Alvarlegir veikleikar hafa komið fram í kerfum frá Delta Electronics, TP-Link, Apache, Oracle, WordPress, Chainlit og GNU Inetutils.
CERT-IS mælir með tafarlausri uppfærslu í örugga útgáfu þar sem veikleikarnir hafa verið lagfærðir.
Alvarlegir veikleikar
Delta Electronics DIAView
Veikleikarnir CVE-2025-62581 og CVE-2025-62582 með CVSSv3 9.8 í Delta Electronics DIAView geta leitt til fjarkeyrslu á kóða ef misnotaðir [1].
TP-Link VIGI myndavélar
Veikleikinn CVE-2026-0629 hefur ekki fengið CVSSv3 einkunn en er metinn mjög alvarlegur. Hann felst í því að óauðkenndur aðili á staðarneti getur komist fram hjá auðkenningu (e. authentication bypass) og endurstillt stjórnandalykilorð án sannvottunar í staðbundnu vefviðmóti [2, 3, 4, 5].
Apache Tika
Veikleikinn CVE-2025-66516 með CVSSv3 9.8 felst í XML External Entity innspýtingu (e. XXE) í gegnum sérútbúna XFA-skrá í PDF skjölum. Misnotkun veikleikans getur leitt til upplýsingaleka eða óheimilla beiðna á innri auðlindir [6, 7].
Oracle HTTP Server / WebLogic Proxy Plug-in
Veikleikinn CVE-2026-21962 með CVSSv3 10.0 gerir óauðkenndum árásaraðilum kleift að nálgast eða breyta mikilvægum gögnum í gegnum HTTP með því að nýta sér veikleika í viðbótum (e. plugins) sem tengjast Apache og IIS [8].
WordPress: Advanced Custom Fields Extended
Veikleikinn CVE-2025-14533 með CVSSv3 9.8 gerir óauðkenndum árásaraðilum kleift að skrá sig sem stjórnanda ef viðbótin er rangt stillt og hlutverkasvið eru virk í sérsniðnum reitum [9, 10].
WordPress: Modular DS
Veikleikinn CVE-2026-23550 með CVSSv3 10.0 felst í röngum réttindaúthlutunum (e. privilege escalation). Staðfest er að veikleikinn hefur verið misnotaður af árásaraðilum. Mælt er með tafarlausri uppfærslu [11, 12, 13].
Chainlit
Veikleikinn CVE-2026-22218 hefur ekki fengið CVSSv3 einkunn en er metinn mjög alvarlegur. Hann leyfir auðkenndum notanda að sækja hvaða skrá sem þjónustan hefur aðgang að með sérútbúinni beiðni (e. arbitrary file read) [14, 15, 16].
GNU Inetutils (telnetd)
Veikleikinn CVE-2026-24061 með CVSSv3 9.8 gerir fjartengdum árásaraðila kleift að komast fram hjá auðkenningu í telnetd með því að setja „-f root“ í USER umhverfisbreytuna [17, 18, 19].
Tilvísanir
[1] https://filecenter.deltaww.com/news/download/doc/Delta-PCSA-2026-00001_DIAView%20Multiple%20Vulnerabilities%20(CVE-2025-62581,%20CVE-2025-62582).pdf
[2] https://www.tp-link.com/us/support/faq/4899/
[3] https://www.vigi.com/en/support/download/
[4] https://www.vigi.com/in/support/download/
[5] https://www.vigi.com/us/support/download/
[6] https://cve.org/CVERecord?id=CVE-2025-54988
[7] https://lists.apache.org/thread/s5x3k93nhbkqzztp1olxotoyjpdlps9k
[8] https://www.oracle.com/security-alerts/cpujan2026.html
[9] https://plugins.trac.wordpress.org/browser/acf-extended/tags/0.9.2.1/includes/modules/form/module-form-action-user.php#L636
[10] https://www.wordfence.com/threat-intel/vulnerabilities/id/d44f8af2-3525-4b00-afa8-a908250cc838?source=cve
[11] https://help.modulards.com/en/article/modular-ds-security-release-modular-connector-252-dm3mv0/
[12] https://patchstack.com/articles/critical-privilege-escalation-vulnerability-in-modular-ds-plugin-affecting-40k-sites-exploited-in-the-wild/
[13] https://patchstack.com/database/wordpress/plugin/modular-connector/vulnerability/wordpress-modular-ds-monitor-update-and-backup-multiple-websites-plugin-2-5-1-privilege-escalation-vulnerability?_s_id=cve
[14] https://github.com/Chainlit/chainlit/releases/tag/2.9.4
[15] https://www.vulncheck.com/advisories/chainlit-arbitrary-file-read-via-project-element
[16] https://www.zafran.io/resources/chainleak-critical-ai-framework-vulnerabilities-expose-data-enable-cloud-takeover
[17] https://www.gnu.org/software/inetutils/
[18] https://www.openwall.com/lists/oss-security/2026/01/20/2
[19] https://www.openwall.com/lists/oss-security/2026/01/20/8