En kritisk sårbarhed i filoverførselstjenesten CrushFTP, som vi omtalte i slutningen af marts, har for nylig været genstand for kontrovers på grund af tidlig offentliggørelse og misforståelser. Sårbarheden, der gør det muligt for angribere at omgå autentificering og få adgang til CrushFTP-servere via eksponerede HTTP(S)-porte, har nu – og efter et par ugers venten – endelig fået tildelt et id-nummer, nemlig CVE-2025-2825. Det skriver Dark Reading.

En kritisk sårbarhed er blevet fundet i Apache Parquet - en open-source kolonnelagringsformat, der anvendes til effektiv databehandling. 

Det skriver The Hacker News og Bleeping Computer.

Ivanti har afsløret detaljer om en kritisk sikkerhedssårbarhed, der påvirker dets Connect Secure, som er kommet under aktiv udnyttelse in-the wild.

Det skriver The Hacker News.

Sårbarheden har id’et CVE-2025-22457 og en CVSS-score på 9,0. Den omhandler et tilfælde af ”stack based buffer overload”, der kan udnyttes til at afvikle vilkårlig kode på berørte systemer.

Den findes i følgende versioner af Ivantiprodukter:

Apple har netop frigivet en række sikkerhedsopdateringer til sine mobil- og desktopprodukter. Blandt de vigtigste rettelser er to 0-dagssårbarheder, der har været udnyttet i målrettede angreb mod specifikke brugere.  

Det skriver Security Week og en række andre medier.

Google har frigivet en kritisk sikkerhedsopdatering til Chrome-browseren, efter at en sårbarhed er blevet udnyttet i målrettede cyberangreb. Angrebet spores under navnet "Operation ForumTroll" og menes at være udført af en statssponsoreret APT-gruppe.

Det skriver The Hacker News.

Sårbarheden har id’et CVE-2025-2783 og en CVSS-score på 8,3. Den skyldes forkert håndtering i Mojo, en samling af runtime-biblioteker til inter-proces kommunikation (IPC). Sårbarheden er blevet lukket i Chrome-version 134.0.6998.177/.178.

Der er fundet en sårbarhed i VMware Tools for Windows, der kan give en angriber med begrænsede rettigheder mulighed for at afvikle operationer med højere privilegier inden for en virtuel maskine. 

Det skriver Security Week med henvisning til en sikkerhedsbulletin fra Broadcom.

Sårbarheden har id’et CVE-2025-22230 og en CVSS-score på 7,8. Sårbarheden er altså alvorlig, men ikke ”kritisk”.

Der er fundet en sårbarhed i filoverførselstjenesten CrushFTP, der kan give angribere uautoriseret adgang til servere, hvis de er eksponeret på internettet via HTTP(S). Sårbarheden berører alle versioner af CrushFTP v11, men ikke tidligere versioner. 

Det skriver Bleeping Computer.

Sårbarheden har ikke fået et id-nummer endnu, endsige en CVSS-score, men den vurderes af en samarbejdspartner til DKCERT til at være kritisk. 

De berørte produkter er:

Der er observeret en kritisk sårbarhed i Veeam Backup & Replication, som kan give ondsindede aktører muligheden for at afvikle kode fra "remote", dvs. remote code execution. For at kunne udnytte sårbarheden kræves det, at backupserveren er tilføjet til domænet, og at ondsindede aktører har adgang til en bruger i selve domænet.

Sårbarheden har id'et CVE-2025-23120 og en CVSS-score på 9,9.

De berørte systemer er Veeam Backup & Replication 12.3.0.310. 

Der er ikke set udnyttelse af sårbarheden endnu.

I Ciscos "IOS XR March 2025" halvårlige udgivelse ses der to sårbarheder, som kan give ondsindede aktører muligheden for at afvikle Denial of Service-angreb.

Sårbarhederne har id'erne CVE-2025-20142 og CVE-2025-20146. Begge med en CVSS-score på 8,6.

Apple har udsendt en sikkerhedsopdatering, der adresserer en 0-dags sårbarhed, CVE-2025-24201, som blev udnyttet i "ekstremt sofistikerede" angreb rettet mod specifikke individer. Det skriver Ars Technica.

Sårbarheden findes i WebKit, browser-motoren bag Safari og andre browsere på iOS-enheder. Den tillader ondsindet webindhold at bryde ud af Web Content-sandkassen, hvilket kan kompromittere enhedens sikkerhed.  Der er således tale om et out-of-bounds write issue.

Sårbarheden påvirker følgende enheder: