ncsc

Siemens heeft kwetsbaarheden verholpen in TeleControl Server Basic. De kwetsbaarheden bevinden zich in de wijze waarop de TeleControl Server Basic SQL-injectie toestaat via verschillende methoden, zoals 'CreateTrace', 'VerifyUser', 'Authenticate', en vele anderen. Deze kwetsbaarheden stellen ongeauthenticeerde en geauthenticeerde kwaadwillenden in staat om toegang te krijgen tot de database en code uit te voeren met 'NT AUTHORITY\NetworkService' rechten, mits zij toegang hebben tot poort 8000. Dit kan leiden tot ongeautoriseerde toegang en manipulatie van gegevens. Voor succesvol misbruik moet de kwaadwillende toegang hebben tot de productieomgeving. Het is goed gebruik een dergelijke omgeving niet publiek toegankelijk te hebben.

Oracle heeft kwetsbaarheden verholpen in Oracle PeopleSoft's Enterprise PeopleTools (versies 8.60, 8.61 en 8.62), Talent Acquisition Manager (versie 9.2) en Enterprise CC Common Application Objects (versie 9.2). De kwetsbaarheden in Oracle PeopleSoft's Enterprise PeopleTools, Talent Acquisition Manager en Enterprise CC Common Application Objects stellen laaggeprivilegieerde kwaadwillenden in staat om ongeautoriseerde toegang te verkrijgen en gevoelige gegevens te wijzigen. Ongeauthenticeerde kwaadwillenden kunnen een andere kwetsbaarheid misbruiken om volledige DoS te veroorzaken.

Oracle heeft kwetsbaarheden verholpen in JD Edwards EnterpriseOne Tools (Specifiek voor versies 9.2.0.0 tot 9.2.9.2). De kwetsbaarheden in JD Edwards EnterpriseOne Tools stellen ongeauthenticeerde kwaadwillenden in staat om via HTTP toegang te krijgen tot het systeem, wat kan leiden tot ongeautoriseerde toegang tot gevoelige gegevens en manipulatie daarvan of zelfs volledige overname van JD Edwards EnterpriseOne Tools. Enkele van de kwetsbaarheden kunnen leiden tot gedeeltelijke of volledige DoS, hiervoor is echter wel gebruikersinteractie vereist.

Oracle heeft kwetsbaarheden verholpen in Oracle Analytics. De kwetsbaarheden stellen ongeauthenticeerde kwaadwillenden in staat om toegang te krijgen tot gevoelige gegevens, Denial-of-Service aan te richten, en zelfs volledige controle over systemen te verkrijgen. Specifieke kwetsbaarheden in Oracle Business Intelligence Enterprise Edition kunnen leiden tot ongeautoriseerde toegang en manipulatie van gegevens via HTTP. Daarnaast zijn er kwetsbaarheden die Denial-of-Service kunnen veroorzaken door onjuiste invoer of misbruik van systeemfunctionaliteiten.

Oracle heeft kwetsbaarheden verholpen in verschillende Financial Services producten De kwetsbaarheden stellen niet-geauthenticeerde kwaadwillenden in staat om via HTTP toegang te krijgen tot kritieke gegevens, wat kan leiden tot ongeautoriseerde gegevenstoegang en andere beveiligingsrisico's. Kwaadwillenden kunnen ook gebruik maken van misconfiguraties en kwetsbaarheden in de software om privilege-escalatie, denial-of-service en remote code execution uit te voeren.

Oracle heeft kwetsbaarheden verholpen in Oracle E-Business Suite (Specifiek voor versies 12.2.3 tot 12.2.14). De kwetsbaarheden bevinden zich in verschillende componenten van de Oracle E-Business Suite, waaronder de Enterprise Command Center Framework, CRM Technical Foundation, iSupplier Portal, iStore, User Management, Applications Framework, CRM User Management Framework, Teleservice, Configurator, Application Object Library, en Scripting. Deze kwetsbaarheden stellen ongeauthenticeerde aanvallers in staat om toegang te krijgen tot gevoelige gegevens, wat kan leiden tot ongeautoriseerde toegang, gegevenswijzigingen en zelfs gedeeltelijke denial-of-service.

Oracle heeft kwetsbaarheden verholpen in diverse Oracle Database Producten en subsystemen, zoals Oracle Server, NoSQL, TimesTen, Secure Backup en Essbase. De kwetsbaarheden stellen ongeauthenticeerde kwaadwillenden in staat om een Denial-of-Service te veroorzaken of om ongeautoriseerde toegang te verkrijgen tot gevoelige gegevens en gegevens te manipuleren. Subcomponenten als de RDBMS Listener, Java VM, en andere componenten zijn specifiek kwetsbaar, met CVSS-scores variërend van 5.3 tot 7.5, wat duidt op een gematigd tot hoog risico.

Gladinet heeft een kwetsbaarheid verholpen in CentreStack (Versies tot 16.1.10296.56315). De kwetsbaarheid bevindt zich in de manier waarop hardcoded machineKeys en cryptografische sleutels worden gebruikt, hetgeen resulteert in een ernstige deserialisatiekwetsbaarheid. De kwetsbaarheid maakt het voor een kwaadwillende mogelijk om malafide ViewState-payloads te genereren die door het getroffen systeem als geldig worden geaccepteerd. Hierdoor kan willekeurige code op afstand worden uitgevoerd binnen de context van het kwetsbare systeem. Gladinet geeft aan dat de kwetsbaarheid sinds maart 2025 actief wordt misbruikt. Ook het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) meldt via de Known Exploited Vulnerability Database dat de kwetsbaarheid is misbruikt.

SAP heeft kwetsbaarheden verholpen in verschillende producten, waaronder SAP Financial Consolidation, SAP Landscape Transformation, SAP NetWeaver Application Server ABAP, SAP Commerce Cloud, SAP ERP BW, SAP BusinessObjects Business Intelligence Platform, SAP KMC WPC, SAP Solution Manager, SAP S4CORE, en SAP CRM. De uitgebrachte paches bevatten een aantal kritieke kwetsbaarheden met de kenmerken CVE-2025-30016, CVE-2025-31330 en CVE-2025-27429. De kwetsbaarheid met kenmerk CVE-2025-30016 is een kritieke authenticatie-bypass in SAP Financial Consolidation, die ongeauthenticeerde aanvallers toegang geeft tot het Admin-account. SAP Landscape Transformation heeft een kwetsbaarheid met kenmerk CVE-2025-31330, die het mogelijk maakt voor aanvallers met gebruikersprivileges om willekeurige ABAP-code in te voegen. De kwetsbaarheid met kenmerk CVE-2025-27429 in SAP S/4HANA (Private Cloud) stelt een aanvaller met gebruikersprivileges in staat om willekeurige ABAP-code in de RFC-functiemodule te injecteren en autorisatiecontroles te omzeilen, waardoor de vertrouwelijkheid, integriteit en beschikbaarheid van het systeem in gevaar komen. SAP NetWeaver Application Server ABAP heeft een Mixed Dynamic RFC Destination-kwetsbaarheid die kan leiden tot blootstelling van gevoelige inloggegevens. Daarnaast zijn er kwetsbaarheden in SAP Commerce Cloud die de vertrouwelijkheid en integriteit van gegevens in gevaar kunnen brengen. De kwetsbaarheden in SAP ERP BW en SAP BusinessObjects kunnen leiden tot ongeautoriseerde uitvoering van commando's en wijziging van bestanden. De directory traversal-kwetsbaarheden in SAP Capital Yield Tax Management en SAP Solution Manager stellen aanvallers in staat om gevoelige informatie te verkrijgen. De SSRF-kwetsbaarheid in SAP CRM en SAP S/4HANA kan de vertrouwelijkheid van interne netwerkbronnen in gevaar brengen.

Adobe heeft kwetsbaarheden verholpen in Animate versies 24.0.7, 23.0.10 en eerder. De kwetsbaarheden omvatten een Heap-based Buffer Overflow, een Use After Free en twee out-of-bounds read kwetsbaarheden. Deze kwetsbaarheden kunnen leiden tot willekeurige code-executie in de context van de gebruiker en het potentieel onthullen van gevoelige geheugeninformatie. Wel is gebruikersinteractie nodig voor het openen van een kwaadaardig bestand.

Adobe heeft kwetsbaarheden verholpen in ColdFusion (Specifiek voor versies 2023.12, 2021.18, 2025.0 en eerder). De kwetsbaarheden bevinden zich in de manier waarop ColdFusion omgaat met invoervalidatie, authenticatie, toegang en deserialisatie van onbetrouwbare gegevens. Kwaadwillenden kunnen deze kwetsbaarheden misbruiken om willekeurige code uit te voeren, ongeautoriseerde toegang te verkrijgen, en gevoelige gegevens te lezen of te wijzigen. De meeste kwetsbaarheden vereisen gebruikersinteractie, zoals het openen van een kwaadaardig bestand of het bezoeken van een gecompromitteerde URL.

Fortinet heeft een kwetsbaarheid verholpen in de FortiSwitch GUI. De kwetsbaarheid met kenmerk CVE-2024-48887, bevindt zich in de FortiSwitch GUI, waardoor een externe, niet-geauthenticeerde kwaadwllende in staat is om admin-wachtwoorden te wijzigen via speciaal vervaardigde verzoeken. Dit beveiligingsprobleem kan leiden tot ongeautoriseerde toegang en controle over de getroffen systemen.

Microsoft heeft een kwetsbaarheid verholpen in Dynamics. Door een kwetsbaarheid met kenmerk CVE-2025-29821, van een onjuiste invoervalidatie in Dynamics Business Central, kan een kwaadwillende toegang krijgen tot gevoelige gegevens. Bij succesvol misbruik, kan de kwaadwillende wachtwoorden in onversleutelde tekst uit het geheugen herstellen. ``` Dynamics Business Central: CVE-IDCVSSImpact CVE-2025-298215,50Toegang tot gevoelige gegevens

Microsoft heeft kwetsbaarheden verholpen in diverse Azure producten. Een kwaadwillende kan de kwetsbaarheden misbruiken om zich verhoogde rechten toe te kennen en toegang te krijgen tot gevoelige gegevens. Met de kwetsbaarheid met kenmerk CVE-2025-27489 stelt de kwaadwillende, door een niet-Microsoft DLL te laden, mogelijk in staat willekeurige code uit te voeren binnen de context van de doelwit-enclave. ``` Azure Local Cluster: CVE-IDCVSSImpact CVE-2025-250026,80Toegang tot gevoelige gegevens CVE-2025-266287,30Toegang tot gevoelige gegevens Windows Virtualization-Based Security (VBS) Enclave: CVE-IDCVSSImpact CVE-2025-274897,80Verkrijgen van verhoogde rechten Azure Portal Windows Admin Center: CVE-IDCVSSImpact CVE-2025-298196,20Toegang tot gevoelige gegevens ```