Auteur: Systeem Beheerder

Check Point heeft kwetsbaarheden verholpen in Remote and Mobile Access VPN-producten, specifiek voor implementaties die gebruikmaken van het IKEv1 key exchange protocol. Er zijn twee kwetsbaarheden vastgesteld in Check Point Security Gateways en Remote Access VPN-omgevingen die gebruikmaken van het verouderde IKEv1-protocol. De kwetsbaarheden CVE-2026-50751 en CVE-2026-50752 treffen VPN-authenticatie en certificaatvalidatie. Deze kwetsbaarheden stellen aanvallers in staat om zonder geldige authenticatie toegang te verkrijgen tot VPN-omgevingen.

De kwetsbaarheid CVE-2026-50751 is als zero-day misbruikt. Volgens Check Point zou in één geval ook ransomware zijn geplaatst na dit misbruik. Het eerste gedetecteerde misbruik dateert van 7 mei. Het IKEv1-protocol is een verouderd protocol dat nog wel wordt gebruikt bij dit soort implementaties. Het NCSC-NL verwacht dat er op korte termijn grootschalig misbruik zal plaatsvinden en roept organisaties op om de advisory van Check Point op te volgen. Ook roept het NCSC-NL organisaties op om de IoC’s van Check Point te controleren als binnen de organisatie betreffende producten worden gebruikt waarin IKEv1 is ingeschakeld.

UPDATE: Er is inmiddels publiek beschikbare Proof-of-Concept (PoC)-code, wat de kans op misbruik vergroot.
IOCs
45.77.149[.]152
209.182.225[.]136
38.60.157[.]139
162.33.177[.]101
45.76.26[.]42
144.208.127[.]155
38.54.88[.]201
38.54.107[.]167
66.42.99[.]200

52fda5c1b9704544f32ee98d9060e689

51d39aa39478beeac94f2d12f682ecce

Splunk heeft meerdere kwetsbaarheden verholpen in Splunk Enterprise en Splunk Cloud Platform. De kwetsbaarheden betreffen verschillende onderdelen van Splunk Enterprise en Splunk Cloud Platform. Splunk heeft de kwetsbaarheid met kenmerk CVE-2026-20253 in de PostgreSQL sidecar service endpoint als kritiek beoordeeld en maakt het mogelijk voor niet-geauthenticeerde gebruikers om willekeurige bestanden aan te maken of te verwijderen door het ontbreken van authenticatiecontroles.
Een andere kwetsbaarheid met kenmerk CVE-2026-20251 betreft een Remote Code Execution (RCE) via onveilige deserialisatie van KV Store data met de ‘jsonpickle’ Python library, waarbij laaggeprivilegieerde gebruikers zonder admin- of power-rollen code op afstand kunnen uitvoeren.
Verder zijn meerdere kwetsbaarheden vastgesteld die het mogelijk maken om gevoelige gegevens te exfiltreren via onder meer SSRF-, CSS-injectie- en XSS-aanvallen. Door onvoldoende validatie van URL’s, domeinen en gebruikersinvoer kunnen aanvallers beveiligingscontroles omzeilen, interne systemen benaderen en data buitmaken.

Fortinet heeft een kwetsbaarheid verholpen in FortiPortal versies 7.0 tot en met 7.4.7. De kwetsbaarheid betreft de FortiPortal API endpoints, waarbij een externe aanvaller met een organisatiegebruikersrol via speciaal opgemaakte HTTP-verzoeken gevoelige netwerkconfiguratiegegevens kan benaderen. Deze problemen beïnvloeden de integriteit van de access control mechanismen en kunnen leiden tot blootstelling van kritieke netwerkconfiguratie-informatie aan onbevoegde gebruikers.

GitLab heeft meerdere kwetsbaarheden verholpen in GitLab Community Edition en Enterprise Edition (EE) versies variërend van 12.0 tot voor 19.0.2, inclusief belangrijke releases zoals 17.x, 18.10.8, 18.11.5 en 19.0.2. De kwetsbaarheden betreffen verschillende onderdelen van GitLab CE & EE. Geauthenticeerde gebruikers met developer-permissies kunnen via de Analytics Dashboard interface willekeurige client-side code uitvoeren door onvoldoende sanitatie van gebruikersinput. Op de CI/CD Catalog pagina kan een denial of service (DoS) worden veroorzaakt door onjuiste inputsanitatie, waardoor de pagina onbeschikbaar raakt. Een DoS kan ook optreden door het uploaden van speciaal vervaardigde bestanden die leiden tot resource-uitputting, wat de GitLab service kan laten crashen of onresponsief maken. Verder kunnen geauthenticeerde gebruikers ongeautoriseerde toegang krijgen tot vertrouwelijke issuegegevens door onjuiste autorisatiecontroles. Developer-gebruikers kunnen verborgen merge requests wijzigen door gebrekkige autorisatie, en ook merge request diff views manipuleren door onjuiste verwerking van bestandsnamen, wat wijzigingen kan verbergen tijdens code reviews. Gebruikers met de Security Manager rol kunnen projectbeveiligingsinstellingen beheren ondanks dat deze functie uitgeschakeld is, door onjuiste autorisatie. Binnen Group SAML identity management kunnen group Owners de controle over andere groepsleden overnemen door onjuiste autorisatiecontroles. Ongeautoriseerde e-mailadressen kunnen aan accounts worden toegevoegd via onvoldoende inputsanitatie in groepsinstellingen. Tijdens repository-import kan onvoldoende validatie van secundaire URL’s leiden tot het uitlezen van willekeurige bestanden op de Gitaly-server en toegang tot interne netwerkbronnen. Ten slotte kan een niet-geauthenticeerde gebruiker de GitLab Support Bot imiteren door het injecteren van arbitraire inhoud in Service Desk e-mailantwoorden, veroorzaakt door onjuiste verwerking van e-mailsjablonen.

Oracle heeft een kwetsbaarheid verholpen in Oracle PeopleSoft Enterprise PeopleTools versies 8.61 en 8.62. De kwetsbaarheid maakt het mogelijk voor ongeauthenticeerde aanvallers om het systeem op afstand via HTTP te misbruiken. Hierdoor kan remote code execution plaatsvinden, wat kan leiden tot volledige overname van het systeem. De kwetsbaarheid treft Oracle PeopleSoft Enterprise PeopleTools en is met name misbruikbaar wanneer de PeopleSoft Environment Management Hub (PSEMHUB) vanaf het internet bereikbaar is. Het is gebruikelijk om dergelijke beheercomponenten uitsluitend via interne netwerken of een VPN toegankelijk te maken.

Google CTI laat weten dat deze kwetsbaarheid al zeker sinds 27 mei als zeroday is misbruikt.

Ivanti heeft twee kwetsbaarheden verholpen in Sentry. De kwetsbaarheid met kenmerk CVE-2026-10520, waarvan Ivanti een CVSS-score van 10 heeft toegekend, kan een ongeauthenticeerde kwaadwillende op afstand in staat stellen willekeurige code uitvoeren met root rechten. De kwetsbaarheid met kenmerk CVE-2026-10523, die Ivanti een CVSS score van 9.9, heeft gegeven, kan door een ongeauthenticeerde kwaadwillende op afstand worden misbruikt om administratieve accounts aan te maken.

Misbruik van deze kwetsbaarheden is mogelijk, maar de randvoorwaarden die nodig zijn om deze kwetsbaarheden op afstand uit te buiten, vereisen dat een managementpoort aan het internet is ontsloten. Deze randvoorwaarden zijn niet aanwezig in standaardimplementaties van Ivanti Sentry.

De kwetsbaarheden hebben Ivanti bereikt via responsible disclosure. Momenteel vindt er, voor zover bekend, geen actief misbruik van deze kwetsbaarheden plaats en is er geen publieke PoC code beschikbaar. Het NCSC verwacht echter dat dit op korte termijn zal veranderen.

Adobe heeft meerdere kwetsbaarheden verholpen in Adobe InDesign Desktop versies 21.3, 20.5.3 en eerdere versies. De kwetsbaarheden bevinden zich in de wijze waarop Adobe InDesign Desktop malafide bestanden verwerkt. Er zijn stack-based en heap-based buffer overflow kwetsbaarheden die leiden tot geheugenbeschadiging, waardoor een aanvaller code kan uitvoeren met de rechten van de gebruiker die de applicatie draait. Daarnaast is er een Use After Free kwetsbaarheid die eveneens kan leiden tot het uitvoeren van willekeurige code. Verder zijn er out-of-bounds write en read kwetsbaarheden die geheugenbeschadiging veroorzaken en mogelijk leiden tot het uitlekken van gevoelige informatie. Ook is er een NULL Pointer Dereference kwetsbaarheid die een crash van de applicatie veroorzaakt, wat resulteert in een denial-of-service situatie. Al deze kwetsbaarheden worden geactiveerd door het openen van speciaal vervaardigde kwaadaardige bestanden binnen de applicatie. De problemen zijn aanwezig in meerdere versies van Adobe InDesign Desktop.

Adobe heeft meerdere kwetsbaarheden verholpen in Adobe Dreamweaver Desktop versies 21.7 en eerder. De kwetsbaarheden kunnen worden misbruikt door een gebruiker een speciaal vervaardigd kwaadaardig bestand te laten openen binnen de applicatie. De kwetsbaarheden omvatten onder andere het uitvoeren van arbitrary code door het openen van kwaadaardige bestanden, het lezen van willekeurige bestanden op het systeem door onvoldoende toegangscontrole en onjuiste autorisatie, het schrijven van bestanden door onjuiste inputvalidatie, en het gebruik van onjuist geïnitialiseerde pointers wat kan leiden tot geheugenbeschadiging. Exploitatie vereist interactie van de gebruiker met een kwaadaardig bestand en kan leiden tot het uitlekken van gevoelige data, het uitvoeren van code onder de context van de gebruiker, en het manipuleren van bestanden op het systeem.

Adobe heeft kwetsbaarheden verholpen in Adobe Acrobat Reader versies 24.001.30365, 26.001.21651 en eerdere versies. De kwetsbaarheden omvatten een out-of-bounds write en meerdere Use After Free fouten. Deze fouten ontstaan bij het verwerken van bepaalde malformed of kwaadaardig opgemaakte bestanden, wat kan leiden tot geheugenbeschadiging. Een aanvaller kan deze kwetsbaarheden misbruiken door een speciaal vervaardigd bestand te laten openen, waardoor mogelijk arbitraire code kan worden uitgevoerd binnen de context van de applicatie. De kwetsbaarheden treffen meerdere versies van Adobe Acrobat Reader.

Adobe heeft meerdere kwetsbaarheden verholpen in Adobe ColdFusion versies 2023.19, 2025.8 en eerdere versies. De kwetsbaarheden betreffen onder andere improper input validation die het mogelijk maakt om zonder gebruikersinteractie willekeurige code uit te voeren. Daarnaast is er een path traversal kwetsbaarheid die, na het openen van een kwaadaardig bestand, toegang geeft tot bestanden buiten de bedoelde directorystructuur. Verder is er een incorrect authorization kwetsbaarheid die aanvallers met hoge privileges in staat stelt om op afstand willekeurige code uit te voeren en hun toegangsrechten te escaleren zonder gebruikersinteractie. Ook kunnen aanvallers met lage privileges beveiligingsmechanismen omzeilen en ongeautoriseerde lees- en schrijfacties uitvoeren. Een XML External Entity (XXE) kwetsbaarheid maakt het mogelijk om via een kwaadaardig bestand willekeurige bestanden op het systeem te lezen. Tot slot is er een stored Cross-Site Scripting (XSS) kwetsbaarheid waarbij aanvallers met lage toegangsrechten kwaadaardige JavaScript-code kunnen injecteren in formuliervelden, die bij andere gebruikers wordt uitgevoerd. Deze kwetsbaarheden zijn aanwezig in meerdere versies van Adobe ColdFusion.