Elastic heeft kwetsbaarheden verholpen in Kibana. De kwetsbaarheden bevinden zich in verschillende componenten van Kibana. Een geauthenticeerde gebruiker met alleen weergaveprivileges kan een fout in de invoervalidatie misbruiken om een Denial of Service-voorwaarde te veroorzaken door speciaal vervaardigde, verkeerd gevormde payloads te verzenden. Dit leidt tot overmatig gebruik van resources en kan resulteren in crashes. Daarnaast bevat de zoekendpoint van Kibana's interne Content Connectors een kwetsbaarheid die het mogelijk maakt voor aanvallers om gemanipuleerde invoergegevens te leveren, wat ook kan leiden tot een Denial of Service. De AI Inference Anonymization Engine maakt gebruik van een inefficiënt geconstrueerde reguliere expressie, wat kan worden misbruikt om een Denial of Service te veroorzaken door de regex-processor te overweldigen. De Timelion-component kan ook worden misbruikt om ongecontroleerd middelenverbruik te veroorzaken, wat de beschikbaarheid van de Kibana-service beïnvloedt. Ten slotte staat de kwetsbaarheid in de workflow template engine geauthenticeerde gebruikers met executeWorkflow-rechten toe om code in te voegen die willekeurige bestanden van het serversysteem kan lezen en server-side request forgery (SSRF) aanvallen mogelijk maakt.
Cisco heeft meerdere kwetsbaarheden verholpen in Cisco Secure Firewall (inclusief ASA en FTD software). De kwetsbaarheden omvatten SQL-injectie, privilege-escalatie, denial-of-service, cross-site scripting, en onjuist beheer van invoer in verschillende componenten van de Cisco Secure Firewall. Authenticated remote attackers kunnen deze kwetsbaarheden misbruiken om ongeautoriseerde toegang te krijgen, systeemintegriteit te compromitteren, of netwerkdiensten te verstoren. De kwetsbaarheden zijn aanwezig in de webinterfaces, REST API's, en andere functionaliteiten van de firewall software.
De kwetsbaarheid met kenmerk CVE-2026-20079 bevindt zich in de webinterface van Cisco Secure Firewall Management Center. Een ongeauthenticeerde externe kwaadwillende kan de authenticatiecontroles omzeilen door een onjuist systeemproces dat bij het opstarten is aangemaakt te misbruiken. De kwaadwillende kan deze kwetsbaarheid misbruiken door speciaal geprepareerde HTTP-verzoeken naar een getroffen apparaat te sturen. Een succesvolle exploit kan de aanvaller in staat stellen verschillende scripts en commando’s uit te voeren die root-toegang tot het apparaat mogelijk maken.
De kwetsbaarheid met kenmerk CVE-2026-20131 bevindt zich in de webinterface van Cisco Secure Firewall Management Center. Deze kwetsbaarheid stelt ongeauthenticeerde externe kwaadwillende in staat om willekeurige Java-code uit te voeren met root-rechten. De kwetsbaarheid wordt veroorzaakt door de onveilige deserialisatie van door de gebruiker aangeleverde Java-byte-stromen. Een kwaadwillende kan deze kwetsbaarheid misbruiken door een speciaal geprepareerd, geserialiseerd Java-object naar de webgebaseerde beheerinterface van een getroffen apparaat te sturen. Een succesvolle exploit kan de aanvaller in staat stellen om willekeurige code op het apparaat uit te voeren en de rechten te verhogen tot root-niveau.
Als de beheerinterface van Cisco Secure Firewall Management Center geen publieke internettoegang heeft, wordt het aanvalsoppervlak verkleind. Het is niet gebruikelijk om een managementinterface direct publiekelijk aan het internet bloot te stellen.
Indien jouw organisatie gebruikmaakt van Cisco Security Cloud Control Firewall Management, dan betreft dit een SaaS-dienst (Software-as-a-Service) die door Cisco Systems automatisch wordt bijgewerkt als onderdeel van regulier onderhoud. Er is in dat geval geen actie van de gebruiker vereist.
Het NCSC verwacht op korte termijn een publieke PoC en grootschalige pogingen tot misbruik. Het NCSC adviseert met klem de update zo spoedig mogelijk te installeren.
N8n heeft een kwetsbaarheid verholpen in de Merge node in SQL-query modus (Specifiek voor versies vóór 2.10.1, 2.9.3 en 1.123.22). De kwetsbaarheid bevindt zich in de wijze waarop de Merge node SQL-query's uitvoert. Geauthenticeerde gebruikers met rechten voor het creëren of wijzigen van workflows kunnen willekeurige code uitvoeren en bestanden op de server schrijven. Dit wordt mogelijk gemaakt door onvoldoende validatie in de uitvoering van SQL-query's, wat leidt tot code-injectie. De kwetsbaarheid is aanwezig in versies vóór 2.10.1, 2.9.3 en 1.123.22.
Broadcom heeft kwetsbaarheden verholpen in VMware Aria Operations. De kwetsbaarheden omvatten een privilege-escalatie, een stored cross-site scripting (XSS) en een command injection. De privilege-escalatie kwetsbaarheid kan een aanvaller in staat stellen om verhoogde privileges te verkrijgen, wat de systeemintegriteit en toegangscontroles kan beïnvloeden. De stored XSS-kwetsbaarheid stelt aanvallers in staat om kwaadaardige scripts in de applicatie te injecteren en uit te voeren, wat kan leiden tot compromittering van gebruikerssessies of gegevensintegriteit. De command injection-kwetsbaarheid maakt het mogelijk om willekeurige commando's binnen het systeem uit te voeren, wat de systeemintegriteit of vertrouwelijkheid kan compromitteren.
UPDATE 04/03/2026: CISA heeft aangegeven dat CVE-2026-22719 actief misbruikt wordt.
Google heeft kwetsbaarheden verholpen in Android. In deze update zijn ook updates meegenomen voor closed-source componenten van Qualcomm, Imagination Technologies, Unisoc en MediaTek.
Samsung heeft kwetsbaarheden in Samsung Mobile verholpen die relevant zijn voor Samsung mobile devices. Een kwaadwillende kan de kwetsbaarheden misbruiken om een Denial-of-Service te veroorzaken, zichzelf verhoogde rechten toe te kennen, toegang te krijgen tot gevoelige gegevens of willekeurige code uit te voeren.
Voor succesvol misbruik moet de kwaadwillende het slachtoffer misleiden om een malafide app te installeren en uit te voeren, of een malafide link te volgen.
Google heeft verder, zoals gebruikelijk, weinig inhoudelijke informatie beschikbaar gesteld.
Juniper heeft een kwetsbaarheid verholpen in Junos OS Evolved (Specifiek voor PTX Series apparaten). De kwetsbaarheid bevindt zich in het On-Box Anomaly detection framework van Junos OS Evolved dat draait op PTX Series apparaten. De oorzaak is een onjuiste toewijzing van rechten die ongeauthenticeerde externe aanvallers in staat stelt om code met rootprivileges uit te voeren. Deze kwetsbaarheid kan op afstand via het netwerk worden misbruikt zonder authenticatie, wat aanvallers volledige controle over het apparaat geeft.
Het On-Box Anomaly Detection-framework mag uitsluitend door interne processen via de interne routinginstantie worden benaderd en niet via een extern blootgestelde poort. Om het risico op misbruik te verkleinen heeft Juniper een oplossing beschikbaar gesteld. Toegang dient te worden beperkt tot alleen vertrouwde netwerken en hosts met behulp van toegangslijsten of firewallfilters, waarbij uitsluitend de expliciet vereiste verbindingen worden toegestaan en alle overige verbindingen worden geblokkeerd.
Als alternatief kan deze service volledig worden uitgeschakeld met het commando: **request pfe anomalies disable**.
GitLab heeft kwetsbaarheden verholpen in versies 9.0 tot maar niet inclusief 18.7.5, 18.8 tot maar niet inclusief 18.8.5, en 18.9 tot maar niet inclusief 18.9.1. De kwetsbaarheden omvatten verschillende Denial of Service (DoS) en beveiligingsproblemen die konden worden misbruikt door zowel geauthenticeerde als ongeauthenticeerde gebruikers. Dit omvatte het creëren van speciaal vervaardigde triggers via de GitLab API, het versturen van speciaal vervaardigde bestanden naar de container registry, en het injecteren van scripts in de Mermaid sandbox UI. De kwetsbaarheden beïnvloeden de beschikbaarheid van de service en de integriteit van de configuraties binnen de CI/CD-processen van GitLab.
Cisco heeft meerdere kwetsbaarheden verholpen in de Cisco Catalyst SD-WAN Manager. De kwetsbaarheden bevinden zich in de peering authenticatiemechanismen van de Cisco Catalyst SD-WAN Controller en Manager producten. Deze kwetsbaarheden stellen een niet-geauthenticeerde externe aanvaller in staat om het authenticatieproces te omzeilen, waardoor administratieve privileges op de getroffen systemen kunnen worden verkregen. Daarnaast kunnen aanvallers root-level privileges verkrijgen, wat kan leiden tot ongeautoriseerde toegang tot gevoelige informatie en de mogelijkheid om willekeurige bestanden te overschrijven, wat kan resulteren in verdere exploitatie of systeeminstabiliteit.
De meest ernstige kwetsbaarheid, met kenmerk CVE-2026-20127, kan door een ongeauthenticeerde kwaadwillende worden misbruikt om op afstand willekeurige code uit te voeren met hoge administratieve rechten. Cisco geeft aan dat actief misbruik van deze kwetsbaarheid bekend is.
Na misbruik van deze kwetsbaarheid zou de kwaadwillende de kwetsbaarheid met kenmerk CVE-2022-20775 gebruiken om de rechten te escaleren tot root. Dit doet de actor door het systeem te downgraden naar een versie waarin CVE-2022-20775 niet verholpen is, de rechten middels deze kwetsbaarheid te verhogen naar root en vervolgens het systeem weer terug te zetten in de oorspronkelijke versie.
Het NCSC verwacht op korte termijn een publieke PoC en grootschalige pogingen tot misbruik van CVE-2026-20127. Het NCSC adviseert met klem de update zo spoedig mogelijk te installeren.
Broadcom heeft kwetsbaarheden verholpen in VMware Aria Operations. De kwetsbaarheden omvatten een privilege-escalatie, een stored cross-site scripting (XSS) en een command injection. De privilege-escalatie kwetsbaarheid kan een aanvaller in staat stellen om verhoogde privileges te verkrijgen, wat de systeemintegriteit en toegangscontroles kan beïnvloeden. De stored XSS-kwetsbaarheid stelt aanvallers in staat om kwaadaardige scripts in de applicatie te injecteren en uit te voeren, wat kan leiden tot compromittering van gebruikerssessies of gegevensintegriteit. De command injection-kwetsbaarheid maakt het mogelijk om willekeurige commando's binnen het systeem uit te voeren, wat de systeemintegriteit of vertrouwelijkheid kan compromitteren.
SolarWinds heeft kwetsbaarheden verholpen in Serv-U. De kwetsbaarheden bevinden zich in de wijze waarop Serv-U toegang controleert en gegevens types verwerkt. Aanvallers met administratieve privileges kunnen deze kwetsbaarheden misbruiken om ongeautoriseerde systeemtoegang te verkrijgen en willekeurige code met verhoogde rechten uit te voeren. Dit kan leiden tot privilege-escalatie.
Splunk heeft kwetsbaarheden verholpen in Splunk Enterprise en Splunk Cloud Platform. De kwetsbaarheden bevinden zich in verschillende versies van Splunk Enterprise en Splunk Cloud Platform. Ze stellen laaggeprivilegieerde gebruikers in staat om beveiligingen te omzeilen, gevoelige informatie te bekijken, en de REST API te misbruiken voor gebruikersauthenticatie. Dit kan leiden tot ongeautoriseerde toegang en verstoring van de service. Specifieke versies van Splunk Enterprise zijn kwetsbaar voor toegang tot de Monitoring Console App endpoints en het inzien van gevoelige configuraties zoals Duo Two-Factor Authentication sleutels, RSA accessKeys, en SAML configuraties in platte tekst. Deze kwetsbaarheden kunnen de integriteit en vertrouwelijkheid van gegevens en authenticatieprocessen in gevaar brengen.
Ivanti heeft twee kwetsbaarheden verholpen in Endpoint Manager Mobile (EPMM), ook wel bekend als MobileIron. De kwetsbaarheden stellen een ongeauthenticeerde kwaadwillende in staat om willekeurige code uit te voeren op het kwetsbare systeem.
Van de kwetsbaarheid met kenmerk CVE-2026-1281 meldt Ivanti dat deze actief is misbruikt bij een zeer beperkt aantal klanten.
Er is Proof-of-Concept-code publiek beschikbaar. Dit vergroot de kans grootschalig misbruik aanzienlijk.
**Update**: Afhankelijk van de configuratie van EPMM kan deze toegang verlenen tot het Sentry systeem. Hierdoor kan compromittatie van het EPMM systeem kwaadwillenden mogelijk toegang tot het Sentry systeem verschaffen. Hiervoor is toegang tot de keystore op het EPMM systeem vereist. Onderzoek het Sentry systeem op verdachte toegang en verdacht verkeer vanaf EPMM.
GitHub heeft kwetsbaarheden verholpen in GitHub Enterprise Server (Specifiek voor versies vóór 3.20, 3.19.2, 3.18.5 en 3.17.11). De eerste kwetsbaarheid betreft een autorisatieprobleem dat het mogelijk maakte voor aanvallers om ongeautoriseerde pull-requests samen te voegen in repositories die fork-ondersteuning bieden. De tweede kwetsbaarheid betreft een ontbrekende autorisatie die aanvallers in staat stelde om ongeautoriseerde inhoud te uploaden naar de migratie-export van een andere gebruiker. Beide kwetsbaarheden zijn opgelost in de genoemde versies.
Google heeft een kwetsbaarheid verholpen in Google Chrome (voor versies vóór 145.0.7632.75). De kwetsbaarheid bevindt zich in de wijze waarop Google Chrome omgaat met CSS en betreft een use-after-free probleem. Dit kan leiden tot remote code execution via speciaal gemaakte HTML-pagina's. Zowel Google Chrome als Microsoft Edge (op basis van Chromium) zijn getroffen. Er is exploit code beschikbaar voor CVE-2026-2441.
Dell heeft een kwetsbaarheid verholpen in Dell RecoverPoint for Virtual Machines (versies voor 6.0.3.1 HF1). De kwetsbaarheid bevindt zich in hardcoded inloggegevens die aanwezig zijn in de software. Dit stelt ongeauthenticeerde aanvallers op hetzelfde netwerk in staat om ongeautoriseerde toegang tot het systeem te verkrijgen. Dit kan de integriteit en vertrouwelijkheid van de getroffen omgevingen in gevaar brengen.
Daarbij meldt GTIG dat zij misbruik van de desbetreffende kwetsbaarheid hebben waargenomen sinds ten minste medio 2024, dus al vóór de patch. In de bijgevoegde blogpost heeft GTIG Indicators of Compromise (IoC’s) en YARA-regels opgenomen om de gebruikte malware te kunnen identificeren.
Apple heeft kwetsbaarheden verholpen in iOS en iPadOS. De kwetsbaarheden omvatten verschillende problemen zoals geheugenbeschadiging, bufferoverloop, en gebruik na vrijgave, die konden leiden tot ongeautoriseerde toegang tot gevoelige gegevens, onverwachte procescrashes en andere stabiliteitsproblemen. De kwetsbaarheden werden voornamelijk veroorzaakt door inadequate invoervalidatie en kwetsbaarheden in de verwerking van schadelijke inhoud. De updates zijn gericht op het verbeteren van de beveiliging en stabiliteit van de betrokken besturingssystemen.
Apple meldt dat zij een rapport hebben ontvangen dat de kwetsbaarheid met kenmerk CVE-2026-20700 mogelijk is misbruikt bij een zeer gerichte aanval, waarbij een iOS device met versienummer vóór 26 het slachtoffer is. Meer detailinformatie is niet vrijgegeven. De kwetsbaarheid stelt een kwaadwillende in staat om willekeurige code uit te voeren. Voor succesvol misbruik moet de kwaadwillende voorafgaande rechten hebben om geheugen te mogen beschrijven.
Apple heeft kwetsbaarheden verholpen in macOS, inclusief versies Sequoia 15.7.4, Tahoe 26.3 en Sonoma 14.8.4. De kwetsbaarheden omvatten onder andere problemen met geheugencorruptie, ongeautoriseerde toegang tot gevoelige gebruikersdata, en logboekproblemen die konden leiden tot ongeautoriseerde toegang tot locatie-informatie. De updates bevatten verbeterde validatieprocessen en state management om deze risico's te mitigeren.
BeyondTrust heeft een kwetsbaarheid verholpen in BeyondTrust Remote Support en enkele oudere versies van Privileged Remote Access. De kwetsbaarheid bevindt zich in de pre-authenticatie van de software, waardoor niet-geauthenticeerde aanvallers in staat zijn om besturingssysteemcommando's uit te voeren door speciaal vervaardigde verzoeken naar de getroffen systemen te sturen.
**Update 13 02 2026:**
Voor de kwetsbaarheid CVE-2026-1731 is recentelijk publieke proof-of-concept code verschenen en ook actief misbruik waargenomen. Deze factoren verhogen aanzienlijk het risico op misbruik.
GitLab heeft kwetsbaarheden verholpen in GitLab CE/EE (Specifiek voor versies vóór 18.6.6, 18.7.4, en 18.8.4). De kwetsbaarheden omvatten server-side request forgery, ongeautoriseerde toegang tot interne netwerkservices, injectie van kwaadaardige inhoud, ongeautoriseerde acties via de GLQL API, ongeautoriseerde informatie openbaarmaking via de API, en denial of service door overmatige GraphQL-queries. Authenticated gebruikers konden misbruik maken van deze kwetsbaarheden, wat leidde tot risico's zoals ongeautoriseerde toegang, manipulatie van gebruikersacties, en verstoring van de beschikbaarheid van systemen. Daarnaast konden ongeauthenticeerde gebruikers ook denial of service veroorzaken door het uploaden van schadelijke bestanden. De kwetsbaarheden zijn opgelost in de laatste updates, waardoor gebruikers van de getroffen versies niet langer risico lopen op deze specifieke exploits.
