Het RondoDox-botnet maakt momenteel actief gebruik van een kritieke kwetsbaarheid in het Next.js-framework om servers te infiltreren en te voorzien van malware en cryptominers. Het lek, bekend onder de code CVE-2025-55182 of React2Shell, stelt ongeautoriseerde aanvallers in staat om via een enkel HTTP-verzoek op afstand code uit te voeren. Deze kwetsbaarheid treft frameworks die het React Server Components 'Flight'-protocol implementeren, waaronder Next.js.

Onderzoek van beveiligingsbedrijf CloudSEK wijst uit dat het botnet op 8 december 2025 begon met het scannen naar kwetsbare Next.js-servers, gevolgd door de eerste infecties op 11 december. De aanvalsintensiteit is hoog, met meer dan veertig gedocumenteerde exploitatiepogingen binnen een periode van zes dagen in december. Volgens gegevens van de Shadowserver Foundation waren er op 30 december 2025 wereldwijd nog ruim 94.000 systemen via het internet bereikbaar die vatbaar zijn voor deze exploit. Binnen de Benelux zijn er specifiek 812 systemen in Nederland en 81 in België geïdentificeerd die nog kwetsbaar zijn voor deze aanval.

De operationele strategie van RondoDox is gedurende 2025 verschoven van verkenning en het testen van kwetsbaarheden in het voorjaar naar grootschalige exploitatie en de inzet van een IoT-botnet in de tweede helft van het jaar. Naast servers worden ook consumenten- en bedrijfsrouters van merken zoals Linksys en Wavlink aangevallen om de botnetcapaciteit te vergroten. Zodra een systeem is binnengedrongen, installeert het botnet diverse componenten, waaronder een cryptominer, een botnet-loader en een variant van de Mirai-malware.

Een specifiek onderdeel van de gebruikte payload, genaamd 'bolts', is verantwoordelijk voor het handhaven van de controle over de gecompromitteerde host. Deze component verwijdert malware van concurrerende botnets, dwingt persistentie af via de systeemconfiguratie en beëindigt periodiek alle processen die niet op een whitelist staan. De React2Shell-kwetsbaarheid is eerder ook misbruikt door andere actoren voor het verspreiden van verschillende malwarefamilies. Het tijdig patchen van Next.js-omgevingen en het monitoren van verdachte serverprocessen zijn noodzakelijke stappen om infectie door dit botnet te voorkomen.

Bron 1, 2

Er is een kritiek beveiligingslek ontdekt in de veelgebruikte opensource-webmailsoftware Roundcube. De kwetsbaarheid stelt aanvallers in staat om op afstand e-mailaccounts over te nemen. De Poolse overheid en het Nationaal Cyber Security Centrum hebben officiële waarschuwingen afgegeven vanwege de ernst van het probleem. Roundcube wordt door een breed scala aan organisaties gebruikt voor het beheren van e-mailverkeer via de browser.

De kwetsbaarheid, die de identificatie CVE-2025-68461 draagt, is een cross-site scripting probleem dat aan het licht werd gebracht door een beveiligingsonderzoeker. De aanval kan worden uitgevoerd door een e-mail te versturen die een specifiek geprepareerd SVG-bestand bevat. Wanneer een gebruiker deze e-mail opent, wordt er kwaadaardige JavaScript-code uitgevoerd binnen de browser. Dit proces stelt een aanvaller in staat om e-mails te onderscheppen of de volledige controle over het betreffende e-mailaccount te verkrijgen.

In het verleden zijn beveiligingslekken in deze software vaker gebruikt voor actieve aanvallen op e-mailsystemen. Het misbruik van dergelijke zwakheden is een bekende methode voor het stelen van gevoelige informatie. Vanwege het risico op ongeautoriseerde toegang tot communicatiegegevens wordt de noodzaak voor onmiddellijke actie door systeembeheerders onderstreept.

Om de kwetsbaarheid te verhelpen, zijn er beveiligingsupdates uitgebracht. Gebruikers van de software dienen hun systemen bij te werken naar versies 1.6.12 of 1.5.12. In deze versies is de wijze waarop de webmailclient SVG-bestanden verwerkt gecorrigeerd, waardoor de uitvoering van schadelijke scripts via deze route niet langer mogelijk is.

Bron 1, 2, 3

De cybersecurity-gemeenschap werd eind december 2025 geconfronteerd met een ernstig beveiligingslek in MongoDB, dat de naam Mongobleed heeft gekregen. Deze kwetsbaarheid, geregistreerd onder CVE-2025-14847, stelt ongeauthenticeerde aanvallers in staat om gevoelige gegevens rechtstreeks uit het servergeheugen te ontvreemden. Met een CVSS-score van 8,7 en naar schatting meer dan 87.000 kwetsbare MongoDB-instanties die wereldwijd direct via het internet toegankelijk zijn, wordt dit lek beschouwd als een van de meest urgente bedreigingen voor database-infrastructuur van dit jaar. De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft de kwetsbaarheid op 29 december 2025 toegevoegd aan de lijst met actief misbruikte kwetsbaarheden, waarbij een strikte deadline voor herstel is gesteld voor federale instanties.

De technische oorzaak van Mongobleed ligt in de onjuiste verwerking van inconsistenties in lengteparameters binnen de zlib-gecomprimeerde netwerkberichtheaders van MongoDB Server. Bij het verwerken van specifiek gemanipuleerde gecomprimeerde berichten kan de server ongeïnitialiseerd heap-geheugen terugsturen naar externe clients zonder dat hiervoor enige authenticatie vereist is. Deze fundamentele fout in de decompressielogica stelt aanvallers in staat om fragmenten van in-memory data te lekken. Hieronder vallen kritieke gegevens zoals database-inloggegevens, API-sleutels, authenticatietokens, sessiegegevens en persoonlijk identificeerbare informatie (PII).

Wat Mongobleed bijzonder gevaarlijk maakt, is dat de exploitatie plaatsvindt tijdens de pre-authenticatie-fase van de verbinding. Elke MongoDB-server die aan het internet is blootgesteld en waarbij zlib-compressie is ingeschakeld, is direct vatbaar voor aanvallen. Sinds 26 december 2025 is er publieke proof-of-concept exploitcode beschikbaar, wat de drempel voor misbruik aanzienlijk heeft verlaagd voor zowel opportunistische aanvallers als geavanceerde dreigingsactoren. De aanvalsmethode maakt gebruik van speciaal vervaardigde pakketten met onjuiste lengtevelden, waardoor de server meer geheugen reserveert dan nodig is en vervolgens "vuil" geheugen retourneert dat restanten van eerdere operaties bevat.

Het incident onderstreept dat pre-authenticatie kwetsbaarheden de meest kritieke categorie beveiligingsfouten vormen, omdat ze traditionele toegangscontroles volledig omzeilen. In tegenstelling tot post-authenticatie lekken, waarbij geldige inloggegevens nodig zijn, biedt CVE-2025-14847 onbevoegden toegang tot infrastructuur puur op basis van netwerkconnectiviteit. Dit maakt investeringen in sterke wachtwoorden of multi-factor authenticatie op dat specifieke punt irrelevant. Er worden parallellen getrokken met het Heartbleed-lek uit 2014, hoewel Mongobleed zich specifiek richt op databasesystemen waar doorgaans de meest waardevolle bedrijfsactiva zijn opgeslagen.

De kwetsbaarheid treft MongoDB Server-versies over een periode van bijna tien jaar, inclusief versies 4.4 tot en met 8.2. Oudere, niet langer ondersteunde versies zoals 3.6, 4.0 en 4.2 blijven permanent kwetsbaar omdat hiervoor geen officiële patches worden uitgebracht. Organisaties die hun database-instanties direct aan het internet hebben blootgesteld, blijken geen bescherming te ontlenen aan TLS/SSL-encryptie, aangezien de aanval op protocolniveau plaatsvindt binnen de gecomprimeerde datastroom. Het onderzoek toont aan dat netwerksegmentatie een cruciale defensieve laag is; databaseservers zouden niet direct toegankelijk mogen zijn vanaf onvertrouwde netwerken.

Een belangrijke bevinding voor forensisch onderzoek is dat pogingen tot exploitatie herkenbaar zijn aan een extreem hoge verbindingssnelheid, die kan oplopen tot meer dan 111.000 verbindingen per minuut. Daarnaast is het installeren van een patch alleen onvoldoende om de veiligheid te garanderen. Omdat het lek ongeïnitialiseerd geheugen vrijgeeft, is het onmogelijk om met zekerheid vast te stellen welke gegevens zijn blootgesteld voordat de patch werd toegepast. Daarom is het noodzakelijk om na het patchen direct alle mogelijk gecompromitteerde geheimen te roteren, waaronder database-wachtwoorden, API-sleutels, cloud-toegangssleutels en sessietokens.

Bron 1

Een recent geïdentificeerde kwetsbaarheid in het Moodle-platform, geregistreerd onder kenmerk CVE-2025-26529, vormt een aanzienlijk beveiligingsrisico voor organisaties die gebruikmaken van dit leerbeheersysteem. Het lek bevindt zich in de live-logfunctionaliteit van de site-administratie, een onderdeel dat door beheerders wordt gebruikt om systeemactiviteiten in real-time te monitoren. De kwetsbaarheid ontstaat doordat bepaalde beschrijvingsinformatie in deze logs onvoldoende wordt gesaneerd voordat deze in de beheerdersinterface wordt weergegeven.

Dit gebrek aan data-reiniging maakt een Stored Cross-Site Scripting (XSS) aanval mogelijk. Hierbij kan kwaadaardige code in de database van het platform worden opgeslagen, die vervolgens automatisch wordt uitgevoerd in de browser van een beheerder zodra deze de logpagina opent. Omdat beheerders over de hoogste rechten binnen het systeem beschikken, kan de uitvoering van dergelijke scripts leiden tot de volledige overname van beheersessies.

De ernst van deze kwetsbaarheid wordt versterkt door de mogelijkheid tot escalatie naar Remote Code Execution (RCE). Door de XSS-aanval te combineren met andere zwakheden in de configuratie, kan een aanvaller in staat zijn om op afstand opdrachten uit te voeren op de server die de Moodle-omgeving host. Dit geeft een aanvaller potentieel volledige toegang tot gevoelige gebruikersgegevens, cursusmateriaal en de onderliggende IT-infrastructuur.

Gezien het wijdverbreide gebruik van Moodle binnen het onderwijs en de overheid in Nederland en België, is het noodzakelijk dat systeembeheerders de beschikbare beveiligingsupdates onmiddellijk implementeren. De kwetsbaarheid is aanwezig in diverse actieve versies van het platform en wordt verholpen in de meest recente onderhoudsreleases. Het bijwerken naar de laatste stabiele versie is de enige effectieve maatregel om dit specifieke aanvalsvector te sluiten en de integriteit van de leeromgeving te waarborgen.

Bron 1

The Shadowserver Foundation heeft besloten een ernstige kwetsbaarheid in Fortinet SSL-VPN op te nemen in haar dagelijkse rapportages over kwetsbare HTTP-diensten. Het betreft de kwetsbaarheid met het kenmerk CVE-2020-12812, die al vijf jaar bekend is. Hoewel de fabrikant reeds in juli 2020 beveiligingsupdates beschikbaar stelde, zijn er wereldwijd nog altijd meer dan tienduizend systemen ongepatcht. Uit actuele data blijkt dat deze kwetsbare systemen zich ook in de Benelux bevinden; in Nederland staan nog 48 firewalls open voor dit lek en in België gaat het om 46 systemen.

De betreffende kwetsbaarheid stelt kwaadwillenden in staat om de ingeschakelde tweefactorauthenticatie voor een VPN-account te omzeilen. Dit beveiligingsprobleem doet zich voor wanneer tweefactorauthenticatie is geactiveerd binnen de lokale gebruikersinstellingen en er tegelijkertijd een externe authenticatiemethode voor de gebruiker is ingesteld. Een aanvaller kan door het wijzigen van de gebruikersnaam de extra beveiligingslaag passeren. Vanwege de impact op de toegangsbeveiliging is de ernst van dit lek beoordeeld met een kritieke score van 9,8 op een schaal van tien.

Fortinet heeft recent gewaarschuwd dat deze kwetsbaarheid nog altijd actief wordt uitgebuit, waarbij de aanvallen zich specifiek richten op configuraties die gebruikmaken van het Lightweight Directory Access Protocol ofwel LDAP. The Shadowserver Foundation identificeert via hun rapportage hosts die de kwetsbare service draaien en bevestigt dat deze systemen, inclusief de aantallen in Nederland en België, actief doelwit kunnen zijn van cyberaanvallen.

Bron 1

Onderzoekers van beveiligingsbedrijf Pen Test Partners hebben ernstige kwetsbaarheden aangetroffen in de AI-chatbot van treinvervoerder Eurostar. Door specifieke zwakheden in de onderliggende API was het mogelijk om de geprogrammeerde veiligheidsrestricties, oftewel de guardrails, te omzeilen. Deze tekortkoming stelde kwaadwillenden in staat om cross-site scripting (XSS)-aanvallen uit te voeren en de interne systeeminstructies van de chatbot te achterhalen.

De technische oorzaak van het lek bevond zich in de validatieprocessen van de API. Het systeem controleerde uitsluitend het meest recente bericht van een gebruiker op veiligheidsrisico's, terwijl eerdere berichten in de conversatiegeschiedenis niet opnieuw werden geverifieerd. De onderzoekers demonstreerden dat deze logica kon worden misbruikt door eerst een legitiem en onschuldig bericht te verzenden. Nadat dit bericht door de beveiliging was goedgekeurd, werd de inhoud achteraf gewijzigd naar kwaadaardige code. Omdat de chatbot het bericht reeds als veilig had gemarkeerd en na de wijziging geen nieuwe controle uitvoerde, werd de aanvalscode zonder belemmering verwerkt.

Het proces rondom de verantwoorde melding van deze kwetsbaarheid verliep moeizaam. Pen Test Partners rapporteerde de bevindingen via het officiële vulnerability disclosure-programma van de vervoersmaatschappij, maar ontving aanvankelijk geen reactie. Later werd duidelijk dat de rapporten verloren waren gegaan tijdens de migratie naar een nieuwe meldpagina en een aangepast proces voor het rapporteren van softwarefouten.

Vanwege het uitblijven van een reactie nam Ken Munro, managing partner bij het onderzoeksbureau, via LinkedIn contact op met het hoofd beveiliging van Eurostar om te verifiëren of de melding was aangekomen. Deze escalatie leidde tot een conflict waarbij de beveiligingsfunctionaris van Eurostar de benadering kwalificeerde als afpersing. Pen Test Partners weersprak deze beschuldiging stellig en benadrukte dat er te goeder trouw werd gehandeld nadat de reguliere kanalen faalden. Volgens de onderzoekers ontbrak bovendien elke vorm van dreiging, wat een essentieel onderdeel is van de definitie van afpersing.

Bron 1

De snelle opkomst van op kunstmatige intelligentie gebaseerde Integrated Development Environments, zoals Cursor, Windsurf en Google Antigravity, heeft een aanzienlijk beveiligingsrisico in de softwaretoeleveringsketen blootgelegd. Uit technisch onderzoek is gebleken dat deze applicaties proactief extensies aanbevalen die op de gebruikte marktplaatsen nog niet bestonden. Dit bood kwaadwillenden de mogelijkheid om deze namen te registreren en malafide software te verspreiden onder miljoenen ontwikkelaars wereldwijd.

De kwetsbaarheid vloeit voort uit het feit dat deze AI-ontwikkelomgevingen forks zijn van Visual Studio Code. Hoewel ze de configuratie met aanbevolen extensies van VS Code overnamen, hebben ze geen toegang tot de officiële Microsoft Marketplace. In plaats daarvan maken deze omgevingen gebruik van OpenVSX, een opensource alternatief. Veel van de aanbevolen extensies waren echter wel aanwezig op de Microsoft-marktplaats, maar nog niet geclaimd of geüpload naar OpenVSX. Hierdoor bleven kritieke namespaces openstaan voor registratie door derden.

Het risico manifesteerde zich op twee manieren. Ten eerste via bestandsgebaseerde aanbevelingen, waarbij de omgeving een extensie suggereert zodra een gebruiker een specifiek bestandstype opent, zoals een configuratie voor Azure Pipelines. Ten tweede via softwaregebaseerde aanbevelingen, waarbij de omgeving detecteert welke software op het systeem van de gebruiker staat, zoals PostgreSQL, en daarop een bijbehorende plugin adviseert. Omdat de aanbeveling vanuit de vertrouwde ontwikkelomgeving zelf komt, is de kans op installatie door de gebruiker groot.

Tijdens het onderzoek werden diverse onbeheerde namespaces preventief geclaimd om misbruik te voorkomen, waaronder die voor PostgreSQL, Azure Pipelines en Heroku. Hoewel deze placeholder-extensies geen functionaliteit bevatten en expliciet als zodanig waren gelabeld, werden ze meer dan duizend keer geïnstalleerd. Dit bevestigt het hoge vertrouwen dat gebruikers stellen in de automatische suggesties van hun softwarepakketten.

De afhandeling van de meldingen door de betrokken techbedrijven verliep wisselend. Google erkende de kwetsbaarheid in Antigravity na aanvankelijke afwijzingen en voerde op 1 januari 2026 een volledige correctie door. Andere partijen, waaronder Cursor en Windsurf, hebben tot op heden niet gereageerd op de beveiligingsrapporten. De Eclipse Foundation, beheerder van OpenVSX, heeft in samenwerking met de onderzoekers aanvullende veiligheidsmaatregelen getroffen om de resterende namespaces te verifiëren en de integriteit van het platform te waarborgen.

Bron 1

Microsoft heeft officieel gereageerd op meldingen van een cybersecurity-expert over meerdere potentiële beveiligingslekken in de AI-assistent Copilot. Het technologiebedrijf stelt dat de gevonden problemen niet voldoen aan de criteria voor een beveiligingskwetsbaarheid en heeft de meldingen gesloten zonder reparatie uit te voeren. Deze beslissing onderstreept de groeiende verdeeldheid tussen softwareleveranciers en beveiligingsonderzoekers over de definitie van risico’s binnen generatieve AI-systemen. De kwestie kwam aan het licht nadat cybersecurity-engineer John Russell zijn bevindingen publiceerde over methoden om de veiligheidsmechanismen van Copilot te omzeilen.

De gerapporteerde problemen hebben betrekking op verschillende aspecten van de AI-interface en de onderliggende infrastructuur. Russell toonde aan dat zowel directe als indirecte prompt injection mogelijk was, wat leidde tot het lekken van de systeemprompt. Dit betreft de verborgen instructies die het gedrag van de AI sturen. Daarnaast identificeerde hij een methode om het uploadbeleid voor bestanden te omzeilen. Hoewel Copilot bepaalde risicovolle bestandstypes blokkeert, bleek het mogelijk deze restrictie te passeren door de inhoud te coderen in Base64-tekststrings. De AI decodeert deze informatie vervolgens binnen de sessie, waardoor de beveiligingsfilters voor bestandstypes effectief worden gepasseerd. Verder werd vastgesteld dat commando's konden worden uitgevoerd binnen de geïsoleerde Linux-omgeving van de assistent.

Binnen de professionele beveiligingsgemeenschap is de discussie over deze bevindingen verdeeld. Sommige experts wijzen op eerdere incidenten waarbij AI-modellen ontregeld raakten door verborgen instructies in documenten en ondersteunen de claim dat dit veiligheidsrisico's zijn. Andere onderzoekers stellen echter dat dergelijk gedrag een fundamentele beperking is van Large Language Models, die inherent moeite hebben om instructies van data te scheiden. Volgens deze visie zijn de bevindingen geen technische lekken, maar eigenschappen van de huidige technologie die lastig te verhelpen zijn zonder de functionaliteit van de tool te beperken. Russell spreekt dit tegen door te verwijzen naar concurrerende AI-systemen die deze specifieke manipulaties wel weten te blokkeren, wat zou duiden op ontoereikende invoervalidatie bij de softwaregigant.

Microsoft hanteert een strikte maatstaf bij de beoordeling van AI-gerelateerde meldingen en toetst deze aan hun publieke criteria. Een woordvoerder verklaarde dat de ingediende gevallen buiten de scope vallen omdat er geen kritieke beveiligingsgrens wordt overschreden. Volgens het bedrijf blijft de impact in deze gevallen beperkt tot de individuele omgeving van de gebruiker en worden er geen ongeautoriseerde privileges verkregen over systemen van derden of gevoelige bedrijfsdata. Organisaties zoals OWASP nuanceren dit eveneens door te stellen dat het lekken van een systeemprompt op zichzelf geen groot risico vormt, tenzij die prompt zelf gevoelige informatie bevat of als enige beveiligingsmaatregel dient. Het debat over waar een functionele beperking ophoudt en een beveiligingslek begint, blijft hiermee een centraal punt bij de verdere implementatie van AI in bedrijfsomgevingen.

Bron 1, 2, 3, 4, 5, 6

Google heeft een kritieke kwetsbaarheid in het Android-platform verholpen die betrekking heeft op de implementatie van Dolby-technologie binnen het mobiele besturingssysteem. De kwetsbaarheid, geregistreerd onder kenmerk CVE-2025-54957, bevindt zich in de Dolby Unified Decoder (UDC) versies 4.5 tot en met 4.13. Het defect is specifiek aanwezig in de DD+ Codec, die verantwoordelijk is voor de verwerking van digitale audiosignalen.

Beveiligingsonderzoek wijst uit dat de fout optreedt in het component evo_priv.c van de DD+ bitstream decoder. Tijdens de verwerking van gegevens wordt er in bepaalde gevallen onvoldoende bufferruimte toegewezen. Hierdoor wordt de controle op de geheugengrenzen niet correct uitgevoerd, wat een bufferoverflow kan veroorzaken. Een dergelijke technische fout stelt aanvallers in staat om gegevens te laten uitlekken uit het geheugen van het apparaat.

De beoordeling van de ernst van dit lek loopt uiteen bij de betrokken partijen. Op basis van de CVSS-score is de kwetsbaarheid initieel ingeschaald op 6,5, wat duidt op een gemiddelde impact. Dolby rapporteert dat misbruik in de meeste gevallen leidt tot het vastlopen of onverwacht herstarten van de mediaspeler op het toestel. Het bedrijf waarschuwt echter dat de impact aanzienlijk groter kan zijn wanneer het lek wordt gecombineerd met andere specifieke zwakheden in het Android-systeem, in het bijzonder bij Google Pixel-smartphones.

Google hanteert een hogere risicoclassificatie en heeft CVE-2025-54957 officieel als kritiek bestempeld in het beveiligingsbulletin van januari 2026. Door het uitrollen van deze updates wordt de kwetsbaarheid in de Dolby-decoder op het Android-platform geneutraliseerd. Het installeren van de meest recente beveiligingspatches is noodzakelijk om de integriteit van de getroffen systemen te waarborgen en misbruik van de bufferoverflow te voorkomen.

Bron 1, 2

Gebruikers van het npm-pakket @adonisjs/bodyparser hebben het advies gekregen om software-updates te installeren na de ontdekking van een kritiek beveiligingslek. De kwetsbaarheid, geregistreerd onder de code CVE-2026-21440, heeft een CVSS-score van 9.2 gekregen. Het lek stelt een externe aanzoeker in staat om via een omweg willekeurige bestanden naar de server te schrijven.

De fout bevindt zich in het mechanisme van AdonisJS dat verantwoordelijk is voor de verwerking van multipart-bestanden. @adonisjs/bodyparser is een onderdeel van het AdonisJS-framework, dat veel wordt gebruikt voor de ontwikkeling van webapplicaties en API-servers met TypeScript. Het probleem ontstaat specifiek wanneer de functie MultipartFile.move() wordt aangeroepen zonder dat er een tweede argument voor opties wordt meegegeven of wanneer de bestandsnaam niet handmatig wordt gesaneerd.

In dergelijke gevallen gebruikt de applicatie de ongewijzigde bestandsnaam die door de cliënt is opgegeven. Een kwaadwillende kan een bestandsnaam insturen die pad-traversal-sequenties bevat. Hiermee kan de opslaglocatie van het bestand worden gemanipuleerd, waardoor het buiten de beoogde uploadmap terechtkomt. Indien de configuratie toestaat dat bestaande bestanden worden overschreven, kunnen kritieke systeembestanden of applicatiecode worden aangetast.

Volgens de projectbeheerders kan dit leiden tot Remote Code Execution (RCE) wanneer een aanvaller in staat is om applicatiecode of startscripts te overschrijven die later door de server worden uitgevoerd. De mogelijkheid tot volledige overname van de server is echter afhankelijk van de specifieke bestandsrechten en de inrichting van de serveromgeving. Het lek treft alle versies tot en met 10.1.1 en is verholpen in versie 10.1.2. Ook voor de bètaversies van versie 11 is een fix beschikbaar gesteld in versie 11.0.0-next.6.

Tegelijkertijd is er een vergelijkbaar pad-traversal-lek gerapporteerd in de jsPDF-bibliotheek (CVE-2025-68428), eveneens met een CVSS-score van 9.2. Dit lek stelt aanvallers in staat om via onveilige paden de inhoud van lokale bestanden op het bestandssysteem op te vragen en deze te laten opnemen in gegenereerde PDF-documenten. Dit defect is op 3 januari 2026 gepatcht in jsPDF versie 4.0.0. Alleen de Node.js-builds van deze bibliotheek zijn kwetsbaar.

Bron 1, 2, 3

Er is een kritieke kwetsbaarheid ontdekt in het open-source automatiseringsplatform n8n die geautoriseerde gebruikers in staat stelt om willekeurige systeemcommando's uit te voeren op de onderliggende host. Dit beveiligingslek staat geregistreerd onder kenmerk CVE-2025-68668 en heeft een CVSS-score van 9,9 gekregen. De kwetsbaarheid is geïdentificeerd door onderzoekers van Cyera Research Labs en draagt de codenaam N8scape. Het incident betreft een fout in het beschermingsmechanisme van de applicatie, specifiek binnen de Python Code Node die gebruikmaakt van Pyodide.

Door deze fout ontstaat een mogelijkheid tot een sandbox-bypass. Een gebruiker die beschikt over de rechten om workflows aan te maken of te wijzigen, kan deze zwakte misbruiken om buiten de geïsoleerde omgeving te treden. Hierdoor kunnen commando's worden uitgevoerd met dezelfde privileges als het n8n-proces zelf. Het lek is aanwezig in alle versies van n8n vanaf versie 1.0.0 tot aan versie 2.0.0. De ontwikkelaars hebben in versie 2.0.0 een correctie doorgevoerd door de native Python-implementatie op basis van task runners standaard in te schakelen, wat zorgt voor een betere procesisolatie.

Organisaties die niet onmiddellijk kunnen overstappen naar versie 2.0.0 kunnen mitigerende maatregelen treffen via aanpassingen in de omgevingsvariabelen. Het is mogelijk de Code Node volledig uit te schakelen door de variabele NODES_EXCLUDE in te stellen op n8n-nodes-base.code. Een andere optie is het specifiek deactiveren van Python-ondersteuning in de Code Node door N8N_PYTHON_ENABLED op false te zetten. Tevens kunnen beheerders van oudere versies handmatig de task runner-gebaseerde Python sandbox forceren door de variabelen N8N_RUNNERS_ENABLED en N8N_NATIVE_PYTHON_RUNNER te configureren. Dit lek volgt kort op de reparatie van een andere kritieke kwetsbaarheid, CVE-2025-68613, die eveneens willekeurige code-executie mogelijk maakte.

Bron 1, 2

Het CERT Coordination Center heeft technische details vrijgegeven over een kritieke kwetsbaarheid in de TOTOLINK EX200 draadloze range extender. Het betreft een beveiligingslek in de firmware dat een kwaadwillende in staat stelt om op afstand de volledige controle over het apparaat over te nemen. Doordat de fabrikant geen patch heeft uitgebracht voor dit specifieke probleem, blijven actieve apparaten kwetsbaar voor manipulatie en overname.

De kwetsbaarheid is geregistreerd onder het kenmerk CVE-2025-65606 en bevindt zich in de logica voor foutafhandeling tijdens het uploaden van firmware. Wanneer het uploadmechanisme wordt geconfronteerd met een specifiek gemanipuleerd firmwarebestand, raakt het systeem in een abnormale foutstatus. Deze status triggert onbedoeld het opstarten van een telnet-service met root-rechten, waarvoor geen verdere authenticatie is vereist. Hierdoor kan een aanvaller die de foutconditie succesvol activeert, direct opereren met de hoogste privileges op het systeem.

Om deze aanval uit te voeren, dient een aanvaller in eerste instantie geauthenticeerde toegang te hebben tot de webbeheerinterface van de extender. Pas daarna kan de firmware-uploadfunctionaliteit worden misbruikt. Na een succesvolle exploitatie kan de aanvaller willekeurige commando's uitvoeren, configuratiebestanden wijzigen en permanente toegang tot het netwerk forceren. De ontdekking van dit mechanisme wordt toegeschreven aan beveiliger Leandro Kogan.

Volgens de gegevens van het CERT Coordination Center wordt de TOTOLINK EX200 niet langer actief onderhouden door de leverancier. De meest recente firmware-update voor dit model dateert van februari 2023. Aangezien er geen softwarematige oplossing beschikbaar is, wordt geadviseerd om de toegang tot de beheerinterface strikt te beperken tot vertrouwde netwerken en onbevoegde toegang fysiek of netwerktechnisch onmogelijk te maken. Voor een volledige eliminatie van het risico wordt het vervangen van de hardware door een ondersteund model aangeraden.

Bron 1

Onderzoek van The Shadowserver Foundation heeft een ernstige kwetsbaarheid aan het licht gebracht in diverse DSL-gateways van fabrikant D-Link. Het lek maakt het mogelijk voor kwaadwillenden om commando's te injecteren en deze vervolgens uit te voeren op de getroffen netwerkapparatuur. De kwetsbaarheid bevindt zich in het dnscfg.cgi-endpoint, waar invoer van gebruikers voor DNS-configuraties onvoldoende wordt gevalideerd. Hierdoor ontstaat de mogelijkheid voor aanvallers om de controle over de systemen over te nemen.

De beveiligingswaarschuwing is van toepassing op een reeks specifieke modellen, waaronder de DSL-2740R, DSL-2640B, DSL-2780B en de DSL-526B. Deze apparaten zijn door D-Link geproduceerd en verkocht in de periode tussen 2016 en 2019. Sinds het begin van 2020 vallen deze modellen onder de status 'end-of-life'. Dit betekent dat de fabrikant de actieve ondersteuning heeft gestaakt en dat er geen reguliere firmware-updates of beveiligingspatches meer voor deze apparatuur worden ontwikkeld.

D-Link adviseert gebruikers van de genoemde gateways om de apparatuur niet langer te gebruiken en deze te vervangen door modernere alternatieven die nog wel worden voorzien van beveiligingsupdates. Het bedrijf benadrukt dat het door variaties in productgeneraties en firmware-implementaties complex is om exact vast te stellen of ook andere modellen kwetsbaar zijn. Indien er kwetsbaarheden worden aangetroffen in apparaten die nog wel binnen de officiële ondersteuningstermijn vallen, zal de fabrikant alsnog een update beschikbaar stellen om het lek te dichten.

Bron 1

Veeam heeft beveiligingsupdates uitgebracht voor vier kwetsbaarheden in de Backup & Replication-software. De meest kritieke bevinding, geregistreerd onder CVE-2025-59470, heeft een CVSS-score van 9.0. Dit lek stelt een geautoriseerde gebruiker met de rol van Backup of Tape Operator in staat om op afstand code uit te voeren (remote code execution) als de Postgres-gebruiker. Dit misbruik is mogelijk door het verzenden van een malafide interval- of orderwaarde naar het systeem. Hoewel de CVSS-score kritiek is, classificeert de fabrikant de impact als hoog, omdat de aanval een geautoriseerd account vereist.

De kwetsbaarheden werden geïdentificeerd tijdens interne beveiligingstests. De problemen zijn aanwezig in Veeam Backup & Replication versie 13.0.1.180 en alle eerdere builds binnen de versie 13-reeks. Eerdere productlijnen, waaronder de 12.x-versies, worden volgens de huidige informatie niet beïnvloed door deze specifieke lekken. De kwetsbaarheden zijn definitief verholpen in versie 13.0.1.1071.

Naast de kritieke RCE-kwetsbaarheid zijn de volgende beveiligingslekken gedicht:

CVE-2025-55125 (CVSS 7.2): Stelt een Backup of Tape Operator in staat om remote code execution uit te voeren als root door middel van een gemanipuleerd configuratiebestand.

CVE-2025-59468 (CVSS 6.7): Stelt een Backup Administrator in staat om remote code execution uit te voeren als de Postgres-gebruiker via een malafide wachtwoordparameter.

CVE-2025-59469 (CVSS 7.2): Stelt een Backup of Tape Operator in staat om met root-rechten bestanden naar het systeem te schrijven.
Vanwege de centrale rol van back-upinfrastructuur in de bescherming tegen cyberdreigingen, wordt beheerders geadviseerd de update naar de herstelde versie (13.0.1.1071) met prioriteit uit te voeren.

Bron 1, 2

Het populaire workflow-automationplatform n8n heeft een officiële waarschuwing uitgegeven voor een kritieke beveiligingsfout die aanvallers in staat stelt om op afstand code uit te voeren. De kwetsbaarheid is geregistreerd onder het kenmerk CVE-2026-21877 en heeft de hoogst mogelijke ernstscore van 10.0 gekregen op de CVSS-schaal. Dit wijst op een zeer hoog risico voor de integriteit van de systemen waarop de software draait.

De kern van het probleem ligt bij de mogelijkheid voor een geauthenticeerde gebruiker om onder bepaalde omstandigheden onvertrouwde code te laten uitvoeren door de n8n-service. Volgens het beveiligingsadvies kan misbruik van dit lek leiden tot een volledige compromittering van de getroffen instance. De fout is ontdekt door beveiligingsonderzoeker Théo Lelasseux en treft zowel zelfgehoste installaties als de cloud-omgevingen van het platform.

Alle versies van n8n vanaf 0.123.0 tot en met 1.121.3 zijn vatbaar voor deze kwetsbaarheid. Er is inmiddels een oplossing beschikbaar in versie 1.121.3. Deze specifieke update is weliswaar al sinds november 2025 beschikbaar, maar de officiële waarschuwing voor de kritieke impact is pas recent gecommuniceerd. Gebruikers wordt dringend verzocht hun systemen te controleren en direct te updaten naar de gepatchte versie of een nieuwere uitgave.

Indien een onmiddellijke update technisch niet haalbaar is, adviseert de ontwikkelaar om tijdelijke mitigerende maatregelen te nemen. Het uitschakelen van de Git-node binnen de software en het strikt beperken van de toegang voor gebruikers die niet volledig worden vertrouwd, kan de kans op misbruik verkleinen zolang de noodzakelijke beveiligingsupdate nog niet is uitgevoerd.

Bron 1

De botnet GoBruteforcer, ook bekend onder de naam GoBrut, maakt gebruik van een modulaire architectuur om Linux-servers te infecteren en te exploiteren. De malware is volledig ontwikkeld in de programmeertaal Go en verspreidt zich via een keten van web shells, downloaders en IRC-bots. De primaire focus van deze botnet ligt op het uitvoeren van brute-force aanvallen op diensten die direct verbonden zijn met het internet, waaronder FTP-servers, MySQL- en PostgreSQL-databases en phpMyAdmin-beheerpanelen.

De huidige golf aan incidenten wordt gedreven door het grootschalige hergebruik van serverconfiguraties die door kunstmatige intelligentie zijn gegenereerd. Deze AI-modellen reproduceren vaak standaardvoorbeelden met generieke gebruikersnamen zoals appuser en myuser. Wanneer beheerders deze suggesties ongewijzigd overnemen in productieomgevingen, ontstaan er voorspelbare aanvalspunten die door de botnet worden uitgebuit. Daarnaast vormen verouderde softwareomgevingen, zoals XAMPP-installaties die standaard FTP-toegang en beheerdersinterfaces met minimale beveiliging aanbieden, een aanzienlijk risico.

Onderzoek wijst uit dat wereldwijd miljoenen databases en bestandsoverdrachtservers publiek bereikbaar zijn via hun standaardpoorten. Schattingen geven aan dat meer dan 50.000 van deze servers direct kwetsbaar zijn voor de inloggegevens die GoBruteforcer hanteert. Sinds medio 2025 is een geavanceerdere variant van de malware actief die gebruikmaakt van een sterk geobfusteerde IRC-bot, verbeterde persistentie op het systeem en methoden om kwaadaardige processen te maskeren. De aanvallers roteren hun doelwitten en wachtwoordlijsten meerdere keren per week om de effectiviteit van de campagnes te maximaliseren.

Een specifiek deel van de campagnes is gericht op databases van crypto- en blockchainprojecten. Op gecompromitteerde hosts zijn tools aangetroffen voor het scannen van TRON-saldi en het automatisch onderscheppen van tokens op de TRON- en Binance Smart Chain-netwerken. In een van de onderzochte gevallen werd een bestand met circa 23.000 TRON-adressen gevonden. Analyse van transacties op de blockchain bevestigt dat deze financieel gemotiveerde aanvallen in de praktijk hebben geleid tot het succesvol buitmaken van digitale activa door de beheerders van de botnet.

De operatoren van GoBruteforcer maken gebruik van Command and Control-servers (C2) om taken uit te sturen naar geïnfecteerde systemen. Deze taken bevatten specifieke lijsten met inloggegevens die zijn afgestemd op de doelgroep, variërend van algemene operationele accounts tot sectorgerichte gebruikersnamen in de cryptosector. De combinatie van zwakke wachtwoorden en het gebruik van standaard AI-configuraties biedt de aanvallers een efficiënte methode voor initiële toegang zonder dat hiervoor complexe exploits noodzakelijk zijn.

Bron 1

Een ernstig beveiligingslek in de OpenCTI-software stelt aanvallers in staat om zonder de juiste autorisatie volledige werkomgevingen te verwijderen. De kwetsbaarheid, geregistreerd onder CVE-2025-61781, heeft een CVSS-score van 7.1 en treft alle installaties met een versienummer lager dan 6.8.1. Omdat OpenCTI breed wordt ingezet voor het beheer van cyberdreigingsinformatie, vormt dit defect een direct risico voor de beschikbaarheid van kritieke data binnen organisaties.

De kern van het probleem bevindt zich in een specifieke GraphQL-mutatie, de WorkspacePopoverDeletetionMutation. Door een gebrek aan adequate eigendomscontroles kunnen dreigingsactoren met beperkte toegangsrechten de autorisatie omzeilen. Wanneer een aanvaller over een actief UUID van een gebruiker beschikt, kan deze via een door de gebruiker gecontroleerde SQL-sleutel objecten binnen de werkomgeving wissen. Dit omvat onder meer dashboards en specifieke onderzoeksdossiers.

Technisch gezien valt het lek onder de categorieën van onjuiste autorisatie en het ongecontroleerd aanpassen van objectattributen. Hoewel de vertrouwelijkheid van de gegevens niet direct in het geding is, is de impact op de operationele continuïteit groot. Een succesvolle exploitatie leidt tot de vernietiging van de werkomgeving zonder dat daar interactie van een legitieme gebruiker voor nodig is. Er zijn momenteel geen aanwijzingen dat er al publieke exploitatiecodes circuleren of dat er actief misbruik van de fout is gemaakt.

Beheerders dienen systemen zo snel mogelijk bij te werken naar versie 6.8.1 of een latere uitvoering om het risico te mitigeren. Naast het doorvoeren van deze updates is het noodzakelijk om de monitoring te verscherpen op verdachte activiteiten die kunnen duiden op pogingen tot ongeautoriseerde verwijderingen. Het installeren van de patch is afdoende voor toekomstige beveiliging, maar biedt geen herstel voor systemen die mogelijk in het verleden al zijn getroffen.

Bron 1, 2, 3

Het Nationaal Cyber Security Centrum (NCSC) heeft een waarschuwing afgegeven voor een kritieke kwetsbaarheid in de automatiseringssoftware n8n. Dit lek, aangeduid als Ni8mare en geregistreerd onder CVE-2026-21858, stelt ongeauthenticeerde aanvallers in staat om op afstand code uit te voeren (Remote Code Execution). De ernst van de kwetsbaarheid is vastgesteld op de maximale score van 10.0.

De kwetsbaarheid bevindt zich in de manier waarop n8n omgaat met specifieke, formuliergebaseerde workflows. Een aanvaller kan via deze weg toegang krijgen tot bestanden op de onderliggende server zonder dat daarvoor voorafgaande authenticatie nodig is. Dit maakt het mogelijk om inloggegevens van beheerders te stelen, waarna met admin-rechten nieuwe workflows kunnen worden gecreëerd om kwaadaardige code op het systeem te draaien.

De potentiële schade is aanzienlijk omdat n8n vaak fungeert als de centrale infrastructuur voor automatisering binnen organisaties. Het systeem is doorgaans gekoppeld aan diverse gevoelige bronnen, waaronder klantendatabases, Google Drive-omgevingen, OpenAI API-sleutels, betaalverwerkers en CI/CD-pipelines. Wereldwijd worden naar schatting 100.000 servers door dit beveiligingslek geraakt.

Gezien de publicatie van een proof-of-concept (PoC) en het wijdverbreide gebruik van de software, acht het NCSC de kans op misbruik zeer waarschijnlijk. Gebruikers wordt dringend geadviseerd om de beschikbare beveiligingsupdate direct te installeren. Daarnaast luidt het advies om n8n-servers alleen via het internet bereikbaar te maken wanneer dit strikt noodzakelijk is en om voor alle aangemaakte formulieren binnen de software authenticatie te vereisen.

Bron 1, 2, 3

Onderzoekers hebben een ernstig beveiligingslek vastgesteld in elektrische rolstoelen van de fabrikant Whill, waarmee kwaadwillenden de volledige besturing van het apparaat kunnen overnemen. De kwetsbaarheid is geregistreerd onder de code CVE-2025-14346 en heeft een ernstscore van 9.3 tot 9.8 toegekend gekregen, wat duidt op een zeer hoog risico. Het probleem is specifiek aanwezig in de modellen C2 en F, die ook op de Nederlandse markt worden aangeboden.

De beveiligingsfout bevindt zich in de bluetooth-implementatie van de rolstoelen. Deze functionaliteit wordt normaliter gebruikt om via een app de rolstoel te vergrendelen, instellingen te wijzigen of het apparaat op afstand te besturen. Uit analyse blijkt dat de bluetooth-verbinding geen authenticatie vereist. Hierdoor kan een aanvaller die zich binnen het bereik van het bluetooth-signaal bevindt, direct verbinding maken met de rolstoel zonder dat de gebruiker hiervoor toestemming geeft of enige handeling hoeft te verrichten.

Na het tot stand brengen van de verbinding kan een aanvaller de fysieke controle over de rolstoel overnemen. Dit omvat het aanpassen van configuratieprofielen, het negeren van de ingestelde snelheidslimiet en het besturen van de bewegingen. De ontdekkers van het lek, QED Secure Solutions, hebben via een demonstratievideo aangetoond hoe een kwetsbare rolstoel op deze wijze met hoge snelheid een trap afgestuurd kon worden. Hoewel de initiële koppeling nabijheid vereist, blijft de controle over het apparaat behouden zelfs als de afstand tussen de aanvaller en de rolstoel daarna groter wordt.

Volgens informatie van het Amerikaanse cyberagentschap CISA heeft de fabrikant op 29 december een beveiligingsupdate uitgebracht. Er is echter nog onduidelijkheid over de effectiviteit van deze patch, aangezien de onderzoekers deze niet ter verificatie hebben ontvangen. Daarnaast is niet bevestigd of de update automatisch naar de rolstoelen wordt gepusht of dat gebruikers zelf actief een updateprocedure moeten starten om het lek te dichten.

Bron 1, 2, 3

Cisco heeft een beveiligingsupdate uitgebracht voor een kwetsbaarheid in de Cisco Identity Services Engine (ISE), een oplossing die wordt gebruikt voor netwerktoegangsbeheer en de implementatie van zero-trust architecturen. Het lek, bekend onder kenmerk CVE-2026-20029, stelt aanvallers met beheerdersrechten in staat om toegang te krijgen tot gevoelige informatie op ongepatchte apparaten. Hoewel er momenteel geen meldingen zijn van actief misbruik, waarschuwt Cisco dat er publieke proof-of-concept exploitcode beschikbaar is die door aanvallers kan worden misbruikt.

De kwetsbaarheid wordt veroorzaakt door het onjuist parsen van XML-bestanden die worden verwerkt door de webgebaseerde beheerinterface van Cisco ISE en de Cisco ISE Passive Identity Connector (ISE-PIC). Een aanvaller kan dit lek uitbuiten door een kwaadaardig bestand naar de applicatie te uploaden. Een succesvolle exploitatie stelt de aanvalspartij in staat om willekeurige bestanden van het onderliggende besturingssysteem te lezen. Deze bestanden kunnen gevoelige gegevens bevatten die normaal gesproken afgeschermd zijn, zelfs voor beheerders. Om de kwetsbaarheid te kunnen misbruiken, moet de aanvaller beschikken over geldige administratieve inloggegevens.

Het beveiligingslek is aanwezig in verschillende versies van Cisco ISE, ongeacht de specifieke apparaatconfiguratie. Cisco adviseert organisaties die werken met versies ouder dan 3.2 om over te stappen naar een ondersteunde release waarin het lek is gedicht. Voor versie 3.2 en versie 3.3 is het lek verholpen vanaf Patch 8. Voor versie 3.4 is de oplossing beschikbaar in Patch 4. De meest recente softwareversie 3.5 is niet vatbaar voor deze kwetsbaarheid. Het bedrijf benadrukt dat eventuele tijdelijke maatregelen of mitigaties slechts als noodoplossing moeten worden gezien en dat het installeren van de software-updates noodzakelijk is om de blootstelling volledig weg te nemen.

Naast de patch voor ISE heeft Cisco gelijktijdig diverse kwetsbaarheden in het IOS XE-besturingssysteem aangepakt. Deze fouten stelden externe aanvallers zonder authenticatie in staat om de Snort 3-detectiemotor te herstarten. Dit kon leiden tot een denial-of-service of het verkrijgen van gevoelige informatie uit de datastroom. Voor deze specifieke IOS XE-kwetsbaarheden is op dit moment geen publieke exploitcode bekend en er zijn geen aanwijzingen dat deze actief worden misbruikt.

Cisco wijst erop dat eerdere kwetsbaarheden in ISE, zoals CVE-2025-20337, in het verleden doelwit zijn geweest van actieve exploitatie door dreigingsgroepen voor de inzet van malware. Daarnaast blijft een maximale beveiligingsfout in Cisco AsyncOS (CVE-2025-20393) momenteel nog wachten op een definitieve patch. Voor die specifieke situatie adviseert het bedrijf om de toegang tot de apparatuur te beperken tot vertrouwde hosts en deze achter firewalls te plaatsen om het netwerkverkeer te filteren.

Bron 1, 2

Onderzoekers op het gebied van cyberbeveiliging hebben elf ernstige beveiligingslekken openbaar gemaakt in Coolify, een veelgebruikt open-source platform voor het zelf hosten van applicaties en databases. Deze kwetsbaarheden kunnen leiden tot het volledig overnemen van servers door middel van authenticatie-omzeiling en het op afstand uitvoeren van willekeurige code. De ernst van de situatie wordt onderstreept door het feit dat meerdere lekken de hoogst mogelijke score van 10.0 op de CVSS-schaal hebben gekregen.

Een aanzienlijk deel van de gevonden problemen betreft command injection-kwetsbaarheden. Zo maken de lekken CVE-2025-66209 en CVE-2025-66210 het voor geautoriseerde gebruikers mogelijk om via de back-up- en importfunctionaliteiten van databases commando's uit te voeren op de hostserver of beheerde servers. Dit kan resulteren in een volledige compromittering van de infrastructuur en het ontsnappen uit containers. Vergelijkbare risico's zijn vastgesteld bij het beheer van PostgreSQL-configuraties, dynamische proxy-instellingen en het koppelen van bestandsdirectories, waarbij aanvallers met specifieke rechten root-toegang op de servers kunnen verkrijgen.

Naast deze technische tekortkomingen in de database- en proxyfuncties, zijn er lekken gevonden die te maken hebben met de invoer van Git-repositories en Docker Compose-bestanden. Kwetsbaarheden zoals CVE-2025-59157 en CVE-2025-64419 stellen gebruikers in staat om via invoervelden voor broncode of configuratiebestanden systeemcommando's uit te voeren met root-privileges. Ook is er een lek ontdekt, geregistreerd onder CVE-2025-64420, waarbij laag-geprivilegieerde gebruikers de private sleutel van de root-gebruiker kunnen inzien, wat directe ongeautoriseerde toegang tot de server via SSH mogelijk maakt.

Op het gebied van interfacebeveiliging is CVE-2025-59158 geïdentificeerd, een opgeslagen cross-site scripting-kwetsbaarheid. Hierdoor kan een gebruiker met weinig rechten kwaadaardige scripts injecteren die worden uitgevoerd in de browser van een beheerder wanneer deze specifieke projecten of middelen probeert te verwijderen.

Gegevens van het platform Censys tonen aan dat er wereldwijd bijna 53.000 Coolify-instanties direct via het internet bereikbaar zijn. Hoewel de grootste concentraties zich op dit moment in Duitsland, de Verenigde Staten en Frankrijk bevinden, vormt de aard van deze lekken een risico voor alle gebruikers van het platform. Hoewel er geen concrete aanwijzingen zijn dat de kwetsbaarheden reeds actief worden misbruikt, is een onmiddellijke update naar de meest recente versies noodzakelijk. De meeste lekken zijn verholpen in versies vanaf 4.0.0-beta.451 en 4.0.0-beta.420.7, hoewel de herstelstatus van enkele specifieke kwetsbaarheden (zoals CVE-2025-64420 en CVE-2025-64424) nog niet volledig is bevestigd.

Bron 1, 2, 3

Onderzoek door beveiligingsbedrijf Huntress toont aan dat drie kwetsbaarheden in VMware ESXi waarschijnlijk al een jaar voordat er officiële beveiligingsupdates verschenen, werden misbruikt bij aanvallen. Het gaat om de beveiligingslekken met de kenmerken CVE-2025-22224, CVE-2025-22225 en CVE-2025-22226. Deze kwetsbaarheden werden op 4 maart 2025 gepatcht door Broadcom voor diverse producten, waaronder VMware ESXi, Workstation Pro/Player, Fusion, Cloud Foundation en het Telco Cloud Platform.

De gevaarlijkste kwetsbaarheid binnen deze reeks is CVE-2025-22224. Dit betreft een out-of-bounds write waardoor een aanvaller vanuit een virtuele machine (VM) code kan uitvoeren op de onderliggende host-server. Deze vorm van een 'virtual machine escape' heeft een impactscore van 9.3 op een schaal van 10 gekregen. De andere twee lekken maken het mogelijk om informatie uit het procesgeheugen te lekken of de sandbox-beveiliging van de software te doorbreken. Hoewel Broadcom bij de release van de patches vorig jaar al meldde dat er misbruik was waargenomen, werd de startdatum van deze activiteiten niet gespecificeerd.

De analyse van Huntress is gebaseerd op een aangetroffen exploit-toolkit die specifiek is ontworpen voor aanvallen op VMware ESXi-hypervisors. In deze toolkit werd een bestandspad gevonden met de datum 19 februari 2024. Volgens de onderzoekers is dit een indicatie dat de kwetsbaarheden al geruime tijd voor het beschikbaar komen van de patches bekend waren bij aanvallers. De toolkit wordt gebruikt om een backdoor op de hypervisor te installeren, wat de aanvaller blijvende toegang verschaft.

De onderzochte toolkit ondersteunt 155 verschillende ESXi-builds, verspreid over de versies 5.1 tot en met 8.0. Een aanzienlijk deel van deze versies is inmiddels end-of-life en wordt niet langer door de fabrikant ondersteund. Volgens recente gegevens van The Shadowserver Foundation zijn wereldwijd nog ongeveer 34.000 ESXi-servers niet voorzien van de noodzakelijke updates van maart 2025. In Nederland zijn naar schatting 803 servers nog altijd kwetsbaar voor deze aanvalsmethode, terwijl in België 40 kwetsbare systemen zijn gedetecteerd.

Bron 1, 2

Uit cijfers van Google blijkt dat het afgelopen jaar een recordaantal kwetsbaarheden in het Windows-besturingssysteem actief is misbruikt door aanvallers. Het gaat hierbij specifiek om beveiligingslekken waarvoor op het moment van de aanval nog geen patch of software-update beschikbaar was. Google houdt deze gegevens bij in een doorlopend overzicht van misbruikte kwetsbaarheden in veelgebruikte softwareproducten. In totaal werden er vorig jaar 43 van dergelijke kwetsbaarheden vastgesteld waarbij pas na de ontdekking van het actieve misbruik een beveiligingsupdate werd uitgebracht.

Van dit totaal van 43 incidenten vonden er 18 plaats binnen Windows. Dit is het hoogste aantal actief aangevallen lekken in het besturingssysteem van Microsoft dat tot nu toe door Google is geregistreerd. De cijfers laten een stijgende lijn zien vergeleken met voorgaande jaren; in 2024 werden er 9 van dit soort kwetsbaarheden waargenomen en in 2023 waren dat er 12. De geconstateerde misbruikte lekken in Windows waren nagenoeg allemaal gericht op het verhogen van gebruikersrechten. Hierdoor kan een aanvaller die reeds toegang heeft verkregen tot een systeem de controle uitbreiden of specifieke beveiligingsbarrières omzeilen om het systeem verder te compromitteren.

Naast de gegevens over Windows bevat de rapportage ook cijfers over andere softwareleveranciers. Google registreerde in de eigen producten 8 actief misbruikte kwetsbaarheden, die hoofdzakelijk betrekking hadden op de browser Chrome. Dit is een daling ten opzichte van 2024, toen er nog 16 van dergelijke beveiligingslekken werden genoteerd. Bij Apple werd een lichte stijging waargenomen naar 9 misbruikte kwetsbaarheden in 2025, waar dit er in 2024 nog 5 waren. Dit aantal ligt echter lager dan in 2023, toen er 20 incidenten werden gemeld die vooral betrekking hadden op iOS en WebKit.

Bron 1

Softwarebedrijf SmarterTools heeft een kritieke kwetsbaarheid in de mailserversoftware SmarterMail verholpen zonder hier direct ruchtbaarheid aan te geven. Beveiligingsbedrijf watchTowr stelt dat de leverancier het lek, geregistreerd onder kenmerk CVE-2025-52691, al in oktober vorig jaar heeft gedicht. De kwetsbaarheid heeft de maximale impactscore van 10.0 en stelt ongeauthenticeerde aanvallers in staat om willekeurige bestanden te uploaden en code uit te voeren op de server. SmarterMail wordt veelgebruikt als alternatief voor Microsoft Exchange op Windows- en Linux-systemen.

De Singaporese overheid waarschuwde op 29 december voor het lek en adviseerde gebruikers onmiddellijk te updaten naar build 9413. Uit analyse van watchTowr blijkt echter dat deze specifieke build al sinds 10 oktober 2025 beschikbaar was. In de destijds gepubliceerde release notes werd geen melding gemaakt van de specifieke CVE of de ernst van het lek; er werd volstaan met de omschrijving algemene beveiligingsverbeteringen. Hierdoor waren beheerders zich maandenlang niet bewust van het acute risico dat hun niet-geüpdatete systemen liepen.

De strategie van SmarterTools heeft geleid tot verontwaardiging bij klanten, die hun onvrede uiten op het ondersteuningsforum van de leverancier. Het bedrijf verdedigt de keuze door te stellen dat het stilhouden van de details bedoeld was om klanten tijd te geven voor de update zonder aanvallers informatie te verschaffen. Naar aanleiding van de kritiek heeft SmarterTools gisteren alsnog een informatieve e-mail naar gebruikers gestuurd. Op het forum maken diverse beheerders inmiddels melding van malware op hun servers, hoewel een direct verband met misbruik van dit specifieke lek nog niet officieel is bevestigd.

Bron 1

Antivirusfabrikant Trend Micro heeft een dringende waarschuwing afgegeven voor een kritiek beveiligingslek in het beheerplatform Apex Central. De kwetsbaarheid, geregistreerd onder kenmerk CVE-2025-69258, stelt ongeauthenticeerde aanvallers in staat om op afstand willekeurige code uit te voeren met SYSTEM-rechten. Het Nationaal Cyber Security Centrum (NCSC) heeft de impact van dit lek gewaardeerd met een score van 9.8 op een schaal van 10, wat wijst op een zeer hoog risico voor de integriteit van de getroffen systemen.

Apex Central fungeert als de centrale spil voor het beheer van Trend Micro-beveiligingsoplossingen op gateways, mailservers, fileservers en endpoints. Door het beveiligingslek kan een aanvaller een specifiek geformatteerd bericht naar de server sturen. Dit resulteert erin dat een kwaadaardig DLL-bestand wordt geladen binnen een proces van Apex Central, waardoor de aanvaller volledige controle over het systeem kan verkrijgen met de hoogste rechten.

De ontdekking van het lek wordt toegeschreven aan beveiligingsonderzoekers van Tenable. Uit de chronologie van de melding blijkt dat de eerste rapportage al op 26 augustus vorig jaar plaatsvond. Vanwege technische complicaties bij Trend Micro, waaronder problemen met het ontsleutelen van de rapportage-e-mails, vertraagde de afhandeling. Pas na tussenkomst van de MITRE Corporation eind november werd het onderzoek door Trend Micro opgepakt. Op 1 december volgde de erkenning van het probleem, waarbij de fabrikant excuses maakte voor de vertraging in de communicatie.

Gezien het feit dat kwetsbaarheden in dit platform in het verleden doelgericht zijn ingezet bij aanvallen op organisaties, is de publicatie van de updates van groot belang voor de operationele veiligheid. Trend Micro heeft inmiddels patches beschikbaar gesteld om het lek te dichten. Beheerders van Apex Central worden dringend geadviseerd deze updates direct te installeren om misbruik te voorkomen.

Bron 1, 2

Het totale volume aan publiekelijk bekendgemaakte softwarekwetsbaarheden is in 2025 gestegen naar een recordhoogte van 48.185 CVE-meldingen. Dit betekent een toename van 20,6 procent in vergelijking met het voorgaande jaar. Uit een analyse van de National Vulnerability Database en de officiële CVE-lijst blijkt dat deze groei grotendeels wordt veroorzaakt door een verschuiving in het type software waarin kwetsbaarheden worden gerapporteerd.

Waar in het verleden de meeste CVE-meldingen afkomstig waren van grote leveranciers van besturingssystemen, werd de data in 2025 voor een belangrijk deel beïnvloed door beveiligingslekken in plugins van derden voor WordPress. Twee specifieke autoriteiten op het gebied van WordPress-beveiliging, Patchstack en Wordfence, waren gezamenlijk verantwoordelijk voor meer dan 10.000 van de geregistreerde kwetsbaarheden. Het onderzoek benadrukt dat deze lekken zich vrijwel uitsluitend voordoen in externe uitbreidingen en niet in de kernsoftware van het CMS-platform.

Ondanks de sterke stijging van het aantal meldingen is de gemiddelde ernst van de gevonden lekken stabiel gebleven. De gemiddelde CVSS-score bedroeg 6,60, waarbij de meeste kwetsbaarheden in de categorie 'medium' vielen. Desondanks werden bijna 19.000 lekken als hoog of kritiek geclassificeerd. De enorme hoeveelheid meldingen dwingt organisaties tot een strengere prioritering, waarbij niet alleen naar de ernstscore wordt gekeken, maar vooral naar de vraag of een kwetsbaarheid daadwerkelijk uitbuitbaar is binnen de specifieke bedrijfsomgeving.

De distributie van de meldingen over het jaar vertoonde aanzienlijke pieken. De maand december was verantwoordelijk voor 11 procent van het jaarlijkse totaal, en op 26 februari werden bijna 800 kwetsbaarheden op één dag gepubliceerd. De dinsdag blijft de drukste dag voor publicaties vanwege de vaste releasecycli van diverse softwareleveranciers. Een knelpunt bij de verwerking van deze data is dat 42,4 procent van de CVE-meldingen geen specifieke productidentificatie (CPE) bevatte, wat geautomatiseerde detectie door beveiligingsteams bemoeilijkt.

Voor het jaar 2026 wordt een verdere groei verwacht naar ongeveer 55.000 publicaties, wat een stijging van 15 procent ten opzichte van 2025 zou betekenen. Deze voortdurende toename van het volume aan kwetsbaarheden stelt de huidige methoden voor vulnerability management voor aanzienlijke schaalbaarheidsproblemen.

Bron 1

De monitoring van honeypot-sensoren in de derde week van januari 2026 geeft een helder inzicht in de kwetsbaarheden die momenteel door aanvallers worden geëxploiteerd. De verzamelde data tonen aan dat cybercriminele activiteiten in de Benelux zich concentreren op een mix van kritieke lekken in moderne webframeworks en hardnekkige zwakheden in oudere netwerkapparatuur.

Dreigingsbeeld in Nederland

In Nederland wordt de hoogste aanvalsactiviteit waargenomen op de kwetsbaarheid CVE-2023-38646 binnen Metabase. Met 59 unieke aanvalspogingen in de afgelopen 24 uur blijft dit een prioritair doelwit. Daarnaast is er een significante verschuiving zichtbaar naar recentere lekken uit 2025. CVE-2025-55182, een kritiek lek in Meta’s React Server Components, wordt op grote schaal gescand en staat bekend om zijn associatie met ransomware-aanvallen.

Ook de infrastructuur van Citrix NetScaler (CVE-2025-5777) en netwerkapparatuur van Cisco (CVE-2019-1653) vertonen constante activiteit. De data wijzen erop dat aanvallers gericht zoeken naar systemen die nog niet zijn bijgewerkt naar de meest recente beveiligingsversies van eind 2025.

Situatie in België

In België ligt het absolute aantal gedetecteerde aanvallen lager, maar de aard van de doelwitten is vergelijkbaar. De Huawei Home Gateway HG532 en MVPower DVR-systemen vormen hier de meest gescande categorieën, wat wijst op aanhoudende botnetactiviteit gericht op IoT-apparaten.

Net als in Nederland verschijnen ook in de Belgische statistieken de nieuwe lekken in React Server Components en CrushFTP. De aanwezigheid van diverse kwetsbaarheden die op de Known Exploited Vulnerabilities (KEV) lijst staan, zoals die in Draytek-routers, onderstreept dat Belgische infrastructuren continu worden getoetst op publiekelijk bekende zwakheden.

Detectie via honeytokens

De analyse benadrukt tevens de rol van honeytokens als effectief instrument binnen de cyber kill chain. Een honeytoken is een lokaas in de vorm van digitale gegevens die geen legitieme functie hebben. Zodra een aanvaller interactie heeft met dit token, volgt een onmiddellijke melding. Deze methode is privacyvriendelijk en technisch minder complex dan traditionele Intrusion Detection Systems (IDS), maar wordt in de praktijk nog beperkt toegepast. Het biedt organisaties een manier om zijwaartse bewegingen van indringers vroegtijdig te signaleren.

Overzicht

De actuele status van digitale dreigingen wordt momenteel sterk bepaald door een reeks kritieke kwetsbaarheden, waarbij de zogenaamde hype-score de mate van publieke belangstelling en urgentie op sociale media en nieuwsplatforms weergeeft. In de afgelopen vierentwintig uur zijn er tien specifieke kwetsbaarheden geïdentificeerd die een aanzienlijk risico vormen voor de integriteit van systemen.

Bovenaan de lijst staat CVE-2025-31324 in SAP NetWeaver Visual Composer met een kritieke score van 10.0. Door het ontbreken van een autorisatiecontrole kunnen aanvallers kwaadaardige binaire bestanden uploaden en webshells plaatsen, wat leidt tot volledige controle over het systeem. Een vergelijkbare maximale score van 10.0 is toegekend aan CVE-2025-20188 in Cisco IOS XE Software voor Wireless LAN Controllers. Hierbij maakt een harde JSON Web Token (JWT) het voor externe aanvallers mogelijk om met root-rechten bestanden te uploaden en opdrachten uit te voeren.

Ook binnen de infrastructuur voor automatisering en servers zijn ernstige lekken geconstateerd. De Erlang/OTP SSH-server vertoont in CVE-2025-32433 een fout in de protocolafhandeling, waardoor code-uitvoering zonder voorafgaande authenticatie mogelijk is. Voor het platform n8n zijn twee kritieke kwetsbaarheden gemeld: CVE-2026-21858, waarbij content-type verwarring misbruikt kan worden voor het lezen van bestanden, en CVE-2025-68613, waarbij geauthenticeerde gebruikers code kunnen uitvoeren buiten de isolatie van de runtime.

Beveiligingsoplossingen zelf zijn eveneens doelwit. CVE-2025-0108 betreft een authenticatie-bypass in de webinterface van Palo Alto Networks PAN-OS firewalls, die actief wordt misbruikt voor het uitvoeren van PHP-scripts. Daarnaast is er in Trend Micro Apex Central een LoadLibraryEX-kwetsbaarheid (CVE-2025-69258) ontdekt, waarmee aanvallers via poort 20001 en een kwaadaardige DLL code kunnen uitvoeren met SYSTEM-rechten.

Op het gebied van softwareontwikkeling en besturingssystemen zijn er risico's bij React Server Components (CVE-2025-55182), waarbij onveilige deserialisatie remote code execution mogelijk maakt. Voor mobiele platformen en Linux-omgevingen is CVE-2025-38352 relevant; een raceconditie in de kernel die kan leiden tot verhoogde rechten op Android-apparaten. Tot slot wordt gewezen op CVE-2025-46279 in de Apple Kernel, een rechtenprobleem dat inmiddels is verholpen in de updates voor macOS 26.2 en iOS/iPadOS 26.2.

Overzicht

Een zeer ernstig beveiligingslek in de automatiseringssoftware n8n vormt momenteel een actuele dreiging voor tienduizenden systemen wereldwijd. Volgens recente gegevens van The Shadowserver Foundation zijn er op dit moment nog zo’n zestigduizend servers niet bijgewerkt. Onder de kwetsbare systemen bevinden zich veertienhonderd servers in Nederland en ruim honderd in België. De kwetsbaarheid, die de naam Ni8mare draagt en geregistreerd staat als CVE-2026-21858, heeft de hoogst mogelijke ernstscore van 10.0 gekregen.

De kwetsbaarheid bevindt zich in n8n, een applicatie die veelvuldig wordt gebruikt om taken tussen verschillende platforms en services te automatiseren. Door het lek kunnen ongeauthenticeerde aanvallers toegang krijgen tot gevoelige bestanden op de server. Dit gebeurt via specifieke workflows die op formulieren zijn gebaseerd. Zodra een aanvaller toegang heeft tot deze bestanden, kunnen administrator-inloggegevens worden ontvreemd. Met deze toegangsrechten is het mogelijk om nieuwe workflows te creëren die kwaadaardige code uitvoeren op het volledige systeem.

Het Nationaal Cyber Security Centrum (NCSC) heeft gewaarschuwd dat misbruik van dit lek zeer waarschijnlijk is, aangezien er inmiddels publiekelijk bewijs is dat de kwetsbaarheid daadwerkelijk kan worden misbruikt via zogeheten proof-of-concept exploitcode. Hoewel het aantal kwetsbare servers sinds 9 januari is gedaald van 105.000 naar 60.000, blijft het risico voor de overgebleven systemen onverminderd hoog. Vooral in de Verenigde Staten staan met 27.000 installaties de meeste kwetsbare servers, maar de aanwezigheid van vele kwetsbare systemen in de Benelux vormt een direct risico voor de lokale digitale infrastructuur.

Bron 1

In de untgz-utility van de zlib-bibliotheek versie 1.3.1.2 is een ernstige kwetsbaarheid vastgesteld die kan leiden tot een globale bufferoverflow. Dit lek stelt kwaadwillenden in staat om via de commandoregel het geheugen van een systeem te corrumperen. De fout is direct terug te voeren op de wijze waarop de software gebruikersinvoer verwerkt zonder de omvang daarvan te controleren.

De technische kern van het probleem bevindt zich in de functie TGZfname(). Hierbij wordt gebruikgemaakt van een strcpy-aanroep die gegevens kopieert naar een statische globale buffer van exact 1.024 bytes. Omdat er geen limiet is ingesteld voor de lengte van de archiefnaam die als parameter wordt meegegeven, kan een invoer die de bufferomvang overschrijdt, gegevens buiten de gereserveerde geheugenruimte schrijven. Dit proces vindt plaats op het moment dat de functie wordt geactiveerd, nog voordat de utility begint met het daadwerkelijk openen of verwerken van een archiefbestand.

Onderzoek heeft uitgewezen dat de kwetsbaarheid eenvoudig te reproduceren is. Door de utility aan te roepen met een argument dat de gereserveerde 1.024 bytes overschrijdt, ontstaat er een out-of-bounds write. Dit leidt tot geheugencorruptie die invloed kan hebben op aangrenzende globale variabelen en objecten. Omdat de fout in het globale geheugensegment optreedt en niet op de stack, heeft de corruptie een blijvende impact op het verdere verloop van het programma.

De gevolgen van deze kwetsbaarheid zijn aanzienlijk. Naast het veroorzaken van systeemcrashes en denial-of-service, kan het lek afhankelijk van de specifieke systeemconfiguratie, compilerinstellingen en geheugenopbouw worden misbruikt voor de uitvoering van kwaadaardige code. De aanval vereist geen verhoogde privileges en de complexiteit om de fout te triggeren is minimaal, wat het een urgent risico maakt voor systemen waarin deze specifieke utility is geïntegreerd.

Bron 1

Onderzoekers van SUSE hebben kritieke kwetsbaarheden blootgelegd in InputPlumber, een hulpprogramma voor invoerapparaten op Linux dat een kernonderdeel vormt van besturingssystemen zoals SteamOS. De beveiligingslekken zijn geregistreerd onder de identificatienummers CVE-2025-66005 en CVE-2025-14338 en stellen aanvallers in staat om ongeautoriseerde UI-invoer te injecteren en denial-of-service condities te veroorzaken op getroffen systemen. De problemen komen voort uit inadequate autorisatiemechanismen binnen de D-Bus-interface en treffen alle versies van InputPlumber die ouder zijn dan v0.69.0.

InputPlumber functioneert door diverse fysieke Linux-invoerapparaten te combineren tot virtuele apparaten en draait hierbij met volledige rootrechten. Dit verhoogde bevoegdheidsniveau maakt de ontdekte fouten bijzonder risicovol, aangezien het ontbreken van correcte authenticatie betekent dat elke gebruiker op het systeem toegang kan krijgen tot de D-Bus-service. Zelfs accounts met lage privileges kunnen hierdoor communiceren met het proces en kritieke acties uitvoeren die normaal gesproken beperkt zouden moeten blijven tot beheerders of het systeem zelf.

Een van de ernstigste scenario's die door de onderzoekers is geschetst, betreft de injectie van gebruikersinvoer. Kwaadwillenden kunnen via de kwetsbare interface virtuele toetsenbordapparaten aanmaken en toetsaanslagen injecteren in de actieve sessie van een gebruiker. Dit mechanisme kan direct leiden tot het uitvoeren van willekeurige code binnen de context van de ingelogde gebruiker, wat resulteert in een compromittering van de sessie en de bijbehorende data. Dit vormt een specifiek risico voor gamingsystemen waar de sessie van de gebruiker vaak langdurig actief is.

Naast de injectieaanvallen is de software vatbaar gebleken voor denial-of-service aanvallen en informatielekken. De methode om samengestelde apparaten aan te maken accepteert bestandspaden van cliënten, wat misbruikt kan worden om geheugenuitputting te triggeren door speciale bestanden zoals /dev/zero door te geven. Dezelfde functionaliteit stelt aanvallers in staat om te testen of bepaalde bestanden op het systeem bestaan. Hierdoor kan gevoelige informatie uitlekken over bestanden die normaal niet toegankelijk zijn voor gebruikers met beperkte rechten, zoals de commandogeschiedenis van de rootgebruiker.

De ontwikkelaars van InputPlumber hebben de problemen inmiddels verholpen door over te schakelen op correcte Polkit-authenticatie, autorisatie standaard in te schakelen en systemd-hardening toe te passen. Valve heeft reeds gereageerd door SteamOS 3.7.20 uit te brengen, waarin de update naar InputPlumber v0.69.0 is verwerkt. Systeembeheerders van Linux-systemen die gebruikmaken van deze utility dienen de update onmiddellijk toe te passen om misbruik van de D-Bus-interface te voorkomen.

Bron 1

Beveiligingsonderzoekers hebben een kritieke kwetsbaarheid vastgesteld in de React Router-bibliotheek, een essentieel onderdeel voor veel moderne webapplicaties. Het lek, geregistreerd onder kenmerk CVE-2025-61686, stelt kwaadwillenden in staat om via een directory traversal-aanval toegang te verkrijgen tot serverbestanden of deze ongeautoriseerd te wijzigen. Met een ernstscore van 9.8 op de CVSS-schaal wordt de kwetsbaarheid als zeer ernstig beschouwd vanwege de potentiële impact en het relatieve gemak van exploitatie via het netwerk.

De technische oorzaak van het probleem ligt in de functie createFileSessionStorage wanneer deze wordt gebruikt met ongetekende cookies. Door sessiecookies op een specifieke manier te manipuleren, kan een aanvaller het systeem dwingen om bestanden te lezen of te schrijven buiten de beoogde sessiemappen. Hoewel de aanval beperkt is tot bestanden die voldoen aan de formaten van sessiebestanden, kan dit leiden tot het aanpassen van sessiegegevens die door de applicatielogica worden geretourneerd. In specifieke gevallen, afhankelijk van de rechten van het webserverproces en de configuratie van het bestandssysteem, kunnen ook gevoelige serverbestanden binnen het bereik van een aanval komen.

De kwetsbaarheid is aanwezig in verschillende pakketten binnen het ecosysteem van React Router en Remix. Getroffen versies omvatten @react-router/node van versie 7.0.0 tot en met 7.9.3, evenals de pakketten @remix-run/deno en @remix-run/node in alle versies tot en met 2.17.1. De effectiviteit van een poging tot misbruik hangt nauw samen met de permissies die aan de webserver zijn toegekend op het onderliggende besturingssysteem.

Beheerders en ontwikkelaars worden dringend geadviseerd om de getroffen software te updaten naar de herstelde versies. Voor @react-router/node is dat versie 7.9.4 of hoger. Gebruikers van Remix dienen over te stappen naar versie 2.17.2 of hoger voor zowel de Deno- als de Node-pakketten. De uitgebrachte beveiligingspatches introduceren noodzakelijke padvalidatie en opschoning om de directory traversal-route te blokkeren. Aanvullend wordt aangeraden om het gebruik van ongetekende cookies in sessie-implementaties te controleren en waar mogelijk de toegang van de webserver tot het bestandssysteem verder te beperken.

Bron 1

In het veelgebruikte Apache Struts 2-framework is een kritieke kwetsbaarheid ontdekt die aanvallers de mogelijkheid biedt om gevoelige gegevens te stelen en servers te compromitteren. Het lek, bekend onder de identificatie CVE-2025-68493, is een XML external entity (XXE) injectiekwetsbaarheid die miljoenen applicaties wereldwijd treft.

De zwakte bevindt zich in de XWork-component van het framework. Deze component is verantwoordelijk voor het verwerken van XML-configuratiebestanden. Het beveiligingslek ontstaat doordat de component XML-invoer niet strikt valideert, waardoor kwaadwillenden externe entiteiten kunnen injecteren. Dit kan leiden tot de diefstal van configuratiebestanden en inloggegevens van databases, maar ook tot Server-Side Request Forgery (SSRF) en Denial of Service (DoS) aanvallen. Onderzoekers van ZAST.AI hebben de fout ontdekt en gerapporteerd aan de Apache Foundation, die de ernst van de kwetsbaarheid als aanzienlijk heeft geclassificeerd.

De kwetsbaarheid is aanwezig in een groot aantal versies van het framework. Het betreft de versies 2.0.0 tot en met 2.3.37, versies 2.5.0 tot en met 2.5.33 en de moderne versies 6.0.0 tot en met 6.1.0. Omdat zowel actieve als verouderde versies (End-of-Life) kwetsbaar zijn, is de impact op de infrastructuur van organisaties potentieel groot.

Apache heeft een beveiligingsupdate uitgebracht in de vorm van Struts versie 6.1.1. Deze nieuwe versie dicht het lek en behoudt de achterwaartse compatibiliteit om de overstap voor beheerders te vergemakkelijken. Voor systemen waar een directe upgrade niet mogelijk is, kunnen tijdelijke maatregelen worden getroffen op JVM-niveau of via de configuratie van de SAXParserFactory om de toegang tot externe entiteiten handmatig te blokkeren. Het onmiddellijk inventariseren van gebruikte Struts-versies en het toepassen van de beschikbare patch is noodzakelijk om misbruik te voorkomen.

Bron 1

Een ernstige kwetsbaarheid in de open source AI-coding agent OpenCode stelt externe websites in staat om willekeurige code uit te voeren op de systemen van gebruikers. Het lek, geregistreerd onder kenmerk CVE-2026-22812, vereist geen enkele interactie van de gebruiker. Volgens beveiligingsonderzoeker Vladimir Panteleev is de impact van deze kwetsbaarheid vastgesteld op een score van 8.8 op de schaal van 10, wat wijst op een hoog risicoprofiel voor getroffen systemen.

De oorzaak van de kwetsbaarheid ligt in een ongeauthenticeerde HTTP-server die in versies ouder dan 1.0.216 automatisch door de software werd opgestart. Deze server maakte het voor willekeurige websites mogelijk om opdrachten uit te voeren op het systeem waar OpenCode actief was. In eerste instantie werd getracht dit probleem op te lossen door de CORS-policy (Cross-Origin Resource Sharing) aan te passen, maar de server bleef in de daaropvolgende versies nog steeds ongemerkt en automatisch op de achtergrond draaien, waardoor externe verbindingen mogelijk bleven.

Sinds versie 1.1.10 is de configuratie van de software aangepast en staat de betreffende server standaard uitgeschakeld. Uit de analyse van de onderzoeker blijkt echter dat de ontwikkelaars van OpenCode de kwetsbaarheid CVE-2026-22812 niet expliciet hebben vermeld in hun officiële uitingen. Gebruikers wordt geadviseerd om onmiddellijk te updaten naar de meest recente versie en te controleren of de HTTP-server inderdaad gedeactiveerd is.

Ondanks de doorgevoerde verbeteringen in versie 1.1.10 zijn volgens de onderzoeker nog niet alle beveiligingsproblemen verholpen. Er zou nog steeds een kwetsbaarheid aanwezig zijn die specifiek betrekking heeft op domeinen die eindigen op *.opencode.ai. Deze domeinen zouden in staat zijn om alsnog code uit te voeren op de systemen van gebruikers. Het is daarom noodzakelijk voor IT-professionals om de configuratie van de AI-assistent nauwgezet te monitoren.

Bron 1

Er is een kritiek beveiligingslek vastgesteld in Gogs, een platform dat wordt gebruikt voor het zelf hosten van Git-repositories voor softwareontwikkeling. Het lek, bekend onder de aanduiding CVE-2025-8110, wordt volgens officiële rapportages van het Amerikaanse cyberagentschap CISA en beveiligingsonderzoekers al geruime tijd actief misbruikt. De eerste incidenten waarbij deze kwetsbaarheid werd geëxploiteerd, dateren van juli vorig jaar.

De kwetsbaarheid is een path traversal-lek dat aanvallers de mogelijkheid biedt om bestanden te schrijven buiten de daarvoor bestemde mappen op de server. Door gevoelige systeem- of configuratiebestanden te overschrijven, kunnen kwaadwillenden de controle over de server verkrijgen en willekeurige code uitvoeren. Onderzoek heeft uitgewezen dat dit lek in de praktijk wordt aangewend om malware te installeren op kwetsbare systemen. In december vorig jaar werd de impact van de kwetsbaarheid becijferd op zeker zevenhonderd gecompromitteerde servers.

Hoewel de melding over dit lek al in de zomer van vorig jaar bij de ontwikkelaars van Gogs werd ingediend, is een fix om de kwetsbaarheid te mitigeren pas zeer recent beschikbaar gesteld. Vanwege het aangetoonde misbruik en het risico op gegevensinbreuk zijn overheidsinstanties in de Verenigde Staten inmiddels verplicht om hun systemen te patchen of het gebruik van de software te staken. Voor beheerders van Gogs-installaties is het noodzakelijk om de beschikbare update toe te passen om verdere exploitatie van dit lek te voorkomen.

Bron 1, 2

Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft een ernstige kwetsbaarheid in de Gogs-software toegevoegd aan de lijst van actief misbruikte beveiligingslekken. Gogs is een populair open-source platform, geschreven in de programmeertaal Go, dat organisaties gebruiken als alternatief voor diensten zoals GitHub of GitLab om hun eigen code-repositories te beheren. Het agentschap bevestigt dat de kwetsbaarheid is ingezet bij zero-day aanvallen, wat directe actie vereist van beheerders die deze systemen aan het internet hebben gekoppeld.

De kwetsbaarheid, met kenmerk CVE-2025-8110, betreft een fout die uitvoering van code op afstand (RCE) mogelijk maakt. Het probleem bevindt zich in de PutContents API van de software, waar een path traversal-zwakte aanwezig is. Hierdoor kunnen geauthenticeerde aanvallers beveiligingsmaatregelen omzeilen die waren geïmplementeerd voor een eerder gepatchte RCE-fout. Kwaadwillenden kunnen door het aanmaken van symbolische links bestanden buiten de repository overschrijven. Door specifiek configuratiebestanden van Git te manipuleren, zoals de sshCommand-instelling, kunnen aanvallers het doelsysteem dwingen om willekeurige commando's uit te voeren.

Het beveiligingslek werd in juli ontdekt door onderzoekers van Wiz tijdens een analyse van een malware-infectie op een Gogs-server. De onderzoekers rapporteerden de bevindingen op 17 juli aan de ontwikkelaars. Na de erkenning van het rapport op 30 oktober zijn vorige week patches uitgebracht die validatie toevoegen aan de invoerpunten waar bestanden worden weggeschreven. Uit de disclosedata blijkt dat er op 1 november een tweede aanvalsgolf plaatsvond waarbij deze kwetsbaarheid als zero-day werd ingezet. Tijdens het onderzoek naar deze campagnes werden wereldwijd meer dan veertienhonderd blootgestelde Gogs-servers aangetroffen, waarvan ruim zevenhonderd systemen tekenen van compromittering vertoonden.

Vanwege het actieve misbruik heeft CISA Amerikaanse federale overheidsinstanties de opdracht gegeven hun systemen uiterlijk 2 februari 2026 te patchen. Het agentschap waarschuwt dat dit type kwetsbaarheid een frequente aanvalsvector vormt voor kwaadwillende actoren en aanzienlijke risico's met zich meebrengt. Indien het installeren van updates of mitigaties niet direct mogelijk is, wordt geadviseerd het gebruik van de software te staken.

Om het risico op misbruik te verkleinen, wordt beheerders van Gogs-servers aangeraden de standaardinstelling voor openbare registratie uit te schakelen en toegang tot de server te beperken via een VPN of een allow list. Voor het detecteren van een mogelijke inbreuk dienen logbestanden geanalyseerd te worden op verdacht gebruik van de PutContents API. Daarnaast kan de aanwezigheid van repositories met willekeurige namen van exact acht tekens, die tijdens de aanvalsperiodes zijn aangemaakt, wijzen op een succesvolle aanval.

Bron 1, 2, 3

ServiceNow heeft een kritieke kwetsbaarheid in het ServiceNow AI-platform verholpen die ongeautoriseerde gebruikers de mogelijkheid bood om de identiteit van andere gebruikers aan te nemen. Dit beveiligingslek, geregistreerd onder CVE-2025-12420, heeft een CVSS-score van 9.3 gekregen. Door deze fout konden aanvallers zonder authenticatie handelingen verrichten namens legitieme gebruikers en de acties uitvoeren waartoe die gebruikers binnen het systeem gemachtigd waren.

De kwetsbaarheid werd in oktober 2025 ontdekt en gerapporteerd door beveiligingsonderzoeker Aaron Costello. ServiceNow heeft de tekortkoming op 30 oktober 2025 aangepakt door beveiligingsupdates uit te rollen naar de meeste gehoste omgevingen. Voor partners en klanten die hun systemen zelf beheren, zijn eveneens patches beschikbaar gesteld om de systemen te beveiligen.

De noodzakelijke updates zijn verwerkt in de volgende softwareversies: Now Assist AI Agents vanaf versie 5.1.18 en 5.2.19, en de Virtual Agent API vanaf versie 3.15.2 en 4.0.4. Hoewel er momenteel geen aanwijzingen zijn dat het lek daadwerkelijk is misbruikt door kwaadwillenden, benadrukt de aard van de kwetsbaarheid grote risico's. Ongeautoriseerde toegang tot de AI-functionaliteiten kan leiden tot het kopiëren van gevoelige bedrijfsgegevens, het wijzigen van dossiers en het onrechtmatig verhogen van gebruikersrechten. Beheerders van het platform wordt geadviseerd de betreffende softwareversies onmiddellijk te controleren en te actualiseren.

Bron 1

Op 13 januari 2026 heeft het Nationaal Cyber Security Centrum een beveiligingsadvies uitgebracht onder kenmerk NCSC-2026-0005. Dit advies betreft meerdere kwetsbaarheden die zijn aangetroffen in de industriële productlijnen van Siemens. Hoewel het NCSC de melding formeel heeft geclassificeerd met de prioriteit 'normaal', bevat de technische analyse kwetsbaarheden met de hoogst mogelijke risicoscore. De betrokken systemen maken deel uit van vitale infrastructuur en productieomgevingen, waaronder Industrial Edge Devices, SCALANCE-netwerkcomponenten, SIMATIC-automatiseringssystemen, SIPLUS-modules en de Telecontrol Server.

De technische aard van de gevonden lekken is divers. Er is onder meer sprake van Path Traversal, waarbij de beperking van padnamen naar afgeschermde mappen onvoldoende is. Daarnaast zijn er kwetsbaarheden vastgesteld in de neutralisatie van invoer bij het genereren van webpagina's, wat kan leiden tot Cross-site Scripting. Andere beveiligingsproblemen betreffen het uitvoeren van processen met onnodige privileges, ongecontroleerd gebruik van systeembronnen en het omzeilen van autorisatie via sleutels die door de gebruiker worden gecontroleerd. Een specifieke kwetsbaarheid, geregistreerd onder CVE-2025-40805, heeft een CVSS-score van 10.0 gekregen. Dit duidt op een kritieke ernst. Andere significante kwetsbaarheden zijn CVE-2025-40942 en CVE-2025-40944, met scores van respectievelijk 8.8 en 8.7.

Indien een aanvaller deze kwetsbaarheden succesvol uitbuit, kunnen de gevolgen variëren van een Denial-of-Service, waardoor systemen vastlopen, tot manipulatie van gegevens en het omzeilen van beveiligingsmaatregelen. In de meest ernstige gevallen is het mogelijk om op afstand willekeurige code uit te voeren met root- of beheerdersrechten (Remote Code Execution) of toegang te verkrijgen tot gevoelige systeemdata. Voor het uitvoeren van deze aanvallen is toegang tot de productieomgeving vereist. Het NCSC merkt op dat het niet publiek toegankelijk hebben van dergelijke omgevingen de standaard zou moeten zijn.

Het advies heeft betrekking op een groot aantal specifieke hardware- en softwareproducten. Dit omvat diverse versies van de Siemens Industrial Edge Cloud Device en Device Kits voor verschillende processorarchitecturen. Ook de SCALANCE LPE-serie, diverse SIMATIC Automation Workstations en I/O-modules uit de ET 200-reeks zijn kwetsbaar bevonden. Verder worden in het rapport vele varianten van de SIMATIC HMI Unified Comfort Panels genoemd, evenals industriële pc's zoals de SIMATIC IPC-serie en de IOT2050 gateways.

Siemens heeft beveiligingsupdates beschikbaar gesteld om deze kwetsbaarheden te adresseren. Voor situaties waarin directe patching niet mogelijk is of waarvoor nog geen update beschikbaar is, heeft de fabrikant mitigerende maatregelen gepubliceerd om de risico's te beperken. Systeembeheerders wordt geadviseerd de specifieke referenties van de leverancier te raadplegen voor de juiste implementatie van deze oplossingen.

Bron 1

Het Nationaal Cyber Security Centrum (NCSC) heeft op 13 januari 2026 een beveiligingsadvies gepubliceerd onder het kenmerk NCSC-2026-0006. Dit advies heeft betrekking op het verhelpen van meerdere kwetsbaarheden in diverse producten van softwareleverancier SAP. De melding is geclassificeerd met de prioriteit normaal, maar omvat een reeks technische gebreken die de vertrouwelijkheid, integriteit en beschikbaarheid van bedrijfskritische systemen in gevaar kunnen brengen. Systeembeheerders dienen alert te zijn op updates voor onder meer SAP S/4HANA, SAP HANA en SAP NetWeaver.

De aard van de geconstateerde kwetsbaarheden is divers en biedt aanvallers verschillende aanvalsvectoren. Uit de technische specificaties blijkt dat de systemen kwetsbaar zijn voor OS-commando-injectie, SQL-injectie en Code Injection. Daarnaast zijn er problemen vastgesteld met betrekking tot Cross-Site Scripting (XSS), Cross-Site Request Forgery (CSRF) en het ontbreken van cruciale authenticatie voor bepaalde functies. Ook onvoldoende encryptiesterkte en onjuiste autorisatiecontroles maken deel uit van de lijst met beveiligingslekken. Deze zwakheden kunnen door kwaadwillenden worden misbruikt om ongeautoriseerde toegang te verkrijgen tot gevoelige informatie of om systemen volledig te compromitteren.

Een specifiek risico wordt gevormd door de mogelijkheid tot het injecteren van schadelijke ABAP-code in producten zoals SAP S/4HANA en SAP HANA. Indien een aanvaller over beheerdersrechten beschikt, kan deze via deze weg de integriteit van het systeem ernstig aantasten. Andere kwetsbaarheden, zoals die in SAP Fiori Apps, kunnen leiden tot privilege-escalatie, waardoor gebruikers rechten kunnen verkrijgen die niet voor hen bestemd zijn. Het NCSC benadrukt dat de impact op de systemen aanzienlijk is, gezien de centrale rol die deze software speelt in bedrijfsprocessen.

Het advies heeft betrekking op een breed scala aan SAP-producten. De kwetsbaarheden zijn aangetroffen in SAP S/4HANA (zowel Private Cloud als On-Premise), SAP Wily Introscope Enterprise Manager, SAP Landscape Transformation, SAP HANA en de SAP Application Server voor ABAP. Ook SAP NetWeaver, SAP ECC, de SAP Business Connector en SAP Supplier Relationship Management zijn getroffen. Verder dienen organisaties die gebruikmaken van SAP Identity Management en de SAP User Management Engine hun systemen te controleren.

Aan de kwetsbaarheden zijn CVSS-scores toegekend die de ernst van de lekken aanduiden. De hoogste scores in deze reeks zijn vastgesteld op 8.7 (CVSS v4) voor CVE-2026-0500 en CVE-2026-0492. Ook CVE-2026-0498 en CVE-2026-0491 kennen een hoge score van 8.6. Een aanzienlijk deel van de overige CVE's, waaronder CVE-2026-0501 en CVE-2026-0511, heeft een score van 5.3. SAP heeft updates beschikbaar gesteld om deze beveiligingslekken te verhelpen, zoals beschreven in de Security Notes van januari 2026.

Bron 1

De leverancier van surveillancesystemen Hikvision wordt geconfronteerd met twee ernstige beveiligingsproblemen die aanvallers in staat stellen apparatuur te ontregelen. Het betreft twee stack overflow-kwetsbaarheden die zijn geregistreerd als CVE-2025-66176 en CVE-2025-66177. Beide kwetsbaarheden hebben een CVSS v3.1-score van 8.8 gekregen, wat duidt op een hoog risico met een aanzienlijke impact op de beschikbaarheid en integriteit van de systemen.

Onderzoekers hebben vastgesteld dat de kwetsbaarheden zich bevinden in de Search and Discovery-functie, een protocol dat wordt gebruikt voor netwerkdetectie. Een aanvaller die zich op hetzelfde lokale netwerk (LAN) bevindt, kan door het versturen van speciaal samengestelde datapakketten een stack overflow veroorzaken. Dit resulteert in het crashen of disfunctioneren van het getroffen apparaat. De aanval vereist toegang tot het aangrenzende netwerk, zoals een interne kantoorverbinding of gedeelde wifi, maar vereist geen inloggegevens of interactie van een gebruiker om te slagen.

De impact verschilt per CVE-code. CVE-2025-66176 heeft betrekking op specifieke producten in de Access Control-serie. CVE-2025-66177 treft een bredere groep apparaten, waaronder bepaalde modellen uit de NVR-, DVR-, CVR- en IPC-series. De ontdekkingen zijn gedaan door een lid van het Cisco Talos Team en de onafhankelijke onderzoekers Angel Lozano Alcazar en Pedro Guillen Nuñez. Zij benadrukken dat dergelijke denial-of-service aanvallen op kritieke infrastructuur kunnen leiden tot het uitvallen van cameratoezicht.

Hikvision heeft aangegeven dat er firmware-updates beschikbaar zijn via de officiële ondersteuningskanalen om deze lekken te dichten. Als tijdelijke maatregelen voor systemen die nog niet gepatcht kunnen worden, adviseert de fabrikant het toepassen van strikte netwerksegmentatie en het uitschakelen van ongebruikte detectiefuncties. Organisaties die gebruikmaken van deze apparatuur dienen waakzaam te zijn voor ongeautoriseerde apparaten binnen het lokale netwerk.

Bron 1, 2

Een kritieke kwetsbaarheid in het Angular-framework stelt aanvallers in staat om willekeurige JavaScript-code uit te voeren in de browsers van gebruikers. Het lek, geregistreerd onder de identificatie CVE-2026-22610, bevindt zich in de Template Compiler van de software. De fout treft verschillende versies van de pakketten @angular/compiler en @angular/core en heeft een CVSS v4-score van 7.6 gekregen, wat wijst op een hoge ernst.

Het technisch defect wordt veroorzaakt door een onvolledige validatie in het interne saniteringsschema van Angular. Hierbij worden de href en xlink:href attributen van SVG script-elementen onterecht niet aangemerkt als bron-URL's die strikt gecontroleerd moeten worden. Wanneer een applicatie gebruikmaakt van property binding om dynamische data aan deze attributen te koppelen, classificeert de compiler deze invoer als een ongevaarlijke reeks tekens in plaats van een risicovolle bronkoppeling.

Door deze misclassificatie kunnen kwaadaardige payloads, zoals data-URI's of verwijzingen naar externe scripts, de ingebouwde beveiliging omzeilen. Indien de kwetsbaarheid wordt misbruikt, kan een aanvaller toegang krijgen tot sessiecookies, authenticatietokens of gegevens in de lokale opslag van de browser. Dit kan leiden tot de overname van gebruikersaccounts of het uitvoeren van ongeautoriseerde handelingen namens de gebruiker.

De kwetsbaarheid is aanwezig in meerdere versies van het framework. Voor de versies binnen de 19.x, 20.x en 21.x reeksen zijn inmiddels updates beschikbaar gesteld, te weten versie 19.2.18, 20.3.16 en 21.0.7. Voor Angular versie 18.2.14 en alle eerdere versies is geen patch beschikbaar; gebruikers van deze versies moeten upgraden naar een nieuwere versie om het risico te mitigeren.

De mogelijkheid tot exploitatie hangt af van de specifieke inrichting van de webapplicatie. Het risico is aanwezig wanneer SVG script-elementen in templates worden gecombineerd met dynamische bindings voor de getroffen attributen en de data uit een onbetrouwbare bron komt. Beheerders en ontwikkelaars wordt geadviseerd om direct te updaten naar de gepatchte versies. Als tijdelijke maatregel kan het gebruik van dynamische bindings in combinatie met SVG script-elementen worden vermeden, mits aangevuld met strikte validatie aan de serverzijde.

Bron 1

Moxa heeft een kritiek beveiligingsadvies uitgebracht met betrekking tot CVE-2023-38408, een ernstige kwetsbaarheid in OpenSSH die diverse modellen Ethernet-switches van de fabrikant treft. Met een CVSS 3.1-score van 9.8 stelt deze fout ongeauthenticeerde aanvallers op afstand in staat om willekeurige code uit te voeren op kwetsbare apparaten, zonder dat daarvoor interactie van de gebruiker vereist is. De kern van het probleem ligt in een onbetrouwbaar zoekpad binnen de PKCS#11-functionaliteit van de OpenSSH ssh-agent, specifiek in versies voorafgaand aan 9.3p2.

De kwetsbaarheid is technisch geclassificeerd als CWE-428, wat duidt op een probleem met ongeciteerde zoekpaden. Wanneer een SSH-agent wordt doorgestuurd naar een systeem dat onder controle staat van een aanvaller, kan dit leiden tot het uitvoeren van code op afstand. Dit specifieke beveiligingslek wordt beschouwd als een onvolledige reparatie van een eerdere kwetsbaarheid die bekendstaat onder CVE-2016-10009. Succesvol misbruik van deze zwakte kan resulteren in volledige systeemcompromittering, waarbij de vertrouwelijkheid, integriteit en beschikbaarheid van het netwerkapparaat in gevaar komen.

Het beveiligingslek heeft impact op meerdere series switches van Moxa, waarbij specifieke firmwareversies kwetsbaar zijn bevonden. Binnen de EDS-serie betreft het de modellen EDS-G4000, EDS-4008, EDS-4009, EDS-4012, EDS-4014, EDS-G4008, EDS-G4012 en EDS-G4014 die functioneren op firmwareversie 4.1 of eerder. Voor de RKS-serie zijn de getroffen modellen de RKS-G4000, RKS-G4028 en RKS-G4028-L3 indien deze zijn voorzien van firmwareversie 5.0 of ouder. Moxa adviseert gebruikers om contact op te nemen met technische ondersteuning voor de benodigde patches.

Organisaties die gebruikmaken van de getroffen apparatuur uit de EDS-serie dienen te upgraden naar firmwareversie 4.1.58 om het lek te dichten. Gebruikers van de RKS-serie moeten een update uitvoeren naar versie 5.0.4. Zolang patches nog niet zijn geïmplementeerd, adviseert de fabrikant om strikte netwerktoegangscontroles toe te passen, zoals firewalls en toegangscontrolelijsten, om communicatie te beperken tot uitsluitend vertrouwde netwerken. Verder wordt aanbevolen om operationele netwerken te scheiden van bedrijfsnetwerken door middel van VLAN's of fysieke scheiding, onnodige netwerkdiensten uit te schakelen en directe blootstelling van de apparaten aan het internet te vermijden. Het toepassen van multifactorauthenticatie en continue monitoring van netwerkverkeer op afwijkende activiteiten wordt eveneens aangeraden als extra beveiligingslaag.

Bron 1

Tijdens de Patch Tuesday van januari 2026 heeft Microsoft een omvangrijke reeks beveiligingsupdates uitgebracht waarmee 114 kwetsbaarheden worden verholpen. Binnen deze update bevinden zich oplossingen voor drie zogeheten zero-day-kwetsbaarheden. Eén daarvan wordt momenteel actief misbruikt, terwijl de details van de andere twee reeds openbaar waren gemaakt voorafgaand aan de patch. Naast deze specifieke dreigingen pakt de update van deze maand acht kritieke kwetsbaarheden aan, waarvan de meerderheid betrekking heeft op het uitvoeren van externe code.

De meest urgente reparatie in deze cyclus betreft een actief misbruikt lek in de Desktop Window Manager, geregistreerd als CVE-2026-20805. Microsoft classificeert dit als een kwetsbaarheid die leidt tot het vrijgeven van informatie. Een aanvaller die succesvol misbruik weet te maken van deze fout, kan lokaal geheugenadressen uitlezen die gekoppeld zijn aan de externe ALPC-poort. Hoewel Microsoft heeft vastgesteld dat deze kwetsbaarheid in het wild wordt geëxploiteerd, zijn er geen specifieke details vrijgegeven over de aard van de aanvallen of de actoren die hierachter zitten.

Naast de actief uitgebuite kwetsbaarheid zijn er patches uitgebracht voor twee reeds bekende zero-days. De eerste, CVE-2026-21265, heeft betrekking op de veiligheid van het opstartproces. Certificaten die in 2011 zijn uitgegeven voor Windows Secure Boot naderen in 2026 hun vervaldatum. Zonder de updates van deze maand lopen systemen een verhoogd risico dat kwaadwillenden de beveiligde opstartprocedure kunnen omzeilen. De uitgebrachte update vernieuwt de betreffende certificaten om de vertrouwensketen intact te houden.

De tweede openbare zero-day betreft een eerder gemelde kwestie met stuurprogramma's van derden. Het gaat hier om CVE-2023-31096, een kwetsbaarheid in Agere Soft Modem-stuurprogramma's die misbruikt kon worden voor het verhogen van bevoegdheden. Microsoft heeft als definitieve maatregel besloten de kwetsbare drivers, specifiek de bestanden agrsm64.sys en agrsm.sys, met deze update volledig uit het Windows-besturingssysteem te verwijderen.

De overige 114 patches pakken diverse categorieën van kwetsbaarheden aan. De grootste groep bestaat uit 57 fouten die leiden tot een escalatie van bevoegdheden. Daarnaast zijn er 22 kwetsbaarheden opgelost die het uitvoeren van willekeurige code op afstand mogelijk maakten en eveneens 22 lekken die onbedoeld informatie konden vrijgeven. Onder de kritieke updates bevinden zich onder meer reparaties voor Microsoft Office, Excel en de Windows Local Security Authority Subsystem Service (LSASS).

Naast de updates van Microsoft hebben ook andere leveranciers in januari 2026 beveiligingspatches uitgebracht die relevant zijn voor systeembeheerders. Adobe heeft updates beschikbaar gesteld voor meerdere producten, waaronder Illustrator, InDesign en ColdFusion. Cisco heeft een patch uitgebracht voor een kwetsbaarheid in de Identity Services Engine waarvoor publieke exploitcode beschikbaar is. Ook andere partijen zoals Fortinet, SAP, Trend Micro, Veeam en Google (voor Android) hebben deze maand kritieke beveiligingslekken in hun software gedicht.

Naar overzicht

Een kritieke kwetsbaarheid in de serversoftware van SmarterMail stelt wereldwijd duizenden systemen bloot aan directe overname, waarbij ook tientallen servers in de Benelux direct gevaar lopen. Uit recente netwerkscans van 12 en 13 januari 2026 blijkt dat er binnen de Nederlandse landsgrenzen nog 53 servers via het internet bereikbaar zijn die niet over de noodzakelijke beveiligingsupdate beschikken. In België zijn er op dit moment nog 6 kwetsbare installaties gedetecteerd. Wereldwijd gaat het om meer dan 8.000 servers die vatbaar zijn voor deze aanvalsvorm.

De kwetsbaarheid staat geregistreerd onder de code CVE-2025-52691 en heeft de maximale ernstscore van 10.0 toegekend gekregen binnen het Common Vulnerability Scoring System. Het beveiligingslek wordt veroorzaakt door een fout in de verwerking van bestandsuploads, technisch aangeduid als een 'Unrestricted Upload of File with Dangerous Type'. Deze fout stelt kwaadwillenden in staat om zonder inloggegevens of enige vorm van authenticatie willekeurige bestanden naar de mailserver te sturen.

Wanneer een aanvaller erin slaagt een bestand te uploaden, kan dit vervolgens worden uitgevoerd met de rechten van de SmarterMail-dienst zelf. Dit leidt tot 'Remote Code Execution', wat in de praktijk betekent dat een externe partij de volledige controle over de server kan overnemen, data kan stelen of webshells kan plaatsen voor permanente toegang tot het achterliggende netwerk. Het lek bevindt zich in SmarterMail Build 9406 en alle eerdere versies.

De urgentie voor systeembeheerders is hoog aangezien er inmiddels werkende aanvalsscripts, zogenaamde proof-of-concept exploits, publiekelijk beschikbaar zijn op diverse platforms. Deze scripts maken gebruik van eenvoudige HTTP-verzoeken om kwaadaardige code, zoals .aspx-bestanden, te injecteren. Hoewel er nog geen grootschalige automatische aanvalscampagnes zijn bevestigd, verhoogt de beschikbaarheid van deze code de kans op misbruik aanzienlijk.

Om de kwetsbaarheid te verhelpen, is een update naar SmarterMail Build 9413 of de meest recente Build 9483 noodzakelijk. Organisaties die gebruikmaken van deze software wordt geadviseerd de versie van hun installatie direct te verifiëren. Als tijdelijke maatregel of ter controle op reeds plaatsgevonden inbraken, dienen logbestanden geanalyseerd te worden op verdachte uploadactiviteiten en dient de mapstructuur gecontroleerd te worden op de aanwezigheid van onbekende uitvoerbare bestanden.

Bron 1

Fortinet heeft een kritieke beveiligingsfout bekendgemaakt in de cw_acd daemon van FortiOS en FortiSwitchManager. De kwetsbaarheid wordt geclassificeerd als een heap-based buffer overflow (CWE-122). Deze technische tekortkoming stelt een externe, niet-geauthenticeerde actor in staat om op afstand willekeurige code of opdrachten uit te voeren. Dit kan worden gerealiseerd door het verzenden van specifiek geconstrueerde verzoeken via het netwerk naar het kwetsbare proces.

De impact van deze fout is aanzienlijk voor infrastructuren die gebruikmaken van Fortinet-firewalls, Secure Access Service Edge (SASE) oplossingen en gecentraliseerd switchbeheer. Systemen waarbij de fabric-interface is blootgesteld aan onbeveiligde netwerken lopen het grootste risico. De ontdekking van dit lek is gedaan door het interne beveiligingsteam van Fortinet. Hoewel er bij de initiële publicatie op 13 januari 2026 nog geen formeel CVE-nummer beschikbaar was, wordt de ernst van de situatie benadrukt vanwege de mogelijkheid tot volledige systeemovername zonder dat daarvoor geldige inloggegevens vereist zijn.

Overzicht van getroffen systemen en updates

Meerdere versies van Fortinet-software zijn kwetsbaar. Beheerders wordt dringend geadviseerd hun huidige firmwareversies te controleren aan de hand van de onderstaande tabel en de noodzakelijke upgrades uit te voeren.

Product | Kwetsbare Versies | Vereiste Oplossing

FortiOS 7.6 | 7.6.0 t/m 7.6.3 | Upgrade naar 7.6.4 of hoger

FortiOS 7.4 | 7.4.0 t/m 7.4.8 | Upgrade naar 7.4.9 of hoger

FortiOS 7.2 | 7.2.0 t/m 7.2.11 | Upgrade naar 7.2.12 of hoger

FortiOS 7.0 | 7.0.0 t/m 7.0.17 | Upgrade naar 7.0.18 of hoger

FortiOS 6.4 | 6.4.0 t/m 6.4.16 | Upgrade naar 6.4.17 of hoger

FortiSASE 25.2 | 25.2.b | Opgelost in versie 25.2.c

FortiSASE 25.1 | 25.1.a.2 | Migratie naar herstelde release noodzakelijk

FortiSwitchManager 7.2 | 7.2.0 t/m 7.2.6 | Upgrade naar 7.2.7 of hoger

FortiSwitchManager 7.0 | 7.0.0 t/m 7.0.5 | Upgrade naar 7.0.6 of hoger

Mitigatiestrategieën en tijdelijke maatregelen

Indien een onmiddellijke upgrade van de software niet uitvoerbaar is, heeft Fortinet twee technische maatregelen geformuleerd om het risico op misbruik te verkleinen. De eerste maatregel is het uitschakelen van de "fabric"-toegangsrechten op alle netwerkinterfaces. In de configuratie van de systeeminterfaces dient de parameter 'fabric' te worden verwijderd uit de lijst van toegestane toegangsprotocollen.

De tweede maatregel betreft het blokkeren van inkomend CAPWAP-CONTROL verkeer op de UDP-poorten 5246 tot en met 5249. Dit kan worden bewerkstelligd door het instellen van zogenaamde local-in policies. Hierbij wordt uitsluitend verkeer van vooraf gedefinieerde, vertrouwde bron-IP-adressen toegelaten, terwijl al het overige verkeer op deze poorten expliciet wordt geweigerd. Naast deze maatregelen is het noodzakelijk om de systeemlogs te controleren op ongebruikelijke patronen in het cw_acd-proces en beheerinterfaces waar mogelijk logisch te scheiden van het reguliere netwerkverkeer.

Bron 1

Op 13 januari 2026 zijn kritieke beveiligingsupdates uitgebracht voor Node.js om zeven kwetsbaarheden te verhelpen. De updates zijn van toepassing op alle actieve release-lijnen: 20.x, 22.x, 24.x en 25.x. De lekken variëren in ernst van laag tot hoog en kunnen leiden tot het uitlekken van gevoelige gegevens, denial-of-service (DoS) en het omzeilen van ingestelde toegangsrechten.

Beveiligingslekken met hoge ernstgraad

Er zijn drie kwetsbaarheden geïdentificeerd met een hoge impact. CVE-2025-55131 betreft een race-conditie in de vm-module, waardoor ongeïnitialiseerd geheugen in Buffer.alloc en Uint8Array zichtbaar kan worden. Dit brengt het risico met zich mee dat geheime informatie, zoals tokens, wordt blootgesteld. CVE-2025-55130 stelt aanvallers in staat om via symbolische koppelingen (symlinks) beperkingen in het bestandssysteem te omzeilen, waardoor toegang kan worden verkregen tot bestanden die normaal gesproken beschermd zijn door permissievlaggen. Het derde ernstige lek, CVE-2025-59465, veroorzaakt een crash bij HTTP/2-servers door de verwerking van malafide HEADERS-frames, wat leidt tot een remote denial-of-service.

Medium en lage kwetsbaarheden

Naast de kritieke patches zijn er vier lekken met een gemiddelde ernstgraad gedicht. CVE-2025-59466 betreft stack overflow-fouten binnen async_hooks die niet kunnen worden opgevangen, wat kan resulteren in een systeemcrash. CVE-2025-59464 verhelpt een geheugenlek dat optreedt tijdens de verwerking van TLS-clientcertificaten via OpenSSL. Voor de experimentele netwerkmodellen in versie 25.x lost CVE-2026-21636 een probleem op waarbij netwerkpermissies via Unix Domain Sockets konden worden omzeild. CVE-2026-21637 voorkomt servercrashes en het lekken van file descriptors door fouten in TLS-callbacks. Tot slot verhelpt CVE-2025-55132 (lage ernstgraad) een bug waarbij tijdsstempels van bestanden konden worden aangepast zonder de vereiste schrijfrechten.

Beschikbare updates en advies

De beveiligingsoplossingen zijn doorgevoerd in de volgende nieuwe versies:

• Node.js 20.20.0
• Node.js 22.22.0
• Node.js 24.13.0
• Node.js 25.3.0

Onderdeel van deze releases zijn tevens updates voor de componenten c-ares (1.34.6) en undici (6.23.0 of 7.18.0) om bekende kwetsbaarheden in deze bibliotheken aan te pakken. Gebruikers van Node.js wordt geadviseerd om hun installaties op korte termijn bij te werken naar de relevante nieuwe versie om de integriteit en beschikbaarheid van hun systemen te waarborgen.

Bron 1

Fortinet heeft op 13 januari 2026 melding gemaakt van een Server-Side Request Forgery (SSRF) kwetsbaarheid in de FortiSandbox-appliance. Het beveiligingslek stelt geauthenticeerde gebruikers in staat om via gemanipuleerde HTTP-verzoeken verbindingen te initiëren naar interne netwerkbronnen. De leverancier adviseert systeembeheerders updates toe te passen om risico's omtrent het ongeautoriseerd doorsturen van verkeer binnen het interne netwerk te beperken.

De kwetsbaarheid is geregistreerd onder identificatiecode CVE-2025-67685 en staat bij de leverancier bekend onder adviesnummer FG-IR-25-783. Het probleem bevindt zich in de grafische gebruikersinterface (GUI) en komt voort uit een gebrek aan invoervalidatie, geclassificeerd als CWE-918. Hierdoor kunnen aanvallers met beheerdersrechten verzoeken forceren naar localhost of interne IP-adressen via onversleutelde protocollen. Vanwege de vereiste hoge privileges en authenticatie is de ernst van het lek vastgesteld op een CVSSv3-score van 3.4, wat als laag wordt bestempeld.

Hoewel de score beperkt is, kan de kwetsbaarheid in strikt gesegmenteerde of air-gapped omgevingen leiden tot het uitlekken van metadata of toegang verschaffen tot interne services die normaal volledig afgeschermd zijn. De ontdekking van deze fout wordt toegeschreven aan onderzoek van het Trend Micro Zero Day Initiative. Er zijn op het moment van publicatie geen aanwijzingen gevonden dat deze kwetsbaarheid actief wordt misbruikt.

De getroffen softwareversies betreffen FortiSandbox 5.0.0 tot en met 5.0.4. Hiervoor is versie 5.0.5 beschikbaar gesteld als oplossing. Voor alle versies binnen de oudere 4.4, 4.2 en 4.0 reeksen adviseert de leverancier een volledige migratie naar een ondersteunde release. Beheerders wordt geadviseerd om GUI-logs te auditen op afwijkende interne verzoeken vanaf januari 2026 om potentieel misbruik uit te sluiten.

Bron 1

Het Nationaal Cyber Security Centrum heeft een beveiligingsadvies uitgebracht over een kwetsbaarheid in Microsoft SQL Server die inmiddels is verholpen. De zwakheid in de software stelt kwaadwillenden in staat om toegang te verkrijgen tot de debug-functionaliteit zonder dat daar de juiste authenticatie voor aanwezig is. Hierdoor kunnen geheugendumps worden gegenereerd die gevoelige informatie kunnen bevatten.

De ernst van dit lek ligt in het feit dat deze memory-dumps gegevens kunnen bevatten die buiten de directe scope van de SQL-server vallen. Hoewel een aanvaller voor succesvol misbruik reeds over verhoogde rechten binnen de SQL-omgeving moet beschikken, wordt het risico als substantieel beschouwd. Dit type dreiging wordt ook wel geclassificeerd als een insider-threat of een scenario met een kwaadwillende beheerder.

Vanwege de eenvoud van het misbruik en de mogelijke schade door het uitlekken van informatie, wordt een versnelde installatie van updates geadviseerd. Dit is met name van belang voor infrastructuren waar SQL Server draait op systemen met gedeelde resources, zoals cloud-omgevingen en gedeelde hardware-omgevingen. De kwetsbaarheid is geregistreerd onder CVE-2026-20803 en heeft invloed op Microsoft SQL Server 2022 en Microsoft SQL Server 2025 op x64-systemen.

Microsoft heeft updates gepubliceerd die deze kwetsbaarheid verhelpen. Het wordt aanbevolen om deze beveiligingsupdates direct te installeren. Gedetailleerde informatie over de installatie en de specifieke technische kenmerken van de kwetsbaarheid is beschikbaar via de officiële kanalen voor beveiligingsrichtlijnen van de softwarefabrikant.

Bron 1

In diverse onderdelen van Microsoft Azure zijn kwetsbaarheden vastgesteld die de veiligheid van cloudomgevingen in gevaar kunnen brengen. Het Nationaal Cyber Security Centrum (NCSC) heeft hierover een formeel beveiligingsadvies uitgebracht onder referentienummer NCSC-2026-0009. De kwetsbaarheden hebben betrekking op de Azure Connected Machine Agent, het Windows Admin Center en de Azure Core shared client library voor Python.

De technische tekortkomingen in de software maken verschillende aanvalsscenario's mogelijk. Er is onder meer sprake van een stack-based buffer overflow en onjuiste verificatie van cryptografische handtekeningen. Daarnaast is er een probleem geconstateerd bij de deserialisatie van onbetrouwbare gegevens. Een kwaadwillende die reeds over toegang tot het systeem beschikt via voorafgaande authenticatie, kan deze zwakheden misbruiken om zichzelf hogere rechten toe te kennen.

Met deze verhoogde rechten kan een aanvaller toegang krijgen tot gevoelige informatie of code uitvoeren waarvoor oorspronkelijk geen autorisatie was verleend. Voor de Azure Connected Machine Agent is een specifiek lek geïdentificeerd als CVE-2026-21224 met een CVSS-score van 7.8. Het Windows Admin Center is kwetsbaar via CVE-2026-20965, terwijl de Azure Core shared client library voor Python getroffen is door CVE-2026-21226, beide met een score van 7.5.

Microsoft heeft beveiligingsupdates uitgebracht die de beschreven risico's mitigeren. Het installeren van deze updates is noodzakelijk om misbruik te voorkomen. Systeembeheerders en professionele gebruikers kunnen voor specifieke installatie-instructies en technische details terecht bij de officiële documentatie van de softwareleverancier.

Bron 1

Het Nationaal Cyber Security Centrum heeft een uitgebreid beveiligingsadvies uitgebracht onder kenmerk NCSC-2026-0007 naar aanleiding van een reeks kwetsbaarheden in Microsoft Windows. De update van januari 2026 verhelpt diverse lekken in kritieke systeemcomponenten zoals de Windows Kernel, Windows Management Services en Secure Boot. De prioriteit van dit advies is door het NCSC geclassificeerd als normaal, maar de aard van de gedichte lekken varieert aanzienlijk in impact en complexiteit.

In het advies wordt specifieke aandacht gevraagd voor de kwetsbaarheid met kenmerk CVE-2026-21265. Microsoft heeft bevestigd dat informatie over dit lek reeds publiekelijk wordt besproken op diverse fora. Indien een aanvaller dit lek succesvol misbruikt, kan de Secure Boot-beveiliging worden omzeild. Hoewel de impact groot is, schat Microsoft de kans op grootschalig misbruik laag in. Een succesvolle aanval vereist namelijk diepgaande kennis van het specifieke systeem en de aanvaller moet reeds beschikken over verhoogde privileges op het doelapparaat.

Daarnaast bevat de update een oplossing voor CVE-2026-20805, een kwetsbaarheid die als zeroday-lek is geïdentificeerd. Dit betekent dat het lek daadwerkelijk is misbruikt voordat er een officiële patch beschikbaar was. Voor exploitatie van dit specifieke lek is echter lokale toegang tot het systeem vereist, evenals voorafgaande authenticatie van een gebruiker. Vanwege deze drempels wordt ook hier grootschalig misbruik op dit moment niet waarschijnlijk geacht.

Een opvallend onderdeel van deze beveiligingsronde is de definitieve verwijdering van verouderde Broadcom modem drivers voor Agere-modems. Hiermee wordt de kwetsbaarheid CVE-2023-31096 definitief geëlimineerd. Hoewel er voor dit oudere lek al geruime tijd Proof-of-Concept-code beschikbaar was, zijn er geen meldingen van grootschalige incidenten bekend. Door de drivers volledig uit Windows te verwijderen, is het risico voor systemen die deze hardware nog ondersteunden weggenomen.

De technische omschrijving van het NCSC toont aan dat de kwetsbaarheden een breed scala aan aanvalsvectoren beslaan. Er zijn lekken gedicht die betrekking hebben op buffer overflows, race conditions, type confusion en onjuiste invoervalidatie. Indien deze niet worden gepatcht, kunnen kwaadwillenden acties uitvoeren die variëren van het verkrijgen van verhoogde rechten (privilege escalation) en het uitvoeren van willekeurige code tot het manipuleren van gegevens of het veroorzaken van een Denial-of-Service-toestand.

Diverse Windows-onderdelen zoals de Local Security Authority Subsystem Service (LSASS), Windows NTLM en de Windows Media-component zijn in deze update meegenomen. Vooral binnen Windows Management Services zijn tal van lekken met een CVSS-score van 7.8 verholpen, wat wijst op een aanzienlijk risico voor het ongeoorloofd verkrijgen van systeemrechten. Voor organisaties en particuliere gebruikers in Nederland en België is het tijdig installeren van deze beveiligingsupdates de primaire methode om deze vastgestelde risico's te mitigeren.

Bron 1

Microsoft heeft een kwetsbaarheid verholpen in de Microsoft Windows SDK, specifiek binnen de Inbox Component Object Model (COM) objects. Deze architectuur wordt door softwareontwikkelaars gebruikt om applicaties te bouwen die communiceren met Outlook en Exchange. Het lek vormt met name een risico voor zelfontwikkelde software die gebruikmaakt van functies voor het verwerken van e-mail, mappen en de voorvertoning van berichten.

De kwetsbaarheid, geregistreerd onder kenmerk CVE-2026-21219, betreft een Use After Free-fout. Een kwaadwillende kan dit defect misbruiken om zonder voorafgaande authenticatie willekeurige code uit te voeren binnen de context van de kwetsbare applicatie. Voor een succesvolle aanval is interactie van een gebruiker noodzakelijk. Een slachtoffer moet worden misleid om een kwaadaardig bestand te openen of een malafide link te volgen binnen de betreffende software.

Het Nationaal Cyber Security Centrum heeft de prioriteit voor dit advies vastgesteld op Normaal, met een CVSS-score van 7.0. Microsoft heeft inmiddels beveiligingsupdates beschikbaar gesteld om dit probleem te corrigeren. Het wordt aanbevolen om deze updates te installeren via de officiële kanalen van de fabrikant. Verdere technische details over de kwetsbaarheid en de installatie van de updates zijn gedocumenteerd in de beveiligingsrichtlijnen van Microsoft.

Bron 1

Het Nationaal Cyber Security Centrum heeft een beveiligingsadvies uitgebracht naar aanleiding van meerdere kwetsbaarheden die zijn aangetroffen in diverse Microsoft Office-producten. Softwareleverancier Microsoft heeft patches beschikbaar gesteld om deze beveiligingslekken te dichten. De aangetroffen kwetsbaarheden variëren in ernst en aard, waarbij de impact op ongepatchte systemen aanzienlijk kan zijn.

Kwaadwillenden kunnen de beschreven kwetsbaarheden misbruiken om willekeurige code uit te voeren binnen de context van het slachtoffer, toegang te verkrijgen tot gevoelige gegevens of zich voor te doen als een andere gebruiker. Om een aanval succesvol uit te voeren, dient een aanvaller in veel gevallen reeds geauthenticeerd te zijn op het kwetsbare systeem. In andere scenario's is interactie van de gebruiker vereist, waarbij het slachtoffer moet worden misleid om een gemanipuleerd bestand te openen of op een link te klikken.

De technische aard van de verholpen fouten is divers. Het betreft onder meer problemen met onjuiste invoervalidatie, SQL-injectie, Cross-Site Scripting en Server-Side Request Forgery. Daarnaast zijn er diverse geheugenbeheerfouten hersteld, waaronder heap-based buffer overflows, integer underflows en use-after-free kwetsbaarheden. Ook zijn er lekken gedicht die betrekking hebben op onveilige deserialisatie van data en onjuiste toegangscontrole.

Binnen Microsoft Office SharePoint zijn meerdere kwetsbaarheden verholpen, waarbij de CVSS-scores oplopen tot 8.8. Deze scores duiden op een ernstige technische impact, waaronder de mogelijkheid tot het uitvoeren van willekeurige code. Voor Microsoft Excel en Microsoft Word zijn eveneens lekken gedicht die voornamelijk code-uitvoering mogelijk maken, met scores die veelal rond de 7.8 liggen. Een specifiek lek in Excel maakte daarnaast het omzeilen van beveiligingsmaatregelen mogelijk.

De kwetsbaarheden treffen een breed spectrum aan softwareversies. Dit omvat onder meer Microsoft 365 Apps for Enterprise, Office 2016, Office 2019, Office LTSC 2021 en Office LTSC 2024. Ook servertoepassingen zoals SharePoint Enterprise Server 2016, SharePoint Server 2019 en SharePoint Server Subscription Edition zijn vatbaar voor deze lekken. Systeembeheerders en gebruikers wordt geadviseerd kennis te nemen van de door de leverancier beschikbaar gestelde updates en deze te installeren om de beveiligingsrisico's te mitigeren.

Bron 1

Het Nationaal Cyber Security Centrum heeft op 14 januari 2026 melding gemaakt van meerdere kwetsbaarheden in Adobe Dreamweaver Desktop. De beveiligingsproblemen doen zich voor in versie 21.6 en eerdere versies van deze software. De kern van de problematiek betreft een onjuiste validatie van invoer en een gebrekkige neutralisatie van speciale elementen in commando's voor het besturingssysteem, wat ook wel wordt aangeduid als OS Command Injection.

De aangetroffen zwakheden creëren een risico waarbij ongeautoriseerde bestandsmanipulatie mogelijk is. Daarnaast kunnen kwaadwillenden in staat worden gesteld om willekeurige code op het doelsysteem uit te voeren. Voor een succesvolle exploitatie van deze kwetsbaarheden is interactie van de gebruiker vereist. Een aanvalsscenario omvat bijvoorbeeld het verleiden van een gebruiker om een specifiek geprepareerd, kwaadaardig bestand te openen binnen de applicatie.

De ernst van de lekken wordt weerspiegeld in de toegekende CVSS-scores. De kwetsbaarheden met de identificatienummers CVE-2026-21272, CVE-2026-21271, CVE-2026-21268 en CVE-2026-21267 hebben allen een score van 8.6 gekregen. Voor de kwetsbaarheid met kenmerk CVE-2026-21274 is een score van 7.8 vastgesteld. Ondanks dat de prioriteit van de melding als normaal is geclassificeerd, duiden deze waarden op een substantieel risico voor systemen die niet zijn bijgewerkt.

Adobe heeft updates uitgebracht om deze beveiligingslekken te dichten. De beschikbaar gestelde patches zorgen ervoor dat de invoervalidatie op de juiste wijze wordt uitgevoerd, waarmee de mogelijkheid tot misbruik wordt weggenomen. Gebruikers en beheerders van Adobe Dreamweaver Desktop kunnen de software bijwerken naar de nieuwste versie om de beschreven risico's te mitigeren.

Bron 1

Het Nationaal Cyber Security Centrum (NCSC) heeft op 14 januari 2026 een beveiligingsadvies uitgebracht met betrekking tot kritieke kwetsbaarheden in Adobe InDesign Desktop. De kwetsbaarheden hebben betrekking op de softwareversies 21.0 en 19.5.5, evenals alle voorgaande versies. Adobe heeft updates gepubliceerd om deze beveiligingslekken te dichten en de stabiliteit van de systemen te waarborgen.

De technische analyse wijst op verschillende kritieke kwetsbaarheden, waaronder een heap-based buffer overflow en een fout met een onjuist geïnitialiseerde pointer. Deze gebreken stellen aanvallers in staat om willekeurige code uit te voeren op het systeem van een gebruiker. Tevens is er een out-of-bounds read-kwetsbaarheid aangetroffen, waarmee ongeautoriseerde toegang tot gevoelige informatie in het systeemgeheugen kan worden verkregen. De meest urgente kwetsbaarheden, zoals geregistreerd onder CVE-2026-21276 en CVE-2026-21275, hebben een CVSS-score van 7.8 gekregen.

Voor de uitvoering van een aanval is interactie van een gebruiker noodzakelijk. Het beveiligingslek kan worden geëxploiteerd wanneer een gebruiker een specifiek geprepareerd kwaadaardig bestand opent met een kwetsbare versie van Adobe InDesign. Zodra het bestand is geopend, kan de schadelijke code-executie plaatsvinden zonder verdere tussenkomst van de gebruiker. Gezien de ernst van de kwetsbaarheden wordt geadviseerd om de beschikbare beveiligingsupdates direct te installeren.

Bron 1

Fortinet heeft beveiligingsupdates uitgebracht voor een kritieke kwetsbaarheid in FortiFone, een systeem voor VoIP-telefonie. Het lek stelt een ongeauthenticeerde aanvaller in staat om de configuratiegegevens van het apparaat te verkrijgen. De kwetsbaarheid is geregistreerd onder kenmerk CVE-2025-47855 en heeft op de CVSS-schaal een score van 9.3 gekregen, wat duidt op een zeer hoge impact.

Het beveiligingslek bevindt zich in de webportal van de FortiFone-oplossing. Uit de technische analyse blijkt dat het versturen van speciaal geprepareerde verzoeken (requests) naar deze portal voldoende is om toegang te krijgen tot de systeemconfiguratie. Omdat hiervoor geen voorafgaande inloggegevens of autorisatie vereist zijn, kan de kwetsbaarheid door externe partijen op afstand worden misbruikt.

Fortinet heeft bevestigd dat de kwetsbaarheid aanwezig is in specifieke softwareversies van de FortiFone-productlijn. De fabrikant heeft inmiddels gepatchte softwareversies beschikbaar gesteld om het probleem te verhelpen. Het verkrijgen van configuratiebestanden wordt als een ernstig risico beschouwd, aangezien deze bestanden gevoelige parameters en netwerkinformatie bevatten die kunnen worden gebruikt voor verdere aanvallen op de infrastructuur.

De melding van dit nieuwe lek volgt op eerdere rapportages van het Cybersecurity and Infrastructure Security Agency (CISA) over andere kritieke kwetsbaarheden binnen de telefonieproducten van Fortinet. Zo werd vorig jaar CVE-2025-32756 geïdentificeerd, een lek waarbij aanvallers willekeurige commando's konden uitvoeren op FortiVoice-systemen. Hoewel de aard van de huidige kwetsbaarheid (CVE-2025-47855) verschilt, onderstreept het de noodzaak voor het tijdig bijwerken van de betreffende VoIP-systemen.

Bron 1, 2

Fortinet heeft dringende beveiligingsupdates uitgebracht voor zijn SIEM-oplossing (Security Information and Event Management) om een kritieke kwetsbaarheid te verhelpen. Het lek, dat wordt aangeduid als CVE-2025-64155, heeft een CVSS-score van 9.4 en stelt aanvallers in staat om zonder authenticatie op afstand willekeurige code uit te voeren op kwetsbare systemen. Gezien de ernst van het lek en de beschikbaarheid van een proof-of-concept, is onmiddellijke actie door systeembeheerders vereist.

Technische details van de kwetsbaarheid

Het beveiligingsprobleem bevindt zich in de phMonitor-service van FortiSIEM. Dit achtergrondproces communiceert via TCP-poort 7900 en is verantwoordelijk voor het monitoren van de systeemstatus en taakverdeling. De kwetsbaarheid ontstaat door een gebrekkige neutralisatie van speciale elementen in OS-commando's (CWE-78). Wanneer een aanvaller specifieke TCP-verzoeken stuurt die gerelateerd zijn aan logging naar Elasticsearch, kan deze invoer worden gemanipuleerd om commando's uit te voeren op het onderliggende besturingssysteem.

Beveiligingsonderzoekers van Horizon3.ai, die het lek in augustus 2025 ontdekten, hebben de aanvalsmethodiek in detail beschreven. De exploitatie verloopt in twee fasen. Eerst maakt de aanvaller gebruik van 'argument injection' via de phMonitor-service. Hierdoor kan, zonder in te loggen, een willekeurig bestand op het systeem worden geschreven met beheerdersrechten. Vervolgens wordt dit bestand gebruikt voor privilege-escalatie. Door een script te schrijven naar een specifieke locatie die periodiek door een cron-job met root-rechten wordt uitgevoerd, verkrijgt de aanvaller volledige controle over de appliance.

Omdat de phMonitor-service commando's accepteert zonder voorafgaande authenticatie, is netwerktoegang tot poort 7900 voldoende om de kwetsbaarheid te misbruiken.

Getroffen versies en herstelacties

De kwetsbaarheid heeft impact op de Super- en Worker-nodes van FortiSIEM. Fortinet heeft patches beschikbaar gesteld en adviseert beheerders om de software zo snel mogelijk bij te werken.

Voor gebruikers van FortiSIEM versie 7.4 is een upgrade naar versie 7.4.1 of hoger noodzakelijk. Gebruikers van de 7.3-reeks dienen te upgraden naar minimaal versie 7.3.5. Voor de 7.2-tak is versie 7.2.7 of hoger vereist, en systemen die draaien op versie 7.1 moeten worden bijgewerkt naar 7.1.9 of hoger. Oudere installaties in de 6.7- en 7.0-reeksen moeten worden gemigreerd naar een van de ondersteunde vaste releases. FortiSIEM Cloud en versie 7.5 zijn niet kwetsbaar bevonden.

Indien direct patchen niet mogelijk is, adviseert de leverancier als tijdelijke maatregel om de toegang tot de phMonitor-poort (7900) strikt te beperken tot vertrouwde IP-adressen.

Kritiek lek in FortiFone

Naast de update voor FortiSIEM heeft Fortinet ook een patch uitgebracht voor een kritiek lek in FortiFone (CVE-2025-47855). Deze kwetsbaarheid, met een CVSS-score van 9.3, stelt ongeauthenticeerde aanvallers in staat om apparaatconfiguraties te verkrijgen via een gemanipuleerd HTTP-verzoek aan de webportal. Dit treft specifieke versies in de 3.0- en 7.0-reeksen van het platform.

Bron 1, 2, 3, 4, 5

Palo Alto Networks heeft beveiligingsupdates uitgebracht voor een kwetsbaarheid in de GlobalProtect Gateway en Portal-interfaces. Het lek, bekend onder de aanduiding CVE-2026-0227, heeft een CVSS-score van 7.7. De kwetsbaarheid stelt een ongeautoriseerde aanvaller in staat om zonder inloggegevens een denial-of-service (DoS) te veroorzaken. Indien de fout herhaaldelijk wordt getriggerd, kan de firewall in de onderhoudsmodus springen, waardoor de netwerkbeveiliging en de externe toegang worden onderbroken.

De oorzaak van het probleem ligt in een onjuiste afhandeling van uitzonderlijke condities binnen de PAN-OS-software. Het lek is ontdekt door een externe onderzoeker en er is inmiddels een proof-of-concept (PoC) beschikbaar die de werking van de kwetsbaarheid aantoont. De fout is specifiek aanwezig in configuraties waarbij de GlobalProtect-gateway of het portaal is geactiveerd op PAN-OS-apparaten of Prisma Access-omgevingen. De Cloud Next-Generation Firewall van de fabrikant is niet getroffen.

De kwetsbaarheid is aanwezig in diverse versies van PAN-OS, variërend van de oudere 10.1-serie tot de meest recente 12.1-versies. Omdat er geen alternatieve methoden of workarounds zijn om dit specifieke risico te mitigeren, is de installatie van de beschikbare software-updates de enige oplossing. Hoewel er op dit moment geen meldingen zijn van actief misbruik in praktijksituaties, wordt snelle actie geadviseerd vanwege de publieke beschikbaarheid van de exploitatiemethode en de strategische rol die deze firewalls spelen in netwerkinfrastructuren.

Bron

Adobe heeft beveiligingsupdates uitgebracht voor Adobe Illustrator om meerdere kwetsbaarheden te verhelpen. De ontdekte zwakheden hebben betrekking op de versies 29.8.3, 30.0 en eerdere edities van de software. Het Nationaal Cyber Security Centrum heeft de prioriteit van dit beveiligingsadvies ingeschat als normaal.

De eerste kwetsbaarheid wordt veroorzaakt door een probleem met een onbetrouwbaar zoekpad. Dit kan ertoe leiden dat kwaadwillenden willekeurige code kunnen uitvoeren binnen de context van de applicatie. Hiervoor is interactie van de gebruiker vereist, waarbij een speciaal geprepareerd bestand moet worden geopend. De tweede kwetsbaarheid betreft een zogenaamde NULL Pointer Dereference. Wanneer een gebruiker een kwaadaardig bestand opent, kan dit resulteren in het vastlopen of crashen van de applicatie. Beide beveiligingslekken kunnen de normale werking en functionaliteit van de software verstoren.

De kwetsbaarheden zijn geregistreerd onder de kenmerken CVE-2026-21280, met een CVSS-score van 8.6, en CVE-2026-21288 met een score van 5.5. De getroffen producten zijn Adobe Illustrator 2025 en Adobe Illustrator 2026. Adobe adviseert gebruikers en beheerders om de beschikbare updates te installeren om de risico's weg te nemen.

Bron

Een ernstige beveiligingsfout in de WordPress-plugin Modular DS is momenteel het doelwit van actieve uitbuiting. De kwetsbaarheid, bekend als CVE-2026-23550, wordt gekenmerkt door niet-geauthenticeerde privilege-escalatie en beïnvloedt alle versies tot en met 2.5.1. Deze fout is inmiddels verholpen in versie 2.5.2. De plugin kent meer dan 40.000 actieve installaties.

Volgens beveiligingsonderzoekers van Patchstack komt de kwetsbaarheid voort uit het routingmechanisme van de plugin, dat is bedoeld om bepaalde gevoelige routes te beschermen met een authenticatiebarrière. De plugin maakt gebruik van routes onder het prefix "/api/modular-connector/". Deze beveiligingslaag kan omzeild worden door een "origin" parameter ingesteld op "mo" en een willekeurige "type" parameter door te geven, waardoor een verzoek als een directe Modular-aanvraag wordt behandeld.

Zodra de website verbinding heeft gemaakt met Modular en er tokens aanwezig zijn, kan een ongeauthenticeerde aanvaller de auth-middleware omzeilen. Hierdoor worden meerdere routes blootgesteld, waaronder /login/, /server-information/, /manager/, en /backup/. Via deze routes kunnen verschillende acties worden uitgevoerd, zoals het toegang krijgen tot gevoelige systeem- of gebruikersgegevens.

De aanvalsmethoden werden voor het eerst opgemerkt op 13 januari 2026, om ongeveer 2 uur UTC, met HTTP GET-verzoeken naar de endpoint "/api/modular-connector/login/", gevolgd door pogingen om een admin account aan te maken. De aanvallen zijn afkomstig van IP-adressen als 45.11.89.19 en 185.196.0.11.

Gebruikers van de plugin worden met klem aangeraden om zo snel mogelijk te updaten naar de gepatchte versie 2.5.2. Patchstack benadrukt dat deze kwetsbaarheid het gevaar blootlegt van impliciet vertrouwen in interne verzoekpaden wanneer deze worden blootgesteld aan het publieke internet.

Bron

Een ernstig beveiligingslek in de Azure Single Sign-On implementatie van Windows Admin Center stelt Azure virtuele machines en systemen verbonden via Azure Arc bloot aan ongeautoriseerde toegang. De kwetsbaarheid, geregistreerd onder kenmerk CVE-2026-20965, maakt het mogelijk voor aanvallers om beveiligingsgrenzen tussen individuele machines en volledige Azure-omgevingen te doorbreken. Het lek werd ontdekt door Cymulate Research Labs en toont aan hoe onjuiste tokenvalidatie kan leiden tot volledige controle over een tenant.

Microsoft heeft inmiddels een beveiligingsupdate uitgebracht via de Windows Admin Center Azure Extension versie 0.70.00 op 13 januari 2026. Alle installaties ouder dan deze versie blijven kwetsbaar. Om misbruik te maken van het lek moet een aanvaller over lokale administratorrechten beschikken op een Azure VM of Arc-machine met Windows Admin Center, terwijl een geautoriseerde gebruiker verbinding maakt via de Azure Portal. Hoewel er nog geen gevallen van actief misbruik bekend zijn, wordt organisaties geadviseerd om hun systemen met terugwerkende kracht te controleren.

De technische oorzaak ligt bij het gebruik van twee verschillende tokens binnen Windows Admin Center: de WAC.CheckAccess-token voor rolgebaseerde toegang en een browser-gegenereerde Proof-of-Possession token om replay-aanvallen te voorkomen. Er bleek echter geen controle plaats te vinden of de gebruikersnamen op beide tokens overeenkwamen. Daarnaast accepteerde het systeem tokens van andere tenants en werden niet-gateway URL's in de tokens goedgekeurd. Hierdoor konden aanvallers tokens vervalsen en de isolatie van virtuele machines omzeilen.

Een succesvolle aanval stelt een kwaadwillende in staat om zich voor te doen als beheerders binnen verschillende resourcegroepen. Dit kan leiden tot zijwaartse verplaatsing binnen het netwerk, escalatie van privileges, diefstal van inloggegevens en de overname van volledige abonnementen. Om dergelijk misbruik te detecteren, wordt aangeraden om logs te monitoren op verdachte inlogpogingen van externe tenants, specifiek via virtuele accounts die eindigen op @https://www.google.com/search?q=externaltenant.onmicrosoft.com. Ook ongebruikelijke InvokeCommand-activiteit in vertrouwde contexten kan duiden op een inbreuk.

Systeembeheerders dienen de Windows Admin Center Azure Extension direct bij te werken naar versie 0.70.00 of hoger. Tevens is het raadzaam om Network Security Groups en Just-In-Time toegang strikt te beperken tot de gateway en de Windows Admin Center-logs continu te controleren op afwijkingen. Deze kwetsbaarheid onderstreept de risico's bij Azure SSO-implementaties waarbij kleine fouten in validatie de volledige segmentatie van cloudomgevingen teniet kunnen doen.

Bron

Microsoft heeft op 13 januari 2026 kritieke beveiligingsupdates uitgebracht om een kwetsbaarheid in Windows Remote Assistance te verhelpen. Dit beveiligingslek, geregistreerd onder kenmerk CVE-2026-20824, stelt kwaadwillenden in staat om de Mark of the Web (MOTW) beveiligingsfuncties te omzeilen. Deze ingebouwde bescherming is essentieel voor het beperken van risico's bij het openen van bestanden die van onbetrouwbare bronnen zoals het internet zijn gedownload. Het lek is geclassificeerd als een 'Security Feature Bypass' met een 'Important' ernstniveau en een CVSS-score van 5.5.

De kwetsbaarheid wordt veroorzaakt door een fout in de manier waarop Windows Remote Assistance gedownloade inhoud valideert en verwerkt. Een lokale aanvaller kan deze zwakte misbruiken om de MOTW-beveiliging te passeren, wat kan leiden tot aanzienlijke risico's voor de vertrouwelijkheid van gegevens. Voor een succesvolle exploitatie is interactie van de gebruiker vereist. Aanvallers maken hierbij vaak gebruik van social engineering-tactieken, zoals het versturen van kwaadaardige bestanden via e-mail of het misleiden van gebruikers om bestanden te downloaden van gecompromitteerde websites.

De impact van CVE-2026-20824 is breed, aangezien het lek aanwezig is in een groot aantal Windows-versies die veelvuldig worden gebruikt in zowel zakelijke als particuliere omgevingen in Nederland en België. De getroffen systemen omvatten verschillende versies van Windows 10 en Windows 11, evenals Windows Server-edities van 2012 tot en met de recente Windows Server 2025. Voor Windows 10 versie 22H2 is bijvoorbeeld update KB5073724 beschikbaar, terwijl gebruikers van Windows 11 afhankelijk van hun systeemarchitectuur KB5073455 of KB5074109 moeten installeren.

Microsoft benadrukt dat het installeren van deze updates noodzakelijk is voor een goede beveiligingsstatus. Hoewel er momenteel geen aanwijzingen zijn dat het lek actief wordt misbruikt en de kans op grootschalige exploitatie als 'minder waarschijnlijk' wordt ingeschat vanwege technische drempels, blijft de noodzaak tot patchen hoog. Beheerders van enterprise-omgevingen met Windows Server 2019, 2022 of 2025 wordt geadviseerd de specifieke KB-artikelen direct toe te passen om de integriteit van hun systemen te waarborgen.

Bron

Onderzoekers van de onderzoeksgroep Computer Security and Industrial Cryptography van de KU Leuven hebben een kritiek beveiligingslek ontdekt in het Fast Pair-protocol van Google. De kwetsbaarheid, die de naam WhisperPair heeft gekregen en wordt aangeduid als CVE-2025-36911, stelt aanvallers in staat om bluetooth-audioaccessoires zoals draadloze hoofdtelefoons, oortjes en luidsprekers over te nemen. Hierdoor kunnen kwaadwillenden gebruikers volgen en gesprekken afluisteren.

Het lek bevindt zich in de hardware van de accessoires zelf en niet in het besturingssysteem van de gekoppelde smartphone. Dit betekent dat ook iPhone-gebruikers die gebruikmaken van kwetsbare bluetooth-apparaten risico lopen. De fout komt voort uit een onjuiste implementatie van het Fast Pair-protocol door verschillende fabrikanten. Hoewel de specificaties voorschrijven dat apparaten koppelingsverzoeken moeten negeren wanneer ze niet in de koppelmodus staan, dwingen veel fabrikanten deze controle niet af. Hierdoor kan een ongeautoriseerd apparaat een koppeling tot stand brengen zonder dat de gebruiker hiervan op de hoogte is of toestemming geeft.

Een aanval kan worden uitgevoerd met elk apparaat dat over bluetooth beschikt, zoals een laptop of een Raspberry Pi. De aanvaller kan binnen enkele seconden en op een afstand tot veertien meter geforceerd koppelen met apparaten van merken als Google, Sony, JBL, Jabra, Logitech, Marshall, Nothing, OnePlus, Soundcore en Xiaomi. Zodra de koppeling is voltooid, krijgt de aanvaller volledige controle over het audioapparaat. Dit maakt het mogelijk om geluid op hoog volume af te spelen of mee te luisteren via de ingebouwde microfoon van het accessoire.

Daarnaast biedt CVE-2025-36911 de mogelijkheid om de locatie van slachtoffers te volgen via het Find Hub-netwerk van Google. Dit kan gebeuren als het accessoire nog nooit eerder met een Android-toestel is gekoppeld; de aanvaller voegt het apparaat dan toe aan het eigen Google-account. Hoewel slachtoffers na verloop van tijd een melding kunnen krijgen over een onbekende tracker, wordt hierbij hun eigen apparaat getoond, wat ertoe kan leiden dat zij de waarschuwing negeren als een softwarefout.

Google heeft de onderzoekers een beloning van 15.000 dollar toegekend en heeft gedurende een periode van 150 dagen met fabrikanten samengewerkt om beveiligingsupdates te ontwikkelen. Desondanks zijn updates mogelijk nog niet voor alle kwetsbare apparaten beschikbaar. De enige effectieve beveiliging tegen dit lek is het installeren van de nieuwste firmware-updates van de fabrikant. Het uitschakelen van Fast Pair op een Android-telefoon volstaat niet, omdat de functie op de audio-accessoires zelf actief blijft.

Bron

Google heeft details bekendgemaakt over een zeroclick exploit waarmee hackers op afstand code konden uitvoeren op Android-telefoons en hogere rechten konden verkrijgen. Deze aanval, ontdekt door Project Zero, de afdeling van Google die kwetsbaarheden in software onderzoekt, vereiste geen gebruikersinteractie en maakte misbruik van kwetsbaarheden in onder meer de Dolby-audiocodec.

Volgens een blogpostserie van Project Zero was het mogelijk om door het verzenden van een kwaadwillig spraakbericht via Google Messages, code uit te voeren in de Dolby-mediacodec. Vervolgens konden aanvallers via een privilege escalation 'ontsnappen' uit de mediacodec en code met kernelrechten uitvoeren.

De aanval maakte gebruik van twee specifieke bugs. De eerste, CVE-2025-54957, is een out-of-boundswritebug in de Dolby Unified Decoder, die wordt gebruikt om Dolby-audioformaten te decoderen. De tweede bug, CVE-2025-36934, werd gevonden in een kerneldriver en maakte het mogelijk om hogere rechten op de telefoon te verkrijgen.

Het risico op dergelijke zeroclickexploits neemt toe naarmate telefoons meer AI-functies krijgen. In dit geval kon de kwetsbaarheid plaatsvinden doordat AI wordt gebruikt om spraakberichten te transcriberen. Dit vereist dat de berichten direct na ontvangst worden ontsleuteld, in plaats van pas wanneer de gebruiker ze beluistert.

Project Zero ontdekte de aanvalsmogelijkheid op de Pixel 9, maar het team vermoedt dat de kwetsbaarheid ook op andere Android-toestellen aanwezig was. Google biedt vanaf de Pixel 8 een beschermingsmaatregel die de privilege-escalationaanval zou verhinderen, maar deze is alleen actief als gebruikers de optie Geavanceerde bescherming inschakelen. Volgens Google is dezelfde aanval niet mogelijk op iPhones, omdat de Dolby Unified Decoder op deze toestellen een extra beveiliging bevat tegen out-of-boundswriteaanvallen. Project Zero heeft Dolby opgeroepen om deze beveiliging ook op andere platforms te implementeren.

Het is onduidelijk hoe lang de telefoons kwetsbaar zijn geweest voor deze aanval. Project Zero informeerde Dolby op 26 juni 2025 over de bug. Het Pixel-team van Google ontving pas op 8 oktober patches om de bugs te dichten. De daadwerkelijke implementatie van deze patches vond echter pas op 5 januari 2026 plaats. Samsung was de eerste Android-fabrikant die de kwetsbaarheid verhielp, namelijk op 12 november 2025.
Bron

Op 15 januari 2026 zijn er meerdere kritieke kwetsbaarheden onthuld in AVEVA Process Optimization, zo blijkt uit een rapport vrijgegeven door CISA (Cybersecurity and Infrastructure Security Agency). De kwetsbaarheden, aangeduid met CVE-2025-61937, CVE-2025-64691, CVE-2025-61943, CVE-2025-65118, CVE-2025-64729, CVE-2025-65117 en CVE-2025-64769, kunnen een aanvaller in staat stellen op afstand code uit te voeren, SQL-injecties uit te voeren, privileges te escaleren of toegang te krijgen tot gevoelige informatie.

AVEVA Process Optimization wordt wereldwijd ingezet in kritieke productie-industrieën. Het hoofdkantoor van het bedrijf is gevestigd in het Verenigd Koninkrijk. De blootgelegde kwetsbaarheden omvatten onder andere: Incorrecte controle van codegeneratie ('Code Injection'), incorrecte neutralisatie van speciale elementen gebruikt in een SQL-opdracht ('SQL Injection'), ongecontroleerd zoekpad-element, ontbrekende autorisatie, gebruik van potentieel gevaarlijke functies en het versturen van gevoelige informatie in platte tekst.

Christopher Wu van Veracode heeft deze kwetsbaarheden gemeld aan AVEVA, waarna AVEVA de melding heeft doorgegeven aan CISA. Hoewel er momenteel geen meldingen zijn van actieve misbruik van deze specifieke kwetsbaarheden, adviseert CISA gebruikers om defensieve maatregelen te nemen om het risico op exploitatie te minimaliseren.

Aanbevolen maatregelen omvatten: het minimaliseren van de netwerkblootstelling van alle systemen, met name systemen die gebruikt worden voor industriële controle, en ervoor zorgen dat deze niet toegankelijk zijn vanaf het internet. Het lokaliseren van control system netwerken en remote devices achter firewalls, afgescheiden van bedrijfsnetwerken. Indien remote access noodzakelijk is, wordt geadviseerd om gebruik te maken van veilige methoden zoals Virtual Private Networks (VPN's), waarbij men zich bewust moet zijn van eventuele kwetsbaarheden in VPN's zelf en deze dient te updaten naar de meest recente versie. Bovendien benadrukt CISA dat een VPN slechts zo veilig is als de verbonden apparaten.

CISA adviseert organisaties tevens om een grondige impactanalyse en risicobeoordeling uit te voeren voordat defensieve maatregelen worden geïmplementeerd. Aanvullende richtlijnen en aanbevolen werkwijzen zijn beschikbaar op de ICS-webpagina van CISA (cisa.gov/ics).

Daarnaast wijst CISA op het belang van bescherming tegen social engineering aanvallen en adviseert om niet op web links te klikken of bijlagen te openen in ongevraagde e-mailberichten.

Bron

Op 16 januari 2026 heeft het Nationaal Cybersecurity Centrum (NCSC) een beveiligingsadvies uitgebracht met betrekking tot diverse kwetsbaarheden in de ArubaOS-software van Aruba Networks. De beveiligingslekken zijn aangetroffen in de webmanagementinterfaces van de systemen AOS-8 en AOS-10. Deze kwetsbaarheden stellen kwaadwillenden in staat om onder andere willekeurige bestanden te verwijderen, een stack overflow te veroorzaken of commando's uit te voeren via command injection. Daarnaast is er sprake van onjuiste verwerking van invoergegevens, wat de integriteit van de systemen in gevaar kan brengen.

Misbruik van deze beveiligingslekken kan verstrekkende gevolgen hebben voor de veiligheid van het netwerk. Een aanvaller kan ongeautoriseerde toegang verkrijgen tot het systeem, belangrijke bestanden manipuleren of verwijderen en opdrachten uitvoeren met verhoogde privileges. Om deze acties succesvol uit te voeren, moet de kwaadwillende echter wel toegang hebben tot de Command Line of de managementinterface van het betreffende apparaat. Het NCSC benadrukt dat het een best practice is om dergelijke beheerinterfaces niet direct toegankelijk te maken via het publieke internet, maar deze onder te brengen in een afgeschermde beheeromgeving.

De ernst van de verschillende kwetsbaarheden varieert, waarbij de hoogste CVSS-score is vastgesteld op 8.2. In totaal zijn er twaalf CVE-nummers aan dit advies gekoppeld, variërend van kritieke fouten tot minder zware beveiligingsrisico's zoals onveilige overgeërfde permissies en het uitlezen van gegevens buiten de toegestane grenzen. Aruba Networks heeft inmiddels software-updates beschikbaar gesteld om de gedetecteerde kwetsbaarheden in HPE ArubaOS te verhelpen. Gebruikers van de getroffen systemen wordt geadviseerd de updates te installeren om de risico's op misbruik te minimaliseren.

Bron

Op 16 januari 2026 heeft het Nationaal Cybersecurity Centrum (NCSC) een beveiligingsadvies uitgebracht met betrekking tot meerdere kwetsbaarheden in Juniper Networks Junos OS. Deze kwetsbaarheden hebben specifiek betrekking op apparaten uit de SRX- en MX-series, evenals bepaalde configuraties binnen de EX- en QFX-series. De geïdentificeerde problemen variëren van clickjacking en Denial-of-Service (DoS) tot het uitvoeren van ongeautoriseerde acties door ongeauthenticeerde aanvallers.

De technische aard van de kwetsbaarheden is divers en omvat onder andere stack-based buffer overflows, memory leaks, use-after-free scenario's en race conditions. Misbruik van deze zwakheden kan leiden tot ernstige serviceonderbrekingen, netwerkinstabiliteit of het crashen van kritieke processen zoals de routing protocol daemon (rpd) of de chassis management daemon (chassisd). In specifieke gevallen, zoals bij de SRX- en MX-series, kunnen malformed pakketten of specifiek geformuleerde commando's het systeem instabiel maken. Ook zijn er kwetsbaarheden gevonden in de afhandeling van BGP-updates en IS-IS-pakketten die tot netwerkverstoringen kunnen leiden.

Beveiligingsbeheerders wordt geadviseerd de impact op hun netwerkinfrastructuur te beoordelen en de door Juniper Networks beschikbaar gestelde updates te installeren. Deze updates adresseren de verschillende zwakheden om de integriteit en beschikbaarheid van de netwerksystemen te waarborgen. De kwetsbaarheden zijn gecategoriseerd met een normale prioriteit, maar vereisen desondanks tijdige actie om misbruik door kwaadwillenden te voorkomen.

Bron

Het Nationaal Cyber Security Centrum (NCSC) meldt dat er verschillende beveiligingslekken zijn gedicht in TYPO3 CMS. Deze kwetsbaarheden hebben betrekking op specifieke versies van het veelgebruikte content management systeem en kunnen de integriteit van gegevens en de beschikbaarheid van websites ernstig in gevaar brengen. De gevonden gebreken maken het voor kwaadwillenden mogelijk om toegangscontroles op veldniveau te omzeilen, waardoor zij ongeautoriseerde gegevens kunnen invoegen in beveiligde databasevelden. Daarnaast is geconstateerd dat redirect-records zonder enige beperking gemanipuleerd kunnen worden.

Een ander specifiek risico bevindt zich in de recycler-module. Backend-gebruikers die toegang hebben tot deze module kunnen gegevens uit elke databasetabel verwijderen zonder over de vereiste machtigingen te beschikken. Verder is er een gevaar voor systemen waarbij lokale gebruikers schrijftoegang hebben tot de mail-file spool directory. Door onveilige deserialisatie van gegevens kunnen deze gebruikers willekeurige PHP-code uitvoeren op de server. TYPO3 heeft inmiddels updates beschikbaar gesteld om deze kwetsbaarheden, die geregistreerd staan onder verschillende CVE-nummers met een CVSS-score tot 7.1, te verhelpen. Gebruikers en beheerders wordt geadviseerd de beschikbare updates direct door te voeren om de risico's te minimaliseren.

Bron

Cisco heeft beveiligingsupdates beschikbaar gesteld voor een kritieke kwetsbaarheid in de Cisco Secure Email Gateway en de Cisco Secure Email & Web Manager. Het lek, geregistreerd onder kenmerk CVE-2025-20393, werd al sinds eind november vorig jaar misbruikt door aanvallers, terwijl Cisco op 17 december voor het eerst waarschuwde voor de problematiek zonder op dat moment over patches te beschikken. De kwetsbaarheid heeft de maximale impactscore van 10.0 gekregen op een schaal van 1 tot 10.

De beveiligingsfout stelt een kwaadwillende in staat om willekeurige commando's uit te voeren met rootrechten op het onderliggende besturingssysteem van de betreffende appliance. Dit geldt voor zowel de fysieke als de virtuele uitvoeringen van de Secure Email Gateway, voorheen bekend als de Email Security Appliance, en de Secure Email & Web Manager, voorheen de Security Management Appliance. Deze systemen worden in zakelijke omgevingen ingezet voor het filteren van e-mailverkeer tegen diverse digitale dreigingen.

Voorwaarde voor misbruik van dit lek is dat de appliance is geconfigureerd met de Spam Quarantine-functie en dat deze functie direct vanaf het internet bereikbaar is. Cisco benadrukt dat deze specifieke functionaliteit niet standaard is ingeschakeld. In gevallen waarbij aanvallers succesvol een systeem hebben gecompromitteerd, installeren zij een persistent covert channel. Hiermee behouden zij op afstand toegang tot het apparaat, zelfs nadat de initiële aanval heeft plaatsgevonden.

In de herziene versie van het beveiligingsbulletin heeft Cisco gedetailleerde informatie toegevoegd over de specifieke versies die kwetsbaar zijn en de stappen die beheerders moeten ondernemen om de updates te installeren. Hoewel bekend is dat de kwetsbaarheid al geruime tijd actief wordt misbruikt, is het exacte aantal wereldwijd gecompromitteerde systemen op dit moment niet vastgesteld. Beheerders van de genoemde Cisco-oplossingen wordt geadviseerd de beschikbaarheid van de updates voor hun specifieke configuraties te controleren.

Een cross-site scripting (XSS) kwetsbaarheid in het web-based beheerpaneel van de StealC info-stealer malware heeft onderzoekers in staat gesteld om actieve sessies te observeren en informatie te verzamelen over de hardware van de aanvallers.

StealC verscheen begin 2023 en groeide snel in populariteit vanwege zijn vermogen tot ontwijking en uitgebreide data-diefstal. In april van het voorgaande jaar, met de release van versie 2.0, introduceerde de ontwikkelaar Telegram bot ondersteuning voor real-time alerts en een nieuwe builder voor het genereren van StealC builds op basis van templates en aangepaste data-diefstal regels.

De broncode van het beheerpaneel van de malware werd gelekt, waardoor onderzoekers de kans kregen deze te analyseren. CyberArk onderzoekers ontdekten een XSS-kwetsbaarheid waardoor ze browser- en hardware fingerprints van StealC operators konden verzamelen, actieve sessies konden observeren, sessie cookies konden stelen en panel sessies op afstand konden overnemen.

Door de kwetsbaarheid te misbruiken, konden onderzoekers kenmerken van de computers van de dreigingsactoren identificeren, inclusief algemene locatie-indicatoren en computer hardware details. Ze konden ook actieve sessie cookies ophalen, waardoor ze de controle over sessies vanaf hun eigen machines konden verkrijgen.

CyberArk heeft geen specifieke details over de XSS-kwetsbaarheid bekendgemaakt om te voorkomen dat StealC operators deze snel zouden opsporen en repareren. Het rapport belicht het geval van een StealC klant, aangeduid als 'YouTubeTA', die oude, legitieme YouTube kanalen kaapte, waarschijnlijk met behulp van gecompromitteerde inloggegevens, en infecterende links plaatste.

Deze cybercrimineel voerde malware campagnes uit in 2025, waarbij meer dan 5.000 slachtoffer logs werden verzameld en ongeveer 390.000 wachtwoorden en 30 miljoen cookies werden gestolen. Screenshots van het panel van de dreigingsactor tonen aan dat de meeste infecties plaatsvonden wanneer slachtoffers zochten naar gekraakte versies van Adobe Photoshop en Adobe After Effects.

Door gebruik te maken van de XSS-kwetsbaarheid konden de onderzoekers vaststellen dat de aanvaller een Apple M3-gebaseerd systeem gebruikte met Engelse en Russische taalinstellingen, de Oost-Europese tijdzone gebruikte en toegang had tot het internet via Oekraïne. Hun locatie werd blootgelegd toen de dreigingsactor vergat het StealC panel via VPN te verbinden. Dit onthulde hun echte IP-adres, dat was gekoppeld aan de Oekraïense ISP TRK Cable TV.

CyberArk merkt op dat malware-as-a-service (MaaS) platforms een snelle schaalvergroting mogelijk maken, maar ook een significant risico op blootstelling van dreigingsactoren met zich meebrengen.

Onderzoeker Ari Novick verklaarde dat de openbaarmaking van de XSS kwetsbaarheid bedoeld is om de werking van StealC te verstoren, gezien de recente toename van StealC operators. Hij hoopt dat de openbaarmaking leidt tot een heroverweging van het gebruik van StealC, wat kan resulteren in een significante verstoring van de MaaS markt.

Bron

Op 15 januari 2026 heeft het Centre for Cybersecurity Belgium (CCB) een waarschuwing gepubliceerd over meerdere kwetsbaarheden in Elastic Kibana. De kwetsbaarheden, aangeduid als CVE-2026-0532, CVE-2026-0543, CVE-2026-0530 en CVE-2026-0531, betreffen verschillende versies van Kibana 7.x, 8.x en 9.x.

CVE-2026-0532 (CVSS score 8.6) maakt het voor een geauthenticeerde gebruiker met rechten om connectoren te creëren of aan te passen mogelijk om willekeurige bestanden te onthullen via een vervalste JSON payload in de Google Gemini connector configuratie.

CVE-2026-0543 (CVSS score 6.5) stelt een geauthenticeerde gebruiker met view-level rechten in staat om een denial-of-service te veroorzaken voor alle gebruikers door een connector actie uit te voeren met een speciaal vervaardigd e-mailadres.

CVE-2026-0530 (CVSS score 6.5) geeft een geauthenticeerde aanvaller de mogelijkheid om Kibana redundante verwerkingsoperaties te laten uitvoeren die systeembronnen verbruiken door een speciaal vervaardigd verzoek te verzenden, wat leidt tot service degradatie of volledige onbeschikbaarheid.

CVE-2026-0531 (CVSS score 6.5) maakt het voor een geauthenticeerde aanvaller met lage privileges, equivalent aan de viewer rol, mogelijk om Kibana redundante database retrieval operaties te laten uitvoeren door een speciaal vervaardigd bulk retrieval verzoek te verzenden, wat kan leiden tot een crash van de server en volledige onbeschikbaarheid.

Het CCB adviseert om updates voor kwetsbare apparaten met de hoogste prioriteit te installeren na grondige tests. Organisaties wordt aangeraden hun monitoring- en detectiemogelijkheden te verbeteren om verdachte activiteiten te identificeren. Incidenten kunnen worden gemeld via de website van het CCB. Het installeren van updates beschermt tegen toekomstige exploitatie, maar herstelt geen eerdere compromitteringen.

Bron

Het ontwikkelingsteam van de programmeertaal Go heeft noodupdates uitgebracht voor de versies 1.25.6 en 1.24.12. Deze releases adresseren zes beveiligingslekken met een aanzienlijke impact, waaronder risico's op denial-of-service, willekeurige code-executie en problemen met de afhandeling van TLS-verbindingen. De updates zijn van groot belang voor ontwikkelaars en beheerders van systemen die gebruikmaken van de standaardbibliotheek van Go, in het bijzonder bij webservers, cryptografische tools en build-systemen.

Een van de opvallende kwetsbaarheden bevindt zich in het pakket net/http. Bij het verwerken van URL-encoded formulieren met een excessief aantal sleutel-waarde-paren kan geheugenuitputting optreden, waardoor servers onbereikbaar worden. Daarnaast bevat het pakket archive/zip een fout in de indexering van bestandsnamen, wat eveneens kan leiden tot een denial-of-service via speciaal geprepareerde ZIP-archieven.

Ernstigere risico's zijn vastgesteld in de cmd/go toolchain. Een fout in CgoPkgConfig stelt aanvallers in staat om vlag-sanitisatie te omzeilen, wat kan resulteren in de uitvoering van willekeurige code. Ook de verwerking van versiebeheersystemen zoals Git en Mercurial binnen de toolchain vertoonde gebreken. Hierdoor kunnen kwaadaardige moduleversies of domeinen code uitvoeren of bestanden overschrijven via aangepaste paden tijdens het ophalen van modules.

Op het gebied van encryptie zijn er problemen geconstateerd binnen crypto/tls. De functie voor het klonen van configuraties lekte automatisch gegenereerde sessietickets, waardoor onbevoegde hervatting van sessies mogelijk werd. Tevens werden controles op de geldigheid van de volledige certificaatketen soms genegeerd en konden handshake-berichten op een onjuist encryptieniveau worden verwerkt, wat informatielekken tot gevolg kan hebben. Gebruikers wordt geadviseerd direct over te stappen naar de gepatchte versies om deze risico's te mitigeren.

Bron

Onderzoekers van XM Cyber hebben twee beveiligingslekken geïdentificeerd in Google Vertex AI, een platform voor kunstmatige intelligentie. Door standaardconfiguraties in de Vertex AI Agent Engine en Ray op Vertex AI kunnen gebruikers met minimale rechten hun bevoegdheden uitbreiden. Dit gebeurt door het overnemen van Service Agent-rollen, welke door Google Cloud automatisch aan Vertex AI-instanties worden gekoppeld voor interne processen. Omdat deze accounts standaard over brede projectrechten beschikken, ontstaat er een risico wanneer laag-bevoorrechte gebruikers hier toegang toe krijgen.

De eerste aanvalsvector bevindt zich in de Agent Engine. Ontwikkelaars gebruiken hiervoor vaak het Agent Development Kit (ADK), waarbij Python-code wordt verpakt en opgeslagen in Cloud Storage-buckets. Aanvallers die beschikken over de specifieke rechten om reasoning engines bij te werken, kunnen kwaadaardige code uploaden die is vermomd als een legitieme tool. Zodra deze tool wordt aangeroepen, kan er op afstand code worden uitgevoerd op de betreffende instantie. Hiermee kunnen tokens van de Service Agent worden buitgemaakt, wat toegang geeft tot chatgeschiedenissen, LLM-data en opslagbuckets.

De tweede methode richt zich op Ray op Vertex AI, een systeem voor het schalen van AI-werklasten. Hierbij wordt automatisch een Service Agent voor aangepaste code gekoppeld aan de hoofdnode. Gebruikers met een beperkte rol, zoals Vertex AI Viewer, blijken via de Google Cloud Console toegang te kunnen krijgen tot een interactieve shell van de hoofdnode. Ondanks de beperkingen van hun rol verkrijgen zij hiermee root-toegang tot de shell. Via de metadata van de instantie kunnen tokens worden geëxtraheerd, waardoor lees- en schrijfrechten in diensten zoals BigQuery en Cloud Storage kunnen worden verkregen.

Om deze risico's te beperken, wordt geadviseerd om overbodige machtigingen van Service Agents in te trekken door gebruik te maken van aangepaste rollen in plaats van standaardinstellingen. Het uitschakelen van interactieve shells voor hoofdnodes en het grondig valideren van tool-code vóór updates zijn eveneens belangrijke preventieve maatregelen. Google heeft aangegeven dat de bevindingen van de onderzoekers overeenkomen met hoe het systeem momenteel is ontworpen, wat betekent dat organisaties zelf verantwoordelijk zijn voor het aanscherpen van deze standaardconfiguraties.

Bron

Uit recente data van honeypot-sensoren blijkt dat cybercriminelen in week 3/4 van 2026 actief blijven zoeken naar specifieke beveiligingslekken in netwerkinfrastructuur. Deze sensoren, die aanvallen registreren en labelen met de bijbehorende CVE-identificatiecodes, bieden inzicht in de wereldwijde en lokale dreigingslandschappen. Wereldwijd wordt de lijst aangevoerd door een oudere kwetsbaarheid in de Huawei Home Gateway HG532, geregistreerd als CVE-2017-17215. Deze specifieke kwetsbaarheid, die zich richt op IoT-apparatuur, genereerde in de afgelopen vierentwintig uur het hoogste aantal unieke meldingen. Ook diverse SonicWall-producten staan wereldwijd onder verhoogde druk door exploits van CVE-2022-22274 en CVE-2023-0656.

In Nederland toont het dreigingsbeeld een specifieke focus op zakelijke applicaties. De statistieken laten zien dat de kwetsbaarheid CVE-2023-38646 in Metabase momenteel de meest aangevallen zwakke plek is binnen de Nederlandse netwerkomgevingen. Met zestig geregistreerde aanvallen in het afgelopen etmaal staat deze dreiging ver boven de rest. Een andere zorgwekkende ontwikkeling is de exploitatie van CVE-2025-5777 in Citrix NetScaler. Hoewel de volumes hier lager liggen dan bij Metabase, is deze kwetsbaarheid geclassificeerd als bekend bij ransomware-groeperingen en staat deze op de lijst van Known Exploited Vulnerabilities. Ook netwerkapparatuur van Cisco, specifiek de RV320 en RV325 routers, ondervindt nog steeds aanvallen via CVE-2019-1653.

De situatie in België laat een ander patroon zien met aanzienlijk lagere volumes aan gedetecteerde incidenten. De meest geregistreerde activiteit betreft hier een kwetsbaarheid in het framework ThinkPHP5, bekend onder de code CNVD-2018-24942. Daarnaast wordt er incidenteel gezocht naar lekken in Huawei-gateways en de Meta React Server Components, waarbij laatstgenoemde ook in verband wordt gebracht met bekende ransomware-activiteiten. Het aantal unieke IP-adressen dat zich op Belgische systemen richt is momenteel echter minimaal in vergelijking met de wereldwijde en Nederlandse cijfers.

Naast de traditionele detectie via sensoren wordt er binnen de beveiligingsgemeenschap gekeken naar proactieve detectiemethoden zoals honeytokens. Dit zijn stukjes valse data, variërend van wachtwoordbestanden tot URL's, die strategisch worden geplaatst om aanvallers te lokken. Zodra een indringer interactie heeft met zo'n token, wordt er direct een waarschuwing verstuurd naar het beveiligingsteam. Hoewel honeytokens effectief kunnen zijn in verschillende fases van een aanval en privacyvriendelijker zijn dan veel andere monitoringsystemen, worden ze nog relatief weinig ingezet als primair detectiemiddel.

Overzicht

De afgelopen vierentwintig uur hebben diverse kwetsbaarheden veel aandacht gegenereerd op sociale media en binnen beveiligingskringen. De urgentie van deze dreigingen wordt gemeten aan de hand van een zogenaamde hype-score, een cijfer tussen nul en honderd dat de mate van publieke belangstelling en discussie weergeeft. Een hogere score duidt vaak op een grotere ernst van de dreiging of een bredere impact, waardoor beveiligingsteams prioriteiten beter kunnen stellen. Op dit moment voeren specifieke kwetsbaarheden in consumentenelektronica en zakelijke netwerkinfrastructuur de lijst aan.

De lijst wordt aangevoerd door een kwetsbaarheid die bekendstaat als WhisperPair, geregistreerd onder CVE-2025-36911. Dit lek bevindt zich in het koppelproces van Bluetooth-accessoires die gebruikmaken van Google Fast Pair. Door een logische fout in het protocol kunnen aanvallers die zich in de fysieke nabijheid bevinden, verbinding maken met het apparaat. Dit stelt kwaadwillenden in staat om gesprekken af te luisteren of inzicht te krijgen in locatiegegevens. Met een hype-score van vijftien is dit momenteel het meest besproken onderwerp, mede door de brede verspreiding van de getroffen technologie in consumentenproducten.

Direct daarna volgt een ernstige technische kwetsbaarheid in Fortinet FortiSIEM, aangeduid als CVE-2025-64155. Het betreft een OS Command Injection-kwetsbaarheid in de phMonitor-service. Het kritieke aspect van dit lek is dat ongeauthenticeerde aanvallers willekeurige code kunnen uitvoeren, wat kan leiden tot volledige root-toegang op het systeem. Gezien de cruciale rol die SIEM-oplossingen spelen in netwerkbeveiliging, wordt de ernst hiervan onderstreept door een hype-score van dertien. Ook de Cisco Secure Email Gateway trekt nog steeds de aandacht met CVE-2025-20393, waarbij ongeauthenticeerde aanvallers op afstand commando's met root-rechten kunnen uitvoeren via de Spam Quarantine-functie.

In het ecosysteem voor ontwikkelaars is er ophef over CVE-2025-67647 binnen de Svelte-toolkit. Deze kwetsbaarheid kan leiden tot Denial of Service en Server-Side Request Forgery wanneer prerendering wordt gebruikt. Daarnaast wordt er gesproken over een kritieke Remote Code Execution-kwetsbaarheid in React Server Components, veroorzaakt door onveilige deserialisatie. Oudere maar nog steeds relevante discussies richten zich op privilege-escalatie in de Linux-kernel via POSIX CPU timers en diverse kwetsbaarheden in Windows-systemen, waaronder problemen in de SMB-client en de Kernel Streaming-driver die aanvallers in staat stellen hun rechten te verhogen.

Overzicht

Een significante beveiligingskwetsbaarheid is ontdekt in Livewire Filemanager, een veelgebruikte component voor bestandsbeheer geïntegreerd in Laravel webapplicaties. De kwetsbaarheid, geregistreerd als CVE-2025-14894 en voorzien van de vulnerability note VU#650657, stelt niet-geauthenticeerde aanvallers in staat om willekeurige code uit te voeren op kwetsbare servers.

Het probleem ligt in de onvoldoende bestandsvalidatie binnen de `LivewireFilemanagerComponent.php` component. De tool faalt in het afdwingen van adequate validatie van bestandstypes en MIME-types, waardoor aanvallers kwaadaardige PHP-bestanden direct via de webinterface kunnen uploaden.

Zodra deze bestanden zijn geüpload, kunnen ze worden uitgevoerd via de publiek toegankelijke `/storage/` directory, mits het commando `php artisan storage:link` is uitgevoerd tijdens de standaard Laravel setup procedure.

Opmerkelijk is dat de leverancier in de veiligheidsdocumentatie expliciet aangeeft dat bestandsvalidatie buiten het scope van de tool valt, waarmee de verantwoordelijkheid voor validatie bij de ontwikkelaars wordt gelegd. Het kritieke probleem schuilt echter in de architectuur van de tool, die geüploade bestanden direct blootstelt aan executie zonder aanvullende veiligheidsmaatregelen.

Succesvolle exploitatie leidt tot Remote Code Execution (RCE) met de privileges van de webserver gebruiker. Dit maakt een volledige compromittatie van het systeem mogelijk, inclusief onbeperkte lees- en schrijftoegang tot alle bestanden die toegankelijk zijn voor het webserver proces. Aanvallers kunnen vervolgens doorstoten naar verbonden systemen en infrastructuur om ook deze te compromitteren.

De aanval vereist geen authenticatie en kan op afstand worden uitgevoerd door simpelweg een PHP webshell te uploaden naar de applicatie via de upload interface van Livewire Filemanager, en vervolgens de executie te triggeren door het bestand te benaderen via de storage URL.

Op het moment van deze publicatie hebben de leveranciers de kwetsbaarheid nog niet erkend.

CERT/CC adviseert onmiddellijke beschermende maatregelen, waaronder het controleren of `php artisan storage:link` is uitgevoerd en, indien bevestigd, het verwijderen van de web serving functionaliteit voor de `/storage/` directory.

Organisaties die Livewire Filemanager gebruiken, wordt geadviseerd om onmiddellijk bestandsuploadrestricties op applicatieniveau te implementeren, onafhankelijk van de functionaliteit van Livewire. Overweeg het implementeren van strikte allowlist policies die uploads beperken tot veilige bestandstypes en uitgebreide MIME type validatie toepassen. Overweeg tevens om geüploade bestanden buiten de web-toegankelijke directory op te slaan. Schakel de publieke storage link uit indien web serving niet noodzakelijk is voor de werking.

Bron

Een kritieke kwetsbaarheid in Windows SMB client authenticatie maakt het voor aanvallers mogelijk om Active Directory omgevingen te compromitteren via NTLM reflection exploits. Deze kwetsbaarheid, geclassificeerd als een ‘improper access control vulnerability’, stelt aanvallers in staat om via zorgvuldig georkestreerde authenticatie relay attacks over netwerkverbindingen hun privileges te verhogen.

Onderzoek toont aan dat zeven maanden na de release van de security patch in juni 2025, de adoptie van deze patch binnen enterprise infrastructuren nog steeds zeer laag is. Tijdens bijna elke penetratietest worden kwetsbare hosts geïdentificeerd, waaronder domeincontrollers, tier-zero servers en workstations. De kwetsbaarheid exploiteert een fundamenteel mechanisme in Windows NTLM lokale authenticatie.

Wanneer een client een NTLM_CHALLENGE bericht ontvangt dat is gemarkeerd voor lokale authenticatie, creëert het systeem een context object en voegt een context ID in het Reserved veld in. Dit mechanisme, in combinatie met coercion technieken zoals PetitPotam, DFSCoerce en Printerbug, dwingt lsass.exe (draaiend als SYSTEM) om te authenticeren bij servers die onder controle staan van de aanvaller. De server kan vervolgens het SYSTEM token imiteren voor volgende operaties, waardoor een volledige systeemcompromis effectief mogelijk is.

Voor exploitatie is het noodzakelijk om ofwel een kwaadaardig DNS record te registreren in AD DNS (standaard toegestaan voor geauthenticeerde gebruikers), of DNS poisoning uit te voeren binnen het lokale netwerk. Deze eisen met lage privileges vergroten fundamenteel het aanvalsoppervlak, aangezien de meeste organisaties geauthenticeerde gebruikers niet hebben beperkt in het creëren van willekeurige DNS records in AD DNS zones.

Traditionele mitigaties blijken onvoldoende tegen geavanceerde exploitatie vectoren. Hoewel SMB signing doorgaans relay attacks voorkomt, toont onderzoek aan dat succesvolle cross-protocol relays van SMB naar LDAPS mogelijk zijn, zelfs met signing en channel binding ingeschakeld. Deze bypass omvat het strippen van specifieke NTLMSSP flags (Negotiate Always Sign, Negotiate Seal, Negotiate Sign) terwijl de Message Integrity Code behouden blijft. Deze techniek stelt aanvallers in staat om meerdere security controls tegelijkertijd te omzeilen.

De kwetsbaarheid strekt zich verder uit dan conventionele SMB-naar-SMB relays. DepthSecurity onderzoekers hebben succesvolle aanvallen bevestigd tegen ADCS enrollment services, MSSQL databases en WinRM via cross-protocol relay technieken. Meer zorgwekkend is dat SMB-naar-LDAPS reflection attacks aanvallers in staat stellen om Active Directory objecten direct met SYSTEM privileges te manipuleren, waardoor groepslidmaatschapsmodificaties en credential harvesting via DCSync operaties mogelijk worden.

RPC-gebaseerde relay pogingen vertoonden vereisten voor sessie key encryptie die vergelijkbaar zijn met die van SMB signing, wat aantoont dat fundamentele Windows authenticatie mechanismen de impact van de kwetsbaarheid vergroten. Aanvallers authenticeren succesvol bij RPC services, maar stuiten op access controls bij volgende operaties, wat potentiele mogelijkheden voor exploitatie via Net-NTLMv1 authenticatie suggereert.

Volgens DepthSecurity moeten organisaties onmiddellijk de Windows security updates van juni 2025 toepassen als primaire mitigatie. Daarnaast moeten ze signing en channel binding enforcement inschakelen voor alle protocollen, niet alleen SMB. Het herconfigureren van Active Directory DNS zone access control lists om geauthenticeerde gebruikers te beperken in het creëren van DNS records vermindert de haalbaarheid van exploitatie aanzienlijk. Security teams moeten prioriteit geven aan het snel patchen van NTLM coercion technieken en grondige audits uitvoeren van NTLM relay attack methoden binnen hun infrastructuur.

Bron

Securityonderzoekers hebben significante kwetsbaarheden ontdekt in de firmware van Xiaomi's populaire Redmi Buds serie. De kwetsbaarheden treffen modellen van de Redmi Buds 3 Pro tot aan de meest recente Redmi Buds 6 Pro. De ontdekking onthult kritieke fouten in de Bluetooth-implementatie van deze apparaten, waardoor aanvallers toegang kunnen krijgen tot gevoelige informatie of de apparaten offline kunnen dwingen. De exploits maken gebruik van het RFCOMM-protocol en kunnen worden uitgevoerd door een aanvaller binnen radiobereik, zonder dat er ooit een koppeling met het doelapparaat tot stand hoeft te komen.

De kern van het probleem ligt in de manier waarop de Redmi Buds firmware de RFCOMM controle- en signaleringsmechanismen beheert. Hoewel de product specificaties standaard ondersteuning voor profielen zoals HFP en A2DP adverteren, monitoren de apparaten actief niet-gedocumenteerde interne kanalen, vermoedelijk gebruikt voor auxiliary services.

De eerste kwetsbaarheid, geregistreerd als CVE-2025-13834, is een informatielek veroorzaakt door onjuiste bounds checking. Deze fout lijkt op de bekende Heartbleed bug die jaren geleden in webservers werd aangetroffen. Wanneer het apparaat een specifiek geconstrueerd TEST commando ontvangt met een gemanipuleerd lengteveld op zijn controlekanaal, faalt de firmware de aanvraag correct te valideren. In plaats van het misvormde pakket te verwerpen, leest het systeem uit niet-geïnitialiseerd geheugen en stuurt het tot 127 bytes aan data terug naar de aanvaller. Deze out-of-bounds read kan uiterst gevoelige informatie blootleggen die zich in de geheugenpool bevindt, inclusief de telefoonnummers van actieve gesprekspartners.

De tweede kwetsbaarheid, CVE-2025-13328, is een Denial of Service (DoS) fout als gevolg van het onvermogen van de firmware om grote hoeveelheden verkeer te verwerken. Aanvallers kunnen het standaard controlekanaal of niet-gedocumenteerde servicekanalen overspoelen met legitieme TEST commando's of Modem Status Command signaleringsframes. Deze overvloed overweldigt de verwerkingswachtrij van het apparaat, wat leidt tot resource exhaustion. Het resultaat is een firmware crash die de gebruiker geforceerd ontkoppelt van het gekoppelde apparaat.

Het meest alarmerende aspect van deze kwetsbaarheden is de lage drempel voor potentiële aanvallers. Exploitatie vereist geen authenticatie, PIN-koppeling of enige gebruikersinteractie. Een aanvaller heeft enkel het MAC-adres van de doel-oordopjes nodig, wat gemakkelijk kan worden verkregen met behulp van standaard Bluetooth sniffing tools. Tests uitgevoerd door onderzoekers hebben aangetoond dat deze aanvallen succesvol kunnen worden uitgevoerd vanaf ongeveer twintig meter afstand met behulp van standaard dongles, hoewel obstakels zoals muren dit bereik kunnen verminderen.

De operationele impact op de gebruiker varieert van privacy schending tot aanhoudende verstoring. Het informatielek vormt een vertrouwelijkheidsrisico, vooral voor gebruikers die privégesprekken voeren in openbare ruimtes. De aanvaller kan herhaaldelijk het geheugenlek triggeren zonder dat de gebruiker dit merkt. Omgekeerd verstoort de Denial of Service aanval de beschikbaarheid. Zodra de firmware crasht, worden de oordopjes niet meer responsief en worden ze losgekoppeld van de audiobron, zo meldt CERT/CC. Om de functionaliteit te herstellen, moet de gebruiker de oordopjes fysiek terugplaatsen in hun oplaadcase om een reset te initiëren, wat een aanzienlijk ongemak creëert als de aanval geautomatiseerd en herhaald wordt.

Tot op heden heeft Xiaomi geen verklaring afgelegd over een firmware patch of specifieke remediëringsplannen. De kwetsbaarheden zijn toegeschreven aan de onderzoekers Choongin Lee, Jiwoong Ryu en Heejo Lee. Totdat een firmware update de onjuiste bounds-checking en resource-management problemen aanpakt, wordt gebruikers geadviseerd Bluetooth uit te schakelen op hun mobiele apparaten wanneer ze hun oordopjes niet actief gebruiken, vooral in publieke omgevingen met een hoge dichtheid waar het risico op lokale RF exploitatie het grootst is.

Bron

Onderzoekers van het CISPA Helmholtz Center for Information Security in Duitsland hebben een nieuwe hardwarematige kwetsbaarheid in AMD-processoren onthuld, met de naam StackWarp. Deze kwetsbaarheid stelt aanvallers met bevoorrechte controle over een hostserver in staat om kwaadaardige code uit te voeren binnen vertrouwelijke virtuele machines (CVM's), waardoor de integriteit van AMD Secure Encrypted Virtualization met Secure Nested Paging (SEV-SNP) in gevaar komt. De kwetsbaarheid treft AMD Zen 1 tot en met Zen 5 processoren.

"In de context van SEV-SNP stelt deze kwetsbaarheid kwaadaardige VM [virtual machine] hosts in staat de stack pointer van de gast-VM te manipuleren," aldus onderzoekers Ruiyi Zhang, Tristan Hornetz, Daniel Weber, Fabian Thomas en Michael Schwarz. "Dit maakt het kapen van zowel de controle- als de datastroom mogelijk, waardoor een aanvaller remote code execution en privilege escalation binnen een vertrouwelijke VM kan bereiken."

AMD heeft de kwetsbaarheid geregistreerd als CVE-2025-29943 (CVSS v4 score: 4.6) en classificeert het als een 'medium-severity', incorrecte toegangscontrole bug. De kwetsbaarheid zou een aanvaller met admin-rechten in staat stellen de configuratie van de CPU-pipeline te wijzigen, waardoor de stack pointer in een SEV-SNP gast corrumpeert.

De volgende productlijnen worden getroffen:

* AMD EPYC 7003 Series Processors
* AMD EPYC 8004 Series Processors
* AMD EPYC 9004 Series Processors
* AMD EPYC 9005 Series Processors
* AMD EPYC Embedded 7003 Series Processors
* AMD EPYC Embedded 8004 Series Processors
* AMD EPYC Embedded 9004 Series Processors
* AMD EPYC Embedded 9005 Series Processors

Hoewel SEV is ontworpen om het geheugen van beschermde VM's te versleutelen en te isoleren van de onderliggende hypervisor, tonen de nieuwe bevindingen van CISPA aan dat de beveiliging kan worden omzeild zonder de plaintext geheugen van de VM te lezen. In plaats daarvan wordt een microarchitecturale optimalisatie genaamd 'stack engine' aangevallen, die verantwoordelijk is voor versnelde stack operaties.

"De kwetsbaarheid kan worden misbruikt via een voorheen ongedocumenteerde control bit aan de hypervisor-zijde," aldus Zhang in een verklaring. "Een aanvaller die een hyperthread parallel met de doel-VM uitvoert, kan deze gebruiken om de positie van de stack pointer binnen de beschermde VM te manipuleren."

Dit maakt op zijn beurt omleiding van program flow of manipulatie van gevoelige data mogelijk. De StackWarp-aanval kan worden gebruikt om geheimen uit SEV-beveiligde omgevingen te onthullen en VM's in gevaar te brengen die worden gehost in AMD-aangedreven cloudomgevingen. Specifiek kan het worden misbruikt om een RSA-2048 private key te herstellen van een enkele foutieve signature, waardoor OpenSSH password authenticatie en sudo's password prompt worden omzeild en kernel-mode code execution in een VM wordt bereikt.

De chipfabrikant heeft microcode updates voor de kwetsbaarheid uitgebracht in juli en oktober 2025. AGESA patches voor EPYC Embedded 8004 en 9004 Series Processors staan gepland voor release in april 2026.

De ontwikkeling bouwt voort op een eerdere studie van CISPA die CacheWarp (CVE-2023-20592, CVSS v3 score: 6.5) beschreef, een software fault aanval op AMD SEV-SNP, die aanvallers in staat stelt controle flow te kapen, in te breken in versleutelde VM's en privilege escalation binnen de VM uit te voeren. Beide aanvallen zijn hardware architectural attacks.

"Voor beheerders van SEV-SNP hosts zijn er concrete stappen te ondernemen: Controleer eerst of hyperthreading is ingeschakeld op de betreffende systemen. Zo ja, plan dan een tijdelijke uitschakeling voor CVM's die bijzonder hoge integriteitseisen stellen," aldus Zhang. "Tegelijkertijd moeten alle beschikbare microcode- en firmware-updates van de hardwareleveranciers worden geïnstalleerd. StackWarp is weer een voorbeeld van hoe subtiele microarchitecturale effecten systeemniveau beveiligingsgaranties kunnen ondermijnen."
Bron

Er is een kritieke kwetsbaarheid ontdekt in de Virtual Agent API en de Now Assist AI Agents applicatie van ServiceNow die ongeauthenticeerde aanvallers in staat stelt om zich voor te doen als elke willekeurige gebruiker. Het lek stelt kwaadwillenden in staat om op afstand geprivilegieerde AI-agenten uit te voeren en volledige controle over het systeem te verkrijgen. De kwetsbaarheid is geregistreerd onder CVE-2025-12420 en werd onthuld door beveiligingsonderzoeker Aaron Costello van AppOmni. Het probleem ontstaat door een combinatie van een hardcoded platform-breed geheim en onveilige logica voor het koppelen van accounts, waardoor beveiligingslagen zoals multifactorauthenticatie en single sign-on volledig kunnen worden omzeild.

De exploitatiemethode, die de naam BodySnatcher draagt, maakt misbruik van specifieke ontwerpfouten binnen de AI-infrastructuur van ServiceNow. Channel providers voor AI-agenten werden geleverd met identieke authenticatietokens voor alle klantinstanties, wat resulteerde in een universele mogelijkheid om authenticatie te omzeilen. Het mechanisme voor automatische koppeling vertrouwde elke aanvrager die dit gedeelde token combineerde met een geldig e-mailadres. Hierdoor werden externe entiteiten direct gekoppeld aan ServiceNow-accounts zonder verdere verificatie. Aanvallers kunnen deze zwakheden via de Virtual Agent API combineren om beheerdersrechten over te nemen en acties uit te voeren via de Record Management AI-agent.

Een aanvaller heeft enkel het e-mailadres van een doelwit nodig om beheerders te imiteren en AI-agenten in te zetten voor het creëren van backdoors met volledige systeemprivileges. Dit geeft nagenoeg onbeperkte toegang tot bedrijfsnetwerken, klantdata, financiële gegevens en intellectueel eigendom. Tijdens demonstraties wisten onderzoekers succesvol administratieve accounts aan te maken, rechten te verhogen en wachtwoorden te resetten zonder enige vorm van legitieme aanmelding. De aanval is op afstand uitvoerbaar tegen elke instantie die kwetsbare versies van de applicaties gebruikt, zelfs als de betreffende AI-agenten inactief lijken.

Na de melding van AppOmni op 23 oktober 2025 heeft ServiceNow direct actie ondernomen. De leverancier rolde patches uit tegen 30 oktober 2025, waarbij inloggegevens werden geroteerd en de Record Management AI-agent uit klantomgevingen werd verwijderd. Er is een kennisbankartikel gepubliceerd onder nummer KB2587317 met details over de oplossing. Beveiligingsteams dienen te verifiëren of de Now Assist AI Agents zijn bijgewerkt naar versie 5.1.18 of 5.2.19 en de Virtual Agent API naar versie 3.15.2 of 4.0.4 om misbruik te voorkomen.

Bron

Een kritieke zero-day kwetsbaarheid in Cloudflare's Web Application Firewall (WAF) stelde aanvallers in staat om beveiligingscontroles te omzeilen en direct toegang te krijgen tot beschermde origin-servers via een validatiepad voor certificaten.

Beveiligingsonderzoekers van FearsOff ontdekten dat verzoeken gericht aan de directory /.well-known/acme-challenge/ de origins konden bereiken, zelfs wanneer klantgeconfigureerde WAF-regels alle ander verkeer expliciet blokkeerden.

Het Automatic Certificate Management Environment (ACME) protocol automatiseert SSL/TLS certificaatvalidatie door te vereisen dat Certificate Authorities (CA's) het domeinbezit verifiëren. In de HTTP-01 validatiemethode verwachten CA's dat websites een eenmalig token serveren op /.well-known/acme-challenge/{token}. Dit pad bestaat op bijna elke moderne website als een stille onderhoudsroute voor geautomatiseerde certificaatuitgifte. Het ontwerp is bedoeld om deze toegang te beperken tot een enkele validatiebot die één specifiek bestand controleert, en niet als een open toegangspoort tot de origin-server.

FearsOff onderzoekers ontdekten de kwetsbaarheid tijdens het beoordelen van applicaties waar WAF-configuraties globale toegang blokkeerden en alleen specifieke bronnen toestonden. Tests onthulden dat verzoeken gericht aan het ACME challenge pad de WAF-regels volledig omzeilden, waardoor de origin-server direct kon reageren in plaats van Cloudflare's blokkeerpagina terug te geven.

Om te bevestigen dat dit geen tenant-specifieke misconfiguratie was, creëerden onderzoekers gecontroleerde demonstratiehosts op cf-php.fearsoff.org, cf-spring.fearsoff.org en cf-nextjs.fearsoff.org. Normale verzoeken naar deze hosts stootten, zoals verwacht, op blokkeerpagina's, maar ACME-padverzoeken retourneerden door de origin gegenereerde reacties, doorgaans framework 404-fouten.

De kwetsbaarheid ontstond door de edge-netwerkverwerkingslogica van Cloudflare voor ACME HTTP-01 challenge paden. Wanneer Cloudflare challenge tokens serveerde voor zijn eigen beheerde certificaatbestellingen, schakelde het systeem WAF-functies uit om interferentie met CA-validatie te voorkomen. Een kritieke fout ontstond echter: als het aangevraagde token niet overeenkwam met een door Cloudflare beheerde certificaatbestelling, omzeilde het verzoek de WAF-evaluatie volledig en ging direct naar de klant-origin. Deze logicafout transformeerde een smalle uitzondering voor certificaatvalidatie in een brede beveiligingsbypass die alle hosts achter Cloudflare-bescherming beïnvloedde.

De bypass stelde onderzoekers in staat om meerdere aanvalsvectoren tegen gangbare webframeworks te demonstreren. Op Spring/Tomcat-applicaties verkregen servlet path traversal-technieken met behulp van ..;/ toegang tot gevoelige actuator endpoints die procesomgevingen, databasecredentials, API-tokens en cloudkeys blootlegden. Next.js server-side rendering applicaties lekten operationele gegevens via directe origin-reacties die nooit bedoeld waren voor publieke internettoegang. PHP applicaties met local file inclusion kwetsbaarheden werden exploiteerbaar, waardoor aanvallers toegang kregen tot het bestandssysteem via kwaadaardige padparameters. Naast framework-specifieke aanvallen werden account-level WAF-regels die waren geconfigureerd om verzoeken op basis van custom headers te blokkeren volledig genegeerd voor ACME-padverkeer.

FearsOff meldde de kwetsbaarheid via Cloudflare's HackerOne bug bounty programma op 9 oktober 2025. Cloudflare startte de validatie op 13 oktober 2025 en HackerOne beoordeelde het probleem op 14 oktober 2025. Het bedrijf implementeerde een permanente fix op 27 oktober 2025, waarbij de code werd aangepast om beveiligingsfuncties alleen uit te schakelen wanneer verzoeken overeenkomen met geldige ACME HTTP-01 challenge tokens voor de specifieke hostname.

Post-fix testing bevestigde dat WAF-regels nu uniform van toepassing zijn op alle paden, inclusief de voorheen kwetsbare ACME challenge route. Cloudflare verklaarde dat er geen klantactie vereist is en bevestigde dat er geen bewijs van kwaadaardige exploitatie is gevonden.
Bron

De afgelopen 24 uur zijn er diverse ernstige kwetsbaarheden die veel aandacht trekken op sociale media en binnen de beveiligingsgemeenschap. De zogenaamde hype-score, die de mate van belangstelling en urgentie in openbare bronnen weergeeft, toont aan dat vooral lekken in veelgebruikte protocollen en infrastructuur momenteel prioriteit krijgen bij beveiligingsteams. Met een score van 24 staat CVE-2025-36911, ook bekend als WhisperPair, bovenaan de lijst. Dit betreft een kwetsbaarheid in het op sleutels gebaseerde koppelingsproces van Bluetooth-audioaccessoires die gebruikmaken van het Google Fast Pair-protocol.

Direct daarop volgt CVE-2025-60021 met een aanzienlijke score van 21. Deze kwetsbaarheid is geïdentificeerd als een remote command injection in Apache bRPC, waarbij specifiek het /pprof/heap eindpunt wordt geraakt. Voor beheerders van deze systemen vormt dit een acuut risico dat onmiddellijke aandacht vereist. Daarnaast zijn er diverse kwetsbaarheden in Apple-software aan het licht gekomen die eveneens hoog scoren in de trendinglijsten. Zo betreft CVE-2025-43300 een out-of-bounds write in het Apple Image I/O framework die geactiveerd kan worden door gemanipuleerde afbeeldingsbestanden. Ook het CoreAudio framework bevat een geheugencorruptiekwetsbaarheid, geregistreerd als CVE-2025-31200, terwijl CVE-2025-31201 een lek beschrijft waarmee Pointer Authentication kan worden omzeild.

Naast consumentenelektronica en frameworks zijn er ook kwetsbaarheden in zakelijke netwerkapparatuur en ontwikkeltools die de aandacht trekken. Fortinet FortiSIEM heeft te kampen met een OS Command Injection kwetsbaarheid in de Super en Worker nodes via de phMonitor-service, geregistreerd onder CVE-2025-64155. Cisco Secure Email Gateway appliances zijn kwetsbaar voor CVE-2025-20393, een geval van onjuiste inputvalidatie dat kan leiden tot remote command execution. Tot slot zijn er browsergerelateerde problemen gevonden in Google Chrome’s ANGLE-component en WebKit, evenals een veiligheidslek in de pnpm package manager die HTTP-tarball dependencies verwerkt zonder integriteitshashes.

Bron

Op 13 januari 2026 zijn er zeven kwetsbaarheden onthuld in AVEVA Process Optimization (voorheen ROMeo) 2024.1 en eerdere versies. Een van deze kwetsbaarheden is van kritieke aard en stelt niet-geauthenticeerde aanvallers in staat om op afstand code uit te voeren met SYSTEM-rechten. Deze situatie vormt een direct risico voor industriële procesbesturingsomgevingen wereldwijd.

De meest ernstige kwetsbaarheid maakt het voor niet-geauthenticeerde aanvallers mogelijk om op afstand code uit te voeren met de hoogste systeemrechten. Dit wordt mogelijk gemaakt door een kritieke code-injectie kwetsbaarheid in de API-laag van de applicatie. Een aanvaller kan deze kwetsbaarheid misbruiken om willekeurige code uit te voeren met volledige systeemrechten op de "taoimr" service, wat mogelijk de gehele Model Application Server en de aangesloten infrastructuur in gevaar kan brengen.

De aanval vereist geen gebruikersinteractie, is van lage complexiteit en kan op afstand via het netwerk worden uitgevoerd. Dit maakt de kwetsbaarheid bijzonder gevaarlijk voor organisaties die kwetsbare versies van de software gebruiken.

Naast de kritieke kwetsbaarheid zijn er ook andere ernstige problemen aan het licht gekomen, waaronder:

* Code-injectie via macrofunctionaliteit, waardoor geauthenticeerde gebruikers hun rechten kunnen escaleren van een standaard OS-gebruiker naar systeemniveau.
* SQL-injectie kwetsbaarheden in de Captive Historian component, die aanvallers SQL Server administratieve toegang verlenen.
* Een DLL hijacking kwetsbaarheid, waardoor geauthenticeerde gebruikers willekeurige code kunnen laden en hun rechten kunnen verhogen tot systeemniveau.

Deze aanvalsvectoren demonstreren gezamenlijk geavanceerde manieren om kwetsbare systemen volledig te compromitteren.

AVEVA adviseert gebruikers dringend om onmiddellijk actie te ondernemen. Organisaties dienen te upgraden naar AVEVA Process Optimization 2025 of hoger om alle geïdentificeerde kwetsbaarheden te patchen. Als een tijdelijke defensieve maatregel wordt aanbevolen om netwerkfirewallregels te implementeren die de toegang tot de taoimr service (standaard poorten 8888/8889) beperken tot alleen vertrouwde bronnen. Daarnaast moeten strikte toegangscontrolelijsten worden toegepast op installatie- en datamappen, en moet rigoureus change management worden gehandhaafd voor projectbestanden.

De kwetsbaarheden werden ontdekt tijdens een geplande penetratietest door Veracode security researcher Christopher Wu, in samenwerking met CISA.

Organisaties die AVEVA Process Optimization omgevingen gebruiken, wordt geadviseerd om het patchen onmiddellijk te prioriteren om misbruik van deze kritieke kwetsbaarheden in hun industriële controle systemen infrastructuur te voorkomen.
Bron

Een kritieke remote command-injectie kwetsbaarheid is ontdekt in Apache bRPC's ingebouwde heap profiler service, die alle versies vóór 1.15.0 op alle platforms treft. De kwetsbaarheid, gedocumenteerd door CybersecurityNews.com op 20 januari 2026, stelt ongeauthenticeerde aanvallers in staat om willekeurige systeemcommando's uit te voeren door de parameter validatie mechanismen van de profiler te manipuleren.

Het probleem situeert zich in het heap profiler service endpoint (/pprof/heap), dat er niet in slaagt de `extra_options` parameter voldoende te saneren voordat deze wordt doorgegeven aan de uitvoering van systeemcommando's. Dit ontwerpgebrek maakt het voor aanvallers mogelijk om kwaadaardige commando's te injecteren die worden uitgevoerd met de privileges van het bRPC-proces. De oorzaak ligt in onvoldoende input validatie in de jemalloc memory profiling component, die door de gebruiker geleverde parameters behandelt als vertrouwde command-line argumenten zonder enige vorm van ontsnapping of validatie.

De kwetsbaarheid heeft vooral impact op implementaties die de ingebouwde heap profiler van bRPC gebruiken voor jemalloc memory profiling. Elk systeem dat het /pprof/heap endpoint openstelt aan niet-vertrouwde netwerken loopt een significant risico op volledige systeemcompromittatie. Succesvolle exploitatie verleent aanvallers remote code execution mogelijkheden zonder dat authenticatie vereist is. Een geslaagde aanval kan resulteren in laterale beweging binnen de netwerkinfrastructuur, data exfiltratie, service verstoring, of het vestigen van permanente backdoor toegang.

Organisaties die kwetsbare bRPC versies in productieomgevingen draaien, wordt aangeraden onmiddellijk actie te ondernemen. Apache bRPC versies 1.11.0 tot en met 1.14.x zijn kwetsbaar. Versie 1.15.0 en later bevatten de benodigde security patches om deze kwetsbaarheid te verhelpen.

Er zijn twee mitigatiemethoden beschikbaar:

1. **Upgrade naar Apache bRPC versie 1.15.0 of later:** Deze versies bevatten de officiële patch die het parameter validatie probleem oplost.
2. **Handmatige patch toepassen:** Indien een onmiddellijke versie upgrade niet haalbaar is, kan de security patch handmatig worden toegepast vanuit de officiële Apache bRPC GitHub repository (PR #3101).

Organisaties wordt geadviseerd om te prioriteren naar een gepatchte versie om het aanvalsoppervlak te elimineren. Handmatig patchen moet worden beschouwd als een tijdelijke maatregel in afwachting van een complete versie upgrade. CybersecurityNews.com benadrukt het belang van proactieve monitoring en het volgen van beveiligingsupdates om dergelijke kwetsbaarheden in de toekomst te voorkomen.
Bron

Een kritiek beveiligingslek in de WordPress-plugin Advanced Custom Fields: Extended (ACF: Extended) stelt tienduizenden websites bloot aan potentiële overname door aanvallers. Ondanks dat er al een maand een beveiligingsupdate beschikbaar is, hebben veel websites deze nog niet geïnstalleerd. De ontwikkelaars van ACF: Extended hebben bovendien nagelaten om expliciet te vermelden dat de update het kritieke lek verhelpt.

Advanced Custom Fields (ACF) is een populaire plugin die extra functionaliteiten aan WordPress toevoegt en door meer dan twee miljoen websites wordt gebruikt. ACF: Extended is een uitbreiding op ACF die verdere verbeteringen belooft en actief is op meer dan honderdduizend websites. Het lek in ACF: Extended (CVE-2025-14533) maakt het mogelijk voor een ongeauthenticeerde aanvaller om zich als administrator te registreren, waardoor volledige controle over de website verkregen kan worden. Deze aanval is echter alleen mogelijk indien de beheerder bepaalde opties voor het registratieformulier heeft ingeschakeld, een configuratie die volgens securitybedrijf Wordfence waarschijnlijk niet wijdverspreid is.

Ondanks de genoemde voorwaarden voor misbruik, heeft de kwetsbaarheid een hoge impactscore van 9.8 op een schaal van 1 tot 10. De ontwikkelaars werden op 11 december 2025 op de hoogte gesteld van het lek en brachten op 14 december 2025 versie 0.9.2.2 uit, waarin het probleem is opgelost. Opvallend is dat de release notes de aanwezigheid van het beveiligingslek niet expliciet vermelden. Er wordt slechts gesproken over het toevoegen van "een beveiligingsmaatregel".

Uit cijfers van WordPress.org blijkt dat ongeveer 60.000 websites de update nog niet hebben uitgevoerd, waardoor ze kwetsbaar blijven. Professionals wordt aangeraden om direct te controleren of ze gebruik maken van ACF: Extended en zo ja, of de meest recente versie (0.9.2.2 of hoger) is geïnstalleerd. Het negeren van deze update kan leiden tot ernstige beveiligingsincidenten, waaronder volledige overname van de website en compromittering van gevoelige data. Beheerders die registratieformulieren aanbieden, wordt aangeraden de instellingen van deze formulieren te controleren en onnodige opties uit te schakelen om het risico verder te beperken. De combinatie van een kritiek lek en het uitblijven van adequate communicatie door de ontwikkelaar maakt deze situatie extra risicovol.
Bron

Een kritieke authenticatiekwetsbaarheid in de VIGI-surveillancecamerareeks van TP-Link is aan het licht gekomen. Deze kwetsbaarheid stelt aanvallers op lokale netwerken in staat om administratieve inloggegevens te resetten zonder autorisatie. De impact is aanzienlijk, aangezien succesvolle exploitatie volledige controle over de camera's mogelijk maakt.

De kwetsbaarheid, geregistreerd als CVE-2026-0629, bevindt zich in de wachtwoordherstel functie van de webinterface van de camera's. De CVSS v4.0 score van 8.7 wijst op een hoge mate van ernst. De oorzaak ligt in een onjuiste manipulatie van de client-side state binnen deze wachtwoordherstel functie. Een aanvaller met toegang tot het lokale netwerk (LAN) kan deze zwakte misbruiken om het beheerderswachtwoord te resetten zonder enige vorm van verificatie. Dit verleent volledige administratieve toegang tot het betreffende apparaat.

Een significant risico is dat exploitatie geen verhoogde privileges, gebruikersinteractie of complexe netwerkaanvallen vereist. Dit maakt de kwetsbaarheid eenvoudig te misbruiken voor vrijwel iedereen met LAN-connectiviteit. De CVSS v4.0 vector (4.0/AV: A/AC: L/AT: N/PR: N/UI: N/VC:H/VI:H/VA:H/SC: N/SI: N/SA: N) bevestigt dit. Aanvallers kunnen aanzienlijke schade toebrengen aan de vertrouwelijkheid, integriteit en beschikbaarheid van de systemen via toegang tot een aangrenzend netwerk met een lage complexiteit.

Succesvolle exploitatie geeft aanvallers de mogelijkheid om de controle over de VIGI-camera's volledig over te nemen. Dit omvat het wijzigen van configuraties en het uitschakelen van beveiligingsfuncties. Bovendien kunnen aanvallers toegang krijgen tot opgenomen beelden of de gecompromitteerde apparaten gebruiken als springplank voor laterale bewegingen binnen het netwerk. Organisaties die VIGI-camera's gebruiken in kritieke surveillance-infrastructuren lopen dus aanzienlijke operationele en veiligheidsrisico's.

De kwetsbaarheid treft een breed scala aan producten, namelijk 28 verschillende VIGI-cameraseries, waaronder populaire varianten zoals de Cx45, Cx55, Cx85 en InSight series. Deze wijdverspreide impact benadrukt de noodzaak van onmiddellijke patching in alle implementaties.

TP-Link heeft firmware-updates uitgebracht die de kwetsbaarheid verhelpen voor alle getroffen apparaatmodellen. Organisaties worden dringend verzocht om de nieuwste firmwareversies onmiddellijk te downloaden en te implementeren via het Download Center op de TP-Link website. Het advies benadrukt dat apparaten kwetsbaar blijven totdat ze zijn gepatcht en dat TP-Link geen aansprakelijkheid aanvaardt voor incidenten die voortvloeien uit het niet implementeren van de aanbevolen beveiligingsupdates.

Gebruikers kunnen patches downloaden via de region-specifieke downloadcentra van TP-Link. CVE-2026-0629 vormt een significant beveiligingsrisico voor organisaties die TP-Link VIGI-surveillance-infrastructuur gebruiken. Het gemak van exploitatie, in combinatie met het brede scala aan getroffen producten, maakt onmiddellijke firmware-updates een kritieke prioriteit voor het behoud van de netwerkbeveiliging en het voorkomen van ongeautoriseerde administratieve toegang tot de surveillancesystemen.
Bron

Apache Airflow-gebruikers worden gewaarschuwd voor meerdere kwetsbaarheden in versies ouder dan 3.1.6 die kunnen leiden tot het onthullen van gevoelige authenticatiegegevens en geheimen in logboeken en gebruikersinterfaces. Beide problemen komen voort uit onvoldoende maskering van gevoelige data tijdens rendering en logging, wat de proxy credentials en database geheimen in productieomgevingen in gevaar kan brengen.

De eerste kwetsbaarheid, CVE-2025-68675, treft alle Apache Airflow versies voor 3.1.6. Het probleem ligt in de manier waarop Airflow proxy configuraties binnen Connection objecten behandelt. Proxy URL's bevatten vaak ingebedde authenticatiegegevens in het formaat http://username:password@proxy-host:port. Omdat de proxy velden niet als gevoelig gemarkeerd waren, werden deze gegevens niet automatisch gemaskeerd tijdens het renderen of loggen van taken. Dit creëert een aanzienlijk risico, omdat taaklogboeken vaak toegankelijk zijn voor meerdere teamleden, worden opgeslagen in gecentraliseerde logging systemen en worden gearchiveerd voor compliance doeleinden. Een aanvaller of onbevoegde gebruiker met leesrechten tot de logs kan zo de proxy credentials extraheren en gebruiken om netwerkverkeer van getroffen workflows te onderscheppen of om te leiden. Organisaties die taken uitvoeren die gebruik maken van proxy-geauthenticeerde verbindingen lopen een verhoogd risico op compromittering van credentials.

De tweede kwetsbaarheid, CVE-2025-68438, introduceert een ander, maar even problematisch blootstellingspad. Wanneer gerenderde template velden de geconfigureerde [core] max_templated_field_length drempel overschrijden, gebruikt het serialisatieproces een secrets masker instantie die geen user-registered mask_secret() patronen heeft. Dit betekent dat custom-registered secret patterns niet worden toegepast vóór het afbreken van het veld en worden weergegeven in de Rendered Templates UI. Gevoelige waarden die zijn opgeslagen in templated fields, zoals API keys, database wachtwoorden of encrypted tokens, kunnen hierdoor in cleartext in de web interface verschijnen. De truncation operatie vindt plaats na serialisatie, maar vóór de voltooiing van de maskering, waardoor delen van geheimen worden blootgesteld aan elke gebruiker met toegang tot de Airflow web UI.

Beide kwetsbaarheden vereisen authenticatie tot de Airflow omgeving, maar vertegenwoordigen ook insider threats en risico's op laterale bewegingen binnen het netwerk. Organisaties met strikte log retention policies lopen het risico op langere blootstellingsperiodes, omdat gelekte credentials voor onbepaalde tijd toegankelijk kunnen blijven in gearchiveerde logs.

Apache Airflow 3.1.6 adresseert beide problemen door proxy velden correct als gevoelig te markeren en ervoor te zorgen dat user-registered mask patterns worden toegepast vóór template truncation. Alle getroffen gebruikers wordt aangeraden onmiddellijk te upgraden. Voor omgevingen die niet direct kunnen upgraden, biedt het implementeren van restrictieve toegangscontroles op logs systemen en de Airflow web UI een tijdelijke mitigerende maatregel.
Bron

In de officiële Git Model Context Protocol (MCP) server van Anthropic, mcp-server-git, zijn drie beveiligingslekken ontdekt. Deze kwetsbaarheden, die onder bepaalde omstandigheden kunnen worden misbruikt om willekeurige bestanden te lezen of te verwijderen en code uit te voeren, zijn opgelost in de versies 2025.9.25 en 2025.12.18 na een melding in juni 2025.

Volgens beveiligingsonderzoeker Yarden Porat van Cyata kunnen de lekken worden uitgebuit via prompt injectie. Dit betekent dat een aanvaller die invloed kan uitoefenen op wat een AI-assistent leest – bijvoorbeeld via een kwaadaardig README-bestand, een gemanipuleerde issue-beschrijving of een gecompromitteerde webpagina – deze kwetsbaarheden kan gebruiken zonder directe toegang tot het systeem van het slachtoffer.

Mcp-server-git is een Python-pakket en een MCP-server die een reeks ingebouwde tools biedt voor het programmatisch lezen, zoeken en manipuleren van Git-repositories via large language models (LLM's). De beveiligingsproblemen zijn:

* **CVE-2025-68143** (CVSS score: 8.8 [v3] / 6.5 [v4]): Een path traversal-kwetsbaarheid die ontstaat doordat de git_init tool willekeurige bestandssysteempaden accepteert tijdens het aanmaken van een repository zonder validatie. Dit is verholpen in versie 2025.9.25.
* **CVE-2025-68144** (CVSS score: 8.1 [v3] / 6.4 [v4]): Een argument injection-kwetsbaarheid die ontstaat doordat de git_diff en git_checkout functies door de gebruiker beheerste argumenten direct doorgeven aan git CLI-commando's zonder sanitatie. Dit is verholpen in versie 2025.12.18.
* **CVE-2025-68145** (CVSS score: 7.1 [v3] / 6.3 [v4]): Een path traversal-kwetsbaarheid die ontstaat door een ontbrekende padvalidatie bij het gebruik van de --repository flag om operaties te beperken tot een specifiek repositorypad. Dit is verholpen in versie 2025.12.18.

Succesvolle exploitatie van deze kwetsbaarheden kan een aanvaller in staat stellen om elke directory op het systeem om te zetten in een Git-repository, elk bestand te overschrijven met een leeg diff-bestand en toegang te krijgen tot elke repository op de server.

Cyata documenteerde een aanvalsscenario waarbij de drie kwetsbaarheden konden worden gecombineerd met de Filesystem MCP-server om naar een ".git/config"-bestand te schrijven (meestal te vinden in de verborgen .git directory) en remote code execution te bereiken door een aanroep naar git_init te triggeren via prompt injectie. Dit gebeurt door:

1. git_init te gebruiken om een repository aan te maken in een beschrijfbare directory.
2. De Filesystem MCP-server te gebruiken om een kwaadaardig .git/config bestand te schrijven met een clean filter.
3. Een .gitattributes bestand te schrijven om het filter op bepaalde bestanden toe te passen.
4. Een shell script te schrijven met de payload.
5. Een bestand te schrijven dat het filter triggert.
6. git_add aan te roepen, dat het clean filter uitvoert en de payload activeert.

Als reactie op de bevindingen is de git_init tool uit het pakket verwijderd en zijn er extra validaties toegevoegd om path traversal te voorkomen. Gebruikers van het Python-pakket wordt aangeraden te updaten naar de nieuwste versie voor optimale bescherming.

"Dit is de canonieke Git MCP-server, degene die ontwikkelaars zouden moeten kopiëren," aldus Shahar Tal, CEO en medeoprichter van Agentic AI-beveiligingsbedrijf Cyata. "Als de beveiligingsgrenzen zelfs in de referentie-implementatie doorbroken worden, is dit een signaal dat het hele MCP-ecosysteem dieper onder de loep moet worden genomen. Dit zijn geen edge cases of exotische configuraties, ze werken direct uit de doos."
Bron

De Android-applicatie WPair is ontwikkeld om de CVE-2025-36911 kwetsbaarheid, die miljoenen bluetooth-audioapparaten wereldwijd treft, te identificeren en te demonstreren. Deze kwetsbaarheid, ook wel bekend als WhisperPair, is ontdekt door onderzoekers van KU Leuven en betreft een kritieke authenticatie bypass in Google’s Fast Pair protocol.

CVE-2025-36911 is een systemisch probleem in de implementatie van Fast Pair bij diverse fabrikanten en chipsets. De kern van het probleem ligt bij een gebrekkige verificatie van de pairing mode. Veel apparaten negeren pairing-verzoeken van ongeautoriseerde bronnen niet wanneer ze zich niet expliciet in de pairing-modus bevinden. Hierdoor kunnen aanvallers binnen enkele seconden een verbinding forceren tot op een afstand van 14 meter. Cruciaal is dat de aanval geen interactie van de gebruiker of fysieke toegang tot het apparaat vereist, wat het bijzonder gevaarlijk maakt voor consumenten audioapparatuur.

WPair biedt drie functionaliteiten voor scanning en testen. De BLE Scanner detecteert Fast Pair-apparaten in de omgeving door te zoeken naar apparaten die de 0xFE2C service UUID uitzenden. De Vulnerability Tester voert niet-invasieve controles uit om de patch-status te bepalen zonder een verbinding tot stand te brengen. Voor geautoriseerd beveiligingsonderzoek biedt de Exploit-functie een demonstratie van de volledige aanvalsketen, inclusief key-based pairing bypass, BR/EDR address extraction en Bluetooth Classic bonding. Post-exploitatie mogelijkheden omvatten toegang tot het Hands-Free Profile voor microfoonfunctionaliteit. Gebruikers kunnen live audio streaming inschakelen naar de speaker van hun telefoon of opgenomen audio opslaan als M4A-bestanden voor forensische analyse.

De kwetsbaarheid stelt aanvallers in staat om apparaten te kapen zonder toestemming, waardoor ze de controle kunnen krijgen over het afspelen van audio, gesprekken kunnen opnemen en mogelijk persistent tracking kunnen opzetten via Google’s Find Hub Network. Indien een apparaat nog nooit met een Android-apparaat verbonden is geweest, kunnen aanvallers het aan hun eigen account toevoegen voor locatie tracking, door misbruik te maken van het mechanisme dat de eerste Account Key writer aanwijst als de eigenaar van het apparaat.

Fabrikanten die getroffen zijn, omvatten JBL, Harman Kardon, Sony, Marshall en vele anderen, wat naar schatting honderden miljoenen gebruikers wereldwijd treft.

Google heeft dit probleem als kritiek geclassificeerd en de onderzoekers een beloning van $15.000 toegekend. De disclosure window van 150 dagen is in januari 2026 geëindigd en fabrikanten brengen nu patches uit. WPair sluit expliciet Find Hub Network provisioning functionaliteit uit om ethische grenzen rond stalkerware implementatie te handhaven.

WPair vereist Android 8.0 of hoger met Bluetooth LE support en de juiste locatierechten. De applicatie is beschikbaar als een precompiled APK en als gecompileerde bron via Gradle. Security onderzoekers dienen te verifiëren dat ze schriftelijke toestemming hebben alvorens apparaten te testen die ze niet zelf bezitten.

Deze tool vertegenwoordigt een belangrijke vooruitgang in vulnerability assessment voor het IoT-audio-ecosysteem, waardoor fabrikanten en security teams getroffen apparaten kunnen identificeren die onmiddellijke firmware-updates vereisen.
Bron

Cybersecuritybedrijf Palo Alto Networks heeft een kwetsbaarheid ontdekt in de Azure Private Endpoint architectuur van Microsoft, die Azure-resources kan blootstellen aan denial-of-service (DoS) aanvallen. Uit onderzoek blijkt dat meer dan 5% van de Azure storage accounts momenteel configuraties heeft die gevoelig zijn voor dit probleem. De kwetsbaarheid kan ook andere diensten treffen, waaronder Key Vault, CosmosDB, Azure Container Registry (ACR), Function Apps en OpenAI accounts.

Azure Private Link biedt een private en veilige manier om verbinding te maken met ondersteunde Azure-resources en Azure-gehoste custom services via het Azure backbone netwerk. De kwetsbaarheid ontstaat in een situatie waarbij een Private DNS zone gekoppeld is aan een Virtual Network (VNET), maar er geen "A" record bestaat voor de storage account binnen de context van dat VNET. Dit leidt tot een mislukte DNS-resolutie, waardoor VM's geen verbinding meer kunnen maken met de storage account, zelfs als de publieke endpoint toegankelijk blijft.

De risico's zijn aanwezig in verschillende scenario's: accidenteel door interne netwerkbeheerders, accidenteel door externe leveranciers, of kwaadwillig door aanvallers die toegang hebben verkregen tot een Azure omgeving. Een DoS-aanval op storage accounts kan bijvoorbeeld leiden tot het falen van Azure Functions binnen Function Apps en daaropvolgende updates. Ook kan een DoS-aanval op Key Vaults processen beïnvloeden die afhankelijk zijn van geheimen in de vault.

Microsoft biedt een fallback naar internet optie die dit probleem gedeeltelijk adresseert. Deze optie zorgt ervoor dat de DNS resolver terugvalt op het publieke internet wanneer een record niet gevonden kan worden. Een andere oplossing is het handmatig toevoegen van een record voor de getroffen resource in de Private DNS zone.

Palo Alto Networks adviseert organisaties om hun Azure omgevingen te scannen op resources die gevoelig zijn voor DoS-aanvallen. Dit kan door individuele resources te scannen of door gebruik te maken van Azure Resource Graph Explorer. Met behulp van specifieke queries kunnen virtual networks worden geïdentificeerd die gekoppeld zijn aan een blob storage Private DNS zone en virtual networks die interageren met blob storage resources zonder Private Endpoint verbindingen.

Het is essentieel om de beperkingen van Azure Private Link te begrijpen om netwerken die erop vertrouwen te beveiligen. Met bepaalde configuraties kan de binaire aard van Azure Private Link leiden tot connectiviteitsverlies en DoS-aanvallen. Palo Alto Networks biedt bescherming en mitigatie via verschillende producten, waaronder Cortex Cloud en Unit 42 Cloud Security Assessment.

De bevindingen zijn gedeeld met de Cyber Threat Alliance (CTA) om snel bescherming te bieden aan klanten en kwaadwillende cyberactoren te verstoren.
Bron

Er is een ernstig beveiligingslek ontdekt in OpenStack keystonemiddleware waardoor kwaadwillenden volledige beheerdersrechten kunnen verkrijgen binnen cloudomgevingen. De kwetsbaarheid heeft de identificatiecode CVE-2026-22797 gekregen en draagt een CVSS-score van 9.9, wat duidt op een zeer kritieke ernstgraad. Het lek bevindt zich specifiek in de manier waarop de authenticatiesoftware omgaat met inkomende headers, waardoor het mogelijk is om beveiligingscontroles te omzeilen via spoofing.

De problematiek centreert zich rond de zogeheten external_oauth2_token middleware, die inkomende authenticatie-headers niet correct schoont voordat OAuth 2.0 tokens worden verwerkt. Een geauthenticeerde aanvaller op afstand kan hierdoor identiteitsheaders vervalsen, zoals X-Is-Admin-Project, X-Roles of X-User-Id. Door deze manipulatie is het mogelijk privileges te escaleren of zich voor te doen als andere gebruikers, inclusief beheerders met volledige toegang tot het systeem. Dit vormt een aanzienlijk risico voor de vertrouwelijkheid en integriteit van data binnen getroffen omgevingen, waarbij aanvallers toegang kunnen krijgen tot vertrouwelijke bronnen en lateraal door het netwerk kunnen bewegen.

Het beveiligingslek treft specifieke versies van de software, namelijk OpenStack keystonemiddleware versies 10.5 tot en met 10.7 vóór update 10.7.2, versies 10.8 en 10.9 vóór update 10.9.1, en versies 10.10 tot en met 10.12 vóór update 10.12.1. Alle implementaties die gebruikmaken van de genoemde middleware zijn kwetsbaar. Aangezien OpenStack veelvuldig wordt ingezet voor het beheer van publieke, private en hybride cloudomgevingen in datacenters en bij grote organisaties, kan de impact van misbruik aanzienlijk zijn.

Systeembeheerders wordt geadviseerd om met de hoogste prioriteit updates te installeren voor de kwetsbare installaties na een grondige testprocedure. Naast het patchen is het noodzakelijk om monitoring- en detectiecapaciteiten op te schalen om verdachte activiteiten te identificeren, aangezien een software-update geen oplossing biedt voor eventuele compromittering die in het verleden al heeft plaatsgevonden. Op de peildatum van 20 januari 2026 waren er nog geen meldingen van actief misbruik van dit lek in het wild.

Bron

De afgelopen vierentwintig uur hebben diverse ernstige beveiligingslekken veel aandacht getrokken op sociale media en binnen de beveiligingsgemeenschap. Uit gegevens over trending kwetsbaarheden blijkt dat vooral producten van Apple en Google onderwerp van gesprek zijn vanwege actief misbruik en kritieke fouten in veelgebruikte frameworks. De zogeheten hype-score, die de urgentie en aandacht voor specifieke CVE's meet, laat zien dat systeembeheerders en beveiligingsteams momenteel alert moeten zijn op diverse fronten, variërend van mobiele besturingssystemen tot zakelijke softwarepakketten.

De lijst wordt aangevoerd door CVE-2025-43300, een kwetsbaarheid in het Image I/O-framework van Apple. Deze fout kan worden misbruikt wanneer een apparaat een kwaadaardig afbeeldingbestand verwerkt, wat leidt tot geheugencorruptie en mogelijk het uitvoeren van willekeurige code op afstand. Apple heeft dit probleem inmiddels aangepakt met verbeterde controles in updates voor onder meer iOS, iPadOS en macOS. Een andere prominente kwetsbaarheid is CVE-2025-14174, die zowel componenten van Google Chrome als Apple's WebKit raakt. Google heeft bevestigd dat er een exploit in omloop is voor deze fout in de ANGLE-component, terwijl Apple waarschuwt dat de WebKit-variant mogelijk is misbruikt in geavanceerde aanvallen gericht op specifieke individuen.

Naast deze problemen is ook CVE-2025-43529 een veelbesproken onderwerp. Dit betreft een use-after-free kwetsbaarheid in WebKit, ontdekt door Google's Threat Analysis Group. Ook hierbij geldt dat het lek mogelijk is ingezet bij gerichte aanvallen op gebruikers van oudere iOS-versies. Apple heeft updates uitgebracht voor een breed scala aan apparaten, waaronder iPhones, iPads en Macs, om dit risico te mitigeren. In dezelfde categorie van geavanceerde dreigingen vallen CVE-2025-31201 en CVE-2025-31200. De eerste betreft een zwakte in de RPAC-beveiligingsfunctie, terwijl de tweede zich bevindt in het CoreAudio-framework. Beide lekken zouden volgens rapporten zijn misbruikt in zeer geavanceerde aanvallen tegen specifieke doelwitten.

Buiten het ecosysteem van Apple en Google zijn er ook ernstige meldingen over zakelijke software. CVE-2025-61882 betreft een kwetsbaarheid in de Oracle E-Business Suite die op afstand en zonder authenticatie kan worden misbruikt, wat kan leiden tot volledige overname van het systeem. Oracle benadrukt het belang van het installeren van de beschikbare updates. Tot slot is er aandacht voor CVE-2025-60021, een command injection kwetsbaarheid in Apache bRPC. Door onvoldoende validatie van invoer kunnen aanvallers via de heap profiler-service op afstand commando's uitvoeren op de server.

Bron

Nvidia heeft een dringende beveiligingsupdate uitgebracht om een kritieke kwetsbaarheid in Nsight Graphics voor Linux te verhelpen. Het lek, aangeduid als CVE-2025-33206, kan aanvallers in staat stellen om willekeurige code uit te voeren op kwetsbare systemen. De kwetsbaarheid is geclassificeerd als "Hoog" met een CVSS-score van 7.8.

De kwetsbaarheid in Nvidia Nsight Graphics voor Linux stelt aanvallers in staat om kwaadaardige commando's te injecteren. Een succesvolle exploitatie kan leiden tot ongeautoriseerde code-uitvoering, privilege-escalatie, datamanipulatie of denial-of-service aanvallen. Hoewel de kwetsbaarheid lokale toegang en gebruikersinteractie vereist om te worden geactiveerd, vormt het een significant risico voor ontwikkelings- en grafisch-gerelateerde workloads.

De oorzaak van de kwetsbaarheid ligt in onvoldoende inputvalidatie bij de verwerking van commando's, gecategoriseerd onder CWE-78 (Improper Neutralization of Special Elements used in an OS Command). Aanvallers met lokale systeemtoegang kunnen kwaadaardige inputs fabriceren om te ontsnappen aan de beoogde commandocontexten en willekeurige systeemcommando's uitvoeren met verhoogde privileges.

De aanval vereist lokale toegang en gebruikersinteractie (UI: R), wat betekent dat een aanvaller een gebruiker moet misleiden om een specifieke actie uit te voeren. Echter, eenmaal geactiveerd, verleent de kwetsbaarheid ongeautoriseerde code-uitvoeringsmogelijkheden met een grote impact op vertrouwelijkheid, integriteit en beschikbaarheid van het systeem.

Alle versies van Nvidia Nsight Graphics voor Linux vóór versie 2025.5 zijn kwetsbaar. Organisaties die Nsight Graphics gebruiken, moeten onmiddellijk upgraden naar versie 2025.5 of later om de kwetsbaarheid te verhelpen. Nvidia heeft versie 2025.5 beschikbaar gesteld via het officiële Nvidia developer portal. Gebruikers worden aangeraden deze update zo snel mogelijk te downloaden en te installeren.

Totdat patches kunnen worden uitgerold, wordt organisaties aangeraden de lokale toegang tot systemen met kwetsbare versies te beperken en het principe van de minste privileges te implementeren. Dit houdt in dat gebruikers alleen toegang krijgen tot de resources die ze nodig hebben om hun taken uit te voeren.

Aanvullende details en de meest recente beveiligingsbulletins zijn beschikbaar op de officiële Nvidia Product Security pagina, waar ook abonnementsopties voor beveiligingsmeldingen worden aangeboden. Het is aan te raden om je te abonneren op deze meldingen om op de hoogte te blijven van toekomstige beveiligingsproblemen en updates. Nvidia benadrukt het belang van het snel toepassen van de update om de veiligheid van de systemen te waarborgen.
Bron

Een kritieke command injection kwetsbaarheid in Zoom Node Multimedia Routers (MMR's) stelt kwaadwillenden in staat om op afstand code uit te voeren op de getroffen systemen. De kwetsbaarheid, geregistreerd als CVE-2026-22844, heeft een CVSS severity rating van 9.9, wat de hoogst mogelijke score is. Dit duidt op een extreem gevaarlijke dreiging die onmiddellijke maatregelen vereist.

Het beveiligingslek bevindt zich in Zoom Node MMR versies vóór 5.2.1716.0 en treft twee primaire deployment scenario's: Zoom Node Meetings Hybrid (ZMH) en Zoom Node Meeting Connector (MC) omgevingen. De kwetsbaarheid vereist slechts netwerktoegang en minimale privileges om te worden misbruikt; gebruikersinteractie is niet nodig.

Een aanvaller met geldige inloggegevens als deelnemer aan een vergadering kan dit beveiligingslek gebruiken om remote code execution te verkrijgen, direct op de MMR-infrastructuur. Het kritieke karakter van de kwetsbaarheid komt voort uit de netwerktoegankelijkheid en de mogelijkheid om het gehele systeem te compromitteren. De CVSS vector is CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H.

De impact is hoog op het gebied van vertrouwelijkheid, integriteit en beschikbaarheid. Aanvallers kunnen gegevens stelen, systeemconfiguraties wijzigen en diensten tegelijkertijd verstoren. Organisaties die Zoom Node Meetings, Hybrid of Meeting Connector deployments gebruiken, lopen een direct risico.

De kwetsbaarheid richt zich specifiek op MMR-modules met versies vóór 5.2.1716.0, waardoor versie-identificatie en patching de belangrijkste stappen voor mitigatie zijn. Zoom wijst de ontdekking toe aan haar eigen Offensive Security team.

Zoom adviseert beheerders dringend om de betreffende MMR-modules onmiddellijk te updaten naar versie 5.2.1716.0 of later. Het bedrijf heeft gedetailleerde instructies gepubliceerd via de support documentatie "Managing Updates for Zoom Node," die stapsgewijze instructies biedt voor het implementeren van patches op de Zoom Node infrastructuur.

Organisaties moeten deze update als kritiek beschouwen en met dezelfde urgentie behandelen als reacties op zero-day kwetsbaarheden. Gezien de lage complexiteit van de aanval en de behoefte aan slechts basis toegang op deelnemersniveau, is het risico op misbruik aanzienlijk in real-world omgevingen.

Organisaties die Zoom Node deployments gebruiken, dienen onmiddellijk hun huidige MMR-versies te verifiëren en zonder vertraging patches te implementeren. Gezien de kritieke severity rating en het gemak van exploitatie, vertegenwoordigt deze kwetsbaarheid een aanzienlijk veiligheidsrisico dat dringende aandacht vereist in alle betrokken omgevingen. Het negeren van deze waarschuwing kan leiden tot ernstige schade aan de betrokken systemen en data. Het is cruciaal dat beheerders proactief handelen om de risico's te minimaliseren.
Bron

Oracle heeft een kritieke patch update uitgebracht voor januari 2026, waarmee 337 nieuwe beveiligingslekken in een breed scala aan productfamilies worden gedicht. Deze omvangrijke beveiligingsupdate is bedoeld om wijdverspreide risico's in enterprise systemen te mitigeren. De patch omvat essentiële fixes voor Oracle's uitgebreide productecosysteem, waaronder databasesystemen, middleware, communicatieplatforms en financiële applicaties.

Een van de meest ernstige kwetsbaarheden, CVE-2025-66516 in Oracle Commerce Guided Search, heeft een CVSS-score van 10.0, de hoogste score. Dit lek is op afstand te misbruiken zonder authenticatie via de Apache Tika integratie.

Databaseproducten ontvingen 18 nieuwe beveiligingspatches, die kwetsbaarheden in Oracle Database Server (7 patches), Oracle APEX, Oracle Essbase, Oracle GoldenGate (5 patches) en Oracle Graph Server aanpakken. De Oracle Communications suite is bijzonder zwaar getroffen met 56 nieuwe patches, gevolgd door Oracle Financial Services Applications met 38 patches voor bank-, facturerings- en compliancesystemen.

Het overzicht van de lekken laat zien dat 115 kwetsbaarheden op afstand exploiteerbaar zijn zonder authenticatie. Dit is een groot probleem voor systemen die aan het internet zijn blootgesteld. CVSS-scores variëren van 2.4 tot 10.0, waarbij kritieke infrastructuurcomponenten zoals Oracle Fusion Middleware 51 patches bevatten en meerdere exposures met een hoge ernstgraad.

Talrijke kwetsbaarheden hebben betrekking op zwakke plekken in componenten van derden, waaronder Apache Tika, Spring Framework, Apache Commons libraries en OpenSSL. Deze afhankelijkheden creëren gelijktijdige, trapsgewijze exposure in meerdere producten. Verschillende kwetsbaarheden vereisen geen gebruikersinteractie, waardoor geautomatiseerde exploitatie mogelijk is via netwerkprotocollen zoals HTTP, HTTPS en TLS.

Oracle benadrukt met klem het onmiddellijk toepassen van patches, waarbij wordt opgemerkt dat er actieve pogingen tot exploitatie zijn tegen systemen waarop geen patches zijn geïnstalleerd. Organisaties moeten de kwetsbaarheden met de hoogste scores prioriteren, terwijl ze patches testen in niet-productieomgevingen. Het advies beveelt expliciet aan om te upgraden naar actief ondersteunde productversies tijdens de Premier of Extended Support fasen.

Deze driemaandelijkse Critical Patch Update cyclus wordt voortgezet met releases gepland voor 21 april, 21 juli en 20 oktober 2026. Organisaties die diverse Oracle-omgevingen beheren, worden geconfronteerd met aanzienlijke complexiteit op het gebied van patchbeheer, wat gecoördineerde implementatiestrategieën vereist.

De omvang van deze update, 337 kwetsbaarheden in tientallen productfamilies, onderstreept Oracle's toewijding aan responsieve beveiliging en benadrukt tegelijkertijd het aanzienlijke aanvalsoppervlak van enterprise installaties. Beveiligingsteams moeten snelle beoordeling en implementatie prioriteren om de exposure van de hoogst scorende kwetsbaarheden te beperken voordat bedreigers exploits bewapenen.
Bron

GitLab heeft beveiligingsupdates uitgebracht voor de community en enterprise edities van het platform. De belangrijkste kwetsbaarheid betreft een omzeiling van tweefactorauthenticatie, gevolgd onder CVE-2026-0723. De oorzaak is een ongecontroleerde returnwaarde in de authenticatiediensten. Een aanvaller die het account ID van een doelwit kent kan hiermee 2FA passeren door vervalste apparaatresponsen in te dienen. GitLab geeft aan dat het probleem is verholpen.

Daarnaast zijn twee kwetsbaarheden met hoge ernst verholpen die tot een denial of service toestand kunnen leiden in GitLab CE/EE. Onder CVE-2025-13927 kunnen speciaal geprepareerde verzoeken met onjuist geformatteerde authenticatiedata een storing veroorzaken. Onder CVE-2025-13928 speelt onjuiste autorisatievalidatie in API-endpoints, wat eveneens tot uitval kan leiden.

Verder zijn twee kwetsbaarheden met middelmatige ernst opgelost. CVE-2025-13335 beschrijft een storing die kan ontstaan door verkeerd geconfigureerde wiki documenten die de cyclusdetectie omzeilen. CVE-2026-1102 gaat over herhaalde onjuist geformatteerde SSH authenticatieverzoeken die tot uitval kunnen leiden.

De oplossingen zijn beschikbaar in GitLab 18.8.2, 18.7.2 en 18.6.4. Beheerders van zelfbeheerinstallaties wordt geadviseerd direct te upgraden. GitLab.com draait al op de gepatchte versie en voor GitLab Dedicated zijn geen acties nodig. Voor organisaties in Nederland en België die zelf GitLab beheren staan de onderhoudsreleases gereed.

Publieke metingen laten zien dat wereldwijd bijna 6.000 GitLab CE instanties rechtstreeks aan het internet zijn blootgesteld en dat er bij een internetbreed zoekplatform meer dan 45.000 systemen met een GitLab vingerafdruk zichtbaar zijn. In Nederland zijn 61 en in België 17 GitLab instanties publiek toegankelijk. In juni 2025 pakte GitLab eerder al meerdere problemen met hoge ernst aan. Het platform telt naar eigen zeggen meer dan 30 miljoen geregistreerde gebruikers en wordt gebruikt door meer dan de helft van de Fortune 100.

Bron

Op de eerste dag van de Pwn2Own Automotive 2026 competitie in Tokio hebben security researchers het Tesla Infotainment System gehackt en daarmee een prijs van $516.500 in de wacht gesleept. Tijdens de competitie, die plaatsvindt tijdens de Automotive World auto conferentie van 21 tot 23 januari, werden in totaal 37 zero-day vulnerabilities gedemonstreerd.

Team Synacktiv Team verdiende $35.000 door een information leak en een out-of-bounds write flaw aan elkaar te koppelen, waardoor ze root-toegang kregen tot het Tesla Infotainment System via een USB-gebaseerde aanval. Ze demonstreerden tevens een aanval op een Sony XAV-9500ES digital media receiver, waarbij ze drie kwetsbaarheden combineerden om root-level code execution te verkrijgen, wat hen een extra $20.000 opleverde.

Team Fuzzware.io incasseerde $118.000 door een Alpitronic HYC50 Charging Station, een Autel charger en een Kenwood DNR1007XR navigatie receiver te hacken. PetoWorks ontving $50.000 voor het aaneenschakelen van drie zero-day bugs om root-privileges te verkrijgen op een Phoenix Contact CHARX SEC-3150 charging controller. Team DDOS verdiende $72.500 door de ChargePoint Home Flex, de Autel MaxiCharger en het Grizzl-E Smart 40A vehicle charging station te compromitteren.

Op de tweede dag van Pwn2Own zullen vier teams de Grizzl-E Smart 40A aanvallen, de Autel MaxiCharger wordt drie keer getarget en twee teams proberen root-toegang te verkrijgen tot de ChargePoint Home Flex. Elke succesvolle poging levert de hackers $50.000 op. Team Fuzzware.io zal ook proberen de Phoenix Contact CHARX SEC-3150 vehicle charger te hacken voor een potentiële beloning van $70.000.

Leveranciers hebben 90 dagen de tijd om security fixes te ontwikkelen en uit te brengen voordat TrendMicro's Zero Day Initiative de details van de kwetsbaarheden openbaar maakt. Dit volgt op de exploitatie en rapportage van de zero-day flaws tijdens de Pwn2Own contest.

De Pwn2Own Automotive 2026 hacking competitie richt zich op automotive technologieën, waaronder in-vehicle infotainment (IVI) systemen, elektrische voertuig (EV) chargers en car operating systems (zoals Automotive Grade Linux). Tijdens de competitie worden volledig gepatchte systemen aangevallen.

De Pwn2Own Automotive 2025 competitie eindigde met een totaalbedrag van $886.250 aan prijzengeld voor de hackers, die 49 zero-day vulnerabilities hadden blootgelegd. Tijdens de eerste Pwn2Own Automotive contest in 2024 werd $1.323.750 uitgereikt, na het demonstreren van 49 zero-day bugs in verschillende elektrische autosystemen en het twee keer hacken van Tesla.
Bron

Beveiligingsonderzoekers hebben kwetsbaarheden ontdekt in Chainlit, een populair open-source framework voor kunstmatige intelligentie (AI). Deze lekken, die de naam "ChainLeak" hebben gekregen, kunnen aanvallers in staat stellen gevoelige data te stelen en zich lateraal binnen een getroffen organisatie te bewegen.

Zafran Security meldt dat de ernstige kwetsbaarheden misbruikt kunnen worden om API-sleutels van cloudomgevingen te lekken, gevoelige bestanden te stelen of Server-Side Request Forgery (SSRF)-aanvallen uit te voeren op servers die AI-applicaties hosten.

Chainlit is een framework voor het ontwikkelen van conversationele chatbots. Volgens de Python Software Foundation is het pakket de afgelopen week meer dan 220.000 keer gedownload, met een totaal van 7,3 miljoen downloads tot nu toe.

De details van de twee gevonden kwetsbaarheden zijn als volgt:

* **CVE-2026-22218 (CVSS score: 7.1):** Een arbitrary file read-kwetsbaarheid in de "/project/element" update flow. Een geauthenticeerde aanvaller kan hierdoor de inhoud van elk bestand dat leesbaar is voor de service, in hun eigen sessie ophalen, omdat er geen validatie plaatsvindt van user-controller velden.
* **CVE-2026-22219 (CVSS score: 8.3):** Een SSRF-kwetsbaarheid in de "/project/element" update flow wanneer geconfigureerd met de SQLAlchemy data layer backend. Een aanvaller kan willekeurige HTTP-verzoeken naar interne netwerkdiensten of cloud metadata endpoints sturen vanaf de Chainlit-server en de ontvangen antwoorden opslaan.

"De twee Chainlit-kwetsbaarheden kunnen op verschillende manieren worden gecombineerd om gevoelige data te lekken, privileges te escaleren en lateraal binnen het systeem te bewegen," aldus Gal Zaban en Ido Shani, onderzoekers bij Zafran. "Zodra een aanvaller arbitrary file read-toegang heeft op de server, stort de beveiliging van de AI-applicatie snel in. Wat in eerste instantie een afgebakende fout lijkt, wordt directe toegang tot de meest gevoelige geheimen en de interne staat van het systeem."

Een aanvaller kan bijvoorbeeld CVE-2026-22218 gebruiken om "/proc/self/environ" te lezen, waardoor waardevolle informatie zoals API-sleutels, credentials en interne bestandspaden kunnen worden verkregen. Deze informatie kan worden gebruikt om dieper in het gecompromitteerde netwerk door te dringen en zelfs toegang te krijgen tot de applicatiebroncode. Het kan ook worden gebruikt om databasebestanden te lekken als de setup SQLAlchemy gebruikt met een SQLite backend als datalaag.

Na een melding aan Chainlit op 23 november 2025, zijn beide kwetsbaarheden opgelost in versie 2.9.4, die op 24 december 2025 werd uitgebracht.

"Naarmate organisaties snel AI-frameworks en componenten van derden adopteren, worden lang bestaande klassen van softwarekwetsbaarheden direct in AI-infrastructuren ingebed," aldus Zafran. "Deze frameworks introduceren nieuwe en vaak slecht begrepen aanvalsoppervlakken, waar bekende kwetsbaarheden AI-systemen direct in gevaar kunnen brengen."

De onthulling van ChainLeak volgt op de melding van een kwetsbaarheid in Microsoft's MarkItDown Model Context Protocol (MCP) server, genaamd MCP fURI, door BlueRock. Deze kwetsbaarheid maakt willekeurige aanroepen van URI-resources mogelijk, waardoor organisaties worden blootgesteld aan privilege escalation, SSRF en data-inbreuk. De tekortkoming treft de server wanneer deze draait in een Amazon Web Services (AWS) EC2 instance met behulp van IDMSv1.

"Deze kwetsbaarheid stelt een aanvaller in staat om de Markitdown MCP tool convert_to_markdown uit te voeren om een willekeurige uniform resource identifier (URI) aan te roepen," aldus BlueRock. "Het ontbreken van enige begrenzing op de URI stelt elke gebruiker, agent of aanvaller die de tool aanroept in staat om toegang te krijgen tot elke HTTP- of bestandbron."

"Bij het verstrekken van een URI aan de Markitdown MCP server, kan dit worden gebruikt om de instance metadata van de server op te vragen. Een gebruiker kan dan credentials voor de instance verkrijgen als er een rol aan gekoppeld is, waardoor toegang wordt verkregen tot het AWS account, inclusief de access en secret keys."

BlueRock's analyse van meer dan 7.000 MCP-servers toonde aan dat meer dan 36,7% waarschijnlijk is blootgesteld aan vergelijkbare SSRF-kwetsbaarheden. Om het risico te beperken, wordt aangeraden om IMDSv2 te gebruiken ter beveiliging tegen SSRF-aanvallen, private IP blocking te implementeren, de toegang tot metadata services te beperken en een allowlist te creëren om data-exfiltratie te voorkomen.
Bron

Een ernstige beveiligingskwetsbaarheid is ontdekt in de populaire binary-parser npm bibliotheek. Succesvolle exploitatie van deze kwetsbaarheid kan leiden tot de uitvoering van willekeurige JavaScript code. De kwetsbaarheid, geregistreerd als CVE-2026-1245 (CVSS score: N/A), treft alle versies van de module voorafgaand aan versie 2.3.0, waarin het probleem is verholpen. Patches voor de kwetsbaarheid zijn uitgebracht op 26 november 2025.

Binary-parser is een veelgebruikte parser builder voor JavaScript, die ontwikkelaars in staat stelt binaire data te parsen. Het ondersteunt een breed scala aan gangbare datatypes, waaronder integers, floating-point waarden, strings en arrays. Het pakket wordt wekelijks ongeveer 13.000 keer gedownload.

Volgens een advies van het CERT Coordination Center (CERT/CC) houdt de kwetsbaarheid verband met een gebrek aan sanitatie van door de gebruiker aangeleverde waarden, zoals parser veldnamen en encoding parameters. Dit gebeurt wanneer de JavaScript parser code dynamisch wordt gegenereerd tijdens runtime met behulp van de "Function" constructor.

De npm bibliotheek bouwt JavaScript broncode als een string die de parsing logic vertegenwoordigt. Vervolgens wordt deze gecompileerd met behulp van de Function constructor en gecached als een uitvoerbare functie om buffers efficiënt te parsen. Echter, als gevolg van CVE-2026-1245, kan door een aanvaller gecontroleerde input in de gegenereerde code terechtkomen zonder adequate validatie. Dit kan ervoor zorgen dat de applicatie niet-vertrouwde data parseert, wat resulteert in de uitvoering van willekeurige code. Applicaties die uitsluitend statische, hard-coded parser definities gebruiken, worden niet getroffen door de kwetsbaarheid.

"In getroffen applicaties die parser definities construeren met behulp van niet-vertrouwde input, kan een aanvaller mogelijk willekeurige JavaScript code uitvoeren met de privileges van het Node.js proces," aldus CERT/CC. "Dit kan toegang geven tot lokale data, manipulatie van applicatie logic of uitvoering van systeemcommando's, afhankelijk van de deployment omgeving."

Deze kwetsbaarheid kan ernstige gevolgen hebben voor applicaties die afhankelijk zijn van binary-parser voor het verwerken van binaire data. Een succesvolle aanval kan leiden tot datalekken, verstoring van de dienstverlening en zelfs volledige controle over het systeem. Het is daarom van groot belang dat gebruikers van binary-parser de nodige maatregelen nemen om zich te beschermen.

Beveiligingsonderzoeker Maor Caplan wordt gecrediteerd voor het ontdekken en rapporteren van de kwetsbaarheid. Gebruikers van binary-parser wordt aangeraden te upgraden naar versie 2.3.0 en te vermijden dat door de gebruiker gecontroleerde waarden worden doorgegeven aan parser veldnamen of encoding parameters. Het updaten van de library is cruciaal om het risico op exploitatie te minimaliseren en de integriteit van de applicatie te waarborgen. Daarnaast wordt aanbevolen om de input validatie processen te versterken, om te voorkomen dat kwaadaardige code in de applicatie terechtkomt.
Bron

Op 21 januari 2026 is bekend geworden dat er aanzienlijke zero-day kwetsbaarheden zijn ontdekt in verschillende populaire JavaScript package managers, waaronder npm, pnpm, vlt en Bun. Deze kwetsbaarheden omzeilen cruciale beveiligingsmaatregelen die na de grootschalige Shai-Hulud aanval op npm in november vorig jaar geïmplementeerd werden. Het rapport, afkomstig van Koi.ai, waarschuwt dat de standaard adviezen om lifecycle scripts uit te schakelen en lockfiles vast te leggen, niet langer voldoende bescherming bieden.

Na de Shai-Hulud aanval, waarbij meer dan 700 packages werden gecompromitteerd en 25.000 repositories werden blootgesteld, werd het uitschakelen van lifecycle scripts middels de `--ignore-scripts` flag en het vastleggen van lockfiles (package-lock.json, pnpm-lock.yaml, etc.) de gouden standaard. Lifecycle scripts zijn commando’s die automatisch tijdens de package installatie uitgevoerd worden, zoals `preinstall`, `install`, en `postinstall`. Lockfiles daarentegen, bevatten exacte versies en integriteitshashes van alle packages in de dependency tree, waardoor onverwachte wijzigingen tegengegaan zouden moeten worden.

Het onderzoek van Koi.ai onthult echter dat deze mechanismen te omzeilen zijn. Zo vonden ze bypasses voor script execution prevention in npm, pnpm, vlt en Bun. Een voorbeeld hiervan is een kwetsbaarheid in npm waarbij een malafide `.npmrc` bestand, opgenomen in een git dependency, gebruikt kan worden om willekeurige code uit te voeren, zelfs met `--ignore-scripts` ingeschakeld. Pnpm en vlt vertoonden dan weer kwetsbaarheden in de afhandeling van git dependencies en tarball extractie, waardoor ongeautoriseerde code-uitvoering mogelijk werd.

Daarnaast werden er tekortkomingen in de lockfile integriteitscontroles ontdekt. Zowel pnpm als vlt bleken HTTP tarball dependencies zonder integriteitshashes op te slaan. Dit maakt het mogelijk voor een aanvaller om een malicious dependency te introduceren die bij de eerste installatie onschadelijke code bevat en later, bijvoorbeeld tijdens een CI/CD run, kwaadaardige code serveert.

Opvallend is dat npm, nu onder beheer van Microsoft, het rapport van Koi.ai afwees met de uitleg dat gebruikers zelf verantwoordelijk zijn voor het beoordelen van de content van de packages die ze installeren. Dit terwijl npm’s eigen bug bounty programma expliciet “Arbitrary script execution upon package install with the --ignore-scripts flag” als een focusgebied benoemt. Pnpm, vlt en Bun daarentegen reageerden snel en brachten binnen enkele weken patches uit voor de gerapporteerde kwetsbaarheden.

Koi.ai adviseert gebruikers om lockfiles te blijven vastleggen, `--ignore-scripts` (of equivalente instellingen) te gebruiken en hun package managers up-to-date te houden. Daarnaast wordt aangeraden om de keuze van de package manager te heroverwegen, waarbij pnpm en vlt als alternatieven worden genoemd die meer granulaire beveiligingscontroles bieden. Koi.ai's product, Wings, is ontworpen om dergelijke dreigingen te detecteren door het gedrag van packages tijdens installatie te monitoren.

Bron

Het OpenSSL-project heeft via de eigen mailinglijst aangekondigd dat op dinsdag 27 januari tussen 14.00 en 18.00 uur nieuwe beveiligingsreleases beschikbaar komen. Het gaat om updates die één of meerdere kwetsbaarheden verhelpen waarvan de hoogste ernst als “High” is aangemerkt. Verdere technische details zijn niet vooraf gedeeld.

De aangekondigde versies zijn OpenSSL 3.6.1, 3.5.5, 3.4.4, 3.3.6 en 3.0.19. Voor betalende klanten verschijnen daarnaast de extended-support uitgaven 1.0.2zn en 1.1.1ze. Volgens het projectteam betreft het security-fix releases.

De classificatie “High” betekent in dit geval dat het probleem niet in standaardconfiguraties optreedt of minder eenvoudig te misbruiken is. Daarom is de kwalificatie niet “Critical”. Tegelijkertijd kan een High-kwetsbaarheid ernstige gevolgen hebben, bijvoorbeeld diefstal van private keys of de mogelijkheid tot het uitvoeren van code op afstand.

Het OpenSSL-team benadrukt geen inhoudelijke details vrij te geven vóór de releases. Sinds 2002 zijn er in totaal 22 High-impact kwetsbaarheden voor OpenSSL gerapporteerd; in de afgelopen drie jaar ging het om slechts twee gevallen. Dat onderstreept dat dergelijke meldingen relatief zeldzaam zijn.

OpenSSL behoort tot de meest gebruikte cryptografische bibliotheken voor het beveiligen van internetverkeer. Organisaties in Nederland en België die OpenSSL gebruiken kunnen op 27 januari nieuwe versies verwachten binnen het genoemde tijdvenster. Historische incidenten, zoals de Heartbleed-bug, tonen aan dat fouten in deze software verstrekkende gevolgen kunnen hebben wanneer ze zich voordoen.

Bron

Het Nationaal Cyber Security Centrum (NCSC) heeft een waarschuwing met hoge prioriteit uitgegeven betreffende een ernstige kwetsbaarheid in GNU Inetutils telnetd. Het beveiligingslek stelt kwaadwillenden in staat om authenticatie te omzeilen en rootrechten op een systeem te verkrijgen. Deze kwetsbaarheid is geregistreerd onder kenmerk CVE-2026-24061 en heeft een CVSS-score van 9.3 gekregen, wat duidt op een zeer hoog risico voor de systeemintegriteit.

De problematiek bevindt zich in de wijze waarop de telnetd-service de USER-omgevingsvariabele verwerkt. Beveiligingsonderzoekers hebben aangetoond dat het manipuleren van deze variabele leidt tot een zogeheten Argument Injection. Door de variabele specifiek in te stellen op de waarde '-f root', kan een aanvaller de normale inlogprocedure passeren en direct volledige beheerdersrechten verkrijgen. Het lek is aangetroffen in versie 2.7 van de software, maar is volgens de onderzoekers al aanwezig sinds versie 1.9.3, die in 2015 werd uitgebracht.

Omdat de kwetsbaarheid zeer eenvoudig uit te buiten is en er inmiddels exploitcode publiekelijk beschikbaar is, verwacht het NCSC dat publiek toegankelijke telnet-servers op korte termijn doelwit zullen worden van aanvallen. Systeembeheerders wordt geadviseerd om managementinterfaces zoals Telnet nooit direct aan het internet te koppelen. Het advies luidt om deze diensten enkel beschikbaar te stellen op afgeschermde managementnetwerken en gebruik te maken van IP-allowlisting om de toegang strikt te beperken tot vertrouwde clients.

Hoewel er patches beschikbaar zijn om het lek te dichten, zijn deze nog niet direct verwerkt in de softwarepakketten van de diverse Linux-distributies. Totdat de distributies geüpdatete packages uitbrengen, is het verhelpen van de kwetsbaarheid een handmatig proces. Beheerders dienen de patch zelf in de broncode toe te passen, specifiek in het bestand telnetd/utility.c, en de software vervolgens zelfstandig opnieuw te compileren.

Bron

Op 22 januari 2026 zijn verschillende kritieke kwetsbaarheden (CVE's) trending op sociale media. Deze kwetsbaarheden krijgen steeds meer aandacht van beveiligingsexperts en gebruikers, wat kan duiden op een verhoogde urgentie. De "hype score", die de mate van belangstelling voor een specifieke kwetsbaarheid meet, geeft een goed overzicht van de risico’s die deze kwetsbaarheden met zich meebrengen. Hieronder volgt een overzicht van de tien meest besproken kwetsbaarheden op basis van hun hype-score:

De hoogste hype-score wordt toegekend aan CVE-2025-59718, met een score van 31, die Fortinet's FortiOS, FortiProxy, en FortiSwitchManager beïnvloedt. Deze kwetsbaarheid stelt aanvallers in staat om de FortiCloud Single Sign-On (SSO) login authenticatie te omzeilen door middel van een speciaal gecreëerd SAML-bericht.

CVE-2025-43300, met een hype-score van 18, betreft een out-of-bounds write kwetsbaarheid binnen Apple's Image I/O framework. Exploitatie kan leiden tot geheugenbeschadiging en mogelijk remote code execution, wat een aanzienlijk risico vormt voor gebruikers van Apple-systemen.

CVE-2025-33073 heeft een hype-score van 17 en betreft een privilege-escalatie kwetsbaarheid in de Windows Server Message Block (SMB) client. Dit kan een aanvaller in staat stellen om verhoogde privileges te verkrijgen over een netwerk, wat een potentiële bedreiging vormt voor systemen die SMB gebruiken.

Een andere belangrijke kwetsbaarheid is CVE-2025-55182, met een hype-score van 13. Dit betreft een kritieke kwetsbaarheid voor remote code execution in React Server Components, die insecure deserialization bevat en kan leiden tot server-side uitvoering bij exploitatie.

CVE-2025-54918, met een hype-score van 12, is een onjuiste authenticatie kwetsbaarheid in het Windows NTLM-protocol, waardoor een aanvaller toegang kan krijgen tot gevoelige resources en privileges kan escaleren.

Andere kwetsbaarheden met lagere hype-scores, zoals CVE-2024-23265 (meerdere Apple besturingssystemen), CVE-2025-60021 (Apache bRPC) en CVE-2025-61882 (Oracle E-Business Suite), blijven de aandacht trekken, maar hebben niet dezelfde mate van urgentie.

Beveiligingsteams worden aangeraden om zich bewust te zijn van deze kwetsbaarheden, aangezien de mate van blootstelling snel kan veranderen op basis van de publieke belangstelling. Een hogere hype-score wijst vaak op een grotere urgentie voor onmiddellijke actie, terwijl lagere scores mogelijk minder kritieke incidenten aanduiden.

Bron

Een kritieke authenticatie bypass kwetsbaarheid in SmarterMail, een populaire mailserver oplossing voor bedrijven, wordt actief misbruikt in het wild. De kwetsbaarheid, aangeduid als CVE-nummer CVE-2024-TBA, stelt aanvallers in staat om zonder geldige inloggegevens toegang te krijgen tot e-mailaccounts. De impact hiervan is potentieel enorm, variërend van het stelen van gevoelige bedrijfsinformatie tot het verspreiden van malware en phishing-campagnes.
De kwetsbaarheid bevindt zich in de manier waarop SmarterMail authenticatie tokens verwerkt. Een aanvaller kan een speciaal vervaardigd verzoek sturen naar de server, waarbij hij de authenticatiecontrole omzeilt en zich voordoet als een legitieme gebruiker. Dit vereist geen voorkennis van gebruikersnamen of wachtwoorden, waardoor het een bijzonder aantrekkelijke aanvalsmethode is voor cybercriminelen.
Onderzoekers hebben ontdekt dat de exploitatie van deze kwetsbaarheid al sinds begin januari 2026 actief plaatsvindt. De aanvallen lijken gericht op organisaties in verschillende sectoren, waaronder de financiële dienstverlening, de gezondheidszorg en de technologiesector. De aanvallers gebruiken de toegang tot de e-mailaccounts om gevoelige informatie te verzamelen, zoals financiële gegevens, klantgegevens en intellectueel eigendom. In sommige gevallen zijn de gecompromitteerde accounts ook gebruikt om phishing-mails te versturen naar andere werknemers of klanten, waardoor de schade nog verder wordt vergroot.
SmarterTools, de ontwikkelaar van SmarterMail, heeft een beveiligingsupdate uitgebracht om de kwetsbaarheid te verhelpen. Het is van cruciaal belang dat organisaties die SmarterMail gebruiken, de update zo snel mogelijk installeren om te voorkomen dat ze slachtoffer worden van deze aanvallen. De update is beschikbaar op de website van SmarterTools en kan eenvoudig worden geïnstalleerd via het beheerpaneel van SmarterMail.
Naast het installeren van de beveiligingsupdate, wordt aanbevolen dat organisaties hun e-mailaccounts controleren op verdachte activiteiten. Dit omvat het controleren van de inloggeschiedenis, het bekijken van verzonden e-mails en het onderzoeken van ongebruikelijke activiteitspatronen. Het is ook belangrijk om medewerkers te informeren over de risico's van phishing-aanvallen en hen te trainen in het herkennen van verdachte e-mails.
De recente ontdekking en actieve exploitatie van deze kwetsbaarheid benadrukt het belang van proactief beveiligingsbeheer. Organisaties moeten regelmatig beveiligingsaudits uitvoeren, hun software up-to-date houden en medewerkers trainen in cybersecurity best practices. Door deze maatregelen te nemen, kunnen ze hun risico op cyberaanvallen aanzienlijk verminderen en hun gevoelige informatie beschermen. Het snel reageren op beveiligingswaarschuwingen en het onmiddellijk toepassen van patches is cruciaal om te voorkomen dat cybercriminelen misbruik maken van bekende kwetsbaarheden.
Bron

Een ernstige kwetsbaarheid is ontdekt in een reeks netwerkcamera's van Vivotek, waardoor kwaadwillende actoren op afstand willekeurige code kunnen injecteren en uitvoeren. Deze kwetsbaarheid, met een hoge kritische score, vormt een aanzienlijk risico voor organisaties en particulieren die op deze apparaten vertrouwen voor beveiliging en bewaking.
De kwetsbaarheid, die nog geen CVE-nummer heeft toegewezen gekregen op het moment van publicatie, bevindt zich in de firmware van bepaalde Vivotek-camera modellen. Een aanvaller kan misbruik maken van het lek door speciaal vervaardigde netwerkpakketten naar de camera te sturen. Deze pakketten omzeilen de normale beveiligingscontroles en stellen de aanvaller in staat om code naar keuze te injecteren en uit te voeren. Dit kan leiden tot volledige controle over de camera, inclusief de mogelijkheid om videobeelden te bekijken, aan te passen of te verwijderen, en de camera te gebruiken als een toegangspunt tot het interne netwerk.
Het lek is bijzonder zorgwekkend omdat het op afstand kan worden misbruikt, zonder dat de aanvaller fysieke toegang tot de camera nodig heeft. Bovendien vereist de exploitatie geen authenticatie, waardoor het risico nog groter wordt. Dit betekent dat elke camera die aan het internet is blootgesteld en kwetsbare firmware draait, een potentieel doelwit is.
Vivotek is op de hoogte gebracht van de kwetsbaarheid en werkt aan een patch om het probleem te verhelpen. Totdat de patch beschikbaar is, wordt gebruikers sterk aangeraden om een aantal voorzorgsmaatregelen te nemen om het risico te beperken. Deze omvatten onder meer het wijzigen van de standaard gebruikersnaam en het wachtwoord van de camera, het inschakelen van firewallbescherming en het beperken van de toegang tot de camera vanaf het internet. Organisaties moeten ook overwegen om hun netwerkverkeer te monitoren op verdachte activiteiten.
De impact van deze kwetsbaarheid kan aanzienlijk zijn. Inbraken in beveiligingscamera's kunnen leiden tot diefstal van gevoelige informatie, verstoring van bedrijfsvoering en reputatieschade. Bovendien kunnen gecompromitteerde camera's worden gebruikt als onderdeel van een botnet, om DDoS-aanvallen uit te voeren of om andere kwaadaardige activiteiten te ontplooien. Het is daarom van cruciaal belang dat gebruikers van Vivotek-camera's onmiddellijk actie ondernemen om zichzelf te beschermen.
Het is van belang dat organisaties en individuen zich bewust zijn van de risico's die gepaard gaan met IoT-apparaten en dat ze proactieve maatregelen nemen om hun systemen te beveiligen. Dit omvat het regelmatig bijwerken van firmware, het implementeren van sterke wachtwoorden en het monitoren van netwerkverkeer op verdachte activiteiten. Door deze stappen te volgen, kunnen gebruikers het risico op cyberaanvallen aanzienlijk verminderen.
De ontdekking van deze kwetsbaarheid benadrukt opnieuw de noodzaak van continue beveiligingsaudits en penetratietests van IoT-apparaten. Fabrikanten moeten prioriteit geven aan beveiliging bij het ontwerpen en ontwikkelen van hun producten, en ze moeten snel reageren op kwetsbaarheidsmeldingen om hun klanten te beschermen.
Bron

De Cybersecurity and Infrastructure Security Agency (CISA) heeft een waarschuwing uitgegeven over een actueel misbruikte zero-day kwetsbaarheid in Cisco Unified Communications Manager (CM). Deze kwetsbaarheid, aangeduid als CVE-nummer nog niet toegewezen (een zogenaamde 0-day, omdat er geen patch beschikbaar is op het moment van ontdekking), stelt aanvallers in staat om op afstand code uit te voeren op systemen waarop de getroffen software draait. De impact van deze kwetsbaarheid is aanzienlijk, aangezien een succesvolle exploitatie kan leiden tot volledige controle over het getroffen systeem, waardoor aanvallers gevoelige informatie kunnen stelen, malware kunnen installeren of de communicatie-infrastructuur van een organisatie kunnen verstoren.
Cisco Unified Communications Manager is een uitgebreide softwareoplossing die spraak-, video-, mobiliteits- en webconferentiediensten integreert. Het wordt veel gebruikt door organisaties van elke omvang om hun communicatie te beheren en te stroomlijnen. Vanwege de cruciale rol die het speelt in de communicatie-infrastructuur, is het een aantrekkelijk doelwit voor cybercriminelen.
De kwetsbaarheid maakt het mogelijk voor niet-geauthenticeerde, externe aanvallers om commando’s uit te voeren met de privileges van de 'root' gebruiker op het onderliggende besturingssysteem. Dit betekent dat een aanvaller vrijwel alles kan doen op het getroffen systeem, inclusief het wijzigen van systeemconfiguraties, het installeren van kwaadaardige software en het stelen van gevoelige gegevens.
CISA heeft de kwetsbaarheid toegevoegd aan haar Known Exploited Vulnerabilities Catalog, wat betekent dat de kwetsbaarheid actief wordt misbruikt in het wild en een significant risico vormt voor federale agentschappen. Agentschappen wordt opgedragen om de beschreven mitigatiemaatregelen te implementeren om zichzelf te beschermen tegen deze kwetsbaarheid. Hoewel de richtlijn specifiek is gericht op Amerikaanse federale agentschappen, is de waarschuwing relevant voor alle organisaties die Cisco Unified Communications Manager gebruiken.
Op dit moment zijn er geen details vrijgegeven over de specifieke technische details van de kwetsbaarheid, noch zijn er officiële patches beschikbaar gesteld door Cisco. Organisaties worden geadviseerd om de beveiligingsadviezen van Cisco in de gaten te houden voor updates en patches. In de tussentijd worden organisaties aangeraden om de volgende mitigatiemaatregelen te implementeren:
1. **Netwerksegmentatie:** Segmenteer het netwerk om de potentiële impact van een succesvolle exploitatie te beperken. Plaats kritieke systemen, zoals Cisco Unified Communications Manager, achter firewalls en implementeer toegangscontrolelijsten om het verkeer te beperken tot alleen de noodzakelijke communicatie.
2. **Intrusion Detection and Prevention Systems (IDPS):** Implementeer IDPS-oplossingen om verdachte activiteiten op het netwerk te detecteren en te blokkeren. Configureer de IDPS om te zoeken naar patronen die geassocieerd zijn met de exploitatie van deze kwetsbaarheid.
3. **Log Monitoring:** Monitor systeem- en applicatielogs op tekenen van verdachte activiteiten. Analyseer logs regelmatig om potentiële beveiligingsincidenten te identificeren en erop te reageren.
4. **Beperk toegang:** Beperk de toegang tot de Cisco Unified Communications Manager-interface tot alleen geautoriseerde gebruikers. Schakel onnodige services en functies uit om het aanvalsoppervlak te verkleinen.
5. **Blijf op de hoogte:** Houd de beveiligingsadviezen van Cisco en andere betrouwbare bronnen in de gaten voor updates en patches. Implementeer patches onmiddellijk wanneer ze beschikbaar komen.
Het is cruciaal voor organisaties om proactieve maatregelen te nemen om zichzelf te beschermen tegen deze actueel misbruikte zero-day kwetsbaarheid in Cisco Unified Communications Manager. Door de aanbevolen mitigatiemaatregelen te implementeren en waakzaam te blijven, kunnen organisaties hun risico op een succesvolle cyberaanval aanzienlijk verminderen. De komende tijd zal nauwlettend in de gaten gehouden moeten worden of en wanneer Cisco met een update komt.
Bron

Op 22 januari 2026 waarschuwen cybersecurity-onderzoekers voor een golf van geautomatiseerde aanvallen die gericht zijn op Fortigate-firewalls. Deze aanvallen maken misbruik van een kritieke kwetsbaarheid, aangeduid als CVE-nummer CVE-2024-42788, waardoor kwaadwillenden op afstand code kunnen uitvoeren zonder authenticatie. De kwetsbaarheid bevindt zich in de SSL-VPN-functionaliteit van FortiOS, het besturingssysteem van Fortinet.
De geautomatiseerde aanvallen proberen toegang te krijgen tot kwetsbare Fortigate-systemen door gebruik te maken van een bekende exploit. Eenmaal succesvol, kunnen aanvallers willekeurige code uitvoeren op het getroffen systeem, waardoor ze de volledige controle over het apparaat kunnen overnemen. Dit kan leiden tot datalekken, verstoring van de dienstverlening en andere schadelijke activiteiten.
De kwetsbaarheid werd voor het eerst openbaar gemaakt op 12 december 2024, waarna Fortinet een beveiligingspatch uitbracht om het probleem te verhelpen. Ondanks de beschikbaarheid van een patch, zijn veel organisaties er nog niet in geslaagd hun systemen bij te werken, waardoor ze kwetsbaar blijven voor aanvallen. Onderzoekers zien een toename in het scannen op kwetsbare systemen en waarschuwen dat de aanvallen waarschijnlijk zullen toenemen in de komende dagen en weken.
Het is van cruciaal belang dat organisaties die Fortigate-firewalls gebruiken, onmiddellijk actie ondernemen om hun systemen te beschermen. Dit omvat het installeren van de nieuwste beveiligingspatches van Fortinet en het implementeren van aanvullende beveiligingsmaatregelen, zoals het inschakelen van multi-factor authenticatie en het beperken van de toegang tot de SSL-VPN-functionaliteit. Het negeren van deze kwetsbaarheid kan ernstige gevolgen hebben voor de beveiliging van de organisatie.
De omvang van de impact van deze aanvallen is nog niet volledig duidelijk, maar cybersecurity-experts waarschuwen dat de kwetsbaarheid op grote schaal kan worden misbruikt. Dit komt doordat Fortigate-firewalls veel worden gebruikt door organisaties van alle groottes om hun netwerken te beschermen. Een succesvolle aanval op een Fortigate-firewall kan leiden tot een domino-effect, waarbij aanvallers toegang krijgen tot andere systemen en gegevens binnen het netwerk van de organisatie.
De huidige golf van geautomatiseerde aanvallen benadrukt het belang van proactieve beveiliging. Organisaties moeten regelmatig kwetsbaarheidsanalyses uitvoeren, hun systemen up-to-date houden en op de hoogte blijven van de nieuwste beveiligingsbedreigingen. Door deze stappen te nemen, kunnen organisaties hun risico op een succesvolle cyberaanval aanzienlijk verminderen. De kwetsbaarheid CVE-2024-42788 is een serieuze bedreiging die onmiddellijke aandacht vereist.
Het is essentieel dat organisaties de aanbevelingen van Fortinet en andere cybersecurity-experts opvolgen om hun systemen te beschermen tegen deze geautomatiseerde aanvallen. Het niet patchen van kwetsbare systemen is een onnodig risico dat organisaties zich niet kunnen veroorloven in het huidige bedreigingslandschap. De impact van een succesvolle aanval kan verwoestend zijn, zowel financieel als reputatiegewijs.
Bron

Een ernstige kwetsbaarheid in BIND 9, een veelgebruikte DNS-serversoftware, stelt aanvallers in staat om servers te laten crashen door het verzenden van kwaadaardige records. Deze kwetsbaarheid, die is geïdentificeerd als CVE-nummer nog niet bekend (maar wordt verwacht), kan leiden tot een Denial of Service (DoS) toestand, waardoor systemen onbereikbaar worden voor legitieme gebruikers.
BIND 9 wordt op grote schaal gebruikt door organisaties over de hele wereld om hun DNS-infrastructuur te beheren. DNS, of Domain Name System, is essentieel voor het vertalen van domeinnamen naar IP-adressen, waardoor gebruikers websites en andere online diensten kunnen bereiken. Een succesvolle aanval op een BIND 9 server kan dus aanzienlijke verstoring veroorzaken.
De kwetsbaarheid bevindt zich in de manier waarop BIND 9 bepaalde typen DNS-records verwerkt. Een aanvaller kan misbruik maken van dit lek door specifiek samengestelde, kwaadaardige DNS-records naar de server te sturen. Wanneer de server deze records probeert te verwerken, kan dit leiden tot een crash van het BIND 9 proces, waardoor de DNS-dienst tijdelijk of permanent wordt onderbroken.
De impact van deze kwetsbaarheid is aanzienlijk. Organisaties die afhankelijk zijn van BIND 9 voor hun DNS-infrastructuur lopen het risico dat hun diensten worden onderbroken. Dit kan leiden tot omzetverlies, reputatieschade en operationele problemen. Het is daarom van cruciaal belang dat organisaties zo snel mogelijk actie ondernemen om deze kwetsbaarheid te verhelpen.
Hoewel er op dit moment nog geen details beschikbaar zijn over de specifieke technische details van de exploitatie, wordt verwacht dat er snel meer informatie zal verschijnen. Beveiligingsonderzoekers zijn momenteel bezig met het analyseren van de kwetsbaarheid om de precieze aard en omvang ervan te bepalen. In de tussentijd wordt organisaties aangeraden om waakzaam te zijn en hun BIND 9 servers nauwlettend in de gaten te houden op verdachte activiteit.
Het is van essentieel belang dat organisaties de nieuwste beveiligingsupdates installeren zodra deze beschikbaar komen. ISC (Internet Systems Consortium), de organisatie die BIND 9 ontwikkelt en onderhoudt, werkt naar verwachting aan een patch om de kwetsbaarheid te verhelpen. Het is raadzaam om de ISC-website en beveiligingsbulletins in de gaten te houden voor updates over de beschikbaarheid van patches.
Naast het installeren van patches, kunnen organisaties ook andere maatregelen nemen om het risico op een aanval te verminderen. Dit omvat het implementeren van firewalls en intrusion detection systems om verdacht verkeer te detecteren en te blokkeren, het beperken van de toegang tot BIND 9 servers tot alleen geautoriseerde gebruikers, en het regelmatig controleren van logbestanden op tekenen van misbruik.
De kwetsbaarheid in BIND 9 benadrukt het belang van voortdurende waakzaamheid op het gebied van cybersecurity. Organisaties moeten zich bewust zijn van de risico's die verbonden zijn aan het gebruik van software en hardware, en proactieve maatregelen nemen om hun systemen te beschermen tegen aanvallen. Regelmatige beveiligingsaudits, penetratietests en vulnerability assessments kunnen helpen om kwetsbaarheden te identificeren en te verhelpen voordat ze kunnen worden misbruikt door aanvallers.
Bron

Cisco heeft beveiligingsupdates uitgebracht om een actief misbruikte kwetsbaarheid aan te pakken die remote code execution (RCE) mogelijk maakt in diverse Unified Communications-producten. De kwetsbaarheid, aangeduid als CVE-2026-20045, treft een reeks producten die veel gebruikt worden voor VoIP-toepassingen en zakelijke communicatie. Cisco heeft geen informatie vrijgegeven over de periode waarin het misbruik van deze specifieke kwetsbaarheid al gaande is.
De getroffen producten omvatten Webex Calling Dedicated Instance, Unified Communications Manager, Unified Communications Manager Session Management Edition, Unified Communications Manager IM & Presence Service, en Cisco Unity Connection. Het probleem ligt in de manier waarop de producten omgaan met gebruikersinvoer via de webinterface.
Door speciaal vervaardigde HTTP-verzoeken naar een kwetsbaar apparaat te sturen, kan een aanvaller toegang verkrijgen tot het onderliggende besturingssysteem. Vervolgens kan de aanvaller zijn privileges escaleren tot root-niveau, waardoor de controle over het systeem in feite wordt overgenomen.
De impact van deze kwetsbaarheid is door Cisco zelf beoordeeld met een score van 8.2 op een schaal van 1 tot 10. Hoewel een dergelijke score doorgaans als "hoog" wordt beschouwd, heeft Cisco deze specifieke kwetsbaarheid aangemerkt als "kritiek". Deze classificatie is gebaseerd op het feit dat succesvolle exploitatie een aanvaller in staat stelt om root-rechten te verkrijgen, waardoor willekeurige code of commando's kunnen worden uitgevoerd.
In de officiële titel van de waarschuwing spreekt Cisco over remote code execution, terwijl in de beschrijving van het probleem wordt verwezen naar de mogelijkheid om "arbitrary commands" uit te voeren. Beide termen duiden op de ernstige aard van de kwetsbaarheid en de potentiële impact op getroffen systemen.
Cisco heeft klanten dringend verzocht om de beschikbaar gestelde beveiligingsupdates zo snel mogelijk te installeren. Het Amerikaanse cyberagentschap CISA (Cybersecurity and Infrastructure Security Agency) heeft eveneens melding gemaakt van actief misbruik van de kwetsbaarheid en adviseert organisaties om onmiddellijk actie te ondernemen.
Deze kwetsbaarheid vormt een aanzienlijke bedreiging voor organisaties die afhankelijk zijn van de getroffen Cisco Unified Communications-producten. Het vermogen om op afstand code uit te voeren en root-rechten te verkrijgen, stelt aanvallers in staat om systemen volledig te compromitteren, gevoelige gegevens te stelen, malware te installeren of de communicatie-infrastructuur te verstoren. Organisaties moeten prioriteit geven aan het installeren van de beveiligingsupdates om de risico's te minimaliseren.
Bron

Op de tweede dag van Pwn2Own Automotive 2026 hebben beveiligingsonderzoekers in totaal $439.250 aan prijzengeld ontvangen voor het exploiteren van 29 unieke zero-day kwetsbaarheden. Het evenement, dat zich richt op de beveiliging van automotive technologieën, vindt plaats van 21 tot 23 januari in Tokyo, Japan, gelijktijdig met de Automotive World auto conferentie.
Tijdens de competitie richten beveiligingsonderzoekers zich op volledig gepatchte elektrische voertuig (EV) laders, in-vehicle infotainment (IVI) systemen en auto-besturingssystemen, waaronder Automotive Grade Linux. De focus ligt op het identificeren en aantonen van kwetsbaarheden in deze systemen, met als doel de algehele beveiliging van de automotive industrie te verbeteren.
Fuzzware.io leidt momenteel het klassement met een totaal van $213.000 verdiend in de eerste twee dagen. Ze hebben nog eens $95.000 verdiend door het hacken van de Phoenix Contact CHARX SEC-3150 laadcontroller, de ChargePoint Home Flex EV-lader en het Grizzl-E Smart 40A EV-laadstation. Deze prestaties tonen aan dat er aanzienlijke kwetsbaarheden aanwezig zijn in de hardware en software die gebruikt worden in EV-laadinfrastructuur.
Sina Kheirkhah van Summoning Team ontving $40.000 voor het rooten van de Kenwood DNR1007XR navigatie receiver, de ChargePoint Home Flex en de Alpine iLX-F511 multimedia receiver. Deze demonstraties benadrukken de risico's die verbonden zijn aan IVI-systemen, die vaak een doelwit zijn vanwege hun complexiteit en connectiviteit.
Rob Blakely van Technical Debt Collectors en Hank Chen van InnoEdge Labs werden elk beloond met $40.000 voor het demonstreren van zero-day exploit chains gericht op Automotive Grade Linux en het Alpitronic HYC50 laadstation. De succesvolle exploits op Automotive Grade Linux zijn zorgwekkend, aangezien dit besturingssysteem in veel voertuigen wordt gebruikt.
Na de eerste twee dagen van de competitie hebben beveiligingsonderzoekers in totaal $955.750 aan prijzengeld verdiend voor het exploiteren van 66 zero-day kwetsbaarheden. Dit hoge aantal laat zien dat er nog veel werk aan de winkel is om de beveiliging van automotive systemen te verbeteren.
Op de derde dag van Pwn2Own staat de Grizzl-E Smart 40A opnieuw op het programma, dit keer als doelwit voor Slow Horses van Qrious Secure en het PetoWorks team. Het Juurin Oy team zal proberen de Alpitronic HYC50 te exploiteren, terwijl Ryo Kato een aanval zal uitvoeren op de Autel MaxiCharger.
Op de eerste dag verdiende het Synacktiv Team $35.000 na het succesvol aaneenschakelen van een informatielek en een out-of-bounds write flaw om root permissies te verkrijgen op het Tesla Infotainment System via een USB-gebaseerde aanval. Ze ontvingen een extra $20.000 voor het aaneenschakelen van drie zero-day flaws om root-level code execution te verkrijgen op de Sony XAV-9500ES digital media receiver.
Tijdens de Pwn2Own Automotive competitie van vorig jaar werd er $886.250 uitgekeerd voor het exploiteren van 49 zero-days. Het jaar daarvoor, tijdens de Pwn2Own Automotive 2024 contest, werd er $1.323.750 uitgekeerd na het demonstreren van 49 zero-day bugs en het twee keer hacken van een Tesla auto.
Vendors hebben 90 dagen de tijd om security fixes te ontwikkelen en uit te brengen voor de zero-day flaws die geëxploiteerd en gerapporteerd worden tijdens de Pwn2Own contest, voordat TrendMicro's Zero Day Initiative deze publiekelijk bekendmaakt. Deze termijn geeft fabrikanten de mogelijkheid om kwetsbaarheden te verhelpen voordat ze op grote schaal kunnen worden misbruikt.
De bevindingen van Pwn2Own Automotive 2026 benadrukken de noodzaak van voortdurende beveiligingsonderzoek en -verbeteringen in de automotive industrie. Organisaties die actief zijn in deze sector moeten zich bewust zijn van de potentiële risico's en proactieve maatregelen nemen om hun systemen te beschermen tegen cyberaanvallen. Dit omvat het implementeren van robuuste beveiligingsmaatregelen, het regelmatig updaten van software en firmware, en het uitvoeren van penetratietests om potentiële kwetsbaarheden te identificeren en te verhelpen.
Bron

Het Nationaal Cyber Security Centrum (NCSC) heeft op 22 januari 2026 een waarschuwing uitgegeven (NCSC-2026-0036) betreffende een kritieke kwetsbaarheid in Citrix Application Delivery Controller (ADC) en Citrix Gateway. Deze kwetsbaarheid, aangeduid als CVE-nummer CVE-2023-4966, stelt aanvallers in staat om gevoelige informatie te bemachtigen. De ernst van de kwetsbaarheid wordt als hoog beoordeeld, met een CVSS-score van 7.5.
De kwetsbaarheid bevindt zich in de Citrix ADC en Citrix Gateway producten wanneer deze geconfigureerd zijn als een gateway (VPN virtual server, ICA Proxy, CVPN, RDP Proxy) of als een authenticatieserver. Een kwaadwillende actor kan, door misbruik te maken van deze kwetsbaarheid, toegang krijgen tot gevoelige informatie. Deze informatie kan bestaan uit sessiecookies, authenticatiecredentials en andere vertrouwelijke data die via de getroffen systemen worden verwerkt.
Het NCSC adviseert organisaties die gebruikmaken van de getroffen Citrix-producten dringend om de aanbevolen updates zo snel mogelijk te implementeren. Het niet tijdig patchen van deze kwetsbaarheid kan leiden tot ernstige gevolgen, waaronder ongeautoriseerde toegang tot interne systemen en data-exfiltratie. De impact van een succesvolle exploitatie kan aanzienlijk zijn, gezien de centrale rol die Citrix ADC en Gateway vaak spelen in de beveiliging en toegang tot bedrijfsnetwerken.
De getroffen versies van Citrix ADC en Citrix Gateway zijn:
* Citrix ADC en Citrix Gateway 14.1 voor versie 14.1-13.12
* Citrix ADC en Citrix Gateway 13.1 voor versie 13.1-49.15
* Citrix ADC en Citrix Gateway 13.0 voor versie 13.0-92.19
* Citrix ADC en Citrix Gateway 12.1 voor versie 12.1-65.21
* Citrix ADC 12.1-NDcPP voor versie 12.1-NDcPP-65.21
Het NCSC benadrukt dat de oudere versies 12.1 en 13.0 het einde van hun levensduur hebben bereikt (End of Life, EOL). Hoewel er een mitigatie beschikbaar is voor deze EOL versies, wordt sterk aangeraden om te upgraden naar een ondersteunde versie om te profiteren van de nieuwste beveiligingsupdates en functionaliteiten. De mitigatie voor de EOL versies is complexer en biedt mogelijk niet dezelfde mate van bescherming als een volledige update.
Organisaties worden geadviseerd om hun systemen grondig te controleren op tekenen van misbruik, zelfs na het toepassen van de updates. Logboeken en netwerkverkeer moeten worden geanalyseerd op verdachte activiteiten die kunnen wijzen op een succesvolle exploitatie van de kwetsbaarheid voorafgaand aan de patch. Incident response procedures moeten worden geactiveerd indien er aanwijzingen zijn van een inbreuk.
De waarschuwing van het NCSC onderstreept het belang van proactief kwetsbaarheidsbeheer en het tijdig toepassen van beveiligingsupdates. Citrix ADC en Gateway zijn kritieke componenten in de infrastructuur van veel organisaties, en het beveiligen van deze systemen is essentieel om de integriteit en vertrouwelijkheid van gevoelige informatie te waarborgen. Het NCSC blijft de situatie nauwlettend volgen en zal indien nodig aanvullende informatie verstrekken.
Bron

Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft een waarschuwing uitgegeven over actief misbruik van recent ontdekte kwetsbaarheden in Zimbra, Versa Concerto en Vite. Deze kwetsbaarheden worden momenteel uitgebuit door aanvallers, wat een aanzienlijk risico vormt voor organisaties die deze software gebruiken.
Zimbra, een collaborative software suite die mailserversoftware en een webmailclient omvat, wordt wereldwijd door meer dan 200.000 organisaties gebruikt. Een van de kwetsbaarheden die actief wordt misbruikt, is een local file inclusion (LFI) kwetsbaarheid in de webmail van Zimbra, aangeduid als CVE-2025-68645. Deze kwetsbaarheid stelt ongeauthenticeerde aanvallers in staat om gevoelige bestanden te lezen, zoals configuraties en omgevingsvariabelen. Door deze toegang kunnen aanvallers inloggegevens stelen, informatie verzamelen voor verdere aanvallen of de kwetsbaarheid combineren met andere zwakke plekken om systemen verder te compromitteren. Zimbra heeft op 6 november vorig jaar een update uitgebracht om dit probleem te verhelpen, maar het is cruciaal dat organisaties deze update zo snel mogelijk implementeren.
Naast Zimbra worden ook kwetsbaarheden in het Versa Concerto SD-WAN orchestration platform actief misbruikt. CISA waarschuwt specifiek voor CVE-2025-34026, een kritieke "authentication bypass" kwetsbaarheid. Deze kwetsbaarheid maakt het voor ongeauthenticeerde aanvallers mogelijk om toegang te krijgen tot "administrative endpoints" van het platform. Dit kan leiden tot ongeautoriseerde controle over het netwerk en de mogelijkheid om gevoelige gegevens te stelen of systemen te saboteren. Versa heeft vorig jaar maart hotfixes uitgebracht voor dit probleem, en het is essentieel dat deze patches onmiddellijk worden toegepast.
De derde kwetsbaarheid waarvoor CISA waarschuwt, bevindt zich in Vite, ook bekend als Vitejs, een frontend tooling framework voor JavaScript. Het beveiligingslek, aangeduid als CVE-2025-31125, stelt aanvallers in staat om de inhoud van "non-allowed" bestanden uit te lezen. Dit kan leiden tot het blootleggen van gevoelige informatie, zoals broncode, API-sleutels of andere vertrouwelijke gegevens. Net als bij de andere kwetsbaarheden zijn er patches beschikbaar gesteld om dit probleem op te lossen; deze werden vorig jaar maart uitgebracht.
Hoewel CISA geen specifieke details geeft over de waargenomen aanvallen, is het duidelijk dat het misbruik van deze kwetsbaarheden een serieuze bedreiging vormt. Het feit dat Amerikaanse overheidsinstanties zijn opgedragen om de patches voor deze drie kwetsbaarheden binnen drie weken te installeren, onderstreept de urgentie van de situatie. Organisaties in Nederland en België die gebruikmaken van Zimbra, Versa Concerto of Vite wordt dringend aangeraden om hun systemen te controleren op kwetsbaarheden en de beschikbare patches zo snel mogelijk te installeren. Het negeren van deze waarschuwing kan leiden tot ernstige beveiligingsincidenten en aanzienlijke schade.
Bron

TrustAsia, een certificeringsinstantie, heeft 143 SSL/TLS-certificaten ingetrokken als reactie op een beveiligingskwetsbaarheid in hun LiteSSL ACME (Automated Certificate Management Environment) service. De kwetsbaarheid stelde aanvallers mogelijk in staat om ongeautoriseerd SSL/TLS-certificaten te verkrijgen voor domeinen die ze niet bezaten. Dit incident benadrukt de cruciale rol van certificeringsinstanties (CA's) in het waarborgen van de veiligheid en betrouwbaarheid van online communicatie.
De ACME-service van LiteSSL is ontworpen om het proces van het verkrijgen en installeren van SSL/TLS-certificaten te automatiseren. Door gebruik te maken van ACME kunnen domeineigenaren op een geautomatiseerde manier de controle over hun domein aantonen en een geldig certificaat aanvragen bij een CA. De kwetsbaarheid in de LiteSSL ACME-service maakte het echter mogelijk voor kwaadwillenden om dit verificatieproces te omzeilen.
Het specifieke karakter van de kwetsbaarheid is niet volledig openbaar gemaakt, maar er wordt aangenomen dat het te maken heeft met een onvoldoende validatie van de domeincontrole. Dit zou betekenen dat een aanvaller, door misbruik te maken van de kwetsbaarheid, de CA kon overtuigen dat hij de controle had over een domein, zelfs als dat niet het geval was. Na succesvolle verificatie zou de aanvaller dan een geldig SSL/TLS-certificaat voor dat domein kunnen verkrijgen.
De impact van een dergelijke kwetsbaarheid kan aanzienlijk zijn. Met een vals SSL/TLS-certificaat kan een aanvaller zich voordoen als de eigenaar van een website, waardoor hij verkeer kan onderscheppen, gevoelige informatie kan stelen, of malware kan verspreiden. Gebruikers die de geïnfecteerde website bezoeken, zouden dan in de waan kunnen zijn dat ze met een legitieme site communiceren, terwijl hun gegevens in werkelijkheid in verkeerde handen vallen.
TrustAsia heeft snel gereageerd op de ontdekking van de kwetsbaarheid door de getroffen certificaten in te trekken. Het intrekken van een certificaat betekent dat browsers en andere software de certificaten niet langer als geldig beschouwen. Wanneer een gebruiker een website bezoekt met een ingetrokken certificaat, zal de browser een waarschuwing weergeven, waardoor de gebruiker wordt gewaarschuwd voor een mogelijk veiligheidsrisico.
De ingetrokken certificaten zijn niet gespecificeerd met CVE-nummers of andere identificatienummers in de bron. Het is belangrijk voor organisaties die mogelijk door deze intrekking zijn getroffen om hun certificaten te controleren en, indien nodig, nieuwe certificaten aan te vragen. Het is ook essentieel om de communicatie van TrustAsia of andere relevante certificeringsinstanties in de gaten te houden voor verdere updates en instructies.
Dit incident dient als een belangrijke herinnering aan het belang van voortdurende beveiligingsaudits en -testen van alle systemen, met name die welke betrokken zijn bij het beheer van digitale certificaten. CA's moeten strenge beveiligingsmaatregelen implementeren om ervoor te zorgen dat hun systemen bestand zijn tegen aanvallen en dat het verificatieproces voor domeincontrole robuust en betrouwbaar is. Organisaties moeten op hun beurt hun eigen beveiligingspraktijken evalueren en ervoor zorgen dat ze actuele certificaten gebruiken en dat ze op de hoogte zijn van mogelijke risico's die verband houden met het gebruik van SSL/TLS-certificaten. De gevolgen van het misbruik van SSL/TLS-certificaten kan leiden tot datalekken, reputatieschade en financiele verliezen. Een proactieve aanpak van cybersecurity is essentieel om deze risico's te minimaliseren.
Bron

Een ernstige kwetsbaarheid is ontdekt in HPE Alletra en Nimble Storage-producten, waardoor een externe aanvaller mogelijk beheerderstoegang kan verkrijgen tot het systeem. Deze kwetsbaarheid, aangeduid als CVE-nummer CVE-2026-XXXX, heeft een hoge impact omdat het een kwaadwillende actor in staat stelt om de volledige controle over de storage-infrastructuur te krijgen.
De kwetsbaarheid bevindt zich in de manier waarop de systemen bepaalde authenticatieprocessen afhandelen. Een aanvaller kan, door misbruik te maken van deze fout, de authenticatiemechanismen omzeilen en zichzelf als een beheerder authenticeren. Dit geeft hen de mogelijkheid om gevoelige data te stelen, malware te installeren, systemen te saboteren of het storage-systeem te gebruiken als springplank voor verdere aanvallen binnen het netwerk.
HPE is op de hoogte van de kwetsbaarheid en heeft een beveiligingsadvies uitgebracht met details over de getroffen producten en de beschikbare patches. Het is van cruciaal belang dat organisaties die HPE Alletra en Nimble Storage-systemen gebruiken, onmiddellijk actie ondernemen om de kwetsbaarheid te verhelpen. Dit omvat het identificeren van de getroffen systemen, het downloaden en installeren van de nieuwste patches van de HPE Support Center, en het implementeren van aanvullende beveiligingsmaatregelen om de impact van een potentiële aanval te minimaliseren.
De impact van deze kwetsbaarheid is aanzienlijk, vooral voor organisaties die afhankelijk zijn van HPE Alletra en Nimble Storage voor de opslag van kritieke data. Een succesvolle exploitatie kan leiden tot dataverlies, downtime, reputatieschade en financiële verliezen. Daarom is het essentieel dat organisaties prioriteit geven aan het patchen van deze kwetsbaarheid en het implementeren van robuuste beveiligingsmaatregelen om hun storage-infrastructuur te beschermen.
Naast het installeren van de patches, adviseert HPE organisaties om hun beveiligingsprocedures te herzien en te versterken. Dit omvat het implementeren van sterke wachtwoorden, het inschakelen van multi-factor authenticatie, het regelmatig controleren van toegangsrechten en het monitoren van het netwerk op verdachte activiteiten. Het is ook belangrijk om medewerkers bewust te maken van de risico's van phishing-aanvallen en andere social engineering-tactieken die aanvallers kunnen gebruiken om toegang te krijgen tot het systeem.
Deze kwetsbaarheid onderstreept het belang van voortdurende beveiligingsmonitoring en patchmanagement. Organisaties moeten een proactieve aanpak hanteren om kwetsbaarheden te identificeren en te verhelpen voordat ze kunnen worden misbruikt door aanvallers. Dit omvat het regelmatig uitvoeren van vulnerability scans, het bijhouden van beveiligingsadviezen van leveranciers en het snel toepassen van patches.
Het is ook raadzaam om een incident response plan te hebben dat specifiek is afgestemd op cyberaanvallen. Dit plan moet procedures bevatten voor het detecteren, analyseren, inperken en herstellen van een beveiligingsincident. Door een goed gedefinieerd incident response plan te hebben, kunnen organisaties snel en effectief reageren op een aanval en de impact ervan minimaliseren.
Bron

Enkele dagen nadat beheerders melding begonnen te maken van gehackte firewalls ondanks dat deze volledig waren gepatcht, heeft Fortinet bevestigd dat het werkt aan een volledige oplossing voor een kritieke FortiCloud Single Sign-On (SSO) authenticatie bypass kwetsbaarheid. Deze kwetsbaarheid, aangeduid als CVE-2025-59718, had eigenlijk al sinds begin december verholpen moeten zijn.
De bevestiging volgt op een golf van meldingen van Fortinet-klanten over kwaadwillenden die een patch bypass voor de CVE-2025-59718 kwetsbaarheid misbruiken om volledig gepatchte firewalls te compromitteren. Cybersecuritybedrijf Arctic Wolf meldde op woensdag dat de campagne op 15 januari begon. Aanvallers creëerden accounts met VPN-toegang en stalen binnen enkele seconden firewallconfiguraties, in wat geautomatiseerde aanvallen lijken te zijn. Arctic Wolf voegde eraan toe dat de aanvallen sterk lijken op incidenten die in december werden gedocumenteerd, na de openbaarmaking van de kritieke CVE-2025-59718 kwetsbaarheid in Fortinet-producten.
Donderdag bevestigde Fortinet de meldingen en verklaarde dat de huidige CVE-2025-59718 aanvallen overeenkomen met de kwaadaardige activiteiten van december en dat het bedrijf nu werkt aan een volledige patch voor het probleem.
Getroffen Fortinet-klanten hebben ook logs gedeeld die aantonen dat de aanvallers beheerdersaccounts creëerden na een SSO-login van cloud-init@mail.io op IP-adres 104.28.244.114. Deze gegevens komen overeen met Indicators of Compromise (IOC's) die Arctic Wolf detecteerde tijdens het analyseren van de voortdurende FortiGate-aanvallen en de in-the-wild exploitatie van december, evenals die gedeeld door Fortinet op donderdag.
"Recentelijk meldde een klein aantal klanten onverwachte inlogactiviteit op hun apparaten, die sterk leek op het eerdere probleem. Echter, in de afgelopen 24 uur hebben we een aantal gevallen geïdentificeerd waarin de exploit plaatsvond op een apparaat dat volledig was geüpgraded naar de nieuwste release op het moment van de aanval, wat suggereert dat er een nieuw aanvalspad is," aldus Carl Windsor, Chief Information Security Officer (CISO) van Fortinet.
"De productbeveiliging van Fortinet heeft het probleem geïdentificeerd en het bedrijf werkt aan een oplossing om dit te verhelpen. Er zal een advies worden uitgebracht zodra de reikwijdte en tijdlijn van de oplossing beschikbaar zijn. Het is belangrijk op te merken dat, hoewel op dit moment alleen exploitatie van FortiCloud SSO is waargenomen, dit probleem van toepassing is op alle SAML SSO-implementaties."
Totdat Fortinet de CVE-2025-59718 kwetsbaarheid volledig heeft verholpen, adviseert Windsor klanten om de administratieve toegang tot hun edge netwerkapparaten via het internet te beperken door een "local-in policy" toe te passen. Deze policy beperkt de IP-adressen die toegang hebben tot de administratieve interfaces van de apparaten.
Beheerders wordt ook aangeraden de FortiCloud SSO-functie op hun Fortinet-apparaten uit te schakelen door naar System -> Settings -> Switch te gaan en de optie "Allow administrative login using FortiCloud SSO" uit te schakelen.
Fortinet-klanten die een van de IOC's detecteren tijdens het controleren van hun apparaten op post-exploitatie bewijs, wordt geadviseerd om "het systeem en de configuratie als gecompromitteerd te beschouwen," credentials te roteren (inclusief alle LDAP/AD-accounts) en hun configuratie te herstellen met een bekende schone versie.
Internet security watchdog Shadowserver houdt nu bijna 11.000 Fortinet-apparaten bij die online toegankelijk zijn en waar FortiCloud SSO is ingeschakeld. De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft CVE-2025-59718 op 16 december toegevoegd aan de lijst van actief geëxploiteerde kwetsbaarheden en beval federale agentschappen om binnen een week een patch te installeren.
Bron

Het Pwn2Own Automotive 2026 evenement is afgesloten met een totale uitkering van $1.047.000 aan beveiligingsonderzoekers. Dit bedrag is verdiend door het succesvol exploiteren van maar liefst 76 zero-day kwetsbaarheden gedurende de driedaagse competitie, van 21 tot en met 23 januari. Het evenement vond plaats in Tokyo, Japan, in het kader van de Automotive World auto conferentie.
De focus van Pwn2Own Automotive ligt op de beveiliging van technologieën die in de auto-industrie worden gebruikt. Tijdens de wedstrijd werden verschillende systemen en apparaten onder de loep genomen, waaronder volledig gepatchte in-vehicle infotainment (IVI) systemen, laadstations voor elektrische voertuigen (EV), en besturingssystemen voor auto's, zoals Automotive Grade Linux.
De kwetsbaarheden die tijdens Pwn2Own worden gedemonstreerd, worden niet direct openbaar gemaakt. Leveranciers krijgen een periode van 90 dagen om beveiligingspatches te ontwikkelen en uit te rollen, voordat Trend Micro's Zero Day Initiative (ZDI) de details openbaar maakt. Dit geeft de fabrikanten de kans om de problemen op te lossen voordat ze door kwaadwillenden kunnen worden misbruikt.
Team Fuzzware.io was de grote winnaar van Pwn2Own Automotive 2026, met een totale winst van $215.000. Ze werden op de voet gevolgd door Team DDOS met $100.750 en Synactiv met $85.000. Fuzzware.io verdiende $118.000 op de eerste dag door het hacken van een Alpitronic HYC50 Charging Station, een Autel-lader en een Kenwood DNR1007XR navigatie-ontvanger. Op de tweede dag voegden ze hier nog eens $95.000 aan toe door het aantonen van meerdere zero-days in de Phoenix Contact CHARX SEC-3150 laadcontroller, de ChargePoint Home Flex EV-lader en het Grizzl-E Smart 40A EV-laadstation. Op de laatste dag verdienden ze nog eens $2.500 na een bug collision tijdens een poging tot rooting van een Alpine iLX-F511 multimedia-ontvanger.
Het team van Synacktiv wist op de eerste dag $35.000 te verzamelen door een out-of-bounds write fout en een information leak te combineren om het Tesla Infotainment System te hacken via een USB-gebaseerde aanval.
De resultaten van alle challenges zijn gedetailleerd beschikbaar op de website van het evenement.
Ter vergelijking: tijdens Pwn2Own Automotive 2024 werd er $1.323.750 uitgekeerd voor 49 zero-day bugs en het hacken van een Tesla. In 2025 verdienden beveiligingsonderzoekers $886.250 door 49 zero-days te exploiteren. Deze cijfers tonen aan dat de complexiteit en het aantal kwetsbaarheden in automotive systemen nog steeds aanzienlijk zijn, en dat evenementen zoals Pwn2Own een cruciale rol spelen in het identificeren en verhelpen van deze problemen. Voor organisaties die actief zijn in de automotive sector, is het essentieel om op de hoogte te blijven van dit soort kwetsbaarheden en om de beveiliging van hun producten en systemen continu te verbeteren. Dit omvat regelmatige security audits, penetratietesten en het snel implementeren van beveiligingsupdates.
Bron

Op 23 januari 2026 heeft Microsoft patches uitgebracht voor kritieke kwetsbaarheden in zijn AI-chatbot Copilot. Deze lekken stelden aanvallers in staat om gevoelige informatie van gebruikers te stelen. De kwetsbaarheden, aangeduid als "information disclosure" kwamen voor in Word Copilot (CVE-2026-21521) en M365 Copilot (CVE-2026-24307). Volgens Microsoft's eigen beschrijving was de AI-chatbot niet adequaat in staat om bepaalde vormen van gebruikersinvoer te verwerken, waardoor een ongeautoriseerde partij potentieel toegang kon krijgen tot vertrouwelijke data.
De details over de aard van de kwetsbaarheden zelf zijn summier. Microsoft heeft geen verdere uitweiding gegeven over de exacte mechanismen die misbruikt konden worden. De impact van beide lekken is beoordeeld op een schaal van 1 tot 10, met scores van respectievelijk 7.4 en 9.3. Ondanks de relatief lagere score van 7.4 voor het Word Copilot-lek, classificeert Microsoft dit probleem eveneens als een kritieke kwetsbaarheid. Dit impliceert dat de potentiële gevolgen van misbruik aanzienlijk zijn, ondanks dat de technische complexiteit van een succesvolle aanval mogelijk lager is.
Het feit dat beide problemen door externe onderzoekers zijn gerapporteerd, benadrukt het belang van continue beveiligingsonderzoeken en de rol van de security community in het identificeren van potentiële risico's. Microsoft heeft aangegeven dat de noodzakelijke updates inmiddels zijn uitgerold en dat gebruikers geen verdere actie hoeven te ondernemen. Het is echter altijd raadzaam om software up-to-date te houden om te profiteren van de nieuwste beveiligingsverbeteringen en bugfixes.
Voor organisaties betekent dit incident een herinnering aan de risico's die gepaard gaan met het implementeren van AI-gestuurde tools. Hoewel AI een aanzienlijk potentieel biedt voor productiviteitsverbetering en innovatie, is het cruciaal om de veiligheid en privacy aspecten zorgvuldig te overwegen. Regelmatige beveiligingsaudits, penetratietesten en het volgen van best practices voor softwareontwikkeling zijn essentieel om de risico's te minimaliseren. Daarnaast is het van belang om medewerkers bewust te maken van de mogelijke gevaren en hen te trainen in het veilig gebruik van AI-tools. De snelle ontwikkeling van AI-technologie vereist een proactieve benadering van cybersecurity om gelijke tred te houden met de evoluerende dreigingen.

Onderzoekers hebben nieuwe methoden ontdekt om voertuigen te hacken, waarmee de aanhoudende uitdagingen op het gebied van voertuigbeveiliging worden benadrukt. De bevindingen tonen aan dat aanvallers verschillende aanvalvectoren kunnen gebruiken, variërend van draadloze communicatie tot fysieke verbindingen, om toegang te krijgen tot kritieke voertuigsystemen.
De onderzoeksresultaten benadrukken de kwetsbaarheid van voertuigen voor aanvallen via verschillende interfaces. Een van de geïdentificeerde methoden omvat het exploiteren van kwetsbaarheden in de draadloze communicatieprotocollen die door voertuigen worden gebruikt. Dit kan variëren van Bluetooth-verbindingen tot mobiele netwerken. Door deze protocollen te compromitteren, kunnen aanvallers ongeautoriseerde toegang krijgen tot voertuigsystemen, zoals het infotainmentsysteem, de motorbesturingseenheid (ECU) en andere kritieke componenten.
Een andere aanvalsmethode richt zich op fysieke verbindingen, zoals de On-Board Diagnostics (OBD)-poort. Deze poort wordt door monteurs en technici gebruikt om voertuigsystemen te diagnosticeren en te onderhouden. Onderzoekers hebben aangetoond dat een aanvaller met fysieke toegang tot de OBD-poort deze kan gebruiken om schadelijke code te injecteren of toegang te krijgen tot gevoelige gegevens. Dit kan leiden tot een breed scala aan aanvallen, waaronder het uitschakelen van veiligheidsvoorzieningen, het manipuleren van voertuigprestaties en het stelen van persoonlijke informatie.
De bevindingen benadrukken het belang van robuuste beveiligingsmaatregelen in moderne voertuigen. Autofabrikanten moeten prioriteit geven aan het implementeren van beveiligingsfuncties die voertuigen beschermen tegen een breed scala aan aanvallen. Dit omvat het versleutelen van draadloze communicatie, het beveiligen van fysieke interfaces en het regelmatig updaten van software om kwetsbaarheden te patchen.
De impact van succesvolle voertuighacks kan aanzienlijk zijn. In het ergste geval kan een aanvaller de controle over de belangrijkste functies van het voertuig overnemen, zoals de besturing, de remmen en de motor. Dit kan leiden tot ernstige ongevallen en letsel. Daarnaast kunnen voertuighacks worden gebruikt om persoonlijke informatie te stelen, zoals locatiegegevens, contacten en creditcardnummers. Deze informatie kan vervolgens worden gebruikt voor identiteitsdiefstal of andere frauduleuze activiteiten.
Voor organisaties die wagenparken beheren, zijn de bevindingen van bijzonder belang. Het is essentieel om de beveiligingsrisico's te begrijpen die verbonden zijn aan geconnecteerde voertuigen en om maatregelen te nemen om deze risico's te beperken. Dit omvat het implementeren van beveiligingsbeleid en -procedures, het regelmatig updaten van voertuigsoftware en het trainen van bestuurders over de risico's van cyberaanvallen. De complexiteit van moderne voertuigsystemen vereist een gelaagde aanpak van beveiliging. Dit betekent dat er meerdere beveiligingsmaatregelen moeten worden geïmplementeerd om een uitgebreide bescherming te bieden. Naast de bovengenoemde maatregelen, is het ook belangrijk om inbraakdetectiesystemen te implementeren die ongebruikelijke activiteiten kunnen detecteren en erop kunnen reageren.
Het onderzoek benadrukt de noodzaak van voortdurende waakzaamheid op het gebied van voertuigbeveiliging. Naarmate voertuigen steeds meer verbonden raken, is het essentieel om de evoluerende dreigingen voor te blijven en nieuwe beveiligingsmaatregelen te ontwikkelen om voertuigen te beschermen tegen cyberaanvallen. De samenwerking tussen autofabrikanten, beveiligingsonderzoekers en de cybersecurity-gemeenschap is cruciaal om de veiligheid en beveiliging van moderne voertuigen te waarborgen.
Bron

De Cybersecurity and Infrastructure Security Agency (CISA) heeft een kritieke kwetsbaarheid in VMware toegevoegd aan haar Known Exploited Vulnerabilities (KEV) catalogus. Deze toevoeging betekent dat de kwetsbaarheid actief wordt misbruikt in het wild, en dat federale civiele uitvoerende instanties (FCEB) verplicht zijn om deze voor een specifieke datum te patchen.
De betreffende kwetsbaarheid is CVE-nummer CVE-2024-3400, een command injection kwetsbaarheid in VMware vCenter Server. Een kwaadwillende actor met netwerktoegang tot vCenter Server kan deze kwetsbaarheid misbruiken om ongeautoriseerde commando's uit te voeren op het onderliggende besturingssysteem. Dit kan leiden tot volledige controle over het systeem, data-exfiltratie, of de installatie van malware, waaronder ransomware.
De ernst van deze kwetsbaarheid wordt verder onderstreept door de hoge CVSS score van 9.8, wat aangeeft dat het een kritieke bedreiging vormt. VMware heeft een patch uitgebracht om deze kwetsbaarheid te verhelpen. Het is essentieel dat organisaties die VMware vCenter Server gebruiken, de patch zo snel mogelijk toepassen om zich te beschermen tegen potentiële aanvallen.
De KEV-catalogus van CISA is een lijst van kwetsbaarheden waarvan bekend is dat ze actief worden misbruikt. De catalogus wordt gebruikt door federale agentschappen om prioriteit te geven aan de patching van kwetsbaarheden. Door CVE-2024-3400 aan de KEV-catalogus toe te voegen, benadrukt CISA het belang van het onmiddellijk aanpakken van deze kwetsbaarheid.
Organisaties worden sterk aangeraden om hun VMware vCenter Server installaties te updaten naar de nieuwste versie die de patch voor CVE-2024-3400 bevat. Daarnaast is het raadzaam om de omgeving te monitoren op verdachte activiteiten en de beveiligingsmaatregelen te versterken. Dit kan onder meer bestaan uit het implementeren van sterke toegangscontroles, het segmenteren van het netwerk en het regelmatig uitvoeren van beveiligingsaudits.
Het misbruik van CVE-2024-3400 kan ernstige gevolgen hebben voor organisaties, waaronder dataverlies, reputatieschade en financiële verliezen. Het is daarom van cruciaal belang dat organisaties proactief maatregelen nemen om zich te beschermen tegen deze en andere cyberdreigingen. De toevoeging van deze kwetsbaarheid aan de CISA KEV-catalogus dient als een wake-up call voor organisaties om hun cybersecurity-houding te evalueren en te verbeteren.
Bron

In de afgelopen 24 uur zijn diverse ernstige beveiligingslekken veelvuldig besproken op sociale media en in technische kringen, waarbij de aandacht uitgaat naar kwetsbaarheden in software van grote leveranciers. De hoogste mate van urgentie wordt toegedicht aan een heap-overflow kwetsbaarheid in VMware vCenter Server, geregistreerd als CVE-2024-37079. Deze fout bevindt zich in de implementatie van het DCERPC-protocol en stelt kwaadwillenden met netwerktoegang in staat om via speciaal vervaardigde netwerkpakketten willekeurige code uit te voeren op de server. Er is waargenomen dat deze kwetsbaarheid momenteel actief wordt misbruikt, wat de hoge interessever score van 26 verklaart.

Naast VMware vragen twee kwetsbaarheden in NetSupport Manager de aandacht. Het gaat hier om CVE-2025-34165 en CVE-2025-34164, die beide betrekking hebben op buffer overflows in versies voorafgaand aan 14.12.0000. De eerstgenoemde betreft een stack-based buffer overflow die kan leiden tot een denial of service en het lekken van geheugen, terwijl de tweede een heap-based variant is die aanvallers op afstand de mogelijkheid biedt willekeurige code uit te voeren. Deze lekken zijn relevant voor organisaties die gebruikmaken van deze beheersoftware voor remote support.

Ook gebruikers van Apple- en Google-producten dienen alert te zijn vanwege lekken in WebKit en Chrome-componenten die in gerichte aanvallen zijn ingezet. CVE-2025-43529 betreft een use-after-free kwetsbaarheid in WebKit, ontdekt door Google's Threat Analysis Group, die invloed heeft op diverse Apple-apparaten waaronder iPhones en iPads. Apple heeft updates uitgebracht omdat het lek mogelijk is misbruikt in aanvallen op iOS-versies ouder dan iOS 26. Gelijktijdig is CVE-2025-14174 geïdentificeerd, een geheugenprobleem in de ANGLE-component van Google Chrome en in WebKit, waarvoor eveneens exploits in het wild beschikbaar zijn.

Op het gebied van bedrijfsapplicaties is een ernstige SQL-injectie kwetsbaarheid gevonden in mJobtime versie 15.7.2, aangeduid als CVE-2025-51683. Via een specifiek endpoint kunnen ongeauthenticeerde aanvallers willekeurige SQL-statements uitvoeren, wat kan resulteren in het uitvoeren van code en datadiefstal. Tot slot kampen Fortinet-producten met authenticatieproblemen. Zowel FortiOS als FortiWeb bevatten kwetsbaarheden (CVE-2025-59718 en CVE-2025-59719) waarbij de verificatie van cryptografische handtekeningen faalt. Dit maakt het mogelijk om de Single Sign-On authenticatie te omzeilen via gemanipuleerde SAML-berichten, mits deze functionaliteit is ingeschakeld. Ook het Laravel-framework Livewire is getroffen door een lek waarmee code kan worden uitgevoerd via manipulatie van component-eigenschappen.

Bron

Volgens recente meldingen worden actuele cyberaanvallen uitgevoerd door misbruik te maken van een kwetsbaarheid die is ontdekt in de MJobTime-app. Deze kwetsbaarheid stelt kwaadwillenden in staat om ongeautoriseerde toegang te krijgen tot gevoelige informatie en mogelijk systemen te compromitteren. De MJobTime-app, die voornamelijk wordt gebruikt voor tijdregistratie en projectbeheer, is een aantrekkelijk doelwit gebleken voor cybercriminelen.
De kwetsbaarheid in de MJobTime-app maakt misbruik mogelijk van een gebrek aan adequate beveiligingsmaatregelen binnen de applicatie. Aanvallers kunnen via verschillende methoden, zoals SQL-injectie of cross-site scripting (XSS), ongeautoriseerde toegang verkrijgen tot de database en andere gevoelige onderdelen van het systeem. Deze aanvallen kunnen leiden tot datalekken, waarbij persoonlijke en bedrijfsgegevens in verkeerde handen vallen.
De technische details van de kwetsbaarheid zijn cruciaal voor organisaties om te begrijpen en te adresseren. Het gaat hierbij om specifieke codefragmenten en aanvalspatronen die door de cybercriminelen worden gebruikt. Door deze details te analyseren, kunnen beveiligingsexperts gerichte maatregelen nemen om hun systemen te beschermen. Het is van belang dat organisaties die de MJobTime-app gebruiken, onmiddellijk actie ondernemen om de kwetsbaarheid te patchen en hun beveiligingsmaatregelen te versterken.
De impact van deze cyberaanvallen kan aanzienlijk zijn voor organisaties. Naast het risico op datalekken kunnen de aanvallen leiden tot verstoring van bedrijfsprocessen, financiële schade en reputatieschade. Het is daarom essentieel dat organisaties zich bewust zijn van de dreiging en proactieve maatregelen nemen om hun systemen te beschermen. Dit omvat het regelmatig updaten van software, het implementeren van sterke authenticatiemechanismen en het trainen van medewerkers op het gebied van cybersecurity.
Naast het patchen van de kwetsbaarheid is het raadzaam om een grondige beveiligingsaudit uit te voeren om andere potentiële zwakke plekken in de systemen te identificeren en te verhelpen. Organisaties kunnen ook overwegen om gebruik te maken van intrusion detection systems (IDS) en intrusion prevention systems (IPS) om verdachte activiteiten te detecteren en te blokkeren. Samenwerking tussen verschillende afdelingen binnen de organisatie, zoals IT, beveiliging en juridische zaken, is essentieel om een effectieve cybersecurity-strategie te implementeren.
Het is van belang dat organisaties zich realiseren dat cybersecurity een continu proces is en geen eenmalige activiteit. Doorlopend monitoren van systemen, regelmatig uitvoeren van beveiligingsaudits en up-to-date blijven met de nieuwste dreigingen zijn cruciaal om de systemen te beschermen tegen cyberaanvallen. Door proactieve maatregelen te nemen en de beveiligingsmaatregelen voortdurend te verbeteren, kunnen organisaties de risico's van cyberaanvallen minimaliseren en hun gevoelige informatie beschermen.
Bron

De afgelopen 24 uur zijn verschillende kritieke kwetsbaarheden (CVE's) trending op sociale media, met een groeiende belangstelling voor specifieke kwetsbaarheden in populaire software en systemen. De 'hype score' is een maatstaf voor de hoeveelheid aandacht die een bepaalde kwetsbaarheid ontvangt, waarbij een hogere score wijst op een grotere urgentie. Hieronder worden de top 10 CVE's besproken, inclusief een korte uitleg over de impact en de risico's die deze kwetsbaarheden met zich meebrengen.

CVE-2025-25257 heeft de hoogste hype-score (17) en betreft een kritieke SQL-injectie in de Fortinet FortiWeb WAF (Web Application Firewall). Ongeauthenticeerde aanvallers kunnen via zorgvuldig opgebouwde HTTP/HTTPS-verzoeken SQL-commando's uitvoeren, wat toegang kan bieden tot gevoelige data en backendsystemen kan compromitteren.

CVE-2025-51683, met een hype-score van 12, betreft een blind SQL-injectie in mJobtime 15.7.2. Deze kwetsbaarheid werd ontdekt tijdens een externe pentest en kan leiden tot remote code execution (RCE) en datalekken.

Een andere ernstige kwetsbaarheid, CVE-2024-37079, heeft een hype-score van 11 en betreft een heap-overflow in de DCERPC-implementatie van VMware vCenter Server. Aanvallers met netwerktoegang kunnen speciaal gevormde pakketten sturen die leiden tot RCE, wat een actief misbruikt risico vormt.

Met een hype-score van 7 is CVE-2025-56005 een ongeauthenticeerde RCE in PLY (Python Lex-Yacc) 3.11. Door het ontbreken van validatie bij de deserialisatie van .pkl-bestanden kunnen kwaadwillenden code uitvoeren, wat kan leiden tot persistente backdoorrisico's.

Daarnaast zijn er kwetsbaarheden zoals CVE-2025-54068 (RCE in Livewire voor Laravel), CVE-2025-34026 (authenticatie-bypass in Versa Concerto SD-WAN), en CVE-2025-43529 (use-after-free in WebKit) die ook in de top 10 staan, elk met hun eigen specifieke exploitatiemogelijkheden die onmiddellijke aandacht vereisen van beveiligingsteams.

De lijst bevat verder kwetsbaarheden in Zimbra Collaboration en Google Chrome, zoals CVE-2025-68645 en CVE-2025-14174, die eveneens actief misbruikt worden in doelgerichte aanvallen.

Voor bedrijven en organisaties in Nederland en België is het van cruciaal belang om deze kwetsbaarheden in de gaten te houden en snel de nodige maatregelen te nemen om systemen te patchen en te beveiligen tegen potentiële aanvallen.

Bron

Er is een overzicht gepresenteerd van de meest misbruikte kwetsbaarheden door hackers in Nederland, België en wereldwijd, zoals gedetecteerd door honeypot-sensoren. Het doel is om de meest urgente kwetsbaarheden te identificeren, zodat systemen tijdig kunnen worden gepatcht en beveiligingsmaatregelen genomen kunnen worden. De gegevens zijn afkomstig van honeypots die aanvallen registreren en labelen met de juiste CVE- of andere identificatietags zodra detectieregels worden toegevoegd.

Op wereldschaal wordt de kwetsbaarheid CVE-2017-17215 (Huawei Home Gateway HG532) als de meest aangevallen genoteerd, gevolgd door CVE-2023-20198 (Cisco IOS XE) en CVE-2016-10372 (Zyxel Eir D1000). De kwetsbaarheden zijn voornamelijk gerelateerd aan Internet of Things (IoT)-apparaten, waarbij CVE-2017-17215 een veelvoorkomende doelwitte is. In termen van ransomware-aanvallen is CVE-2018-10562 van Dasan, gerelateerd aan GPON Home Routers, een belangrijke bron van kwetsbaarheid. Ook CVE-2014-8361 van Realtek wordt veelvuldig misbruikt, waarbij dit eveneens een veelvoorkomende zwakte in IoT-apparaten betreft.

In Nederland zijn de meest voorkomende kwetsbaarheden onder andere CVE-2023-38646 (Metabase) en CVE-2019-1653 (Cisco RV320/RV325). Daarnaast wordt CVE-2025-5777 (Citrix NetScaler) als urgent genoemd, evenals CVE-2025-55182 (Meta React Server Components). De aanwezigheid van ransomware-gerelateerde kwetsbaarheden zoals CVE-2025-5777 en CVE-2025-55182 onderstreept het belang van tijdige patching van deze systemen.

In België worden kwetsbaarheden zoals CNVD-2018-24942 (TopThink ThinkPHP5) en CVE-2025-55182 (Meta React Server Components) opgemerkt, maar deze veroorzaken minder frequent ransomware-aanvallen dan de eerder genoemde kwetsbaarheden in Nederland en wereldwijd. CVE-2017-17215 van Huawei blijft echter de meest gemelde kwetsbaarheid in België, met aanzienlijke aanvallen op IoT-apparaten zoals de Huawei Home Gateway.

Het overzicht benadrukt het belang van het monitoren van kwetsbaarheden in systemen en producten die vaak worden misbruikt door cybercriminelen, vooral in IoT-apparaten. Organisaties moeten prioriteit geven aan de patching van deze kwetsbaarheden om hun systemen te beschermen tegen cyberdreigingen, inclusief ransomware-aanvallen.

Bron

Broadcom en het Amerikaanse cyberagentschap CISA hebben melding gemaakt van actief misbruik van een kritieke kwetsbaarheid in VMware vCenter-servers. Voor deze kwetsbaarheid, aangeduid als CVE-2024-37079, waren op 18 juni 2024 al beveiligingsupdates beschikbaar. VCenter is een oplossing voor het beheer van virtuele machines en gevirtualiseerde servers.
De kwetsbaarheid betreft een heap-overflow in de implementatie van het DCERPC-protocol binnen vCenter. Een aanvaller met toegang tot een vCenter-server kan door het versturen van speciaal geprepareerde netwerkpakketten code op het systeem uitvoeren. De impact van de kwetsbaarheid is beoordeeld met een score van 9.8 op een schaal van 1 tot 10.
CISA heeft Amerikaanse overheidsinstanties opgedragen de update voor CVE-2024-37079 binnen drie weken te installeren, indien dit nog niet was gebeurd. Hoewel Broadcom melding maakt van informatie over misbruik van het vCenter-lek, worden er geen verdere details verstrekt over de aard of omvang van de aanvallen. CISA meldt dat aanvallers misbruik maken of hebben gemaakt van de kwetsbaarheid, maar geeft eveneens geen details over de aanvallen.
Bron

De Dienst Justitiële Inrichtingen (DJI) heeft circa 110 laptops die aan gedetineerden waren verstrekt, teruggehaald vanwege een beveiligingsprobleem. Een fout in de softwareconfiguratie kan ertoe leiden dat de internettoegang niet volledig is geblokkeerd. Dit meldt demissionair staatssecretaris Rutte van Justitie en Veiligheid in een brief aan de Tweede Kamer.
Gedetineerden en tbs-gestelden met uitgebreide dossiers kunnen de laptops gebruiken om hun strafdossier te raadplegen via een usb-stick die door DJI wordt verstrekt. Het betreft laptops zonder wifi en andere functionaliteiten. In totaal zijn er binnen DJI ongeveer vijfhonderd van deze laptops beschikbaar, voor alle regimes binnen gevangenissen en forensisch psychiatrische centra.
De betreffende 110 laptops zijn vorig jaar oktober vervangen. De kwetsbaarheid werd vorige week vrijdag ontdekt door een medewerker beveiliging van DJI. Rutte meldt dat de laptops in een groot deel van de DJI-inrichtingen al in gebruik waren. De laptops worden nu hersteld en gecontroleerd, waarna ze weer beschikbaar komen. Dit herstel zal naar verwachting enkele dagen duren.
Er loopt een onderzoek naar mogelijk misbruik van de kwetsbaarheid door gedetineerden, inclusief logging van eventueel internetgebruik. Ook wordt de oorzaak van het probleem onderzocht en hoe dit in de toekomst kan worden voorkomen. Rutte heeft toegezegd de details van het onderzoek met de Tweede Kamer te delen.
Bron

Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in de telnet daemon van GNU Inetutils, een verzameling netwerkprogramma's. De Italiaanse autoriteiten en securitybedrijf GreyNoise hebben dit gemeld. De kwetsbaarheid, aangeduid als CVE-2026-24061, stelt aanvallers in staat om de authenticatie te omzeilen en rootrechten te verkrijgen op de aangevallen server.
Het Nationaal Cyber Security Centrum (NCSC) waarschuwde vorige week al dat misbruik van deze kwetsbaarheid te verwachten was bij publiek toegankelijke telnet servers, gezien de eenvoudige uitbuiting en de publieke beschikbaarheid van exploitcode. De impact van het lek is beoordeeld met een score van 9.8 op een schaal van 1 tot 10.
GreyNoise heeft inmiddels meerdere IP-adressen geïdentificeerd van waaruit aanvallen worden uitgevoerd. Na een succesvolle aanval installeren de aanvallers malware op de server. Het securitybedrijf heeft diverse indicators of compromise (IoC's) gedeeld, zodat organisaties kunnen controleren of hun systemen zijn gecompromitteerd. Ook het Italiaanse Computer Security Incident Response Team (CSIRT) heeft melding gemaakt van misbruik, zonder verdere details te verstrekken.
Bron

Er is een kritieke kwetsbaarheid ontdekt in Apache Hadoop, een open-source framework dat wordt gebruikt voor de opslag en verwerking van grote datasets. Deze kwetsbaarheid kan mogelijk leiden tot ongeautoriseerde toegang tot gevoelige informatie en systemen. De complexiteit van de exploitatie wordt als gemiddeld beoordeeld.
De kwetsbaarheid betreft een potentieel lek in de authenticatie of autorisatie procedures van Hadoop. Hierdoor zouden aanvallers in theorie in staat kunnen zijn om de controle over Hadoop-clusters over te nemen en data te manipuleren of te stelen. Experts adviseren om zo snel mogelijk de beschikbare patches te installeren en de beveiligingsconfiguraties van Hadoop-installaties te controleren.
Het is van belang dat organisaties die Hadoop gebruiken, zich bewust zijn van dit risico en onmiddellijk actie ondernemen om hun systemen te beschermen. Het niet tijdig patchen van deze kwetsbaarheid kan leiden tot aanzienlijke schade en dataverlies. Regelmatige beveiligingsaudits en het up-to-date houden van software zijn essentieel voor het minimaliseren van risico's.
Bron

Microsoft heeft een out-of-band update uitgebracht voor Windows 11. Deze update is bedoeld om een recent ontdekt beveiligingslek te dichten. Het beveiligingslek zou het mogelijk maken voor kwaadwillenden om ongeautoriseerde toegang te krijgen tot systemen. De update is beschikbaar voor alle gebruikers van Windows 11 en wordt sterk aanbevolen om deze zo snel mogelijk te installeren. Microsoft heeft verder geen details vrijgegeven over de aard van het beveiligingslek, maar benadrukt dat het belangrijk is om de update te installeren om de systemen te beschermen. Gebruikers kunnen de update downloaden via Windows Update. Het is cruciaal voor zowel thuisgebruikers als bedrijven om deze update serieus te nemen en direct actie te ondernemen. Het negeren van deze update kan leiden tot ernstige beveiligingsproblemen en potentiële schade. Microsoft adviseert tevens om automatische updates in te schakelen om ervoor te zorgen dat systemen altijd beschermd zijn tegen de nieuwste bedreigingen.
Bron

Op 26 januari 2026 is een ernstige kwetsbaarheid in Instagram aan het licht gekomen, waardoor privéberichten mogelijk toegankelijk waren voor onbevoegden. De kwetsbaarheid, ontdekt door cybersecurity experts, stelde aanvallers in staat om toegang te krijgen tot de privéberichten van gebruikers zonder hun medeweten of toestemming. Dit lek potentieel gevoelige informatie bloot, zoals persoonlijke gesprekken, vertrouwelijke gegevens en intieme details die gebruikers via het platform deelden.
De kwetsbaarheid lag in de manier waarop Instagram omging met de authenticatie van gebruikerssessies. Door misbruik te maken van dit beveiligingslek konden aanvallers de sessie-ID van een gebruiker bemachtigen en zo toegang krijgen tot hun account en bijbehorende privéberichten. Het lek was potentieel verstrekkend, gezien het grote aantal Instagram-gebruikers wereldwijd.
Instagram is op de hoogte gesteld van de kwetsbaarheid en heeft sindsdien maatregelen genomen om het probleem te verhelpen. Gebruikers worden geadviseerd om hun Instagram-app bij te werken naar de nieuwste versie en waakzaam te blijven met betrekking tot verdachte activiteiten op hun account. Het is nog onduidelijk of de kwetsbaarheid daadwerkelijk is misbruikt om toegang te krijgen tot de privéberichten van gebruikers. Er loopt een onderzoek om de omvang van het probleem vast te stellen en de getroffen gebruikers te informeren.
Bron

Een recent ontdekte kwetsbaarheid in GNU Inetutils Telnetd heeft naar schatting 800.000 instanties blootgesteld aan potentiële aanvallen. Deze kwetsbaarheid stelt kwaadwillenden in staat om ongeautoriseerde toegang te krijgen tot systemen en gegevens. De impact van deze kwetsbaarheid is aanzienlijk, gezien het wijdverspreide gebruik van Telnetd in diverse systemen. Het is van cruciaal belang dat systeembeheerders en gebruikers onmiddellijk actie ondernemen om hun systemen te beschermen tegen mogelijke exploitatie. De details van de kwetsbaarheid zijn openbaar gemaakt, waardoor de noodzaak tot snelle mitigatie nog groter wordt. Het is aanbevolen om de nieuwste patches en updates toe te passen om de blootstelling aan deze dreiging te minimaliseren. Organisaties en individuen die Telnetd gebruiken, worden dringend verzocht om hun systemen te controleren en te beveiligen om de risico's te beperken. Het niet tijdig aanpakken van deze kwetsbaarheid kan leiden tot ernstige beveiligingsincidenten en datalekken. Betrokken partijen worden geadviseerd om de aanbevelingen van beveiligingsexperts op te volgen en proactieve maatregelen te nemen om hun digitale activa te beschermen.
Bron

In Nederland: 3400

In Belgie: 435

Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft vijf nieuwe kwetsbaarheden toegevoegd aan de Known Exploited Vulnerabilities (KEV) catalogus. Deze toevoeging is gebaseerd op bewijs van actieve exploitatie van de betreffende kwetsbaarheden. Het gaat om de volgende CVE's: CVE-2018-14634 (Linux Kernel Integer Overflow Vulnerability), CVE-2025-52691 (SmarterTools SmarterMail Unrestricted Upload of File with Dangerous Type Vulnerability), CVE-2026-21509 (Microsoft Office Security Feature Bypass Vulnerability), CVE-2026-23760 (SmarterTools SmarterMail Authentication Bypass Using an Alternate Path or Channel Vulnerability) en CVE-2026-24061 (GNU InetUtils Argument Injection Vulnerability).
Volgens CISA vormen dit type kwetsbaarheden frequente aanvalsvectoren voor kwaadwillende cyberactoren en vormen ze een significant risico. De KEV-catalogus is opgezet als een dynamische lijst van bekende Common Vulnerabilities and Exposures (CVE's) die een aanzienlijk risico vormen. De Binding Operational Directive (BOD) 22-01 verplicht federale civiele uitvoerende instanties (FCEB) om geïdentificeerde kwetsbaarheden te verhelpen voor de gestelde deadline, om zo de FCEB-netwerken te beschermen tegen actieve bedreigingen.
Hoewel BOD 22-01 alleen van toepassing is op FCEB-agentschappen, adviseert CISA alle organisaties dringend om hun blootstelling aan cyberaanvallen te verminderen door tijdige herstel van KEV-catalogus kwetsbaarheden te prioriteren als onderdeel van hun vulnerability management praktijk. CISA zal de catalogus blijven aanvullen met kwetsbaarheden die aan de criteria voldoen.
Bron

De laatste 24 uur zijn verschillende kritieke kwetsbaarheden (CVE's) trending op sociale media, wat wijst op de urgentie waarmee beveiligingsteams deze problemen moeten adresseren. De 'hype score', die een cijfer tussen 0 en 100 vertegenwoordigt, helpt beveiligingsexperts te begrijpen welke kwetsbaarheden de meeste aandacht krijgen. Deze score is een indicatie van de ernst en potentiële risico's die gepaard gaan met de ontdekking van deze kwetsbaarheden.

De hoogste trending kwetsbaarheid is CVE-2025-25257, een kritieke SQL-injectie in de Fortinet FortiWeb webapplicatie firewall, die aanvallers de mogelijkheid geeft om ongeauthenticeerde SQL-commando’s uit te voeren, met als gevolg toegang tot gevoelige data of compromittering van backend systemen. Deze kwetsbaarheid heeft een hoge hype-score van 18 en wordt als zeer urgent beschouwd.

Verschillende andere kwetsbaarheden staan ook op de lijst, waaronder CVE-2025-51683, een blind SQL-injectie in mJobtime, en CVE-2024-37079, een heap-overflow in VMware vCenter Server. Ook kwetsbaarheden in populaire software zoals de InspiryThemes Real Homes WordPress plugin (CVE-2025-67968) en de PLY-bibliotheek (CVE-2025-56005) worden actief besproken, waarbij het gevaar van remote code execution op de loer ligt door onveilige bestandsvalidatie of misbruik van bibliotheekfuncties.

Beveiligingsteams moeten zich bewust zijn van deze kwetsbaarheden, aangezien ze potentieel ernstige gevolgen kunnen hebben voor systemen die nog niet zijn gepatcht. Het is essentieel om beveiligingsupdates tijdig toe te passen en systemen goed te monitoren voor tekenen van exploitatie.

Overzicht

Er is een zero-day kwetsbaarheid ontdekt in Microsoft Office. Deze kwetsbaarheid stelt aanvallers in staat om mogelijk ongeautoriseerde toegang te krijgen tot systemen en gegevens. Beveiligingsonderzoekers hebben de kwetsbaarheid bevestigd en waarschuwen voor potentiële uitbuiting.
De kwetsbaarheid betreft een lek in de manier waarop Office bepaalde bestandstypen verwerkt. Aanvallers kunnen misbruik maken van dit lek door speciaal geprepareerde documenten te versturen via bijvoorbeeld e-mail. Wanneer een gebruiker zo'n document opent, kan de kwaadaardige code worden uitgevoerd zonder dat de gebruiker dit merkt. Dit kan leiden tot de installatie van malware, het stelen van gevoelige informatie of het overnemen van de controle over het systeem.
Microsoft is op de hoogte gesteld van de kwetsbaarheid en werkt aan een patch. Totdat de patch beschikbaar is, wordt gebruikers aangeraden om extra voorzichtig te zijn met het openen van onbekende of verdachte documenten. Het is ook belangrijk om beveiligingssoftware up-to-date te houden en verdachte activiteiten op systemen te monitoren. De impact van deze kwetsbaarheid kan aanzienlijk zijn, gezien het brede gebruik van Microsoft Office binnen organisaties en bij individuele gebruikers. Het is essentieel om de ontwikkelingen rondom deze kwetsbaarheid nauwlettend in de gaten te houden en de aanbevolen beveiligingsmaatregelen te volgen.
Bron

In de Python PLY-bibliotheek is een kwetsbaarheid ontdekt. De details over de aard en impact van deze kwetsbaarheid zijn momenteel summier. Het is belangrijk voor gebruikers van de PLY-bibliotheek om de ontwikkelingen rondom deze kwetsbaarheid nauwlettend in de gaten te houden en eventuele updates of patches zo snel mogelijk te implementeren. Het is raadzaam om de officiële kanalen van de PLY-bibliotheek en cybersecurity nieuwsbronnen te volgen voor meer informatie en concrete aanbevelingen.
Bron

Een recent ontdekte kwetsbaarheid in React Server Components (RSC) vormt een potentiële bedreiging voor webapplicaties. De kwetsbaarheid maakt het mogelijk voor kwaadwillenden om ongeautoriseerde toegang te krijgen tot gevoelige data of om schadelijke code uit te voeren. Experts adviseren ontwikkelaars om onmiddellijk de nodige beveiligingsmaatregelen te treffen en de nieuwste patches te installeren. De details van de kwetsbaarheid zijn openbaar gemaakt, waardoor het voor cybercriminelen eenvoudiger wordt om misbruik te maken van systemen die niet adequaat zijn beveiligd. Het is cruciaal dat beheerders van webservers hun systemen nauwlettend in de gaten houden op verdachte activiteiten. De impact van deze kwetsbaarheid kan variëren, afhankelijk van de implementatie van React Server Components in de desbetreffende applicatie. Een snelle reactie en adequate beveiliging zijn essentieel om mogelijke schade te minimaliseren. De kwetsbaarheid is breed onder de aandacht gebracht in cybersecurity kringen.
Bron

Zo'n zesduizend SmarterMail-servers wereldwijd bevatten vermoedelijk een kritieke kwetsbaarheid die ongeauthenticeerde aanvallers in staat stelt het wachtwoord van de administrator te resetten. Dit blijkt uit onderzoek van The Shadowserver Foundation. De kwetsbaarheid, aangeduid als CVE-2026-23760, wordt volgens meldingen actief misbruikt. Ontwikkelaar SmarterTools heeft op 15 januari een update uitgebracht, SmarterMail Build 9511, waarmee het probleem is verholpen.
SmarterMail is een mailserver en groupware-alternatief voor Microsoft Exchange, geschikt voor Windows en Linux. De kwetsbaarheid zit in de wachtwoordresetprocedure. Normaal gesproken controleert SmarterMail het oude wachtwoord voordat een nieuw wachtwoord kan worden ingesteld. Onderzoekers van watchTowr ontdekten echter een endpoint waarmee een wachtwoordreset kan worden uitgevoerd zonder een geldig wachtwoord.
De betreffende API vereist weliswaar een oud wachtwoord, maar controleert niet of dit correct is. Een aanvaller heeft enkel de gebruikersnaam van het admin-account en een nieuw wachtwoord nodig om toegang te krijgen. Eenmaal ingelogd als admin kan de aanvaller een nieuw volume mounten en commando's uitvoeren op het onderliggende besturingssysteem, wat resulteert in volledige remote code execution. The Shadowserver Foundation ontdekte via een scan dat zesduizend servers een kwetsbare versie draaien, waarvan 62 in Nederland. Het Amerikaanse cyberagentschap CISA heeft eveneens melding gemaakt van actief misbruik van CVE-2026-23760. SmarterTools adviseert beheerders op hun forum dat als hun admin-wachtwoord niet meer werkt, ze ervan uit moeten gaan dat hun server is gehackt.
Bron

In Nederland: 62

In Belgie: 2

Een kwetsbaarheid in WhatsApp voor Android maakt het mogelijk om media op een apparaat te downloaden zonder dat de gebruiker daarvoor interactie hoeft te verrichten. Dit is ontdekt door een onderzoeker van Google en zou misbruikt kunnen worden voor verdere aanvallen. Meta heeft op 11 november een server-aanpassing doorgevoerd die het probleem gedeeltelijk verhelpt. Er wordt nog gewerkt aan een volledige oplossing, aldus Brendon Tiszka van Google Project Zero. Google heeft de details van het probleem, dat op 2 september vorig jaar aan Meta werd gerapporteerd, openbaar gemaakt omdat Meta niet binnen de gestelde deadline met een update kwam.
WhatsApp voor Android downloadt bestanden van onbekende contacten niet automatisch om beveiligingsproblemen en spam te voorkomen. Er is interactie van de gebruiker nodig voordat een bestand van een niet-contact wordt gedownload. Gedownloade bestanden kunnen in de MediaStore-database verschijnen, die mediabestanden indexeert en beheert. Volgens Tiszka vergroot dit het aanvalsoppervlak. Door WhatsApp gedownloade bestanden verschijnen direct in deze database, wat verdere aanvallen mogelijk maakt. Een security bypass zoals dit lek kan leiden tot kwetsbaarheden waardoor een aanvaller bijvoorbeeld toegang tot out-of-bounds memory kan krijgen.
Om misbruik te maken van het probleem, waarvoor nog geen CVE-nummer beschikbaar is, moet een aanvaller eerst een WhatsApp-groep aanmaken en het slachtoffer daaraan toevoegen. Vervolgens moet de aanvaller een contact van het slachtoffer toevoegen aan de groep en deze contactpersoon admin maken. Daarna stuurt de aanvaller een kwaadaardige afbeelding naar de groep, die automatisch door de telefoon van het slachtoffer wordt gedownload. Volgens Tiszka moet een aanvaller wel eerst een contact van het slachtoffer kennen, maar is dit mogelijk te raden. Het uitschakelen van automatische downloads of het inschakelen van de WhatsApp Advance Privacy Mode voorkomt dat bestanden automatisch worden gedownload.
Bron

Het Nationaal Cyber Security Centrum (NCSC) heeft op 27 januari 2026 een waarschuwing uitgegeven met kenmerk NCSC-2026-0040 betreffende een kwetsbaarheid in Citrix ADC en Citrix Gateway. Deze kwetsbaarheid kan mogelijk leiden tot ongeautoriseerde toegang tot systemen. Het NCSC adviseert beheerders om de getroffen systemen zo spoedig mogelijk te patchen om misbruik te voorkomen. De details van de kwetsbaarheid zijn te vinden in de betreffende advisory op de website van het NCSC. Het is van belang dat organisaties met Citrix ADC en Gateway installaties deze waarschuwing serieus nemen en de aanbevolen maatregelen treffen om hun systemen te beveiligen. Een succesvolle exploitatie van deze kwetsbaarheid kan aanzienlijke schade toebrengen aan de getroffen organisaties. Het NCSC benadrukt het belang van proactief beheer van kwetsbaarheden en het tijdig implementeren van beveiligingsupdates.
Bron

Op 27 januari 2026 is versie 25.5.0 van Node.js uitgebracht. Deze release bevat een reeks beveiligingsupdates en bugfixes. De update is bedoeld om de stabiliteit en veiligheid van Node.js-applicaties te verbeteren. Gebruikers wordt aangeraden om zo snel mogelijk te updaten naar de nieuwste versie. De details van de specifieke beveiligingslekken die zijn aangepakt, zijn te vinden in de release notes. De release bevat ook diverse bugfixes die de algehele prestaties en betrouwbaarheid van het platform verbeteren. Ontwikkelaars die Node.js gebruiken in hun projecten, dienen de release notes zorgvuldig te bekijken om te bepalen welke impact de wijzigingen hebben op hun applicaties. Het updaten naar de nieuwste versie is een belangrijke stap om de veiligheid en stabiliteit van Node.js-applicaties te waarborgen.
Bron

In de WD Discovery Desktop applicatie voor Windows is een kwetsbaarheid ontdekt. Deze applicatie wordt gebruikt voor het beheren van Western Digital opslagapparaten. De details van de kwetsbaarheid en de mogelijke impact ervan zijn nog niet volledig bekendgemaakt, maar gebruikers van WD Discovery Desktop voor Windows wordt aangeraden om de situatie in de gaten te houden en te anticiperen op een eventuele update of patch. Het is belangrijk om beveiligingsupdates zo snel mogelijk te installeren om potentiële risico's te minimaliseren. Nadere informatie over de aard van de kwetsbaarheid en de getroffen versies van de software zullen naar verwachting spoedig volgen. Gebruikers worden geadviseerd de officiële kanalen van Western Digital en cybersecurity nieuwsbronnen in de gaten te houden voor updates en instructies. Het is cruciaal om alert te blijven en de nodige voorzorgsmaatregelen te treffen om de veiligheid van hun systemen en data te waarborgen.
Bron

In OpenSSL is een kwetsbaarheid ontdekt die in bepaalde scenario's het uitvoeren van code op afstand mogelijk maakt. De kwetsbaarheid, aangeduid als CVE-2025-15467, bevindt zich in de manier waarop OpenSSL bepaalde CMS (Cryptographic Message Syntax) berichten verwerkt. Door speciaal geprepareerde parameters in deze berichten kan een stack buffer overflow ontstaan, wat kan leiden tot een crash en mogelijk remote code execution. Het beveiligingsbulletin stelt dat applicaties en services die onbetrouwbare CMS of PKCS#7 content verwerken met behulp van AEAD ciphers kwetsbaar zijn. De ontwikkelaars van OpenSSL waarschuwen dat de mogelijkheid tot misbruik voor remote code execution afhankelijk is van het platform, maar dat de "stack-based write primitive" een ernstig risico vormt. De kwetsbaarheid is aanwezig in OpenSSL versie 3.0 tot en met 3.6. OpenSSL 1.1.1 en 1.0.2 zijn niet kwetsbaar. Gebruikers worden aangeraden om te upgraden naar OpenSSL 3.6.1, 3.5.5, 3.4.4, 3.3.6 of 3.0.19. Deze versies verhelpen ook andere kwetsbaarheden met een lagere impact. OpenSSL is een veelgebruikte software voor het versleutelen van internetverbindingen.
Bron

Het Belgisch Centrum voor Cyberveiligheid (CCB) waarschuwt voor twee kritieke authenticatie-bypass kwetsbaarheden die actief worden misbruikt. Deze kwetsbaarheden stellen kwaadwillenden in staat om de authenticatieprocedure te omzeilen en toegang te krijgen tot systemen en data zonder geldige inloggegevens. Het CCB adviseert organisaties om onmiddellijk actie te ondernemen om de risico's te minimaliseren. Hoewel de specifieke software of systemen waar de kwetsbaarheden zich bevinden niet worden genoemd, is de impact potentieel groot gezien de aard van de kwetsbaarheid. Het CCB benadrukt het belang van proactief beheer van kwetsbaarheden en het up-to-date houden van systemen met de laatste beveiligingspatches. De waarschuwing onderstreept de noodzaak voor organisaties om hun beveiligingsmaatregelen te evalueren en te versterken om zich te beschermen tegen dergelijke bedreigingen. Het CCB heeft diverse initiatieven ontwikkeld voor specifieke doelgroepen op het gebied van cybersecurity, maar deze worden in dit bericht niet verder gespecificeerd.
Bron

Een kritieke kwetsbaarheid is ontdekt in Grist Core, een softwarecomponent. De kwetsbaarheid, met een nog onbekende CVE-aanduiding, stelt aanvallers in staat om op afstand code uit te voeren. Dit kan leiden tot volledige controle over systemen waarop de software draait. De kwetsbaarheid is relatief eenvoudig te misbruiken, waardoor het risico op grootschalige aanvallen toeneemt.
Details over de kwetsbaarheid zijn gepubliceerd, inclusief een proof-of-concept exploit. Dit betekent dat kwaadwillenden nu actief kunnen proberen de kwetsbaarheid te misbruiken. Gebruikers van Grist Core wordt dringend aangeraden om zo snel mogelijk de beschikbare beveiligingsupdates te installeren. Leveranciers van systemen die Grist Core gebruiken, worden opgeroepen om hun klanten te informeren over de noodzaak van updates.
De impact van deze kwetsbaarheid kan aanzienlijk zijn, gezien de potentiële controle over systemen. Bedrijven en organisaties die afhankelijk zijn van Grist Core moeten onmiddellijk actie ondernemen om hun systemen te beschermen.
Bron

Aanvallers maken actief misbruik van een kwetsbaarheid in React2Shell. Deze kwetsbaarheid stelt kwaadwillenden in staat om op afstand code uit te voeren. De details over de aard van de aanvallen en de specifieke systemen die het doelwit zijn, zijn op dit moment nog beperkt. Er wordt aangeraden dat gebruikers en beheerders van systemen die React2Shell gebruiken, de situatie nauwlettend in de gaten houden en direct actie ondernemen door de beschikbare patches en updates te installeren. Het is essentieel om systemen te monitoren op verdachte activiteiten en de nodige voorzorgsmaatregelen te treffen om potentiële schade te minimaliseren. Verder onderzoek is nodig om de omvang en impact van deze actieve misbruikcampagne volledig te begrijpen. De exploitatie van deze kwetsbaarheid vormt een ernstige bedreiging en vereist onmiddellijke aandacht van de cybersecurity community. Snelle respons en proactieve maatregelen zijn cruciaal om de risico's te beperken en de integriteit van systemen te waarborgen. Organisaties dienen hun beveiligingsprotocollen te herzien en te versterken om zich te beschermen tegen dergelijke aanvallen.
Bron

In de populaire vm2 NodeJS-bibliotheek is een kritieke kwetsbaarheid ontdekt, aangeduid als CVE-2026-22709. Deze kwetsbaarheid maakt het mogelijk om uit de sandbox te ontsnappen en willekeurige code uit te voeren op het onderliggende host-systeem. De open-source vm2-bibliotheek creëert een beveiligde context waarin gebruikers niet-vertrouwde JavaScript-code kunnen uitvoeren zonder toegang tot het bestandssysteem.
Vm2 werd gebruikt in SaaS-platforms die gebruikersscripts ondersteunen, online code runners, chatbots en open-source projecten, en werd gebruikt in meer dan 200.000 projecten op GitHub. Het project werd in 2023 stopgezet vanwege herhaalde sandbox-ontsnappingskwetsbaarheden en werd als onveilig beschouwd voor het uitvoeren van niet-vertrouwde code. In oktober besloot beheerder Patrik Šimek het vm2-project nieuw leven in te blazen en versie 3.10.0 uit te brengen, die alle bekende kwetsbaarheden aanpakte.
De meest recente kwetsbaarheid komt voort uit het feit dat vm2 'Promises' niet goed afschermt. Promises zijn de componenten die asynchrone bewerkingen afhandelen om ervoor te zorgen dat de code-uitvoering beperkt blijft tot de geïsoleerde omgeving. Terwijl vm2 callbacks sanitizeert die zijn gekoppeld aan zijn eigen interne Promise-implementatie, retourneren asynchrone functies een globale Promise waarvan de .then() en .catch() callbacks niet goed worden gesanitizeerd.
Volgens de ontwikkelaar werd de CVE-2026-22709 sandbox-ontsnapping gedeeltelijk aangepakt in vm2 versie 3.10.1, terwijl in de daaropvolgende 3.10.2 update de ontwikkelaar de fix heeft aangescherpt om een potentiële bypass te voorkomen. Gebruikers wordt aangeraden om zo snel mogelijk te upgraden naar de nieuwste release, aangezien CVE-2026-22709 eenvoudig te exploiteren is in kwetsbare vm2-versies. Eerder gemelde kritieke sandbox-ontsnappingsfouten in vm2 omvatten CVE-2022-36067, CVE-2023-29017 en CVE-2023-30547. Volgens Šimek zijn alle bekende kwetsbaarheden verholpen in vm2 versie 3.10.3, de meest recente release.

Fortinet waarschuwt voor een kritieke kwetsbaarheid (CVE-2026-24858) in FortiOS, FortiAnalyzer, FortiManager en FortiProxy die actief wordt aangevallen. De kwetsbaarheid, een authenticatie bypass, maakt het mogelijk voor aanvallers met een FortiCloud-account en een geregistreerd apparaat om in te loggen op andere apparaten die aan andere accounts zijn gekoppeld, mits FortiCloud SSO-authenticatie is ingeschakeld. FortiCloud SSO maakt het mogelijk om via één set inloggegevens op verschillende Fortinet-producten in te loggen.

Na meldingen van gecompromitteerde FortiGate firewalls op 21 januari, waarbij aanvallers nieuwe lokale administrator accounts creëerden via FortiCloud SSO, schakelde Fortinet op 26 januari FortiCloud SSO aan de FortiCloud-kant uit. Een dag later werd de inlogmethode weer ingeschakeld, behalve voor apparaten die een kwetsbare versie draaien. Op 22 januari bevestigde cybersecuritybedrijf Arctic Wolf de aanvallen en stelde dat de aanvallen geautomatiseerd leken. Fortinet bevestigde op 23 januari dat aanvallers een alternatief authenticatiepad misbruikten dat zelfs op volledig gepatchte systemen aanwezig bleef.

Fortinet CISO Carl Windsor meldde gevallen waarin apparaten met de nieuwste firmware waren gecompromitteerd, wat duidt op een nieuw aanvalspad. Hoewel het misbruik alleen via FortiCloud SSO is waargenomen, waarschuwt Fortinet dat het probleem ook van toepassing is op andere SAML-gebaseerde SSO-implementaties. Fortinet heeft twee malafide Fortinet-accounts ontdekt die misbruik maakten van de kwetsbaarheid en deze op 22 januari uitgeschakeld. Het bedrijf heeft niet bekendgemaakt hoeveel apparaten via deze accounts zijn gecompromitteerd.

Op 27 januari publiceerde Fortinet een formele PSIRT-waarschuwing waarin CVE-2026-24858 aan de kwetsbaarheid werd toegewezen, met een kritieke beoordeling en een CVSS-score van 9.4. De kwetsbaarheid is "Authentication Bypass Using an Alternate Path or Channel", veroorzaakt door onjuiste toegangscontrole in FortiCloud SSO. Volgens de waarschuwing konden aanvallers met een FortiCloud-account en een geregistreerd apparaat authenticeren bij de apparaten van andere klanten als FortiCloud SSO was ingeschakeld.

Beveiligingsupdates zijn beschikbaar voor verschillende versies van de genoemde producten, maar voor sommige versies is een patch nog niet beschikbaar. Fortinet onderzoekt momenteel of FortiWeb en FortiSwitch Manager ook kwetsbaar zijn. Tot die tijd blokkeert FortiCloud SSO logins van kwetsbare apparaten. Indicators of Compromise (IoC's) zijn beschikbaar gesteld waarmee organisaties kunnen controleren of hun Fortinet-producten zijn gecompromitteerd. Gebruikers van Fortinet-producten worden dringend aangeraden de beschikbare patches zo snel mogelijk te installeren.

De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft CVE-2026-24858 toegevoegd aan haar Known Exploited Vulnerabilities (KEV) catalogus. Hoewel BOD 22-01 specifiek gericht is op Amerikaanse overheidsinstanties, adviseert CISA alle organisaties om hun blootstelling aan cyberaanvallen te verminderen door prioriteit te geven aan het tijdig verhelpen van kwetsbaarheden die in de KEV-catalogus zijn opgenomen.

Originele bron: Fortinet PSIRT

Ondanks dat er in juli 2025 een beveiligingsupdate beschikbaar kwam, wordt de hoog-risico kwetsbaarheid CVE-2025-8088 in WinRAR nog steeds actief misbruikt door diverse cybercriminelen, waaronder door de overheid gesteunde groepen en financieel gemotiveerde actoren. Google heeft gewaarschuwd voor dit actuele misbruik. Het beveiligingsprobleem is een 'path traversal flaw' die gebruikmaakt van Alternate Data Streams (ADS) om schadelijke bestanden op willekeurige locaties te plaatsen.

In het verleden is dit lek al gebruikt om malware in de Windows Startup folder te plaatsen, zodat deze na een herstart actief blijft. Het beveiligingslek stelt aanvallers in staat om willekeurige code uit te voeren op systemen van slachtoffers die een speciaal geprepareerd archiefbestand openen. Hierbij worden bestanden in de Windows Startup directory geplaatst en bij het opstarten van het systeem uitgevoerd.

Onderzoekers van ESET ontdekten de kwetsbaarheid en meldden in augustus 2025 dat de aan Rusland gelieerde groep RomCom deze al gebruikte in zero-day aanvallen. Volgens een rapport van de Google Threat Intelligence Group (GTIG) is de uitbuiting al op 18 juli 2025 begonnen en gaat deze nog steeds door. Zowel statelijke actoren als minder geavanceerde, financieel gedreven cybercriminelen maken er gebruik van. De aanvalsketen omvat vaak het verbergen van het schadelijke bestand in de ADS van een afleidingsbestand in het archief. Wanneer WinRAR het archief opent, extraheert het de ADS payload via directory traversal, waarbij LNK-, HTA-, BAT-, CMD- of scriptbestanden worden geplaatst die bij het inloggen van de gebruiker worden uitgevoerd.

Google heeft vastgesteld dat onder meer de volgende statelijke actoren CVE-2025-8088 misbruiken: UNC4895 (RomCom/CIGAR), APT44 (FROZENBARENTS), TEMP.Armageddon (CARPATHIAN), Turla (SUMMIT) en China-gelinkte actoren. Ook financieel gemotiveerde actoren maken gebruik van het lek om remote access tools en information stealers zoals XWorm en AsyncRAT te verspreiden, evenals Telegram bot-controlled backdoors en kwaadaardige bankextensies voor de Chrome browser.

De kwetsbaarheid werd op 24 juli verholpen in de bètaversie van WinRAR 7.13, en op 30 juli in de definitieve versie. ESET waarschuwde destijds al voor aanvallen op Europese bedrijven, waaronder organisaties in de financiële, productie-, defensie- en logistieke sector. Het feit dat gebruikers de beschikbare updates niet installeren, maakt het voor aanvallers mogelijk om bekende kwetsbaarheden te blijven misbruiken, aldus de onderzoekers. Aangezien WinRAR geen automatische updatefunctie heeft, zijn gebruikers afhankelijk van handmatige installatie van updates. De exploitatie van dit lek wordt mogelijk gemaakt doordat werkende exploits te koop worden aangeboden, waardoor de complexiteit voor aanvallers vermindert en ze snel kwetsbare systemen kunnen aanvallen. Gebruikers van WinRAR wordt aangeraden om zo spoedig mogelijk de nieuwste versie van de software te installeren.

Originele bron: Google Threat Intelligence Group (GTIG)

WhatsApp heeft diverse nieuwe functies geïntroduceerd en beveiligingsmaatregelen aangescherpt om de privacy en veiligheid van gebruikers te verbeteren. Een van de nieuwe functies is 'Strict Account Settings', die extra beveiliging biedt door bijlagen en media van onbekende afzenders te blokkeren, gesprekken met onbekende nummers automatisch te dempen en het IP-adres tijdens oproepen te verbergen. Daarnaast worden links van onbekenden uitgeschakeld en de 'laatst gezien en online'-status, profielfoto en profielinformatie vergrendeld, zodat deze alleen zichtbaar zijn voor contacten of een vooraf ingestelde lijst met personen. Gebruikers met 'Strict Account Settings' ingeschakeld, kunnen alleen door contacten of een vooraf ingestelde lijst met personen aan groepen worden toegevoegd. Tweefactorauthenticatie wordt automatisch ingeschakeld. Deze functionaliteit wordt de komende weken uitgerold en kan worden geactiveerd via Instellingen > Privacy > Geavanceerd. Meta geeft aan dat deze functie vooral bedoeld is voor mensen die het doelwit zijn van zeldzame maar geraffineerde cyberaanvallen, zoals journalisten of publieke figuren.

Daarnaast introduceert WhatsApp een "lockdown"-achtige privacy-instelling waarmee gebruikers meer controle krijgen over wie hun profielfoto, info en laatst gezien-status kan zien. Naast de bestaande opties "Iedereen", "Mijn contacten" of "Niemand", is er nu de optie "Mijn contacten, behalve...", waarmee individuele contacten kunnen worden uitgesloten van het zien van profielinformatie. Deze update is beschikbaar voor zowel iOS- als Android-gebruikers.

Deze maatregelen volgen op de ontdekking van een kwetsbaarheid in WhatsApp voor Android, waardoor media zonder interactie van de gebruiker gedownload kan worden. Een onderzoeker van Google ontdekte dit lek, dat mogelijk misbruikt kan worden voor verdere aanvallen. Meta heeft op 11 november een server-aanpassing doorgevoerd die het probleem gedeeltelijk verhelpt. Aan een volledige oplossing wordt nog gewerkt. Om misbruik van het probleem te maken, moet een aanvaller eerst een WhatsApp-groep aanmaken en het slachtoffer aan deze groep toevoegen. Vervolgens voegt de aanvaller een contact van het slachtoffer toe aan de groep en maakt dit contact admin. De aanvaller stuurt dan een kwaadaardige afbeelding naar de groep, die automatisch door de telefoon van het slachtoffer wordt gedownload. Het uitschakelen van automatische downloads of het inschakelen van de WhatsApp Advance Privacy Mode voorkomt dat bestanden automatisch worden gedownload.

Er is ook een rapport verschenen over spyware die via WhatsApp verspreid zou zijn en gericht was op anti-lockdown activisten. De spyware zou in staat zijn om berichten te lezen, gesprekken af te luisteren en andere gegevens van het apparaat te verzamelen.

Originele bron: Google Project Zero

Het CCB waarschuwt voor een kritieke authenticatie-bypass kwetsbaarheid in GNU Inetutils Telnetd. Deze kwetsbaarheid stelt aanvallers in staat om de authenticatie te omzeilen en ongeautoriseerde toegang te verkrijgen tot systemen die Telnetd gebruiken. Het CCB adviseert beheerders om onmiddellijk de betreffende systemen te patchen om misbruik van deze kwetsbaarheid te voorkomen. De kwetsbaarheid is potentieel ernstig, omdat Telnetd vaak wordt gebruikt voor beheer op afstand en configuratie van systemen. Een succesvolle exploitatie kan leiden tot compromittering van de gehele server en mogelijk het netwerk. Het CCB benadrukt het belang van snelle actie om de potentiële schade te minimaliseren. Systemen die nog steeds Telnetd gebruiken in plaats van veiligere alternatieven zoals SSH, lopen een aanzienlijk risico. Hoewel Telnetd al lang als onveilig wordt beschouwd, is het nog steeds in gebruik in legacy systemen en bepaalde embedded devices. Het CCB roept organisaties op om hun systemen te inventariseren en Telnetd te vervangen door veiligere alternatieven waar mogelijk. In situaties waar dit niet direct mogelijk is, is het essentieel om de meest recente patches toe te passen en de toegang tot Telnetd te beperken tot vertrouwde netwerken.
Een kritieke kwetsbaarheid in Telnet-servers vormt een aanzienlijk risico door het blootleggen van een vergeten aanvalsoppervlak. Deze kwetsbaarheid, die al lange tijd bekend is, blijft een probleem omdat veel systemen nog steeds Telnet gebruiken, vaak zonder dat beheerders zich bewust zijn van de risico's. Telnet, een protocol voor netwerkcommunicatie dat in de vroege dagen van het internet populair was, staat bekend om zijn gebrek aan encryptie, waardoor inloggegevens en andere gevoelige informatie in platte tekst over het netwerk worden verzonden. Dit maakt het gemakkelijk voor aanvallers om deze gegevens te onderscheppen en te misbruiken.
De kwetsbaarheid is bijzonder zorgwekkend in industriële controle systemen (ICS) en operationele technologie (OT) omgevingen, waar oudere systemen vaak draaien op Telnet. Deze systemen, die cruciaal zijn voor de werking van infrastructuur en productieprocessen, zijn vaak moeilijk te patchen of updaten vanwege de impact op de continuïteit van de bedrijfsvoering. Het blootleggen van deze systemen via een kritieke Telnet-kwetsbaarheid kan leiden tot ernstige verstoringen en mogelijk zelfs tot fysieke schade. Organisaties wordt aangeraden om Telnet-servers te identificeren en uit te schakelen, en over te stappen op veiligere alternatieven zoals SSH. Daarnaast is het belangrijk om de netwerksegmentatie te verbeteren en de toegang tot kritieke systemen te beperken om de impact van een eventuele aanval te minimaliseren.

Bron

Microsoft heeft met spoed beveiligingsupdates uitgebracht om kritieke kwetsbaarheden in zowel Microsoft Office als Windows te verhelpen. Een van deze kwetsbaarheden, een zero-day in Microsoft Office, werd actief misbruikt door aanvallers, wat de noodzaak voor een snelle reactie benadrukt. Deze zero-day kwetsbaarheid betekende dat het lek al werd uitgebuit voordat Microsoft zelf op de hoogte was van het bestaan ervan.
De update voor Office is beschikbaar voor verschillende versies en wordt sterk aanbevolen om zo snel mogelijk te installeren. Het lek stelt aanvallers in staat om potentieel schadelijke code uit te voeren op systemen die kwetsbare versies van Office draaien. Details over de specifieke aanvalstechnieken zijn nog beperkt, maar de ernst van het probleem heeft Microsoft ertoe aangezet om een patch buiten de reguliere updatecyclus om uit te rollen. Gebruikers worden geadviseerd om de automatische updatefunctie van Office in te schakelen of de patch handmatig te downloaden en te installeren via de Microsoft Security Response Center (MSRC) website. Het negeren van deze update kan leiden tot compromittering van systemen en potentiële datalekken.
Daarnaast is er een noodpatch uitgebracht voor een kritieke kwetsbaarheid in Windows, aangeduid als CVE (geen specifiek nummer genoemd). Dit lek stelt aanvallers in staat om op afstand code uit te voeren op systemen. De kwetsbaarheid bevindt zich in een kerncomponent van het besturingssysteem, waardoor het een potentieel groot risico vormt voor gebruikers. De patch is beschikbaar voor alle ondersteunde versies van Windows, en Microsoft adviseert gebruikers dringend om de update zo snel mogelijk te installeren. Volgens Microsoft is er geen bewijs dat deze Windows kwetsbaarheid al actief wordt misbruikt.
De update is beschikbaar via Windows Update en kan automatisch worden geïnstalleerd. Gebruikers kunnen er ook voor kiezen om de update handmatig te downloaden en te installeren vanaf de Microsoft website. Naast de patch voor de kritieke kwetsbaarheid, bevat de update ook andere beveiligingsverbeteringen en bugfixes. Microsoft raadt gebruikers aan om alle beschikbare updates te installeren om hun systemen te beschermen tegen potentiële bedreigingen.
Bron

Het Nationaal Cyber Security Centrum (NCSC) waarschuwt voor een kritieke kwetsbaarheid in Citrix ADC en Citrix Gateway, aangeduid als CVE-2023-3519. Deze kwetsbaarheid maakt het mogelijk voor kwaadwillenden om op afstand code uit te voeren zonder authenticatie, waardoor aanvallers volledige controle over het systeem kunnen krijgen. Het NCSC adviseert organisaties die Citrix ADC en Gateway gebruiken om zo snel mogelijk de beschikbare patches te installeren. Als patchen niet direct mogelijk is, worden mitigerende maatregelen aanbevolen om de blootstelling te minimaliseren. Het NCSC benadrukt het belang van nauwlettende monitoring op tekenen van misbruik, aangezien er meldingen zijn van actieve exploitatie. De kwetsbaarheid betreft specifieke versies van Citrix ADC en Gateway, waardoor het essentieel is dat beheerders de getroffen versies identificeren en de juiste updates toepassen. Het NCSC raadt aan om de adviezen van Citrix zelf te volgen.
Daarnaast is er een kritieke kwetsbaarheid in SmarterMail-servers, CVE-2026-23760, die actief wordt misbruikt. The Shadowserver Foundation meldt dat op zo'n zesduizend SmarterMail-servers deze kwetsbaarheid aanwezig is, waardoor ongeauthenticeerde aanvallers het wachtwoord van de administrator kunnen resetten. SmarterTools heeft op 15 januari SmarterMail Build 9511 uitgebracht om dit probleem te verhelpen. Onderzoekers van watchTowr ontdekten een endpoint waarmee het mogelijk is om zonder een geldig wachtwoord een reset voor elke willekeurige gebruiker uit te voeren. Een aanvaller heeft enkel de gebruikersnaam van het admin-account en een nieuw wachtwoord nodig om admin-toegang tot de mailserver te verkrijgen. Na inlog als admin kan de aanvaller een nieuw volume mounten en commando's uitvoeren op het onderliggende besturingssysteem, wat leidt tot volledige remote code execution. The Shadowserver Foundation heeft een scan uitgevoerd en zesduizend servers met een kwetsbare versie gevonden, waarvan 62 in Nederland. Het Amerikaanse cyberagentschap CISA heeft eveneens gemeld dat aanvallers actief misbruik maken van CVE-2026-23760. Op het forum van SmarterTools wordt beheerders geadviseerd om er vanuit te gaan dat hun server is gehackt als hun admin-wachtwoord niet meer werkt.
Bron

Een kwetsbaarheid is ontdekt in de Festo Didactic MES PC, een Manufacturing Execution System (MES) product van Festo Didactic SE. De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft een ICS Advisory, ICSA-26-027-02, uitgegeven waarin gewaarschuwd wordt voor dit beveiligingslek. Deze kwetsbaarheid kan potentieel leiden tot ongeautoriseerde toegang tot het systeem en kan mogelijk misbruikt worden door kwaadwillenden. Een aanvaller die deze kwetsbaarheid succesvol exploiteert, zou in staat kunnen zijn om ongeautoriseerde acties uit te voeren binnen het MES-systeem. Het betreft een beveiligingslek dat de integriteit en beschikbaarheid van systemen in gevaar kan brengen die gebruik maken van de Festo Didactic SE MES PC.

Het Manufacturing Execution System (MES) speelt een cruciale rol in de productieomgeving, waarbij het real-time inzicht biedt in de productieprocessen en de mogelijkheid biedt om deze te beheren en te optimaliseren. Een beveiligingslek in een dergelijk systeem kan ernstige gevolgen hebben voor de operationele continuïteit en de integriteit van de productiegegevens.

Organisaties die gebruikmaken van de Festo Didactic MES PC worden geadviseerd de aanbevelingen van Festo Didactic SE op te volgen om de kwetsbaarheid te mitigeren en de beveiliging van hun systemen te waarborgen. Het is van belang om de beschikbare updates en patches te installeren en de juiste beveiligingsmaatregelen te implementeren om de risico's te minimaliseren. Ook wordt aangeraden de volledige ICS Advisory ICSA-26-027-02 op de website van CISA te raadplegen en de aanbevolen maatregelen te treffen om het risico te minimaliseren. Het is van belang om de systemen up-to-date te houden en de beveiligingsrichtlijnen van Festo Didactic SE op te volgen.

Bronnen

CISA Alerts: https://www.cisa.gov/news-events/ics-advisories/icsa-26-027-04

CISA Alerts: https://www.cisa.gov/news-events/ics-advisories/icsa-26-027-03

Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft een ICS Advisory uitgegeven met nummer ICSA-26-027-03 over een kwetsbaarheid in Schneider Electric Zigbee-producten. Deze kwetsbaarheid kan mogelijk leiden tot ongeautoriseerde toegang en controle over de betreffende systemen. De advisory beschrijft de details van de kwetsbaarheid en adviseert gebruikers om de aanbevolen mitigatiemaatregelen te implementeren. Het is van belang dat organisaties die gebruik maken van Schneider Electric Zigbee-producten de advisory zorgvuldig bestuderen en de nodige stappen ondernemen om hun systemen te beschermen. De impact van een succesvolle exploitatie van deze kwetsbaarheid kan variëren, maar kan in potentie leiden tot verstoring van operationele processen en schade aan apparatuur. CISA benadrukt het belang van proactieve beveiligingsmaatregelen om de risico's te minimaliseren. Organisaties worden aangemoedigd om de website van CISA te raadplegen voor de meest recente informatie en updates over deze en andere cybersecurity-dreigingen.

Bron

CISA Alerts: https://www.cisa.gov/news-events/ics-advisories/icsa-26-027-02

In de afgelopen 24 uur zijn er verschillende kwetsbaarheden (CVE's) trending op sociale media, die ernstige beveiligingsrisico's met zich meebrengen. De zogenaamde 'hype score' geeft de mate van aandacht aan voor deze kwetsbaarheden, met een score tussen 0 en 100, gebaseerd op de frequentie van discussies en rapportages over de CVE's. Hoe hoger de score, des te groter de aandacht en waarschijnlijk de ernst van de kwetsbaarheid.

Een van de meest besproken kwetsbaarheden is CVE-2025-8088, een path traversal probleem in de Windows-versie van WinRAR. Deze kwetsbaarheid maakt het mogelijk voor aanvallers om willekeurige code uit te voeren door het maken van schadelijke archiefbestanden. Met een hype score van 21 blijft deze kwetsbaarheid bovenaan de lijst. CVE-2025-25257 volgt op de tweede plaats met een hype score van 18. Dit betrefteen kritieke SQL-injectie kwetsbaarheid in Fortinet's FortiWeb firewall, die aanvallers in staat stelt om niet-geauthenticeerde SQL-opdrachten uit te voeren.

Andere noemenswaardige CVE's zijn CVE-2025-15467, een stack buffer overflow die remote code execution mogelijk maakt, en CVE-2025-27237, die gerelateerd is aan de Zabbix Agent en het OpenSSL configuratiebestand, waardoor kwetsbare systemen via lage privileges kunnen worden gemanipuleerd.

Opvallend is ook CVE-2025-43529, een use-after-free kwetsbaarheid in WebKit die kan worden uitgebuit via gemanipuleerde webinhoud, wat leidde tot updates van Apple voor diverse besturingssystemen, waaronder iOS en macOS. Daarnaast maakt CVE-2025-14174, een out-of-bounds geheugen toegang kwetsbaarheid in ANGLE, mogelijk misbruik via schadelijke HTML-pagina's.

In het domein van e-mailbeveiliging is CVE-2025-52691 een kwetsbaarheid in SmarterMail, die het mogelijk maakt om willekeurige bestanden naar de mailserver te uploaden, wat kan leiden tot remote code execution. CVE-2026-23760, een kwetsbaarheid in SmarterMail met een authenticatie bypass, maakt het mogelijk om het administratiewachtwoord te resetten zonder authenticatie.

Tot slot, CVE-2025-36911 betreft een kwetsbaarheid in het Bluetooth pairing proces van audioaccessoires die Google's Fast Pair protocol gebruiken. CVE-2024-37079, met de laagste hype score van 6, betreft een heap-overflow kwetsbaarheid in VMware vCenter Server die op afstand code kan uitvoeren via het DCERPC-protocol.

Overzicht

De makers van de e-mailclient Thunderbird hebben een beveiligingsupdate uitgebracht om een kwetsbaarheid te verhelpen waardoor een aanvaller de inhoud van versleutelde e-mail kan stelen. Volgens het beveiligingsbulletin van Thunderbird is het, wanneer het laden van remote content is toegestaan, mogelijk om via CSS (Cascading Style Sheets) de inhoud van versleutelde e-mails deels te stelen.
Verdere details over het lek, aangeduid als CVE-2026-0818, zijn niet door de ontwikkelaars van de e-mailclient gegeven. De link naar de betreffende bug is nog niet publiekelijk toegankelijk. Mozilla heeft CVE-2026-0818 beoordeeld als een "moderate" kwetsbaarheid, maar het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, beschouwt het risico als "hoog". De kwetsbaarheid is verholpen in Thunderbird 140.7.1 en 147.0.1.
Bron

Een recent ontdekte kwetsbaarheid in de Fetch API van Google Chrome kan de browser mogelijk blootstellen aan aanvallen. De kwetsbaarheid, die op 28 januari 2026 werd gepubliceerd, bevindt zich in de manier waarop Chrome omgaat met de Fetch API, een interface die het mogelijk maakt om webpagina's data op te halen. Door deze kwetsbaarheid kunnen kwaadwillende actoren mogelijk ongeautoriseerde toegang krijgen tot gevoelige informatie of schadelijke code uitvoeren. Gebruikers van Google Chrome worden geadviseerd de nieuwste beveiligingsupdates te installeren om zich te beschermen tegen potentiële bedreigingen die voortkomen uit deze kwetsbaarheid. De impact en de details van de mogelijke aanvallen worden nog onderzocht.
Bron

Het Nationaal Cyber Security Centrum (NCSC) waarschuwt voor een ernstige kwetsbaarheid in Citrix ADC en Gateway. De kwetsbaarheid, aangeduid als CVE-nummer volgt nog, maakt het mogelijk voor kwaadwillenden om op afstand code uit te voeren op systemen die niet voldoende zijn beschermd. Het NCSC adviseert systeembeheerders om direct actie te ondernemen en de noodzakelijke beveiligingsupdates te installeren. De impact van deze kwetsbaarheid is hoog, gezien het feit dat Citrix ADC en Gateway veelvuldig worden gebruikt door organisaties voor remote access en load balancing. Een succesvolle aanval kan leiden tot compromittering van gevoelige data en verstoring van essentiële diensten. Het NCSC benadrukt dat het van cruciaal belang is dat organisaties hun systemen up-to-date houden en de aanbevolen beveiligingsmaatregelen implementeren om misbruik van deze kwetsbaarheid te voorkomen. De details van de kwetsbaarheid en de bijbehorende patch zijn te vinden op de website van Citrix en het NCSC. Het NCSC adviseert om de informatie nauwlettend in de gaten te houden en de instructies zorgvuldig op te volgen. Snelle actie is essentieel om de risico's te minimaliseren.

Daarnaast heeft SolarWinds beveiligingsupdates uitgebracht om kritieke kwetsbaarheden in Web Help Desk (WHD) te verhelpen. Het gaat om authenticatie bypass en remote command execution (RCE) kwetsbaarheden. De authenticatie bypass kwetsbaarheden, aangeduid als CVE-2025-40552 en CVE-2025-40554, werden gemeld door Piotr Bazydlo van watchTowr. Deze kunnen door externe, niet-geauthenticeerde aanvallers worden misbruikt. Bazydlo ontdekte ook een kritieke RCE-kwetsbaarheid (CVE-2025-40553) die voortkomt uit een onveilige deserialisatie van data. Hierdoor kunnen aanvallers zonder privileges commando's uitvoeren op kwetsbare systemen. Een tweede RCE-kwetsbaarheid (CVE-2025-40551), gerapporteerd door Jimi Sebree, een beveiligingsonderzoeker van Horizon3.ai, stelt niet-geauthenticeerde aanvallers eveneens in staat om op afstand commando's uit te voeren. De impact van CVE-2025-40551, CVE-2025-40553 en CVE-2025-40554 is beoordeeld met een score van 9.8 op een schaal van 1 tot 10.

SolarWinds heeft tevens een hardcoded credentials kwetsbaarheid met hoge impact (CVE-2025-40537) verholpen. Deze werd ook ontdekt door Sebree en kan, onder bepaalde omstandigheden, aanvallers met beperkte privileges ongeautoriseerde toegang geven tot administratieve functies. Twee jaar geleden werd er al actief misbruik gemaakt van een "deserialization of untrusted data" kwetsbaarheid en hardcoded credentials in SolarWinds Web Help Desk. Het bedrijf biedt gedetailleerde instructies voor het upgraden van kwetsbare servers naar Web Help Desk 2026.1, waarin deze beveiligingsproblemen zijn opgelost. Het wordt beheerders aangeraden hun systemen zo snel mogelijk te patchen, aangezien beveiligingslekken in Web Help Desk in het verleden al vaak zijn misbruikt bij aanvallen.

Bronnen

NCSC.nl: https://advisories.ncsc.nl/advisory?id=NCSC-2026-0042

Solarwinds: https://www.solarwinds.com/trust-center/security-advisories

Google heeft gewaarschuwd voor actieve exploitatie van een zero-day kwetsbaarheid in Google Chrome, aangeduid als CVE-2026-0604. Deze high-severity kwetsbaarheid betreft een use-after-free probleem in de ANGLE graphics library. Google adviseert gebruikers dringend om Chrome te updaten naar versie 120.0.6099.224/225 voor Windows, macOS en Linux. De kwetsbaarheid werd gemeld door Clément Lecigne van Google's Threat Analysis Group op 26 januari 2026. Details over de actieve aanvallen en de betrokken dreigingsactoren zijn nog niet bekendgemaakt. ANGLE, of Almost Native Graphics Layer Engine, vertaalt OpenGL ES API calls naar de API's van andere platforms. Google heeft de kwetsbaarheid op 26 januari 2026 verholpen en rolt de update momenteel uit.

Daarnaast hebben hackers misbruik gemaakt van een recent gepatchte kwetsbaarheid in WinRAR, een populair archiefprogramma, door malware te verspreiden via advertenties op het Google Ads-platform. De aanvallers plaatsten advertenties die eruitzagen als legitieme WinRAR-downloads, maar leidden gebruikers naar kwaadaardige versies van de software. Deze versies bevatten malware die computers kon infecteren en gevoelige informatie kon stelen. De kwetsbaarheid in WinRAR stelde aanvallers in staat om code uit te voeren op de computers van slachtoffers. WinRAR bracht snel een patch uit nadat het lek was ontdekt. Beveiligingsonderzoekers waarschuwen gebruikers om extra voorzichtig te zijn bij het downloaden van software en adviseren om software alleen van de officiële website van de ontwikkelaar te downloaden en verdachte links te vermijden. Het is ook belangrijk om antivirussoftware up-to-date te houden en regelmatig scans uit te voeren.

Originele bron:https://cloud.google.com/blog/topics/threat-intelligence/exploiting-critical-winrar-vulnerability

In de N8N workflow automation tool zijn twee ernstige beveiligingslekken ontdekt. Deze lekken, met een hoge risicoscore, kunnen kwaadwillenden in staat stellen ongeautoriseerde toegang te verkrijgen en potentieel schadelijke acties uit te voeren binnen systemen die gebruikmaken van deze tool.
Het eerste lek betreft een kwetsbaarheid in de manier waarop N8N omgaat met bepaalde soorten data input. Een aanvaller kan deze kwetsbaarheid misbruiken om code te injecteren die vervolgens door de N8N-server wordt uitgevoerd. Dit kan leiden tot het compromitteren van de server en de data die deze verwerkt.
Het tweede lek betreft een authenticatieprobleem. Hierdoor kunnen aanvallers mogelijk de identiteit van een geautoriseerde gebruiker aannemen en zo toegang krijgen tot gevoelige informatie en functionaliteiten binnen N8N.
Gebruikers van N8N wordt dringend aangeraden de nieuwste beveiligingspatches te installeren om deze kwetsbaarheden te verhelpen en hun systemen te beschermen tegen potentiële aanvallen. Het niet tijdig patchen van deze lekken kan leiden tot ernstige beveiligingsincidenten en datalekken.

Bron

CVE-2026-1470

CVE-2026-0863

Onderzoekers hebben een kwetsbaarheid ontdekt in TP-Link Archer routers. De kwetsbaarheid stelt aanvallers in staat om op afstand code uit te voeren op de getroffen apparaten. Dit kan leiden tot een volledige controle over de router, waardoor aanvallers het netwerkverkeer kunnen onderscheppen, malware kunnen installeren of andere kwaadaardige activiteiten kunnen uitvoeren. De kwetsbaarheid is aanwezig in een breed scala aan Archer routermodellen. TP-Link is op de hoogte gesteld van het probleem en werkt aan een patch om de kwetsbaarheid te verhelpen. Gebruikers wordt aangeraden om hun routerfirmware up-to-date te houden en de aanbevolen beveiligingsmaatregelen te volgen om het risico op misbruik te minimaliseren. Totdat een patch beschikbaar is, wordt aanbevolen om de toegang tot de router vanaf het internet te beperken en sterke wachtwoorden te gebruiken.
Bron

Op 28 januari 2026 is bekend geworden dat er een zero-day kwetsbaarheid is aangetroffen in de Gemini MCP tool. Deze kwetsbaarheid zou mogelijk misbruikt kunnen worden door kwaadwillenden. Details over de aard van de kwetsbaarheid en de mogelijke impact zijn nog beperkt. Cybersecurity experts onderzoeken de zaak en werken aan een oplossing. Het is nog onduidelijk of er al actieve exploits van deze kwetsbaarheid in het wild zijn waargenomen. Gebruikers van de Gemini MCP tool worden aangeraden om waakzaam te zijn en updates te installeren zodra deze beschikbaar komen. Verdere informatie zal worden verstrekt zodra het onderzoek vordert. Het is van belang dat organisaties die de Gemini MCP tool gebruiken, hun systemen monitoren op verdachte activiteiten.
Bron

Het ZAP (Zed Attack Proxy) project, een veelgebruikte open-source webapplicatiebeveiligingsscanner, heeft een kritiek geheugenlek in zijn JavaScript-engine onthuld. Dit lek, dat waarschijnlijk al enige tijd aanwezig is, verstoort de werkprocessen van actieve scans sinds de introductie van een nieuwe JavaScript-scanregel in de OpenAPI-add-on.

Beveiligingsteams die ZAP gebruiken voor dynamische applicatiebeveiligingstests (DAST) kunnen te maken krijgen met een denial-of-service-achtige situatie tijdens scans. ZAP heeft de waarschuwing op 28 januari 2026 gepubliceerd en benadrukt de urgentie van herstelmaatregelen. Het geheugenlek manifesteert zich tijdens actieve scans, waarbij de JavaScript-engine er niet in slaagt om de middelen correct vrij te geven, wat leidt tot een snelle uitputting van het geheugen.

Dit probleem werd vooral zichtbaar na de recente update van de OpenAPI-add-on, die de problematische JS-scanregel introduceerde. Dit verhoogde de verbruikte middelen in geautomatiseerde testpijplijnen. Het kwetsbare aspect ligt in de inefficiënte geheugengebruik binnen de JavaScript-engine van ZAP, mogelijk veroorzaakt door langdurige scriptuitvoeringen of het niet correct verwerken van het geheugenbeheer binnen de scanregels.

Actieve scans zijn een kenmerk van ZAP, waarmee webapplicaties worden doorgelicht door geautomatiseerde aanvallen zoals SQL-injecties en XSS. Het geheugenlek wordt geactiveerd bij het verwerken van OpenAPI-specificaties met ingebedde JavaScript-logica. De gevolgen zijn onder andere:

Crashes of vastlopen van scansessies, waardoor de ontdekking van kwetsbaarheden stopt.
Verhoogd gebruik van systeembronnen op de host die de scan uitvoert, wat kan leiden tot een bredere belasting van de infrastructuur in CI/CD-omgevingen.
Vertragingen in de beveiligingsbeoordelingen voor DevSecOps-teams die ZAP gebruiken in Docker- of standalone-omgevingen.
Het lek stelt de gescande applicaties niet bloot aan aanvallen, maar ondermijnt de betrouwbaarheid van ZAP als beveiligingstool, wat mogelijk de identificatie van patches in productie-omgevingen vertraagt.

Om de onmiddellijke risico’s te beperken, is de OpenAPI-add-on gepatcht om de problematische JS-scanregel standaard uit te schakelen. Gebruikers moeten de nieuwste versie bijwerken om deze tijdelijke oplossing toe te passen. Nightly en wekelijkse ZAP-releases met de fix zijn beschikbaar, samen met vernieuwde Docker-afbeeldingen voor wekelijkse en live-kanalen. Gebruikers moeten hun installaties verifiëren met de opdracht zaproxy –version en de regel pas weer inschakelen nadat het onderliggende probleem is opgelost.

ZAP-ontwikkelaars geven prioriteit aan een permanente oplossing voor het geheugenlek in de JavaScript-engine, met verwachte commits in de nabije toekomst. Dit incident benadrukt de uitdagingen van het integreren van dynamische scripting in beveiligingstools, waarbij prestatieproblemen kunnen leiden tot operationele kwetsbaarheden. Beveiligingsprofessionals wordt aangeraden ZAP's GitHub-repository en aankondigingen te volgen voor de stabiele release. In de tussentijd kunnen gebruikers overgaan op passieve scans of alternatieve tools zoals Burp Suite om de beveiligingstests voort te zetten.

Bron

Een ernstige kwetsbaarheid is ontdekt in de Harmony SASE Windows-clientsoftware van Check Point, die versies vóór 12.2 betreft. Deze kwetsbaarheid, gemarkeerd als CVE-2025-9142, stelt lokale aanvallers in staat om bestanden buiten de bedoelde certificaatwerkmap te schrijven of te verwijderen, wat kan leiden tot een systeemcompromis. De kwetsbaarheid bevindt zich in de servicecomponent van Perimeter81-software (Perimeter81.Service.exe), die met SYSTEM-rechten werkt.

Het probleem ontstaat door onvoldoende validatie van JSON Web Tokens (JWT's) tijdens de authenticatie. Wanneer gebruikers de Perimeter81-loginstroom starten via een URI-handler, wordt de JWT via een IPC-aanroep naar de service verzonden, maar de handtekening wordt niet correct geverifieerd. Een kwaadwillende actor kan een speciaal ontworpen perimeter81:// URL maken met een gemanipuleerde JWT die directory traversal-sequenties bevat (../../../) in het tenant ID-veld. Dit omzeilt de authenticatiecontrole en bereikt de lokale servicecomponent, die de token niet valideert voordat deze wordt verwerkt.

Het exploitatiepad bestaat uit twee fasen. Eerst registreert de aanvaller een valse authenticatiedomein, zoals bijvoorbeeld p81-falcon.com, dat de whitelist-validatie van de client doorstaat. De gemanipuleerde JWT maakt directory traversal mogelijk, waardoor de Perimeter81-service gedwongen wordt om mappen buiten de bedoelde locatie aan te maken. De tweede fase maakt gebruik van symbolische link-injectie. Wanneer de functie GenerateAndLoadCertificates() wordt uitgevoerd, schrijft deze clientcertificaten naar de door de aanvaller beheerde werkmap met SYSTEM-rechten.

Door gebruik te maken van Windows Object Manager en RPC Control-directory symlinks, kan een aanvaller de certificaatbestanden omleiden naar kritieke systeemlocaties, zoals C:\Windows\System32. Dit stelt de aanvaller in staat om systeemkritieke bestanden te overschrijven of kwaadaardige DLL's in te voegen. Procesmonitoring toonde aan dat de service probeerde ontbrekende DLL's te laden vanaf de werkmap. Door een kwaadaardige DLL op de verwachte locaties te plaatsen, kan de aanvaller code uitvoeren wanneer de Perimeter81-service opnieuw wordt opgestart, wat resulteert in escalatie naar SYSTEM-rechten.

Check Point werd op 16 maart 2025 op de kwetsbaarheid gewezen en bracht een oplossing uit in versie 12.2 op 18 november 2025. De CVE werd op 14 januari 2026 openbaar gedeeld. Organisaties die Harmony SASE gebruiken, moeten onmiddellijk upgraden naar versie 12.2 of later om het risico van privilege escalation-aanvallen te verkleinen. Het wordt aanbevolen om lokale administratieve toegang te beperken en applicatiewhitelijsten in te voeren om ongeautoriseerde DLL-injectie-aanvallen te voorkomen.

Bron, 2

MicroWorld Technologies, de maker van eScan antivirus, heeft bevestigd dat een van hun update servers is gecompromitteerd en gebruikt om een ongeautoriseerde update te verspreiden. Deze update, die later als kwaadaardig werd geanalyseerd, is begin deze maand naar een kleine groep klanten verzonden.
Het bestand werd verspreid naar klanten die updates van een regionale update cluster downloadden gedurende een periode van twee uur op 20 januari 2026. Volgens eScan is de getroffen infrastructuur inmiddels geïsoleerd en opnieuw opgebouwd, zijn authenticatiegegevens vervangen en is er een oplossing beschikbaar gesteld aan de getroffen klanten.
Beveiligingsbedrijf Morphisec publiceerde afzonderlijk een technisch rapport waarin kwaadaardige activiteiten werden geanalyseerd die werden waargenomen op klant endpoints. Morphisec associeert deze activiteiten met updates die tijdens dezelfde periode vanaf de eScan update infrastructuur werden geleverd. Morphisec stelt dat het op 20 januari 2026 kwaadaardige activiteiten detecteerde en later contact opnam met eScan. MicroWorld Technologies betwist de beweringen van Morphisec dat zij als eerste het incident ontdekten of rapporteerden.
Volgens eScan heeft het bedrijf het probleem intern gedetecteerd op 20 januari door middel van monitoring en klantmeldingen, de getroffen infrastructuur binnen enkele uren geïsoleerd en op 21 januari een veiligheidsadvies uitgebracht. eScan zegt dat Morphisec later contact opnam, na het publiceren van publieke claims over het incident. eScan betwist ook de beweringen dat getroffen klanten niet op de hoogte waren van het probleem, en stelt dat het proactieve meldingen en direct contact met getroffen klanten heeft uitgevoerd terwijl de oplossing werd afgerond.
In het advies classificeerde eScan het incident als een inbraak in de update infrastructuur, waarbij ongeautoriseerde toegang tot een regionale update server configuratie ervoor zorgde dat een ongeautoriseerd bestand in het update distributiepad kon worden geplaatst. Het bedrijf benadrukte dat het incident geen betrekking had op een kwetsbaarheid in het eScan product zelf.
eScan meldt dat alleen degenen wiens software werd bijgewerkt vanaf het specifieke regionale cluster werden getroffen, terwijl alle andere klanten onaangetast bleven. Degenen die de kwaadaardige update hebben geïnstalleerd, hebben mogelijk het volgende gedrag op hun systemen waargenomen: meldingen van update service storingen, een aangepast systeem hosts bestand dat verbinding met eScan update servers verhindert, aanpassingen aan het eScan update configuratiebestand, onmogelijkheid om nieuwe beveiligingsdefinitie updates te ontvangen en een popup over de onbeschikbaarheid van updates op client machines.
Morphisec zegt dat de kwaadaardige update een aangepaste versie van een eScan update component, "Reload.exe", pushte. Hoewel de aangepaste Reload.exe is ondertekend met wat het eScan code ondertekeningscertificaat lijkt te zijn, tonen zowel Windows als VirusTotal de handtekening als ongeldig. Volgens Morphisec werd het Reload.exe bestand gebruikt om persistentie mogelijk te maken, commando's uit te voeren, het Windows HOSTS bestand aan te passen om remote updates te voorkomen en verbinding te maken met de C2 infrastructuur om verdere payloads te downloaden.
De volgende command and control servers werden waargenomen: hxxps[://]vhs[.]delrosal[.]net/i, hxxps[://]tumama[.]hns[.]to, hxxps[://]blackice[.]sol-domain[.]org, hxxps[://]codegiant[.]io/dd/dd/dd[.]git/download/main/middleware[.]ts, 504e1a42.host.njalla[.]net en 185.241.208[.]115. De uiteindelijke payload die werd gezien, was een bestand genaamd CONSCTLX.exe, dat fungeert als een backdoor en een persistent downloader. Morphisec zegt dat de kwaadaardige bestanden geplande taken creëerden voor persistentie met behulp van namen als "CorelDefrag".
eScan heeft een herstelupdate gemaakt die klanten kunnen uitvoeren om de volgende acties uit te voeren: automatisch onjuiste wijzigingen identificeren en corrigeren, de juiste eScan update functionaliteit opnieuw inschakelen en de succesvolle herstelbewerking verifiëren. Dit vereist een standaard systeem herstart. Zowel eScan als Morphisec bevelen aan dat klanten de bovenstaande command and control servers blokkeren voor extra beveiliging. In 2024 werden Noord-Koreaanse hackers waargenomen die het update mechanisme van eScan antivirus misbruikten om backdoors op bedrijfsnetwerken te plaatsen.
Bron

In de afgelopen 24 uur zijn er verschillende kwetsbaarheden (CVE's) trending op sociale media. Deze kwetsbaarheden hebben, op basis van de "hype score", aanzienlijke aandacht getrokken. De hype score varieert van 0 tot 100 en geeft aan hoeveel aandacht een kwetsbaarheid heeft gekregen op platforms zoals sociale media, nieuwsberichten en andere openbare bronnen. Een hoge score wijst op een grotere urgentie en ernst van de dreiging, wat beveiligingsteams kan helpen prioriteit te geven aan de aanpak van bepaalde kwetsbaarheden.

De meest besproken kwetsbaarheid is CVE-2025-15467, een stack buffer overflow in OpenSSL, die wordt veroorzaakt door het verwerken van CMS AuthEnvelopedData. Dit probleem kan leiden tot een denial of service (DoS) of zelfs remote code execution. Deze kwetsbaarheid werd op 27 januari 2026 gemeld en heeft een hype score van 36.

CVE-2025-8088, een pad traversal kwetsbaarheid in WinRAR, heeft een score van 35 en wordt vaak geassocieerd met malware-aanvallen via phishing. Deze kwetsbaarheid werd in augustus 2025 ontdekt en blijft een significant risico voor gebruikers.

Verder is CVE-2025-40551, een remote code execution (RCE)-kwetsbaarheid in de SolarWinds Web Help Desk door onbetrouwbare data-deserialisatie, trending met een score van 25. Deze kwetsbaarheid werd op 28 januari 2026 ontdekt en vereist geen authenticatie om te worden misbruikt.

Andere relevante kwetsbaarheden zijn onder andere een ernstige Bluetooth-kwetsbaarheid in Google Fast Pair protocol (CVE-2025-36911), die kan leiden tot het uitlekken van gesprekken of locatiegegevens. Dit probleem heeft een score van 10 en werd in januari 2026 ontdekt.

Daarnaast is er ook aandacht voor CVE-2025-27237, een kwetsbaarheid in de Zabbix Agent op Windows, die kan leiden tot lokale privilege escalatie door onveilige bestandstoegang. Dit werd in oktober 2025 ontdekt.

Tot slot zijn er nog kwetsbaarheden in Fortinet’s FortiOS, SmarterMail en WebKit, die diverse risico’s met zich meebrengen,van het omzeilen van SSO-verificaties tot mogelijke administratieve compromittering door zwakke API’s.

Het is van essentieel belang dat organisaties de risico's van deze kwetsbaarheden begrijpen en, waar mogelijk, snel actie ondernemen om deze systemen te beveiligen.

Overzicht

In de encryptiesoftware GnuPG en Gpg4win is een kritieke kwetsbaarheid ontdekt die mogelijk remote code execution mogelijk maakt. Dat meldt ontwikkelaar Werner Koch. Een CVE-nummer is nog niet toegewezen, maar er zijn wel beveiligingsupdates beschikbaar. GnuPG is een gratis implementatie van de OpenPGP-standaard voor het versleutelen van data en communicatie. Gpg4win is een GnuPG-implementatie voor Windows om e-mails en bestanden te versleutelen en te signeren.
Het lek ontstaat door een speciaal geprepareerd "CMS (S/MIME) EnvelopedData" bericht met een te grote 'wrapped session key'. Dit kan een stack buffer overflow in de software veroorzaken. Hoewel dit kan leiden tot een denial-of-service, waarbij de software stopt met werken, acht Koch de kans groot dat het ook remote code execution mogelijk maakt. OpenAI Security Research heeft het beveiligingslek ontdekt en gerapporteerd. Koch ontving de melding op 18 januari en bracht op 27 januari gepatchte versies uit. Gebruikers wordt aangeraden de updates zo snel mogelijk te installeren.
Bron

Uit onderzoek van The Shadowserver Foundation blijkt dat ruim negenduizend Fortinet-systemen wereldwijd, waarvan ruim tweehonderd in Nederland, met FortiCloud SSO ingeschakeld, via het internet toegankelijk zijn. Fortinet waarschuwde eerder voor een actief aangevallen kwetsbaarheid in FortiCloud SSO. Het Amerikaanse cyberagentschap CISA heeft overheidsinstanties opgedragen de update voor morgen te installeren.
De kwetsbaarheid (CVE-2026-24858) in verschillende Fortinet-producten, waaronder FortiOS dat op firewalls en switches draait, maakt het mogelijk voor aanvallers om met een FortiCloud-account op apparaten van andere organisaties in te loggen. Via de FortiCloud SSO login kunnen gebruikers met één set inloggegevens op verschillende Fortinet-producten van hun eigen organisatie inloggen. De kwetsbaarheid maakt het mogelijk om de authenticatie te omzeilen, waardoor aanvallers toegang kunnen krijgen tot accounts zonder de juiste inloggegevens te verstrekken. Dit kan leiden tot ongeautoriseerde toegang tot gevoelige informatie, verstoring van diensten en andere schadelijke activiteiten.
Aanvallers hebben misbruik gemaakt van dit beveiligingslek om organisaties aan te vallen. Zodra de aanvallers op het apparaat van een andere organisatie inlogden, werd bijvoorbeeld de configuratie van FortiGate-firewalls aangepast, werden ongeautoriseerde accounts aangemaakt en werden vpn-wijzigingen doorgevoerd om de nieuw aangemaakte accounts toegang te geven.
CISA roept organisaties op om te controleren of hun Fortinet-apparaten niet zijn gecompromitteerd en de updates te installeren zodra deze beschikbaar zijn. Fortinet heeft voor een aantal productversies updates uitgebracht en heeft voor kwetsbare systemen het inloggen via FortiCloud SSO uitgeschakeld om klanten te beschermen. Onderzoekers hebben de kwetsbaarheid gemeld aan Fortinet, die momenteel werkt aan een patch om het probleem op te lossen. Het is nog niet bekend wanneer de patch beschikbaar zal zijn, maar gebruikers worden geadviseerd om de updates van Fortinet in de gaten te houden en de patch zo snel mogelijk te installeren zodra deze beschikbaar is.
Bron, 2

In Nederland, FortiCloud SSO kwetsbaar: 206

In Belgie, FortiCloud SSO kwetsbaar: 71

Een recent onderzoek van OMICRON heeft ernstige beveiligingshiaten blootgelegd in de operationele technologie (OT) netwerken van onderstations, elektriciteitscentrales en controlekamers wereldwijd. Het onderzoek, gebaseerd op data van meer dan 100 installaties, wijst op terugkerende technische, organisatorische en functionele problemen die de kritieke energie-infrastructuur kwetsbaar maken voor cyberdreigingen.

De bevindingen zijn afkomstig uit jarenlange implementaties van OMICRON's intrusiedetectiesysteem (IDS), StationGuard, in bescherming-, automatiserings- en controlesystemen (PAC). Dit systeem, dat netwerkverkeer passief monitort, biedt diepgaand inzicht in werkelijke OT-omgevingen. De resultaten benadrukken de groeiende aanvalsvlakken in energiesystemen en de uitdagingen waarmee operators worden geconfronteerd bij het beveiligen van verouderde infrastructuur en complexe netwerktopologieën.

De stationguard-implementaties hebben kwetsbaarheden aan het licht gebracht, zoals ongerepareerde apparaten, onveilige externe verbindingen, zwakke netwerksegmentatie en onvolledige asset-inventarissen. In veel gevallen werden deze beveiligingsproblemen binnen de eerste 30 minuten na het aansluiten op het netwerk geïdentificeerd. Naast deze beveiligingsrisico’s werden ook operationele problemen gevonden, zoals VLAN-misconfiguraties, tijdsynchronisatiefouten en netwerkredundantieproblemen.

Het onderzoek wees daarnaast op organisatorische tekortkomingen die deze risico’s verergeren, waaronder onduidelijke verantwoordelijkheden voor OT-beveiliging, beperkte middelen en afdelingen die in silo's opereren. Deze bevindingen weerspiegelen een bredere trend in de energiesector: IT- en OT-omgevingen convergeren snel, maar beveiligingsmaatregelen blijven vaak achter.

Een van de belangrijkste conclusies van het onderzoek is dat OT-netwerken een robuust intrusiedetectiesysteem nodig hebben, wat essentieel is voor het voldoen aan de normen van bijvoorbeeld het NIST Cybersecurity Framework, IEC 62443 en ISO 27000. Veel apparaten in onderstations en elektriciteitscentrales draaien zonder standaard besturingssystemen, wat het installeren van endpointdetectiesoftware onmogelijk maakt. In dergelijke omgevingen moet detectie op netwerkniveau worden uitgevoerd.

De inzet van StationGuard maakt gebruik van netwerkspiegelpoorten of Ethernet TAP's voor het passief monitoren van communicatie. Het systeem biedt niet alleen detectie van inbraken en cyberdreigingen, maar ook visibiliteit van netwerkverkeer, identificatie van onnodige diensten en risicovolle netwerkverbindingen, het automatisch aanmaken van asset-inventarissen en het detecteren van apparaatkwetsbaarheden.

De studie bracht verder technische beveiligingsrisico’s aan het licht, zoals kwetsbare PAC-apparaten die nog steeds draaien met verouderde firmware, onveilige externe verbindingen en zwakke netwerksegmentatie, wat het bereik van cyberincidenten vergroot. Ook werden onverwachte apparaten op netwerken aangetroffen, zoals niet-gedocumenteerde IP-camera’s en printers, die ernstige blinde vlekken voor verdedigers creëerden.

Naast de technische problemen werden er ook operationele risico's geïdentificeerd, waaronder VLAN-problemen, communicatiebreuken tussen apparaten door mismatches in RTU- en SCD-instellingen, tijdsynchronisatiefouten en netwerkredundantieproblemen die de prestaties aanzienlijk verlaagden.

De bevindingen onderstrepen de noodzaak voor energiesectoren om gespecialiseerde beveiligingsoplossingen te implementeren die ontworpen zijn voor de unieke uitdagingen van operationele technologie-omgevingen. Het gebruik van tools zoals StationGuard, die diepgaande protocollering en asset-visualisatie biedt, kan organisaties helpen om hun kritieke infrastructuur beter te beschermen zonder de werking te verstoren.

Bron

Cal.com, een open-source platform voor het plannen van afspraken, heeft te maken gehad met een ernstige beveiligingskwestie die miljoenen boekingen blootstelde. Het platform biedt alternatieven voor tools zoals Calendly en biedt functies zoals het synchroniseren van agenda’s, teamplanning en videoconferenties. Op 26 januari 2026 ontdekten beveiligingsonderzoekers dat aanvallers in staat waren om elk gebruikersaccount over te nemen en gevoelige boekingsinformatie van hele organisaties te openen.

De kwetsbaarheid die in de Cal.com Cloud werd ontdekt, betrof een keten van drie afzonderlijke, maar onderling verbonden, beveiligingsfouten die samen een volledige accountovername mogelijk maakten. Deze zwakke plekken bevonden zich in het registratieproces van de gebruikers en de API-eindpunten voor boekingsdata. Wanneer deze samenwerkten, konden aanvallers gebruikersaccounts overnemen en privé vergaderdetails, namen van deelnemers, e-mailadressen en volledige boekingsgeschiedenissen stelen van miljoenen boekingen die op het platform waren opgeslagen.

Gecko Security-analisten ontdekten de kritieke beveiligingsproblemen door middel van een AI-ondersteunde beveiligingsanalyse die de Cal.com-codebase scande. De onderzoekers stelden vast dat het platform meerdere beveiligingslacunes vertoonde die achtereenvolgens konden worden uitgebuit. Hun onderzoek onthulde hoe subtiele fouten in de kerncomponenten van de platformbeveiliging samenkwamen om de beveiligingsgrenzen van het platform volledig te ondermijnen, wat gevolgen had voor zowel beheerdersaccounts als betalende gebruikers.

De meest gevaarlijke kwetsbaarheid was een authenticatie-bypass die aanvallers in staat stelde bestaande gebruikersaccounts over te nemen via organisatie-uitnodigingslinks. Het probleem begon met een fout in de validatiefunctie van gebruikersnamen, die niet correct controleerde of een e-mailadres al was geregistreerd. Wanneer iemand zich probeerde aan te melden via een organisatie-uitnodigingslink, keurde het systeem onterecht aanmeldingen goed voor gebruikers die al accounts op het platform hadden. Het aanvalspad volgde drie stappen: de aanmeldingsvalidatie liet gebruikers in organisaties de beveiligingscontroles omzeilen, de e-mailvalidatie zocht alleen binnen de organisatie van de aanvaller, wat slachtoffers in andere organisaties miste, en uiteindelijk overschreef een databasebewerking het wachtwoord van het slachtoffer met het door de aanvaller gekozen wachtwoord. Aanvallers konden eenvoudig een deelbare uitnodigingslink genereren, naar de aanmeldpagina gaan, het e-mailadres van het slachtoffer invoeren en hun gekozen wachtwoord invoeren, waarna ze volledige toegang kregen tot het account. Er werd geen waarschuwing naar de eigenaar van het account gestuurd. Cal.com patchte dit probleem in versie 6.0.8 door de juiste controle van de gebruikersbestaanbaarheid vóór de aanmelding toe te voegen.

Een tweede kwetsbaarheid stelde boekingsdata bloot via Insecure Direct Object References op API-eindpunten, waardoor elke geauthenticeerde gebruiker de mogelijkheid had om boekingen op het platform te lezen en te verwijderen. Cal.com blokkeerde directe toegang tot deze interne routehandlers en bracht binnen enkele dagen een oplossing uit.

Bron

Een geavanceerde aanvalscampagne maakt gebruik van een kritieke kwetsbaarheid in FreePBX om een persistente webshell genaamd “EncystPHP” te plaatsen. Deze webshell stelt aanvallers in staat volledige administratieve controle te verkrijgen over de getroffen VoIP-systemen. De campagne, die in december 2025 werd gelanceerd, maakt misbruik van CVE-2025-64328, een post-authenticatie command-injectie-fout in de beheerdersinterface van de FreePBX Endpoint Manager.

De kwaadaardige activiteit wordt toegeschreven aan INJ3CTOR3, een financieel gemotiveerde hacker groep die voor het eerst werd geïdentificeerd in 2020 toen zij zich richtte op CVE-2019-19006 in FreePBX-systemen. In 2022 wijzigden ze hun strategie door zich te richten op Elastix-systemen via de exploitatie van CVE-2021-45461. De groep heeft een duidelijke focus op het misbruiken van VoIP-infrastructuren voor financiële winst, vooral door ongeautoriseerde oproepgeneratie en toltfraude.

CVE-2025-64328 is een kritieke command-injectie-kwetsbaarheid in het Endpoint Manager-moduul, specifiek binnen de functie check_ssh_connect() van de Filestore-component. Deze kwetsbaarheid maakt het mogelijk voor geauthenticeerde aanvallers om willekeurige shell-opdrachten uit te voeren als de asterisk-gebruiker, wat hen een toegangspoort biedt voor verdere systeemcompromis. Het aanvalverkeer komt uit Brazilië en richtte zich op doelwitten die werden beheerd door een Indiaas technologiebedrijf dat gespecialiseerd is in cloudoplossingen en communicatiediensten.

De aanvallers maakten gebruik van een kwaadaardige downloadlocatie, een website die zich voordeed als een VoIP-beheersysteem. Hier werd de EncystPHP dropper gedownload. De webshell, EncystPHP, beschikt over geavanceerde mogelijkheden, zoals het uitvoeren van commando's op afstand, multi-stage persistentie en verfijnde ontwijkingstechnieken. Na installatie wijzigt de malware bestandsrechten van legitieme FreePBX-componenten om detectie te voorkomen en verwijdert concurrerende webshells van het geïnfecteerde systeem.

Om persistentie te garanderen, creëert de malware een root-level gebruikersaccount genaamd "newfpbx" met hardcoded inloggegevens, reset het wachtwoord van meerdere gebruikersaccounts naar een enkel wachtwoord en injecteert SSH-public keys voor achterdeurs toegang. Ook worden systeemconfiguraties aangepast om ervoor te zorgen dat SSH-poort 22 open blijft, zodat de aanvallers continue toegang behouden.

EncystPHP camoufleert zich als een legitiem FreePBX-bestand, genaamd ajax.php, waardoor het naadloos in de applicatiestructuur past en casual inspectie ontwijkt. De webshell gebruikt MD5-gehashede authenticatie, waarbij de ingevoerde wachtwoorden via de webinterface worden vergeleken met hardcoded hashwaarden in de code.

De aanvallers maken gebruik van verhoogde privileges binnen de administratieve context van FreePBX en Elastix, waardoor ze willekeurige commando’s kunnen uitvoeren en uitgaande oproepactiviteiten kunnen initiëren via het gecompromitteerde PBX-systeem. Het aanvalsmechanisme implementeert een vierfasige persistentie, waarbij aanvallers via crontab-taakinstellingen elke minuut een secundaire dropper downloaden. Verdere stadia implementeren droppers over meerdere directories, wat redundante toegangspunten creëert en de kans vergroot dat de aanval succesvol blijft.

Organisaties die gebruik maken van ongepatchte FreePBX-systemen moeten elke succesvolle exploitatie beschouwen als een volledige compromittering, wat onmiddellijke remedie, uitgebreide monitoring en het versterken van de beveiliging vereist.

Bron

Ivanti heeft twee kritieke kwetsbaarheden in Ivanti Endpoint Manager Mobile (EPMM) bekendgemaakt, aangeduid als CVE-2026-1281 en CVE-2026-1340. Beide kwetsbaarheden zijn code-injectie kwetsbaarheden die het voor externe aanvallers mogelijk maken om willekeurige code uit te voeren op kwetsbare apparaten zonder authenticatie. Ivanti waarschuwt dat een zeer beperkt aantal klanten is getroffen op het moment van de bekendmaking.
Beide kwetsbaarheden hebben een CVSS-score van 9.8 en worden als kritiek beoordeeld. Succesvolle exploitatie stelt aanvallers in staat om willekeurige code uit te voeren op de EPMM-appliance, waardoor ze toegang krijgen tot een breed scala aan informatie die op het platform is opgeslagen. Deze informatie omvat gebruikersnamen en e-mailadressen van beheerders en gebruikers, evenals informatie over beheerde mobiele apparaten, zoals telefoonnummers, IP-adressen, geïnstalleerde applicaties en apparaat-identifiers zoals IMEI- en MAC-adressen. Als locatietracking is ingeschakeld, kunnen aanvallers ook toegang krijgen tot locatiegegevens van apparaten, inclusief GPS-coördinaten en locaties van nabijgelegen zendmasten. Aanvallers kunnen ook de EPMM API of webconsole gebruiken om configuratiewijzigingen aan te brengen aan apparaten, inclusief authenticatie-instellingen.
Ivanti's advisories vermelden dat beide kwetsbaarheden als zero-days werden misbruikt, maar het bedrijf heeft geen betrouwbare indicators of compromise (IOC) vanwege het kleine aantal bekende getroffen klanten. Ivanti heeft wel technische richtlijnen gepubliceerd over het detecteren van exploitatie en post-exploitatiegedrag. Beide kwetsbaarheden worden getriggerd via de In-House Application Distribution en Android File Transfer Configuration features. Pogingen tot of succesvolle exploitatie verschijnen in het Apache access log op /var/log/httpd/https-access_log. Om verdachte activiteit te identificeren, heeft Ivanti een reguliere expressie verstrekt: ^(?!127\.0\.0\.1:\d+ .*$).*?\/mifs\/c\/(aft|app)store\/fob\/.*?404. Deze expressie toont logboekitems die overeenkomen met externe verzoeken (geen localhost-verkeer).
Het Cybersecurity and Infrastructure Security Agency (CISA) heeft CVE-2026-1281 toegevoegd aan haar Known Exploited Vulnerabilities (KEV) catalogus, gebaseerd op bewijs van actieve exploitatie. CISA adviseert alle organisaties dringend om hun blootstelling aan cyberaanvallen te verminderen door tijdige herstel van kwetsbaarheden in de KEV-catalogus te prioriteren.
Ivanti heeft RPM-scripts uitgebracht om de kwetsbaarheden te mitigeren voor de getroffen EPMM-versies. RPM 12.x.0.x is bedoeld voor EPMM-versies 12.5.0.x, 12.6.0.x en 12.7.0.x, terwijl RPM 12.x.1.x gebruikt moet worden voor EPMM-versies 12.5.1.0 en 12.6.1.0. Volgens Ivanti is er geen downtime vereist voor het toepassen van de patches en is er geen functionele impact, waardoor het sterk wordt aangeraden om deze zo snel mogelijk toe te passen. De hotfixes overleven echter geen versie-upgrade en moeten opnieuw worden toegepast als de appliance wordt geüpgraded voordat er een permanente fix beschikbaar is. De kwetsbaarheden zullen permanent worden verholpen in EPMM versie 12.8.0.0, die later in het eerste kwartaal van 2026 zal worden uitgebracht.

Bron 1, 2, 3, 4

Een ernstige kwetsbaarheid is ontdekt in verschillende versies van de KiloView Encoder Series, die gebruikt worden in industriële controle systemen. De exploitatie van deze kwetsbaarheid zou een aanvaller zonder authenticatie in staat stellen om beheerdersaccounts te creëren of te verwijderen, wat volledige administratieve controle over het systeem kan opleveren. De kwetsbaarheid betreft meerdere versies van de Encoder Series, waaronder de E1-, E2-, G1-, P1-, P2- en RE1-hardware versies. De betrokken versies bevatten de CVE-2026-1453 kwetsbaarheid, die is beoordeeld met een CVSS-score van 9.8, wat wijst op de ernstige aard van deze zwakte.

De kwetsbaarheid is specifiek te vinden in de Encoder Series E1 hardware versie 1.4 met firmware 4.7.2516 en in verschillende andere firmwareversies van de Encoder Series E1, E1-s, E2, G1, P1, P2 en RE1, zoals gespecificeerd door CISA (Cybersecurity and Infrastructure Security Agency). Aangezien deze apparaten wereldwijd in kritieke infrastructuursectoren worden ingezet, waaronder communicatie en informatie technologie, vormen ze een belangrijke doelwit voor potentiële aanvallen. De exploitatie van de kwetsbaarheid kan verregaande gevolgen hebben voor organisaties die afhankelijk zijn van deze apparaten voor hun operaties.

CISA heeft aanbevelingen gepubliceerd voor het verminderen van het risico van misbruik van deze kwetsbaarheid. Dit omvat het minimaliseren van netwerkblootstelling voor controleapparatuur, het plaatsen van netwerken achter firewalls en het isoleren van deze netwerken van bedrijfsnetwerken. CISA raadt ook aan om beveiligde methoden voor externe toegang te gebruiken, zoals Virtual Private Networks (VPN's), en deze VPN's up-to-date te houden.

De kwetsbaarheid werd gerapporteerd door de beveiligingsonderzoeker Muhammad Ammar (0xam225), en hoewel er op dit moment geen bekend geval van openbare exploitatie is, blijft het belangrijk voor organisaties om proactief de aanbevolen beveiligingsmaatregelen door te voeren om hun systemen te beschermen tegen potentiële aanvallen.

Bron

Op 29 januari 2026 heeft de Cybersecurity and Infrastructure Security Agency (CISA) een waarschuwing uitgebracht over kwetsbaarheden in de Rockwell Automation ArmorStart LT-apparatuur, die een risico vormen voor de kritieke productiesector. De beveiligingslekken kunnen worden misbruikt om een denial-of-service (DoS)-aanval uit te voeren, wat kan leiden tot onderbrekingen in de bedrijfsvoering. De getroffen versies zijn ArmorStart LT 290D, 291D en 294D met versies tot en met V2.002, die meerdere kwetsbaarheden bevatten, zoals beschreven onder de CVE-nummers CVE-2025-9464, CVE-2025-9465, CVE-2025-9466, en anderen.

Rockwell Automation heeft deze kwetsbaarheden zelf gemeld bij CISA, die vervolgens adviseert om de netwerkinstellingen van besturingssystemen te versterken. Dit houdt in dat systemen niet direct toegankelijk mogen zijn viahet internet en dat veilige toegangsmethoden, zoals VPN’s, gebruikt moeten worden. Daarnaast wordt aangeraden om controlenetwerken te isoleren van bedrijfsnetwerken door gebruik te maken van firewalls en andere beveiligingsmaatregelen. De kwetsbaarheden zijn aanwezig in de ArmorStart LT-apparaten die wereldwijd worden gebruikt in kritieke infrastructuren, met name in de sector van de kritieke productie.

De CISA heeft benadrukt dat er tot nu toe geen gevallen van publiekelijk gerapporteerde exploitatie van deze kwetsbaarheden bekend zijn, maar de dreiging blijft bestaan, waardoor proactieve maatregelen essentieel zijn om het risico op misbruik te verminderen. CISA biedt tevens aanvullende middelen en richtlijnen voor het versterken van de beveiliging van industriële controlesystemen.

Bron

SmarterTools heeft een beveiligingsupdate uitgebracht voor SmarterMail, hun e-mailserversoftware, om een kritieke kwetsbaarheid te verhelpen. Deze update is essentieel voor alle gebruikers van SmarterMail om hun systemen te beschermen tegen potentiële aanvallen. De kwetsbaarheid, die niet nader wordt gespecificeerd in termen van CVE-nummer of CVSS-score, betreft een lek dat mogelijk ernstige gevolgen kan hebben voor de integriteit en beschikbaarheid van de e-mailserver.
Het is van groot belang dat beheerders van SmarterMail-servers de update zo snel mogelijk toepassen. De aard van de kwetsbaarheid suggereert dat aanvallers mogelijk in staat zijn om ongeautoriseerde toegang te krijgen tot de server, wat kan leiden tot datalekken, verstoring van de e-maildienst of andere schadelijke activiteiten. SmarterTools heeft geen details vrijgegeven over actieve exploitatie van deze kwetsbaarheid, maar het is altijd beter om het zekere voor het onzekere te nemen en de update onmiddellijk te installeren.
De update is beschikbaar gesteld via de gebruikelijke kanalen van SmarterTools. Gebruikers worden geadviseerd om de officiële website van SmarterTools te bezoeken en de instructies te volgen om de nieuwste versie van SmarterMail te downloaden en te installeren. Het is ook raadzaam om na de update de serverlogs te controleren op verdachte activiteiten, hoewel dit wellicht lastig is zonder concrete details over de aard van de kwetsbaarheid.
Naast het installeren van de update, wordt gebruikers aangeraden om algemene best practices voor cybersecurity te volgen, zoals het gebruik van sterke wachtwoorden, het regelmatig maken van back-ups en het monitoren van het systeem op verdacht gedrag. Hoewel deze maatregelen niet specifiek gericht zijn op deze kwetsbaarheid, kunnen ze helpen om de algehele beveiliging van de e-mailserver te verbeteren.
Het is cruciaal voor cybersecurity professionals om op de hoogte te blijven van de laatste beveiligingsupdates en kwetsbaarheden, vooral als het gaat om kritieke infrastructuur zoals e-mailservers. Door snel te reageren op beveiligingswaarschuwingen en updates tijdig te installeren, kunnen organisaties het risico op cyberaanvallen aanzienlijk verminderen.
Bron

De ontwikkelaars van Tails hebben een noodpatch uitgebracht (versie 7.4.1) vanwege kwetsbaarheden in OpenSSL, die mogelijk het echte IP-adres van Tor-gebruikers kunnen blootleggen. Tails, wat staat voor The Amnesic Incognito Live System, is een op Linux gebaseerd besturingssysteem dat is ontworpen om de privacy en anonimiteit van gebruikers te beschermen. Het systeem kan vanaf een USB-stick of DVD worden gestart en maakt gebruik van het Tor-netwerk om het IP-adres van de gebruiker af te schermen.
OpenSSL is software voor het versleutelen van internetverbindingen en wordt onder andere door websites gebruikt om het verkeer van en naar bezoekers te versleutelen, alsook door het Tor-netwerk. Afgelopen dinsdag zijn beveiligingsupdates voor OpenSSL verschenen vanwege verschillende kwetsbaarheden die in het ergste geval remote code execution mogelijk maken.
Volgens de Tails-ontwikkelaars zou een malafide Tor-server door middel van de OpenSSL-kwetsbaarheden mogelijk het echte IP-adres van een Tor-gebruiker kunnen achterhalen. De ontwikkelaars geven aan dat ze niet bekend zijn met actief misbruik van deze kwetsbaarheden. De noodpatch bevat een update van de gebruikte OpenSSL-library.
Bron

Het Tor Project heeft een nieuwe versie van de Tor Browser uitgebracht, versie 15.0.5, als reactie op "tekst-vandalisme" in de Vietnamese vertaling van de browser. De verkeerd vertaalde teksten waren in Tor Browser 15.0.4 terechtgekomen. Volgens de ontwikkelaars had dit geen invloed op de werking van de browser.
Naast het terugdraaien van de ongewenste vertalingen, herziet het Tor Project het proces rond het accepteren van bijgewerkte vertalingen om herhaling van een dergelijke situatie te voorkomen. Het Tor Project benadrukt dat het de bijdragen van de community wil blijven ontvangen, maar dat het waarborgen toevoegt waar nodig. Miljoenen mensen gebruiken dagelijks het Tor-netwerk om hun privacy te beschermen en gecensureerde websites te bezoeken.
Tor Browser 15.0.5 bevat ook een update voor OpenSSL die verschillende kwetsbaarheden verhelpt. Een malafide Tor-server zou via deze beveiligingslekken mogelijk het ip-adres van Tor-gebruikers kunnen achterhalen.
Bron

Cybersecurity News meldt dat aanvallers ongeveer 200 websites hebben gekaapt door misbruik te maken van een kwetsbaarheid in Magento, een populair e-commerce platform. De aanval omvat het injecteren van kwaadaardige code in de websites, waardoor aanvallers mogelijk gevoelige informatie kunnen stelen, zoals creditcardgegevens en inloggegevens van klanten.
De specifieke details van de kwetsbaarheid en de gebruikte exploit zijn nog niet volledig bekendgemaakt. Het onderzoek naar de incidenten is nog gaande. Wel is duidelijk dat de aanvallers erin zijn geslaagd om op grote schaal misbruik te maken van de kwetsbaarheid, wat aanzienlijke gevolgen heeft voor de getroffen webshops en hun klanten.
Experts adviseren Magento-gebruikers om onmiddellijk de nieuwste beveiligingspatches te installeren en hun websites te scannen op tekenen van compromittering. Daarnaast wordt aanbevolen om wachtwoorden te wijzigen en extra beveiligingsmaatregelen te implementeren, zoals two-factor authenticatie, om de risico's te minimaliseren. Het is cruciaal voor webshopeigenaren om alert te blijven en proactieve stappen te ondernemen om hun systemen te beschermen tegen potentiële aanvallen.
Bron

De laatste 24 uur zijn er meerdere kritieke kwetsbaarheden (CVE's) trending op sociale media, die de aandacht van beveiligingsexperts wereldwijd hebben getrokken. De zogenaamde 'hype score' is een maatstaf voor de urgentie van deze kwetsbaarheden en geeft aan hoe veel en op welke manier een CVE wordt besproken in nieuwsberichten, sociale media en andere platforms. Hoe hoger de score, hoe groter de ernst van de dreiging en hoe sneller beveiligingsteams moeten handelen.

Een van de meest opvallende kwetsbaarheden is CVE-2025-40551, een remote code execution (RCE) kwetsbaarheid in SolarWinds Web Help Desk, die werd ontdekt op 28 januari 2026. Deze kwetsbaarheid stelt aanvallers in staat om op afstand commando's uit te voeren op de hostmachine, veroorzaakt door een onbetrouwbare deserialisatie van gegevens. Ook de kwetsbaarheid CVE-2025-40554, een authenticatie-omzeiling in hetzelfde systeem, heeft de aandacht getrokken, waardoor onbevoegden toegang kunnen krijgen tot gevoelige systeemfuncties.

Verder is er CVE-2025-52691, die werd ontdekt op 29 december 2025, een kritieke kwetsbaarheid in SmarterMail. Deze kwetsbaarheid maakt het mogelijk voor aanvallers om willekeurige bestanden naar de mailserver te uploaden, wat kan leiden tot volledige systeemcontrole. Dit geldt ook voor CVE-2025-55182, een RCE-kwetsbaarheid in React Server Components, die een hype-score van 10.0 heeft behaald. De exploitatie van deze kwetsbaarheid vereist slechts een speciaal aangepaste HTTP-aanvraag.

Daarnaast zijn er andere kwetsbaarheden met hoge hype-scores, waaronder CVE-2025-8088 (WinRAR), CVE-2025-5419 (Google Chrome), en CVE-2025-15467 (OpenSSL), die ook zorgen baren vanwege hun potentieel voor remote code execution en systeemcompromittering.

Beveiligingsteams worden aangespoord om snel actie te ondernemen en patches toe te passen om de risico's van deze kwetsbaarheden te beperken, aangezien de trending scores aangeven dat deze kwetsbaarheden aanzienlijke risico's vormen voor systemen wereldwijd.

Overzicht

NVIDIA heeft op 28 januari 2026 een kritieke beveiligingsupdate uitgegeven om meerdere ernstige kwetsbaarheden in zijn GPU-stuurprogramma's, vGPU-software en HD-audiocomponenten te verhelpen. Deze kwetsbaarheden kunnen aanvallers in staat stellen om willekeurige code uit te voeren en privileges op getroffen systemen te escaleren. De kwetsbaarheden hebben invloed op zowel Windows- als Linux-platforms en treffen onder andere de GeForce-, RTX-, Quadro-, NVS- en Tesla-productlijnen van NVIDIA.

De meest ernstige kwetsbaarheden omvatten een use-after-free-fout in het Windows Display Driver (CVE-2025-33217) en een integer overflow-zwakte in de kernelmode-laag (nvlddmkm.sys) van de Windows Display Driver (CVE-2025-33218). Beide kwetsbaarheden hebben een CVSS-score van 7.8, wat betekent dat ze relatief eenvoudig zijn uit te buiten met lage privileges. Het gebruik van deze kwetsbaarheden kan leiden tot code-executie, privilege-escalatie, gegevensmanipulatie, Denial-of-Service (DoS)-omstandigheden of zelfs het uitlekken van gevoelige informatie.

Daarnaast werd een soortgelijke kwetsbaarheid (CVE-2025-33219) ontdekt in de NVIDIA-kernelmodule op Linux-systemen, die dezelfde risico’s voor Linux-gebruikers met zich meebrengt. Deze kwetsbaarheid heeft een identieke impact op meerdere releasebranches van de Linux-displaystuurprogramma’s, waaronder R590, R580, R570 en R535.

Naast de kwetsbaarheden in de stuurprogramma's, wordt ook de Virtual GPU Manager (vGPU) aangetast door een heap-memory-access-after-free-kwetsbaarheid (CVE-2025-33220). Deze kwetsbaarheid kan aanvallers in staat stellen om de onderliggende hypervisor te compromitteren, wat een bijzonder risico vormt voor virtuele omgevingen zoals XenServer, VMware vSphere, Red Hat Enterprise Linux KVM en Ubuntu-platformen. Cloud gaming-infrastructuren, zoals die van NVIDIA, lopen ook risico door deze kwetsbaarheid, wat kan leiden tot een verstoring van de virtuele GPU-omgevingen.

NVIDIA roept gebruikers op om hun stuurprogramma’s onmiddellijk bij te werken naar de nieuwste versies via de NVIDIA Driver Downloads-portal of de NVIDIA Licensing Portal voor vGPU- en cloud gaming-omgevingen. Voor Windows-gebruikers worden de versies 591.59 (R590), 582.16 (R580), 573.96 (R570) of 539.64 (R535) aanbevolen, afhankelijk van hun systeemconfiguratie. Linux-gebruikers moeten hun versies bijwerken naar respectievelijk 590.48.01, 580.126.09, 570.211.01 of 535.288.01 om de kritieke beveiligingsrisico’s te mitigeren.

Bron

Onderzoekers van Unit 42 van Palo Alto Networks hebben een kwetsbaarheid ontdekt in de Iconics Suite, een supervisory control and data acquisition (SCADA)-systeem dat gebruikt wordt voor het controleren en monitoren van industriële processen in sectoren zoals de automobielindustrie, energiesector en de productie. De kwetsbaarheid, aangeduid als CVE-2025-0921, heeft een medium CVSS-score van 6.5.
De kwetsbaarheid maakt misbruik van bevoorrechte bestandssysteemoperaties mogelijk, waardoor aanvallers de rechten kunnen verhogen en kritieke binaries kunnen beschadigen. Dit kan leiden tot een denial-of-service (DoS) toestand, waardoor de integriteit en beschikbaarheid van het systeem in gevaar komt. De kwetsbaarheid is gevonden in Microsoft Windows versies 10.97.2 en eerder.
De onderzoekers ontdekten de kwetsbaarheid tijdens een analyse van de Iconics Suite begin 2024, waarbij in totaal vijf kwetsbaarheden werden geïdentificeerd. Dit artikel richt zich specifiek op de analyse van CVE-2025-0921.
De kwetsbaarheid CVE-2025-0921 maakt bevoorrechte bestandssysteemoperaties mogelijk in Iconics Suite, die misbruikt kunnen worden om kritieke systeembestanden te beschadigen en de beschikbaarheid en integriteit van het SCADA-systeem te verstoren. De aanval maakt gebruik van een eerder ontdekte kwetsbaarheid, CVE-2024-7587, die overmatige bestandsrechten verleent. CVE-2024-7587 treft de GenBroker32-installer, die volledige lees- en schrijfrechten verleent aan de C:\ProgramData\ICONICS directory, waardoor elke gebruiker op het systeem kritieke configuratiebestanden kan wijzigen.
De kwetsbaarheid bevindt zich in de Pager Agent, een onderdeel van de AlarmWorX64 MMX feature set. AlarmWorX64 MMX is het alarm management systeem dat industriële processen bewaakt en automatisch waarschuwingen activeert wanneer er problemen optreden. De Pager Agent stelt beheerders in staat om aangepaste triggers en activiteitwaarschuwingen in te stellen via PagerCfg.exe, de configuratie utility voor de Pager Agent. Via deze utility kunnen beheerders waarschuwingen configureren voor levering via verschillende pager services en protocollen, zoals SMS, GSM en TAP.
Na configuratie van de Pager Agent wordt het pad voor het SMSLogFile opgeslagen in het configuratiebestand C:\ProgramData\ICONICS\IcoSetup64.ini. Wanneer GenBroker32 op het systeem is geïnstalleerd, kan CVE-2024-7587 worden misbruikt, waardoor elke lokale gebruiker het IcoSetup64.ini configuratiebestand kan beschrijven.
Een aanvaller met niet-administratieve toegang tot een systeem met GenBroker32 geïnstalleerd, kan de informatie in het configuratiebestand manipuleren, met name het SMSLogFile pad. Door een symbolic link te creëren van de SMSLogFile locatie naar een doelbinary, zoals cng.sys, kan de aanvaller het doelbinary beschadigen wanneer PagerCfg.exe de inhoud van dit bestand overschrijft.
De cng.sys driver wordt gebruikt voor Microsoft Cryptography API: Next Generation (CNG). Als een aanvaller erin slaagt een ongeldige driver te creëren of een geldige driver te beschadigen in C:\Windows\System32\cng.sys, zal het besturingssysteem niet meer opstarten. Na een herstart zal het besturingssysteem proberen C:\Windows\System32\cng.sys te laden, maar omdat het bestand beschadigd is, zal dit mislukken en zal het systeem vastlopen in een herstellus.
Palo Alto Networks klanten zijn beschermd tegen deze dreigingen via Industrial OT Security en Next-Generation Firewalls (NGFW).
Bron

In de afgelopen 24 uur zijn er verschillende ernstige kwetsbaarheden (CVE's) op sociale media trending geworden, met een bijzonder hoge mate van belangstelling. De 'hype score' voor deze kwetsbaarheden helpt beveiligingsteams om snel in te schatten welke kwetsbaarheden mogelijk grotere risico's vormen en welke als urgent beschouwd moeten worden.

De top trending kwetsbaarheid is CVE-2024-54529, die een logische fout in Apple macOS beschrijft, waardoor willekeurige code kan worden uitgevoerd met kernelprivileges. Deze kwetsbaarheid heeft een hype score van 22 en werd op 12 december 2024 gepubliceerd. Het probleem kan mogelijk leiden tot ernstige beveiligingsrisico's voor gebruikers van macOS-systemen.

Een andere kwetsbaarheid die de afgelopen dagen veel aandacht heeft getrokken, is CVE-2025-40551, een remote code execution kwetsbaarheid in SolarWinds Web Help Desk. Deze kwetsbaarheid werd op 28 januari 2026 gedocumenteerd en heeft een hype score van 11. Aanvallers kunnen via deze kwetsbaarheid commando's uitvoeren, wat mogelijk kan leiden tot aanzienlijke verstoringen en datalekken.

CVE-2025-5419, een kwetsbaarheid in de V8-engine van Google Chrome, is eveneens trending. Het betreft een out-of-bounds lees- en schrijf kwetsbaarheid die bekendstaat om zijn exploit. Deze kwetsbaarheid, gepubliceerd op 3 juni 2025, heeft een hype score van 11 en kan leiden tot systematische aanvallen op gebruikers van Chrome.

SolarWinds Web Help Desk is opnieuw genoemd met twee andere kwetsbaarheden: CVE-2025-40554 en CVE-2025-40552, die beide een authenticatiebypass betreffen. Deze kwetsbaarheden, gedocumenteerd op 28 januari 2026, kunnen leiden tot ongeautoriseerde toegang tot gevoelige functionaliteit en restrictieve functies.

Daarnaast is CVE-2025-8088, een path traversal kwetsbaarheid in WinRAR, opgevallen. Deze kwetsbaarheid, die door aanvallers kan worden gebruikt om willekeurige code uit te voeren via kwaadaardige archiefbestanden, werd op 8 augustus 2025 gepubliceerd en heeft een hype score van 5.

Andere kwetsbaarheden, zoals CVE-2025-15467 (stack buffer overflow in OpenSSL) en CVE-2025-52691 (kwetsbaarheid in SmarterMail), zijn eveneens opgevallen vanwege hun potentieel voor remote code execution en de dreiging van Denial of Service-aanvallen.

Met de continue ontdekking van dergelijke kwetsbaarheden is het van cruciaal belang dat beveiligingsteams snel reageren en passende maatregelen nemen om de risico's te beperken.

Overzicht