Kwetsbaarheden en CVE’s voor Nederland en België

Het Nationale Cyber Security Centrum (NCSC) heeft melding gemaakt van een verholpen kwetsbaarheid in de Linux kernel, specifiek binnen de `algif_aead` crypto module van het cryptografische subsysteem. Deze kwetsbaarheid bood de mogelijkheid voor een gebruiker zonder `sudo` rechten om verhoogde privileges te verkrijgen op een getroffen systeem.

De `algif_aead` crypto module is een essentieel onderdeel van de Linux kernel dat verantwoordelijk is voor het afhandelen van diverse cryptografische operaties. De kern van het probleem lag in een fout die optrad tijdens zogenaamde 'in-place operaties'. Bij dergelijke operaties wordt data direct in het geheugen verwerkt en gewijzigd, waarbij de bronmappings en bestemmingsmappings in principe identiek zouden moeten zijn om correcte en veilige verwerking te garanderen. Echter, in het geval van deze kwetsbaarheid, verschilden de bronmappings en bestemmingsmappings, wat leidde tot een onverwachte en potentieel gevaarlijke situatie.

Deze discrepantie in de geheugenmappings creëerde een opening die een aanvaller kon misbruiken. Een lokale gebruiker met standaard, beperkte rechten kon deze fout exploiteren om onrechtmatig toegang te krijgen tot hogere systeemrechten. Dit type beveiligingslek, bekend als privilege-escalatie, is bijzonder zorgwekkend omdat het een aanvaller in staat stelt om dieper in een systeem door te dringen nadat initiële toegang is verkregen, zelfs met minimale autorisatie. Hierdoor kunnen beveiligingsmaatregelen worden omzeild en kan een aanvaller volledige controle over de server of werkstation verkrijgen.

Het NCSC heeft bevestigd dat de kwetsbaarheid inmiddels is verholpen door de ontwikkelaars van de Linux kernel. Het tijdig uitbrengen van patches voor dergelijke kritieke kwetsbaarheden is van groot belang om de veiligheid en integriteit van Linux-gebaseerde systemen wereldwijd te waarborgen. Organisaties en individuele gebruikers die Linux systemen beheren, worden geadviseerd om hun kernels zo spoedig mogelijk bij te werken naar de gepatchte versies om het risico op exploitatie te minimaliseren en hun digitale infrastructuur te beschermen tegen potentiële aanvallen.

Bron: NCSC

Wireshark, de meest gebruikte open-source netwerkprotocolanalysator wereldwijd, heeft een belangrijke beveiligingsupdate uitgebracht. Deze update pakt meer dan 40 kwetsbaarheden aan, waarvan meerdere willekeurige code-uitvoering mogelijk maken. Aanvallers kunnen hiervan misbruik maken via de injectie van malafide pakketten of door middel van kwaadaardige opnamebestanden.

Organisaties en individuen die Wireshark inzetten voor netwerkmonitoring, forensisch onderzoek en verkeersanalyse, worden dringend geadviseerd om onmiddellijk te updaten naar Wireshark versie 4.6.5. Deze kritieke kwetsbaarheden vormen een aanzienlijk risico, aangezien ze een aanvaller in staat stellen om ongemerkt schadelijke code uit te voeren op systemen die de software gebruiken. Het risico ligt in het verwerken van specifiek geprepareerde netwerkpakketten of opnamebestanden, die de kwetsbaarheden in de software activeren en zo de controle over het systeem overnemen.

De omvang van de ontdekte problemen, met meer dan 40 afzonderlijke kwetsbaarheden, onderstreept het belang van proactieve beveiligingsmaatregelen. Het updaten van de software is essentieel om potentiële inbreuken en het misbruik van deze beveiligingslekken te voorkomen.

Bron: Wireshark

Meer dan 44.000 installaties van cPanel en WebHost Manager (WHM) zijn hoogstwaarschijnlijk gecompromitteerd als gevolg van een recent ontdekte kritieke kwetsbaarheid. Dit is gemeld door The Shadowserver Foundation, een stichting die zich richt op de bestrijding van cybercrime. De kwetsbaarheid, aangeduid als CVE-2026-41940, betreft een authenticatie bypass die ongeauthenticeerde aanvallers in staat stelt op afstand toegang te verkrijgen tot het controlepaneel en code uit te voeren.

Zowel het Australische Cyber Security Centre (ACSC) als het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) hebben bevestigd dat aanvallers actief misbruik maken van dit beveiligingslek. De ACSC heeft specifiek gemeld dat de kwetsbaarheid in Australië wordt uitgebuit.

The Shadowserver Foundation, bekend van haar onderzoek naar kwetsbare systemen op het internet, heeft via haar honeypots waargenomen dat ten minste 44.000 IP-adressen van cPanel-installaties deze honeypots hebben gescand. Wereldwijd zijn er naar schatting 650.000 cPanel-installaties direct vanaf het internet toegankelijk. Van dit aantal bevinden zich bijna dertienduizend in Nederland. Het exacte aantal gecompromitteerde Nederlandse installaties is op dit moment onbekend.

Hoewel updates voor CVE-2026-41940 al sinds 28 april beschikbaar zijn, suggereren sommige meldingen dat het misbruik van de kwetsbaarheid al op 23 februari is begonnen. Systeembeheerders en hostingbedrijven die gebruikmaken van WHM en cPanel worden dringend geadviseerd de beschikbare updates en patches onmiddellijk toe te passen om hun systemen te beveiligen tegen verdere exploitatie.

Bron: cPanel | Bron 2: cisa.gov | Bron 3: cyber.gov.au

Op 01 mei 2026 heeft CISA (Cybersecurity and Infrastructure Security Agency) een nieuwe kwetsbaarheid toegevoegd aan haar Known Exploited Vulnerabilities (KEV) Catalogus. De toevoeging, geïdentificeerd als CVE-2026-31431, betreft een "Linux Kernel Incorrect Resource Transfer Between Spheres Vulnerability". Deze stap is genomen op basis van concreet bewijs van actieve exploitatie van dit beveiligingslek.

Volgens CISA vertegenwoordigen kwetsbaarheden van dit type een veelvoorkomende aanvalsvector voor kwaadwillende cyberactoren en brengen ze aanzienlijke risico's met zich mee voor digitale infrastructuren. De KEV Catalogus is opgericht als een dynamische lijst van bekende Common Vulnerabilities and Exposures (CVE's) die een significant risico vormen. Dit initiatief vloeit voort uit Binding Operational Directive (BOD) 22-01, getiteld "Reducing the Significant Risk of Known Exploited Vulnerabilities".

BOD 22-01 verplicht Federal Civilian Executive Branch (FCEB) instanties in de Verenigde Staten om geïdentificeerde kwetsbaarheden vóór een vastgestelde deadline te remediëren. Het doel hiervan is om FCEB-netwerken effectief te beschermen tegen actieve dreigingen. Hoewel deze richtlijn specifiek van toepassing is op Amerikaanse federale civiele instanties, benadrukt CISA met klem dat alle organisaties wereldwijd hun blootstelling aan cyberaanvallen moeten verminderen. Dit kan door prioriteit te geven aan de tijdige remediëring van kwetsbaarheden die zijn opgenomen in de KEV Catalogus, als een essentieel onderdeel van hun kwetsbaarhedenbeheerpraktijk.

De "Linux Kernel Incorrect Resource Transfer Between Spheres Vulnerability" (CVE-2026-31431) duidt op een fout in de Linux kernel waarbij middelen, zoals geheugen of bestandsdescriptors, onjuist worden overgedragen tussen verschillende beveiligingsdomeinen of "spheres". Dit kan leiden tot privilege-escalatie, informatielekken of denial-of-service, afhankelijk van de specifieke implementatie en de manier waarop de exploit wordt uitgevoerd. Gezien de wijdverspreide adoptie van Linux in diverse systemen, van servers tot embedded apparaten, is de actieve exploitatie van een dergelijke kwetsbaarheid een belangrijke zorg voor een breed scala aan organisaties.

CISA heeft aangegeven de KEV Catalogus voortdurend aan te vullen met kwetsbaarheden die voldoen aan de gestelde criteria voor actieve exploitatie en significant risico. Organisaties wordt geadviseerd om de KEV Catalogus regelmatig te raadplegen en hun systemen proactief te patchen om zich te weren tegen bekende en actief misbruikte kwetsbaarheden. Het niet tijdig aanpakken van dergelijke kwetsbaarheden kan leiden tot ernstige beveiligingsincidenten en operationele verstoringen.

Bron: CISA | Bron 2: cve.org

Microsoft heeft de optionele cumulatieve update KB5083631 voor Windows 11 uitgebracht. Deze preview-update bevat 34 wijzigingen en verbeteringen, waaronder een nieuwe Xbox-modus voor Windows-pc's, verbeterde beveiliging en prestaties voor batchbestanden, en prestatieverbeteringen voor het opstarten van applicaties. In tegenstelling tot reguliere cumulatieve updates, bevatten maandelijkse optionele updates geen beveiligingsfixes, maar richten ze zich op kwaliteitsverbeteringen en bugfixes. Deze update biedt beheerders de mogelijkheid om deze wijzigingen te testen voordat ze algemeen beschikbaar komen tijdens de Patch Tuesday-release van volgende maand.

De update van april 2026 verbetert de prestaties van applicaties die zijn vermeld onder 'Instellingen > Apps > Opstarten' bij het opstarten van het apparaat. Daarnaast introduceert Microsoft een nieuwe Xbox-modus voor Windows 11-pc's, zoals laptops, desktops en tablets. Deze modus biedt een fullscreen-interface die games centraal stelt en afleidingen op de achtergrond minimaliseert. Gebruikers kunnen de Xbox-modus activeren via de Xbox app, de Game Bar-instellingen, of met de toetsencombinatie Windows-logo + F11.

Een belangrijke beveiligingsverbetering in deze preview-update is de verbeterde beveiliging en prestaties voor batchbestanden en CMD-scripts. Deze wijziging werd eerder in februari uitgerold naar Windows 11 Insiders in de Beta en Dev-kanalen. Microsoft heeft hierover uitgelegd dat beheerders nu een veiligere verwerkingsmodus voor batchbestanden kunnen inschakelen, wat voorkomt dat deze bestanden tijdens de uitvoering worden gewijzigd.

Na installatie zal deze optionele niet-beveiligingsupdate Windows 11 24H2 en 25H2-apparaten respectievelijk bijwerken naar builds 26100.8328 en 26200.8328. Gebruikers kunnen KB5083631 installeren via 'Windows Instellingen', door te klikken op 'Windows Update' en vervolgens op 'Controleren op updates'. Aangezien het een optionele update betreft, is het noodzakelijk om op de link 'Downloaden en installeren' te klikken, tenzij men de update handmatig installeert via de Microsoft Update Catalogus.

De update omvat ook diverse andere wijzigingen. Zo is haptische feedback nu beschikbaar op ondersteunde invoerapparaten bij bepaalde acties, zoals het uitlijnen van objecten in PowerPoint of het aanpassen van vensters. Deze feedback kan worden beheerd via 'Instellingen > Bluetooth & apparaten > Muis, Touchpad of Pen > Haptische signalen'. Wat betreft Secure Boot, omvatten Windows-kwaliteitsupdates nu aanvullende, betrouwbare apparaat-targetinggegevens, wat de dekking van apparaten vergroot die automatisch nieuwe Secure Boot-certificaten kunnen ontvangen. Deze certificaten worden gefaseerd uitgerold, waarbij apparaten ze pas ontvangen na voldoende succesvolle updatesignalen. Dit is relevant omdat de originele Secure Boot-certificaten uit 2011 in juni 2026 zullen verlopen. Microsoft kondigde deze plannen in januari al aan, na een waarschuwing aan beheerders in november om de beveiligingscertificaten tijdig bij te werken.

Verdere verbeteringen omvatten een betere Kerberos-authenticatie voor Remote Desktop-sessies die gebruikmaken van Remote Credential Guard, waarbij de fout 0xc000009a wordt opgelost. Daarnaast verbetert de update de gebeurtenislogboekregistratie met betrekking tot CVE-2024-30098 door de naam van de getroffen applicatie op te nemen. Dit maakt het eenvoudiger om applicaties te identificeren die afhankelijk zijn van smartcardcertificaten en mogelijk updates nodig hebben na recente beveiligingswijzigingen. De update verhelpt ook een witte flits die kon verschijnen bij het openen van 'Deze pc' of bij het wijzigen van het detailvenster in de donkere modus, en verbetert de betrouwbaarheid van relevante explorer.exe-processen, zodat deze stoppen na het sluiten van File Explorer-vensters. Tot slot heeft Microsoft opgemerkt dat sommige Windows Server 2025-apparaten met een "niet-aanbevolen BitLocker Groepsbeleid-configuratie" na de update in BitLocker-herstelmodus kunnen opstarten, waarbij gebruikers de BitLocker-herstelsleutel moeten invoeren bij de eerste herstart.

Bron: Microsoft

De ontwikkelaars van Tails, een privacy gericht besturingssysteem, hebben een noodpatch uitgebracht naar aanleiding van meerdere kwetsbaarheden in de Tor Browser. Tails, voluit "The Amnesic Incognito Live System", is een op Linux gebaseerd systeem dat specifiek is ontworpen om de privacy en anonimiteit van gebruikers te waarborgen. Het OS kan direct vanaf een USB-stick of dvd worden opgestart.

Tails maakt gebruik van het netwerk van Tor om het IP-adres van de gebruiker af te schermen en integreert diverse applicaties die gericht zijn op privacybescherming. De standaard browser binnen Tails is Tor Browser, die op zijn beurt gebaseerd is op Firefox. Eerder deze week verscheen Firefox ESR 140.10.1, waarin diverse beveiligingslekken zijn verholpen. Onder deze verholpen kwetsbaarheden bevindt zich een kritiek beveiligingslek, aangeduid als CVE-2026-7322.

Deze specifieke kwetsbaarheid zou potentieel de uitvoering van willekeurige code op het systeem van gebruikers mogelijk maken. Een aanval via dit lek vereist geen verdere actie van de gebruiker; het volstaat om een gehackte of malafide website te bezoeken, of blootgesteld te worden aan besmette advertenties. Na de update van Firefox ESR heeft ook Tor Browser een nieuwe versie uitgebracht, die nu is geïntegreerd in de noodpatch voor Tails. De ontwikkelaars van Tails hebben aangegeven dat zij niet bekend zijn met actief misbruik van deze beveiligingslekken in Tor Browser. Gebruikers van Tails worden met klem geadviseerd om zo spoedig mogelijk te updaten naar versie 7.7.1 om hun systemen te beveiligen tegen de geïdentificeerde risico's.

Bron: Tails | Bron 2: mozilla.org | Bron 3: blog.torproject.org

Een kritieke kwetsbaarheid in cPanel en WHM, aangeduid als CVE-2026-41940, wordt sinds eind april 2026 op grote schaal misbruikt door cybercriminelen. Het lek heeft een CVSS score van 9.8 en betreft een het omzeilen van authenticatie via CRLF injectie in het inlogproces, waardoor aanvallers zich zonder geldige inloggegevens kunnen voordoen als root beheerder.

cPanel bracht op 28 april 2026 een patch uit voor de kwetsbaarheid, maar uit telemetrie van security onderzoekers blijkt dat het lek al sinds eind februari 2026 actief werd misbruikt als zero day. Een dag na de patch publiceerde onderzoeksbureau watchTowr een technische analyse en een werkende proof of concept, waarna de exploitatie verder explodeerde.

De impact van deze kwetsbaarheid is direct zichtbaar in de toename van gecompromitteerde systemen. Terwijl het aantal als kwaadaardig gemarkeerde hosts in de dagen vóór 1 mei relatief laag was (variërend van 47 tot 146), explodeerde dit aantal op 1 mei. Op die dag steeg het totale aantal kwaadaardige hosts met 19.131, waarvan maar liefst 15.302 (ongeveer 80 procent) cPanel/WHM systemen waren. Dit staat in schril contrast met eerdere dagen, waarin cPanel systemen minder dan 1,2 procent van de dagelijkse wijzigingen uitmaakten, wat duidt op een gecoördineerde en massale aanval.

Het aanvalsoppervlak is aanzienlijk, met meer dan een miljoen cPanel/WHM hosts wereldwijd die publiekelijk toegankelijk zijn via het internet. Op dit moment zijn 'slechts' 9.595 van deze hosts als kwaadaardig gemarkeerd, wat aangeeft dat het potentiële aantal slachtoffers nog enorm kan groeien. Onder de zwaarst getroffen hostingproviders bevinden zich DigitalOcean (1.043), Contabo (716), OVH (501), Vultr (391), Oracle (321), Unified Layer (280), Hetzner (277), Akamai en Linode (275), GoDaddy (209) en Microsoft (169).

Er zijn momenteel minstens twee parallelle campagnes actief die misbruik maken van de kwetsbaarheid. Eén campagne omvat de inzet van een Mirai botnet variant, specifiek de "nuclear.x86" variant, die na de compromittering van een systeem wordt gebruikt om verdere aanvallen uit te voeren. De tweede campagne betreft een ransomware aanval die is gekoppeld aan de Sorry of Hidden-Tear familie. Ongeveer 7.000 cPanel servers zijn reeds getroffen door deze ransomware, waarbij bestanden zijn versleuteld met de extensie ".sorry". Specifieke voorbeelden van versleutelde bestanden zijn index.html.sorry (6.465 hosts), index.php.sorry (1.637 hosts) en wp-config.php.sorry (795 hosts). Slachtoffers worden via het qTox communicatieplatform naar de aanvallers geleid.

Op 30 april 2026 verscheen op GitHub een publieke proof of concept exploit tool genaamd cPanelSniper, geschreven door security onderzoeker Mitsec onder de gebruikersnaam ynsmroztas. Deze 4 fase aanvalsketen automatiseert preauth sessie aanmaken, CRLF injectie via Authorization header, escalatie via interne gadgets en verificatie van root toegang via de WHM API. De publicatie verlaagt de drempel voor minder vaardige aanvallers aanzienlijk. Volgens onafhankelijke security publicaties zoals gbhackers en cyberpress zijn op honeypots ongeveer 44.000 servers gedetecteerd als gecompromitteerd kort na de release.

Organisaties en individuen die cPanel en WHM gebruiken, wordt dringend geadviseerd om onmiddellijk de beschikbare patch (versie 11.136.0.5 of hoger) te installeren om hun systemen te beveiligen tegen verdere exploitatie.

Bron: Censys

Op 1 mei 2026 heeft CISA de kwetsbaarheid CVE-2026-31431, beter bekend als "Copy Fail", toegevoegd aan zijn catalogus met Bekende Misbruikte Kwetsbaarheden (KEV). Federale civiele instanties in de Verenigde Staten hebben tot 15 mei de tijd om deze kwetsbaarheid te patchen, conform de richtlijn BOD 22-01. Deze deadline wordt door experts beschouwd als een sterke indicatie voor alle organisaties om eveneens snel actie te ondernemen.

"Copy Fail" is een lokale privilege-escalatie kwetsbaarheid in de algif_aead cryptografische module van de Linux kernel, de userspace crypto API die wordt blootgesteld via AF_ALG. De kwetsbaarheid heeft een CVSS-score van 7.8 en bestaat al sinds 2017. Vrijwel elke gangbare Linux distributie wordt getroffen, waaronder Ubuntu 24.04 LTS, Amazon Linux 2023, RHEL 10.1 en SUSE 16.

Het werkingsmechanisme van de kwetsbaarheid is opvallend elegant. Door AF_ALG-sockets te koppelen aan de splice() systeemoproep en een gebrekkig foutpad, kan een gebruiker zonder bevoegdheden een gecontroleerde overschrijving van 4 bytes in de kernel page cache realiseren. Dit is voldoende om een setuid-binair bestand te corrumperen en zo volledige root-toegang (UID 0) te verkrijgen.

Theori, het bedrijf dat de kwetsbaarheid op 29 april bekendmaakte, heeft een 732-byte Python proof of concept (PoC) gepubliceerd, dat zij als "100% betrouwbaar" beschrijven voor de belangrijkste distributies. Go en Rust poorten van deze PoC zijn reeds verschenen in openbare repositories. Microsoft Defender rapporteert bovendien voorlopige testactiviteit van deze kwetsbaarheid in het wild.

Container operators dienen extra waakzaam te zijn. Voor de exploitatie zijn geen kernel modules, speciale mogelijkheden of netwerktoegang vereist, wat het een schone stap maakt voor post-exploitatie binnen Kubernetes pods, Docker CI runners en gedeelde multi-tenant hosts. Een aanvankelijk beperkte toegang kan hierdoor leiden tot een root shell.

Patches zijn beschikbaar in kernelversies 6.18.22, 6.19.12 en 7.0. Organisaties worden geadviseerd om een inventarisatie te maken van alle kernelversies op hosts, containers, golden images en zelfbeheerde cloud virtuele machines. Na het patchen is het cruciaal om opnieuw op te starten en de correcte wijziging van de kernelversie te verifiëren. Waar het patchen vertraagd is, kan de uitvoering van lokale code worden beperkt door container runtime policies aan te scherpen, te controleren wie taken op CI runners kan plaatsen en SSH-toegang te herzien. Het verversen van basisimages zorgt ervoor dat nieuwe, automatisch geschaalde nodes niet kwetsbaar zijn. CISA's KEV-catalogus fungeert als een triagesignaal; wanneer een dergelijk eenvoudig te exploiteren kwetsbaarheid met een publieke PoC op de lijst verschijnt, is het raadzaam de gestelde deadline als de eigen deadline te beschouwen.

Bron: CISA

Softwareontwikkelaar Progress heeft een waarschuwing afgegeven voor een kritiek beveiligingslek in zijn product MOVEit Automation. Dit lek stelt een aanvaller in staat om de authenticatie te omzeilen en onbevoegd toegang te verkrijgen tot het systeem. MOVEit Automation is een veelgebruikte oplossing binnen organisaties en bedrijven voor het geautomatiseerd en periodiek uitwisselen van bestanden tussen interne systemen, externe partners en cloudplatforms.

De kwetsbaarheid, geïdentificeerd als CVE-2026-4670, maakt het mogelijk voor aanvallers om de authenticatie te omzeilen en zo toegang tot het systeem te verkrijgen. Hoewel specifieke technische details over het lek niet zijn vrijgegeven, benadrukt Progress dat succesvol misbruik kan leiden tot ongeautoriseerde toegang, volledige admincontrole over het systeem en datalekken. Als reactie hierop roept de softwareontwikkelaar alle organisaties die MOVEit Automation gebruiken op om de direct beschikbaar gestelde updates te installeren om zich te beschermen tegen mogelijke aanvallen.

Dit incident volgt op een eerdere grootschalige aanval die drie jaar geleden plaatsvond via een ander product van Progress, namelijk MOVEit Transfer. Een beveiligingslek in MOVEit Transfer, bedoeld voor bestandsopslag en aangeduid als CVE-2023-34362, werd destijds misbruikt voor een wereldwijde ransomware aanval. Volgens cybersecuritybedrijf Emsisoft werden via dit lek de MOVEit-servers van ruim 2700 organisaties gehackt, waarbij gegevens van ongeveer 96 miljoen mensen werden gestolen. Onder de getroffen entiteiten bevonden zich destijds bekende namen zoals TomTom, TenneT, Shell, Siemens Energy, British Airways, Sony en CCleaner. De huidige waarschuwing voor MOVEit Automation onderstreept het belang van proactief patchen van dergelijke kritieke systemen.

Bron: Progress

Criminelen maken misbruik van een kritiek beveiligingslek in cPanel en WebHost Manager (WHM) om Linux-ransomware en malware voor Mirai te verspreiden. Beveiligingsbedrijf Censys meldt dat bij de aanvallen zeker zevenduizend servers zijn getroffen. WHM is een Linux-gebaseerde interface die hostingproviders gebruiken om servers en cPanel-accounts te beheren. cPanel, eveneens Linux-gebaseerd, is een interface voor individuele hosting-accounts en wordt veel gebruikt door hostingbedrijven en systeembeheerders.

Het kwetsbare punt in WHM en cPanel, aangeduid als CVE-2026-41940, betreft een authenticatie bypass. Dit lek stelt ongeauthenticeerde aanvallers in staat om op afstand toegang te krijgen tot het controlepaneel en code uit te voeren. Hoewel updates voor CVE-2026-41940 sinds 28 april beschikbaar zijn, wordt door sommige partijen gemeld dat misbruik al sinds 23 februari plaatsvindt.

Een groep aanvallers maakt nu gebruik van dit beveiligingslek om bestanden op de onderliggende Linux server te versleutelen. Censys heeft meer dan 7100 servers geïdentificeerd die cPanel of WHM draaien en waarvan de bestanden zijn versleuteld en voorzien van een '.sorry' extensie. De onderzoekers baseerden hun bevindingen op servers met open directories. Op de getroffen systemen laten de aanvallers een boodschap achter met instructies voor het ontsleutelen van de bestanden. Bleeping Computer heeft bevestigd dat de Sorry-ransomware specifiek is ontworpen voor Linux systemen.

Naast de Linux-ransomware heeft Censys vastgesteld dat het lek in cPanel ook wordt ingezet voor de verspreiding van een Mirai-variant. Mirai is malware die oorspronkelijk werd ontwikkeld voor Internet of Things-apparaten, maar waarvan sindsdien tal van varianten zijn verschenen die op diverse systemen werken. De nu waargenomen Mirai-variant gebruikt de gehackte servers voor het uitvoeren van DDoS aanvallen. Bijna tienduizend servers zouden reeds met deze malware zijn besmet. Censys benadrukt dat de situatie nog in ontwikkeling is, waardoor de volledige omvang momenteel onduidelijk blijft. Vorige week meldde The Shadowserver Foundation dat zeker 44.000 cPanel-installaties zijn gehackt.

Bron: on-it.net

Tijdens het Wiz ZeroDay.Cloud hackevenement in Londen, dat plaatsvond in december 2025, hebben cybersecurityonderzoekers twee kritieke kwetsbaarheden in PostgreSQL en één in MariaDB blootgelegd. Details over deze lekken, die deels al twintig jaar onopgemerkt bleven, werden pas op 4 mei 2026 openbaar gemaakt. PostgreSQL is een veelgebruikte database die de ruggengraat vormt van talloze zakelijke applicaties wereldwijd, inclusief in Nederland en België.

Het ZeroDay.Cloud evenement, georganiseerd door het Google-bedrijf Wiz, is een competitie gericht op het opsporen van zero-day kwetsbaarheden in wijdverspreide open source software, waaronder systemen zoals PostgreSQL, Redis, Kubernetes en de Linux kernel. De eerste live competitie vond plaats op 10 en 11 december 2025 tijdens Black Hat Europe in Londen.

De kwetsbaarheden in PostgreSQL, aangeduid als CVE-2026-2005 en CVE-2026-2006, dateren van 2005 en bevonden zich in de pgcrypto-extensie, een standaard tool voor versleutelingstaken die doorgaans als veilig wordt beschouwd. Uit scans van Wiz bleek dat PostgreSQL in 80% van de door hen onderzochte cloudomgevingen aanwezig was, waarvan 45% direct toegankelijk was via het openbare internet. Deze configuratie maakt een databaselogin potentieel tot directe toegang voor aanvallers.

CVE-2026-2005 treft de functie `pgp_parse_pubenc_sesskey` tijdens de ontcijfering van publieke sleutels in pgcrypto. Aanvallers kunnen een speciaal geformuleerd PGP-bericht sturen dat de code misleidt, waardoor te veel bytes naar een buffer van vaste grootte worden gekopieerd en er een overloop in het heap geheugen ontstaat. Een gebruiker met basis `create`-privileges kan de extensie laden en een keten van lekken, schrijfacties en privilege escalaties uitvoeren om commando's als eigenaar van de database uit te voeren. Deze kwetsbaarheid werd geïdentificeerd door Team Xint Code.

CVE-2026-2006 betreft een vergelijkbaar lek in de symmetrische ontcijfering via `pgp_sym_decrypt`. Zonder adequate controles kunnen malafide UTF-8 tekens onopgemerkt door de stringhandlers van PostgreSQL, zoals `pg_mblen` en `pg_utf_mblen`, glippen. Dit leidt tot out-of-bounds lees of schrijfbewerkingen, wat aanvallers kunnen misbruiken om geheugen te corrumperen en controle over de uitvoering te verkrijgen, inclusief het kapen van instellingen zoals `search_path` om systeemoproepen te activeren. Team Bugz Bunnies ontdekte dit lek.

Daarnaast heeft Team Xint Code een derde kwetsbaarheid in MariaDB ontdekt, CVE-2026-32710. Dit is een heap buffer overflow in de `JSON_SCHEMA_VALID`-functie, die een ingelogde gebruiker met één SQL query kan misbruiken om potentieel code uit te voeren of de server te laten crashen.

PostgreSQL heeft beide kwetsbaarheden gepatcht in zijn hoofdversies, van 14.21 tot en met 18.2, met commits begin februari en releases rond de 12e van die maand. MariaDB heeft de kwetsbaarheid verholpen in versies 11.4.10 en 11.8.6 op 4 februari 2026. Databasebeheerders wordt geadviseerd om deze updates onmiddellijk toe te passen, de creatie van extensies te beperken en logs te controleren op verdachte `pgp`- of `JSON`-activiteit.

Bron: Wiz | Bron 2: nvd.nist.gov | Bron 3: zeroday.cloud

Hackers hebben sinds medio maart actief misbruik gemaakt van een kritieke kwetsbaarheid (CVE-2026-22679) in het kantoorautomatiseringsplatform Weaver E-cology. De aanvallen begonnen vijf dagen nadat de softwareleverancier een beveiligingsupdate had uitgebracht om het probleem aan te pakken, en twee weken voordat de kwetsbaarheid publiekelijk werd bekendgemaakt.

Onderzoekers van dreigingsinformatiebedrijf Vega hebben de kwaadaardige activiteit gedocumenteerd en gemeld dat de aanvallen ongeveer een week duurden, elk met verschillende onderscheidende fasen. Weaver E-cology is een enterprise kantoorautomatisering (OA) en samenwerkingsplatform dat wordt gebruikt voor workflows, documentbeheer, HR en interne bedrijfsprocessen. Het product wordt voornamelijk gebruikt door Chinese organisaties.

CVE-2026-22679 is een kritieke, ongeauthenticeerde kwetsbaarheid voor uitvoering van code op afstand (RCE) die van invloed is op Weaver E-cology 10.0-builds van vóór 12 maart. De kwetsbaarheid wordt veroorzaakt door een blootgesteld debug API-eindpunt dat onjuist toestaat dat parameters van de gebruiker de backend RPC-functionaliteit bereiken zonder authenticatie of invoervalidatie. Dit stelt aanvallers in staat om bewerkte waarden door te geven die uiteindelijk worden uitgevoerd als systeemcommando's op de server, waardoor het eindpunt effectief verandert in een interface voor uitvoering van commando's op afstand.

Volgens Vega controleerden de aanvallers eerst de RCE-mogelijkheden door ping-commando's te activeren vanuit het Java-proces naar een Goby-gekoppelde callback, en gingen vervolgens over tot meerdere payload-downloads via PowerShell. Deze werden echter allemaal geblokkeerd door endpoint-verdedigingen. Vervolgens probeerden ze een MSI-installatieprogramma (fanwei0324.msi) te implementeren dat gericht was op het doelwit, maar dit faalde om correct uit te voeren, en er werd geen vervolgactiviteit waargenomen.

Na deze mislukte pogingen keerden de aanvallers terug naar het RCE-eindpunt, waarbij ze geobfusceerde en bestandsloze PowerShell gebruikten om herhaaldelijk scripts op afstand op te halen. Gedurende alle aanvalsfasen voerden de dreigingsactoren verkenningscommando's uit, zoals `whoami`, `ipconfig` en `tasklist`.

Vega legt uit dat hoewel de aanvallers de RCE-mogelijkheid hadden door misbruik te maken van CVE-2026-22679, ze nooit een persistente sessie op de doelhost hebben gevestigd. Gebruikers van Weaver E-cology 10.0 wordt aanbevolen de beveiligingsupdates die beschikbaar zijn via de website van de leverancier zo snel mogelijk toe te passen. Vega voegde toe dat "elk aanvallerproces dat we observeerden, als ouder `java.exe` (de Tomcat-gebundelde Java Virtual Machine van Weaver) had, zonder voorafgaande authenticatie." De leverancierspatch (build 20260312) verwijdert het debug-eindpunt volledig. Er worden geen alternatieve mitigaties of tijdelijke oplossingen vermeld in het officiële bulletin, dus upgraden is de enige aanbeveling.

Bron: Vega | Bron 2: ti.qianxin.com | Bron 3: weaver.com.cn

De Apache Software Foundation (ASF) heeft beveiligingsupdates uitgebracht om diverse kwetsbaarheden in de HTTP Server aan te pakken, waaronder een ernstige kwestie die potentieel kan leiden tot remote code execution (RCE). Deze kwetsbaarheid, aangeduid als CVE-2026-23918 en met een CVSS-score van 8.8, wordt beschreven als een geval van "dubbele vrijgave en mogelijke RCE" in de verwerking van het HTTP/2-protocol. Het probleem treft Apache HTTP Server 2.4.66 en is verholpen in versie 2.4.67.

Bartlomiej Dmitruk, medeoprichter van Striga.ai, en Stanislaw Strzalkowski, onderzoeker bij ISEC.pl, worden genoemd als de ontdekkers en melders van de kwetsbaarheid. Dmitruk benadrukte dat de ernst van CVE-2026-23918 kritiek is, aangezien deze kan worden misbruikt voor denial-of-service (DoS) en RCE aanvallen.

De kwetsbaarheid is een dubbele vrijgavefout in de mod_http2-module van Apache httpd 2.4.66, specifiek in het stream-opschoonpad van h2_mplx.c. De fout treedt op wanneer een client een HTTP/2 HEADERS-frame verstuurt, onmiddellijk gevolgd door een RST_STREAM met een niet-nul foutcode op dezelfde stream, nog voordat de multiplexer de stream heeft geregistreerd. Hierdoor worden twee nghttp2-callbacks achtereenvolgens geactiveerd, on_frame_recv_cb voor de RST en on_stream_close_cb voor het sluiten. Beide callbacks roepen uiteindelijk h2_mplx_c1_client_rst aan, wat m_stream_cleanup activeert. Dit proces zorgt ervoor dat dezelfde h2_stream-pointer tweemaal aan de spurge-opschoonarray wordt toegevoegd. Wanneer c1_purge_streams later de spurge-array doorloopt en h2_stream_destroy aanroept, gevolgd door apr_pool_destroy op elke vermelding, raakt de tweede aanroep geheugen dat al eerder is vrijgegeven.

Dmitruk voegde toe dat de DoS-aanval triviaal is en werkt op elke standaardimplementatie met mod_http2 en een multi-threaded MPM. Deze aanval vereist slechts één TCP-verbinding en twee frames, zonder authenticatie, speciale headers of een specifieke URL, en veroorzaakt een crash van de worker. Hoewel Apache de worker opnieuw start, worden alle verzoeken op de gecrashte worker geweigerd. Dit patroon kan worden gehandhaafd zolang de aanvaller blijft versturen.

Het pad naar RCE vereist een Apache Portable Runtime (APR) met de mmap-allocator, die standaard is op systemen die afgeleid zijn van Debian en in de officiële httpd Docker-image. De onderzoekers hebben een werkende proof-of-concept gebouwd op de x86_64-architectuur. De aanvalsketen plaatst een nep h2_stream-structuur op het vrijgegeven virtuele adres via hergebruik van mmap, wijst de opschoonfunctie van de pool naar system(), en gebruikt het scoreboard-geheugen van Apache als een stabiele container voor de nepstructuren en de commandostring. Het scoreboard bevindt zich op een vast adres gedurende de levensduur van de server, zelfs met ASLR, wat het RCE-pad praktisch maakt. Hoewel praktische exploitatie een informatielek vereist voor system() en de scoreboard-offsets, en de heap-spray probabilistisch is, kon in laboratoriumomstandigheden binnen enkele minuten code worden uitgevoerd.

De MPM prefork-module wordt niet getroffen door deze kwetsbaarheid. Desondanks waarschuwde de onderzoeker dat het aanvalsoppervlak aanzienlijk is, aangezien mod_http2 standaard wordt meegeleverd in de meeste builds en HTTP/2 wijdverspreid is ingeschakeld in productieomgevingen. Gezien de ernst van de kwetsbaarheid wordt gebruikers ge geadviseerd de nieuwste fixes toe te passen voor optimale bescherming.

Bron: Apache Software Foundation | Bron 2: httpd.apache.org

WhatsApp heeft recent twee belangrijke beveiligingslekken verholpen die door externe onderzoekers zijn ontdekt en gemeld. Het betreft een spoofingprobleem in WhatsApp voor Windows en een kwetsbaarheid in WhatsApp voor Android en iOS die potentieel misbruikt kon worden om ongeautoriseerde mediacontent te laden.

De eerste kwetsbaarheid, aangeduid met CVE-2026-23863, betrof een spoofingprobleem bij de verwerking van bijlagen die via WhatsApp voor Windows werden verstuurd. Dit lek maakte het mogelijk voor kwaadwillenden om uitvoerbare bestanden te vermommen als een ander, onschuldig bestandstype. Hierdoor konden gebruikers misleid worden om te denken dat zij een veilig document of afbeelding openden, terwijl in werkelijkheid een kwaadaardig uitvoerbaar bestand werd gestart. Hoewel de kwetsbaarheid aanzienlijke risico's met zich meebracht, heeft WhatsApp aangegeven niet bekend te zijn met daadwerkelijk misbruik. Gebruikers van WhatsApp voor Windows wordt geadviseerd om te updaten naar versie v2.3000.1032164386.258709 of nieuwer om dit risico te mitigeren.

Het tweede probleem, geïdentificeerd als CVE-2026-23866, was aanwezig in WhatsApp voor zowel Android als iOS. Deze kwetsbaarheid stelde een gebruiker in staat om mediacontent vanaf een willekeurige URL te laten verwerken op de telefoon van een andere gebruiker. Het lek was specifiek gelokaliseerd in de validatie van zogenaamde 'AI rich response messages'. Ook voor dit probleem geldt dat WhatsApp geen gevallen van misbruik heeft vastgesteld. Om de kwetsbaarheid te dichten, dienen gebruikers van iOS te updaten naar versie v2.26.15.72 of nieuwer, en Android-gebruikers naar versie v2.26.7.10 of nieuwer.

De updates benadrukken het belang van het regelmatig installeren van de nieuwste versies van applicaties om beschermd te blijven tegen potentiële cyberdreigingen.

Bron: WhatsApp

Palo Alto Networks heeft CVE-2026-0300 bekendgemaakt, een bufferoverloopkwetsbaarheid in PAN-OS met een CVSS score van 9,3 die actief wordt misbruikt. Niet geauthenticeerde aanvallers kunnen via de authenticatieportal van PA-Series en VM-Series firewalls rootaccess verkrijgen door speciaal vervaardigde pakketten te sturen.

De kwetsbaarheid betreft een schrijving buiten de grenzen van het geheugen in de authenticatieportal voor User ID, onderdeel van de Captive Portal dienst. Alleen firewalls waarop deze portal is ingeschakeld en bereikbaar is via een niet vertrouwd netwerk of het internet lopen risico. Prisma Access, Cloud NGFW en Panorama zijn niet getroffen.

Getroffen versies omvatten PAN-OS 10.2, 11.1, 11.2 en 12.1 in verschillende subversies. Palo Alto Networks brengt patches uit tussen 13 en 28 mei 2026. Als tijdelijke maatregel dient de authenticatieportal beperkt te worden tot vertrouwde interne IP adressen of volledig te worden uitgeschakeld indien niet noodzakelijk. Een Threat Prevention handtekening voor PAN-OS 11.1 en hoger is beschikbaar gesteld op 5 mei 2026.

Bron: Cybercrimeinfo

Een kritieke kwetsbaarheid (CVE-2026-26956) in de populaire Node.js sandboxing bibliotheek vm2 stelt aanvallers in staat om de sandbox te omzeilen en willekeurige code uit te voeren op het host systeem. Deze beveiligingsprobleem is bevestigd in vm2 versie 3.10.4, hoewel eerdere releases mogelijk ook kwetsbaar zijn. Er is reeds proof-of-concept (PoC) exploitcode gepubliceerd.

Volgens het beveiligingsadvies van de onderhouder heeft het probleem alleen invloed op omgevingen die Node.js 25 gebruiken (bevestigd op Node.js 25.6.1) en waar WebAssembly exception handling en JSTag ondersteuning zijn ingeschakeld. vm2 is een open source Node.js bibliotheek die wordt gebruikt om onvertrouwde JavaScript code uit te voeren binnen een beperkte sandbox omgeving. Het wordt vaak ingezet door online programmeerplatforms, automatiseringstools en SaaS apps die door gebruikers geleverde scripts uitvoeren. De bibliotheek probeert gesandboxte code te isoleren van het host systeem en blokkeert toegang tot gevoelige Node.js API's zoals `process` en het bestandssysteem. vm2 wordt wijdverspreid gebruikt, met meer dan 1,3 miljoen wekelijkse downloads op npm (Node Package Manager), de standaard command line pakketbeheerder voor Node.js.

CVE-2026-26956 vloeit voort uit de foutieve afhandeling van uitzonderingen die oversteken tussen de sandboxed omgeving en de host. Het advies legt uit dat vm2 normaal gesproken vertrouwt op JavaScript niveau beschermingen die beveiligen tegen fouten aan de hostzijde en bridge Proxies die cross context objecten omwikkelen, beide volledig binnen JavaScript. WebAssembly exception handling kan echter JavaScript fouten op een lager niveau binnen Google's V8 engine onderscheppen, waardoor vm2's JavaScript gebaseerde beveiligingsmechanismen worden omzeild.

Door een speciaal geconstrueerde TypeError te activeren met behulp van Symbol naar string conversie, kunnen aanvallers een foutobject van de hostzijde terug laten lekken in de sandbox zonder dat het door vm2 wordt gesaneerd. Omdat het gelekte object afkomstig is van de host omgeving, kunnen aanvallers de constructor keten misbruiken om opnieuw toegang te krijgen tot Node.js interne mechanismen zoals het `process` object. Dit resulteert uiteindelijk in het uitvoeren van willekeurige opdrachten op het host systeem. Het beveiligingsadvies van de onderhouder bevat ook een PoC exploit die op afstand code-uitvoering op de host machine demonstreert.

Gebruikers van vm2 wordt geadviseerd zo spoedig mogelijk te upgraden naar versie 3.10.5 of later (de nieuwste is 3.11.2) om het risico van misbruik van CVE-2026-26956 te mitigeren. Eerder dit jaar werd vm2 al getroffen door een ander kritiek sandbox ontsnappingslek dat kon leiden tot willekeurige code-uitvoering op het onderliggende host systeem, getraceerd als CVE-2026-22709. Eerdere sandbox ontsnappingslekken die dezelfde bibliotheek troffen, zijn onder meer CVE-2023-30547, CVE-2023-29017 en CVE-2022-36067. Dit benadrukt de uitdaging om onvertrouwde code veilig te isoleren in JavaScript sandbox omgevingen.

Bron: patriksimek | Bron 2: github.com | Bron 3: hubs.li

De Apache Software Foundation heeft recentelijk een reeks kritieke kwetsbaarheden verholpen in de Apache HTTP Server. Deze beveiligingslekken, die diverse modules en functionaliteiten van de populaire webserver betreffen, hadden potentieel ernstige gevolgen voor de integriteit en beschikbaarheid van getroffen systemen. Gebruikers van Apache HTTP Server worden dringend geadviseerd om hun installaties zo snel mogelijk te updaten om blootstelling aan deze risico's te minimaliseren.

De meest alarmerende kwetsbaarheid die is aangepakt, betreft een 'double free' fout in de implementatie van HTTP/2. Een 'double free' is een type geheugencorruptie kwetsbaarheid die kan optreden wanneer een programma probeert hetzelfde stuk geheugen tweemaal vrij te geven. In dit specifieke geval had een aanvaller de mogelijkheid om willekeurige code uit te voeren op de server, zelfs voordat authenticatie plaatsvond. Dit betekent dat onbevoegde personen zonder geldige inloggegevens de controle over de server konden overnemen, wat een extreem hoog risico vormt.

Daarnaast is er een privilege-escalatie kwetsbaarheid ontdekt die lokale .htaccess auteurs konden misbruiken. Deze kwetsbaarheid stelde hen in staat om toegang te verkrijgen tot bestanden die normaal alleen toegankelijk zijn met de rechten van de httpd-gebruiker. Een privilege-escalatie stelt een aanvaller in staat om met hogere bevoegdheden te opereren dan oorspronkelijk bedoeld, waardoor de impact van een aanval aanzienlijk wordt vergroot.

Verder bevatte de mod_proxy_ajp module twee kritieke geheugenfouten, namelijk een 'heap-based buffer overflow' en een 'out-of-bounds read'. Een 'buffer overflow' treedt op wanneer een programma meer data naar een buffer schrijft dan deze kan bevatten, wat resulteert in geheugenbeschadiging. Een 'out-of-bounds read' stelt een aanvaller in staat om data buiten de toegewezen geheugenruimte te lezen. Beide kunnen leiden tot crashes, het lekken van gevoelige informatie, of zelfs de uitvoering van kwaadaardige code.

De mod_md module kampte met een probleem in de toewijzing van resources, wat de prestaties van de server negatief kon beïnvloeden en in extreme gevallen kon leiden tot een denial of service. Een 'NULL pointer dereference' in de mod_dav_lock module kon daarentegen directe crashes van de server veroorzaken, resulterend in een 'denial of service' voor legitieme gebruikers.

Voor de mod_auth_digest module is een 'timing attack' verholpen. Deze aanvalstechniek maakt gebruik van kleine verschillen in de reactietijd van een systeem om geheime informatie, zoals wachtwoorden, te raden. In dit geval kon een aanvaller de Digest authenticatie omzeilen, waardoor toegang tot beschermde bronnen mogelijk werd. Ook de mod_authn_socache module bevatte een 'NULL pointer dereference' die servercrashes kon veroorzaken, met name in configuraties die fungeren als 'caching forward proxy'.

Tot slot zijn er nog diverse andere kwetsbaarheden gepatcht, waaronder een 'HTTP response splitting' probleem dat de manipulatie van HTTP headers door een aanvaller mogelijk maakte. Dit kan leiden tot cache poisoning, cross-site scripting (XSS) en andere aanvallen. Ook een 'improper null termination' en een 'out-of-bounds read' in de kernfunctionaliteit van de server, evenals een 'buffer over-read', zijn verholpen. Deze laatste reeks kwetsbaarheden kon leiden tot informatielekken of algemene instabiliteit van de server. Het is cruciaal dat beheerders deze updates snel implementeren om de veiligheid van hun Apache HTTP Server omgevingen te waarborgen.

Bron: NCSC

Progress heeft recentelijk belangrijke kwetsbaarheden verholpen in zijn MOVEit Automation software, een veelgebruikt platform voor geautomatiseerde bestandsoverdracht. Deze kwetsbaarheden kunnen ernstige gevolgen hebben voor de veiligheid en integriteit van systemen die de software gebruiken. Organisaties die afhankelijk zijn van MOVEit Automation wordt met klem geadviseerd om zo snel mogelijk de benodigde updates uit te voeren.

De eerste kwetsbaarheid, aangeduid met kenmerk CVE-2026-4670, betreft een bypass van de authenticatieprocedure binnen MOVEit Automation. Dit betekent dat een kwaadwillende actor, zonder enige vorm van legitieme gebruikersrechten of inloggegevens, in staat is om de authenticatie te omzeilen. De ernst van deze kwetsbaarheid wordt verder onderstreept door het feit dat er geen gebruikersinteractie voor nodig is om deze te misbruiken. Een aanvaller kan hierdoor ongeautoriseerde toegang verkrijgen tot het systeem, wat de weg opent voor verdere kwaadwillende activiteiten, zoals het bekijken, wijzigen of verwijderen van gevoelige gegevens. Dit type kwetsbaarheid is bijzonder gevaarlijk omdat het een initiële toegangspoort kan bieden tot anderszins beschermde netwerken.

De tweede kwetsbaarheid, bekend onder het kenmerk CVE-2026-5174, bevindt zich in de invoervalidatie van Progress Software MOVEit Automation. Een onjuiste invoervalidatie maakt privilege-escalatie mogelijk. Dit houdt in dat een aanvaller, die mogelijk al beperkte toegang heeft tot het systeem, deze kwetsbaarheid kan misbruiken om hogere privileges te verkrijgen dan hem of haar zijn toegekend. Met verhoogde privileges kan een aanvaller bijvoorbeeld systeeminstellingen wijzigen, malware installeren of toegang krijgen tot kritieke bedrijfsmiddelen. Gecombineerd met een authenticatie-bypass kan dit leiden tot een volledige compromittering van het systeem.

Deze beveiligingslekken zijn aanwezig in specifieke versies van de software. Het betreft alle versies 2025.0.0 tot en met 2025.0.8, evenals alle versies 2024.0.0 tot en met 2024.1.7. Bovendien zijn alle versies die dateren van vóór 2024.0.0 eveneens kwetsbaar. Dit betekent dat een breed scala aan installaties van MOVEit Automation getroffen kan zijn. Het is van cruciaal belang dat beheerders van deze systemen hun softwareversies controleren en onmiddellijk patchen naar een niet-kwetsbare versie om potentiële aanvallen te voorkomen. Het negeren van deze waarschuwing kan leiden tot aanzienlijke operationele verstoringen, datalekken en financiële schade.

Bron: Progress

Op 06 mei 2026 is bekend geworden dat aanvallers actief misbruik maken van een kritieke kwetsbaarheid in de populaire WordPress-plug-in Breeze Cache. Deze plug-in, die ontworpen is om de prestaties van WordPress-sites te verbeteren door middel van caching en op meer dan 400.000 websites wereldwijd actief is, bevat een ernstig beveiligingslek dat kan leiden tot remote code execution (RCE). Hoewel een beveiligingsupdate al sinds 21 april beschikbaar is, hebben vele tienduizenden WordPress-sites deze nog niet geïnstalleerd, waardoor zij kwetsbaar blijven voor actieve aanvallen.

Securitybedrijf Wordfence heeft de kwetsbaarheid nader onderzocht en vastgesteld dat aanvallers in staat zijn om willekeurige bestanden naar de webserver te uploaden. Dit kan worden bereikt door het plaatsen van een reactie op een WordPress-site met een speciaal geprepareerde gebruikersnaam. De geüploade bestanden kunnen kwaadaardige scripts bevatten, zoals PHP-backdoors, die aanvallers volledige controle over de gecompromitteerde website kunnen geven. Het kwetsbare onderdeel van de plug-in is specifiek gerelateerd aan de functionaliteit 'Host Files Locally - Gravatars', alhoewel deze functie niet standaard is ingeschakeld in de plug-in.

De leverancier van de Breeze Cache-plug-in heeft op 21 april een beveiligingsupdate uitgebracht om dit probleem te verhelpen. Echter, de communicatie rondom deze update in de release notes is opvallend vaag. De omschrijving luidt slechts: "Enhanced Gravatar handling by enforcing official sources only, ensuring only valid images are cached." Deze formulering maakt de ernst van het onderliggende beveiligingsprobleem niet direct duidelijk voor gebruikers.

Wordfence maakte de kwetsbaarheid op 22 april publiek, en reeds op dezelfde dag constateerde het securitybedrijf al misbruik van het lek in actieve aanvallen. Dit duidt op een snelle adoptie van de exploit door cybercriminelen. Het exacte aantal websites dat reeds via dit lek is gecompromitteerd, is op dit moment onbekend. Desalniettemin tonen cijfers van Wordfence aan dat een aanzienlijk deel, namelijk vele tienduizenden WordPress-sites, nog steeds de cruciale update mist en daarmee een verhoogd risico loopt op een succesvolle cyberaanval. Websitebeheerders die gebruikmaken van de Breeze Cache-plug-in worden daarom met klem geadviseerd om onmiddellijk de nieuwste versie te installeren om hun systemen te beveiligen en potentiële schade te voorkomen.

Bron: Wordfence | Bron 2: hackertarget.com

Ivanti heeft recentelijk vijf beveiligingskwetsbaarheden verholpen in zijn Endpoint Manager Mobile (EPMM) software, voorheen bekend als MobileIron. Eén van deze kwetsbaarheden, aangeduid met CVE-2026-6973, is volgens Ivanti reeds actief misbruikt bij een beperkt aantal klanten. Het Nationaal Cyber Security Centrum (NCSC) waarschuwt dat de publicatie van Proof-of-Concept code op korte termijn de kans op grootschalig misbruik aanzienlijk zal vergroten.

De kwetsbaarheid CVE-2026-6973 maakt het voor een geauthenticeerde kwaadwillende met administratieve toegang mogelijk om op afstand willekeurige code uit te voeren met beheerdersrechten. Voor een succesvolle aanval zijn valide inloggegevens van een account met adminrechten vereist. Ivanti heeft aangegeven dat klanten die in januari het advies hebben opgevolgd om hun inloggegevens te vernieuwen, een aanzienlijk lager risico lopen op misbruik van deze specifieke kwetsbaarheid.

Naast CVE-2026-6973 zijn nog vier andere kritieke kwetsbaarheden gepatcht. CVE-2026-5786 stelt een geauthenticeerde kwaadwillende op afstand in staat om beheertoegang te verkrijgen. De kwetsbaarheid CVE-2026-5787 maakt het voor een niet-geauthenticeerde kwaadwillende mogelijk om zich voor te doen als een geregistreerd Sentry systeem, om zo door een Certificate Authority (CA) ondertekende client certificaten te bemachtigen.

Verder is CVE-2026-5788 verholpen, waarmee een niet-geauthenticeerde kwaadwillende op afstand willekeurige code kon uitvoeren. Tot slot maakt CVE-2026-7821 het voor een niet-geauthenticeerde kwaadwillende mogelijk om een apparaat te registreren aan een set van niet-geregistreerde apparaten en toegang te verkrijgen tot gevoelige gegevens. Organisaties die Ivanti EPMM gebruiken, worden dringend geadviseerd de patches zo snel mogelijk te installeren om zich te beschermen tegen deze dreigingen.

Bron: NCSC

Cisco heeft een belangrijke beveiligingswaarschuwing uitgebracht betreffende een kwetsbaarheid met hoge ernst die impact heeft op de Crosswork Network Controller (CNC) en de Network Services Orchestrator (NSO). Deze kwetsbaarheid, formeel aangeduid als CVE-2026-20188 met een CVSS-score van 7.5, vormt een aanzienlijk risico voor netwerkinfrastructuren.

Bij succesvolle exploitatie stelt de kwetsbaarheid ongeauthenticeerde aanvallers op afstand in staat om een ernstige Denial of Service (DoS) conditie te veroorzaken op de getroffen systemen. Het probleem is geclassificeerd als een ongecontroleerd resourceverbruik (CWE-400). Specifiek falen de kwetsbare systemen in het implementeren van adequate rate-limiting controls op inkomende netwerkverbindingen.

Kwaadwillende actoren kunnen misbruik maken van deze kwetsbaarheid door een getroffen server opzettelijk te overspoelen met een groot volume aan continue verbindingsverzoeken. Omdat de software deze inkomende verzoeken niet correct kan reguleren, kan een aanvaller snel alle beschikbare verbindingsresources uitputten. Zodra het systeem dit breekpunt bereikt, worden Cisco CNC en NSO volledig onbereikbaar. Deze uitputting van resources sluit legitieme netwerkbeheerders buiten en verstoort abrupt afhankelijke netwerkdiensten. Bovendien kan het systeem niet zelfstandig herstellen; IT-teams zijn genoodzaakt een handmatige systeemherstart uit te voeren om de uitgeputte resources te wissen en de normale netwerkoperaties te herstellen.

De hoofdoorzaak van deze kwetsbaarheid, intern gevolgd onder Cisco Bug ID CSCwr08237, ligt in de mechanismen voor verbindingsafhandeling van beide softwareplatforms. Organisaties die deze Cisco beheerhulpmiddelen gebruiken, moeten onmiddellijk hun omgevingen controleren om hun blootstellingsrisico te beoordelen.

Voor de Cisco Crosswork Network Controller zijn softwareversie 7.1 en alle eerdere releases kwetsbaar. Beheerders die oudere systemen beheren, moeten migreren naar een nieuwere, gerepareerde release branch, aangezien Cisco heeft bevestigd dat CNC versie 7.2 niet wordt beïnvloed door deze kwetsbaarheid.

De impact op de Cisco Network Services Orchestrator strekt zich uit over meerdere releasetrains. Elke implementatie die NSO versie 6.3 of eerder gebruikt, is zeer kwetsbaar en vereist een onmiddellijke upgrade. De kwetsbaarheid bestaat ook binnen de 6.4 release branch, hoewel Cisco het probleem met succes heeft gepatcht vanaf software-update 6.4.1.3. Organisaties die NSO versie 6.5 of later gebruiken, zijn volledig beschermd en vereisen geen verdere actie.

Cisco ontdekte deze kwetsbaarheid oorspronkelijk intern tijdens het oplossen van een routine Technical Assistance Center (TAC) ondersteuningscase. Momenteel heeft het Cisco Product Security Incident Response Team (PSIRT) geen publieke proof of concept exploits of kwaadwillend misbruik van deze kwetsbaarheid in het wild waargenomen. Ondanks het gebrek aan actieve exploitatie blijft het risico aanzienlijk, omdat er absoluut geen workarounds beschikbaar zijn. Beheerders kunnen niet vertrouwen op configuratiewijzigingen of tijdelijke netwerkregels om resource-uitputting te blokkeren zonder legitieme functionaliteit te verbreken.

Bijgevolg is het upgraden naar de officiële, gerepareerde softwarereleases de enige levensvatbare strategie om kwetsbare netwerken te beveiligen. Cisco dringt er bij alle getroffen klanten op aan om onderhoudsvensters in te plannen en de nodige updates onmiddellijk toe te passen om potentiële serviceonderbrekingen te voorkomen.

Bron: Cisco

WatchGuard heeft met spoed beveiligingsupdates uitgebracht om meerdere kwetsbaarheden met een hoge ernstgraad in de WatchGuard Agent voor Windows aan te pakken. De meest kritieke van deze kwetsbaarheden stelt geauthenticeerde lokale aanvallers in staat om hun privileges te escaleren naar het hoogste systeemniveau, waardoor zij volledige controle over het gecompromitteerde systeem kunnen verkrijgen.

Aanvullende kwetsbaarheden die in de software zijn ontdekt, omvatten op het netwerk gebaseerde buffer-overflows die ernstige denial-of-service-condities kunnen veroorzaken.

De meest ernstige beveiligingsadvies, WGSA-2026-00013, belicht twee kwetsbaarheden: CVE-2026-6787 en CVE-2026-6788. Deze kwetsbaarheden, met een hoge CVSS-score van 8.5, betreffen gekoppelde agentdienst-kwetsbaarheden in de client voor Windows. Wanneer een aanvaller deze exploits succesvol aan elkaar koppelt, kunnen zij een lokale privilege-escalatie uitvoeren om NT AUTHORITY\SYSTEM-toegang te verkrijgen. Het verkrijgen van dit niveau van onbeperkte toegang stelt dreigingsactoren in staat om hulpmiddelen voor securitymonitoring uit te schakelen, persistente malware te implementeren, gevoelige gegevens van endpoints te extraheren, of nieuwe verborgen administratieve accounts aan te maken.

Een andere significante kwetsbaarheid voor privilege-escalatie, bijgehouden onder CVE-2026-41288, heeft een CVSS-score van 7.3. Deze specifieke kwetsbaarheid komt voort uit een onjuiste toewijzing van rechten binnen de component voor patchbeheer van de WatchGuard Agent. Een geauthenticeerde lokale gebruiker kan deze structurele misconfiguratie misbruiken om naadloos zijn privileges te verhogen van een standaardgebruiker naar systeemniveau. Dit impliceert dat zelfs een zeer beperkt, laag bevoegd werknemersaccount het lokale endpoint-apparaat volledig zou kunnen compromitteren als de software niet wordt gepatcht.

Naast de risico's op privilege-escalatie hebben WatchGuard-engineers ook twee stack-gebaseerde buffer-overflow-kwetsbaarheden aangepakt die zich bevinden in de discovery-dienst van de agent. Deze kwetsbaarheden, bijgehouden onder CVE-2026-41286 en CVE-2026-41287, hebben beide een CVSS-score van 7.1. In tegenstelling tot de privilege-escalatie-bugs, die lokale toegang vereisen, stellen deze overflow-kwetsbaarheden ongeauthenticeerde aanvallers op hetzelfde lokale netwerk in staat om speciaal vervaardigde verzoeken te verzenden die geheugenbuffers overstromen. Een succesvolle exploit crasht onmiddellijk de agentdienst, wat een denial-of-service-status veroorzaakt die de mogelijkheden voor securitybeheer en -monitoring van het endpoint tijdelijk uitschakelt, wat mogelijk de weg vrijmaakt voor verdere netwerkaanvallen.

Volgens de officiële WatchGuard-adviezen hebben alle vier de kwetsbaarheden invloed op de WatchGuard Agent voor Windows-versies tot en met 1.25.02.0000. WatchGuard merkt expliciet op dat er momenteel geen beschikbare mitigaties of technische workarounds zijn om exploitatie te voorkomen zonder de officiële softwarepatch toe te passen. Om endpoint-omgevingen te beschermen tegen zowel lokale privilege-escalatie als op het netwerk gebaseerde verstoringen van de dienst, dienen cybersecurity-organisaties en IT-beheerders hun systemen onmiddellijk bij te werken naar WatchGuard Agent voor Windows-versie 1.25.03.0000.

Bron: WatchGuard

Vercel heeft een uitgebreide reeks beveiligingsadviezen uitgebracht voor Next.js, waarin meer dan een dozijn kwetsbaarheden zijn aangepakt. Deze omvatten denial-of-service, middleware bypass, server-side request forgery (SSRF) en cross-site scripting. De kwetsbaarheden treffen Next.js versies 13.x tot en met 16.x die de App Router gebruiken, evenals React Server Components pakketten voor versies 19.x.

Een kwetsbaarheid met hoge ernst, aangeduid als CVE-2026-23870, maakt denial-of-service aanvallen mogelijk via React Server Components. Deze kwetsbaarheid treft React Server Components pakketten voor versies 19.x en alle Next.js App Router implementaties op versies 13.x, 14.x, 15.x en 16.x. Een specifiek geconstrueerd HTTP verzoek dat naar een App Router Server Function endpoint wordt gestuurd, kan bij deserialisatie leiden tot overmatig CPU gebruik, wat resulteert in denial-of-service aanvallen in ongepatchte omgevingen. Het probleem ligt in de deserialisatielogica van het React "Flight" protocol, dat onvoldoende structurele of type beperkingen afdwingt op inkomende payloads.

Drie afzonderlijke adviezen (GHSA-267c-6grr-h53f, GHSA-26hh-7cqf-hhc6 en GHSA-492v-c6pp-mqqv) behandelen middleware bypass kwetsbaarheden in App Router applicaties. Speciaal geconstrueerde .rsc en segment-prefetch URL's kunnen naar dezelfde pagina verwijzen zonder te worden gematcht door de bedoelde middleware regels. Dit maakt het mogelijk om toegang te krijgen tot beschermde inhoud zonder de juiste autorisatie controles. De oplossing omvat nu App Router transportvarianten bij het genereren van middleware matchers, wat ervoor zorgt dat middleware beschermingen consistent worden toegepast op alle verzoektypen, inclusief prefetch varianten. Als een upgrade niet direct mogelijk is, wordt ontwikkelaars geadviseerd om autorisatie direct in de onderliggende route of paginalogica af te dwingen, in plaats van uitsluitend te vertrouwen op middleware.

Een kwetsbaarheid met hoge ernst, CVE-2026-44578 (GHSA-c4j6-fc7j-m34r), maakt server-side request forgery mogelijk via geconstrueerde WebSocket upgrade verzoeken op zelf gehoste Node.js implementaties. Een aanvaller kan de server manipuleren om verzoeken te proxyen naar willekeurige interne of externe bestemmingen, wat potentieel interne services of cloud metadata endpoints blootstelt. Dit scenario is bijzonder gevaarlijk in cloud-native omgevingen. Vercel gehoste implementaties worden expliciet als niet getroffen vermeld. De oplossing past dezelfde veiligheidscontroles toe op de afhandeling van WebSocket upgrades die al bestonden voor standaard HTTP verzoeken.

CVE-2026-44573 (GHSA-36qx-fr4f-26g5) treft applicaties die de Pages Router gebruiken met i18n geconfigureerd in combinatie met middleware gebaseerde autorisatie. Locale-loze /_next/data/ / .json verzoeken omzeilen middleware volledig, waardoor aanvallers server-side gerenderde JSON kunnen ophalen voor beschermde pagina's zonder autorisatie controles te doorlopen. De matcher logica is bijgewerkt om consistente matching toe te passen op zowel geprefixte als ongeprefixte data routes.

Naast de kwetsbaarheden met hoge ernst heeft Vercel ook verschillende problemen met matige en lage ernst gepatcht. Deze omvatten cross-site scripting kwetsbaarheden in App Router applicaties die CSP nonces gebruiken (GHSA-ffhc-5mcf-pf4q) en in `beforeInteractive` scripts met onvertrouwde invoer (GHSA-gx5p-jg67-6x7h). Verder is er een denial-of-service bug in de Image Optimization API (GHSA-h64f-5h5j-jqjh) en cache poisoning problemen in React Server Component responses (GHSA-wfc6-r584-vfw7, GHSA-vfv6-92ff-j949). Een connection exhaustion DoS in Cache Components (GHSA-mg66-mrh9-m8jx) en cache poisoning van middleware redirects (GHSA-3g8h-86w9-wvmq) completeren de advieslijst. Organisaties die getroffen Next.js versies draaien, moeten onmiddellijk prioriteit geven aan upgraden. Voor teams die niet direct kunnen upgraden, omvatten de aanbevolen tussentijdse mitigaties het afdwingen van autorisatie binnen individuele route of paginalogica in plaats van alleen op middleware te vertrouwen, het blokkeren van WebSocket upgrades op het niveau van de reverse proxy of load balancer, en het beperken van server egress naar bekende interne netwerken.

Bron: Vercel | Bron 2: github.com

Microsoft heeft recentelijk meerdere kritieke kwetsbaarheden verholpen in zijn chatbot Copilot, die aanvallers de mogelijkheid hadden kunnen bieden om gevoelige informatie te stelen. Hoewel lekken die leiden tot informatielekken ('information disclosure') doorgaans niet als kritiek worden aangemerkt, heeft Microsoft in dit specifieke geval besloten om dat wel te doen voor CVE-2026-26129, CVE-2026-26164 en CVE-2026-33111. Deze kwetsbaarheden troffen M365 Copilot en de Copilot Chat-functionaliteit binnen de Microsoft Edge-browser.

De kwetsbaarheden CVE-2026-26129 en CVE-2026-26164, die beide aanwezig waren in M365 Copilot, zijn het gevolg van een onjuiste verwerking van 'speciale elementen' door de chatbot. Dit gebrek aan adequate verwerking had een ongeautoriseerde aanvaller in staat kunnen stellen om informatie te ontvreemden. Microsoft heeft hierover geen verdere technische details vrijgegeven.

Een derde kritieke kwetsbaarheid, CVE-2026-33111, werd ontdekt in Copilot Chat. Ook dit lek betrof een onjuiste verwerking van speciale elementen en was te misbruiken via een command injection aanval. Net als bij de andere twee kwetsbaarheden zijn er geen aanvullende details over de exacte aard van het lek of de exploitatiemethode bekendgemaakt door Microsoft.

Microsoft heeft inmiddels alle drie de problemen verholpen. Gebruikers van M365 Copilot en Copilot Chat hoeven zelf geen actie te ondernemen om de updates te ontvangen, aangezien deze automatisch worden uitgerold. Het dichten van deze lekken benadrukt de voortdurende noodzaak voor zorgvuldige beveiliging van AI-gestuurde assistenten, die steeds vaker worden geïntegreerd in bedrijfskritische omgevingen. De impact van dergelijke kwetsbaarheden op Nederlandse en Belgische organisaties die gebruik maken van Microsoft 365 Copilot zou aanzienlijk kunnen zijn geweest, gezien de gevoeligheid van de informatie die via chatbots kan worden verwerkt.

Bron: Microsoft

Cisco heeft recentelijk meerdere beveiligingslekken aangepakt binnen zijn Cisco Unity Connection software, een veelgebruikte unified messaging en voicemail oplossing. Deze kwetsbaarheden bevinden zich specifiek in de web management interface en de Web Inbox web UI van de applicatie. De aanwezigheid van deze lekken stelde kwaadwillenden in staat om significante schade aan te richten en ongeautoriseerde toegang te verkrijgen tot systemen.

Eén van de kritieke kwetsbaarheden betreft de mogelijkheid voor geauthenticeerde aanvallers om arbitrary code uit te voeren. Dit betekent dat een aanvaller die reeds geldige inloggegevens voor het systeem heeft, in staat is om eigen code te injecteren en te laten draaien. Het bijzonder zorgwekkende aspect hiervan is dat deze code kan worden uitgevoerd met root privileges. Het verkrijgen van root privileges geeft een aanvaller volledige en onbeperkte controle over het onderliggende apparaat, waardoor zij alle functies kunnen manipuleren, data kunnen stelen, of verdere aanvallen kunnen lanceren binnen het netwerk.

Daarnaast is er een server-side request forgery (SSRF) kwetsbaarheid ontdekt. Een SSRF kwetsbaarheid stelt aanvallers in staat om verzoeken te initiëren vanaf de server zelf, gericht op andere interne services of externe bronnen. Dit kan worden misbruikt om interne netwerkarchitectuur te scannen, toegang te krijgen tot gevoelige informatie op interne systemen die normaal niet direct bereikbaar zijn vanaf het internet, of zelfs om acties uit te voeren op deze interne services.

Een verontrustend detail van de SSRF kwetsbaarheid is dat sommige varianten hiervan ook door niet-geauthenticeerde aanvallers kunnen worden uitgebuit. Dit is te wijten aan onjuiste inputvalidatie binnen de Web Inbox web UI. Dit verlaagt de drempel voor aanvallers aanzienlijk, aangezien zij geen geldige inloggegevens nodig hebben om bepaalde SSRF aanvallen uit te voeren. Dit vergroot het risico op ongeautoriseerde toegang en manipulatie van interne systemen.

De combinatie van deze kwetsbaarheden , de mogelijkheid tot arbitrary code execution met root privileges en de SSRF lekken die zowel geauthenticeerd als ongeauthenticeerd misbruikt kunnen worden , creëert een ernstig beveiligingsrisico. Het stelt aanvallers in staat om niet alleen volledige controle over de apparaten van Cisco Unity Connection te krijgen, maar ook om via deze apparaten verder door te dringen in de interne netwerkinfrastructuur. Organisaties die Cisco Unity Connection gebruiken, wordt geadviseerd om de door Cisco uitgebrachte patches en updates zo snel mogelijk toe te passen om hun systemen te beveiligen tegen potentiële aanvallen.

Bron: NCSC

Onderzoekers van cybersecuritybedrijf LayerX hebben een ernstige beveiligingsfout ontdekt in de Claude voor Chrome browser-extensie. Deze kwetsbaarheid, die zij de naam ClaudeBleed hebben gegeven, stelt aanvallers in staat om volledige controle over de AI-assistent te verkrijgen. Zelfs een eenvoudige extensie zonder speciale machtigingen kan Claude kapen om privébestanden te stelen en e-mails te versturen zonder medeweten of toestemming van de gebruiker.

De kern van de ClaudeBleed-kwetsbaarheid ligt in een foutieve identificatie van de bron van inkomende berichten door de extensie, wat leidde tot een kritieke overtreding van de vertrouwensgrens. Senior onderzoeker Aviad Gispan van LayerX merkte op dat de Claude Chrome-extensie was geconfigureerd met de instelling 'externally_connectable'. Deze instelling stond elk script dat op de claude.ai-website draaide toe om commando's naar de extensie te sturen. Aangezien de extensie de website vertrouwt en niet controleert wie het script daadwerkelijk uitvoert, konden hackers via een content script instructies naar de Claude Large Language Model (LLM) voeren. Dit verandert de extensie in een "confused deputy", wat betekent dat deze kwaadaardige taken uitvoert, in de veronderstelling dat de opdrachten van een vertrouwde bron komen.

Anthropic bracht een update uit voor de extensie, waarbij externe toegang open bleef, maar een extra interne beveiligingscheck werd toegevoegd om te voorkomen dat extensies in "standaard" modus externe commando's uitvoeren. De onderzoekers legden echter uit dat het overschakelen van de extensie naar "privileged mode" (zonder de gebruiker hiervan op de hoogte te stellen of om toestemming te vragen) deze checks omzeilde, waardoor dezelfde externe commando's konden worden uitgevoerd als voorheen.

LayerX demonstreerde hoe deze kwetsbaarheid misbruikt kon worden. In één voorbeeld creëerden zij een nepextensie die Claude dwong om in de Google Drive van een gebruiker te zoeken naar een bestand genaamd "Top Secret" en dit te delen met een extern e-mailadres. Ze dwongen de tool ook om privéberichten in een Gmail-inbox samen te vatten en vervolgens de sporen te wissen. De ingebouwde beveiligingsmaatregelen van Claude's LLM werden omzeild door middel van "approval looping", een methode waarbij het script werd geprogrammeerd om herhaaldelijk "Ja" te zeggen totdat de AI het commando accepteerde.

Een andere methode die de onderzoekers gebruikten, was DOM-manipulatie. Hierbij werden de namen van knoppen op het scherm gewijzigd, zodat de extensie werd misleid om op een "Deel"-knop te klikken die was hernoemd naar "Vraag feedback". Door de manier aan te vallen waarop de extensie de pagina waarneemt, konden zij de beleidshandhaving omzeilen die normaal gesproken gegevensexfiltratie voorkomt.

Na de melding van LayerX bracht Anthropic op 6 mei versie 1.0.70 uit met een patch. Deze update voegde nieuwe pop-upvensters toe om gebruikers om toestemming te vragen. Het LayerX-team ontdekte echter snel een manier om deze te omzeilen door de extensie in een geprivilegieerde modus te dwingen, ook wel "Act without asking mode" genoemd, waardoor de toestemmingsschermen volledig konden worden overgeslagen.

Aviad Gispan waarschuwde dat in de huidige AI-race leveranciers te snel bewegen en krachtige mogelijkheden toekennen om de gebruikerservaring te verbeteren, terwijl ze fundamentele beveiligingsprincipes verwaarlozen en nieuwe kansen voor aanvallers creëren. Het onderzoek, gedeeld met Hackread.com, concludeert dat het onderliggende probleem van oorsprong-gebaseerd vertrouwen nog steeds aanwezig is. Volgens de onderzoekers kunnen hackers de initialisatieflow van het zijpaneel nog steeds misbruiken om de patch te omzeilen en de Claude voor Chrome-extensie te exploiteren.

Bron: LayerX

Een recente ontwikkeling in de wereld van cyberbeveiliging betreft de ontdekking van een exploit genaamd Dirty Frag, die twee kwetsbaarheden in de Linux kernel misbruikt. Deze kwetsbaarheden, geïdentificeerd als CVE-2026-43284 en CVE-2026-43500, werden op 8 mei 2026 gepubliceerd en bevestigd door beveiligingsonderzoekers van Wiz en Sysdig.

De kwetsbaarheden zijn specifiek gelokaliseerd in de ESP (IPsec) en RxRPC componenten van de Linux kernel. Een lokale aanvaller kan, door misbruik te maken van geheugenfragmentatieverwerking en pagecache manipulatie, zijn rechten escaleren naar rootniveau. Dit stelt aanvallers in staat om uit containers te ontsnappen en laterale bewegingen binnen netwerken uit te voeren.

Diverse Linux distributies en -omgevingen worden getroffen door deze kwetsbaarheden, waaronder RHEL, Ubuntu, CentOS, Fedora, AlmaLinux en OpenShift. Voor CVE-2026-43284 is inmiddels een patch beschikbaar gesteld, terwijl voor CVE-2026-43500 nog geen oplossing is uitgebracht. De Proof-of-Concept code voor de exploit is reeds openbaar gemaakt, wat het risico op misbruik verhoogt.

Systeembeheerders wordt geadviseerd om kernelpatches met hoge prioriteit te implementeren zodra deze beschikbaar zijn. Daarnaast is het raadzaam om monitoring voor privilege escalatie actief in te schakelen om potentiële aanvallen vroegtijdig te detecteren.

Bron: Cybercrimeinfo

cPanel heeft drie kritieke beveiligingslekken openbaar gemaakt, aangeduid als CVE-2026-29201, CVE-2026-29202 en CVE-2026-29203. Deze kwetsbaarheden treffen het veelgebruikte cPanel & WHM web hosting control panel en het WP Squared (WP2) platform. De lekken, die op 8 mei 2026 zijn gepatcht, stellen servers bloot aan het uitlezen van willekeurige bestanden, Perl code injectie en denial of service (DoS) aanvallen. Onmiddellijke patching is daarom essentieel voor hostingproviders en serverbeheerders. Eerder in april werd al een andere cPanel kwetsbaarheid, CVE-2026-41940, actief misbruikt om inlogmechanismen volledig te omzeilen. **CVE-2026-29201: Willekeurig Bestand Lezen via Path Traversal** De eerste kwetsbaarheid bevindt zich in de `feature::LOADFEATUREFILE` adminbin call, die de parametervalidatie voor de bestandsnaam van de feature onvoldoende uitvoert. Een aanvaller kan een relatief pad als argument doorgeven, waardoor een willekeurig bestand op de server wereldwijd leesbaar wordt. Dit type kwetsbaarheid via path traversal kan gevoelige systeembestanden blootleggen, waaronder configuratiebestanden, inloggegevens en private sleutels, wat aanvallers een toegangspunt biedt voor verdere compromittering van het systeem. **CVE-2026-29202: Perl Code Injectie in User Creation API** De tweede en meest ernstige kwetsbaarheid is een lek voor Perl code injectie, ontdekt in de `create_user` API call, specifiek gerelateerd aan de `plugin` parameter. Wanneer ongevalideerde invoer deze parameter bereikt, kunnen aanvallers willekeurige Perl code injecteren en uitvoeren op de server. Remote Code Execution (RCE) kwetsbaarheden van deze aard brengen het hoogste risico met zich mee, met de potentiële mogelijkheid van volledige serverovername, data exfiltratie en de implementatie van malware of backdoors in gehoste omgevingen. **CVE-2026-29203: Onveilige Afhandeling van Symlinks** De derde kwetsbaarheid vloeit voort uit onveilige afhandeling van symlinks, waardoor een gebruiker een willekeurig bestand op het systeem kan `chmodden`. Deze misconfiguratie kan worden misbruikt om kritieke systeemoperaties te verstoren, wat resulteert in denial of service omstandigheden. Bovendien zou deze kwetsbaarheid kunnen worden gekoppeld aan andere lekken om privileges te escaleren en ongeautoriseerde administratieve toegang te verkrijgen. **Getroffen Versies en Gepatchte Releases** Alle drie de kwetsbaarheden treffen dezelfde reeks van cPanel & WHM versies. cPanel heeft patches uitgebracht voor alle actieve branches. Beheerders moeten updaten naar een van de volgende versies of hoger: 11.136.0.9, 11.134.0.25, 11.132.0.31, 11.130.0.22, 11.126.0.58, 11.124.0.37, 11.118.0.66, 11.110.0.116, 11.110.0.117, 11.102.0.41, 11.94.0.30, of 11.86.0.43. Gebruikers van WP Squared dienen te upgraden naar versie 11.136.1.10 of hoger. Servers die op CentOS 6 of CloudLinux 6 draaien, kunnen een directe update naar versie 110.0.114 toepassen door eerst de upgrade tier in te stellen met het commando: `sed -i "s/CPANEL=.*/CPANEL=cl6110/g" /etc/cpupdate.conf`. **Patch Toepassen** Beheerders kunnen hun cPanel installatie onmiddellijk updaten door het geforceerde update script uit te voeren: `/scripts/upcp --force`. Na voltooiing kan de geïnstalleerde versie worden geverifieerd met: `/usr/local/cpanel/cpanel -V`. Controleer of de versie overeenkomt met een van de hierboven genoemde gepatchte releases voordat de remediëring als compleet wordt beschouwd. Gezien het feit dat CVE-2026-29202 directe code uitvoering mogelijk maakt en CVE-2026-29203 de deur opent naar privilege escalatie, vormen deze kwetsbaarheden een ernstig risico voor shared hosting omgevingen waar meerdere tenants op één server opereren. Hostingproviders die ongepatchte cPanel installaties draaien, lopen aanzienlijk risico op laterale beweging en volledige servercompromittering. Beheerders worden dringend geadviseerd om de beschikbare patches zonder uitstel toe te passen en serverlogs te controleren op tekenen van exploitatieactiviteit.

Bron: cPanel

Honderden servers van Ivanti missen een essentiële beveiligingsupdate voor een kwetsbaarheid die momenteel actief door aanvallers wordt misbruikt. Dit nieuws komt van The Shadowserver Foundation, die dit heeft vastgesteld op basis van hun eigen onderzoek.

Ivanti waarschuwde vorige week donderdag, op 7 mei, voor een beveiligingslek in Ivanti Endpoint Manager Mobile (EPMM). Dit lek is aangeduid als CVE-2026-6973. Door deze kwetsbaarheid kan een aanvaller met admin toegang code uitvoeren op de server. Het is op dit moment onbekend sinds wanneer het lek exact wordt misbruikt.

Ivanti Endpoint Manager Mobile is software voor mobiel beheer die Mobile Device Management (MDM) mogelijk maakt. Organisaties gebruiken deze oplossing om de mobiele apparaten van hun medewerkers op afstand te beheren, bijvoorbeeld voor het instellen van toegestane applicaties of het afdwingen van beleid. Een gecompromitteerde EPMM-server kan dan ook vergaande en ernstige gevolgen hebben. Eerder dit jaar werd bekend dat een ander lek was gebruikt om de servers van Ivanti EPMM van diverse Nederlandse overheidsinstanties te hacken, waaronder de Autoriteit Persoonsgegevens en de Raad voor de Rechtspraak.

The Shadowserver Foundation, een stichting die zich onder meer richt op onderzoek naar kwetsbare systemen op het internet, voerde op 8 mei een scan uit naar kwetsbare servers van Ivanti EPMM. Deze scan identificeerde 562 servers die nog niet waren gepatcht. Bij een herhaling van de scan gisteren (10 mei) was dit aantal gedaald naar 362. Van deze resterende kwetsbare servers bevinden zich er nog vijf in Nederland. Het grootste aantal kwetsbare servers van Ivanti EPMM werd waargenomen in Duitsland en de Verenigde Staten.

Bron: ivanti.com

Veel netwerk-attached storage (NAS) systemen van de fabrikant QNAP zijn kwetsbaar bevonden voor een beveiligingslek in de Linux-kernel, bekend als 'Dirty Frag'. Hoewel een officiële beveiligingsupdate nog niet beschikbaar is, adviseert QNAP gebruikers om proactieve maatregelen te nemen ter bescherming.

Het 'Dirty Frag' lek is een combinatie van twee afzonderlijke kwetsbaarheden in de Linux-kernel. Deze kwetsbaarheden stellen een lokale aanvaller in staat om systeembestanden in het geheugen aan te passen, wat kan leiden tot een verhoging van de rechten naar rootniveau. QNAP heeft bevestigd dat haar systemen kwetsbaar zijn voor één van deze lekken, aangeduid als CVE-2026-43284. Het andere component van Dirty Frag, CVE-2026-43500, raakt de QNAP-systemen volgens de fabrikant niet.

De kwetsbaarheid CVE-2026-43284 treft een breed scala aan QNAP-producten. Dit omvat alle QNAP x86- en ARM64-gebaseerde NAS-modellen, alle QuTS hero NAS-modellen en alle QuTScloud NAS-instances. Gebruikers van deze systemen worden dringend geadviseerd om waakzaam te zijn en de aanbevolen beveiligingsmaatregelen door te voeren.

QNAP heeft aangegeven dat er momenteel nog geen officiële patch beschikbaar is voor het Linux-kernel 'Dirty Frag' lek. De fabrikant werkt echter aan een oplossing en benadrukt het belang van het onmiddellijk installeren van beveiligingsupdates zodra deze worden uitgebracht.

In afwachting van de patch heeft QNAP een aantal mitigatiemaatregelen geadviseerd om de risico's te beperken. Gebruikers moeten de shell-toegang tot hun NAS-systemen beperken door SSH- of Telnet-permissies voor alle niet-beheerdersaccounts in te trekken. Daarnaast wordt aangeraden om 'untrusted' services, zoals de webserver, uit te schakelen indien deze niet essentieel zijn voor de bedrijfsvoering. Ook het verwijderen van niet-essentiële applicaties van derden wordt aanbevolen. Een cruciale algemene beveiligingsrichtlijn is om het NAS-systeem niet direct vanaf het internet toegankelijk te maken, wat de kans op externe aanvallen aanzienlijk verkleint.

Bron: QNAP

Een Brits drinkwaterbedrijf, South Staffordshire Water, is beboet met omgerekend 1,1 miljoen euro wegens een omvangrijk datalek. Het incident was het directe gevolg van een ransomware aanval die begon met een phishing mail. Uit onderzoek bleek dat de aanvallers, na het openen van een besmette bijlage in september 2020, twintig maanden lang onopgemerkt in het netwerk aanwezig waren voordat ze toesloegen.

De aanval begon met de installatie van SDBbot malware, waarmee de cybercriminelen toegang verkregen tot het systeem. Op 17 mei 2022 escaleerden de aanvallers hun toegang en bewogen zich lateraal door het netwerk, waarbij ze toegang kregen tot twintig verschillende endpoints. De Cl0p ransomwaregroep eiste de verantwoordelijkheid op voor de aanval, waarbij ruim vier terabyte aan data werd buitgemaakt en vervolgens op internet gepubliceerd.

De gestolen gegevens omvatten persoonlijke informatie van ongeveer 634.000 mensen, waaronder namen, adresgegevens, e-mailadressen, geboortedatums, geslacht, rekeningnummers en telefoonnummers.

De Britse privacy toezichthouder ICO voerde een grondig onderzoek uit naar het datalek en constateerde ernstige tekortkomingen in de beveiliging van South Staffordshire Water. Specifieke bevindingen omvatten het gebruik van het niet langer ondersteunde besturingssysteem Windows Server 2003 en het ontbreken van patches voor de kritieke ZeroLogon kwetsbaarheid (CVE-2020-1472). Verder werd slechts vijf procent van de IT omgeving gemonitord, konden aanvallers dankzij beperkte controles admin rechten verkrijgen, en vonden er geen periodieke security scans plaats.

Het datalek werd pas ontdekt door prestatieproblemen in het netwerk en de aanwezigheid van een losgeld boodschap die de aanvallers hadden achtergelaten. De ICO was oorspronkelijk van plan een boete van 1,85 miljoen euro op te leggen. Echter, doordat het drinkwaterbedrijf de bevindingen van de toezichthouder accepteerde en aangaf de boete zonder beroep te betalen, werd een korting van veertig procent toegepast, wat resulteerde in de uiteindelijke boete van 1,1 miljoen euro.

Bron: Security.NL

Het Belgische Centrum voor Cybersecurity (CCB) heeft een urgente waarschuwing uitgegeven betreffende een kritieke kwetsbaarheid in de vm2-bibliotheek, een populaire Node.js sandbox-omgeving. Deze kwetsbaarheid, aangeduid als CVE-2026-26956, maakt een volledige sandbox escape mogelijk en heeft een CVSS-score van 9.8 gekregen, wat duidt op een zeer hoog risico. Organisaties die gebruikmaken van vm2 worden met klem geadviseerd om onmiddellijk te patchen.

De vm2-bibliotheek is ontworpen om onvertrouwde code veilig uit te voeren binnen een geïsoleerde omgeving, een zogenaamde sandbox. Het primaire doel hiervan is om te voorkomen dat kwaadaardige code interactie heeft met het onderliggende besturingssysteem, waardoor potentiële bedreigingen worden ingedamd. Echter, de recent ontdekte kwetsbaarheid stelt aanvallers in staat om deze isolatie volledig te doorbreken. Een succesvolle exploitatie van deze 'sandbox escape' geeft aanvallers de mogelijkheid om willekeurige code uit te voeren op het host-systeem, wat kan leiden tot volledige compromittering van de server of het systeem waarop de vm2-bibliotheek draait.

Alle versies van vm2 tot en met 3.10.4 zijn getroffen door deze ernstige kwetsbaarheid. Het CCB benadrukt de urgentie van het installeren van de beschikbare patch. Door te updaten naar een versie die hoger is dan 3.10.4, kunnen organisaties het risico op exploitatie van deze kwetsbaarheid aanzienlijk verlagen.

De ontdekking van dergelijke kritieke kwetsbaarheden onderstreept het belang van het regelmatig controleren en updaten van alle softwarecomponenten, zelfs die welke specifiek zijn ontworpen voor beveiliging. Het negeren van dergelijke waarschuwingen kan leiden tot ernstige beveiligingsincidenten, waaronder datalekken, systeemovernames en de verdere verspreiding van malware binnen een netwerk.

Bron: vm2 Project | Bron 2: github.com | Bron 3: nvd.nist.gov

Het Centrum voor Cybersecurity België (CCB) heeft een urgente waarschuwing uitgegeven betreffende een kritieke kwetsbaarheid in de Palo Alto Networks PAN-OS User-ID Authentication Portal. Deze kwetsbaarheid, aangeduid met CVE-2026-0300, maakt Remote Code Execution (RCE) mogelijk en vormt een aanzienlijk risico voor de beveiliging van netwerken.

De kwetsbaarheid is geclassificeerd met een Common Vulnerability Scoring System (CVSS) score van 9.8 op een schaal van 10, wat duidt op een extreem hoog risiconiveau. Een dergelijke hoge score betekent dat de kwetsbaarheid relatief eenvoudig te misbruiken is en ernstige gevolgen kan hebben voor getroffen systemen. Een Remote Code Execution kwetsbaarheid stelt aanvallers in staat om van afstand willekeurige code uit te voeren op een kwetsbaar systeem. Dit kan leiden tot volledige controle over het systeem, het stelen van gevoelige data, het installeren van kwaadaardige software of het verder verspreiden binnen een netwerk.

De waarschuwing van het CCB benadrukt de kritieke aard van dit beveiligingslek. Organisaties die gebruikmaken van de Palo Alto Networks PAN-OS User-ID Authentication Portal worden met klem geadviseerd om onmiddellijk actie te ondernemen. Het niet tijdig patchen van dergelijke kritieke kwetsbaarheden kan leiden tot ernstige beveiligingsincidenten met potentieel verstrekkende gevolgen, waaronder dataverlies, operationele verstoringen en reputatieschade.

Het CCB dringt er bij alle beheerders en cybersecurity professionals op aan om de aanbevelingen van Palo Alto Networks nauwgezet op te volgen. De belangrijkste aanbeveling is om de beschikbare patches zo snel mogelijk toe te passen. Het zo snel mogelijk installeren van de beveiligingsupdates is cruciaal om het risico op uitbuiting van deze ernstige kwetsbaarheid te minimaliseren en de integriteit en vertrouwelijkheid van de systemen te waarborgen. Het uitstellen van updates voor kritieke kwetsbaarheden zoals deze kan directe en ernstige bedreigingen vormen voor de continuïteit en veiligheid van digitale infrastructuren.

Bron: Centrum voor Cybersecurity België (CCB) | Bron 2: nvd.nist.gov | Bron 3: security.paloaltonetworks.com

Het Amerikaanse cyberagentschap CISA (Cybersecurity and Infrastructure Security Agency) waarschuwt voor actief misbruik van een kritiek SQL Injection-lek in BerriAI LiteLLM. Dit lek, aangeduid met CVE-2026-42208, stelt een niet-geauthenticeerde aanvaller in staat om databasegegevens van de proxy te lezen en te wijzigen. Het Nationaal Cyber Security Centrum (NCSC) van Nederland onderschrijft deze waarschuwing en benadrukt dat dit kan leiden tot het compromitteren van credentials en verdere ongeautoriseerde toegang tot systemen.

LiteLLM fungeert als een interface en proxyserver, ook wel bekend als een AI Gateway, waarmee ontwikkelaars binnen hun projecten toegang krijgen tot meer dan honderd Large Language Models (LLM's). De kwetsbaarheid bevindt zich in de kernfunctionaliteit van deze gateway, wat de impact aanzienlijk maakt. Door de mogelijkheid om proxy databasegegevens te manipuleren, kunnen aanvallers potentieel gevoelige informatie onderscheppen of wijzigen, wat een ernstige bedreiging vormt voor de integriteit en vertrouwelijkheid van de systemen die LiteLLM gebruiken.

Hoewel CISA heeft bevestigd dat er actief misbruik wordt gemaakt van dit beveiligingslek, zijn er geen verdere specifieke details over de aard of omvang van de aanvallen vrijgegeven. Dit onderstreept de urgentie voor gebruikers om snel actie te ondernemen. De ontwikkelaars van LiteLLM hebben inmiddels een nieuwe versie uitgebracht die het probleem verhelpt. Gebruikers van LiteLLM worden dringend geadviseerd om zo snel mogelijk te updaten naar versie 1.83.7 om hun systemen te beschermen tegen exploitatie. Het negeren van deze waarschuwing kan leiden tot aanzienlijke beveiligingsrisico's, waaronder datalekken en ongeautoriseerde toegang.

Bron: BerriAI | Bron 2: github.com | Bron 3: advisories.ncsc.nl

Op 11 mei 2026 heeft het AI model Mythos een kwetsbaarheid van lage ernst ontdekt in Curl, een veelgebruikte bibliotheek en commandline tool voor het versturen en ontvangen van data via diverse netwerkprotocollen. Dit werd vandaag bekendgemaakt door Daniel Stenberg, de maintainer van Curl, die vooralsnog niet volledig onder de indruk is van de prestaties van het model. De kwetsbaarheid zal volgende maand worden verholpen met de aankomende release van Curl versie 8.21.0.

Curl is van cruciaal belang in de digitale infrastructuur en is volgens Stenberg geïnstalleerd op meer dan twintig miljard instanties. Het draait op ruim 110 besturingssystemen en 28 CPU-architecturen, en is te vinden op vrijwel elk type apparaat, waaronder smartphones, tablets, auto's, televisies, spelcomputers en servers wereldwijd.

Mythos, een AI model ontwikkeld door Anthropic, heeft recentelijk veel aandacht gekregen vanwege zijn vermeende vermogen om effectief kwetsbaarheden in software te identificeren. Anthropic heeft zelfs besloten Mythos slechts aan een beperkt aantal bedrijven beschikbaar te stellen vanwege de effectiviteit. In het kader van het onderzoek naar Curl heeft het AI model de git repository van de software en de master branch van een recente commit geanalyseerd, waarbij in totaal 178.000 regels code zijn onderzocht.

Sinds de eerste versie van Curl in 1996 verscheen, zijn er 188 CVE-nummers uitgegeven voor ontdekte kwetsbaarheden. Hoewel Mythos eerder honderden kwetsbaarheden in Firefox ontdekte, bleef de oogst bij Curl beperkt tot één bevestigde kwetsbaarheid met een impact van lage ernst. Daniel Stenberg uit hierover zijn scepsis: "Mijn persoonlijke conclusie kan echter niet anders zijn dan dat de grote hype rond dit model tot nu toe voornamelijk marketing was. Ik zie geen bewijs dat deze setup grotere of geavanceerdere problemen vindt dan de andere modellen voor Mythos deden."

Desondanks erkent de maintainer van Curl dat AI modellen aanzienlijk beter zijn in het vinden van kwetsbaarheden in broncode dan traditionele analysetools voor code uit het verleden. Stenberg benadrukt het belang voor softwareprojecten om gebruik te maken van analysetools voor code die door AI worden aangedreven, om te voorkomen dat kwaadwillenden deze technologie als eersten zullen inzetten. Verdere details over het specifieke lek in Curl worden pas volgende maand vrijgegeven, gelijktijdig met de patch.

Bron: Daniel Stenberg | Bron 2: daniel.haxx.se

Apple heeft op maandag officieel iOS 26.5 uitgebracht, een update die ondersteuning biedt voor end-to-end encryptie (E2EE) voor Rich Communication Services (RCS). Deze functionaliteit wordt in bèta uitgerold als onderdeel van een brede inspanning van verschillende industrieën om traditionele SMS te vervangen door een veiliger alternatief. De E2EE RCS-berichten worden beschikbaar gesteld aan gebruikers van iPhone met iOS 26.5 en ondersteunde providers, evenals aan gebruikers van Android die de nieuwste versie van Google Messages gebruiken. De functie is standaard ingeschakeld voor zowel nieuwe als bestaande gesprekken op beide platforms.

RCS is een modern, internetgebaseerd berichtenprotocol dat gebruikers van Android en iPhone in staat stelt om foto's en video's met hoge resolutie te versturen, typindicatoren te zien en leesbevestigingen te ontvangen. Dit zijn functies die doorgaans aanwezig zijn in instant messaging-apps. Het protocol is gebouwd op een industriestandaard genaamd het RCS Universal Profile. Apple heeft verklaard dat wanneer RCS-berichten end-to-end versleuteld zijn, deze niet kunnen worden gelezen terwijl ze tussen apparaten worden verzonden. Gebruikers zullen weten dat een gesprek end-to-end versleuteld is wanneer zij een nieuw sloticoon zien in hun RCS-chats.

Apple begon eerder met het testen van E2EE in RCS-berichten in de iOS en iPadOS 26.4 Beta, waarbij dit aanvankelijk beperkt was tot gesprekken tussen Apple-apparaten. Begin 2025 kondigde de GSM Association (GSMA) al ondersteuning aan voor E2EE om berichten die via het RCS-protocol worden verzonden te beveiligen. In een vergelijkbare verklaring meldde Google dat gebruikers van Google Messages voor Android een hangsloticoon zullen zien om aan te geven dat het platformoverschrijdende gesprek end-to-end versleuteld is. Alex Sinclair, Chief Technology Officer bij GSMA, benadrukte dat deze vooruitgang het resultaat is van nauwe, sectoroverschrijdende samenwerking binnen de GSMA RCS Working Group, waaronder Apple, Google en het bredere mobiele ecosysteem. Hij voegde eraan toe dat de nieuwe beveiligde diensten worden geleverd op een open, wereldwijd erkende basis.

De nieuwste updates bevatten tevens oplossingen voor meer dan 50 kwetsbaarheden in iOS en iPadOS. Deze kwetsbaarheden betroffen onder andere fouten in AppleJPEG, ImageIO, Kernel, mDNSResponder en WebKit. Deze tekortkomingen hadden potentieel misbruikt kunnen worden om gevoelige informatie te lekken, een denial-of-service (DoS) aanval uit te voeren, of te resulteren in een onverwachte systeemafsluiting.

Bron: Apple | Bron 2: blog.google | Bron 3: gsma.com

Beveiligingsonderzoeker ggwhyp heeft recentelijk een videodemonstratie gepubliceerd van een volledige exploitatieketen die via de Firefox op Windows systemen kan leiden tot volledige controle over het besturingssysteem. De aanval start wanneer een gebruiker een speciaal geprepareerde HTML-pagina opent in Firefox. Zodra de pagina is geladen, wordt er code uitgevoerd in de browser, waarna `cmd.exe` wordt opgestart en de Rekenmachine-applicatie wordt geopend. Het openen van de Rekenmachine dient als de standaard demonstratietechniek om aan te tonen dat de uitvoering van arbitraire code op OS niveau succesvol is.

De onderzoeker had deze exploit oorspronkelijk voorbereid voor inzending naar de gerenommeerde Pwn2Own-competitie, maar Zero Day Initiative (ZDI) heeft de inzending afgewezen. Desondanks heeft ggwhyp de ontdekte kwetsbaarheid verantwoordelijk gemeld bij Mozilla, de ontwikkelaar van Firefox.

Deze demonstratie illustreert de praktische haalbaarheid van een volledige browser-naar-besturingssysteem exploitatieketen in Firefox op Windows. Het benadrukt het risico dat dergelijke kwetsbaarheden kunnen vormen voor gebruikers. gebruikers van Mozilla wordt aangeraden om altijd de meest recente versie van Firefox te gebruiken en alle updates onmiddellijk te installeren zodra Mozilla een patch voor deze kwetsbaarheid uitbrengt. Dit is cruciaal om beschermd te blijven tegen potentiële aanvallen die misbruik maken van dergelijke lekken.

Bron: Cybercrimeinfo

Microsoft heeft zijn maandelijkse beveiligingsupdate voor mei 2026 uitgebracht, die in totaal 137 kwetsbaarheden omvat. Van deze kwetsbaarheden zijn er 31 door Microsoft als "kritiek" bestempeld. Tot op heden is er geen bewijs dat de in deze update opgenomen kwetsbaarheden actief worden misbruikt in het wild.

Van de 31 kritieke kwetsbaarheden betreffen 16 kwetsbaarheden met betrekking tot remote code execution (RCE) in diverse Microsoft Windows diensten en applicaties. Deze omvatten onder meer Microsoft Office, Microsoft Word, Windows Native WiFi Miniport Driver, Azure, Office voor Android, Microsoft Dynamics 365, Windows GDI, Microsoft SharePoint, Windows Graphics Component, Windows Netlogon en Windows DNS Client.

Enkele van de meest prominente kritieke kwetsbaarheden zijn:

*   **CVE-2026-32161:** Een kritieke "use after free"-kwetsbaarheid in de Windows Native WiFi Miniport Driver. Onjuiste synchronisatie bij gelijktijdige uitvoering met een gedeelde bron (een "race condition") stelt een ongeautoriseerde aanvaller in staat om code uit te voeren via een naastgelegen netwerk.

*   **CVE-2026-33109:** Een kritieke toegangscontrolekwetsbaarheid in Azure Managed Instance voor Apache Cassandra. Onjuiste toegangscontrole maakt het voor een geautoriseerde aanvaller mogelijk om code via een netwerk uit te voeren.

*   **CVE-2026-33844:** Een kritieke invoervalidatiekwetsbaarheid, eveneens in Azure Managed Instance voor Apache Cassandra. Onjuiste invoervalidatie stelt een geautoriseerde aanvaller in staat om code via een netwerk uit te voeren.

*   **CVE-2026-35421:** Een kritieke "heap-based buffer overflow"-kwetsbaarheid in Windows GDI, die een ongeautoriseerde aanvaller de mogelijkheid geeft om lokaal code uit te voeren. Voor exploitatie moet een gebruiker een speciaal geprepareerd Enhanced Metafile (EMF) bestand openen of verwerken, bijvoorbeeld met Microsoft Paint, om de kwetsbare grafische functionaliteit in de Windows-component te activeren.

*   **CVE-2026-40358:** Een kritieke "use after free"-kwetsbaarheid in Microsoft Office, waardoor een ongeautoriseerde aanvaller lokaal code kan uitvoeren.

*   **CVE-2026-40361:** Een kritieke "use after free"-kwetsbaarheid in Microsoft Word, die een ongeautoriseerde aanvaller in staat stelt lokaal code uit te voeren.

*   **CVE-2026-40363:** Een kritieke "heap-based buffer overflow" in Microsoft Office, die lokaal code-uitvoering door een ongeautoriseerde aanvaller mogelijk maakt.

*   **CVE-2026-40364:** Een kritieke "heap-based buffer overflow"-kwetsbaarheid met "type confusion" in Microsoft Office Word, waardoor een ongeautoriseerde aanvaller lokaal code kan uitvoeren.

*   **CVE-2026-40365:** Een kritieke kwetsbaarheid in Microsoft SharePoint met onvoldoende gedetailleerde toegangscontrole. Een geauthenticeerde aanvaller, met ten minste de rol van Site Owner, kan via een netwerkaanval arbitraire code injecteren en op afstand uitvoeren op de SharePoint Server.

*   **CVE-2026-40366:** Een kritieke "use after free"-kwetsbaarheid in Microsoft Word, die ongeautoriseerde lokale code-uitvoering mogelijk maakt.

*   **CVE-2026-40367:** Een kritieke kwetsbaarheid in Microsoft Word waarbij een "untrusted pointer dereference" kan leiden tot ongeautoriseerde lokale code-uitvoering.

*   **CVE-2026-40403:** Een kritieke "heap-based buffer overflow"-kwetsbaarheid in Windows Win32K, GRFX. Deze maakt lokale code-uitvoering door een geautoriseerde aanvaller mogelijk en kan leiden tot een ontsnapping uit een gecontaineriseerde uitvoeringsomgeving. Bij een Remote Desktop-verbinding kan een aanvaller met controle over een Remote Desktop Server een RCE activeren op de machine wanneer een slachtoffer verbinding maakt met de aanvallende server met een kwetsbare Remote Desktop Client.

*   **CVE-2026-41089:** Een kritieke "stack-based buffer overflow" in Windows Netlogon. Een ongeautoriseerde aanvaller kan code via een netwerk uitvoeren door een speciaal geprepareerd netwerkverzoek naar een Windows server (die fungeert als domeincontroller) te sturen. Dit kan de Netlogon-dienst ertoe brengen het verzoek onjuist te verwerken, waardoor de aanvaller mogelijk code kan uitvoeren op het getroffen systeem zonder inloggegevens of voorafgaande toegang.

*   **CVE-2026-41096:** Een kritieke "heap-based overflow"-kwetsbaarheid in de Windows DNS Client. Een aanvaller kan deze kwetsbaarheid misbruiken door een speciaal geprepareerd DNS-antwoord naar een kwetsbaar Windows systeem te sturen, wat ertoe leidt dat de DNS Client het antwoord onjuist verwerkt en het geheugen beschadigt. In bepaalde configuraties kan dit de aanvaller in staat stellen...

Bron: Cisco Talos | Bron 2: msrc.microsoft.com

Exim heeft beveiligingsupdates uitgebracht om een ernstig beveiligingsprobleem aan te pakken dat bepaalde configuraties van de Mail Transfer Agent (MTA) treft. De kwetsbaarheid kan leiden tot geheugenbeschadiging en potentiële code-uitvoering. Exim is een open-source MTA die is ontworpen voor Unix-achtige systemen om e-mail te ontvangen, routeren en af te leveren.

De kwetsbaarheid, aangeduid als CVE-2026-45185 en ook bekend als 'Dead.Letter', is een 'use-after-free'-lek in de verwerking van BDAT-berichten (binary data transmission) van Exim wanneer een TLS-verbinding wordt afgehandeld door GnuTLS. Volgens een advies dat vandaag, op 12 mei 2026, door Exim is uitgebracht, wordt het probleem geactiveerd wanneer een client een TLS 'close_notify'-alert verstuurt voordat de overdracht van de berichttekst is voltooid, en vervolgens een laatste byte in cleartext verstuurt via dezelfde TCP-verbinding.

Deze reeks van gebeurtenissen kan ertoe leiden dat Exim schrijft naar een geheugenbuffer die al is vrijgegeven tijdens het afbreken van de TLS-sessie, wat resulteert in 'heap corruption'. Een aanvaller hoeft alleen een TLS-verbinding tot stand te brengen en de CHUNKING (BDAT) SMTP-extensie te gebruiken om de kwetsbaarheid te exploiteren.

Het probleem treft alle Exim-versies van 4.97 tot en met 4.99.2. Het is echter alleen van toepassing op builds die 'USE_GNUTLS=yes' gebruiken; builds die afhankelijk zijn van andere TLS-bibliotheken zoals OpenSSL worden niet beïnvloed.

Federico Kirschbaum, hoofd van het Security Lab bij XBOW, een autonoom platform voor cybersecurity-testen, wordt gecrediteerd voor de ontdekking en rapportage van het lek op 1 mei 2026. Kirschbaum legde uit dat tijdens de TLS-afsluiting Exim zijn TLS-overdrachtbuffer vrijgeeft, maar een geneste BDAT-ontvangstwrapper nog steeds inkomende bytes kan verwerken en uiteindelijk 'ungetc()' kan aanroepen. Dit schrijft een enkel teken ('\n') naar het vrijgegeven geheugengebied, wat de allocator-metadata van Exim corrumpeert. De exploit maakt vervolgens gebruik van deze corruptie om verdere privileges te verkrijgen.

XBOW omschreef de kwetsbaarheid als "een van de meest serieuze bugs" die tot nu toe in Exim zijn ontdekt, en voegde eraan toe dat de activering ervan vrijwel geen speciale serverconfiguratie vereist.

Het tekort is verholpen in versie 4.99.3. Alle gebruikers wordt geadviseerd zo snel mogelijk te upgraden. Er zijn geen tijdelijke oplossingen die de kwetsbaarheid verhelpen. De fix zorgt ervoor dat de input-verwerkingsstack schoon wordt gereset wanneer een TLS-sluitingsmelding wordt ontvangen tijdens een actieve BDAT-overdracht, waardoor wordt voorkomen dat verouderde pointers worden gebruikt.

Dit is niet de eerste keer dat kritieke 'use-after-free'-bugs in Exim openbaar zijn gemaakt. Eind 2017 patchte Exim een 'use-after-free'-kwetsbaarheid in de SMTP-daemon (CVE-2017-16943, CVSS-score: 9.8) die door niet-geauthenticeerde aanvallers kon worden misbruikt om 'remote code execution' te bereiken via speciaal vervaardigde BDAT-commando's en zo de controle over de e-mailserver over te nemen.

Bron: Exim | Bron 2: xbow.com | Bron 3: devco.re

Een recent ontdekte, ongepatchte kwetsbaarheid in Open WebUI stelt aanvallers in staat om met één klik AI-werkruimtes over te nemen, code op afstand uit te voeren, accounts te kapen en gevoelige chatgeschiedenissen te stelen. Beveiligingsonderzoeker Metin Yunus Kandemir identificeerde de kwetsbaarheid, die voortkomt uit een Stored Cross-Site Scripting (XSS)-lek in de functionaliteit voor het uploaden van profielafbeeldingen van het platform. Omdat de ontwikkelaars weigerden de bevinding te erkennen, is de exploitcode nu openbaar, waardoor gebruikers kwetsbaar zijn.

De kwetsbaarheid bevindt zich in de manier waarop Open WebUI profielafbeeldingen van gebruikers verwerkt. Wanneer een gebruiker een afbeelding uploadt, vertrouwt de applicatie op het bestand `/backend/open_webui/routers/users.py` voor de gegevensverwerking. Helaas faalt de code in het beperken van de soorten media die gebruikers kunnen uploaden. In plaats van een standaard JPEG of PNG-afbeelding te uploaden, kan een aanvaller een malafide SVG-bestand uploaden dat een Base64-gecodeerde JavaScript-payload bevat.

Omdat de applicatie een 'inline' contentdispositie gebruikt, dwingt het de browser niet om het bestand te downloaden. In plaats daarvan, wanneer een slachtoffer de afbeeldingslink bezoekt, voert de browser onmiddellijk de verborgen JavaScript-code uit. De ernst van de aanval hangt volledig af van het toestemmingsniveau van het slachtoffer binnen de Open WebUI-omgeving.

Voor beheerders betekent dit dat als een beheerder of een gebruiker met werkruimteprivileges op de kwaadaardige afbeeldingslink klikt, de aanvaller 1-Klik Remote Code Execution (RCE) verkrijgt. De JavaScript-code creëert stilzwijgend een kwaadaardige tool via de API van de applicatie, waardoor een permanente backdoor wordt geopend. Voor standaardgebruikers leidt een klik op de link tot een overname van accounts (ATO). Het script schraapt stilletjes de browseropslag van de gebruiker om hun authenticatietokens te stelen en kopieert hun volledige chatgeschiedenis, waarbij de privédata naar een externe server worden verzonden. Als het slachtoffer al is ingelogd, is verdere authenticatie niet vereist en vindt de aanval direct op de achtergrond plaats.

Deze zero day kwetsbaarheid blijft ongepatcht in Open WebUI versie 0.7.2. Kandemir rapporteerde het probleem oorspronkelijk op 10 maart 2026 aan de leverancier. Echter, op 6 mei 2026 sloot het Open WebUI-team het rapport als een duplicaat, verwijzend naar een niet-openbaar beveiligingsadvies en liet onderzoeker UseHacker weten dat zijn kwetsbaarheidsrapport geen officiële erkenning zou krijgen. Volgens UseHacker publiceerde Kandemir op 8 mei 2026 de volledige Proof of Concept (PoC), omdat hij meende dat de reactie het beleid voor verantwoorde openbaarmaking schond.

Aangezien er geen officiële patch is uitgebracht, moeten organisaties die Open WebUI gebruiken handmatige verdedigingsmaatregelen implementeren om hun omgevingen te beschermen. Beheerders dienen de code van de backend aan te passen om een strikte witte lijst af te dwingen voor de variabele `media_type`. Alleen veilige formaten zoals `image/png`, `image/jpeg`, `image/gif` en `image/webp` mogen worden geaccepteerd. Het is cruciaal om `image/svg+xml` volledig te blokkeren. Totdat een patch is geïmplementeerd, moeten gebruikers uiterste voorzichtigheid betrachten en niet klikken op onverwachte links die omleiden naar de Open WebUI-applicatie, vooral URL's die `/profile/image` of `/auth?redirect=` bevatten.

Bron: UseHacker

Recent zijn er diverse kwetsbaarheden ontdekt in het software-ecosysteem van Zoom, die lokale aanvallers in staat stellen om ongeautoriseerde controle over systemen te verkrijgen. Zoom heeft snel updates uitgebracht om deze beveiligingslekken in Zoom Rooms voor Windows, de Zoom Workplace VDI Plugin en Zoom Workplace voor iOS te dichten. Indien deze kwetsbaarheden onbehandeld blijven, kan de meest ernstige hiervan geauthenticeerde gebruikers met lokale toegang de mogelijkheid bieden om hun privileges te escaleren en ongeoorloofde controle over de getroffen apparaten te verwerven.

De meest kritieke dreigingen betreffen twee kwetsbaarheden met hoge ernst die Windows-gebruikers beïnvloeden. Beide zijn ontdekt en gerapporteerd aan Zoom door beveiligingsonderzoeker sim0nsecurity. De eerste kwetsbaarheid, aangeduid als CVE-2026-30906, bevindt zich in de installer van Zoom Rooms voor Windows. Deze kwetsbaarheid vloeit voort uit een zwakte in het niet-vertrouwde zoekpad. Wanneer een softwareprogramma de directory's die het gebruikt om kritieke bestanden te laden niet correct valideert, kunnen aanvallers kwaadaardige code in deze paden plaatsen. Een geauthenticeerde gebruiker met lokale toegang kan deze fout misbruiken om privileges te escaleren en diepere administratieve controle over het systeem te verkrijgen.

De tweede belangrijke kwetsbaarheid, CVE-2026-30905, is aanwezig in de Universele installer van de Zoom Workplace VDI Plugin voor Windows. Dit lek omvat de externe controle van een bestandsnaam of pad. Door de manier waarop de installer bestandsnamen afhandelt tijdens de installatie te manipuleren, kan een lokale aanvaller het systeem dwingen ongeautoriseerde commando's uit te voeren. Dit opent een gevaarlijk kanaal voor verdere escalatie van privileges.

Voor iOS-gebruikers is er een ander type risico, hoewel van lagere ernst. De kwetsbaarheid, aangeduid als CVE-2026-30904, treft Zoom Workplace voor iOS en is gerapporteerd door beveiligingsonderzoeker errorsec_. Deze kwetsbaarheid betreft het falen van een beschermingsmechanisme. In tegenstelling tot de Windows-lekken, is fysieke toegang tot het iOS-apparaat vereist om dit probleem uit te buiten. Als een aanvaller hierin slaagt, kan deze beschermingsmechanismen omzeilen om de applicatie te dwingen gevoelige informatie vrij te geven. Vanwege de vereiste van fysieke toegang en hoge privileges, blijft de CVSS-score voor deze kwetsbaarheid laag, namelijk 1.8.

Om deze risico's te beperken en potentiële systeemovernames te voorkomen, wordt gebruikers en systeembeheerders geadviseerd snel te handelen. Zoom heeft reeds updates uitgebracht om deze beveiligingslekken op alle getroffen platforms aan te pakken. Organisaties dienen een strikt patchmanagementbeleid te handhaven en ervoor te zorgen dat hun endpoints volledig up-to-date zijn. Gebruikers kunnen hun apparaten beveiligen door de nieuwste versies rechtstreeks te downloaden en te installeren via de officiële downloadportal van Zoom.

Bron: Zoom

Meer dan een miljoen babymonitors, beveiligingscamera's en deurbelcamera's, geproduceerd door de Chinese fabrikant Meari en verkocht onder diverse merknamen, bleken eenvoudig toegankelijk voor onbevoegden. Daarnaast werden tienduizenden foto's die door deze camera's waren gemaakt, onbeveiligd op servers van Alibaba opgeslagen. Dit werd ontdekt door beveiligingsonderzoeker Sammy Azdoufal, die de problemen aan de fabrikant rapporteerde.

Meari levert haar producten onder de eigen naam CloudEdge, maar fungeert ook als whitelabelleverancier voor meer dan driehonderd partnermerken, waaronder Arenti, Boifun, Cococam, PetTec, SV3C, Joystek, Luvion en Vimar. Azdoufal identificeerde meerdere ernstige kwetsbaarheden in het systeem.

Een van de problemen betrof het MQTT (Message Queueing Telemetry Transport)-protocol dat de camera's gebruiken voor bewegingsmeldingen naar de bijbehorende app. Aangemaakte CloudEdge-accounts hadden niet alleen toegang tot hun eigen camera, maar door het gebruik van een platformbrede wildcard ook tot alle andere camera's die via de achterliggende backend communiceerden.

Een tweede kwetsbaarheid maakte het mogelijk om op basis van het serienummer van een camera het IP-adres van de gebruiker te achterhalen. Dit was te wijten aan een hardcoded key in de camera app. Verder bleken de bewegingsdetectiefoto's die de camera's naar de cloudopslagdienst van Alibaba uploaden, zonder authenticatie voor iedereen toegankelijk te zijn.

De meldingafbeeldingen die babymonitors uploaden, konden bovendien ontsleuteld worden met behulp van publieke informatie. Als laatste bleek het gehele ecosysteem van Meari gebruik te maken van statische keys. Volgens Azdoufal zijn deze keys niet te vervangen, tenzij elk afzonderlijk apparaat opnieuw wordt geflasht. Een compromittering van deze keys is daardoor permanent en raakt het gehele ecosysteem. De onderzoeker schat dat de problemen meer dan 1,1 miljoen camera's betreffen.

Azdoufal informeerde Meari op 2 maart en ontving op 11 maart een reactie. Na 47 dagen van onderhandelingen werd hem een bug bounty van 24.000 euro uitgekeerd. De onderzoeker merkt op dat gebruikers van de betreffende camera's geen datalekmelding hebben ontvangen. Meari heeft tegenover The Verge verklaard gebruikers te hebben opgeroepen de nieuwste firmware te installeren. Het is echter onduidelijk of voor alle kwetsbare apparaten een update beschikbaar is.

Bron: xn0tsa | Bron 2: github.com | Bron 3: theverge.com

Apple heeft recentelijk een reeks belangrijke beveiligingsupdates uitgebracht om meerdere kwetsbaarheden in diverse versies van zijn macOS-besturingssysteem te verhelpen. De getroffen versies omvatten macOS Sequoia, Sonoma en Tahoe. Deze updates zijn cruciaal om gebruikers te beschermen tegen potentiële aanvallen en systeeminstabiliteit.

De opgeloste kwetsbaarheden betreffen een breed scala aan problemen, voornamelijk gerelateerd aan geheugenbeheer. Hieronder vallen buffer overflows, use-after-free fouten, out-of-bounds read en write kwetsbaarheden, en integer overflows. Dergelijke fouten kunnen ernstige gevolgen hebben, variërend van onverwachte applicatie of systeemcrashes tot denial-of-service aanvallen die de beschikbaarheid van het systeem beïnvloeden. In de meest kritieke gevallen kunnen deze geheugenfouten leiden tot ongeautoriseerde toegang tot gevoelige kernel of gebruikersgegevens, waardoor aanvallers mogelijk vertrouwelijke informatie kunnen stelen of manipuleren.

Naast de geheugenbeheerproblemen heeft Apple ook fixes geïmplementeerd voor andere significante beveiligingslekken. Het gaat hierbij om kwetsbaarheden die een sandbox escape mogelijk maken, waardoor een aanvaller de beperkingen van een geïsoleerde omgeving kan omzeilen. Ook zijn problemen met privilege-escalatie naar root-niveau aangepakt, wat een aanvaller de hoogste systeemrechten zou kunnen geven. Verder zijn er oplossingen geboden voor bypasses van Content Security Policy (CSP), onjuiste permissie en toegangscontrolemechanismen, en race conditions die misbruikt kunnen worden voor ongeoorloofde acties. Kwetsbaarheden met betrekking tot logging die gevoelige informatie lekt en bypasses van Gatekeeper beveiligingsmechanismen zijn eveneens verholpen. Gatekeeper is een belangrijke functie die helpt controleren welke applicaties op een Mac kunnen worden uitgevoerd.

De exploitatie van sommige van deze kwetsbaarheden kan plaatsvinden via verschillende vectoren, waaronder speciaal vervaardigde bestanden, kwaadaardige webcontent of specifiek netwerkverkeer. Dit onderstreept het belang van het snel installeren van de beschikbare updates. De geïmplementeerde fixes omvatten verbeterde validatie van invoer om te voorkomen dat kwaadaardige data wordt verwerkt, strengere toegangscontrole om ongeautoriseerde acties te blokkeren, en verbeterd geheugen en statusbeheer om de stabiliteit en integriteit van het systeem te waarborgen. Bovendien zijn de sandboxing en loggingmechanismen versterkt om de detectie en preventie van toekomstige aanvallen te verbeteren.

Bron: NCSC

Fortinet heeft een kwetsbaarheid (CVE-2026-25690) geïdentificeerd in de webinterface (WEB UI) van zijn FortiDeceptor-product. Deze kwetsbaarheid, geclassificeerd als een onjuiste neutralisatie van argumentbegrenzers in een commando (CWE-88, ook bekend als 'Argument Injection'), stelt een geauthenticeerde aanvaller met ten minste lees-alleen beheerdersrechten in staat om logbestanden uit te lezen. Dit kan worden bereikt door middel van speciaal opgestelde HTTP-verzoeken.

FortiDeceptor is een deception-platform dat is ontworpen om cyberaanvallen te detecteren en af te leiden door middel van loksystemen en -data. De ontdekte kwetsbaarheid heeft een CVSSv3-score van 4.0, wat duidt op een gemiddelde ernst. De impact van deze kwetsbaarheid is informatie openbaarmaking.

De kwetsbaarheid is intern ontdekt en gerapporteerd door Adham El karn van het productbeveiligingsteam van Fortinet. De initiële publicatie van deze informatie vond plaats op 12 mei 2026.

De volgende versies van FortiDeceptor zijn getroffen:

*   FortiDeceptor 6.0: alle versies van 6.0.0 tot en met 6.0.2

*   FortiDeceptor 5.3: alle versies van 5.3.0 tot en met 5.3.3

*   FortiDeceptor 5.2: alle versies van 5.2.0 tot en met 5.2.1

*   FortiDeceptor 5.1: alle versies

*   FortiDeceptor 5.0: alle versies

Versies 6.3, 6.2, 6.1, 4.3, 4.2 en 4.1 van FortiDeceptor zijn niet getroffen door deze specifieke kwetsbaarheid.

De aanbevolen oplossing voor getroffen gebruikers is om te migreren naar een vaste release waarin deze kwetsbaarheid is verholpen. Hoewel de kwetsbaarheid "Argument Injection" betreft, wordt in de context van deze specifieke kwestie de nadruk gelegd op het ongeautoriseerd kunnen uitlezen van logbestanden, wat potentieel gevoelige operationele informatie kan prijsgeven aan aanvallers die reeds toegang hebben tot de administratieve interface.

Bron: Fortinet

Fortinet heeft een kwetsbaarheid geïdentificeerd in de Command Line Interface (CLI) van zijn FortiAP, FortiAP U en FortiAP W2 draadloze access points. Deze kwetsbaarheid, aangeduid als CVE-2025-53680, betreft een onjuiste neutralisatie van speciale elementen die worden gebruikt in een OS commando (OS Command Injection). Het lek kan een geauthenticeerde aanvaller met bevoorrechte toegang in staat stellen om ongeautoriseerde code of commando's uit te voeren via speciaal vervaardigde CLI verzoeken.

De ernst van de kwetsbaarheid is beoordeeld als 'Medium' met een CVSSv3 score van 6.1. De aanval vereist dat de aanvaller reeds geauthenticeerd is en over bevoorrechte toegang beschikt tot de CLI van het apparaat. Er zijn op dit moment geen indicaties dat de kwetsbaarheid actief wordt misbruikt, aangezien deze intern is ontdekt en gerapporteerd door Shrikant Patil van het FortiAP ontwikkelingsteam. De initiële publicatie van deze informatie vond plaats op 12 mei 2026.

Diverse versies van de FortiAP productlijnen zijn getroffen door dit beveiligingslek. Voor FortiAP 7.6 zijn de versies 7.6.0 tot en met 7.6.2 kwetsbaar, waarbij een upgrade naar 7.6.3 of hoger wordt aanbevolen. Gebruikers van FortiAP 7.4 (versies 7.4.0 tot en met 7.4.5) dienen te upgraden naar 7.4.6 of hoger. Alle versies van FortiAP 7.2 en 6.4 zijn eveneens kwetsbaar en vereisen migratie naar een gefixte release.

Voor de FortiAP U serie zijn versies 7.0.0 tot en met 7.0.5 getroffen, met een aanbevolen upgrade naar 7.0.6 of hoger. Ten slotte zijn voor de FortiAP W2 serie de versies 7.4.0 tot en met 7.4.4 kwetsbaar, waarvoor een upgrade naar 7.4.5 of hoger noodzakelijk is. Ook alle versies van FortiAP W2 7.2 moeten migreren naar een gefixte release.

Fortinet adviseert alle gebruikers van de getroffen FortiAP, FortiAP U en FortiAP W2 apparaten dringend om de aanbevolen updates zo spoedig mogelijk te installeren. Het negeren van deze updates kan leiden tot aanzienlijke beveiligingsrisico's, waarbij geauthenticeerde aanvallers de mogelijkheid krijgen om de controle over de apparaten over te nemen en ongeautoriseerde acties uit te voeren binnen het netwerk. Het is van cruciaal belang dat organisaties proactief handelen om hun infrastructuur te beschermen tegen dergelijke kwetsbaarheden.

Bron: Fortinet

Fortinet heeft een beveiligingsadvies uitgebracht met betrekking tot een kwetsbaarheid in FortiClient Windows die het mogelijk maakt voor een geauthenticeerde lokale aanvaller om opgeslagen wachtwoorden voor VPN-verbindingen te ontsleutelen. De kwetsbaarheid, aangeduid met CVE-2026-44278, heeft een lage CVSSv3-score van 2.1 en wordt geclassificeerd als 'Missing Authorization' (CWE-862).

Het probleem zit in het gebruik van een hardcoded encryptiesleutel voor opgeslagen VPN wachtwoorden. Een aanvaller met lokale authenticatie kan misbruik maken van een onbeschermde functie binnen een DLL-bestand van FortiClient om de VPN wachtwoorden van een momenteel ingelogde gebruiker te decoderen. De impact van deze kwetsbaarheid is informatielek, waarbij gevoelige inloggegevens kunnen worden blootgesteld.

De getroffen versies van FortiClient Windows zijn 7.4.0 tot en met 7.4.2 binnen de 7.4-serie, en alle versies binnen de 7.2-serie. Fortinet adviseert gebruikers van FortiClient Windows 7.4 om te upgraden naar versie 7.4.3 of hoger. Voor gebruikers van FortiClient Windows 7.2 wordt geadviseerd om te migreren naar een gefixte release zodra deze beschikbaar is.

De kwetsbaarheid werd extern ontdekt en is gerapporteerd door Alex Ghiotto van de HackerHood Research Group. Fortinet heeft het beveiligingsadvies met IR-nummer FG-IR-26-129 op 12 mei 2026 gepubliceerd. Op dit moment is er geen bewijs dat de kwetsbaarheid actief wordt misbruikt in het wild. De aanval vereist lokale authenticatie op het systeem, wat de potentiële impact beperkt.

Bron: Fortinet

Fortinet heeft een beveiligingslek (FG-IR-26-130) gemeld in zijn FortiTokenAndroid-applicatie, dat kan leiden tot het uitlezen van One-Time Password (OTP) codes. De kwetsbaarheid, geïdentificeerd als CVE-2026-44279, heeft een CVSSv3 score van 5.0, wat duidt op een gemiddelde ernst.

Het probleem betreft een onjuiste export van Android applicatiecomponenten, gecategoriseerd onder CWE-926. Door deze fout kunnen andere applicaties die op hetzelfde Android-apparaat zijn geïnstalleerd, de OTP-codes van FortiTokenAndroid uitlezen. Dit gebeurt via een geëxporteerde Content Provider URI. De impact van deze kwetsbaarheid wordt omschreven als 'Improper access control'.

Voor een succesvolle aanval is authenticatie vereist, wat betekent dat de aanvaller al enige vorm van toegang of bevoegdheid op het apparaat moet hebben. Fortinet heeft aangegeven dat de kwetsbaarheid momenteel niet bekend is als actief misbruikt.

De volgende versies van FortiTokenAndroid zijn getroffen:

*   FortiTokenAndroid 6.2 (alle versies)

*   FortiTokenAndroid 6.1 (alle versies)

*   FortiTokenAndroid 5.2 (alle versies)

Gebruikers van deze getroffen versies wordt dringend geadviseerd om te migreren naar een vaste release waarin het probleem is opgelost. FortiTokenAndroid versie 6.4 is niet getroffen door deze specifieke kwetsbaarheid.

Fortinet bedankt Renan Dias voor het rapporteren van deze kwetsbaarheid. De initiële publicatie van dit beveiligingsadvies vond plaats op 12 mei 2026.

Bron: Fortinet

Op 12 mei 2026 heeft Fortinet een beveiligingswaarschuwing uitgegeven betreffende een kwetsbaarheid in zijn FortiNDR product. De kwetsbaarheid, aangeduid als CVE-2026-25088, betreft een onjuiste neutralisatie van speciale elementen die worden gebruikt in SQL commando's, beter bekend als een SQL injectie (CWE-89). Deze kwetsbaarheid kan een aanvaller met authenticatie in staat stellen om willekeurige SQL commando's uit te voeren op specifieke databases en tabellen binnen het systeem, door middel van speciaal vervaardigde HTTP verzoeken.

De impact van deze kwetsbaarheid wordt door Fortinet als 'Medium' beoordeeld, met een CVSSv3 score van 5.1. De kwetsbaarheid bevindt zich specifiek in de grafische gebruikersinterface (GUI) van FortiNDR. Hoewel de kwetsbaarheid intern is ontdekt en gerapporteerd door Dipanjan Das, zijn er op dit moment geen meldingen van actief misbruik bekend. Dit betekent echter niet dat het risico afwezig is, en gebruikers worden dringend geadviseerd om de aanbevolen oplossingen te implementeren.

De volgende versies van FortiNDR zijn getroffen door deze kwetsbaarheid:

*   FortiNDR 7.6, versies 7.6.0 tot en met 7.6.2. Gebruikers van deze versies moeten upgraden naar versie 7.6.3 of hoger.

*   FortiNDR 7.4, versies 7.4.0 tot en met 7.4.9. Voor deze versies is een upgrade naar 7.4.10 of hoger vereist.

*   Voor FortiNDR 7.2, 7.1 en 7.0, inclusief alle subversies, wordt geadviseerd om te migreren naar een vaste release die de kwetsbaarheid verhelpt.

Het is van cruciaal belang dat organisaties die FortiNDR gebruiken, hun systemen zo snel mogelijk patchen of upgraden om het risico op ongeautoriseerde code of commando-uitvoering te minimaliseren. Aangezien een aanvaller authenticatie nodig heeft, benadrukt dit het belang van sterke toegangscontroles en het principe van minimale privileges binnen IT-omgevingen. Regelmatige monitoring en tijdige updates zijn essentieel voor het handhaven van een robuuste cybersecurity verdediging.

Bron: Fortinet

De Duitse computerbeveiligingsexpert Andreas Markis heeft recentelijk significante beveiligingslekken blootgelegd in de robotgrasmaaiers van Yarbo, een merk dat onder een Amerikaanse handelsnaam huishoudelijke robots van Chinese makelij aanbiedt. Markis demonstreerde hoe hij vanuit Duitsland de besturing kon overnemen van een Yarbo-robot die zich in de Verenigde Staten bevond, een afstand van maar liefst 9.600 kilometer.

Tijdens een geplande test stuurde Markis de robot op afstand af op een journalist van techwebsite The Verge. Gelukkig voor de verslaggever werd de maaier achterstevoren naar het doelwit gestuurd, waardoor de impact beperkt bleef tot de rupsbanden en niet de gevaarlijke messen. De onderzoeker toonde aan dat deze kwetsbaarheid niet beperkt was tot één apparaat; hij kon maar liefst 11.000 van deze robots wereldwijd kapen.

Deze ontdekking onderstreept de al langer bestaande zorgen over de beveiliging van apparaten die behoren tot het internet der dingen (IoT). Deze producten, die met het internet verbonden zijn voor software-updates en gegevensuitwisseling, zoals bewakingscamera's, zijn vaak slecht beveiligd, met name consumentenapparatuur. Dit komt veelal door kostenoverwegingen, waarbij apparaten af fabriek worden voorzien van standaardwachtwoorden die gebruikers vaak nalaten te wijzigen.

In het geval van de Yarbo-grasmaaiers bleek dit ook een van de problemen te zijn, naast andere beveiligingsgebreken. Yarbo beweerde aanvankelijk dat alleen eigen medewerkers de machines op afstand konden bedienen. Echter, na de onthullingen van de Duitse onderzoeker, gaf het bedrijf een verklaring uit waarin het 'achterdeurtje' in de robots werd afgesloten en excuses werden aangeboden voor de nalatige beveiliging.

De Yarbo-robotgrasmaaiers worden ook in Nederland en België verkocht. De basisversie, een robot op wieltjes zonder hulpstukken, kost bijna 5.700 euro. Uitbreidingen zoals een grasmaaier, bladblazer of sneeuwruimer kosten tussen de 1.200 en 2.600 euro extra.

Gisteren maakte het Nederlandse onderzoeksbureau Multiscope bekend dat slimme huishoudelijke apparaten een groeiende populariteit genieten. Drie op de tien huishoudens in Nederland bezitten inmiddels dergelijke apparatuur, een stijging ten opzichte van vier jaar geleden toen dit nog een kwart was. De robotstofzuiger is hierin het populairst, met een aandeel van 12 procent. Opmerkelijk is dat 36 procent van de huishoudens een 'slim' apparaat, zoals een wasmachine of vaatwasser, kocht zonder dat de slimme functionaliteit de primaire reden van de aankoop was.

Bron: De Morgen | Bron 2: multiscope.nl

Een dreigingsactor die bekendstaat als Nightmare-Eclipse, ook wel Chaotic Eclipse, heeft op 12 mei 2026 twee proof-of-concept exploits op GitHub gepubliceerd. Deze exploits, genaamd YellowKey en GreenPlasma, richten zich op kwetsbaarheden in Windows-besturingssystemen waarvoor momenteel nog geen officiële patches beschikbaar zijn van Microsoft. Beveiligingsonderzoekers hebben de functionaliteit van beide exploits bevestigd.

De YellowKey-exploit is ontworpen om de BitLocker-versleuteling te omzeilen op systemen met Windows 11, Windows Server 2022 en Windows Server 2025. Een aanvaller kan, door middel van fysieke toegang met een USB-apparaat in combinatie met een herstart van het systeem, ongeautoriseerde toegang verkrijgen tot versleutelde schijven. Dit stelt de aanvaller in staat om de versleutelde data te benaderen.

GreenPlasma maakt misbruik van het Windows CTFMON-proces. Deze exploit gebruikt willekeurige sectie-aanmaak om privileges te escaleren naar SYSTEM-niveau op Windows 11, Windows Server 2022 en Windows Server 2026. Een succesvolle privilege-escalatie geeft een aanvaller volledige controle over het getroffen systeem.

De dreigingsactor achter deze publicaties is dezelfde persoon die eerder verantwoordelijk was voor de exploits RedSun, UnDefend en BlueHammer. Chaotic Eclipse heeft Microsoft openlijk gedreigd met een "grote verrassing" tijdens de volgende Patch Tuesday, wat duidt op verdere publicaties van kwetsbaarheden of exploits. Gebruikers en organisaties worden geadviseerd alert te zijn op toekomstige updates van Microsoft om zich tegen deze en mogelijk andere dreigingen te beschermen.

Bron: Cybercrimeinfo

Microsoft heeft tijdens de patchdinsdag van mei beveiligingsupdates uitgebracht voor meer dan honderddertig kwetsbaarheden, waarvan enkele kritieke lekken in Windows Server en Windows systemen die de verspreiding van een computerworm zonder gebruikersinteractie mogelijk maken. Organisaties worden dringend geadviseerd deze updates onmiddellijk te installeren.

Securitybedrijf ZDI vestigt de aandacht op een aantal specifieke lekken. Een daarvan is CVE-2026-41089, een kritieke kwetsbaarheid in het Netlogon onderdeel van Windows Server. Dit lek maakt remote code execution (RCE) op domain controllers mogelijk. Een aanvaller hoeft hiervoor slechts een speciaal geprepareerd netwerk request te versturen, zonder dat inloggegevens of interactie van gebruikers vereist zijn. ZDI benadrukt de urgentie van patchen, met de waarschuwing dat een gecompromitteerde domain controller gelijkstaat aan een gecompromitteerd domein.

Een andere kritieke kwetsbaarheid, CVE-2026-41096, bevindt zich in de Windows DNS Client van Windows 11 en Windows Server 2025. Door middel van een malafide DNS response kan remote code execution worden bereikt. Ook hier is geen authenticatie of gebruikersinteractie nodig. Dustin Childs van ZDI merkt op dat het aanvalsoppervlak van dit lek enorm is, aangezien de DNS Client op vrijwel elke Windows machine draait. Een aanvaller die DNS responses kan beïnvloeden, bijvoorbeeld via een man-in-the-middle aanval, kan ongeauthenticeerd code uitvoeren op systemen binnen de gehele onderneming.

Daarnaast is er een tweede kwetsbaarheid die volgens Childs 'wormable' is: CVE-2026-40415. Dit lek is te vinden in het TCP/IP onderdeel van Windows en Windows Server en maakt het mogelijk voor een ongeauthenticeerde aanvaller om code uit te voeren zonder gebruikersinteractie. Het misbruik van deze kwetsbaarheid is weliswaar onwaarschijnlijker, omdat het doelwit gedurende langere tijd minder werkgeheugen beschikbaar moet hebben. Desondanks roept ZDI organisaties op ook deze update snel te testen en uit te rollen. De Windows updates worden op de meeste machines automatisch geïnstalleerd.

Bron: ZDI | Bron 2: msrc.microsoft.com | Bron 3: zerodayinitiative.com

Adobe heeft recentelijk meerdere kwetsbaarheden verholpen in zijn videobewerkingssoftware Adobe Premiere Pro. De patches zijn uitgebracht voor versies 26.0.2, 25.6.4 en alle eerdere versies van het programma. Deze beveiligingslekken zijn specifiek gerelateerd aan de manier waarop Adobe Premiere Pro omgaat met speciaal vervaardigde bestanden.

Eén van de geïdentificeerde kwetsbaarheden betreft een out-of-bounds write. Dit type kwetsbaarheid houdt in dat de applicatie probeert data te schrijven naar een geheugenlocatie die buiten de toegestane grenzen valt, wat kan leiden tot geheugenbeschadiging. Een dergelijke corruptie kan op zijn beurt de stabiliteit van het programma aantasten en potentiële aanvalsvectoren creëren.

Een andere belangrijke kwetsbaarheid die is aangepakt, is een zogenaamde Use After Free. Deze fout ontstaat wanneer een programma geheugen vrijgeeft dat vervolgens toch weer wordt gebruikt. Als het geheugenbeheer na het vrijgeven van objecten onjuist is, kan een aanvaller deze situatie misbruiken om de normale programmastroom te manipuleren. Dit kan leiden tot onverwacht gedrag of, in ernstige gevallen, tot de uitvoering van kwaadaardige instructies.

De exploitatie van beide kwetsbaarheden kan ernstige gevolgen hebben. Potentiële aanvallers zouden de mogelijkheid kunnen krijgen om willekeurige code uit te voeren binnen de context van de Adobe Premiere Pro-applicatie. Dit betekent dat zij, na succesvolle exploitatie, controle kunnen krijgen over de software en mogelijk ook over het onderliggende systeem. Om deze kwetsbaarheden te misbruiken, is het vereist dat een gebruiker een speciaal vervaardigd kwaadaardig bestand opent. Gebruikers van Adobe Premiere Pro worden geadviseerd hun software zo spoedig mogelijk te updaten naar de gepatchte versies om beschermd te zijn tegen deze risico's.

Bron: NCSC

Microsoft heeft een storing in Windows Autopatch verholpen die ervoor zorgde dat driver-updates die door administratieve beleidsregels waren beperkt, toch werden geïnstalleerd op sommige door Autopatch beheerde Windows-apparaten in de Europese Unie. Het probleem trof een beperkt aantal apparaten met client Windows-platforms, waaronder Windows 11 25H2, Windows 11 24H2 en Windows 11 23H2.

Volgens een service-alert werden door deze bug aanbevolen driver-updates zonder gebruikersgoedkeuring geïnstalleerd, zelfs wanneer IT-beheerders beleidsregels hadden geconfigureerd die handmatige goedkeuring vereisten. Getroffen systemen vertoonden onverwacht gedrag, waaronder herstarts en, in sommige gevallen, systeemfouten, afhankelijk van de geïnstalleerde drivers.

Microsoft heeft de bug verholpen met een oplossing aan de servicezijde, wat betekent dat klanten geen actie hoeven te ondernemen om het probleem op te lossen. Het bedrijf benadrukte dat er geen client-side updates of verdere actie van klanten vereist is.

Dit is niet de enige recente uitdaging voor Microsoft. Vorige maand verhielp het bedrijf een ander bekend probleem dat ervoor zorgde dat systemen met Windows Server 2019 en 2022 "onverwacht" werden geüpgraded naar Windows Server 2025. Microsoft erkende dit probleem voor het eerst in september 2024, na wijdverspreide meldingen van Windows-beheerders over servers die 's nachts werden geüpgraded naar een Windows Server-versie waarvoor zij niet eens een licentie hadden.

Daarnaast bevestigde Microsoft op dinsdag dat sommige klanten problemen ondervinden bij het installeren van Office op hun Windows 365-apparaten. Dit wordt veroorzaakt door een configuratiewijziging die is geïntroduceerd door een recente service-update.

Bron: Microsoft

Microsoft heeft een nieuw, multi-model AI-gedreven systeem genaamd MDASH geïntroduceerd, bedoeld om kwetsbaarheden op grote schaal te ontdekken en te verhelpen. Dit systeem wordt momenteel getest door een beperkt aantal klanten via een besloten preview.

MDASH, een afkorting van "multi-model agentic scanning harness", is een model-agnostisch systeem dat gespecialiseerde AI-agents inzet voor verschillende klassen van kwetsbaarheden. Het systeem is ontworpen om autonoom exploiteerbare gebreken in complexe codebases zoals die van Windows te ontdekken, te valideren en te bewijzen. Taesoo Kim, vicepresident van agentic security bij Microsoft, benadrukt dat MDASH, in tegenstelling tot benaderingen met één enkel model, meer dan honderd gespecialiseerde AI-agents orkestreert over een reeks geavanceerde en gedistilleerde modellen. Dit stelt het systeem in staat om exploiteerbare bugs van begin tot eind te ontdekken, te bediscussiëren en te bewijzen.

MDASH functioneert als een gestructureerde pijplijn die een codebase analyseert en gevalideerde, bewezen bevindingen produceert via een reeks acties. Het proces begint met het analyseren van de broncode om een dreigingsmodel en aanvalsoppervlak op te bouwen. Vervolgens worden gespecialiseerde "auditor"-agents ingezet op potentiële codepaden om mogelijke problemen te signaleren. Een tweede set "debater"-agents valideert deze bevindingen, waarna semantisch equivalente bevindingen worden gegroepeerd en het bestaan van de kwetsbaarheden definitief wordt bewezen.

Het systeem maakt gebruik van een configureerbaar paneel van modellen, waarbij geavanceerde modellen worden ingezet voor redenering en gedistilleerde modellen voor validatie bij grote hoeveelheden data. Een afzonderlijk geavanceerd model dient als onafhankelijk tegenargument. Microsoft legt uit dat onenigheid tussen modellen zelf een signaal is wanneer een auditor iets als verdacht aanmerkt en de debater dit niet kan weerleggen, neemt de geloofwaardigheid van die bevinding toe. Elk stadium van de pijplijn heeft zijn eigen rol, prompt regime, tools en stopcriteria. De gespecialiseerde agents zijn geconstrueerd op basis van eerdere veelvoorkomende kwetsbaarheden en blootstellingen (CVE's) en de bijbehorende patches. De architectuur maakt ook portabiliteit over modelgeneraties mogelijk.

MDASH is al succesvol ingezet en heeft zestien kwetsbaarheden aan het licht gebracht die zijn verholpen in de Patch Tuesday-release van deze maand. Deze tekortkomingen bevonden zich in de netwerk en authenticatiestack van Windows, waaronder twee kritieke kwetsbaarheden die konden leiden tot uitvoering van code op afstand. Dit betreft CVE-2026-33824 (CVSS-score: 9.8), een double-free kwetsbaarheid in "ikeext.dll" die een ongeauthenticeerde aanvaller in staat stelde om speciaal vervaardigde pakketten naar een Windows-machine met Internet Key Exchange (IKE) versie 2 te sturen, met uitvoering van code op afstand als gevolg. De andere is CVE-2026-33827 (CVSS-score: 8.1), een race condition kwetsbaarheid in TCP/IP van Windows ("tcpip.sys") die een ongeautoriseerde aanvaller toestaat een speciaal vervaardigd IPv6-pakket te versturen naar een Windows-node waarop IPSec is ingeschakeld, wat eveneens kan leiden tot uitvoering van code op afstand.

De introductie van MDASH volgt op soortgelijke initiatieven zoals Anthropic's Project Glasswing en OpenAI Daybreak, die eveneens AI-gedreven cyberbeveiligingsprojecten zijn gericht op het versnellen van de ontdekking, validatie en remediëring van kwetsbaarheden voordat deze door kwaadwillende actoren kunnen worden misbruikt. Kim concludeert dat de strategische implicatie duidelijk is: AI voor kwetsbaarheidsdetectie is de overstap gemaakt van onderzoekscuriositeit naar defensie op productieniveau op enterpriseschaal, waarbij het duurzame voordeel ligt in het agentic systeem rond het model, in plaats van in een enkel model zelf.

Bron: Microsoft

Een ernstig beveiligingslek is ontdekt in SandboxJS, een veelgebruikte sandboxing bibliotheek voor JavaScript die beschikbaar is via npm. Deze kwetsbaarheid stelt aanvallers in staat om volledig uit de sandbox te breken en willekeurige code direct op het onderliggende hostsysteem uit te voeren. Het lek, aangeduid als CVE-2026-43898, heeft de maximale CVSS-score van 10.0 gekregen, wat de hoogst mogelijke ernst aangeeft.

Alle versies van het `@nyariv/sandboxjs` pakket tot en met versie 0.9.5 zijn getroffen. Het kernprobleem ligt in het per ongeluk lekken van een krachtige interne callback, genaamd `LispType.Call`, vanuit sandbox-gedefinieerde functies. Wanneer een aanvaller deze callback in handen krijgt, kan deze worden gebruikt om buiten de sandbox te treden en volledige, onbeperkte controle over de gehele onderliggende hostomgeving te verkrijgen.

Beveiligingsonderzoekers van GitHub hebben het lek geïdentificeerd en een advies hierover gepubliceerd onder de identificatie GHSA-g8f2-4f4f-5jqw. De kwetsbaarheid werd gerapporteerd door beveiligingsonderzoeker Macabely, die tevens een werkende 'proof-of-concept' leverde om aan te tonen hoe de ontsnapping in de praktijk kon worden uitgevoerd. De impact is zeer ernstig, aangezien een aanvaller die dit lek misbruikt, volledige remote code execution op de hostmachine kan realiseren, zonder dat inloggegevens of gebruikersinteractie vereist zijn. Dit betekent dat elke applicatie die de getroffen bibliotheek gebruikt om onbetrouwbaar JavaScript uit te voeren, potentieel risico loopt op een volledige overname van het hostsysteem.

Het ontsnappingsmechanisme van de sandbox bevindt zich in de logica voor toegang tot eigenschappen binnen het bestand `prop.ts`, specifiek in een functie genaamd `addOps`. Het probleem is dat code in de sandbox de `caller`, `callee` en `arguments` eigenschappen van functies mocht lezen. In de CommonJS-build van de bibliotheek maakte dit het voor een sandboxed functie mogelijk om bijvoorbeeld `function f(){ return f.caller }` aan te roepen en de interne callback aan de hostzijde terug te ontvangen die de functie oorspronkelijk activeerde.

Deze gelekte callback is de `LispType.Call`-bewerking, die functieaanroepen binnen de runtime afhandelt. Het kritieke probleem is dat deze handler een object met parameters accepteert en de velden ervan direct gebruikt, zonder te controleren of deze velden daadwerkelijk afkomstig zijn van de vertrouwde uitvoerder. Aangezien de aanvaller deze velden volledig controleert, kan deze malafide invoer creëren die de handler misleidt om acties uit te voeren die nooit de bedoeling waren. Door een reeks speciaal geconstrueerde aanroepen via de gelekte callback aan elkaar te koppelen, kan een aanvaller de echte `Function`-constructor van de host extraheren. Zodra deze is verkregen, kan er een string van JavaScript-code aan worden doorgegeven en direct op de host worden uitgevoerd. De 'proof-of-concept' in het advies toont dit duidelijk aan door een systeemcommando uit te voeren via de ingebouwde `child_process`-module van Node.

De CVSS-score van 10.0 benadrukt de gevaarlijkheid van deze kwetsbaarheid. De aanval kan via het netwerk worden gelanceerd, vereist een lage complexiteit, heeft geen speciale privileges nodig en is niet afhankelijk van enige actie van een gebruiker. De scope is gemarkeerd als 'Changed', wat betekent dat een succesvolle exploit de grens overschrijdt van de sandbox-omgeving direct naar het hostsysteem. Elk platform dat SandboxJS gebruikt voor het uitvoeren van door gebruikers ingediend of extern JavaScript, loopt gevaar. Dit omvat online code-editors, server-side scripting tools, automatiseringsplatforms en elke applicatie die onbetrouwbare scripts verwerkt. Zodra de sandbox is doorbroken, krijgen aanvallers volledige toegang tot de vertrouwelijkheid, integriteit en beschikbaarheid van de host.

De oplossing in versie 0.9.6 pakt de grondoorzaak aan door de toegang tot de `caller`, `callee` en `arguments` eigenschappen binnen sandboxed code te blokkeren. Ontwikkelaars die niet onmiddellijk kunnen updaten, wordt geadviseerd om geen onbetrouwbaar JavaScript via de getroffen bibliotheek uit te voeren totdat de patch correct is toegepast en grondig is getest in hun eigen omgeving.

Bron: GitHub

Microsoft heeft recentelijk een omvangrijke reeks beveiligingsupdates uitgebracht voor zijn Edge browser, die gebaseerd is op het open source Chromium-project. Deze updates pakken een aanzienlijk aantal kwetsbaarheden aan die zijn ontdekt in de onderliggende Chromium-codebasis, en die eerder al door Google publiekelijk bekend zijn gemaakt. Het Nationaal Cyber Security Centrum (NCSC) benadrukt het belang van deze updates en adviseert gebruikers om te controleren of hun browser naar de nieuwste versie is bijgewerkt.

De kwetsbaarheden die met deze patchronde worden verholpen, kunnen variëren in ernst, maar het is cruciaal om te begrijpen dat browserlekken vaak misbruikt kunnen worden voor uiteenlopende kwaadaardige doeleinden. Potentiële risico's omvatten het uitvoeren van willekeurige code op het systeem van de gebruiker, het stelen van gevoelige informatie, of de installatie van malware zonder expliciete toestemming. Door de aard van deze kwetsbaarheden, die diep in de architectuur van de browser liggen, is een snelle update essentieel om potentiële risico's te minimaliseren.

Gezien het feit dat de Microsoft Edge browser wereldwijd door miljoenen gebruikers wordt ingezet, waaronder een groot deel in Nederland en België, is het tijdig installeren van deze updates van groot belang. Hoewel Edge doorgaans automatisch updates installeert, adviseert het NCSC gebruikers dringend om handmatig te controleren of hun browser daadwerkelijk is bijgewerkt naar de nieuwste versie. Dit kan meestal worden gedaan via de instellingen van de browser, onder het gedeelte 'Over Microsoft Edge'.

Het tijdig installeren van beveiligingsupdates is een fundamentele pijler van digitale veiligheid. Het beschermt niet alleen individuele gebruikers tegen cyberaanvallen, maar draagt ook bij aan een veerkrachtiger digitaal landschap in zijn geheel. Het grote aantal verholpen kwetsbaarheden in deze specifieke update maakt het extra belangrijk dat gebruikers proactief handelen en ervoor zorgen dat hun Edge browser volledig up-to-date is om zodoende de bescherming tegen de laatste digitale dreigingen te waarborgen.

Bron: NCSC

Twee nieuwe, nog onopgeloste zero day kwetsbaarheden in Windows BitLocker zijn ontdekt, wat een aanzienlijke bedreiging vormt voor het Microsoft-ecosysteem. Deze kwetsbaarheden omvatten een kritieke bypass van BitLocker-encryptie, genaamd 'YellowKey', en een privilege escalatie fout, aangeduid als 'GreenPlasma'.

De meest zorgwekkende van deze kwetsbaarheden is 'YellowKey'. Deze flaw maakt een volledige omzeiling van de BitLocker-encryptie mogelijk. Hierdoor kunnen aanvallers onbeperkte toegang krijgen tot vergrendelde systeemschijven. Dit betekent dat gevoelige gegevens die beschermd zouden moeten zijn door BitLocker, volledig blootgesteld kunnen worden aan kwaadwillenden. De impact van YellowKey is kritiek, aangezien het de fundamentele beveiligingsfunctie van BitLocker, namelijk het beschermen van data op rust, tenietdoet.

Naast YellowKey is er ook de 'GreenPlasma' kwetsbaarheid, die aanvallers in staat stelt hun bevoegdheden binnen een systeem te verhogen. Hoewel de precieze details van GreenPlasma in de beschikbare informatie beperkt zijn, is privilege escalatie een veelvoorkomend doel voor aanvallers om dieper in systemen door te dringen en verdere schade aan te richten. Dit kan leiden tot verdere compromittering van het systeem en de installatie van malware.

Het feit dat beide kwetsbaarheden nog onopgelost zijn, betekent dat er momenteel geen officiële patches of mitigatiemaatregelen van Microsoft beschikbaar zijn. Dit onderstreept de urgentie voor gebruikers en systeembeheerders om waakzaam te zijn en de ontwikkelingen rondom deze BitLocker zero days nauwlettend te volgen. De ontdekking van deze flaws benadrukt opnieuw de voortdurende noodzaak voor robuuste beveiligingspraktijken en snelle reactie op nieuwe dreigingen binnen de IT infrastructuur.

Bron: Microsoft Security Response Center

Beveiligingsonderzoekers hebben aanvalscode gepubliceerd voor CVE-2026-42945, een kritieke kwetsbaarheid in de populaire NGINX webserver die aanvallers in staat stelt op afstand code uit te voeren zonder authenticatie. De kwetsbaarheid bevindt zich in de herschrijfmodule van NGINX en is aanwezig in alle versies van 0.6.27 tot en met 1.30.0, wat neerkomt op een derde van alle webservers wereldwijd. Beheerders wordt geadviseerd direct te updaten naar versie 1.31.0 of 1.30.1.

Bron: Cybercrimeinfo

Microsoft heeft als onderdeel van de beveiligingsupdates van mei 2026 een kritieke kwetsbaarheid verholpen in de Windows DNS Client (CVE-2026-41096, CVSS 9.8). De kwetsbaarheid bevindt zich in het bestand dnsapi.dll en maakt het voor een aanvaller mogelijk om via een kwaadaardig DNS antwoord op afstand code uit te voeren zonder authenticatie. Alle actuele versies van Windows zijn getroffen en gebruikers worden aangeraden de cumulatieve update van mei 2026 direct te installeren.

Bron: Cybercrimeinfo

Hackers maken misbruik van een kritieke authenticatie bypass kwetsbaarheid in de Burst Statistics WordPress plugin om administratieve toegang te verkrijgen tot websites. Burst Statistics is een privacygerichte analyse plugin die actief is op 200.000 WordPress sites en wordt gepromoot als een lichtgewicht alternatief voor Google Analytics.

De kwetsbaarheid, aangeduid als CVE-2026-8181, werd geïntroduceerd op 23 april met de release van versie 3.4.0 van de plugin. De kwetsbare code was ook aanwezig in de daaropvolgende iteratie, versie 3.4.1. Wordfence, dat CVE-2026-8181 op 8 mei ontdekte, legt uit dat de kwetsbaarheid ongeauthenticeerde aanvallers in staat stelt om zich voor te doen als bekende admin gebruikers tijdens REST API verzoeken, en zelfs om kwaadaardige admin accounts aan te maken.

Volgens Wordfence kunnen ongeauthenticeerde aanvallers die een geldige admin gebruikersnaam kennen, zich volledig voordoen als die admin gebruiker gedurende de duur van een REST API verzoek. Dit omvat WordPress core endpoints zoals /wp-json/wp/v2/users, door een willekeurig en onjuist wachtwoord te leveren in een Basic Authentication header. In het ergste geval kan een aanvaller deze kwetsbaarheid misbruiken om een nieuw admin-niveau account aan te maken zonder enige voorafgaande authenticatie.

De hoofdoorzaak ligt in de onjuiste interpretatie van de resultaten van de functie 'wp_authenticate_application_password()'. Specifiek wordt een 'WP_Error' behandeld als een indicatie van succesvolle authenticatie. De onderzoekers leggen echter uit dat WordPress in sommige gevallen ook 'null' kan retourneren, wat per abuis als een geauthenticeerd verzoek wordt beschouwd. Als gevolg hiervan roept de code 'wp_set_current_user()' aan met de door de aanvaller geleverde gebruikersnaam, waardoor die gebruiker effectief wordt geïmiteerd voor de duur van het REST API verzoek.

Admin gebruikersnamen kunnen worden blootgesteld in blogposts, opmerkingen of zelfs in publieke API verzoeken, maar aanvallers kunnen ook brute force technieken gebruiken om deze te raden. Admin-niveau toegang stelt aanvallers in staat om privé databases te benaderen, backdoors te plaatsen, bezoekers om te leiden naar onveilige locaties, malware te verspreiden en kwaadaardige admin gebruikers aan te maken.

Wordfence waarschuwde in zijn publicatie dat zij verwachtten dat deze kwetsbaarheid door aanvallers zou worden misbruikt en dat updaten naar de nieuwste versie zo snel mogelijk cruciaal is. Hun tracker toont aan dat kwaadaardige activiteit reeds is begonnen. De website beveiligingsfirma heeft in de afgelopen 24 uur meer dan 7.400 aanvallen gericht op CVE-2026-8181 geblokkeerd, wat duidt op significante activiteit.

Gebruikers van de Burst Statistics plugin wordt aanbevolen om te upgraden naar de gepatchte release, versie 3.4.2, die op 12 mei 2026 is uitgebracht, of de plugin op hun site uit te schakelen. Statistieken van WordPress.org laten zien dat Burst Statistics 85.000 downloads had sinds de release van 3.4.2. Ervan uitgaande dat al deze downloads voor de nieuwste versie waren, blijven er nog ongeveer 115.000 sites kwetsbaar voor admin overname aanvallen.

Bron: Wordfence | Bron 2: wordpress.org

De eerste dag van de Pwn2Own Berlin 2026 hackwedstrijd heeft geleid tot de ontdekking van 24 unieke zero-day kwetsbaarheden en de uitbetaling van 523.000 dollar aan beloningen aan beveiligingsonderzoekers. Het evenement, dat zich richt op bedrijfstechnologieën en kunstmatige intelligentie, vindt plaats van 14 tot 16 mei tijdens de OffensiveCon conferentie.

Een van de hoogtepunten was de prestatie van Orange Tsai, die 175.000 dollar ontving voor het succesvol ketenen van vier logische fouten om een sandbox escape te realiseren in Microsoft Edge. Windows 11 werd ook driemaal gehackt door verschillende teams. Angelboy en TwinkleStar03, deel van het DEVCORE Internship Program, demonstreerden een nieuwe privilege escalatie zero-day, waarvoor zij 30.000 dollar kregen. Marcin Wiązowski en Kentaro Kawane van GMO Cybersecurity ontvingen elk eveneens 30.000 dollar voor vergelijkbare privilege escalatie zero-days in het besturingssysteem.

Valentina Palmiotti (chompie) van IBM X-Force Offensive Research (XOR) verzamelde ook 20.000 dollar na het "rooten" van Red Hat Linux voor Workstations en nog eens 50.000 dollar voor een zero-day in de NVIDIA Container Toolkit. Andere succesvolle pogingen omvatten k3vg3n, die drie bugs aan elkaar koppelde om LiteLLM uit te schakelen, wat hem 40.000 dollar opleverde. Satoki Tsuji en haehae ontvingen 20.000 dollar voor het exploiteren van zero-days in NVIDIA Megatron Bridge. Compass Security en maitai van Doyensec hackten OpenAI's Codex coding agent, waarbij elk 40.000 dollar werd verdiend. Haehae ontdekte ook een Chroma zero-day (20.000 dollar) en STARLabs SG een LM Studio zero-day (40.000 dollar).

Momenteel leidt het DEVCORE Research Team de competitie met 205.000 dollar, gevolgd door Valentina Palmiotti met 70.000 dollar. Op de tweede dag van Pwn2Own Berlin 2026 zullen deelnemers proberen zero-days te exploiteren in onder andere Microsoft SharePoint, Microsoft Exchange, Windows 11, Apple Safari, Cursor, Red Hat Enterprise Linux voor Workstations, LM Studio, OpenAI Codex, LiteLLM, Anthropic Claude Code en Mozilla Firefox.

De regels van Pwn2Own vereisen dat alle doelapparaten de nieuwste versies van het besturingssysteem draaien en dat alle inzendingen het doelwit compromitteren en willekeurige code-uitvoering demonstreren. Na de openbaarmaking van de zero-day kwetsbaarheden tijdens de competitie, hebben leveranciers 90 dagen de tijd om beveiligingsupdates voor hun software en hardwareproducten uit te brengen. Vorig jaar werden 29 zero-day kwetsbaarheden beloond met in totaal 1.078.750 dollar.

Bron: Zero Day Initiative

Een achttien jaar oude kwetsbaarheid in de open source webserver van NGINX, ontdekt met behulp van een autonoom scansysteem, kan worden misbruikt voor denial-of-service (DoS) en, onder specifieke omstandigheden, voor remote code execution (RCE). De kwetsbaarheid, aangeduid als CVE-2026-42945, heeft een kritieke ernstscore van 9.2 gekregen volgens de nieuwste versie van het Common Vulnerability Scoring System (CVSS).

Deze kwetsbaarheid werd ontdekt door onderzoekers van het beveiligingsbedrijf DepthFirst AI, dat gebaseerd is op AI, tijdens een zes uur durende codescan. Tijdens dezelfde sessie werden nog drie andere geheugen corruptieproblemen gevonden. NGINX is een veelgebruikt platform voor webservers en reverse proxy's, en drijft een derde van de best gerangschikte websites aan. Het systeem kan efficiënt de belasting verdelen door inkomend netwerkverkeer naar meerdere backend servers te distribueren en laadtijden verkorten door content te cachen. De webserver, eigendom van en onderhouden door het Amerikaanse technologiebedrijf F5, wordt gebruikt door cloudproviders, SaaS-bedrijven, banken, mediaplatforms, e-commerce sites en in Kubernetes-clusters.

CVE-2026-42945 betreft een heap buffer overflow in de ngx_http_rewrite_module, die NGINX-versies 0.6.27 tot en met 1.30.0 beïnvloedt en al ongeveer achttien jaar in de code van het project aanwezig is. Volgens DepthFirst kan de kwetsbaarheid worden geactiveerd wanneer NGINX-configuraties zowel de 'rewrite'- als de 'set'-directives gebruiken, een patroon dat de onderzoekers vaak zien in API-gateways en reverse proxy-opstellingen.

De kwetsbaarheid komt voort uit inconsistente statusafhandeling in de interne script-engine van NGINX, die herschrijvingen in twee fasen verwerkt: één om de hoeveelheid toe te wijzen geheugen te berekenen, en één om de feitelijke gegevens te kopiëren. Een 'is_args'-vlag blijft ingesteld na een herschrijving die een '?' bevat, waardoor NGINX de buffergrootte berekent met behulp van niet-escaped URI-lengtes, maar later grotere escaped gegevens zoals '+' en '&' schrijft, wat leidt tot een heap buffer overflow.

De onderzoekers demonstreerden ongeauthenticeerde code-executie via speciaal vervaardigde HTTP-verzoeken die aangrenzende NGINX-geheugenpoolstructuren corrumperen, pointers voor cleanup-handlers overschrijven, valse structuren in het geheugen injecteren via POST-verzoeklichamen, en NGINX dwingen om 'system()' uit te voeren tijdens het opschonen van de pool. Remote code execution werd echter bereikt op een systeem waarbij de Address Space Layout Randomization (ASLR)-beveiliging tegen aanvallen gebaseerd op geheugen was uitgeschakeld. Deze verdediging is standaard actief, maar kan worden uitgeschakeld om de prestaties in sommige omgevingen te verhogen, zoals embedded systemen en virtuele machines die voor analyse worden gebruikt.

DepthFirst merkt op dat de architectuur van NGINX met meerdere processen de exploitatie gemakkelijker maakt, omdat worker-processen bijna identieke geheugenlayouts erven van het master-proces, wat betrouwbare geheugenmanipulatie en herhaalde pogingen mogelijk maakt als een worker crasht. Theoretisch kan dit ontwerp worden gebruikt om ASLR te lekken door progressief pointers byte voor byte te overschrijven.

De andere drie kwetsbaarheden die door DepthFirst werden ontdekt, zijn:

*   CVE-2026-42946: overmatige geheugentoewijzing in SCGI/UWSGI-modules die workers kunnen laten crashen via toewijzingen van ongeveer 1 TB (hoge ernst).

*   CVE-2026-40701: use-after-free in asynchrone OCSP DNS-resolutieafhandeling (gemiddelde ernst).

*   CVE-2026-42934: een off-by-one UTF-8 parsing bug die leidt tot lezen buiten de grenzen (gemiddelde ernst).

De kwetsbaarheden werden op 18 april 2026 ontdekt en op 21 april aan de leverancier gerapporteerd. Volgens het beveiligingsadvies van F5, dat gisteren werd uitgebracht, beïnvloeden de kwetsbaarheden de volgende NGINX-builds: NGINX Open Source versies 0.6.27 tot en met 1.30.0, NGINX Plus R32 tot en met R36, NGINX Instance Manager 2.16.0 tot en met 2.21.1, F5 WAF voor NGINX 5.9.0 tot en met 5.12.1, NGINX App Protect WAF 4.9.0 tot en met 4.16.0 en 5.1.0 tot en met 5.8.0, F5 DoS voor NGINX 4.8.0, NGINX App Protect DoS 4.3.0 tot en met 4.7.0, NGINX Gateway Fabric 1.3.0 tot en met 1.6.2 en 2.0.0 tot en met 2.5.1, en NGINX Ingress Controller 3.5.0 tot en met 3.7.2, 4.0.0 tot en met 4.0.1, en 5.0.0 tot en met 5.4.1.

Oplossingen zijn beschikbaar in NGINX Open Source 1.31.0 en 1.30.1, NGINX Plus R36 P4, en NGINX Plus R32 P6. Voor degenen die niet kunnen upgraden, adviseert F5 om niet-benoemde PCRE-opslaggroepen ($1, $2, enz.) in kwetsbare 'rewrite'-regels te vervangen door benoemde captures, wat de belangrijkste voorwaarde voor exploitatie elimineert.

Sommige beveiligingsonderzoekers hebben echter kritiek geuit op de claims over de exploitatie in de praktijk van CVE-2026-42945. Zij stellen dat de proof-of-concept van DepthFirst afhankelijk is van zeer specifieke voorwaarden die niet vaak voorkomen in standaardimplementaties. Onderzoeker Kevin Beaumont merkte op dat exploitatie een kwetsbare NGINX-configuratie met specifieke rewrite-patronen vereist, dat de aanvaller het getroffen endpoint moet kennen of ontdekken, en dat de gepubliceerde RCE PoC werd getest met ASLR uitgeschakeld. Beaumont benadrukte dat de exploit van de onderzoekers werd gebouwd tegen een opzettelijk kwetsbare opstelling en geen betrouwbare code-executie demonstreert tegen geharde systemen in de praktijk. AlmaLinux deelde een vergelijkbare beoordeling in hun advies.

Bron: DepthFirst AI | Bron 2: nvd.nist.gov | Bron 3: w3techs.com

Dreigingsactoren hebben geprobeerd een recentelijk bekendgemaakte beveiligingskwetsbaarheid in PraisonAI, een open-source multi-agent orchestration framework, te misbruiken binnen vier uur na de publieke onthulling. Het betreft CVE-2026-44338, met een CVSS-score van 7.3. Deze kwetsbaarheid, een geval van ontbrekende authenticatie, stelt gevoelige endpoints bloot aan ongeautoriseerde toegang, waardoor aanvallers potentieel beschermde functionaliteit van de API-server kunnen aanroepen zonder een token.

Volgens een advies van de PraisonAI-beheerders, uitgebracht eerder deze maand, wordt een legacy Flask API-server standaard geleverd met uitgeschakelde authenticatie. Wanneer deze server wordt gebruikt, kan elke beller die deze kan bereiken, toegang krijgen tot het `/agents`-endpoint en de geconfigureerde `agents.yaml`-workflow activeren via `/chat`, zonder dat een token nodig is. Specifiek is in de op Flask gebaseerde API-server, `src/praisonai/api_server.py`, `AUTH_ENABLED` hard-coded op `False` en `AUTH_TOKEN` op `leeg`.

PraisonAI waarschuwt dat succesvolle exploitatie van de kwetsbaarheid diverse gevolgen kan hebben. Dit omvat ongeauthenticeerde enumeratie van het geconfigureerde agentbestand via `/agents`, ongeauthenticeerde activering van de lokaal geconfigureerde `agents.yaml`-workflow via `/chat`, herhaaldelijk verbruik van het model of API-quota, en blootstelling van de resultaten van `PraisonAI.run()` aan de ongeauthenticeerde beller. De uiteindelijke impact hangt af van de bevoegdheden van de `agents.yaml`-configuratie, maar de authenticatie-bypass is onvoorwaardelijk in de geleverde legacy server.

De kwetsbaarheid treft alle versies van het Python-pakket van 2.5.6 tot en met 4.6.33 en is hersteld in versie 4.6.34. Beveiligingsonderzoeker Shmulik Cohen wordt gecrediteerd voor de ontdekking en rapportage van de bug.

Sysdig, een bedrijf gespecialiseerd in cloudbeveiliging, publiceerde deze week een rapport waarin het stelde dat het exploitatiepogingen observeerde binnen enkele uren nadat de kwetsbaarheid publiek bekend werd. Binnen drie uur en 44 minuten na de publicatie van het advies begon een scanner, die zichzelf identificeerde als `CVE-Detector/1.0`, de kwetsbare endpoint te proberen op internet-blootgestelde instanties. Het advies werd gepubliceerd op 11 mei 2026 om 13:56 UTC, en het eerste gerichte verzoek arriveerde om 17:40 UTC op dezelfde dag.

De activiteit, volgens Sysdig, was afkomstig van het IP-adres 146.190.133[.]49 en volgde een geprofileerd scannerpatroon dat twee passes uitvoerde, met een tussenpoos van acht minuten. Elke pass verstuurde ongeveer 70 verzoeken in ongeveer 50 seconden. Terwijl de eerste pass algemene paden scande (zoals `/.env`, `/admin`, `/users/sign_in`), richtte de tweede pass zich specifiek op AI-agentoppervlakken, waaronder PraisonAI. De probe die direct overeenkwam met CVE-2026-44338 was een enkele `GET /agents` zonder `Authorization`-header en met `User-Agent CVE-Detector/1.0`. Dit verzoek retourneerde een `200 OK` met de body `{"agent_file":"agents.yaml","agents":[...]}`, wat de succesvolle bypass bevestigde. De scanner heeft geen `POST`-verzoeken naar het `/chat`-endpoint verstuurd tijdens beide passes, wat erop wijst dat de activiteit consistent is met een initiële controle om vast te stellen of de authenticatie-bypass werkt en of de host exploiteerbaar is via CVE-2026-44338.

De snelle exploitatie van PraisonAI is het meest recente voorbeeld van een bredere trend waarbij dreigingsactoren nieuw bekendgemaakte kwetsbaarheden steeds sneller in hun arsenaal opnemen voordat patches kunnen worden toegepast. Gebruikers wordt geadviseerd om zo snel mogelijk de nieuwste fixes toe te passen, bestaande deployments te auditen, de facturatie van de modelprovider te controleren op verdachte activiteiten en referenties in `agents.yaml` te roteren. Sysdig benadrukt dat aanvallerstools zijn opgeschaald naar het gehele AI- en agent-ecosysteem, ongeacht de omvang van het project. De aanname voor elk project dat een standaard niet-geauthenticeerde configuratie levert, moet zijn dat het venster tussen openbaarmaking en actieve exploitatie in enkele uren wordt gemeten.

Bron: Sysdig | Bron 2: github.com | Bron 3: nvd.nist.gov

Het Belgische Centrum voor Cyberbeveiliging (CCB) waarschuwt voor recent uitgebrachte beveiligingsupdates van Ivanti. Deze updates zijn essentieel om diverse kwetsbaarheden te verhelpen die meerdere producten van Ivanti treffen. Organisaties die deze software gebruiken, wordt dringend geadviseerd de patches onmiddellijk toe te passen om potentiële risico's te mitigeren.

De updates betreffen onder meer de Ivanti Secure Access Client, Ivanti Virtual Traffic Manager (vTM), Ivanti Xtraction en Ivanti Endpoint Manager (EPM). Voor deze producten zijn specifieke kwetsbaarheden geïdentificeerd, waarvoor Ivanti nu oplossingen biedt.

Een reeks van zes Common Vulnerabilities and Exposures (CVE's) is door Ivanti aangepakt. Dit zijn CVE-2026-7431 en CVE-2026-7432, die van toepassing zijn op de Ivanti Secure Access Client. Voor deze kwetsbaarheden zijn CVSS-scores van respectievelijk 7.8 en 7.2 toegekend, wat duidt op een hoog risiconiveau.

De Ivanti Virtual Traffic Manager (vTM) wordt beïnvloed door CVE-2026-8051, met een CVSS-score van 9.6. Deze score classificeert de kwetsbaarheid als kritiek, wat betekent dat deze een aanzienlijk risico vormt voor de integriteit en beschikbaarheid van systemen.

Verder is er CVE-2026-8043 voor Ivanti Xtraction, met een CVSS-score van 8.8, wat eveneens een hoog risico inhoudt. Tot slot zijn CVE-2026-8111 en CVE-2026-8110 geïdentificeerd voor Ivanti Endpoint Manager (EPM). Hoewel de CVSS-scores voor deze specifieke CVE's niet expliciet in de waarschuwing zijn vermeld, is de impact naar verwachting aanzienlijk gezien de context van de andere kritieke en hoge risico's.

Ivanti heeft aangegeven dat de getroffen versies onder meer 2024, 2026.2 en 22.8 omvatten. Het is van cruciaal belang dat beheerders en IT-professionals controleren welke versies van de Ivanti-producten in hun omgeving worden gebruikt en de corresponderende updates zonder vertraging installeren. Het niet patchen van dergelijke kwetsbaarheden kan leiden tot onbevoegde toegang, dataverlies of verstoring van kritieke bedrijfsprocessen.

Gezien de aard van de kwetsbaarheden en de brede inzet van Ivanti-oplossingen in zowel de publieke als private sector in België en Nederland, benadrukt het CCB het belang van proactief handelen om de digitale weerbaarheid van organisaties te waarborgen.

Bron: Ivanti | Bron 2: nvd.nist.gov

Een anonieme cybersecurity-onderzoeker, bekend onder de online aliassen Chaotic Eclipse en Nightmare-Eclipse, heeft twee nieuwe zero-day kwetsbaarheden in Windows onthuld. Deze kwetsbaarheden betreffen een omzeiling van BitLocker en een privilege-escalatie die de Windows Collaborative Translation Framework (CTFMON) beïnvloedt. Eerder onthulde dezelfde onderzoeker al drie kwetsbaarheden in Microsoft Defender.

De beveiligingslekken hebben de codenamen YellowKey en GreenPlasma gekregen. YellowKey wordt door de onderzoeker beschreven als "een van de meest waanzinnige ontdekkingen ooit", waarbij de BitLocker-omzeiling functioneert als een achterdeur. De kwetsbaarheid bevindt zich uitsluitend in de Windows Recovery Environment (WinRE), een ingebouwd framework voor het oplossen en repareren van veelvoorkomende opstartproblemen. YellowKey treft Windows 11 en Windows Server 2022/2025. De aanval omvat het kopiëren van speciaal opgestelde FsTx-bestanden naar een USB-station of de EFI-partitie. Vervolgens wordt het USB-station aangesloten op de doelcomputer met ingeschakelde BitLocker-beveiliging, waarna een herstart naar WinRE volgt en een shell kan worden geactiveerd door de CTRL-toets ingedrukt te houden. De onderzoeker geeft aan dat zelfs het Microsoft Security Response Center (MSRC) waarschijnlijk veel tijd nodig zal hebben om de werkelijke oorzaak van het probleem te vinden, en benadrukt dat TPM met PIN ook geen bescherming biedt. Beveiligingsonderzoeker Will Dormann bevestigde de reproduceerbaarheid van YellowKey met een aangesloten USB-station en merkte op dat transactionele NTFS-bits op een USB-station in staat zijn om het winpeshl.ini-bestand op een andere schijf te verwijderen, wat resulteert in een cmd.exe-prompt waarbij BitLocker is ontgrendeld.

De tweede kwetsbaarheid, GreenPlasma, is een privilege-escalatie die kan worden misbruikt om een shell met SYSTEM-permissies te verkrijgen. Deze ontstaat door wat wordt omschreven als willekeurige sectiecreatie in Windows CTFMON. Hoewel de uitgebrachte proof-of-concept (PoC) onvolledig is en de benodigde code mist voor een volledige SYSTEM-shell, kan de exploit in zijn huidige vorm een niet-bevoegde gebruiker in staat stellen willekeurige geheugensectie-objecten te creëren binnen directory-objecten die door SYSTEM beschrijfbaar zijn. Dit kan potentieel leiden tot manipulatie van bevoegde services of stuurprogramma's die impliciet deze paden vertrouwen.

Deze ontwikkelingen volgen bijna een maand nadat de onderzoeker drie Defender zero-days (BlueHammer, RedSun en UnDefend) publiceerde, naar verluidt uit onvrede over de manier waarop Microsoft omging met het proces voor kwetsbaarheidsmelding. Deze kwetsbaarheden worden inmiddels actief misbruikt. BlueHammer kreeg de officiële identificatie CVE-2026-33825 en werd vorige maand door Microsoft gepatcht, maar Chaotic Eclipse stelt dat RedSun "stilzwijgend" is aangepakt zonder een advies uit te vaardigen. De onderzoeker heeft een "grote verrassing" beloofd voor Microsoft, die samenvalt met de volgende Patch update voor Tuesday in juni 2026.

Tegelijkertijd heeft het Franse cybersecuritybedrijf Intrinsec een aanvalsketen op BitLocker gedetailleerd die gebruikmaakt van een downgrade van de bootmanager door misbruik te maken van CVE-2025-48804 (CVSS-score: 6.8). Deze aanval kan de encryptiebeveiliging op volledig gepatchte Windows 11-systemen in minder dan vijf minuten omzeilen. Het principe is dat de bootmanager een System Deployment Image (SDI)-bestand en het daarin verwezen WIM-bestand laadt en de integriteit van het legitieme WIM controleert. Echter, wanneer een tweede WIM-bestand met een gewijzigde blobtabel aan de SDI wordt toegevoegd, controleert de bootmanager het eerste (legitieme) WIM-bestand terwijl het tegelijkertijd opstart vanaf het tweede (door de aanvaller gecontroleerde) WIM-bestand. Dit tweede WIM-bestand bevat een WinRE-image geïnfecteerd met 'cmd.exe', dat wordt uitgevoerd met het gedecrypteerde BitLocker-volume. Hoewel Microsoft in juli 2025 fixes heeft uitgebracht voor dit beveiligingslek, ligt het probleem volgens beveiligingsonderzoeker Cassius Garat in het feit dat Secure Boot alleen het ondertekeningscertificaat van een binair bestand verifieert, niet de versie. Hierdoor kan een kwetsbare versie van "bootmgfw.efi", die de patch niet bevat en is ondertekend met het vertrouwde PCA 2011-certificaat, worden gebruikt om BitLocker-beveiligingen te omzeilen. Microsoft is van plan de oude PCA 2011-certificaten volgende maand uit te faseren. Om de aanval uit te voeren, heeft een aanvaller fysieke toegang tot de doelmachine nodig.

Om het risico tegen te gaan, is het essentieel om een BitLocker PIN bij het opstarten in te schakelen voor pre-boot authenticatie en de bootmanager te migreren naar het CA 2023-certificaat en het oude PCA 2011-certificaat in te trekken.

Bron: Chaotic Eclipse | Bron 2: learn.microsoft.com | Bron 3: support.microsoft.com

Microsoft heeft bevestigd dat een ernstige kwetsbaarheid, aangeduid als CVE-2026-42897 met een CVSS-score van 8.1, actief wordt misbruikt in het wild. Deze kwetsbaarheid bevindt zich in on-premises versies van Exchange Server en maakt het mogelijk voor aanvallers om willekeurige JavaScript code uit te voeren in de browser van een slachtoffer. De aanval wordt geïnitieerd door het versturen van een kwaadaardige e-mail, die bij opening in Outlook Web Access (OWA) de exploit activeert.

Hoewel Microsoft deze kwetsbaarheid classificeerde als een spoofingprobleem, is de impact significant vanwege de bevestigde exploitatie. De getroffen versies van Exchange Server omvatten Exchange Server 2016, Exchange Server 2019 en de Subscription Edition. Het is belangrijk te benadrukken dat Exchange Online omgevingen niet door deze specifieke kwetsbaarheid worden getroffen.

Als reactie op de dreiging heeft Microsoft reeds een tijdelijke mitigatie uitgerold via de Exchange Emergency Mitigation Service (EEMS). Desondanks wordt organisaties die gebruikmaken van on-premises Exchange Servers dringend geadviseerd om de relevante patches zo snel mogelijk te implementeren om hun systemen te beveiligen tegen dit actieve misbruik.

Bron: Cybercrimeinfo

Cisco heeft een beveiligingskwetsbaarheid verholpen die aanwezig was in de Catalyst SD-WAN Controller en Manager producten. Deze kwetsbaarheid bevindt zich specifiek in het peering authenticatiemechanisme van de software. Dit kritieke lek stelde niet-geauthenticeerde externe aanvallers in staat om verhoogde rechten te verkrijgen binnen de getroffen systemen. Door het verkrijgen van deze hogere privileges konden aanvallers netwerkconfiguraties manipuleren en, als gevolg daarvan, de netwerkoperaties potentieel ernstig verstoren.

Een verhoogd risico op misbruik geldt met name voor SD-WAN controllers waarvan poorten via publieke netwerken toegankelijk zijn. De directe blootstelling aan het internet maakt deze systemen een aantrekkelijk doelwit voor kwaadwillenden die actief zoeken naar kwetsbare infrastructuur.

Cisco heeft zelf aangegeven op de hoogte te zijn van meldingen dat deze kwetsbaarheid reeds op beperkte en gerichte wijze is misbruikt in de praktijk. Dit duidt op het feit dat cybercriminelen en andere dreigingsactoren reeds kennis hadden van het lek en deze actief hebben geëxploiteerd voordat een volledige oplossing beschikbaar was. Het Nationaal Cyber Security Centrum (NCSC) sluit zich aan bij deze waarschuwing en verwacht op korte termijn een significante toename van scan en misbruikverkeer gericht op deze kwetsbaarheid. Organisaties die gebruikmaken van de betreffende Cisco-producten worden daarom dringend geadviseerd om de beschikbare updates zo snel mogelijk te implementeren om hun netwerken te beschermen tegen potentiële aanvallen. Het niet tijdig patchen kan leiden tot ongeautoriseerde toegang en verstoring van kritieke bedrijfsprocessen.

Bron: NCSC

Twee ernstige kwetsbaarheden zijn ontdekt in de Avada Builder plugin voor WordPress, die naar schatting op één miljoen actieve websites wordt gebruikt. Deze kwetsbaarheden stellen aanvallers in staat om willekeurige bestanden te lezen en gevoelige informatie uit databases te stelen.

De eerste kwetsbaarheid, aangeduid als CVE-2026-4782, betreft een fout die het lezen van willekeurige bestanden mogelijk maakt. Deze kan worden misbruikt in alle versies van de plugin tot en met 3.15.2 door geauthenticeerde gebruikers met ten minste toegang op abonneeniveau. Via deze kwetsbaarheid kunnen aanvallers de inhoud van elk bestand op de server lezen, inclusief het cruciale `wp-config.php` bestand. Dit bestand bevat doorgaans databasegegevens en cryptografische sleutels, en toegang ertoe kan leiden tot de compromittering van een beheerdersaccount en volledige overname van de site. De kwetsbaarheid is mogelijk via de shortcode-rendering functionaliteit van de plugin en de `custom_svg` parameter, waarbij de plugin bestandssoorten of bronnen niet correct valideert. Hoewel de ernst classificatie als "medium" is beoordeeld vanwege de vereiste toegang op abonneeniveau, vormt dit geen significante barrière aangezien veel WordPress sites gebruikersregistratie aanbieden.

De tweede kwetsbaarheid, CVE-2026-4798, is een SQL injectie fout die zonder authenticatie kan worden misbruikt. Deze kwetsbaarheid treft Avada Builder versies tot en met 3.15.1, maar exploitatie is alleen mogelijk als de WooCommerce e-commerce plugin voor WordPress is geactiveerd en vervolgens gedeactiveerd, en de bijbehorende databasetabellen intact zijn gebleven. De fout ontstaat doordat door de gebruiker gecontroleerde invoer uit de `product_order` parameter in een SQL ORDER BY clausule wordt ingevoegd zonder adequate queryvoorbereiding. Ongeauthenticeerde aanvallers kunnen hierdoor gevoelige informatie, waaronder wachtwoordhashes, uit de site database extraheren.

Beide problemen werden ontdekt door beveiligingsonderzoeker Rafie Muhammad, die ze rapporteerde via het Wordfence Bug Bounty Program en hiervoor een beloning ontving. De kwetsbaarheden werden op 21 maart aan Wordfence gemeld en op 24 maart aan de uitgever van Avada Builder. Een gedeeltelijke oplossing (versie 3.15.2) werd op 13 april uitgebracht, gevolgd door de volledig gepatchte versie 3.15.3 op 12 mei. Website-eigenaren en beheerders wordt dringend geadviseerd om zo snel mogelijk te updaten naar Avada Builder versie 3.15.3 om hun sites te beveiligen tegen potentiële aanvallen.**

Bron: Wordfence

Een recent ontdekte kritieke kwetsbaarheid in Exim, een van de meest populaire Message Transfer Agents (MTA's) wereldwijd, stelt ongeauthenticeerde aanvallers in staat om op afstand code uit te voeren op getroffen mailservers. Dit beveiligingslek, dat is geïdentificeerd als CVE-2026-45185, is van aanzienlijke ernst en vereist onmiddellijke aandacht van beheerders. Er is reeds een update uitgebracht die het probleem verhelpt.

De kwetsbaarheid is specifiek gelokaliseerd in de GnuTLS-backend van Exim en manifesteert zich als een 'use after free'-fout. Deze fout doet zich voor wanneer de software een TLS-verbinding verwerkt, wat cruciaal is voor de beveiligde communicatie via e-mail. Door misbruik te maken van deze kwetsbaarheid kunnen aanvallers willekeurige code op de mailserver uitvoeren. De potentiële gevolgen hiervan zijn ernstig, waaronder het verkrijgen van ongeautoriseerde toegang tot vertrouwelijke e-mailcommunicatie en de mogelijkheid voor aanvallers om verdere, diepgaande aanvallen binnen de bredere netwerkomgeving van de organisatie te lanceren.

Het beveiligingslek treft Exim-versies variërend van 4.97 tot en met 4.99.2. Een belangrijke voorwaarde voor misbruik is dat de configuratieoptie "USE_GNUTLS=yes" ingeschakeld moet zijn op het systeem. Securitybedrijf Xbow, dat verantwoordelijk is voor de ontdekking van dit probleem, benadrukt dat deze configuratie niet ongebruikelijk is op veel mailservers. Dit betekent dat een significant aantal Exim-installaties potentieel kwetsbaar is voor exploitatie. Gezien de kritieke rol van mailservers in bedrijfscommunicatie, kan de impact van een succesvolle aanval zeer groot zijn.

Om de kwetsbaarheid te mitigeren, worden beheerders van Exim servers dringend geadviseerd om zo snel mogelijk hun installaties te updaten naar versie 4.99.3. Deze update bevat de noodzakelijke patches om het 'use after free'-probleem in de GnuTLS-backend te dichten. Voor gebruikers van Debian GNU/Linux, zowel voor de 'stable' (trixie) als de 'oldstable' (bookworm) releases, zijn er specifieke packages beschikbaar. Deze packages bevatten de fix die is teruggeport naar de Exim-versies die in die releases worden gebruikt, waardoor een directe upgrade naar versie 4.99.3 voor deze specifieke distributies niet strikt noodzakelijk is. De relevante versies zijn 4.96-15+deb12u9 voor oldstable (bookworm) en 4.98.2-1+deb13u2 voor stable (trixie).

**

Bron: Xbow | Bron 2: nvd.nist.gov | Bron 3: openwall.com

Microsoft heeft recent updates uitgebracht voor een kritieke zero-click kwetsbaarheid in Outlook, aangeduid als CVE-2026-40361. Het bedrijf verwacht dat aanvallers actief misbruik zullen maken van dit beveiligingslek, dat remote code execution (RCE) mogelijk maakt simpelweg door het openen van een e-mail, of zelfs wanneer deze wordt weergegeven in het Voorbeeldvenster (Preview Pane). Gebruikers hoeven niet op een link te klikken of een bijlage te openen om slachtoffer te worden van een aanval.

De kwetsbaarheid, die is geclassificeerd als een 'use after free' probleem, werd ontdekt en gerapporteerd door beveiligingsonderzoeker Haifei Li. Li bevestigde via X dat het hier gaat om een kwetsbaarheid in de engine die Outlook gebruikt voor het weergeven van e-mails, wat het lastig maakt om te mitigeren of te blokkeren zonder de uitgebrachte patches. Microsoft heeft de beveiligingsupdates afgelopen dinsdag, tijdens de maandelijkse patchdinsdag, beschikbaar gesteld.

De kritieke kwetsbaarheid treft meerdere Microsoft Office-producten, waaronder Microsoft Word 2016, Microsoft Office LTSC 2024, Microsoft Office LTSC 2021, Microsoft Office LTSC for Mac 2021, Microsoft 365 Apps for Enterprise en Microsoft Office 2019. Gezien de waarschuwing van Microsoft dat "exploitation more likely" is, roept de ontdekker van het lek organisaties op om de beschikbare patches zo snel mogelijk te installeren.

Als tijdelijke mitigatie, indien het direct patchen niet mogelijk is, kan Outlook zo worden ingesteld dat e-mails alleen in platte tekst worden weergegeven. Dit kan de kans op misbruik via het Voorbeeldvenster aanzienlijk verminderen. Microsoft geeft gewoonlijk bij de release van updates aan of er reeds misbruik van een kwetsbaarheid is waargenomen of dat dit in de toekomst wordt verwacht, wat de urgentie van deze specifieke waarschuwing onderstreept.

**

Bron: Microsoft

Op 15 mei 2026 is een ernstig beveiligingslek in BitLocker, de standaard schijfversleuteling van Windows 11, openbaar gemaakt door securityonderzoeker Chaotic Eclipse, ook bekend als Nightmare-Eclipse. Hij heeft een werkende proof-of-concept genaamd 'YellowKey' op GitHub gepubliceerd, waarmee een aanvaller met fysieke toegang tot een computer volledige toegang kan krijgen tot een versleutelde schijf met behulp van een simpele usb-stick en een specifieke toetsencombinatie.

De kwetsbaarheid bevindt zich in de Windows-herstelomgeving en treft Windows 11 en Windows Server 2022 en 2025. Opmerkelijk is dat Windows 10 niet kwetsbaar blijkt te zijn voor deze aanval. Onafhankelijke onderzoekers Kevin Beaumont en Will Dormann van Tharros Labs hebben de functionaliteit van de aanval bevestigd aan BleepingComputer.

Het aanvalsproces is verrassend eenvoudig. Een aanvaller die fysieke toegang heeft tot het doelwit, kopieert een map met de naam 'FsTx' naar een usb-stick. Deze map bevat de benodigde bestanden om het lek uit te buiten. Vervolgens wordt de usb-stick in de pc gestoken, waarna de computer opnieuw wordt opgestart in de Windows-herstelomgeving, terwijl de Ctrl-toets wordt ingedrukt. In plaats van het gebruikelijke herstelmenu verschijnt er dan een commandolijn die volledige toegang biedt tot de schijf, zonder dat BitLocker om een encryptiesleutel vraagt. Nadat de aanval is uitgevoerd, verdwijnen de gebruikte bestanden automatisch van de usb-stick, wat de sporen van de exploit wist.

Onderzoeker Eclipse vergelijkt zijn ontdekking met een backdoor, wat suggereert dat de kwetsbare component opzettelijk in de software is ingebouwd. Hij merkt op dat het kwetsbare bestand alleen verschijnt in de Windows-herstelomgeving, terwijl een bestand met dezelfde naam in een reguliere Windows-installatie de code die het lek mogelijk maakt, mist. Volgens Eclipse is er geen andere verklaring dan opzet.

BitLocker bewaart encryptiesleutels in een aparte TPM-chip op het moederbord, die uniek is per toestel. Dit betekent dat het lek alleen werkt op de oorspronkelijke computer. Een harde schijf die uit een gecompromitteerde laptop wordt verwijderd en in een andere pc wordt geplaatst, kan op deze manier niet worden benaderd.

Gebruikers die hun toestel extra willen beschermen, kunnen BitLocker koppelen aan een persoonlijke pincode of een wachtwoord instellen op het BIOS, het basisprogramma dat de pc opstart. Beide maatregelen blokkeren de huidige versie van YellowKey. Eclipse claimt echter dat hij ook werkende varianten heeft voor deze scenario's, maar heeft deze vooralsnog niet openbaar gemaakt.

Naast YellowKey heeft onderzoeker Eclipse tegelijkertijd ook GreenPlasma gepubliceerd, een tweede lek dat aanvallers in staat stelt hogere rechten te verkrijgen op een Windows systeem. De bijbehorende handleiding voor het misbruiken van GreenPlasma is echter nog onvolledig. Microsoft heeft aan BleepingComputer laten weten dat het bedrijf de meldingen onderzoekt en van plan is getroffen toestellen zo snel mogelijk te beschermen.**

Bron: Nightmare-Eclipse | Bron 2: github.com

Adobe Acrobat 2026 bevat een ernstige kwetsbaarheid die is gedocumenteerd als CVE-2026-34621. Via een aanvalsketen van prototype pollution en JavaScript injectie kan kwaadaardige code worden uitgevoerd.

Een beveiligingsonderzoeker publiceerde een publieke proof-of-concept op GitHub, vergezeld van een gedetailleerde technische beschrijving. Dit maakt de kwetsbaarheid direct bruikbaar voor aanvallers die beschikken over basiskennis op dit gebied.

Organisaties en particulieren die Adobe Acrobat 2026 gebruiken worden dringend geadviseerd beschikbare beveiligingsupdates onmiddellijk toe te passen. Bij het ontbreken van een patch is het raadzaam het openen van onbekende PDF-bestanden te vermijden totdat een oplossing beschikbaar is.

Bron: Cybercrimeinfo

Bij de internationale hackingwedstrijd Pwn2Own waren zes inzendingen gericht op Mozilla Firefox. Vijf teams trokken hun inzending terug nadat Mozilla vlak voor de wedstrijd een beveiligingsupdate uitbracht in versie 150.0.3 die de beoogde kwetsbaarheid verholp.

Een van de deelnemers, die opereert onder de naam kiddo-pwn, publiceerde nadien een publieke proof-of-concept op GitHub. De exploit werkt op Firefox versies die zijn uitgebracht vóór de beveiligingspatch en stelt aanvallers in staat kwetsbare browsers aan te vallen.

Gebruikers die Firefox nog niet hebben bijgewerkt naar versie 150.0.3 of hoger worden dringend geadviseerd dit onmiddellijk te doen. De beschikbaarheid van een publieke exploit vergroot het risico op misbruik aanzienlijk.

Bron: Cybercrimeinfo

Onderzoeker Nightmare-Eclipse heeft via GitHub een proof of concept (PoC) genaamd MiniPlasma gepubliceerd, welke gericht is op CVE-2020-17103. Dit betreft een privilege escalatiekwetsbaarheid in de Windows Cloud Files Mini Filter Driver (cldflt.sys). Opvallend is dat de PoC succesvol een SYSTEM shell kan initiëren op systemen met Windows 11 en Windows Server 2025 die volledig zijn gepatcht.

De kwetsbaarheid werd oorspronkelijk in 2020 ontdekt door Google Project Zero en zou destijds door Microsoft zijn gepatcht. Echter, recent onderzoek van Nightmare-Eclipse toont aan dat deze patch niet aanwezig is op de meest actuele Windows versies, of dat deze mogelijk is teruggedraaid. Dit betekent dat de kwetsbaarheid, die een CVSS-score van 7.0 heeft, nog steeds actief misbruikt kan worden op systemen die als up-to-date worden beschouwd.

De publieke beschikbaarheid van de MiniPlasma PoC op GitHub verhoogt het risico op misbruik. Organisaties die gebruikmaken van Windows systemen, inclusief Windows 11 en Windows Server 2025, worden geadviseerd de situatie nauwlettend te volgen. Het is cruciaal om te anticiperen op eventuele nieuwe patches van Microsoft die deze kwetsbaarheid definitief adresseren.

Bron: Cybercrimeinfo

De Pwn2Own Berlin 2026 hackingwedstrijd is afgesloten, waarbij beveiligingsonderzoekers een totaalbedrag van $1.298.250 aan beloningen hebben ontvangen na het exploiteren van 47 zero-day kwetsbaarheden. De competitie vond plaats tijdens de OffensiveCon conferentie van 14 tot 16 mei en richtte zich op bedrijfstechnologieën en kunstmatige intelligentie (AI).

Gedurende de wedstrijd richtten de hackers zich op volledig gepatchte producten in diverse categorieën, waaronder webbrowsers, zakelijke applicaties, lokale privilege-escalatie, servers, lokale inferentie, cloud-native/containeromgevingen, virtualisatie en Large Language Model (LLM) systemen.

Op de eerste dag van de competitie ontvingen de deelnemers $523.000 aan contante beloningen voor 24 unieke zero-days. Op de tweede dag werd nog eens $385.750 verdiend met het exploiteren van 15 zero-days. De derde en laatste dag leverde de hackers nog eens $389.500 op voor acht additionele zero-days.

DEVCORE kwam dit jaar als winnaar uit de bus bij Pwn2Own Berlin, met 50,5 Master of Pwn punten en $505.000 aan beloningen over de drie dagen. Het team slaagde erin om kwetsbaarheden te vinden in Microsoft SharePoint, Microsoft Exchange, Microsoft Edge en Windows 11. STARLabs SG eindigde op de tweede plaats met $242.500 (25 punten), gevolgd door Out Of Bounds met $95.750 (12,75 punten).

De hoogste individuele beloning van $200.000 ging naar Cheng-Da Tsai, ook bekend als Orange Tsai, van het DEVCORE Research Team. Hij wist een keten van drie bugs te exploiteren om remote code execution met SYSTEM-privileges te verkrijgen op Microsoft Exchange. Op de eerste dag verdiende Orange Tsai ook $175.000 voor een sandbox-escape in Microsoft Edge, door een keten van vier logische bugs te misbruiken. Windows 11 werd driemaal gehackt en Valentina Palmiotti (chompie) van IBM X-Force Offensive Research ontving $70.000 voor het rooten van Red Hat Linux voor Workstations en het exploiteren van een zero-day in de NVIDIA Container Toolkit.

Op de tweede dag demonstreerden de hackers een andere kwetsbaarheid voor lokale privilege-escalatie in Windows 11, een root-privilege-escalatiekwetsbaarheid in Red Hat Enterprise Linux voor Workstations en zero-days in meerdere AI-coderingsagenten. Op de derde en laatste dag van de wedstrijd werden Windows 11 en Red Hat Enterprise Linux voor Workstations opnieuw gehackt, en werd een memory corruption bug gebruikt om VMware ESXi te exploiteren.

Na afloop van Pwn2Own hebben de betreffende softwareleveranciers 90 dagen de tijd om beveiligingspatches uit te brengen, voordat TrendMicro's Zero Day Initiative (ZDI) de details van de kwetsbaarheden openbaar maakt. Tijdens de Pwn2Own Berlin competitie van vorig jaar, gewonnen door het STAR Labs SG team, werden $1.078.750 uitbetaald voor 29 zero-day kwetsbaarheden en enkele bug-conflicten.

Bron: Zero Day Initiative (ZDI) | Bron 2: offensivecon.org

Meerdere softwareleveranciers, waaronder Ivanti, Fortinet, n8n, SAP en VMware, hebben recent beveiligingsupdates uitgebracht om diverse kritieke kwetsbaarheden te verhelpen. Deze kwetsbaarheden kunnen door kwaadwillenden worden misbruikt om authenticatie te omzeilen, willekeurige code uit te voeren en privileges te escaleren.

Een van de meest urgente problemen betreft een kritieke kwetsbaarheid in Ivanti Xtraction (CVE-2026-8043) met een CVSS-score van 9.6. Dit lek maakt het mogelijk om informatie openbaar te maken of client-side aanvallen uit te voeren. De kwetsbaarheid, die aanwezig is in Ivanti Xtraction-versies vóór 2026.2, wordt veroorzaakt door onvoldoende controle over bestandsnamen. Hierdoor kan een externe, geauthenticeerde aanvaller gevoelige bestanden lezen en willekeurige HTML-bestanden naar een webdirectory schrijven, wat leidt tot openbaarmaking van informatie en mogelijke client-side aanvallen.

Fortinet heeft twee kritieke kwetsbaarheden aangepakt die code-uitvoering mogelijk maken. CVE-2026-44277 (CVSS 9.1) in FortiAuthenticator is een kwetsbaarheid door onjuiste toegangscontrole, waardoor een niet-geauthenticeerde aanvaller ongeautoriseerde code of commando's kan uitvoeren via speciaal vervaardigde verzoeken. Deze is verholpen in FortiAuthenticator-versies 6.5.7, 6.6.9 en 8.0.3. Daarnaast is CVE-2026-26083 (CVSS 9.1) gevonden in de WEB UI van FortiSandbox, FortiSandbox Cloud en FortiSandbox PaaS. Dit is een kwetsbaarheid door ontbrekende autorisatie die een niet-geauthenticeerde aanvaller in staat stelt ongeautoriseerde code of commando's uit te voeren via HTTP-verzoeken. Deze is opgelost in FortiSandbox-versies 4.4.9 en 5.0.2, FortiSandbox Cloud-versie 5.0.6 en FortiSandbox PaaS-versies 4.4.9 en 5.0.2.

SAP heeft eveneens patches uitgebracht voor twee kritieke kwetsbaarheden. CVE-2026-34260 (CVSS 9.6) is een SQL-injectiekwetsbaarheid in SAP S/4HANA, die een aanvaller in staat stelt kwaadaardige SQL-statements te injecteren. Dit kan de vertrouwelijkheid en beschikbaarheid van de applicatie beïnvloeden, hoewel de integriteit niet wordt aangetast omdat de getroffen code alleen leestoegang tot data toestaat. CVE-2026-34263 (CVSS 9.6) betreft een ontbrekende authenticatiecontrole in de configuratie van SAP Commerce Cloud. Een te permissieve beveiligingsconfiguratie met onjuiste regelvolgorde stelt een niet-geauthenticeerde gebruiker in staat om kwaadaardige configuraties te uploaden en code te injecteren, wat resulteert in willekeurige server-side code-uitvoering.

Broadcom heeft voor VMware een patch uitgebracht voor een kwetsbaarheid met hoge ernst in VMware Fusion (CVE-2026-41702, CVSS 7.8). Deze TOCTOU (Time-of-check Time-of-use) kwetsbaarheid, die optreedt tijdens een bewerking uitgevoerd door een SETUID-binary, kan leiden tot lokale privilege-escalatie. Een kwaadwillende met lokale, niet-administratieve gebruikersprivileges kan dit lek misbruiken om privileges te escaleren naar 'root' op het systeem waar Fusion is geïnstalleerd. Het probleem is verholpen in versie 26H1.

Tot slot heeft n8n een reeks van vijf kritieke kwetsbaarheden gepatcht, allemaal met een CVSS-score van 9.4. Deze omvatten:

*   CVE-2026-42231: Een kwetsbaarheid in de xml2js-bibliotheek die wordt gebruikt voor het parsen van XML-verzoeklichamen in n8n's webhook-handler. Dit maakt prototype pollution mogelijk via een speciaal vervaardigde XML-payload, wat leidt tot remote code execution voor een geauthenticeerde gebruiker met workflow-rechten. Opgelost in n8n-versies 1.123.32, 2.17.4 en 2.18.1.

*   CVE-2026-42232: Een geauthenticeerde gebruiker met workflow-rechten kan globale prototype pollution bereiken via de XML Node, wat in combinatie met andere nodes kan leiden tot remote code execution. Opgelost in n8n-versies 1.123.32, 2.17.4 en 2.18.1.

*   CVE-2026-44791: Een bypass voor CVE-2026-42232, wat eveneens kan resulteren in remote code execution. Opgelost in n8n-versies 1.123.43, 2.20.7 en 2.22.1.

*   CVE-2026-44789: Globale prototype pollution via een ongevalideerde pagineringsparameter in de HTTP Request node, wat voor een geauthenticeerde gebruiker met workflow-rechten kan leiden tot remote code execution. Opgelost in n8n-versies 1.123.43, 2.20.7 en 2.22.1.

*   CVE-2026-44790: Injectie van CLI-vlaggen op de Push-operatie van de Git node, waardoor een geauthenticeerde gebruiker met workflow-rechten willekeurige bestanden van de n8n-server kan lezen en volledige compromittering kan bewerkstelligen. Opgelost in n8n-versies 1.123.43, 2.20.7 en 2.22.1.

Naast deze specifieke updates hebben ook andere leveranciers, zoals Google (voor Android en Pixel), HP Enterprise (inclusief Aruba Networking en Juniper Networks), diverse Linux-distributies (AlmaLinux, Alpine Linux, Amazon Linux, Arch Linux, Debian, Gentoo, Oracle Linux, Mageia, Red Hat, Rocky Linux, SUSE en Ubuntu) en Mozilla (voor Firefox, Firefox ESR en Thunderbird) de afgelopen weken beveiligingsupdates uitgebracht om diverse kwetsbaarheden te verhelpen.

Bron: Ivanti | Bron 2: github.com

Het Centrum voor Cyberbeveiliging België (CCB) heeft een dringende waarschuwing uitgegeven betreffende meerdere kwetsbaarheden in SonicWall SonicOS, de besturingssoftware van SonicWall firewalls. Organisaties die deze apparaten gebruiken, worden met klem geadviseerd om onmiddellijk de beschikbare patches te installeren, gezien het hoge risico op externe exploitatie en privilege escalatie.

De kritieke kwetsbaarheden omvatten:

*   **CVE-2024-40762**: Met een CVSS-score van 7.1, betreft dit een zwakke pseudo-random number generator (PRNG) die wordt gebruikt in de SSLVPN-authenticatie. Onder bepaalde omstandigheden kan dit aanvallers in staat stellen tokens te voorspellen en de authenticatie te omzeilen.

*   **CVE-2024-53704**: Deze kwetsbaarheid, met een CVSS-score van 8.2, is een onjuiste authenticatiefout in het SSLVPN-mechanisme, waardoor externe aanvallers de authenticatie volledig kunnen omzeilen.

*   **CVE-2024-53705**: Een server-side request forgery (SSRF) probleem in de SSH-beheerinterface, gewaardeerd met een CVSS-score van 6.5. Dit stelt aanvallers in staat om TCP-verbindingen op te zetten naar willekeurige IP-adressen en poorten, mits een gebruiker is ingelogd op de firewall.

*   **CVE-2024-53706**: Een lokale privilege escalatie kwetsbaarheid in Gen7 SonicOS Cloud NSv (AWS/Azure edities), met een CVSS-score van 7.8. Geauthenticeerde gebruikers met lage privileges kunnen root toegang verkrijgen, wat potentieel leidt tot code uitvoering.

De getroffen softwareversies zijn:

*   SonicWall Gen6 Hardware Firewalls (versies lager dan 6.5.5.1-6n

*   SonicWall Gen7 Firewalls (versies lager dan 7.1.3-7015

*   SonicWall Gen7 NSv (versies lager dan 7.0.1-5165

*   SonicWall TZ80: versies lager dan 8.0.0-8037)

SonicWall apparaten zijn breed ingezet als perimeter beveiligingsoplossingen en bevinden zich aan de netwerk rand, direct blootgesteld aan het internet. Dit maakt ze tot primaire doelwitten voor dreigingsactoren die actief scannen op kwetsbaarheden of verkeerde configuraties. Exploitatie van deze kwetsbaarheden kan aanvallers interne netwerk toegang verschaffen, wat hen in staat stelt vervolgaanvallen uit te voeren, waaronder de implementatie van ransomware. Er zijn reeds meldingen dat ransomware groepen, zoals Akira en Fog, eerdere SonicWall kwetsbaarheden actief exploiteren. De huidige kwetsbaarheden hebben een hoge impact op de vertrouwelijkheid, integriteit en beschikbaarheid van systemen.

Op 10 februari 2025 is er een 'proof of concept' exploit gepubliceerd voor CVE-2024-53704. CISA heeft deze kwetsbaarheid op 18 februari 2025 toegevoegd aan hun 'Known Exploited Vulnerabilities Catalogue', wat de urgentie van patchen verder onderstreept, aangezien de kans op actieve exploitatie aanzienlijk is toegenomen.

Het CCB adviseert met de hoogste prioriteit updates te installeren voor de kwetsbare apparaten, na grondige voorafgaande testen. Organisaties dienen te patchen naar de nieuwste softwareversies die door SonicWall zijn vrijgegeven om deze risico's te mitigeren.

Bron: SonicWall | Bron 2: cisa.gov | Bron 3: securityonline.info

Een recent rapport van BeyondTrust, de "2026 Microsoft Vulnerabilities Report", onthult een zorgwekkende trend, namelijk het aantal kritieke kwetsbaarheden in producten van Microsoft is in 2025 verdubbeld. Waar in 2024 nog 78 kritieke kwetsbaarheden werden gemeld, steeg dit aantal vorig jaar naar 157. Dit markeert een significante omkering van een meerjarige neerwaartse trend, ondanks een lichte daling in het totale aantal gerapporteerde kwetsbaarheden (van 1.360 in 2024 naar 1.273 in 2025).

De analyse, uitgevoerd door Morey J. Haber en James Maude van BeyondTrust, benadrukt dat organisaties zich niet moeten laten misleiden door de stabiliteit in het totale aantal kwetsbaarheden, maar zich moeten richten op de toenemende impact van kritieke lekken. De risico's concentreren zich met name op kwetsbaarheden die leiden tot escalatie van privileges (Elevation of Privilege), die 40% van alle CVE's uitmaken, en een toename van 73% in openbaarmaking van informatie (Information Disclosure). Dit duidt erop dat aanvallers steeds vaker de voorkeur geven aan heimelijke methoden en verkenning boven luidruchtige exploits. Zij gebruiken legitieme referenties en "Living Off the Land"-tactieken om laterale bewegingen uit te voeren.

Vooral in cloudplatforms en bedrijfsplatforms is deze ontwikkeling zorgwekkend. Hoewel het totale aantal kwetsbaarheden in Microsoft Azure en Dynamics 365 licht afnam, nam het aantal kritieke kwetsbaarheden dramatisch toe, van 4 naar 37 in één jaar tijd. Kritieke kwetsbaarheden in deze omgevingen kunnen verstrekkende gevolgen hebben, variërend van het blootstellen van gegevens tot het stilleggen van gehele bedrijfsprocessen. Een voorbeeld hiervan is CVE-2025-55241, een kritieke kwetsbaarheid in Entra ID die in juli 2025 werd gepatcht. Deze kwetsbaarheid stelde aanvallers in staat om tokens te vervalsen die in elke tenant werden geaccepteerd, zonder sporen achter te laten in logboeken van slachtoffers.

Ook aan de kant van endpoints en servers blijft de situatie gespannen. Het totale aantal kwetsbaarheden in Microsoft Windows daalde, maar kritieke kwetsbaarheden bleven hoog. Kwetsbaarheden in Windows Server stegen naar 780, waarvan 50 als kritiek werden geclassificeerd. Servers blijven waardevolle doelwitten vanwege hun verhoogde privileges en de hosting van gedeelde services.

Productiviteitssoftware, zoals Microsoft Office, kende de grootste stijging. Het aantal kwetsbaarheden hierin steeg met 234% op jaarbasis, van 47 naar 157. Kritieke kwetsbaarheden namen zelfs tienvoudig toe, van 3 naar 31. Office-applicaties blijven een veelgebruikt aanvalsoppervlak door de combinatie van menselijk gedrag, dagelijkse bedrijfsvoering en functionaliteiten zoals macro's, documentdeling en nieuwe AI mogelijkheden.

De trends van stijgende escalatie van privileges en openbaarmaking van informatie suggereren dat aanvallers hun focus verleggen naar het grondig verkennen van omgevingen. Organisaties wordt geadviseerd om hun staande administratorrechten nauwkeurig te auditeren en serviceaccounts en AI agents met dezelfde kritische blik te behandelen als menselijke identiteiten.

Bron: BeyondTrust

Mozilla heeft een nieuwe versie van zijn browser, Firefox 151, uitgebracht die aanzienlijke verbeteringen biedt op het gebied van privacy en beveiliging. De update richt zich met name op een betere bescherming tegen browser fingerprinting, een techniek waarmee gebruikers over het internet kunnen worden gevolgd zonder afhankelijk te zijn van cookies. Daarnaast zijn er 31 kwetsbaarheden in de browser verholpen en is de functionaliteit van de Private Browsing Mode uitgebreid.

Browser fingerprinting omvat het verzamelen van diverse eigenschappen van een systeem en de browser om een unieke digitale 'vingerafdruk' van de gebruiker te creëren. Voorbeelden van deze eigenschappen zijn de ingestelde schermresolutie, het type processor, de batterijstatus, het besturingssysteem, de tijdszone, de systeemtaal, en geïnstalleerde fonts en plug-ins. Door deze combinatie van gegevens kunnen trackers gebruikers gedurende lange perioden, soms maandenlang, volgen, zo heeft Mozilla eerder al gemeld.

De bestaande bescherming van Firefox tegen fingerprinting is met deze release verder uitgebreid. De Standard Enhanced Tracking Protection-functie van Firefox geeft nu minder informatie prijs over het systeem en de browser. Volgens Mozilla zou dit het aantal gebruikers dat uniek te identificeren is aan de hand van bekende fingerprintingtechnieken gemiddeld met 14 procent moeten verminderen. Voor gebruikers van macOS-systemen is de verbetering nog groter, met een geclaimde afname van maar liefst 49 procent.

Naast de privacyverbeteringen pakt Firefox 151 ook belangrijke beveiligingsrisico's aan. In totaal zijn er 31 kwetsbaarheden opgelost, waarvan de maximale impact als 'high' wordt beoordeeld. Het is cruciaal voor gebruikers om deze updates te installeren om potentiële exploits te mitigeren en hun systemen veilig te houden.

Een andere praktische verbetering betreft de Private Browsing Mode. Gebruikers hebben nu de optie om alle data van de huidige privésessie te verwijderen zonder dat het gehele browservenster moet worden gesloten, wat voorheen wel het geval was. Dit verhoogt het gebruiksgemak en de controle over privacy tijdens privé browsen.

Gebruikers kunnen updaten naar Firefox 151 via de automatische updatefunctie binnen de browser of door de nieuwste versie handmatig te downloaden via Firefox.com. Het wordt sterk aangeraden om zo spoedig mogelijk te updaten om te profiteren van de verbeterde beveiliging en privacy.

Bron: Mozilla | Bron 2: mullvad.net | Bron 3: librewolf.net

De Cybersecurity and Infrastructure Security Agency (CISA) heeft op 19 mei 2026 een waarschuwing uitgegeven over meerdere kwetsbaarheden in ScadaBR versie 1.2.0. Succesvolle exploitatie van deze kwetsbaarheden kan een ongeauthenticeerde aanvaller in staat stellen om op afstand code uit te voeren. ScadaBR-systemen worden wereldwijd ingezet in cruciale infrastructuursectoren, waaronder kritieke productie, dammen, chemie, energie en waterbeheer en afvalwaterbeheer.

Vier specifieke kwetsbaarheden zijn geïdentificeerd: één kritieke, twee hoge en één gemiddelde. De meest ernstige kwetsbaarheid, CVE-2026-8602, heeft een CVSS-score van 9.1 (kritiek) en betreft een ontbrekende authenticatie voor een kritieke functie (CWE-306). Hierdoor kan een ongeauthenticeerde aanvaller HTTP GET-verzoeken naar het SCADA-systeem sturen en willekeurige sensorwaarden injecteren.

Een andere significante kwetsbaarheid is CVE-2026-8603, met een CVSS-score van 8.8 (hoog). Dit is een 'OS Command Injection' kwetsbaarheid (CWE-78) die een aanvaller in staat stelt om commando's als 'root' uit te voeren op het SCADA-systeem. Daarnaast is CVE-2026-8604, eveneens met een CVSS-score van 8.8 (hoog), een 'Cross-Site Request Forgery' (CSRF) kwetsbaarheid (CWE-352). Een aanvaller kan hiermee geauthenticeerde acties activeren via de sessie van een slachtoffer, door een ingelogde gebruiker naar een kwaadaardige webpagina te lokken.

Tot slot is er CVE-2026-8605, een kwetsbaarheid met betrekking tot het gebruik van hardgecodeerde inloggegevens (CWE-798), met een CVSS-score van 6.1 (gemiddeld). Deze kwetsbaarheid stelt een aanvaller in staat om als beheerder toegang te krijgen tot het SCADA-systeem.

De kwetsbaarheden zijn gemeld aan CISA door Arad Inbar, Nir Somech, Ben Grinberg, Daniel Lubel, Erez Cohen en Adiel Sol van DREAM. CISA heeft contact opgenomen met ScadaBR, maar de leverancier heeft niet gereageerd op verzoeken om samen te werken aan mitigatie. Gebruikers van getroffen versies van ScadaBR wordt geadviseerd contact op te nemen met de klantenondersteuning van ScadaBR via hun GitHub-pagina voor aanvullende informatie.

Bron: CISA | Bron 2: github.com | Bron 3: cwe.mitre.org

Onderzoekers van HiddenLayer hebben een kwetsbaarheid met maximale ernst ontdekt in de nieuwste Python versie van FastAPI van het ChromaDB project. Deze kwetsbaarheid, aangeduid als CVE-2026-45829, stelt ongeauthenticeerde aanvallers in staat om willekeurige code uit te voeren op kwetsbare servers. De bevindingen werden op 17 februari aan ChromaDB gerapporteerd en kregen de hoogste ernstscore van HiddenLayer.

ChromaDB is een open source vector database en AI retrieval backend, veelvuldig toegepast in agentic AI en gerelateerde toepassingen. Het faciliteert het ophalen van semantisch relevante documenten tijdens de inferentie van grote taalmodellen (LLM's). De kwetsbaarheid bevindt zich in de codebase die de logica van de kwetsbare Python API-server bevat. Dit betekent dat het PyPI-pakket, dat maandelijks bijna 14 miljoen keer wordt gedownload, een risico vormt wanneer servers via HTTP toegankelijk zijn. Gebruikers die de database lokaal implementeren zonder de API-server online bloot te stellen, en gebruikers van de Rust-frontend, worden niet getroffen door CVE-2026-45829.

Volgens HiddenLayer maakt een API-eindpunt dat als geauthenticeerd is gemarkeerd, het mogelijk voor aanvallers om modelinstellingen in te bedden voordat de authenticatiecontrole plaatsvindt. Een aanvaller kan een speciaal opgesteld verzoek versturen om ChromaDB te dwingen een kwaadaardig model van het platform Hugging Face te laden en lokaal uit te voeren. De authenticatiecontrole wordt pas na deze stap uitgevoerd, waardoor de beveiliging wordt omzeild. HiddenLayer licht toe: "De authenticatie ontbreekt niet, [deze zit] alleen op de verkeerde plaats. Tegen de tijd dat deze wordt geactiveerd, is het model al opgehaald en uitgevoerd. De server wijst het verzoek af, retourneert een 500-fout, en de payload van de aanvaller is dan al uitgevoerd."

De kwetsbaarheid werd geïntroduceerd in ChromaDB versie 1.0.0 en was nog aanwezig in versie 1.5.8. Twee weken geleden heeft de beheerder versie 1.5.9 uitgebracht, maar het is onduidelijk of het beveiligingsprobleem hiermee is verholpen. Sinds 17 februari hebben onderzoekers van HiddenLayer meerdere keren geprobeerd contact op te nemen met de ontwikkelaar via e-mail en sociale media, maar zij ontvingen geen antwoord.

Uit Shodan-query's blijkt dat ongeveer 73% van de via internet toegankelijke instanties een kwetsbare versie van Chroma draait. Zolang onduidelijk is of CVE-2026-45829 is gepatcht, wordt getroffen gebruikers aangeraden de Rust-frontend te gebruiken voor hun implementaties of de Python server niet publiekelijk bloot te stellen. Een andere mitigatiemaatregel is het beperken van de netwerktoegang tot de ChromaDB API-poort. De onderzoekers adviseren tevens om artefacten van machine learning-modellen (ML-modellen) vóór runtime te scannen, aangezien het laden van openbare modellen met 'trust_remote_code' in feite neerkomt op het uitvoeren van onbetrouwbare code.

Bron: HiddenLayer | Bron 2: github.com | Bron 3: nvd.nist.gov

Microsoft heeft een waarschuwing uitgegeven voor een nieuwe kwetsbaarheid in Windows, genaamd YellowKey, die het mogelijk maakt de BitLocker-encryptie van systemen te omzeilen. Het techbedrijf verwacht dat aanvallers misbruik zullen maken van dit lek. De kwetsbaarheid is ontdekt door een onderzoeker die op 12 mei een werkende proof-of-concept (PoC) exploit op GitHub publiceerde. Deze PoC, die de naam YellowKey kreeg, maakt het voor een aanvaller met fysieke toegang tot een met BitLocker versleutelde Windows 11, Windows Server 2022 of Windows Server 2025 machine mogelijk om toegang tot het systeem te verkrijgen.

Voor de exploit is enkel een usb-stick met de benodigde software en een specifieke toetsencombinatie tijdens het opstarten van het systeem vereist. Het Nationaal Cyber Security Centrum (NCSC) merkt hierbij op dat de kwetsbaarheid niet in de encryptie van BitLocker zelf zit, maar in de herstelomgeving die BitLocker omringt. Een dag na de publicatie van de exploit claimde de onderzoeker ook dat BitLocker-systemen die beveiligd zijn met een Trusted Platform Module (TPM) en een pincode kwetsbaar zijn, hoewel de gepubliceerde exploit niet werkt tegen deze systemen. Experts trekken deze claim echter in twijfel.

Een week na de openbaarmaking van de YellowKey-exploit heeft Microsoft een beveiligingsbulletin uitgebracht over het probleem, aangeduid als CVE-2026-45585. Het bedrijf werkt aan een beveiligingsupdate, maar deze is nog niet beschikbaar. Wel zijn er tijdelijke mitigaties die organisaties en gebruikers kunnen doorvoeren, waaronder het instellen van een pincode.

Oleg Afonin, werkzaam bij forensische softwareontwikkelaar Elcomsoft, stelt dat het YellowKey-lek veel aandacht heeft gekregen in de cybersecuritypers, maar dat de forensische gemeenschap er relatief stil over bleef. Elcomsoft, bekend van software die opsporingsdiensten helpt toegang te krijgen tot systemen, ziet de kwetsbaarheid als een interessante mogelijkheid voor forensisch onderzoekers. Volgens Afonin kan YellowKey hen helpen toegang te verkrijgen tot systemen die voorheen onbereikbaar waren vanwege BitLocker-encryptie. Hij benadrukt wel dat onderzoekers eerst een image van het systeem moeten maken met een hardware write blocker, aangezien de exploit diverse bestanden aanpast.

Bron: Microsoft | Bron 2: github.com | Bron 3: advisories.ncsc.nl

Op 20 mei 2026 is bekendgemaakt dat beveiligingscamera's van de fabrikant ZKTeco een kritieke kwetsbaarheid bevatten. Dit ernstige beveiligingslek stelt aanvallers in staat om de getroffen apparaten op afstand volledig over te nemen, wat een aanzienlijk risico vormt voor de veiligheid en privacy van gebruikers. ZKTeco roept klanten daarom dringend op om de beschikbaar gestelde update zo spoedig mogelijk te installeren om hun systemen te beveiligen tegen potentieel misbruik.

De kwetsbaarheid, die is geïdentificeerd onder het nummer CVE-2026-8598, wordt veroorzaakt door een ongedocumenteerde configuratie-exportpoort. Deze poort is zonder enige vorm van authenticatie toegankelijk voor ongeautoriseerde partijen. Door deze ongeautoriseerde toegang kunnen aanvallers belangrijke en gevoelige informatie over de camera buitmaken. Hiertoe behoren ook cruciale inloggegevens van accounts die aan de camera zijn gekoppeld.

ZKTeco heeft laten weten dat indien deze kwetsbaarheid wordt misbruikt, dit kan leiden tot het verkrijgen van volledige administratieve controle over het betreffende apparaat. Dit houdt in dat cybercriminelen niet alleen in staat zijn om toegang te krijgen tot de camerabeelden, maar ook de instellingen van de camera kunnen wijzigen, deze kunnen uitschakelen, of zelfs kunnen gebruiken als een toegangspunt om verder in het netwerk van de gebruiker door te dringen. De blootstelling van inloggegevens maakt het risico nog groter, aangezien deze credentials mogelijk ook elders worden gebruikt, wat leidt tot een groter aanvalsoppervlak.

Het is om deze reden van cruciaal belang dat klanten onmiddellijk actie ondernemen. De fabrikant benadrukt het belang van het snel installeren van de firmware update om de risico's te minimaliseren en de integriteit van de beveiligingssystemen te waarborgen. Om de benodigde patch package te verkrijgen, dienen klanten contact op te nemen met ZKTeco zelf, of met hun geautoriseerde partners en dochterondernemingen.

Bron: ZKTeco | Bron 2: cisa.gov

Drupal heeft beveiligingsupdates uitgebracht om een "hoogst kritieke" kwetsbaarheid in Drupal Core te verhelpen. Deze kwetsbaarheid, getraceerd als CVE-2026-9082, kan door aanvallers worden misbruikt voor remote code execution (RCE), privilege-escalatie of het lekken van informatie. Volgens CVE.org heeft de kwetsbaarheid een CVSS-score van 6.5 uit 10.0.

De kwetsbaarheid bevindt zich in een database-abstractie-API die in Drupal Core wordt gebruikt om queries te valideren en te zorgen dat deze worden gesaneerd tegen SQL-injectieaanvallen. Drupal heeft aangegeven dat een kwetsbaarheid in deze API een aanvaller in staat stelt om speciaal geprepareerde verzoeken te verzenden, wat resulteert in willekeurige SQL-injectie voor sites die gebruikmaken van PostgreSQL-databases. Dit kan leiden tot informatielekken en in sommige gevallen tot privilege-escalatie, remote code execution of andere aanvallen.

Drupal merkt op dat de beveiligingsfout kan worden uitgebuit door anonieme gebruikers en alleen van invloed is op sites die PostgreSQL gebruiken. Drupal 7 wordt niet getroffen door dit specifieke probleem. De releases voor ondersteunde branches (versies 11.3, 11.2, 10.6 en 10.5) bevatten de oplossing voor dit probleem, evenals upstream beveiligingsupdates voor Symfony en Twig. Het is essentieel dat deze nieuwste versies worden geïnstalleerd.

Daarnaast zijn er handmatige patches uitgebracht voor Drupal versies 9 en 8, hoewel deze versies het einde van hun levensduur (end-of-life) hebben bereikt. Drupal 11.1.x, Drupal 11.0.x, Drupal 10.4.x en oudere versies zijn eveneens end-of-life en ontvangen geen security coverage meer. Vanwege de ernst van dit probleem worden de patches voor de niet-ondersteunde versies als een "best effort" aangeboden. Deze niet-ondersteunde versies zullen echter nog steeds andere, eerder bekendgemaakte beveiligingskwetsbaarheden bevatten.

Bron: Drupal

De AI-coderingstool Claude Code van Anthropic bevatte meer dan vijf maanden lang een kritieke netwerksandboxbypass, waardoor aanvallers inloggegevens, broncode en omgevingsvariabelen konden exfiltreren van ontwikkelaarssystemen. Anthropic heeft geen openbare melding gedaan over de kwetsbaarheid of de stilzwijgende patch.

Beveiligingsonderzoeker Aonan Guan heeft een tweede volledige bypass van de netwerksandbox van Claude Code openbaar gemaakt, wat hij beschrijft als een consistente implementatiefout in plaats van een geïsoleerde bug. De kwetsbaarheid, een SOCKS5 hostname null-byte-injectie, trof elke Claude Code-versie van v2.0.24 (sandbox algemeen beschikbaar op 20 oktober 2025) tot en met v2.1.89, wat neerkomt op ongeveer 130 gepubliceerde versies over ruwweg 5,5 maanden.

Anthropic heeft het probleem stilzwijgend gepatcht in v2.1.90 op 1 april 2026, zonder vermelding van een beveiligingsfix in de releasenotes. Dit volgt op de eerste sandboxbypass (CVE-2025-66479), waarbij de configuratie `allowedDomains: []` bedoeld om al het uitgaande verkeer te blokkeren, verkeerd werd geïnterpreteerd door Claude Code als "alles toestaan" vanwege een gebrekkige `allowedDomains.length > 0` controle. Die bug werd stilzwijgend gepatcht in v2.0.55 op 26 november 2025, dezelfde release die nog steeds de SOCKS5 null-byte-injectie bevatte.

De aanval maakt gebruik van een parserverschil tussen JavaScript en de onderliggende C-bibliotheek (libc). De sandbox van Claude Code routeert uitgaand verkeer via een SOCKS5-proxy die een JavaScript `endsWith()`-check gebruikt om hostnamen te valideren tegen de allowlist van de gebruiker (bijvoorbeeld `*.google.com`). Een aanvaller kan een hostname maken zoals `attacker-host.com\x00.google.com`. Het JavaScript-filter ziet dan het achtervoegsel `.google.com` en keurt de verbinding goed, terwijl `libc's getaddrinfo()` eindigt bij de null-byte (`\x00`) en `attacker-host.com` oplost, de geblokkeerde host.

De kwetsbare code in `sandbox-runtime <= 0.0.42` gaf ruwe `DOMAINNAME`-bytes direct door van een SOCKS5 `CONNECT`-verzoek aan de matcher, zonder null-byte-afwijzing, lengtebeperking of karakter-whitelist. De fix in `sandbox-runtime 0.0.43` introduceerde een `isValidHost()`-wrapper die `\x00`, `%`, CRLF en andere niet-DNS-karakters afwijst voordat de matcher draait.

De bypass wordt bijzonder gevaarlijk in combinatie met prompt injection aanvallen. Een kwaadaardige instructie die verborgen is in een GitHub issue-commentaar, README-bestand of documentatiebestand dat Claude Code leest, kan door de aanvaller gecontroleerde code in de sandbox activeren. Tot v2.1.90 kon die code deze bypass misbruiken om stilzwijgend het volgende te exfiltreren:

*   AWS-inloggegevens van `~/.aws/` en GitHub-tokens van `~/.config/gh/`.

*   Cloud-instantiemetadata van `169.254.169.254`.

*   Interne API-endpoints en bedrijfsintranetbronnen.

*   Omgevingsvariabelen en model API-sleutels , allemaal verzonden via ruwe SOCKS5, waarbij standaard HTTP egress-logs worden omzeild.

Anthropic sloot Guan's HackerOne-rapport (#3646509) als een duplicaat. Op 10 mei 2026 had Anthropic geen CVE gepubliceerd voor de SOCKS5 bypass in de NVD of de GitHub Advisory Database. CVE-2025-66479 blijft de enige CVE die is geregistreerd voor sandbox-bevindingen, en deze werd uitgegeven tegen `sandbox-runtime`, niet tegen Claude Code zelf. De pagina met beveiligingsadviezen van Claude Code vermeldt geen sandbox-kwetsbaarheden.

Gebruikers moeten onmiddellijk updaten naar Claude Code v2.1.90 of later (`claude --version` om te verifiëren). Iedereen die tussen 20 oktober 2025 en de upgrade een wildcard-allowlist gebruikte op een systeem met inloggegevens, moet de outbound SOCKS-gemedieerde verkeerslogs controleren en alle bereikbare inloggegevens roteren. De onderzoeker merkt op dat de vendor sandbox moet worden behandeld als defense-in-depth, niet als een beveiligingsgrens, en dat uitgaande controles op netwerk of hypervisor-niveau buiten het bereik van de agent moeten worden afgedwongen.

Bron: Anthropic | Bron 2: github.com