Ivanti, Fortinet en SAP brengen patches uit voor meerdere kritieke kwetsbaarheden

Cyberbeveiliging
Ivanti, Fortinet en SAP brengen patches uit voor meerdere kritieke kwetsbaarheden

Fortinet, Ivanti en SAP hebben beveiligingsupdates uitgebracht om meerdere kritieke beveiligingsproblemen aan te pakken die kunnen leiden tot het uitvoeren van willekeurige code en het vrijgeven van informatie.

Het door Fortinet gepatchte beveiligingslek heeft betrekking op een kwetsbaarheid voor opdrachtinjectie in FortiSandbox, FortiSandbox Cloud en FortiSandbox PaaS WEB UI. Het wordt bijgehouden als CVE-2026-25089 (CVSS-score: 9,1).

“Een onjuiste neutralisatie van speciale elementen die worden gebruikt in een OS-opdrachtkwetsbaarheid (CWE-78) in FortiSandbox, FortiSandbox Cloud en FortiSandbox PaaS WEB UI kan een niet-geverifieerde aanvaller in staat stellen ongeautoriseerde opdrachten uit te voeren via specifiek vervaardigde HTTP-verzoeken”, aldus Fortinet.

Het probleem is van invloed op de volgende producten en versies:

  • FortiSandbox 5.0.0 t/m 5.0.5 (Upgraden naar 5.0.6 of hoger)
  • FortiSandbox 4.4.0 t/m 4.4.8 (Upgraden naar 4.4.9 of hoger)
  • FortiSandbox Cloud 5.0.4 tot en met 5.0.5 (Upgrade naar 5.0.6 of hoger)
  • FortiSandbox PaaS 5.0.4 tot en met 5.0.5 (upgraden naar 5.0.6 of hoger)

Dinsdag publiceerde Ivanti ook oplossingen voor twee kritieke beveiligingsfouten die van invloed waren op Ivanti Sentry (voorheen MobileIron Sentry) –

  • CVE-2026-10520 (CVSS-score: 10.0) – Een kwetsbaarheid voor opdrachtinjectie in het besturingssysteem vóór versies R10.5.2, R10.6.2 en R10.7.1 waardoor een niet-geverifieerde gebruiker op afstand externe code op rootniveau kan uitvoeren.
  • CVE-2026-10523 (CVSS-score: 9,9) – Een kwetsbaarheid voor het omzeilen van authenticatie vóór versies R10.5.2, R10.6.2 en R10.7.1 waarmee een niet-geauthenticeerde aanvaller op afstand willekeurige beheerdersaccounts kan maken en volledige beheerderstoegang kan verkrijgen.

watchTowr Labs, dat aanvullende details over CVE-2026-10520 publiceerde, zei dat een aanvaller de kwetsbaarheid zou kunnen misbruiken door een speciaal vervaardigd HTTP-verzoek uit te voeren naar het “/mics/api/v2/sentry/mics-config/handleMessage” eindpunt, dat vervolgens wordt geïnterpreteerd als een MICS-configuratieopdracht en wordt uitgevoerd door een backend-component met de naam “handleExecute().”

De door Ivanti geleverde patch bevat extra controles die de toegang tot het kwetsbare eindpunt blokkeren, waardoor niet-geverifieerde verzoeken worden omgeleid naar de inlogpagina.

“Ivanti heeft niet alleen de controle van de aanvaller over het kwetsbare uitvoeringspad weggenomen”, zegt beveiligingsonderzoeker Sonny Macdonald. “Ze voegden er ook een beschermingslaag aan toe om het bereiken van het eindpunt aanzienlijk moeilijker te maken. Met andere woorden: ze voegden authenticatie toe.”

De lijst met updates wordt afgerond met SAP, dat oplossingen heeft uitgebracht voor vier kritieke kwetsbaarheden in NetWeaver AS ABAP en ABAP Platform, evenals SAP Commerce Cloud en SAP Data Hub –

  • CVE-2026-44748 (CVSS-score: 9,9) – Kwetsbaarheid voor het inpakken van XML-handtekeningen in SAML-authenticatie in SAP NetWeaver AS ABAP en ABAP Platform
  • CVE-2026-27671 (CVSS-score: 9,8) – Kwetsbaarheid voor geheugenbeschadiging in Application Server ABAP van SAP NetWeaver en ABAP Platform
  • CVE-2026-22732 (CVSS-score: 9,1) – Potentiële Spring-beveiligingskwetsbaarheid binnen SAP Commerce Cloud en SAP Data Hub
  • CVE-2026-40128 (CVSS-score: 9,0) – Kwetsbaarheid bij directory-traversal in SAP NetWeaver Application Server Java (webcontainer)

“De applicatie stelt een geauthenticeerde aanvaller met normale rechten in staat een geldig ondertekend bericht te verkrijgen en gewijzigde ondertekende XML-documenten met gemanipuleerde identiteitsinformatie naar de verificateur te sturen”, aldus SAP-beveiligingsbedrijf Onapsis.

“Door een onjuiste verificatie van de XML-handtekening wordt de gemanipuleerde identiteitsinformatie geaccepteerd, wat leidt tot ongeoorloofde toegang tot gevoelige gebruikersgegevens en mogelijke verstoring van het normale systeemgebruik.”

Wat CVE-2026-27671 betreft, zorgt het defect ervoor dat een niet-geverifieerde aanvaller een vervaardigd RFC-verzoek kan verzenden dat misbruik maakt van de manier waarop de SAP-kernel het RFC-protocol valideert om geheugenbeschadiging te bewerkstelligen.

Er is geen bewijs dat een van de bovengenoemde gebreken in het wild is uitgebuit. Voor optimale bescherming is het echter altijd een veilige gewoonte om bij te werken naar de nieuwste versie.

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Het aan China gekoppelde JDY Botnet breidt zich uit naar meer dan 1.500 apparaten voor cyberverkenning

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]