Mozilla heeft updates uitgebracht om twee kritieke fouten in Firefox aan te pakken waarvoor het waarschuwde dat er exploitcode is gepubliceerd.
De kwetsbaarheden worden hieronder vermeld:
- CVE-2026-15718een ongeldige aanwijzer in de JavaScript: WebAssembly-component
- CVE-2026-15719een site-isolatie in de DOM: navigatiecomponent
“We zijn ons ervan bewust dat de exploitcode hiervoor openbaar is, maar we zijn ons niet bewust van aanvallen in het wild die misbruik maken van deze fout”, aldus Mozilla in een advies. Beide kwetsbaarheden zijn verholpen in Firefox-versie 152.0.6.
De release komt terwijl Google oplossingen heeft geleverd voor 15 beveiligingsfouten, waaronder twee kritieke use-after-free bugs in Ozone (CVE-2026-15764 en CVE-2026-15765), een platformonafhankelijke abstractielaag waarmee de browser native kan communiceren met verschillende weergaveservers en venstersystemen. Het ondersteunt Linux, ChromeOS en Fuchsia.
“Met gebruik na gratis in Ozone in Google Chrome op Linux vóór 150.0.7871.125 kon een externe aanvaller een gebruiker overtuigen om specifieke UI-bewegingen uit te voeren om mogelijk heap-corruptie te misbruiken via een vervaardigde HTML-pagina”, aldus een beschrijving van CVE-2026-15764 in de NIST National Vulnerability Database (NVD).
De tekortkomingen zijn verholpen in Chrome-versie 150.0.7871.124/.125 voor Windows en Mac en 150.0.7871.124 voor Linux.
In een gerelateerde ontwikkeling heeft Adobe beveiligingsupdates gepubliceerd voor 88 kwetsbaarheden, waaronder meerdere kritieke bugs in ColdFusion, Commerce, Experience Manager en Illustrator. Hiervan hebben er acht invloed op Adobe ColdFusion –
- CVE-2026-48318 (CVSS-score: 9,9) – Een kwetsbaarheid bij het doorlopen van paden die kan leiden tot uitvoering van willekeurige code
- CVE-2026-48322 (CVSS-score: 9,6) – Een kwetsbaarheid voor code-injectie die kan leiden tot uitvoering van willekeurige code
- CVE-2026-48284 (CVSS-score: 9,6) – Een kwetsbaarheid voor onjuiste invoervalidatie die kan leiden tot uitvoering van willekeurige code
- CVE-2026-48321 (CVSS-score: 9,3) – Een kwetsbaarheid voor onjuiste autorisatie die kan leiden tot escalatie van bevoegdheden
- CVE-2026-48325 (CVSS-score: 9,3) – Een ontbrekende authenticatie voor een kwetsbaarheid in een kritieke functie die zou kunnen leiden tot uitvoering van willekeurige code
- CVE-2026-48319 (CVSS-score: 9.1) – Een kwetsbaarheid bij het doorlopen van paden die kan leiden tot uitvoering van willekeurige code
- CVE-2026-48324 (CVSS-score: 9,1) – Een kwetsbaarheid voor SQL-injectie die kan leiden tot uitvoering van willekeurige code
- CVE-2026-48327 (CVSS-score: 9,0) – Een kwetsbaarheid voor onjuiste autorisatie die kan leiden tot uitvoering van willekeurige code
De CodeFusion-fouten zijn verholpen in de versies ColdFusion 2025 Update 11 en ColdFusion 2023 Update 22. Ook door Adobe zijn twee kritieke fouten opgelost, elk in Adobe Commerce en Magento Open Source en Adobe Experience Manager –
- CVE-2026-48356 (CVSS-score: 9,6) – Een kwetsbaarheid bij het uploaden van bestanden in Adobe Commerce en Magento Open Source die kan leiden tot escalatie van bevoegdheden
- CVE-2026-48358 (CVSS-score: 9,1) – Een onjuiste codering of ontsnapping van uitvoerkwetsbaarheid in Adobe Commerce en Magento Open Source die zou kunnen leiden tot uitvoering van willekeurige code
- CVE-2026-48259 (CVSS-score: 9,6) – Een kwetsbaarheid voor het vervalsen van verzoeken aan de serverzijde in Adobe Experience Manager die zou kunnen leiden tot uitvoering van willekeurige code
- CVE-2026-48359 (CVSS-score: 9,6) – Een onjuiste beperking van de kwetsbaarheid voor externe XML-entiteitsreferenties in Adobe Experience Manager die zou kunnen leiden tot uitvoering van willekeurige code
Elders heeft Broadcom een oplossing uitgebracht voor een kritieke kwetsbaarheid voor het omzeilen van authenticatie in VMware Avi Load Balancer (CVE-2026-47865CVSS-score: 9,8) die een kwaadwillende gebruiker met netwerktoegang kan misbruiken om toegang te krijgen tot het Avi Control-vlak. Filip Waeytens van het NAVO Cyber Security Centrum (NCSC) wordt gecrediteerd voor het ontdekken en rapporteren van de fout.
Hoewel geen van de kwetsbaarheden is gemarkeerd als actief misbruikt, is het essentieel dat organisaties de nieuwste updates installeren, aangezien het bekend is dat bedreigingsactoren fouten in deze producten als wapen gebruiken bij aanvallen.