Vulnerability Lookup: Kritiske sårbarheder dominerer web- og netværkslandskabet
De seneste data fra Vulnerability Lookup viser, at december 2025 var præget af en markant stigning i angreb mod webapplikationsinfrastruktur og vedvarende problemer med uopdaterede IoT-enheder. Rapporten bygger på observationer fra kilder som MISP, Exploit-DB, Shadowserver, GitHub og Metasploit.
Det skriver Vulnerability Lookup selv i sin decemberrapport.
React2Shell – månedens mest omtalte sårbarhed
Vulnerability Lookup er jo ENISAs varslingstjeneste, som DKCERT også har taget til sig med etableringen af en dansk instans på vulnerability.cert.dk. Tjenesten har et interessant feature i sine "sightings", hvor der på forskellige kanaler og fora monitoreres på, hvilke sårbarheder der tales mest om i miljøet inden for en bestemt tidsperiode. Med denne monitorering kan man bl.a. se, hvor der er aktivitet, og hvor udnyttelser med størst sandsynlighed vil finde sted.
Med hele 852 registrerede sightings indtager EUVD-2025-200983 / CVE-2025-55182 førstepladsen som den mest omtalte sårbarhed i december. Fejlen ramte (og rammer stadig) Meta’s react-server-dom-webpack og er blevet døbt React2Shell af communitiet.
Sårbarheden er kritisk med en CVSS-score på 10,0 og en EPSS-score på 62,33 pct. Den gør det muligt at udnytte React Server Components via usikre protokoladgange, hvilket kan føre til fjernafvikling af kode. Exploit-kode er allerede tilgængelig, og der er udviklet Suricata-regler til detektion.
Databaser og netværk under pres
På andenpladsen finder vi EUVD-2025-204529 / CVE-2025-14847 i MongoDB Server, som blev tilføjet til CISA’s KEV-katalog den 29. december. CVSS-scoren er 8,7 og EPSS’en 57,25 pct.
Netværkssektoren er ligeledes hårdt ramt med kritiske sårbarheder i Cisco Secure Email, WatchGuard Fireware OS, Fortinet FortiSwitchManager og SonicWall SMA1000. Flere af disse er nu på CISA’s KEV-liste, hvilket indikerer aktiv udnyttelse.
Zombie-sårbarheder – et levn fra fortiden
Vulnerability Look Up skriver i sin rapport, at trods fokus på nye trusler dukker gamle sårbarheder stadig op i angrebsstatistikkerne. D-Link EUVD-2015-2164 / CVE-2015-2051 og Zyxel (EUVD-2017-9484 / CVE-2017-18368) ligger fortsat i toppen, hvilket understreger, at uopdaterede IoT-enheder er en konstant risiko.
Zombie-sårbarheder er naturligvis et problem, fordi IoT-enheder som fx routere, kameraer og smarte enheder har en levetid på 5-10 år, men får sjældent firmwareopdateringer efter de første par år. Nogle enheder kan slet ikke opdateres, hvilket gør dem permanent sårbare. IoT-produkter er ofte billige og implementeres uden central styring, især i hjem og små organisationer. Disse enheder bliver nemme mål for automatiserede scanninger og botnets som Mirai, der stadig er aktive og konstant udvider deres arsenal. Endelig ender overraskende mange af disse enheder i netværk med adgang til følsomme systemer, hvilket gør dem til springbræt for laterale angreb.
Resultatet er, at gamle sårbarheder lever videre i stor skala, selv når exploit-koden har været offentlig i årevis. For angribere er det en lavthængende frugter med høj succesrate, peger rapporten på.
Andre trends og observationer
- End-of-Life for Linux 5.4: Kernel-versionen er nu officielt udfaset, men bruges stadig i mange miljøer.
- Kryptografiske fejl i GnuPG rejser bekymring for dataintegritet.
- CISA har tilføjet sårbarheder i iOS, Android, Chrome og WinRAR til KEV-listen.
Rapporten konkluderer, at december 2025 viser et komplekst trusselsbillede, hvor kritiske web- og netværkssårbarheder kombineres med vedvarende IoT-problemer. Udgangsbønnen er: Organisationer bør prioritere patching af både nye og gamle systemer, implementere IDS-regler og overvåge KEV-listen for at reducere risikoen for kompromittering.
Du kan selv oprette en profil på Vulnerability-Lookup og følge med i sightings og sårbarheder, som er relevante for dig og din organisation.