Check Point heeft kwetsbaarheden verholpen in Remote and Mobile Access VPN-producten, specifiek voor implementaties die gebruikmaken van het IKEv1 key exchange protocol. Er zijn twee kwetsbaarheden vastgesteld in Check Point Security Gateways en Remote Access VPN-omgevingen die gebruikmaken van het verouderde IKEv1-protocol. De kwetsbaarheden CVE-2026-50751 en CVE-2026-50752 treffen VPN-authenticatie en certificaatvalidatie. Deze kwetsbaarheden stellen aanvallers in staat om zonder geldige authenticatie toegang te verkrijgen tot VPN-omgevingen.
De kwetsbaarheid CVE-2026-50751 is als zero-day misbruikt. Volgens Check Point zou in één geval ook ransomware zijn geplaatst na dit misbruik. Het eerste gedetecteerde misbruik dateert van 7 mei. Het IKEv1-protocol is een verouderd protocol dat nog wel wordt gebruikt bij dit soort implementaties. Het NCSC-NL verwacht dat er op korte termijn grootschalig misbruik zal plaatsvinden en roept organisaties op om de advisory van Check Point op te volgen. Ook roept het NCSC-NL organisaties op om de IoC’s van Check Point te controleren als binnen de organisatie betreffende producten worden gebruikt waarin IKEv1 is ingeschakeld.
IOCs
45.77.149[.]152
209.182.225[.]136
38.60.157[.]139
162.33.177[.]101
45.76.26[.]42
144.208.127[.]155
38.54.88[.]201
38.54.107[.]167
66.42.99[.]200
52fda5c1b9704544f32ee98d9060e689
51d39aa39478beeac94f2d12f682ecce
IBM heeft kwetsbaarheden verholpen in IBM Aspera High-Speed Transfer Endpoint en Server versies 3.7.4 tot en met 4.4.7 Fix Pack 1. De kwetsbaarheden bevinden zich in de asperahttpd component van de IBM Aspera High-Speed Transfer Endpoint en Server producten. Een buffer overflow kan leiden tot Denial-of-Service, omzeilen van authenticatie, of het uitvoeren van willekeurige code op afstand. Een niet-geauthenticeerde aanvaller kan de asperahttpd service laten crashen, wat resulteert in een serviceonderbreking. Daarnaast kan een geauthenticeerde gebruiker de normale autorisatiemechanismen omzeilen en lokaal opgeslagen bestanden op de server lezen zonder toestemming. Deze kwetsbaarheden zijn aanwezig in meerdere versies binnen het genoemde bereik.
IBM heeft kwetsbaarheden verholpen in WebSphere Application Server en WebSphere Liberty versies 8.5 en 9.0. De kwetsbaarheden bevinden zich in de Web Server Plug-ins die onderdeel zijn van de request handling processen van deze producten. De eerste kwetsbaarheid betreft HTTP request smuggling, waarbij speciaal opgemaakte HTTP-verzoeken worden gebruikt om beveiligingscontroles te omzeilen of de normale verwerking van HTTP-verzoeken te verstoren. De tweede kwetsbaarheid betreft remote code execution, waarbij een aanvaller door het versturen van speciaal opgemaakte verzoeken naar de plug-ins op afstand willekeurige code kan uitvoeren. Beide kwetsbaarheden richten zich op kritieke componenten die verantwoordelijk zijn voor de communicatie met de webserver binnen deze IBM-producten.
Cisco heeft een kwetsbaarheid verholpen in SD-WAN Manager, voorheen ook bekend als SD-WAN vManage. Een kwaadwillende kan deze kwetsbaarheid misbruiken door een speciaal geprepareerd bestand naar het betreffende systeem te uploaden en daarmee de rechten te verhogen tot root gebruiker.
Cisco geeft aan dat actief misbruik van deze kwetsbaarheid is waargenomen. Om deze kwetsbaarheid te kunnen misbruiken, moet de aanvaller echter wel netadmin-rechten hebben op het getroffen systeem. Dit vereist geldige inloggegevens of voorgaand misbruik van CVE-2026-20182 of CVE-2026-20127. Dit beperkt het risico op misbruik voor systemen waarop deze kwetsbaarheden reeds verholpen zijn.
SolarWinds heeft een kwetsbaarheid verholpen in Serv-U. Een kwaadwillende kan de kwetsbaarheid misbruiken om een Denial-of-Service te veroorzaken door middel van het verzenden van een speciaal geprepareerd POST bericht.
Cisco heeft een kwetsbaarheid verholpen in Unified Communications Manager (CM) en Unified Communications Manager Session Management Edition (CM SME). Een kwaadwillende kan de kwetsbaarheid misbruiken om een Server-Side Request Forgery (SSRF)-aanval uit te voeren. Succesvol misbruik kan leiden tot het injecteren van bestanden en/of scripts, waarmee de kwaadwillende zichzelf root-rechten kan verschaffen.
Voor succesvol misbruik moet de WebDialer service actief zijn. Deze is standaard niet actief en moet bewust zijn geactiveerd door de beheerder. Door deze beperking is grootschalig misbruik minder waarschijnlijk.
Cisco meldt bekend te zijn met Proof-of-Concept-code (PoC) die de kwetsbaarheid aantoont. Vooralsnog is (nog) geen publieke PoC of exploit bekend en er is nog geen actief misbruik waargenomen.
Google heeft kwetsbaarheden verholpen in Android.
Samsung heeft de voor Samsung mobile devices relevante kwetsbaarheden verholpen in Samsung Mobile. Een kwaadwillende kan de kwetsbaarheden misbruiken om een Denial-of-Service te veroorzaken, zichzelf verhoogde rechten toe te kennen, toegang te krijgen tot gevoelige gegevens of willekeurige code uit te voeren.
Onder de verholpen kwetsbaarheden zit een aantal kwetsbaarheden die door Google worden gemarkeerd als 'Critical'.
Google heeft verder, zoals gebruikelijk, weinig detailinformatie beschikbaar gesteld.
Palo Alto Networks heeft een kwetsbaarheid verholpen in de GlobalProtect portal- en gateway-componenten van PAN-OS. Een ongeauthenticeerde kwaadwillende kan de kwetsbaarheid misbruiken voor het opzetten van een VPN-verbinding. Zodoende krijgt de kwaadwillende toegang tot interne systemen die via de VPN-verbinding worden aangeboden. Systemen zijn alleen kwetsbaar wanneer (HTTPS-)certificaten worden hergebruikt en de optie "Generate cookie for authentication override" of "Accept cookie for authentication override" is ingeschakeld.
Beveiligingsbedrijf Rapid7 meldt dat de kwetsbaarheid actief wordt misbruikt. Daarnaast is voor de kwetsbaarheid proof-of-conceptcode (PoC-code) publiekelijk beschikbaar. Gegeven de beschikbaarheid van de PoC-code, de algemene interesse van kwaadwillenden in edge-devices en de toegang die kwaadwillenden via deze kwetsbaarheid verkrijgen, verwacht het NCSC dat de schaal van misbruik de komende tijd toeneemt.
Er is een kwetsbaarheid verholpen in Starlette, een Python-library voor het ontwikkelen van webservices. Starlette wordt door verschillende producten gebruikt, waaronder FastAPI. Een ongeauthenticeerde kwaadwillende kan de kwetsbaarheid misbruiken voor het omzeilen van authenticatie. Hierdoor kan de kwaadwillende afgeschermde URL-paden benaderen. Zodoende krijgt de kwaadwillende ongeauthenticeerde toegang tot functionaliteiten of data van een webservice die een kwetsbare Starlette-versie gebruikt.
De kwetsbaarheid wordt veroorzaakt doordat het pad in de Host-header onvoldoende wordt geverifieerd. De mogelijke impact van misbruik is afhankelijk van het soort data dat door een kwetsbare webservice wordt verwerkt en de functionaliteiten die deze service biedt.
Oracle heeft kwetsbaarheden verholpen in verschillende componenten van Oracle E-Business Suite, waaronder Oracle Payments, Oracle Internet Procurement Connector, Oracle Financials Common Modules, Oracle iAssets, Oracle Public Sector Financials (International), Oracle Universal Work Queue, Oracle Payroll en Oracle Flow Manufacturing, specifiek in versies 12.2.3 tot en met 12.2.15. De kwetsbaarheden maken het mogelijk voor een aanvaller, vaak met lage privileges en via netwerktoegang over HTTP of HTTPS, om kritieke acties uit te voeren zoals het verkrijgen van volledige systeemcompromittatie, het creëren, verwijderen of wijzigen van belangrijke data, en het uitvoeren van SQL-injecties. Sommige kwetsbaarheden stellen een aanvaller in staat om volledige controle over het systeem te verkrijgen, terwijl andere leiden tot ongeautoriseerde toegang en manipulatie van gevoelige gegevens. De kwetsbaarheden zijn aanwezig in verschillende Oracle-producten binnen de genoemde versies en kunnen leiden tot compromittering van vertrouwelijkheid, integriteit en beschikbaarheid van systemen en data.
Oracle heeft kwetsbaarheden verholpen in Oracle REST Data Services (versies 24.2.0 tot 26.1.0) en Oracle Database Server (versies 23.4.0 tot 23.26.2). De kwetsbaarheden in Oracle REST Data Services stellen een aanvaller met lage privileges en netwerktoegang via HTTPS in staat om zonder authenticatie verschillende acties uit te voeren, waaronder het volledig overnemen van de service, ongeautoriseerde toegang tot data, het wijzigen of verwijderen van data, en het veroorzaken van een denial-of-service. Sommige kwetsbaarheden maken het mogelijk om authenticatie te omzeilen en willekeurige acties uit te voeren binnen de getroffen omgeving. Daarnaast kunnen denial-of-service-condities worden veroorzaakt door het laten hangen of crashen van de service. In Oracle Database Server kunnen ongeauthenticeerde aanvallers met netwerktoegang via TLS de Net Service-component overnemen of een denial-of-service veroorzaken, wat impact heeft op vertrouwelijkheid, integriteit en beschikbaarheid. Verder is er een kwetsbaarheid in Eclipse Jetty's HTTP/1.1 parser die request smuggling mogelijk maakt door onjuiste verwerking van chunked transfer encoding extensions, wat kan leiden tot beveiligingsomzeilingen zoals cache poisoning en sessiekaping. Voor deze Jetty-kwetsbaarheid zijn momenteel geen patches of mitigaties beschikbaar.
GitLab heeft meerdere kwetsbaarheden verholpen in GitLab Community Edition en Enterprise Edition, specifiek in versies 12.7 tot voor 18.10.7, 18.11 tot voor 18.11.4, en 19.0 tot voor 19.0.1. De kwetsbaarheden betreffen verschillende aspecten van authenticatie, autorisatie en validatie binnen GitLab. Een denial of service kan worden veroorzaakt door onvoldoende validatie, waarbij een geauthenticeerde gebruiker de beschikbaarheid van de dienst kan verstoren. Daarnaast kunnen gebruikers met developer-permissies ongeautoriseerd toegang krijgen tot gevoelige deploymentdata door onjuiste autorisatiecontroles. Verder is er een probleem met onjuiste gebruikersidentiteitsresolutie, waardoor een geauthenticeerde gebruiker Duo AI-workflows kan activeren alsof hij een andere gebruiker is, wat leidt tot identiteitsvervalsing binnen deze workflows. Ook kunnen developer-rollen flowbeperkingen omzeilen die op groepsniveau zijn ingesteld, wat de toegangscontrole en workflow governance beïnvloedt. Een andere kwetsbaarheid maakt het mogelijk voor onbevoegde gebruikers om private projecten te enumereren, wat kan leiden tot blootstelling van gevoelige projectinformatie. Ten slotte kunnen geauthenticeerde gebruikers toegang krijgen tot continuous integration (CI) data die niet voor hen bedoeld is, door een fout in de toegangscontrole voor CI-data.
De kwetsbaarheid met kenmerk CVE-2026-2710 wordt wel genoemd in de releasenotes van GitLab, maar is ingetrokken en heeft geen verdere impact.
Cisco heeft een kwetsbaarheid verholpen in Cisco Secure Workload. De kwetsbaarheid bevindt zich in de interne REST API's van Cisco Secure Workload. Ongeauthenticeerde kwaadwillenden met toegang tot de interne infrastructuur kunnen door onvoldoende validatie en authenticatie binnen deze API's Site Admin-rechten verkrijgen. Hierdoor kunnen zij zonder juiste autorisatie toegang krijgen tot sitebronnen. Misbruik van deze kwetsbaarheid kan leiden tot ongeautoriseerde openbaarmaking van gevoelige informatie en ongeautoriseerde wijzigingen in configuratie-instellingen.
Drupal heeft een kwetsbaarheid verholpen in Drupal core (versies vanaf 8.9.0 tot specifieke 10.x en 11.x releases). De kwetsbaarheid betreft een SQL-injectie in de database abstraction API van Drupal. Hierdoor kunnen ongeauthenticeerde kwaadwillenden op afstand willekeurige SQL-injectieaanvallen uitvoeren op sites die gebruikmaken van PostgreSQL-databases. Dit kan leiden tot ongeautoriseerde toegang of manipulatie van data. Daarnaast bevat de update ook beveiligingsfixes voor Symfony- en Twig-dependencies die binnen Drupal zijn geïntegreerd.
Microsoft heeft maatregelen gepubliceerd voor een kwetsbaarheid in Windows besturingssystemen waarmee lokale kwaadwillenden toegang kunnen krijgen tot data die via BitLocker is versleuteld. De kwetsbaarheid betreft een security feature bypass in Windows, bekend als 'YellowKey'. Er is een proof of concept beschikbaar die aantoont hoe de kwetsbaarheid kan worden misbruikt. De kwetsbaarheid zit niet in de encryptie zelf, maar in de herstelomgeving die BitLocker omringt.
NGINX heeft een kwetsbaarheid verholpen in het ngx_http_rewrite_module, onderdeel van zowel NGINX Plus als de Open Source editie. De kwetsbaarheid betreft een heap buffer overflow in het ngx_http_rewrite_module, dat verantwoordelijk is voor URL rewriting functionaliteit. Een aanvaller kan deze kwetsbaarheid misbruiken door speciaal vervaardigde HTTP-verzoeken te sturen die bepaalde rewrite directives manipuleren, wat leidt tot geheugenbeschadiging wat kan leiden tot een Denial-of-Service.
Wanneer Address Space Layout Randomization (ASLR) is uitgeschakeld, kan een niet-geauthenticeerde aanvaller mogelijk willekeurige code uitvoeren. Address Space Layout Randomization (ASLR) is een standaardfunctie van de kernel en moet doelbewust worden uitgeschakeld en dat is niet gebruikelijk. Wel is het mogelijk dat bij bepaalde lichtgewicht distributies ASLR is uitgeschakeld bij installatie ivm performance-issues. Dit soort lichtgewicht distro's is vooral populair op low end platforms als Raspberry PI.
NGINX meldt bekend te zijn met (pogingen tot) misbruik van deze kwetsbaarheid.
De ontwikkelaars van Exim hebben een kwetsbaarheid verholpen in Exim mail transfer agent versies voorafgaand aan 4.99.3. De kwetsbaarheid betreft een use-after-free in het BDAT body parsing pad van Exim, specifiek bij gebruik van bepaalde GnuTLS backend configuraties. Een niet-geauthenticeerde aanvaller kan deze kwetsbaarheid op afstand misbruiken, wat leidt tot heap corruptie. De corrupte heap kan worden gebruikt om willekeurige code uit te voeren op het getroffen systeem.
F5 heeft meerdere kwetsbaarheden verholpen in de BIG-IP en BIG-IQ productlijnen, inclusief componenten zoals iControl REST, iControl SOAP, TMOS Shell, Traffic Management Microkernel (TMM), Configuration utility, Advanced WAF, ASM, PEM, DNS, Access Policy Manager (APM) en SSL Orchestrator. De kwetsbaarheden betreffen onder andere directory traversal, ongeautoriseerde bestandswijzigingen, blootstelling van gevoelige SSH-wachtwoorden in API-responses en auditlogs, privilege escalatie via onjuiste permissie-toewijzingen, remote command injection, cross-account informatielekken, en onverwachte procesafsluitingen (zoals van TMM, httpd, apmd en bd processen) door specifieke configuraties of ongedocumenteerde verkeerspatronen.
Exploitatie vereist doorgaans geauthenticeerde toegang met rollen variërend van Manager, Resource Administrator tot Administrator, afhankelijk van de kwetsbaarheid. Sommige kwetsbaarheden maken het mogelijk om configuratieobjecten te wijzigen, wat kan leiden tot het uitvoeren van willekeurige commando's met verhoogde privileges.
Andere kwetsbaarheden betreffen het lekken van gevoelige informatie via onjuiste toegangscontrole of onvoldoende validatie binnen managementinterfaces. Diverse kwetsbaarheden zijn specifiek voor Appliance mode of bepaalde configuratieprofielen zoals SSL, HTTP/2, SIP, LDAP authenticatie, en SNMP configuraties. De impact omvat onder meer het omzeilen van beveiligingscontroles, het escaleren van privileges, het lekken van gevoelige gegevens, en het verstoren van de beschikbaarheid en stabiliteit van netwerk- en applicatiebeheercomponenten. Niet-ondersteunde softwareversies zijn in de meeste gevallen niet geëvalueerd voor deze kwetsbaarheden.
GitLab Inc. heeft meerdere kwetsbaarheden verholpen in GitLab Community Edition (CE) en Enterprise Edition (EE) in diverse versies, met name in releases van versie 8.3 tot en met 18.11.3. De kwetsbaarheden betreffen verschillende componenten en functionaliteiten binnen GitLab, waaronder de Jira-integratie, container registry, virtual registry upstreams, merge request approval policies, debugging symbol downloads, analytics dashboards, package management, issue tracking, project- en groepslidmaatschapsbeheer, en API inputvalidatie.
Aanvallers kunnen onder meer:
- Authenticeerde gebruikers kunnen Jira-issues buiten hun projecttoegang bekijken door onvoldoende toegangscontrole.
- Ongeauthenticeerde gebruikers kunnen zonder CSRF-bescherming ongeautoriseerde Jira-subscripties aanmaken.
- Ongeauthenticeerde gebruikers kunnen door onvoldoende inputvalidatie een denial-of-service veroorzaken via speciaal opgemaakte verzoeken of uploads.
- Authenticeerde gebruikers met ontwikkelaarsrechten kunnen beschermde container registry tags verwijderen en package protection regels omzeilen.
- Authenticeerde gebruikers kunnen merge request goedkeuringsvereisten omzeilen door het verwijderen van approval rules.
- Ongeautoriseerde toegang tot interne hosts is mogelijk via virtual registry upstreams door onvoldoende validatie.
- Cross-site scripting (XSS) aanvallen zijn mogelijk door onvoldoende inputsanitatie in analytics dashboards, e-mail notificaties en andere gebruikersinvoervelden.
- OAuth tokens met read_api scope kunnen misbruikt worden om issues in private projecten aan te maken en te becommentariëren.
- Authenticeerde gebruikers met Guest-permissies kunnen toegang krijgen tot projectissues die beperkt zouden moeten zijn.
- Ongeautoriseerde gebruikers kunnen private groepslidmaatschappen enumereren.
Deze kwetsbaarheden zijn aanwezig in meerdere opeenvolgende versies van GitLab CE en EE, wat wijst op terugkerende problemen in toegangscontrole, inputvalidatie en autorisatie binnen het platform.
