Jenkins er ramt af to kritiske sårbarheder, der kan udnyttes til både Denial of Service (DoS) og opbevaret cross-site scripting (XSS). Sårbarhederne er registreret som EUVD-2025-202455 / CVE-2025-67641 og EUVD-2025-202453 CVE-2025-67635. CVSS-scoren er hhv. 8,0 og 7,5. I begge tilfælde er EPSS-scoren 0 pct.
De berørte systemer systemer er følgende:
Den alvorlige sårbarhed i React og Next.js, som også går under navnet React2Shell, bliver nu aktivt udnyttet af trusselsaktører med tilknytning til Kina. Fejlen blev offentliggjort den 3. december 2025, og inden for få timer observerede Amazon Web Services (AWS) forsøg på udnyttelse fra grupper som Earth Lamia og Jackpot Panda.
Det skriver Bleeping Computer.
En ny kritisk sårbarhed er blevet afsløret i Apache Tika, som er et open source-værktøj til indholds- og metadataanalyse.
Det skriver Security Affairs og The Hacker News.
Fejlen har id'et EUVD-2025-201189 / CVE-2025-66516 og en maksimal CVSS-score på 10.0. EPSS-scoren er indtil videre på 0,05 pct.
Arstechnica har også en omtale af Reactsårbarheden, men dog i en anden vinkel, nemlig it-administratorernes. Fokus er på den praktiske udfordring: hvordan sikrer man hurtigt tusindvis af webapplikationer og cloudmiljøer mod en sårbarhed, der er både udbredt og ekstremt nem at udnytte?
En ny kritisk sårbarhed i React, kendt som React2Shell, har fået cybersikkerhedsbranchen til at hæve beredskabet.
Det skriver Security Week.
Sårbarheden har id'et EUVD-2025-200983 / CVE-2025-55182) og en CVSS-score på 10,0. Den gør det muligt for en uautentificeret angriber at udføre fjernkodekørsel via manipulerede HTTP-anmodninger. Den er blevet tilføjet CISAs katalog over kendte udnyttede sårbarheder i dag med deadline for håndtering den 26. december.
Der er identificeret flere kritiske sårbarheder i Mattermost, som kan udnyttes til at overtage brugerkonti. Hvis disse sårbarheder udnyttes, kan en angriber få fuld kontrol over en brugers konto under specifikke betingelser.
Sårbarhederne er registreret som EUVD-2025-199827 (CVE-2025-12419) og EUVD-2025-199833 (CVE-2025-12421). CVSS-scorerne er 9,9 for begge sårbarheders vbedkommende. EPSS-scoren er pt 0.
Der er identificeret flere kritiske sårbarheder i GitLab Community Edition (CE) og Enterprise Edition (EE), som kan udnyttes til at omgå autentifikation, stjæle legitimationsoplysninger, udføre DoS-angreb og opnå uautoriseret adgang til kode og følsomme data.
Sårbarhederne har id’erne som CVE-2024-9183 og EUVD-2025-199759 / CVE-2025-12571.
Der er observeret en kritisk og flere alvorlige sårbarheder i Fluent Bit. Succesfuld udnyttelse af sårbarhederne kunne gøre det muligt for ondsindet aktører at forstyrre cloudtjenester, manipulere data og trænge dybere ind i cloud- og Kubernetes-nfrastruktur.
Sårbarhederne har id’erne EUVD-2025-198811 / CVE-2025-12977 og EUVD-2025-198809 / CVE-2025-12970. CVSS-scoren er hhv. 9,1 og 8,8. EPSS-scoren er pt. 0.
En alvorlig sårbarhed i Oracle Identity Manager (OIM) har fået stor opmærksomhed i sikkerhedsmiljøet. Fejlen, der blev offentliggjort af Searchlight Cyber, er en pre-authentication remote code execution-sårbarhed, hvilket betyder, at den kan udnyttes uden nogen form for login eller brugerinteraktion.
Det skriver Security Week.
Sårbarheden har id’et EUVD-2025-35253 / CVE-2025-61757. CVSS-scoren er 9,8 og EPSS på hele 71,16 pct.
Der er fundet ny sårbarhed i 7-Zip, der kan kan udnyttes til Remote Code Execution (RCE) på berørte systemer.
Sårbarheden har id’et EUVD-2025-198219 / CVE-2025-11001 og en CVSS-score på 7,0. EPSS-scoren er 0 pct.
De berørte systemer er 7-Zip version 24.09 (x64). Tidligere versioner kan også være påvirket, men denne er bekræftet som sårbar.
Sårbarheden ligger i håndteringen af symbolske links i ZIP-filer. En ondsindet aktør kan: