Sårbarhederne vælter ind: juni sætter tempoet op i trusselslandskabet
Antallet af offentliggjorte sårbarheder og den tilhørende aktivitet i trusselslandskabet tog endnu et markant spring i juni 2026. Det fremgår af den seneste månedsrapport fra Vulnerability‑Lookup, som samler data fra en lang række kilder – herunder CISA, ENISA, Shadowserver og community-baserede observationer.
Rekordmange CVE’er – og endnu mere aktivitet
Ifølge månedsrapporten blev der offentliggjort 7.454 CVE’er i juni, hvilket er en stigning på 14,5 procent i forhold til maj og det højeste niveau i år. Samtidig blev der registreret over 27.000 observationer (“sightings”) i de tilknyttede datakilder – heraf mere end 8.500 direkte relateret til udnyttelse. Det peger på et trusselslandskab, hvor sårbarheder ikke blot bliver offentliggjort i større mængder, men også hurtigere omsættes til konkret angrebsaktivitet, fremgår det af rapporten, der samtidig viser en tydelig sammenhæng mellem observeret aktivitet og kendt udnyttelse: ni ud af de ti mest observerede sårbarheder i juni findes i CISA’s katalog over kendt udnyttede sårbarheder (KEV).
Infrastruktur og adgangsløsninger under pres
Trusselsbilledet i juni var i høj grad præget af sårbarheder i centrale infrastruktursystemer. Ifølge Vulnerability‑Lookup ramte hovedparten af den observerede aktivitet løsninger til:
- fjernadgang og fjernadministration
- netværksudstyr og appliances
- identitets- og autentificeringsrelaterede tjenester
Den mest observerede sårbarhed i juni var en kritisk fejl i Oracle PeopleSoft (CVE-2026-35273), som gør det muligt at få adgang uden autentificering. Sårbarheden blev hurtigt føjet til CISA’s KEV-liste og er knyttet til ransomwarekampagner.
Cisco var også markant eksponeret med tre forskellige sårbarheder i blandt andet Unified Communications Manager og SD-WAN-løsninger. Her spænder problemerne fra server-side request forgery (SSRF) til privilege escalation og path traversal.
Fjernadministration i centrum
Fjernadgang og administrationsværktøjer udgjorde en særlig koncentration af kritiske sårbarheder.
Blandt de mest fremtrædende var:
- Ivanti Sentry (CVE-2026-10520), hvor angribere kan opnå root-adgang via command injection
- SimpleHelp (CVE-2026-48558), som indeholder en autentificeringsbypass i OIDC
- Check Point Security Gateway (CVE-2026-50751), hvor en IKEv1-bypass er bekræftet udnyttet
- BeyondTrust Remote Support / PRA (CVE-2026-1731), med pre-auth remote code execution
Flere af disse sårbarheder er observeret i aktiv udnyttelse eller vurderet som sandsynligt udnyttede baseret på data fra flere kilder i rapporten.
Nye og gamle sårbarheder side om side
Rapporten viser også, at trusselslandskabet ikke kun drives af nye sårbarheder. Ældre svagheder spiller fortsat en rolle.
Data fra honeypots – leveret af The Shadowserver Foundation, som optræder for første gang i rapporten – viser blandt andet igangværende angreb mod en authentication bypass i HP iLO 4 fra 2017. Samtidig findes nyere sårbarheder i både klient- og applikationslag:
- Chrome (V8) og Android Framework optræder blandt de mest observerede
- Windows Netlogon er påvirket af en kritisk buffer overflow
- AI-relaterede komponenter er igen på listen med en command injection i LiteLLM
Det peger på en bred angrebsflade, hvor både klassiske enterprise-systemer og nyere teknologier bliver målrettet.
Kendte svagheder – gentaget mønster
På tværs af de analyserede sårbarheder fremhæver Vulnerability‑Lookup en række gennemgående svaghedstyper:
- Manglende autentificering i kritiske funktioner
- Omgåelse af autentificering
- Command og code injection
- Path traversal
- Server-side request forgery
- Memory corruption i udbredt klientsoftware
Samtidig topper klassiske webrelaterede fejl som cross-site scripting (XSS) og SQL injection fortsat statistikkerne målt på volumen af offentliggjorte sårbarheder.
Flere datakilder, skarpere billede
En væsentlig udvikling i juni-rapporten er integrationen af Shadowservers nye KEV-katalog, som bygger på reelle angrebsobservationer fra honeypots. Dermed suppleres de traditionelle kilder med en mere operationel vinkel, der viser, hvad angriberne faktisk gør – ikke kun hvad der vurderes som kritisk. Rapporten kombinerer data fra en bred vifte af kilder, herunder CISA, CIRCL, ENISA, open source-platforme og sociale medier. Ifølge Vulnerability‑Lookup giver det et mere nuanceret og datatungt billede af, hvilke sårbarheder der reelt spiller en rolle i trusselslandskabet.
Tempoet fortsætter opad
Juni 2026 tegner et billede af et accelererende økosystem: flere sårbarheder, flere datakilder og en hurtigere overgang fra offentliggørelse til aktiv udnyttelse.
Ifølge månedsrapporten fra Vulnerability‑Lookup er det ikke længere de enkelte kritiske sårbarheder, der definerer trusselsniveauet – men mængden, tempoet og koblingen til angrebsaktivitet.