Sårbarhederne vælter ind: juni sætter tempoet op i trusselslandskabet

Eskil Sørensen
07.02.2026 12:20
Ny månedsrapport fra Vulnerability-Lookup viser rekord i både sårbarheder og aktiv udnyttelse

Antallet af offentliggjorte sårbarheder og den tilhørende aktivitet i trusselslandskabet tog endnu et markant spring i juni 2026. Det fremgår af den seneste månedsrapport fra Vulnerability‑Lookup, som samler data fra en lang række kilder – herunder CISA, ENISA, Shadowserver og community-baserede observationer.

Rekordmange CVE’er – og endnu mere aktivitet

Ifølge månedsrapporten blev der offentliggjort 7.454 CVE’er i juni, hvilket er en stigning på 14,5 procent i forhold til maj og det højeste niveau i år. Samtidig blev der registreret over 27.000 observationer (“sightings”) i de tilknyttede datakilder – heraf mere end 8.500 direkte relateret til udnyttelse. Det peger på et trusselslandskab, hvor sårbarheder ikke blot bliver offentliggjort i større mængder, men også hurtigere omsættes til konkret angrebsaktivitet, fremgår det af rapporten, der samtidig viser en tydelig sammenhæng mellem observeret aktivitet og kendt udnyttelse: ni ud af de ti mest observerede sårbarheder i juni findes i CISA’s katalog over kendt udnyttede sårbarheder (KEV).

Infrastruktur og adgangsløsninger under pres

Trusselsbilledet i juni var i høj grad præget af sårbarheder i centrale infrastruktursystemer. Ifølge Vulnerability‑Lookup ramte hovedparten af den observerede aktivitet løsninger til:

  • fjernadgang og fjernadministration
  • netværksudstyr og appliances
  • identitets- og autentificeringsrelaterede tjenester

Den mest observerede sårbarhed i juni var en kritisk fejl i Oracle PeopleSoft (CVE-2026-35273), som gør det muligt at få adgang uden autentificering. Sårbarheden blev hurtigt føjet til CISA’s KEV-liste og er knyttet til ransomwarekampagner.
Cisco var også markant eksponeret med tre forskellige sårbarheder i blandt andet Unified Communications Manager og SD-WAN-løsninger. Her spænder problemerne fra server-side request forgery (SSRF) til privilege escalation og path traversal.

Fjernadministration i centrum

Fjernadgang og administrationsværktøjer udgjorde en særlig koncentration af kritiske sårbarheder.
Blandt de mest fremtrædende var:

  • Ivanti Sentry (CVE-2026-10520), hvor angribere kan opnå root-adgang via command injection
  • SimpleHelp (CVE-2026-48558), som indeholder en autentificeringsbypass i OIDC
  • Check Point Security Gateway (CVE-2026-50751), hvor en IKEv1-bypass er bekræftet udnyttet
  • BeyondTrust Remote Support / PRA (CVE-2026-1731), med pre-auth remote code execution

Flere af disse sårbarheder er observeret i aktiv udnyttelse eller vurderet som sandsynligt udnyttede baseret på data fra flere kilder i rapporten.

Nye og gamle sårbarheder side om side

Rapporten viser også, at trusselslandskabet ikke kun drives af nye sårbarheder. Ældre svagheder spiller fortsat en rolle.
Data fra honeypots – leveret af The Shadowserver Foundation, som optræder for første gang i rapporten – viser blandt andet igangværende angreb mod en authentication bypass i HP iLO 4 fra 2017. Samtidig findes nyere sårbarheder i både klient- og applikationslag:

  • Chrome (V8) og Android Framework optræder blandt de mest observerede
  • Windows Netlogon er påvirket af en kritisk buffer overflow
  • AI-relaterede komponenter er igen på listen med en command injection i LiteLLM

Det peger på en bred angrebsflade, hvor både klassiske enterprise-systemer og nyere teknologier bliver målrettet.

Kendte svagheder – gentaget mønster 

På tværs af de analyserede sårbarheder fremhæver Vulnerability‑Lookup en række gennemgående svaghedstyper:

  • Manglende autentificering i kritiske funktioner
  • Omgåelse af autentificering
  • Command og code injection
  • Path traversal
  • Server-side request forgery
  • Memory corruption i udbredt klientsoftware

Samtidig topper klassiske webrelaterede fejl som cross-site scripting (XSS) og SQL injection fortsat statistikkerne målt på volumen af offentliggjorte sårbarheder.

Flere datakilder, skarpere billede

En væsentlig udvikling i juni-rapporten er integrationen af Shadowservers nye KEV-katalog, som bygger på reelle angrebsobservationer fra honeypots. Dermed suppleres de traditionelle kilder med en mere operationel vinkel, der viser, hvad angriberne faktisk gør – ikke kun hvad der vurderes som kritisk. Rapporten kombinerer data fra en bred vifte af kilder, herunder CISA, CIRCL, ENISA, open source-platforme og sociale medier. Ifølge Vulnerability‑Lookup giver det et mere nuanceret og datatungt billede af, hvilke sårbarheder der reelt spiller en rolle i trusselslandskabet.

Tempoet fortsætter opad

Juni 2026 tegner et billede af et accelererende økosystem: flere sårbarheder, flere datakilder og en hurtigere overgang fra offentliggørelse til aktiv udnyttelse.
Ifølge månedsrapporten fra Vulnerability‑Lookup er det ikke længere de enkelte kritiske sårbarheder, der definerer trusselsniveauet – men mængden, tempoet og koblingen til angrebsaktivitet.

Sårbarhed