Der er fundet en sårbarhed i VMware Tools for Windows, der kan give en angriber med begrænsede rettigheder mulighed for at afvikle operationer med højere privilegier inden for en virtuel maskine.
Det skriver Security Week med henvisning til en sikkerhedsbulletin fra Broadcom.
Sårbarheden har id’et CVE-2025-22230 og en CVSS-score på 7,8. Sårbarheden er altså alvorlig, men ikke ”kritisk”.
Der er fundet en sårbarhed i filoverførselstjenesten CrushFTP, der kan give angribere uautoriseret adgang til servere, hvis de er eksponeret på internettet via HTTP(S). Sårbarheden berører alle versioner af CrushFTP v11, men ikke tidligere versioner.
Det skriver Bleeping Computer.
Sårbarheden har ikke fået et id-nummer endnu, endsige en CVSS-score, men den vurderes af en samarbejdspartner til DKCERT til at være kritisk.
De berørte produkter er:
Der er observeret en kritisk sårbarhed i Veeam Backup & Replication, som kan give ondsindede aktører muligheden for at afvikle kode fra "remote", dvs. remote code execution. For at kunne udnytte sårbarheden kræves det, at backupserveren er tilføjet til domænet, og at ondsindede aktører har adgang til en bruger i selve domænet.
Sårbarheden har id'et CVE-2025-23120 og en CVSS-score på 9,9.
De berørte systemer er Veeam Backup & Replication 12.3.0.310.
Der er ikke set udnyttelse af sårbarheden endnu.
I Ciscos "IOS XR March 2025" halvårlige udgivelse ses der to sårbarheder, som kan give ondsindede aktører muligheden for at afvikle Denial of Service-angreb.
Sårbarhederne har id'erne CVE-2025-20142 og CVE-2025-20146. Begge med en CVSS-score på 8,6.
Apple har udsendt en sikkerhedsopdatering, der adresserer en 0-dags sårbarhed, CVE-2025-24201, som blev udnyttet i "ekstremt sofistikerede" angreb rettet mod specifikke individer. Det skriver Ars Technica.
Sårbarheden findes i WebKit, browser-motoren bag Safari og andre browsere på iOS-enheder. Den tillader ondsindet webindhold at bryde ud af Web Content-sandkassen, hvilket kan kompromittere enhedens sikkerhed. Der er således tale om et out-of-bounds write issue.
Sårbarheden påvirker følgende enheder:
Microsoft har den 12. marts udsendt deres månedlige sikkerhedsopdateringer ifm. Patch Tuesday. Opdateringen adresserer 63 sårbarheder på tværs af forskellige Microsoft-produkter, hvoraf to er 0-dagssårbarheder , der allerede er under aktiv udnyttelse. Det skriver en række medier i dag.
Der er observeret en kritisk sårbarhed i Kibanas dashboard-software til Elasticsearch, der potentielt kan udnyttes til at afvikle vilkårlig kode på enheden.
Det skriver The Hacker News og Security Affairs.
Sårbarheden har id’et CVE-2025-25012 og en CVSS-score på 9,9.
De berørte systemer er Kibana versioner >= 8.15.0 og < 8.17.3
VMware har udsendt sikkerhedsopdateringer, der adresserer tre kritiske 0-dagssårbarheder i deres ESXi-, Workstation- og Fusionprodukter. Sårbarhederne er blevet aktivt udnyttet i angreb. Det skriver InfoSecurity Magazine.
De tre sårbarheder er følgende:
Forskere fra Horizon3.ai har frigivet en proof-of-concept (PoC) exploit for fire sårbarheder i Ivanti Endpoint Manager (EPM), som udgør en væsentlig trussel for organisationer, der anvender løsningen til endpoint management. Det skriver HelpNet Security.
Sårbarhederne, der har id’erne CVE-2024-10811, CVE-2024-13161, CVE-2024-13160 og CVE-2024-13159, der alle har en CVSS-score på 9,8 udnytter en absolute path traversal-fejl, der gør det muligt at læse vilkårlige filer på serveren uden autentifikation.
HP har udsendt en sikkerhedsopdatering, der adresserer en kritisk sårbarhed i flere modeller af deres LaserJet Pro, LaserJet Enterprise og LaserJet Managed printere.
Det skriver Security Online.
Sårbarheden har id'et CVE-2025-26506 og en en CVSS v4-score på 9,2. Den kan under de rette omstændigheder gøre det muligt for angribere at afvikle vilkårlig kode eller opnå forhøjede rettigheder på de berørte enheder.
Sårbarheden påvirker en række HP LaserJet-modeller, herunder: