaarheid, aangeduid als CVE-2025-34299, stelt aanvallers in staat om op afstand willekeurige code uit te voeren op getroffen systemen. Via een malafide FTP-server kunnen aanvallers bestanden naar de kwetsbare clients uploaden en deze op door hen opgegeven locaties plaatsen. Het uitvoeren van malware is een van de risico's die hierbij ontstaat.

De kwetsbaarheid werd verholpen in versie 2.11.3 van Monsta FTP, die op 26 augustus werd uitgebracht. Echter, in de release-notes werd geen melding gemaakt van deze kritieke kwetsbaarheid, wat de transparantie van de ontwikkelaars aantast. De ernst van de kwetsbaarheid wordt beoordeeld met een score van 9.3 op de CVSS-schaal, wat wijst op de hoge impact die dit kan hebben op de systemen die niet zijn gepatcht.

Hoewel de beveiligingsupdate al beschikbaar is, blijkt uit onderzoek van The Shadowserver Foundation en het beveiligingsbedrijf watchTowr dat er wereldwijd nog honderden kwetsbare Monsta FTP-clients toegankelijk zijn vanaf het internet. Bij de laatste metingen waren er nog ongeveer achthonderd kwetsbare systemen, waarvan er dertien in Nederland en vier in België werden aangetroffen.

Dit incident benadrukt het belang van regelmatige updates en het tijdig patchen van software om te voorkomen dat systemen kwetsbaar blijven voor exploitatie.

Bron 1

Asus heeft een waarschuwing uitgegeven voor een kritieke kwetsbaarheid in de AiCloud-dienst van zijn routers, die het mogelijk maakt voor aanvallers om op afstand toegang te krijgen tot de routers. De kwetsbaarheid, aangeduid als CVE-2025-59366, stelt aanvallers in staat om de authenticatie van de router te omzeilen, waardoor ze de controle over de apparaten kunnen overnemen. Dit beveiligingslek heeft een zeer hoge risico-inschatting van 9.2 op een schaal van 1 tot 10.

De kwetsbaarheid is ontdekt in de AiCloud-service, waarmee gebruikers via het internet toegang krijgen tot lokale bestanden op apparaten die met de Asus-router zijn verbonden. Asus heeft firmware-updates vrijgegeven voor de getroffen modellen om het probleem te verhelpen. Routers die niet langer worden ondersteund en die aan het einde van hun levensduur zijn, kunnen het best de AiCloud-service uitschakelen om het risico te minimaliseren.

Op dit moment heeft Asus niet precies aangegeven welke routermodellen kwetsbaar zijn. Vorige week werd echter gemeld dat duizenden oudere, niet-ondersteunde routers zijn gecompromitteerd door aanvallers die gebruik maakten van eerdere kwetsbaarheden in dezelfde AiCloud-service.

Bron 1

OpenAI heeft bekendgemaakt dat er persoonlijke gegevens en metadata van een onbekend aantal API-gebruikers zijn gelekt, nadat aanvallers toegang hadden gekregen tot de systemen van analyticsprovider Mixpanel. Mixpanel, dat door OpenAI werd gebruikt voor het bijhouden van gebruikersactiviteiten van de API, werd op 8 november geconfronteerd met een inbraak, die op 9 november werd ontdekt. De gegevens die zijn gestolen, bevatten namen, e-mailadressen, locatiegegevens, gebruikte besturingssystemen, browsers, referring websites en ID’s van de organisaties die aan het API-account waren gekoppeld.

De inbraak werd pas op 25 november door Mixpanel gemeld aan OpenAI. Het datalek werd mogelijk gemaakt door een aanval op Mixpanel, een bedrijf dat analytics-software levert waarmee gebruikers kunnen analyseren hoe consumenten hun producten gebruiken. Nadat de inbraak werd ontdekt, heeft OpenAI onmiddellijk maatregelen genomen en Mixpanel van hun platform verwijderd. Het bedrijf waarschuwt gebruikers dat de gestolen informatie mogelijk kan worden ingezet voor social engineering- of phishingaanvallen.

De onthullingen over dit datalek hebben geleid tot veel kritiek van gebruikers, die zich zorgen maken over de trage reactie van Mixpanel en de beperkte informatie die werd gedeeld. De situatie is een verdere herinnering aan de risico’s die gepaard gaan met de toegang tot persoonlijke gegevens via externe platforms en de noodzaak voor bedrijven om strengere beveiligingsmaatregelen te implementeren.

Bron 1, 2, 3

Een kwetsbaarheid in de populaire JavaScript-cryptografiebibliotheek 'node-forge' is ontdekt, die aanvallers in staat zou stellen handtekeningverificaties te omzeilen. De kwetsbaarheid, aangeduid als CVE-2025-12816, kreeg een hoge ernstbeoordeling en werd veroorzaakt door de manier waarop de bibliotheek de ASN.1-validatiemechanismen behandelt. Deze fout maakt het mogelijk om misvormde gegevens te creëren die de verificatieprocessen kunnen omzeilen, zelfs wanneer de gegevens cryptografisch onjuist zijn.

De kwetsbaarheid wordt toegeschreven aan een conflict in de interpretatie van ASN.1-structuren in de versies van node-forge tot 1.3.1. Dit conflict stelt aanvallers in staat om de validatie van gegevens te desynchroniseren, wat kan leiden tot de omzeiling van downstream cryptografische controles en andere beveiligingsbeslissingen. Dit kan ernstige gevolgen hebben, vooral in omgevingen waar cryptografische verificatie een cruciale rol speelt in het nemen van vertrouwensbeslissingen.

De kwetsbaarheid werd ontdekt door onderzoeker Hunter Wodzenski van Palo Alto Networks, die de bevinding op verantwoorde wijze meldde bij de ontwikkelaars van node-forge. De impact van de kwetsbaarheid kan variëren, afhankelijk van de specifieke toepassing, maar kan onder andere leiden tot omzeiling van authenticatie, manipulatie van ondertekende gegevens en misbruik van functies die verband houden met certificaten.

Gezien de populariteit van de node-forge bibliotheek, die bijna 26 miljoen wekelijkse downloads genereert via de Node Package Manager (NPM), kan de invloed van deze kwetsbaarheid aanzienlijk zijn. De bibliotheek wordt gebruikt in verschillende projecten die cryptografische en openbare infrastructuur (PKI) functies vereisen in JavaScript-omgevingen.

Een oplossing werd al uitgebracht in versie 1.3.2 van node-forge. Ontwikkelaars die de bibliotheek gebruiken, wordt geadviseerd om snel naar de nieuwste versie over te schakelen om zich te beschermen tegen mogelijke aanvallen. Ondanks de beschikbaarheid van een patch, kan het enige tijd duren voordat de kwetsbaarheid in de praktijk volledig wordt verholpen, vooral gezien de complexiteit van de omgeving en de noodzakelijke tests van de nieuwe code.

Bron 1, 2

De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft een kwetsbaarheid in de OpenPLC ScadaBR-software toegevoegd aan het 'Known Exploited Vulnerabilities' (KEV)-catalogus. Deze kwetsbaarheid betreft een cross-site scripting (XSS) probleem, aangeduid als CVE-2021-26829, die zowel de Windows- als Linux-versies van de software treft. De kwetsbaarheid, met een CVSS-score van 5.4, bevindt zich in het systeeminstellingenbestand en beïnvloedt OpenPLC ScadaBR-versies tot 1.12.4 voor Windows en 0.9.1 voor Linux.

CISA heeft deze kwetsbaarheid opgenomen in het KEV-lijst omdat er actief misbruik van wordt gemaakt. Dit werd eerder dit jaar opgemerkt toen een pro-Russische hacktivistengroep, TwoNet, het doelwit was van een honeypot simulatie, waarbij de aanvallers de XSS-kwetsbaarheid gebruikten om een pop-upmelding te plaatsen en systeeminstellingen te wijzigen. De aanval resulteerde in het aanpassen van de loginpagina en het uitschakelen van logs en alarmen. Deze aanvallers gaven aan toegang te verkrijgen via standaardreferenties en voerden later verkenning en persistentieactiviteiten uit.

Als gevolg van dit misbruik is het voor federale civiele uitvoeringsorganen verplicht om voor 19 december 2025 de benodigde patches toe te passen voor een adequate bescherming. De aanvallen wijzen op een bredere inzet van industriële systemen door hacktivisten en andere cybercriminelen, met de inzet van hulpmiddelen zoals OAST (Out-of-Band Application Security Testing) voor exploitatie van kwetsbaarheden. De aanvalsgroep TwoNet heeft zich in januari 2025 gepositioneerd om industriële systemen aan te vallen, aanvankelijk gericht op DDoS-aanvallen en later uitgebreid naar ransomware-as-a-service en andere commerciële cyberactiviteiten. Dit benadrukt de noodzaak van extra waakzaamheid en het bijwerken van kwetsbare systemen om verdere aanvallen te voorkomen.

Bron 1, 2