Tientallen leveranciers repareren beveiligingsfouten in bedrijfssoftware en netwerkapparaten

Cyberbeveiliging
Tientallen leveranciers repareren beveiligingsfouten in bedrijfssoftware en netwerkapparaten

SAP heeft beveiligingsupdates uitgebracht om twee kritieke beveiligingsfouten aan te pakken die kunnen worden uitgebuit om willekeurige code-uitvoering op getroffen systemen te bewerkstelligen.

De kwetsbaarheden in kwestie staan ​​hieronder vermeld:

  • CVE-2019-17571 (CVSS-score: 9,8) – Een kwetsbaarheid voor code-injectie in de SAP Quotation Management Insurance-applicatie (FS-QUO)
  • CVE-2026-27685 (CVSS-score: 9,1) – Een onveilige deserialisatiekwetsbaarheid in SAP NetWeaver Enterprise Portal Administration

“De applicatie maakt gebruik van een verouderd artefact van Apache Log4j 1.2.17 dat kwetsbaar is voor CVE-2019-17571”, aldus SAP-beveiligingsbedrijf Onapsis. “Het stelt een onbevoegde aanvaller in staat om op afstand willekeurige code op de server uit te voeren, wat een grote impact heeft op de vertrouwelijkheid, integriteit en beschikbaarheid van de applicatie.”

CVE-2026-27685 komt daarentegen voort uit ontbrekende of onvoldoende validatie tijdens de deserialisatie van geüploade inhoud, waardoor een aanvaller niet-vertrouwde of kwaadaardige inhoud kan uploaden.

“Alleen het feit dat een aanvaller hoge rechten nodig heeft voor een succesvolle exploit voorkomt dat de kwetsbaarheid wordt getagd met een CVSS-score van 10”, voegde Onapsis eraan toe.

De onthulling komt op het moment dat Microsoft patches heeft uitgebracht voor 84 kwetsbaarheden in producten, waaronder tientallen escalatie van bevoegdheden en fouten bij het uitvoeren van externe code.

Dinsdag heeft Adobe ook patches aangekondigd voor 80 kwetsbaarheden, waarvan er vier kritieke fouten zijn die van invloed zijn op Adobe Commerce en Magento Open Source en die kunnen resulteren in escalatie van bevoegdheden en het omzeilen van beveiligingsfuncties. Daarnaast werden vijf kritieke kwetsbaarheden in Adobe Illustrator opgelost die de weg konden vrijmaken voor het uitvoeren van willekeurige code.

Elders bracht Hewlett Packard Enterprise oplossingen uit voor vijf tekortkomingen in Aruba Networking AOS-CX. De ernstigste tekortkoming is CVE-2026-23813 (CVSS-score: 9,8), een authenticatie-bypass die de beheerinterface beïnvloedt.

“Er is een kwetsbaarheid geïdentificeerd in de webgebaseerde beheerinterface van AOS-CX-switches waardoor een niet-geverifieerde externe actor mogelijk bestaande authenticatiecontroles kan omzeilen”, aldus HPE. “In sommige gevallen kan dit het opnieuw instellen van het beheerderswachtwoord mogelijk maken.”

“Het misbruiken van deze kwetsbaarheid op Aruba geeft aanvallers mogelijk volledige controle over AOS-CX-netwerkapparaten en de mogelijkheid om ongemerkt een heel systeem in gevaar te brengen”, zegt Ross Filipek, CISO bij Corsica Technologies, in een verklaring.

“Een succesvol compromis zou kunnen leiden tot de verstoring van de netwerkcommunicatie of de erosie van de integriteit van belangrijke zakelijke diensten. Deze fout herinnert ons eraan dat kwetsbaarheden in netwerkapparaten steeds vaker voorkomen in de hedendaagse hyperverbonden wereld. Wanneer aanvallers geprivilegieerde toegang krijgen tot deze apparaten, brengt dit organisaties aanzienlijk in gevaar.”

Softwarepatches van andere leveranciers

Er zijn de afgelopen weken ook beveiligingsupdates uitgebracht door andere leveranciers om verschillende kwetsbaarheden te verhelpen, waaronder:

  • ABB
  • Amazon-webservices
  • AMD
  • Arm
  • Atlassisch
  • Bosch
  • Broadcom (inclusief VMware)
  • Canon
  • Cisco
  • Commvault
  • Dassault-systemen
  • Dell
  • Devoluties
  • Drupal
  • Elastisch
  • F5
  • Fortinet
  • Fortra
  • Foxit-software
  • GitLab
  • Google Android en Pixel
  • Google Chrome
  • Google Cloud
  • Google Pixel Watch
  • Google Wear-besturingssysteem
  • Grafana
  • Hitachi-energie
  • Honingwel
  • PK
  • HP Enterprise (inclusief Aruba Networking en Juniper Networks)
  • IBM
  • Intel
  • Ivanti
  • Jenkins
  • Lenovo
  • Linux-distributies AlmaLinux, Alpine Linux, Amazon Linux, Arch Linux, Debian, Gentoo, Oracle Linux, Mageia, Red Hat, Rocky Linux, SUSE en Ubuntu
  • MediaTek
  • Mitsubishi Elektrisch
  • Moxa
  • Mozilla Firefox, Firefox ESR en Thunderbird
  • n8n
  • NVIDIA
  • Palo Alto-netwerken
  • QNAP
  • Qualcomm
  • Ricoh
  • Samsung
  • Schneider Elektrisch
  • ServiceNu
  • Siemens
  • Zonnewinden
  • Splunk
  • Synologie
  • TP-Link
  • TrendMicro
  • WatchGuard
  • West-digitaal
  • Zoomen, en
  • Zyxel
Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Onderzoekers misleiden de Comet AI-browser van Perplexity in minder dan vier minuten tot phishing

Wat besturen moeten eisen in het tijdperk van AI-geautomatiseerde uitbuiting

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]