Kritisk Apache Flink-sårbarhet muliggjør fjernkjøring av kode. Kritiske n8n-sårbarheter muliggjør full fjernkjøring av kode. Økende bruk av innebygget Windows-verktøy for å levere skadevare. Talos vulnerability roundup.
Kritisk Apache Flink-sårbarhet muliggjør fjernkjøring av kode
En kritisk sårbarhet i Apache Flink, identifisert som CVE-2026-35194, gjør det mulig å kjøre vilkårlig kode gjennom SQL injeksjon i plattformens kodegenerator. Feilen oppstår fordi brukerinput ikke blir riktig renset før den settes inn i dynamisk generert Java kode under oversettelse fra SQL til Java. Angripere med tilgang til å sende inn SQL spørringer kan injisere egne Java kommandoer eller metodekall som kjøres på TaskManager noder i Flink klynger. Sårbarheten påvirker JSON funksjoner introdusert i Flink 1.15.0 og LIKE uttrykk med ESCAPE klausuler introdusert i 1.17.0. Berørte versjoner er Apache Flink 1.15.0 til før 1.20.4 samt 2.0.0 til før 2.0.2, 2.1.2 og 2.2.1. Vellykket utnyttelse kan føre til full kompromittering av klynger, manipulering av data og videre tilgang internt i miljøet. Apache har publisert oppdateringer som retter feilen og anbefaler umiddelbar oppgradering
Anbefaling:
Oppgrader Apache Flink til versjon 1.20.4, 2.0.2, 2.1.2 eller 2.2.1, og begrens SQL-spørringstilgang til betrodde brukere.
Kritiske n8n-sårbarheter muliggjør full fjernkjøring av kode
Flere kritiske sårbarheter i workflow plattformen n8n gjør det mulig å oppnå full fjernkjøring av kode på berørte systemer. Sårbarhetene er registrert som CVE-2026-44789, CVE-2026-44790 og CVE-2026-44791 og påvirker flere sentrale noder, inkludert HTTP Request, Git og XML noder. Feilene kan kobles sammen slik at angripere kan kjøre systemkommandoer og få kontroll over servere som kjører n8n. Problemene skyldes manglende validering og usikker håndtering av brukerinput i arbeidsflyter og integrasjoner. Vellykket utnyttelse kan føre til full kompromittering av systemer, tilgang til sensitive data og videre tilgang internt i miljøet. n8n har publisert sikkerhetsoppdateringer som retter sårbarhetene og anbefaler at alle berørte installasjoner oppgraderes umiddelbart.
Anbefaling:
Oppgrader n8n til nyeste tilgjengelige versjon og begrens tilgang til arbeidsflyter og integrasjoner som kan kjøre kommandoer eller behandle ekstern input.
Økende bruk av innebygget Windows-verktøy for å levere skadevare
MSHTA, et eldre men fortsatt innebygd Windows‑verktøy, misbrukes i økende grad av angripere til å levere skadevare på en skjult måte. Verktøyet brukes som et living‑off‑the‑land binary (LOLBIN) for å hente og kjøre ondsinnet kode direkte i minnet, ofte via phishing, falske programnedlastinger eller sosial manipulering. Aktiviteten har økt kraftig i 2026, og teknikken benyttes til å distribuere blant annet infostealere, loadere og vedvarende skadevare. Fordi MSHTA er Microsoft‑signert og fremdeles har legitim bruk, er det vanskelig å oppdage og blokkere.
Effektive mottiltak inkluderer:
Talos vulnerability roundup
TP-Link vulnerabilities
Discovered by Lilith >_> of Cisco Talos.
The TP-Link Archer AX53 is a dual band gigabit Wi-Fi router. Eight vulnerabilities have been disclosed, as follows:
CVE-2026-30814 is a stack-based buffer overflow vulnerability in the tmpServer opcode 0x436 functionality of TP-Link Archer AX53 v1.0 1.3.1 Build 20241120 rel.54901(5553). A specially crafted set of network packets can lead to arbitrary code execution. An attacker can send packets to trigger this vulnerability.
CVE-2026-30815 is an OS command injection vulnerability in the OpenVPN configuration restore script_security functionality of TP-Link Archer AX53 v1.0 1.3.1 Build 20241120 rel.54901(5553). A specially crafted configuration value can lead to arbitrary command execution. An attacker can upload a malicious file to trigger this vulnerability.
CVE-2026-30816 is an external config control vulnerability in the OpenVPN configuration restore crt.sed functionality of TP-Link Archer AX53 v1.0 1.3.1 Build 20241120 rel.54901(5553). A specially crafted configuration value can lead to arbitrary file reading. An attacker can upload a malicious file to trigger this vulnerability.
CVE-2026-30817 is an external config control vulnerability in the OpenVPN configuration restore route_up functionality of TP-Link Archer AX53 v1.0 1.3.1 Build 20241120 rel.54901(5553). A specially crafted configuration value can lead to arbitrary file reading. An attacker can upload a malicious file to trigger this vulnerability.
CVE-2026-30818 is an OS command injection vulnerability in the dnsmasq configuration restore dhcpscript functionality of TP-Link Archer AX53 v1.0 1.3.1 Build 20241120 rel.54901(5553). A specially crafted configuration value can lead to arbitrary command execution. An attacker can upload a malicious file to trigger this vulnerability.
OS command injection vulnerabilities also exist in the OpenVPN configuration restore client_disconnect, client_connect, and route_up functionalities of TP-Link Archer AX53 v1.0 1.3.1 Build 20241120 rel.54901(5553). A specially crafted configuration value can lead to arbitrary command execution. An attacker can upload a malicious file to trigger these vulnerabilities. CVE's unknow ATM.
Photoshop vulnerabilities
Discovered by KPC of Cisco Talos.
Adobe Photoshop is a popular digital photo manipulation and illustration program with a wide array of features for personal and business use cases.
CVE-2026-34632 is a privilege escalation vulnerability in the installation process of Adobe Photoshop via the Microsoft Store. The vulnerable version of the installer is Photoshop_Set-Up.exe 2.11.0.30. A low-privilege user can replace files during the installation process, which may result in elevation of privileges.
OpenVPN vulnerabilities
Discovered by Emma Reuter of Cisco ASIG.
OpenVPN is an open source SSL VPN with remote access, site-to-site VPNs, WiFi security, enterprise load balancing, failover, and granular access control features available.
CVE-2026-35058 is a reachable assertion vulnerability in the TLS Crypt v2 Client Key Extraction functionality of OpenVPN 2.6.x and 2.8_git. A specially crafted network packet can lead to a denial of service. An attacker can send a sequence of malicious packets to trigger this vulnerability.
Gen Digital Norton VPN vulnerabilities
Discovered by KPC of Cisco Talos.
Gen Digital's Norton VPN client is a proprietary tool for private proxy network information exchange.
CVE-2025-58074 is a privilege escalation vulnerability in the installation process of Norton VPN via the Microsoft Store. A low-privilege user can replace files during the installation process, which may result in deletion of arbitrary files, possibly leading to elevation of privileges
