Vulnerability Lookup: Kritiske sårbarheder satte tempoet i februar 2026

Eskil Sørensen
03.03.2026 09:23
Kendte og i stigende grad udnyttede sårbarheder satte et tydeligt præg på sikkerhedsarbejdet

Februar 2026 leverede endnu en måned med markante bevægelser i trusselslandskabet, hvor kendte og i stigende grad udnyttede sårbarheder satte et tydeligt præg på cybersikkerhedsagendaen. Data fra Vulnerability Lookup-platformen viser et højt aktivitetsniveau på tværs af leverandører, produkter og økosystemer, drevet af bidrag fra både automatiserede kilder og fællesskabet omkring platformen.

Kritiske sårbarheder dominerer billedet

Månedens mest omtalte sårbarhed var CVE‑2026‑1731, en kritisk fejl i BeyondTrust Remote Support (RS) og Privileged Remote Access (PRA), som blev observeret 158 gange. Fejlen blev også optaget i CISA’s katalog over kendt udnyttede sårbarheder (KEV) i februar og udgør dermed en reel risiko for aktive kompromitteringer.

Kort efter følger CVE‑2026‑2441 i Google Chrome, der nåede 143 sightings. Kombinationen af Chromes udbredelse og hurtig aktørudnyttelse gør den særligt interessant i et landskab, hvor browserangreb fortsat er blandt de hyppigste indledende vektorer.

En "sighting" er Vulnerability Lookups betegnelse for, at en given sårbarhed er blevet nævnt i de fora som tjenesten kigger ned i og altså et udtryk for "talk of town" blandt trusselsaktører. At der tales om den ses således som en indikator for, at der er interesse for sårbarheden, hvor aktivt den udforskes, diskuteres eller udnyttes. Sightings er derfor centrale for at vise, hvilke sårbarheder der er i aktiv bevægelse, ikke bare hvilke der eksisterer. Som sikkerhedsperson kan man således bruge "sightings" til at vurdere, hvilke sårbarheder der bør prioriteres ud fra “aktiv støj” i miljøet – ikke kun CVSS‑score. 

Microsoft fylder fortsat i toplisterne

Microsoft var igen stærkt repræsenteret. To sårbarheder ramte top 10:

  • CVE‑2026‑20841 i Windows Notepad (131 sightings)
  • CVE‑2026‑21509 i Microsoft 365 Apps for Enterprise (113 sightings)

Sidstnævnte blev særligt fremhævet i bidrag fra fællesskabet, da APT28‑relateret aktivitet (UAC‑0001) angiveligt udnyttede netop denne fejl i angreb mod europæiske mål.

Datasættet understreger, at det ikke kun er de traditionelle techgiganter, der får opmærksomhed. Blandt de mest sete sårbarheder i februar finder vi:

  • CVE‑2026‑22769 i Dell RecoverPoint for Virtual Machines (91 sightings)
  • CVE‑2026‑20127 i Cisco Catalyst SD‑WAN Manager (76 sightings)
  • CVE‑2026‑20700 i Apple macOS (69 sightings)
  • CVE‑2026‑1281 i Ivanti Endpoint Manager Mobile (69 sightings)
  • CVE‑2026‑25049 i n8n automatiseringsplatformen (54 sightings)

At både enterprise recovery-værktøjer, SD‑WAN‑infrastruktur og workflow-automatisering dukker op, peger på en fortsat udvidelse af trusselsfladen - særligt i miljøer, hvor komplekse integrationer og tredjepartsafhængigheder er normen.

Derudover nævner månedens trusselsrapport, at CISA føjede 28 nye sårbarheder til sit KEV‑katalog i februar. Flere af månedens topscorere indgår her, bl.a.:

  • CVE‑2026‑1731 (BeyondTrust)
  • CVE‑2026‑2441 (Google Chrome)
  • CVE‑2026‑20127 (Cisco SD‑WAN Manager)
  • CVE‑2026‑22769 (Dell RecoverPoint for VMs)

CIRCL - DKCERTs søsterorganisation i Luxembourg, som står bag ved udviklingen af Vulnerability Lookup - tilføjede tre nye KEV‑poster, inklusive to Ivanti‑relaterede, mens ENISA fortsat holdt igen med nye tilføjelser.

Ghost CVEs: Kendte ukendtheder

En kategori, der fortsat skaber nysgerrighed, er de såkaldte Ghost CVEs — sårbarheder, der observeres in-the-wild, men endnu ikke er dokumenteret i NVD, MITRE eller andre officielle registre. 

I februar blev der registreret otte sådanne identificatorer:

  • CVE‑2023‑42344 (OpenCMS XXE) — 5 observationer
  • CVE‑2026‑1584 (libgnutls NULL pointer dereference) — 4 observationer
  • CVE‑2026‑23456 (YoLink Smart Hub) — 3 observationer 

Selvom “ghost”-status ikke nødvendigvis betyder aktiv udnyttelse, indikerer kategorien alligevel en voksende udfordring for forsyningskæder og patch‑processer, hvor “skygge‑sårbarheder” kan leve længe uden formel anerkendelse.

Konklusion: Et travlt forår i vente

Februar-rapporten fra Vulnerability Lookup bekræfter, at sårbarhedsbilledet fortsat er præget af intens aktivitet. Fra browserfejl og enterprise‑software til niche‑produkter og endnu uofficielle “ghost”‑hændelser. At flere af de mest hyppigt observerede sårbarheder samtidig bliver optaget i internationale KEV‑kataloger, understreger, at risikoen ikke kun er teoretisk. 

Læs mere

Trusselsvurdering