Ivanti heeft meerdere kwetsbaarheden verholpen in Ivanti Endpoint Manager, specifiek in de core server, de agent en de web console componenten. De kwetsbaarheden betreffen verschillende onderdelen van Ivanti Endpoint Manager. Ten eerste kan een remote geauthenticeerde aanvaller via een gevaarlijke, blootgestelde methode in de core server toegangscertificaten lekken, wat kan leiden tot privilege-escalatie of laterale beweging binnen het netwerk. Ten tweede kan een lokaal geauthenticeerde aanvaller door onjuiste permissie-instellingen in de agent privileges escaleren op het getroffen systeem. Ten slotte bestaat er een SQL-injectie in de web console die een remote geauthenticeerde aanvaller in staat stelt om kwaadaardige SQL-commando's in te voeren, wat kan resulteren in remote code execution. Voor de exploitatie van deze kwetsbaarheden is authenticatie vereist.
Microsoft heeft een kwetsbaarheid verholpen in Microsoft Exchange Server. De kwetsbaarheid betreft een cross-site scripting (XSS) probleem dat ontstaat door onjuiste neutralisatie van invoer tijdens het genereren van webpagina's. Een onbevoegde aanvaller kan hierdoor kwaadaardige scripts injecteren en spoofing-aanvallen uitvoeren over een netwerk. Dit komt doordat gebruikersinvoer onvoldoende wordt gesanitiseerd voordat deze in webpagina's wordt weergegeven. Misbruik van deze kwetsbaarheid kan leiden tot ongeautoriseerde acties binnen de context van de getroffen webapplicatie. De kwetsbaarheid treft specifiek Microsoft Exchange Server omgevingen waar de invoerafhandeling niet adequaat is beveiligd.
Cisco heeft een kwetsbaarheden verholpen in de Catalyst SD-WAN Controller en Manager producten. Cisco heeft 4 kwetsbaarheden verholpen in de Catalyst SD-WAN Controller en Manager producten. De kwetsbaarheden betreffen XXE-injectie, privilege-escalatie en authentication bypass.
De authentication bypass kwetsbaarheid bevindt zich in het peering authenticatiemechanisme, waardoor niet-geauthenticeerde externe aanvallers verhoogde rechten kunnen verkrijgen. Hierdoor kunnen zij netwerkconfiguraties manipuleren en mogelijk netwerkoperaties verstoren.
Met name SD-WAN controllers die poorten via publieke netwerken bereikbaar hebben lopen een verhoogd risico op misbruik.
Cisco meldt bekend te zijn met berichten dat de authentication bypass kwetsbaarheid beperkt en gericht is misbruikt. De verwachting van het NCSC is dat op korte termijn een toename in scan- en misbruikverkeer zal plaatsvinden.
AMD heeft een kwetsbaarheid verholpen in specifieke processor modellen door middel van een mitigatie die is opgenomen in de Windows update van mei 2026. De kwetsbaarheid betreft bepaalde AMD processors. Een lokale kwaadwillende kan de kwetsbaarheid misbruiken om willekeurige code uit te voeren op het systeem.
Fortinet heeft een kwetsbaarheid verholpen in FortiAuthenticator. De kwetsbaarheid betreft een onjuiste access control in FortiAuthenticator, waardoor een aanvaller ongeautoriseerde code of commando's kan uitvoeren. Dit ontstaat door onvoldoende beperkingen in de toegangscontrole binnen de software. Een aanvaller kan hierdoor verhoogde privileges verkrijgen en willekeurige acties op het systeem uitvoeren.
Fortinet heeft een kwetsbaarheid verholpen in FortiSandbox en FortiSandbox PaaS in meerdere versies. De kwetsbaarheid betreft een ontbrekende autorisatie, waardoor niet-geauthenticeerde aanvallers ongeautoriseerde code of commando's kunnen uitvoeren via speciaal vervaardigde HTTP-verzoeken. De fout ontstaat door onvoldoende toegangscontrolemechanismen, waardoor authenticatiecontroles kunnen worden omzeild. Exploitatie van deze kwetsbaarheid kan leiden tot remote code execution, wat de integriteit en beveiliging van de getroffen systemen kan aantasten.
Adobe heeft kwetsbaarheden verholpen in Adobe Premiere Pro versies 26.0.2, 25.6.4 en eerdere versies. De kwetsbaarheden bevinden zich in de wijze waarop Adobe Premiere Pro speciaal vervaardigde bestanden verwerkt. Eén kwetsbaarheid betreft een out-of-bounds write die leidt tot geheugenbeschadiging. Een andere kwetsbaarheid betreft een Use After Free waarbij het geheugenbeheer na het vrijgeven van objecten onjuist is, waardoor een aanvaller de programmastroom kan manipuleren. Exploitatie van deze kwetsbaarheden kan resulteren in het uitvoeren van willekeurige code binnen de context van de applicatie. Voor het misbruiken van deze kwetsbaarheden moet een gebruiker een speciaal vervaardigd kwaadaardig bestand openen.
Adobe heeft meerdere kwetsbaarheden verholpen in Adobe After Effects, specifiek in versies 26.0, 25.6.4 en eerdere versies. De kwetsbaarheden bevinden zich in de wijze waarop Adobe After Effects bepaalde bestanden verwerkt. Er is sprake van een stack-based buffer overflow, een heap-based buffer overflow, een out-of-bounds write en een Integer Overflow. Deze fouten leiden tot geheugenbeschadiging wanneer een gebruiker een speciaal vervaardigd kwaadaardig bestand opent. Een aanvaller kan hierdoor mogelijk willekeurige code uitvoeren binnen de context van de kwetsbare applicatie. De kwetsbaarheden treffen meerdere recente versies van Adobe After Effects.
Adobe heeft meerdere kwetsbaarheden verholpen in Adobe Commerce. De kwetsbaarheden bevinden zich in verschillende versies van Adobe Commerce, waaronder 2.4.9-beta1 en eerdere versies. Een Incorrect Authorization kwetsbaarheid maakt het mogelijk voor aanvallers om autorisatiecontroles te omzeilen en ongeautoriseerde schrijfrechten te verkrijgen zonder gebruikersinteractie. Daarnaast is er een Server-Side Request Forgery (SSRF) kwetsbaarheid die aanvallers in staat stelt beveiligingsmaatregelen te omzeilen en ongeautoriseerde leesrechten te verkrijgen door het serververzoek te manipuleren, waarvoor wel gebruikersinteractie via een kwaadaardige URL of webpagina nodig is. Verder is er een Uncontrolled Resource Consumption kwetsbaarheid die zonder gebruikersinteractie kan worden misbruikt om systeembronnen uit te putten, wat resulteert in een denial-of-service situatie die de beschikbaarheid van het Adobe Commerce platform beïnvloedt.
Adobe heeft kwetsbaarheden verholpen in Adobe Connect versies 2025.9.15, 2025.8.157 en eerdere versies. De kwetsbaarheden maken het mogelijk voor een aanvaller om willekeurige code uit te voeren op het getroffen systeem. Dit kan gebeuren wanneer een gebruiker interactie heeft met een kwaadaardige URL of een gecompromitteerde webpagina. De eerste kwetsbaarheid betreft deserialisatie van onbetrouwbare data, waarbij onjuiste verwerking van geserialiseerde data kan leiden tot manipulatie van het applicatiegedrag. De tweede kwetsbaarheid betreft onjuiste autorisatiecontroles, waardoor ongeautoriseerde uitvoering van scripts mogelijk is. Beide kwetsbaarheden zijn aanwezig in meerdere recente versies van Adobe Connect.
Adobe heeft meerdere kwetsbaarheden verholpen in Adobe Illustrator (versies 29.8.6, 30.3 en eerder). De kwetsbaarheden bevinden zich in de wijze waarop Adobe Illustrator speciaal vervaardigde bestanden verwerkt. Er is sprake van een out-of-bounds write, een NULL pointer dereference, een out-of-bounds read en een heap-based buffer overflow. Door deze fouten in de bounds checking tijdens het parsen van bestanden kan een aanvaller het programma laten crashen (denial-of-service), gevoelige geheugeninhoud uitlezen, of code uitvoeren binnen de context van de applicatie. De kwetsbaarheden zijn aanwezig in meerdere versies van Adobe Illustrator en worden misbruikt door het openen van kwaadaardig opgemaakte bestanden.
Cisco heeft een kwetsbaarheid verholpen in Cisco Crosswork Network Controller. De kwetsbaarheid betreft een denial-of-service in Cisco Crosswork Network Controller die kan worden misbruikt door niet-geauthenticeerde externe aanvallers. De aanval bestaat uit het overweldigen van het systeem met een groot aantal verbindingverzoeken, waardoor de diensten onresponsief worden. Herstel van deze toestand vereist een handmatige herstart van het getroffen apparaat.
Microsoft heeft een groot aantal kwetsbaarheden verholpen in de Edge browser (Chromium). De kwetsbaarheden bevinden zich in de code base van Chrome en zijn eerder door Google bekend gesteld. Microsoft verwerkt deze kwetsbaarheden in de Edge browser en verspreidt de updates automatisch. Door de grote hoeveelheid verholpen kwetsbaarheden in deze update verdient het extra aandacht om te controleren dat de Edge browser wordt bijgewerkt naar de laatste versie.
Siemens heeft kwetsbaarheden verholpen in verschillende (OT-)producten. Het gaat onder andere om producten in de Siemens RUGGEDCOM-, SCALANCE-, SIMATIC-, SIMIT-, SINAMICS-, SIPROTEC-, SENTRON- en Solid Edge-productreeksen. De kwetsbaarheden stellen een kwaadwillende mogelijk in staat aanvallen uit te voeren die kunnen leiden tot de volgende categorieën schade:
- Denial-of-Service (DoS)
- Manipulatie van gegevens
- (Remote) code execution
- Toegang tot gevoelige gegevens
- Verhogen van rechten
Voor succesvol misbruik van de genoemde kwetsbaarheden moet de kwaadwillende (netwerk)toegang hebben tot het kwetsbare product. Het is goed gebruik een dergelijke producten niet publiek toegankelijk te hebben.
Microsoft heeft een kwetsbaarheid verholpen in SQL Server. Een geauthenticeerde kwaadwillende kan de kwetsbaarheid misbruiken om willekeurige code uit te voeren onder het account van de SQL server zelf.
Microsoft heeft kwetsbaarheden verholpen in diverse componenten van Dynamics. Een geauthenticeerde kwaadwillende kan de kwetsbaarheden misbruiken om zich verhoogde rechten toe te kennen, willekeurige code uit te voeren en/of toegang te krijgen tot gevoelige gegevens.
De kwetsbaarheid met kenmerk CVE-2026-33821 is reeds centraal verholpen door Microsoft en slechts toegevoegd ter informatie. Er zijn geen acties benodigd voor deze kwetsbaarheid.
```
Dynamics Business Central:
|----------------|------|-------------------------------------|
| CVE-ID | CVSS | Impact |
|----------------|------|-------------------------------------|
| CVE-2026-40417 | 7.80 | Verkrijgen van verhoogde rechten |
|----------------|------|-------------------------------------|
Microsoft Dynamics 365 (on-premises):
|----------------|------|-------------------------------------|
| CVE-ID | CVSS | Impact |
|----------------|------|-------------------------------------|
| CVE-2026-42898 | 9.90 | Uitvoeren van willekeurige code |
| CVE-2026-42833 | 9.10 | Uitvoeren van willekeurige code |
|----------------|------|-------------------------------------|
Power Automate:
|----------------|------|-------------------------------------|
| CVE-ID | CVSS | Impact |
|----------------|------|-------------------------------------|
| CVE-2026-40374 | 6.50 | Toegang tot gevoelige gegevens |
|----------------|------|-------------------------------------|
Microsoft Dynamics 365 Customer Insights:
|----------------|------|-------------------------------------|
| CVE-ID | CVSS | Impact |
|----------------|------|-------------------------------------|
| CVE-2026-33821 | 7.70 | Verkrijgen van verhoogde rechten |
|----------------|------|-------------------------------------|
```
