Microsoft heeft kwetsbaarheden verholpen in diverse componenten van Visual Studio en .NET. Een kwaadwillende kan de kwetsbaarheden misbruiken om beveiligingsmaatregelen te omzeilen, zich verhoogde rechten toe te kennen en mogelijk willekeurige code uit te voeren met rechten van het slachtoffer.
Voor succesvol misbruik moet de kwaadwillende het slachtoffer misleiden om malafide code te downloaden en uit te voeren. Omdat ontwikkelaars in ontwikkelomgevingen vaak met verhoogde rechten werken, is niet uit te sluiten dat de uitvoer van code ook plaatsvindt onder verhoogde rechten.
```
GitHub Copilot and Visual Studio:
|----------------|------|-------------------------------------|
| CVE-ID | CVSS | Impact |
|----------------|------|-------------------------------------|
| CVE-2026-21523 | 8.00 | Uitvoeren van willekeurige code |
| CVE-2026-21257 | 8.00 | Verkrijgen van verhoogde rechten |
| CVE-2026-21256 | 8.80 | Uitvoeren van willekeurige code |
|----------------|------|-------------------------------------|
GitHub Copilot and Visual Studio Code:
|----------------|------|-------------------------------------|
| CVE-ID | CVSS | Impact |
|----------------|------|-------------------------------------|
| CVE-2026-21518 | 6.50 | Omzeilen van beveiligingsmaatregel |
|----------------|------|-------------------------------------|
.NET and Visual Studio:
|----------------|------|-------------------------------------|
| CVE-ID | CVSS | Impact |
|----------------|------|-------------------------------------|
| CVE-2026-21218 | 7.50 | Voordoen als andere gebruiker |
|----------------|------|-------------------------------------|
Github Copilot:
|----------------|------|-------------------------------------|
| CVE-ID | CVSS | Impact |
|----------------|------|-------------------------------------|
| CVE-2026-21516 | 8.80 | Uitvoeren van willekeurige code |
|----------------|------|-------------------------------------|
Microsoft heeft een kwetsbaarheid verholpen in SQL Server Power BI. Een kwaadwillende kan de kwetsbaarheid misbruiken om willekeurige code uit te voeren op de kwetsbare SQL Server.
Microsoft heeft een kwetsbaarheid verholpen in Exchange server. Een kwaadwillende kan zich, zonder voorafgaande authenticatie, voordoen als andere gebruiker en op die manier toegang krijgen tot gevoelige gegevens in de context van het slachtoffer.
SAP heeft kwetsbaarheden verholpen in verschillende producten, waaronder SAP CRM, SAP S/4HANA, SAP NetWeaver Application Server ABAP, SAP Supply Chain Management, SAP BusinessObjects BI Platform, SAP Document Management System, SAP Commerce Cloud, en SAP Business Workflow. De kwetsbaarheden omvatten onder andere code-injectie, ontbrekende autorisatiecontroles, Denial of Service, en onjuist beheer van gevoelige informatie. Geauthenticeerde aanvallers kunnen deze kwetsbaarheden misbruiken om ongeautoriseerde toegang te krijgen, gegevensintegriteit te compromitteren, en systeemfunctionaliteit te verstoren. Specifieke kwetsbaarheden kunnen leiden tot ongeautoriseerde SQL-instructies, manipulatie van XML-documenten, en privilege-escalatie. De impact varieert van risico's voor vertrouwelijkheid en integriteit tot verstoring van systeemdiensten.
Siemens heeft kwetsbaarheden verholpen in diverse producten als Desigo, NX, Polarion, SENTRON, Simcenter, SINEC, SIPORT, Siveillance, Solid Edge, De kwetsbaarheden stellen een kwaadwillende mogelijk in staat aanvallen uit te voeren die kunnen leiden tot de volgende categorieën schade:
- Denial-of-Service (DoS)
- Manipulatie van gegevens
- Omzeilen van een beveiligingsmaatregel
- (Remote) code execution (root/admin rechten)
- Toegang tot systeemgegevens
- Verhogen van rechten
Van de SIPORT Desktop Client Application meldt Siemens dat deze verouderd is en niet voorzien van moderne beveiligingsmaatregelen. Siemens geeft aan deze ook niet meer in te bouwen en het onderhoud op de Desktop Client te stoppen. Siemens adviseert om over te schakelen naar de modernere web-management-omgeving. Wel heeft Siemens mitigerende maatregelen gepubliceerd in een Security Bulletin, om het risico zoveel als mogelijk te beperken tot de migratie is afgerond en de vaste Desktop Clients zijn uitgefaseerd.
Voor succesvol misbruik van de genoemde kwetsbaarheden moet de kwaadwillende toegang hebben tot de productie-omgeving. Het is goed gebruik een dergelijke omgeving niet publiek toegankelijk te hebben.
PEAR heeft een kwetsbaarheid verholpen in versie 1.33.0. De kwetsbaarheid bevindt zich in de wijze waarop de preg_replace() functie met de /e modifier omgaat. Dit stelt een risico in op ongeautoriseerde code-executie, wat de integriteit van applicaties die gebruikmaken van dit framework kon compromitteren. De patch verhelpt dit probleem door ervoor te zorgen dat de preg_replace() functie veilig opereert zonder het risico van het uitvoeren van willekeurige PHP-code.
n8n heeft kwetsbaarheden verholpen in versies 1.114.3, 1.115.0, 1.123.17, 2.5.2, 1.122.5, 1.123.2, 1.123.18, 2.5.0, 1.123.10, 2.5.0, 2.2.1, 1.123.9, 1.123.12, 2.4.0, 1.118.0, 2.4.0, 2.4.8, en 1.120.3. De kwetsbaarheden omvatten onder andere het gebruik van `Buffer.allocUnsafe()` en `Buffer.allocUnsafeSlow()`, wat kan leiden tot informatie openbaarmaking. Daarnaast zijn er kwetsbaarheden in de expressie-evaluatiefuncties die geauthenticeerde gebruikers in staat stellen om ongewenste systeemcommando's uit te voeren. Er zijn ook Cross-site Scripting (XSS) kwetsbaarheden ontdekt in de webhook-responsverwerking en de markdown-renderingcomponent, die kunnen leiden tot sessieovername. Verder zijn er kwetsbaarheden in de bestandsaccesscontrols en de Git-node, die het mogelijk maken voor geauthenticeerde gebruikers om gevoelige bestanden te lezen en willekeurige commando's uit te voeren. Een andere kwetsbaarheid stelt ongeauthenticeerde aanvallers in staat om workflows te exploiteren die geüploade bestanden via SSH verwerken, wat kan leiden tot remote code execution. Bovendien is er een kwetsbaarheid in de Merge-node's SQL Query-modus, en in de Python Code-node die het mogelijk maakt om de sandbox-omgeving te ontsnappen. Tot slot is er een command injection-kwetsbaarheid in de community package installatie.
BeyondTrust heeft een kwetsbaarheid verholpen in BeyondTrust Remote Support en enkele oudere versies van Privileged Remote Access. De kwetsbaarheid bevindt zich in de pre-authenticatie van de software, waardoor niet-geauthenticeerde aanvallers in staat zijn om besturingssysteemcommando's uit te voeren door speciaal vervaardigde verzoeken naar de getroffen systemen te sturen.
Fortinet heeft een kwetsbaarheid verholpen in FortiClient EMS (versie 7.4.4). De kwetsbaarheid met kenmerk CVE-2026-21643 betreft een kritieke kwetsbaarheid in FortiClient EMS. De oorzaak ligt in de onjuiste neutralisatie van speciale SQL-commando's, wat een ongeauthenticeerde kwaadwillende in staat stelt deze kwetsbaarheid te misbruiken door speciaal vervaardigde HTTP-verzoeken te verzenden en daarmee ongeautoriseerde code op de getroffen systemen kan uitvoeren.
Samsung heeft kwetsbaarheden verholpen in verschillende softwarecomponenten, waaronder Emergency Sharing, KnoxGuard Manager, Settings, PACM, FacAtFunction, ShortcutService en Samsung Dialer, specifiek voor de SMR Feb-2026 Release 1. De kwetsbaarheden zijn gerelateerd aan onjuist toegangsbeheer, onjuiste autorisatie, onjuist privilegebeheer en onjuiste invoervalidatie. Deze kwetsbaarheden stellen lokale aanvallers in staat om ongeautoriseerde toegang te verkrijgen, systeeminstellingen te manipuleren, willekeurige commando's uit te voeren en bestanden met systeemprivileges te creëren. Dit kan leiden tot compromittering van de integriteit en vertrouwelijkheid van de getroffen systemen.
In deze update heeft Samsung ook oudere kwetsbaarheden in Google Android verholpen, welke relevant zijn voor Samsung Mobile.
Voor succesvol misbruik moet de kwaadwillende het slachtoffer misleiden een malafide app te downloaden en installeren, of een malafide link te volgen.
SmarterTools heeft kwetsbaarheden verholpen in SmarterMail. Een kwaadwillende kan de kwetsbaarheden misbruiken om authenticatie te omzeilen en willekeurige code uit te voeren met rechten van de beheerder, en mogelijk SYSTEM.
Voor succesvol misbruik moet de kwaadwillende toegang hebben tot de API-interface (met name de `/api/v1/auth/force-reset-password` endpoint) en kan op die manier zonder voorafgaande authenticatie het wachtwoord van een beheerder resetten door middel van een speciaal geprepareerd HTTP-verzoek. Ook kan een kwaadwillende een malafide HTTP-server inrichten, om daarmee een slachtoffer te misleiden deze te bezoeken en zo willekeurige code uit te voeren op de kwetsbare server.
Voor de kwetsbaarheid met kenmerk CVE-2026-23760 is Proof-of-Concept-code gepubliceerd en het Amerikaanse CISA heeft de kwetsbaarheid op de Known Exploited Vulnerabilities-lijst geplaatst, wat aangeeft dat de kwetsbaarheid actief is misbruikt.
**Update** Er wordt inmiddels ook misbruik waargenomen van de kwetsbaarheid met kenmerk CVE-2026-24423, waarmee een kwaadwillende willekeurige code kan uitvoeren op de kwetsbare server. Er is (nog) geen publieke Proof-of-Concept-code of exploit beschikbaar, en voor zover bekend vereist misbruik een speciaal ingerichte server onder controle van de kwaadwillende.
Cisco heeft een kwetsbaarheid verholpen in Cisco Meeting Management. De kwetsbaarheid bevindt zich in de Certificate Management-functie van Cisco Meeting Management, die een onjuist invoervalidatie bevat binnen de webgebaseerde beheersinterface. Dit stelt geauthenticeerde externe aanvallers in staat om willekeurige bestanden te uploaden en commando's uit te voeren, wat kan leiden tot rootprivileges.
De kwetsbaarheid bevindt zich in de Web-management-interface. Het is goed gebruik een dergelijke interface niet publiek toegankelijk te hebben, maar af te steunen in een separate beheer-omgeving.
Cisco heeft een kwetsbaarheid verholpen in Cisco TelePresence Collaboration Endpoint en RoomOS Software. De kwetsbaarheid bevindt zich in de wijze waarop het tekstweergavesysteem onvoldoende invoercontrole uitvoert. Dit kan door ongeauthenticeerde externe aanvallers worden misbruikt, wat kan leiden tot een Denial-of-Service (DoS) en de beschikbaarheid van de getroffen systemen kan beïnvloeden.
Ivanti heeft twee kwetsbaarheden verholpen in Endpoint Manager Mobile (EPMM), ook wel bekend als MobileIron. De kwetsbaarheden stellen een ongeauthenticeerde kwaadwillende in staat om willekeurige code uit te voeren op het kwetsbare systeem.
Van de kwetsbaarheid met kenmerk CVE-2026-1281 meldt Ivanti dat deze actief is misbruikt bij een zeer beperkt aantal klanten.
Er is Proof-of-Concept-code publiek beschikbaar. Dit vergroot de kans grootschalig misbruik aanzienlijk.
SolarWinds heeft kwetsbaarheden verholpen in SolarWinds Web Help Desk. De kwetsbaarheden omvatten onder andere de mogelijkheid voor ongeauthenticeerde aanvallers om toegang te krijgen tot beperkte functionaliteiten binnen het systeem, het gebruik van hardcoded credentials die ongeautoriseerde toegang tot administratieve functies kunnen verlenen, en kwetsbaarheden gerelateerd aan onbetrouwbare data-deserialisatie die mogelijk op afstand code-executie kunnen mogelijk maken. Daarnaast is er een kwetsbaarheid die het mogelijk maakt om authenticatiemechanismen te omzeilen, wat kan leiden tot ongeautoriseerde toegang en de mogelijkheid om specifieke acties binnen het systeem uit te voeren.
*Update*: Voor de kwetsbaarheid met kenmerk CVE-2025-40554 is Proof-of-Concept-code (PoC) verschenen. De werking van de PoC is niet door het NCSC gevalideerd en er wordt op dit moment (nog) geen grootschalig misbruik waargenomen, maar het NCSC verwacht een toename in scan- en misbruikverkeer, met name bij systemen die publiek toegankelijk zijn.
Fortinet heeft kwetsbaarheden verholpen in FortiOS, FortiProxy, FortiWeb en FortiSwitchManager. De kwetsbaarheden stellen ongeauthenticeerde aanvallers in staat om toegang te krijgen tot de systemen door gebruik te maken van verschillende technieken, waaronder het omzeilen van FortiCloud SSO-login authenticatie via speciaal vervaardigde SAML-berichten, het behouden van actieve SSLVPN-sessies ondanks een wachtwoordwijziging, en het uitvoeren van ongeautoriseerde operaties via vervalste HTTP- of HTTPS-verzoeken. Dit kan leiden tot ongeautoriseerde toegang tot gevoelige API-gegevens en andere netwerkbronnen.
**update 16-12-25**: Onderzoekers melden actief misbruik waar te nemen van de kwetsbaarheden met kenmerk CVE-2025-59718 en CVE-59719. Deze kwetsbaarheden stellen kwaadwillenden in staat om de Single Sign On te omzeilen en zo toegang te krijgen tot de kwetsbare systemen. De onderzoekers hebben Indicators of Compromise (IoC's) gepubliceerd om misbruik te kunnen onderzoeken. Het NCSC adviseert zo spoedig mogelijk de updates van Fortinet in te zetten, indien dit nog niet is gedaan, eventueel de mitigerende maatregelen in te zetten en middels de gepubliceerde IoC's te onderzoeken of misbruik heeft plaatsgevonden en op basis daarvan de administrator accounts het password van te roteren.
Het NCSC adviseert aanvullend om te overwegen de open sessies van administrators te sluiten na inzet van de updates.
Zie voor detailinformatie van de IoC's: https://arcticwolf.com/resources/blog/arctic-wolf-observes-malicious-sso-logins-following-disclosure-cve-2025-59718-cve-2025-59719/
**update 23-01-26**: De updates werken niet voldoende om te beschermen tegen de FortiCloud single sign-on (SSO) bypass kwetsbaarheden (CVE-2025-59718 en CVE-2025-59719). Er is misbruik van deze kwetsbaarheden waargenomen op systemen die de laatste updates hadden doorgevoerd. Zowel Fortinet als ArcticWolf hebben IoC's en mitigerende maatregelen ter beschikking gesteld.
**update 28-01-26**: Bron CERT-AT bijgevoegd, bevat nieuwe IoC's voor onderzoek.
Zie voor detailinformatie van de IoC's en mitigerende maatregelen: https://www.fortinet.com/blog/psirt-blogs/analysis-of-sso-abuse-on-fortios & https://arcticwolf.com/resources/blog/arctic-wolf-observes-malicious-configuration-changes-fortinet-fortigate-devices-via-sso-accounts/
Fortinet heeft een kwetsbaarheid verholpen in FortiAnalyzer, FortiManager, FortiOS en FortiProxy producten. De kwetsbaarheid bevindt zich in specifieke implementaties van FortiCloud SSO-authenticatie. De kwetsbaarheid stelt aanvallers met een geregistreerd apparaat en een FortiCloud-account in staat om de authenticatie te omzeilen en toegang te krijgen tot andere geregistreerde apparaten wanneer FortiCloud SSO-authenticatie is ingeschakeld.
Fortinet heeft aangegeven dat er actief misbruik van de kwetsbaarheid is waargenomen. Fortinet heeft in hun advisory ook indicators-of-compromise (IoC's) beschikbaar gesteld om misbruik van de kwetsbaarheid te onderkennen. Het NCSC adviseert partijen die gebruikmaken van de kwetsbare implementaties om ook middels deze IoC’s terug te kijken in de logging.
Microsoft heeft een ZeroDay kwetsbaarheid verholpen in Microsoft Office. De kwetsbaarheid bevindt zich in de wijze waarop Microsoft Office omgaat met onbetrouwbare invoer, wat aanvallers in staat stelt om beveiligingsfuncties lokaal te omzeilen. Dit kan de integriteit van beveiligingsbeslissingen die door de software worden genomen, beïnvloeden. De afhankelijkheid van onbetrouwbare invoer creëert een pad voor potentiële exploitatie, wat kan leiden tot ongeautoriseerde toegang of acties binnen de getroffen systemen.
Voor succesvol misbruik moet de kwaadwillende lokale toegang tot het kwetsbare systeem hebben. Dit kan ook mogelijk worden verwezenlijkt door het slachtoffer te misleiden een malafide document te openen.
Microsoft geeft aan op de hoogte te zijn dat exploitcode gedeeld wordt. De exploitcode is (nog) niet publiek beschikbaar. Het Amerikaanse CISA heeft de kwetsbaarheid op de Known Exploited Vulnerabilities-lijst geplaatst, wat inhoudt dat misbruik van de kwetsbaarheid is bevestigd bij een Amerikaanse Federale overheids-organisatie.
