Tilkynnt var um alvarlega veikleika í Microsoft, Cisco ASA/FTD og Breeze Cache fyrir WordPress. CERT-IS mælir með að uppfært sé eins fljótt og auðið er í útgáfu þar sem veikleikarnir hafa verið lagfærðir.

Alvarlegir veikleikar

Microsoft ASP.NET Core og Defender
Veikleikarnir CVE-2026-40372 og CVE-2026-33825 með CVSSv3 9.1 og 7.8 geta leitt til aukinna réttinda. Vitað er til þess að CVE-2026-33825 hafi verið misnotaður [1,2,3].

Cisco Secure ASA og Cisco Secure FTD
Veikleikarnir CVE-2025-20333 og CVE-2025-20362 með CVSSv3 9.9 og 6.5 finnast í VPN vefþjóni ASA/FTD og geta leitt til fjarkeyrslu kóða sem kerfisstjóri eða óheimils aðgangs að takmörkuðum vefslóðum. Vitað er til þess að veikleikarnir hafi verið misnotaðir [4,5,6,7,8,9].

Breeze Cache fyrir WordPress
Veikleikinn CVE-2026-3844 með CVSSv3 9.8 gerir óauðkenndum aðila kleift að hlaða upp skrám á þjón, sem getur leitt til fjarkeyrslu kóða. Veikleikinn er aðeins misnotanlegur ef „Host Files Locally – Gravatars“ er virkt [10,11,12,13].

Tilvísanir

[1] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-40372
[2] https://msrc.microsoft.com/update-guide/vulnerability/ CVE-2026-33825
[3] https://nvd.nist.gov/vuln/detail/CVE-2026-33825
[4] https://www.cisa.gov/ known-exploited-vulnerabilities-catalog?field_cve=CVE-2026-33825
[5] https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/ cisco-sa-asaftd-webvpn-z5xP8EUB
[6] https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/ cisco-sa-asaftd-webvpn-YROOTUW
[7] https://sec.cloudapps.cisco.com/security/center/resources/ asa_ftd_continued_attacks
[8] https://www.cisa.gov/ known-exploited-vulnerabilities-catalog?field_cve=CVE-2025-20333
[9] https://www.cisa.gov/ known-exploited-vulnerabilities-catalog?field_cve=CVE-2025-20362
[10] https://www.wordfence.com/threat-intel/vulnerabilities/id/ e342b1c0-6e7f-4e2c-8a52-018df12c12a0?source=cve
[11] https://nvd.nist.gov/vuln/detail/CVE-2026-3844