Tilkynnt hefur verið um veikleika hjá Microsoft, Adobe, SAP, ServiceNow og Veeam. Veikleikarnir sem um ræðir hjá Microsoft eru nýveilur og vitað er til þess að verið sé að misnota einn af þeim. CERT-IS mælir með að uppfært sé eins fljótt og auðið er í útgáfu þar sem veikleikarnir hafa verið lagfærðir ef tök er á.
Microsoft
Microsoft hefur gefið út uppfærslu fyrir þremur nýveilum (e. zero day) veikleikum. CVE-2026-20805 með CVSSv3 veikleika stig upp á 5.5 sem verið er að misnota gerir ógnaraðila kleift að komast yfir viðkvæmar upplýsingar. Hinir veikleikarnir CVE-2026-21265 og CVE-2023-31096 hafa verið opinberaðir en ekki er vitað til þess að verið sé að misnota þá.
- https://www.bleepingcomputer.com/news/microsoft/microsoft-january-2026-patch-tuesday-fixes-3-zero-days-114-flaws/
- https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2026-20805
- https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2026-21265
- https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2023-31096
Adobe
Veikleikinn CVE-2025-66516 með CVSSv3 veikleika stig upp á 10.0 er XML innspýtingar (e. injection) veikleiki í Apache Tika sem gerir ógnaraðila kleift að framkvæma SSRF (e. server side request forgery) árásir, álagsárásir (e. denial of service) eða fjarkeyrslu á kóða (e. remote code execution).
- https://www.securityweek.com/adobe-patches-critical-apache-tika-bug-in-coldfusion/
- https://helpx.adobe.com/security/products/coldfusion/apsb26-12.html
SAP
Veikleikinn CVE-2026-0501 með CVSSv3 veikleika stig upp á 9.9 er SQL innspýtingar (e. injection) veikleiki sem gerir ógnaraðila kleift að taka yfir kerfi (e. system compromise) með því að setja inn SQL fyrirspurn sem færibreytu. Veikleikinn CVE-2026-0500 með CVSSv3 veikleika stig upp á 9.6 gerir ógnaraðila kleift að fjarkeyra kóða (e. remote code execution). Veikleikinn CVE-2026-0498 með CVSSv3 veikleika stig upp á 9.1 gerir ógnaraðila kleift að framkvæma innspýtingu (e. injection) á stýrikerfis skipunum. Veikleikinn CVE-2026-0491 með CVSSv3 veikleika stig upp á 9.1 gerir ógnaraðila kleift að keyra upp spillikóða (e. code execution).
- https://www.securityweek.com/saps-january-2026-security-updates-patch-critical-vulnerabilities/
- https://support.sap.com/en/my-support/knowledge-base/security-notes-news/january-2026.html
ServiceNow
Veikleikinn CVE-2025-12420 með CVSSv3 veikleika stig upp á 9.3 gerir ógnaraðila kleift að líkja eftir notanda (e. user impersonation) og framkvæma aðgerðir sem sá notandi hefur heimildir fyrir.
- https://thehackernews.com/2026/01/servicenow-patches-critical-ai-platform.html
- https://support.servicenow.com/kb?id=kb_article_view&sysparm_article=KB2587329
Veeam
Veikleikarnir CVE-2025-59470, CVE-2025-59469, CVE-2025-59468 og CVE-2025-55125 með CVSSv3 veikleika stig hver um sig upp á 9.0, 7.2, 6.7 og 7.2 gerir ógnaraðila kleift að fjarkeyra kóða (e. remote code execution) eða skrifa í skrár sem rótar notandi (e. root).