National Cyber Security Centre Beveilingsadviezen

Red Hat heeft een kwetsbaarheid verholpen in Keycloak. De kwetsbaarheid bevindt zich in de manier waarop Keycloak omgaat met geprivilegieerde gebruikers. Een geprivilegieerde gebruiker kan volledige administratieve controle over een realm verkrijgen, wat kan leiden tot ongeautoriseerde wijzigingen in gebruikersrollen en configuraties. Dit is vooral riskant in omgevingen met meerdere beperkte administratieve gebruikers, aangezien daar misbruik kan leiden tot compromittering van de beveiligingspositie binnen de getroffen omgevingen.

Citrix heeft kwetsbaarheden verholpen in NetScaler ADC en NetScaler Gateway. De kwetsbaarheid met kenmerk CVE-2025-5777 betreft een Out-of-Bounds Read. Deze kwetsbaarheid ontstaat door onvoldoende invoervalidatie in systemen die zijn geconfigureerd als Gateway-diensten. Dit betreft onder andere VPN-virtual servers, ICA Proxy, Citrix Virtual Private Network (CVPN), Remote Desktop Protocol (RDP) Proxy en AAA-servers. In tegenstelling tot eerdere informatie van Citrix bevindt deze kwetsbaarheid zich niet in de management-interface. Deze kwetsbaarheid is daarmee op afstand te misbruiken door een kwaadwillende zonder voorafgaande authenticatie. Deze kwetsbaarheid wordt actief misbruikt. Tevens is voor de kwetsbaarheid is Proof-of-Concept-code (PoC) verschenen. De tweede kwetsbaarheid met kenmerk CVE-2025-5349, betreft een probleem met onjuiste toegangscontrole binnen de NetScaler Management Interface. Kwaadwillenden kunnen de kwetsbaarheid misbruiken voor het verkrijgen van ongeautoriseerde toegang tot bepaalde onderdelen van het systeem. Hiervoor heeft de kwaadwillende toegang nodig tot specifieke netwerkinterfaces, zoals het Network Services IP (NSIP), het Cluster Management IP of het lokale Global Server Load Balancing (GSLB) Site IP.

Cisco heeft kwetsbaarheden verholpen in Cisco ISE en ISE-PIC. De kwetsbaarheden bevinden zich in de manier waarop Cisco ISE en ISE-PIC bestanden verwerken via APIs en gebruikersinvoer valideren. Ongeauthenticeerde aanvallers met toegang tot de API-interface kunnen deze kwetsbaarheden misbruiken om willekeurige bestanden te uploaden en uit te voeren met root-rechten, evenals om commando’s op het onderliggende besturingssysteem uit te voeren. Dit kan leiden tot volledige compromittatie van het kwetsbare systeem. Het is belangrijk om te vermelden dat de kwetsbaarheden in kwestie zijn geïntroduceerd in de recentere versies 3.3 en 3.4. Cisco geeft aan dan versies 3.2 en daarvoor niet kwetsbaar zijn en dat de kwetsbaarheid met kenmerk CVE-2025-20282 niet van toepassing is op versie 3.3 Update: Cisco heeft de kwetsbaarheid met kenmerk CVE-2025-20337 toegevoegd aan de originele advisory. Ook deze kwetsbaarheid stelt een kwaadwillende in staat om willekeurige code uit te voeren, mogelijk met root-rechten. Hierom is voor versie 3.3 een nieuwe update verschenen. Cisco adviseert om met name voor v 3.3 te controleren of patch 7 is ingezet en dit zo nodig te doen.

XWiki heeft kwetsbaarheden verholpen in het rendering systeem en de standaard macro content parser. De kwetsbaarheden in het XWiki rendering systeem stelden aanvallers in staat om XSS-aanvallen uit te voeren door de afhankelijkheid van de xdom+xml/current syntax. Deze kwetsbaarheid is verholpen in versie 14.10. Daarnaast waren er kwetsbaarheden in de standaard macro content parser die leidden tot privilege-escalatie en remote code execution door problemen met geneste macro’s. Deze zijn gepatcht in de versies 13.10.11, 14.4.7 en 14.10. De aanvaller kon ongeautoriseerde macro’s uitvoeren door de restricties in de macro content parser te omzeilen.

De ontwikkelaar van Wing FTP Server heeft een kwetsbaarheid verholpen in versie 7.4.4. De kwetsbaarheid bevindt zich in de wijze waarop Wing FTP Server null bytes verwerkt in de user parameter. Dit stelt een kwaadwillende op afstand in staat om willekeurige Lua-code te injecteren in sessie bestanden, wat kan leiden tot de uitvoering van willekeurige code met rechten van de applicatie. Het is mogelijk dat de applicatie draait met verhoogde rechten, waardoor code executie mogelijk is onder ROOT/SYSTEM-rechten. Voor succesvol misbruik moet er geldige authenticatie plaatsvinden, of anonymous FTP moet ingeschakeld zijn. Standaard is anonymous FTP uitgeschakeld. Onderzoekers hebben een exploit gepubliceerd waarmee de kwetsbaarheid kan worden misbruikt. Daarnaast melden diverse organisaties actief misbruik waar te nemen.

Fortinet heeft een kwetsbaarheid verholpen in FortiWeb. De kwetsbaarheid stelt niet-geauthenticeerde aanvallers in staat om ongeautoriseerde SQL-commando’s uit te voeren door speciaal vervaardigde HTTP-verzoeken te verzenden. Dit kan de integriteit en vertrouwelijkheid van de door FortiWeb beheerde gegevens in gevaar brengen. Voor succesvol misbruik moet de kwaadwillende toegang hebben tot de HTTP Administrative interface. Het is goed gebruik een dergelijke interface niet publiek toegankelijk te hebben, maar af te steunen in een separaat beheer-lan. Onderzoekers hebben een analyse gepubliceerd waarmee mogelijk werkende Proof-of-Concept-code kan worden geschreven. De werking is afhankelijk van de specifieke installatie, waardoor een universele PoC niet eenvoudig is te ontwikkelen. Het NCSC acht een toename in scanverkeer en pogingen tot misbruik wel waarschijnlijk. Hierom adviseert het NCSC om in elk geval de Administrative interface ontoegankelijk te maken vanaf externe netwerken, of deze, conform de door FortiNet geadviseerde mitigerende maatregel uit te schakelen.

Adobe heeft kwetsbaarheden verholpen in Adobe InDesign Desktop (Versies 19.5.3 en eerder). De kwetsbaarheden bevinden zich in de wijze waarop Adobe InDesign Desktop bestanden verwerkt. Wanneer een gebruiker een kwaadwillig vervaardigd bestand opent, kan dit leiden tot willekeurige code-executie. Aanvallers kunnen deze kwetsbaarheden misbruiken om ongeautoriseerde commando’s op het getroffen systeem uit te voeren.

Zoom heeft kwetsbaarheden verholpen in Zoom Clients (Specifiek voor versies voor Linux, Windows, iOS en macOS). De kwetsbaarheden omvatten onjuiste certificaatvalidatie in Zoom Workplace voor Linux, een buffer overflow in specifieke Zoom Clients voor Windows, cross-site scripting in Zoom Clients voor Windows, onvoldoende controle over de stroom in Zoom Clients voor iOS, en onjuiste authenticatie in Zoom Clients voor macOS. Deze kwetsbaarheden kunnen door ongeautoriseerde gebruikers worden misbruikt om toegang te krijgen tot gevoelige informatie of om een Denial-of-Service-aanval uit te voeren. Dit kan leiden tot ongeautoriseerde informatie openbaarmaking en verstoring van diensten voor gebruikers en organisaties die afhankelijk zijn van het Zoom-platform.

Juniper heeft een kwetsbaarheid verholpen in de Routing Protocol Daemon (rpd) van zijn Junos OS, specifiek voor de SRX300 Series. De kwetsbaarheid bevindt zich in de wijze waarop de Routing Protocol Daemon (rpd) op de kwetsbare SRX300 Series systemen BGP-updates verwerkt. Ongeauthenticeerde aanvallers kunnen een speciaal vervaardigde BGP-update verzenden, wat kan leiden tot een Denial-of-Service situatie. Het resultaat van deze aanval is een crash en daaropvolgende herstart van de rpd, wat mogelijk netwerkdiensten verstoort. Enkel de SRX300 Series systemen zijn kwetsbaar.

Juniper heeft een kwetsbaarheid verholpen in Juniper Networks Security Director. De kwetsbaarheid bevindt zich in de webinterface van Juniper Networks Security Director, waar onvoldoende autorisatievalidatie ervoor zorgt dat niet-geauthenticeerde aanvallers toegang kunnen krijgen tot en gevoelige bronnen kunnen manipuleren. Dit kan leiden tot ongeautoriseerde acties op kritieke bronnen, wat de integriteit en vertrouwelijkheid van het systeem in gevaar kan brengen.

Adobe heeft kwetsbaarheden verholpen in Adobe Illustrator (Versies 28.7.6, 29.5.1 en eerder). De kwetsbaarheden bevinden zich in de manier waarop Adobe Illustrator omgaat met malafide bestanden. Deze kwetsbaarheden kunnen leiden tot arbitrary code-executie, waardoor aanvallers ongeautoriseerde acties kunnen uitvoeren op de getroffen systemen. De kwetsbaarheden vereisen meestal dat een gebruiker een kwaadaardig bestand opent.

Adobe heeft kwetsbaarheden verholpen in Adobe Framemaker (Versies 2020.8, 2022.6 en eerder). De kwetsbaarheden in Adobe Framemaker zijn gerelateerd aan verschillende soorten kwetsbaarheden, waaronder Heap-based Buffer Overflow, Integer Underflow, en NULL Pointer Dereference. Deze kwetsbaarheden kunnen leiden tot willekeurige code-executie wanneer een gebruiker een speciaal vervaardigd kwaadaardig bestand opent. Dit stelt aanvallers in staat om ongeautoriseerde code uit te voeren binnen de context van de applicatie, wat een aanzienlijk risico vormt voor de gebruikers van deze versies. De exploitatie van deze kwetsbaarheden vereist gebruikersinteractie, wat betekent dat gebruikers voorzichtig moeten zijn met het openen van onbetrouwbare bestanden.

Adobe heeft kwetsbaarheden verholpen in ColdFusion (Specifiek voor versies 25.2, 23.14, 21.20 en eerder). De kwetsbaarheden in ColdFusion omvatten onder andere een significante kwetsbaarheid met betrekking tot onjuiste beperking van XML External Entity Reference (XXE), hard-coded credentials, incorrecte autorisatie, XML-injectie, en verschillende soorten Cross-Site Scripting (XSS). Deze kwetsbaarheden stellen aanvallers in staat om ongeautoriseerde toegang te verkrijgen tot gevoelige informatie, privilege-escalatie uit te voeren, en schadelijke scripts in browsers van gebruikers uit te voeren. De meeste kwetsbaarheden zijn beperkt tot interne IP-adressen, wat de blootstelling kan verminderen, maar nog steeds een aanzienlijk risico vormt voor de beveiliging van de systemen. Aanvallers kunnen deze kwetsbaarheden misbruiken zonder gebruikersinteractie, wat de ernst van de situatie vergroot.

Schneider Electric heeft kwetsbaarheden verholpen in EcoStruxture IT Datacenter Expert. De kwetsbaarheden omvatten onder andere onvoldoende controle over speciale elementen in OS-commando’s, wat kan leiden tot ongeauthenticeerde externe code-executie. Daarnaast is er een probleem met onvoldoende entropie in wachtwoordgeneratie-algoritmen, wat kan resulteren in het ontdekken van rootwachtwoorden. Verder is er een kwetsbaarheid gerelateerd aan onjuiste controle van codegeneratie, wat kan leiden tot externe opdrachtuitvoering via hostname-invoer. Ook is er een Server-Side Request Forgery (SSRF) kwetsbaarheid die ongeauthenticeerde externe code-executie mogelijk maakt door manipulatie van verborgen URL’s. Bovendien is er een probleem met onjuiste privilegebeheer, wat kan leiden tot privilege-escalatie. Tot slot kan er ongeautoriseerde bestandstoegang plaatsvinden door het misbruiken van SOAP API-aanroepen en XML externe entiteiten injectie.

Palo Alto Networks heeft kwetsbaarheden verholpen in PAN-OS. De kwetsbaarheden omvatten een informatielek in de SD-WAN functie, waardoor ongeautoriseerde gebruikers pakketten kunnen onderscheppen en onbeveiligde gegevens van de firewall kunnen benaderen. Dit vormt een risico voor gevoelige informatie die wordt verzonden. Daarnaast is er een command injection kwetsbaarheid die geauthenticeerde beheerders in staat stelt om systeembeperkingen te omzeilen en willekeurige commando’s uit te voeren als root-gebruiker, wat toegang tot de PAN-OS CLI vereist. Deze kwetsbaarheid kan worden geëxploiteerd via de beheerswebinterface, wat benadrukt dat geauthenticeerde toegang noodzakelijk is. Cloud NGFW en Prisma® Access zijn niet getroffen door deze kwetsbaarheden.

SAP heeft kwetsbaarheden verholpen in verschillende producten, waaronder SAP S/4HANA, SAP SCM, en SAP NetWeaver. De kwetsbaarheden omvatten onder andere remote code execution, code injectie, en insecure deserialization, die door aanvallers met gebruikersprivileges kunnen worden misbruikt om schadelijke code te creëren of uit te voeren. Dit kan leiden tot ernstige bedreigingen voor de vertrouwelijkheid, integriteit en beschikbaarheid van de getroffen systemen. Specifieke kwetsbaarheden zoals een replay-aanval en privilege-escalatie zijn ook geïdentificeerd, wat de noodzaak benadrukt voor strikte autorisatiecontroles en monitoring van de systemen. De impact varieert van ongeautoriseerde toegang tot gegevens tot volledige systeemcompromittering.

Microsoft heeft kwetsbaarheden verholpen in Edge (Chromium based) Een kwaadwillende kan de kwetsbaarheden misbruiken om willekeurige code uit te voeren met rechten van het slachtoffer, of om toegang te krijgen tot gevoelige gegevens in de context van de browser van het slachtoffer. In deze update wordt ook de kwetsbaarheid met kenmerk CVE-2025-6554 verholpen. Deze bevindt zich in de onderliggende Chrome-code en deze kwetsbaarheid is eerder door Google gemeld dat deze actief is misbruikt in Chrome.

Microsoft heeft kwetsbaarheden verholpen in Visual Studio. Een kwaadwillende kan de kwetsbaarheden misbruiken om zich verhoogde rechten toe te kennen, of willekeurige code uit te voeren. Een deel van de kwetsbaarheden zijn eerder verholpen in de code van diverse open source projecten gerelateerd aan GIT. Visual Studio maakt gebruik van deze code. Voor succesvol misbruik moet de kwaadwillende het slachtoffer misleiden malafide code te importeren en uitvoeren.

Microsoft heeft kwetsbaarheden verholpen in SQL Server. Een kwaadwillende kan de kwetsbaarheden misbruiken om willekeurige code uit te voeren of toegang te krijgen tot gevoelige gegevens. Van de kwetsbaarheid met kenmerk CVE-2025-49719 geeft Microsoft aan informatie te hebben dat deze de aandacht heeft van onderzoekers op gesloten fora. Misbruik kan leiden tot toegang tot data uit ongealloceerd geheugen. De inhoud van een dergelijk geheugenblok is niet gedefinieerd en kan potentieel gevoelig zijn.

Microsoft heeft kwetsbaarheden verholpen in diverse Office producten. Een kwaadwillende kan de kwetsbaarheden misbruiken om zich verhoogde rechten toe te kennen, willekeurige code uit te voeren of toegang krijgen tot gevoelige gegevens. Voor succesvol misbruik moet de kwaadwillende het slachtoffer misleiden een malafide bestand te openen of link te volgen. “` Microsoft Teams: CVE-IDCVSSImpact CVE-2025-497313.10Verkrijgen van verhoogde rechten CVE-2025-497377.00Verkrijgen van verhoogde rechten Microsoft Office: CVE-IDCVSSImpact CVE-2025-479947.80Verkrijgen van verhoogde rechten CVE-2025-496958.40Uitvoeren van willekeurige code CVE-2025-496968.40Uitvoeren van willekeurige code CVE-2025-496978.40Uitvoeren van willekeurige code CVE-2025-496997.00Uitvoeren van willekeurige code CVE-2025-497027.80Uitvoeren van willekeurige code Microsoft Office Word: CVE-IDCVSSImpact CVE-2025-496987.80Uitvoeren van willekeurige code CVE-2025-497007.80Uitvoeren van willekeurige code CVE-2025-497037.80Uitvoeren van willekeurige code Microsoft Office PowerPoint: CVE-IDCVSSImpact CVE-2025-497057.80Uitvoeren van willekeurige code Microsoft Office SharePoint: CVE-IDCVSSImpact CVE-2025-497018.80Uitvoeren van willekeurige code CVE-2025-497048.80Uitvoeren van willekeurige code CVE-2025-497066.30Voordoen als andere gebruiker Microsoft Office Excel: CVE-IDCVSSImpact CVE-2025-488125.50Toegang tot gevoelige gegevens CVE-2025-497117.80Uitvoeren van willekeurige code “`

Microsoft heeft kwetsbaarheden verholpen in Azure Service Fabric en Monitor Agent. Een kwaadwillende kan de kwetsbaarheden misbruiken om zich verhoogde rechten toe te kennen of voor het uitvoeren van willekeurige code. “` Service Fabric: CVE-IDCVSSImpact CVE-2025-211956.00Verkrijgen van verhoogde rechten Azure Monitor Agent: CVE-IDCVSSImpact CVE-2025-479887.50Uitvoeren van willekeurige code “`

Microsoft heeft kwetsbaarheden verholpen in Windows. Een kwaadwillende kan de kwetsbaarheden misbruiken om aanvallen uit te voeren die kunnen leiden tot de volgende categorieën schade:

Splunk heeft kwetsbaarheden verholpen in Splunk Enterprise en Splunk Cloud Platform. De kwetsbaarheden in Splunk Enterprise en Splunk Cloud Platform stellen zowel low-privileged als high-privileged gebruikers in staat om ongeautoriseerde acties uit te voeren, zoals het onderdrukken van waarschuwingen, het uitvoeren van externe commando’s, en het veroorzaken van een denial-of-service. Daarnaast kunnen ongeauthenticeerde aanvallers kwetsbaarheden misbruiken om wijzigingen aan te brengen in de lidmaatschapsconfiguraties van een Splunk Search Head Cluster of om gevoelige informatie bloot te stellen. De exploitatie van deze kwetsbaarheden vereist vaak sociale-engineeringtechnieken, wat de noodzaak van waakzaamheid onder gebruikers benadrukt.

Siemens heeft kwetsbaarheden verholpen in diverse producten als SIMATIC, SINEC, SIPROTEC, Solid Edge en TIA, De kwetsbaarheden stellen een kwaadwillende mogelijk in staat aanvallen uit te voeren die kunnen leiden tot de volgende categorieën schade:

Cisco heeft een kwetsbaarheid verholpen in Cisco Unified Communications Manager (en Cisco Unified Communications Manager Session Management Edition). De kwetsbaarheid bevindt zich in de hardcoded root SSH-credentials die niet kunnen worden gewijzigd of verwijderd. Dit stelt ongeauthenticeerde externe aanvallers in staat om in te loggen en willekeurige commando’s uit te voeren op de getroffen systemen. Dit vormt een ernstig beveiligingsrisico voor organisaties die deze producten gebruiken. SSH toegang is onder normale omstandigheden beperkt tot de interne infrastructuur. Het is goed gebruik een dergelijke toegang te beperken en niet publiek toegankelijk te hebben, maar af te steunen in een separate beheer-omgeving. Potentieel misbruik kan worden gedetecteerd door middel van de onderstaande Indicators of Compromise: Succesvol misbruik resulteert in een log entry in /var/log/active/syslog/secure voor de root gebruiker met root permissions. Het loggen van dit event is standaard ingeschakeld. De logs kunnen worden verkregen door de volgende commando’s uit te voeren op de command line: cucm1# file get activelog syslog/secure Wanneer een log entry zowel een sshd vermelding als een succesvolle SSH login vertoont kan dit duiden op mogelijke compromittatie. Zie voorbeeld: Apr 6 10:38:43 cucm1 authpriv 6 systemd: pam_unix(systemd-user:session): session opened for user root by (uid=0) Apr 6 10:38:43 cucm1 authpriv 6 sshd: pam_unix(sshd:session): session opened for user root by (uid=0)