Auteur: Systeem Beheerder

De ontwikkelaars van MongoDB hebben een kwetsbaarheid verholpen in MongoDB. De kwetsbaarheid met kenmerk CVE-2025-14847 stelt een ongeauthenticeerde aanvaller op afstand in staat om ongeïnitialiseerd heapgeheugen uit te lezen. De oorzaak ligt in het onjuist verwerken van lengteparameters in Zlib-gecomprimeerde protocolheaders. Misbruik van de kwetsbaarheid kan leiden tot het lekken van gevoelige informatie uit het heapgeheugen, wat door een aanvaller kan worden ingezet om verdere aanvallen op het systeem uit te voeren

Onderzoekers hebben een exploit gepubliceerd waarmee CVE-2025-14847 kan worden misbruikt. Het NCSC verwacht op korte termijn actief misbruik van de kwetsbaarheid.

HPE heeft een kwetsbaarheid verholpen in de HPE OneView Software. De kwetsbaarheid bevindt zich in de manier waarop de OneView Software omgaat met externe verzoeken. Als HPE OneView Software via het internet toegankelijk is kunnen ongeauthenticeerde gebruikers op afstand code uitvoeren. Dit kan aanvallers in staat stellen controle te verkrijgen over de getroffen omgevingen.

Onderzoekers hebben Proof-of-Concept-code (PoC) gepubliceerd en verwerkt in een Metasploit-module. Het risico op scanverkeer en pogingen tot misbruik neemt hierdoor toe.

Foxit heeft kwetsbaarheden verholpen in Foxit PDF Reader (Specifiek voor versies vóór 2025.2.1, 14.0.1 en 13.2.1 op Windows en MacOS). De kwetsbaarheden omvatten een lokale privilege-escalatie, een use-after-free kwetsbaarheid en een geheugenbeschadiging gerelateerd aan onvoldoende grenzencontrole bij de verwerking van 3D-annotaties. Aanvallers kunnen deze kwetsbaarheden misbruiken om willekeurige code uit te voeren op de getroffen systemen, wat kan leiden tot ongeautoriseerde toegang en systeeminstabiliteit. De use-after-free kwetsbaarheid kan zelfs worden geactiveerd zonder gebruikersinteractie, wat het risico vergroot, vooral in omgevingen waar PDF-bestanden vaak worden geopend.

Er is een kwetsbaarheid verholpen in WatchGuard Fireware OS. Er is een kwetsbaarheid verholpen in WatchGuard Fireware OS. De kwetsbaarheid CVE-2025-14733 betreft een out-of-bounds write in het iked-proces van Fireware OS en treft zowel de Mobile User VPN (IKEv2) als de Branch Office VPN (IKEv2) wanneer deze is geconfigureerd met een dynamische gateway-peer. De kwetsbaarheid stelt een niet-geauthenticeerde aanvaller op afstand in staat om willekeurige code uit te voeren.

Als de WatchGuard Firebox eerder is geconfigureerd met een Mobile User VPN (IKEv2) of Branch Office VPN (IKEv2) naar een dynamische gateway-peer, en beide configuraties inmiddels zijn verwijderd, kan het systeem alsnog kwetsbaar zijn indien er nog steeds een Branch Office VPN naar een statische gateway-peer is geconfigureerd.

WatchGuard heeft pogingen tot misbruik van de kwetsbaarheid waargenomen.