En ny kritisk sårbarhed er blevet afsløret i Apache Tika, som er et open source-værktøj til indholds- og metadataanalyse.
Det skriver Security Affairs og The Hacker News.
Fejlen har id'et EUVD-2025-201189 / CVE-2025-66516 og en maksimal CVSS-score på 10.0. EPSS-scoren er indtil videre på 0,05 pct.
Arstechnica har også en omtale af Reactsårbarheden, men dog i en anden vinkel, nemlig it-administratorernes. Fokus er på den praktiske udfordring: hvordan sikrer man hurtigt tusindvis af webapplikationer og cloudmiljøer mod en sårbarhed, der er både udbredt og ekstremt nem at udnytte?
En ny kritisk sårbarhed i React, kendt som React2Shell, har fået cybersikkerhedsbranchen til at hæve beredskabet.
Det skriver Security Week.
Sårbarheden har id'et EUVD-2025-200983 / CVE-2025-55182) og en CVSS-score på 10,0. Den gør det muligt for en uautentificeret angriber at udføre fjernkodekørsel via manipulerede HTTP-anmodninger. Den er blevet tilføjet CISAs katalog over kendte udnyttede sårbarheder i dag med deadline for håndtering den 26. december.
Der er identificeret flere kritiske sårbarheder i Mattermost, som kan udnyttes til at overtage brugerkonti. Hvis disse sårbarheder udnyttes, kan en angriber få fuld kontrol over en brugers konto under specifikke betingelser.
Sårbarhederne er registreret som EUVD-2025-199827 (CVE-2025-12419) og EUVD-2025-199833 (CVE-2025-12421). CVSS-scorerne er 9,9 for begge sårbarheders vbedkommende. EPSS-scoren er pt 0.
Der er identificeret flere kritiske sårbarheder i GitLab Community Edition (CE) og Enterprise Edition (EE), som kan udnyttes til at omgå autentifikation, stjæle legitimationsoplysninger, udføre DoS-angreb og opnå uautoriseret adgang til kode og følsomme data.
Sårbarhederne har id’erne som CVE-2024-9183 og EUVD-2025-199759 / CVE-2025-12571.
Der er observeret en kritisk og flere alvorlige sårbarheder i Fluent Bit. Succesfuld udnyttelse af sårbarhederne kunne gøre det muligt for ondsindet aktører at forstyrre cloudtjenester, manipulere data og trænge dybere ind i cloud- og Kubernetes-nfrastruktur.
Sårbarhederne har id’erne EUVD-2025-198811 / CVE-2025-12977 og EUVD-2025-198809 / CVE-2025-12970. CVSS-scoren er hhv. 9,1 og 8,8. EPSS-scoren er pt. 0.
En alvorlig sårbarhed i Oracle Identity Manager (OIM) har fået stor opmærksomhed i sikkerhedsmiljøet. Fejlen, der blev offentliggjort af Searchlight Cyber, er en pre-authentication remote code execution-sårbarhed, hvilket betyder, at den kan udnyttes uden nogen form for login eller brugerinteraktion.
Det skriver Security Week.
Sårbarheden har id’et EUVD-2025-35253 / CVE-2025-61757. CVSS-scoren er 9,8 og EPSS på hele 71,16 pct.
Der er fundet ny sårbarhed i 7-Zip, der kan kan udnyttes til Remote Code Execution (RCE) på berørte systemer.
Sårbarheden har id’et EUVD-2025-198219 / CVE-2025-11001 og en CVSS-score på 7,0. EPSS-scoren er 0 pct.
De berørte systemer er 7-Zip version 24.09 (x64). Tidligere versioner kan også være påvirket, men denne er bekræftet som sårbar.
Sårbarheden ligger i håndteringen af symbolske links i ZIP-filer. En ondsindet aktør kan:
Der er fundet en sårbarhed i SonicWall SonicOS, som kan udnyttes til at forårsage denial of service (DoS) på berørte firewalls.
Sårbarheden har id’et EUVD-2025-198277 / CVE-2025-40601 og en CVSS-score på 7,5. EPSS-scoren er pt. 0 pct.
Sårbarheden skyldes et stakbaseret buffer overflow i SSLVPN-tjenesten i SonicOS. Angrebet kræver, at SSLVPN-tjenesten er aktiveret. Hvis den ikke er i brug, er enheden ikke sårbar.
November er en dårlig måned for mange. Mørket falder på, slud, regn og blæst vælter ind fra vest. Sensommeren er langt væk og julen truer. Men dette er dog intet at regne for de dårligdomme som Fortinet er udsat for i øjeblikket. Og nu er der tilmed dukket ny sårbarheder op.
Det seneste nye er sårbarheder i hhv. FortiVoice og FortiClientWindows
Sårbarhederne har følgende karakteristika:
EUVD-2025-198019 / CVE-2025-58692 CVSS 7,7