Fortinet er begyndt at rulle patches ud til en kritisk sårbarhed i FortiCloud SSO‑funktionen, EUVD-2026-4712/ CVE‑2026‑24858, der i den seneste uge har muliggjort uautoriserede logins til organisationers FortiGate‑firewalls. Fejlen har været aktivt udnyttet af to kompromitterede FortiCloud‑konti, som Fortinet lukkede ned den 22. januar 2026. 

Det skriver Helpnet Security og Bleeping Computer.

Et nyt kritisk sikkerhedsproblem er blevet afsløret i det udbredte Node.js‑sandboxbibliotek vm2, og det viser sig, at isolation af ubetroet JavaScript‑kode er sværere end som så. 

Det skriver Bleeping Computer. 

Sårbarheden har id’et EUVD-2026-4660 / CVE-2026-22709, en CVSS-score på 9,8 og en EPSS-score på 0,06 pct.

Cisco har udsendt opdateringer til en kritisk sårbarhed i sine Unified Communications‑produkter, efter at fejlen blev aktivt udnyttet som en 0-dagssårbarhed. 

Det skriver Bleeping Computer og en række andre medier. Den pågældende sårbarhed, der har det amerikanske id-nummer CVE‑2026‑20045, men endnu ikke et EUVD-nummer, rammer en række af virksomhedens centrale kommunikationsplatforme, herunder Unified CM, IM & Presence, Unity Connection og Webex Calling Dedicated Instance. 

Der er observeret en kritisk kommandoinjektionssårbarhed i Zoom Node Deployments, hvor ondsindet aktører kan udføre en eskalering af privilegier via lokal adgang. 

Konkret findes den i Zoom Node Multimedia Routers – idet MMR'er kan give en mødedeltager muligheden for at udføre fjernkørsel af kode på MMR'en via netværksadgang.

Sårbarheden har id’et EUVD-2026-3437 / CVE-2026-22844 og en CVSS-score på 9,9.

De berørte systemer er 

En aktiv og koordineret udnyttelseskampagne er blevet identificeret af Check Point Research, hvor det Linux-baserede RondoDox botnet retter skytset mod en kritisk sårbarhed i HPE OneView. 

Det skriver Infosecurity Magazine og The Register.

Den aktuelle sårbarhed, EUVD-2025-203803 / CVE-2025-37164, blev offentliggjort af amerikanske NVD den 16. december 2025. CVSS-score er på 10 og EPSS-scoren er pt. på 84,85 pct. 

Der er fundet en alvorlig sårbarhed i Kibana. 

Sårbarheden har id'et EUVD-2026-2517 / CVE-2026-0532 og vurderes til en CVSSv3-score på 8,6.  Elastic har offentliggjort en sikkerhedsopdatering til sårbarheden, der er af typen Server-Side Request Forgery (SSRF). 

Cisco har endelig - og langt om længe, vil nogen sige - frigivet en sikkerhedsopdatering til en kritisk sårbarhed i AsyncOS, som har været under aktiv angreb i flere uger. Fejlen, der har id’et EUVD-2025-203911 / CVE-2025-20393, rammer Secure Email Gateway (SEG) og Secure Email and Web Manager (SEWM) appliances.

Det skriver The Register

Palo Alto Networks har udsendt sikkerhedsopdateringer til en alvorlig sårbarhed, der rammer virksomhedens next-generation firewalls og Prisma Access-konfigurationer, når GlobalProtect gateway eller portal er aktiveret. Fejlen gør det muligt for en uautentificeret angriber at udføre et denial-of-service (DoS)-angreb, som kan tvinge firewallen i maintenance mode og dermed deaktivere dens beskyttelse.

Det skriver Bleeping Computer.

En alvorlig sårbarhed i ServiceNows AI-platform er blevet afsløret og rettet, efter at sikkerhedsresearchere fandt en metode, der kunne give uautentificerede angribere mulighed for at udgive sig for enhver bruger – inklusive administratorer – og udføre vilkårlige handlinger med deres rettigheder. Med andre ord er uautentificeret identitetsforfalskning muliggjort – også kaldet brugerimpersonering.