Kritieke kwetsbaarheden in Microsoft Exchange Online en Microsoft 365 Copilot hadden door aanvallers kunnen worden gebruikt om hun rechten te verhogen, zo laat Microsoft weten. Het techbedrijf heeft de twee kwetsbaarheden inmiddels verholpen en stelt dat klanten geen actie hoeven te ondernemen. ‘Elevation of Privilege’ kwetsbarheden worden meestal niet als kritiek bestempeld, maar dat is bij CVE-2026-54998 en CVE-2026-41106 wel het geval.
CVE-2026-54998 betrof een probleem in Microsoft Exchange Online. “Incorrecte autorisatie” in de maildienst zorgde ervoor dat een ongeautoriseerde aanvaller over een netwerk zijn rechten kon verhogen, aldus het beveiligingsbulletin van Microsoft dat geen verdere informatie bevat. Het probleem werd door een externe onderzoeker gerapporteerd.
CVE-2026-41106 in 365 Copilot betrof een ‘url redirect naar een onbetrouwbare site (‘open redirect’)’ waardoor wederom een aanvaller zijn rechten over een netwerk kon verhogen, zo stelt het beveiligingsbulletin. Wederom wordt geen informatie gegeven, zoals hoe aanvaller er misbruik van had kunnen maken en welke rechten een aanvaller had kunnen krijgen. Dit lek werd door Microsoft zelf gevonden. Het techbedrijf zegt niet bekend te zijn met misbruik van de twee problemen.
Utrecht heeft jou nodig! Als Chief Information Security Officer maak jij de stad digitaal veilig. Je bepaalt de koers voor informatiebeveiliging en zorgt dat beleid werkt. Je adviseert bestuur, stuurt een team aan en werkt samen met partners voor duidelijke keuzes met blijvende impact.
Slecht nieuws: Google stopt met ingang van Chrome v.151 totaal de ondersteuning van Manifest V2.
Tot v.150 bestond nog een …
Bron: Security.nl
Kritieke kwetsbaarheden in Microsoft Exchange Online en Microsoft 365 Copilot hadden door aanvallers kunnen worden gebruikt om hun rechten te verhogen, zo laat Microsoft weten. Het techbedrijf heeft de twee kwetsbaarheden inmiddels verholpen en stelt dat klanten geen actie hoeven te ondernemen. ‘Elevation of Privilege’ kwetsbarheden worden meestal niet als kritiek bestempeld, maar dat is bij CVE-2026-54998 en CVE-2026-41106 wel het geval.
CVE-2026-54998 betrof een probleem in Microsoft Exchange Online. “Incorrecte autorisatie” in de maildienst zorgde ervoor dat een ongeautoriseerde aanvaller over een netwerk zijn rechten kon verhogen, aldus het beveiligingsbulletin van Microsoft dat geen verdere informatie bevat. Het probleem werd door een externe onderzoeker gerapporteerd.
CVE-2026-41106 in 365 Copilot betrof een ‘url redirect naar een onbetrouwbare site (‘open redirect’)’ waardoor wederom een aanvaller zijn rechten over een netwerk kon verhogen, zo stelt het beveiligingsbulletin. Wederom wordt geen informatie gegeven, zoals hoe aanvaller er misbruik van had kunnen maken en welke rechten een aanvaller had kunnen krijgen. Dit lek werd door Microsoft zelf gevonden. Het techbedrijf zegt niet bekend te zijn met misbruik van de twee problemen.
Utrecht heeft jou nodig! Als Chief Information Security Officer maak jij de stad digitaal veilig. Je bepaalt de koers voor informatiebeveiliging en zorgt dat beleid werkt. Je adviseert bestuur, stuurt een team aan en werkt samen met partners voor duidelijke keuzes met blijvende impact.
Slecht nieuws: Google stopt met ingang van Chrome v.151 totaal de ondersteuning van Manifest V2.
Tot v.150 bestond nog een …
Bron: Security.nl
Deel dit bericht: