-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512 ##################################################### ## N C S C ~ B E V E I L I G I N G S A D V I E S ## ##################################################### Titel : Kwetsbaarheden verholpen in Microsoft Developer Tools Advisory ID : NCSC-2026-0056 Versie : 1.00 Kans : medium CVE ID : CVE-2026-21218, CVE-2026-21256, CVE-2026-21257, CVE-2026-21516, CVE-2026-21518, CVE-2026-21523 (Details over de kwetsbaarheden kunt u vinden op de Mitre website: https://cve.mitre.org/cve/) Schade : high Improper Neutralization of Special Elements used in a Command ('Command Injection') Improper Control of Generation of Code ('Code Injection') Improper Handling of Missing Special Element Time-of-check Time-of-use (TOCTOU) Race Condition Uitgiftedatum : 20260210 Toepassing : Microsoft .NET 10.0 Microsoft .NET 10.0 installed on Linux Microsoft .NET 10.0 installed on Mac OS Microsoft .NET 10.0 installed on Windows Microsoft .NET 8.0 Microsoft .NET 8.0 installed on Linux Microsoft .NET 8.0 installed on Mac OS Microsoft .NET 8.0 installed on Windows Microsoft .NET 9.0 Microsoft .NET 9.0 installed on Linux Microsoft .NET 9.0 installed on Mac OS Microsoft .NET 9.0 installed on Windows Microsoft GitHub Copilot Plugin for JetBrains IDEs Microsoft Microsoft Visual Studio 2022 version 17.14 Microsoft Microsoft Visual Studio 2022 version 18.3 Microsoft Visual Studio Code Versie(s) : Platform(s) : Beschrijving Microsoft heeft kwetsbaarheden verholpen in diverse componenten van Visual Studio en .NET. Een kwaadwillende kan de kwetsbaarheden misbruiken om beveiligingsmaatregelen te omzeilen, zich verhoogde rechten toe te kennen en mogelijk willekeurige code uit te voeren met rechten van het slachtoffer. Voor succesvol misbruik moet de kwaadwillende het slachtoffer misleiden om malafide code te downloaden en uit te voeren. Omdat ontwikkelaars in ontwikkelomgevingen vaak met verhoogde rechten werken, is niet uit te sluiten dat de uitvoer van code ook plaatsvindt onder verhoogde rechten. ``` GitHub Copilot and Visual Studio: |----------------|------|-------------------------------------| | CVE-ID | CVSS | Impact | |----------------|------|-------------------------------------| | CVE-2026-21523 | 8.00 | Uitvoeren van willekeurige code | | CVE-2026-21257 | 8.00 | Verkrijgen van verhoogde rechten | | CVE-2026-21256 | 8.80 | Uitvoeren van willekeurige code | |----------------|------|-------------------------------------| GitHub Copilot and Visual Studio Code: |----------------|------|-------------------------------------| | CVE-ID | CVSS | Impact | |----------------|------|-------------------------------------| | CVE-2026-21518 | 6.50 | Omzeilen van beveiligingsmaatregel | |----------------|------|-------------------------------------| .NET and Visual Studio: |----------------|------|-------------------------------------| | CVE-ID | CVSS | Impact | |----------------|------|-------------------------------------| | CVE-2026-21218 | 7.50 | Voordoen als andere gebruiker | |----------------|------|-------------------------------------| Github Copilot: |----------------|------|-------------------------------------| | CVE-ID | CVSS | Impact | |----------------|------|-------------------------------------| | CVE-2026-21516 | 8.80 | Uitvoeren van willekeurige code | |----------------|------|-------------------------------------| Mogelijke oplossingen Microsoft heeft updates beschikbaar gesteld waarmee de beschreven kwetsbaarheden worden verholpen. We raden u aan om deze updates te installeren. Meer informatie over de kwetsbaarheden, de installatie van de updates en eventuele work-arounds vindt u op: https://portal.msrc.microsoft.com/en-us/security-guidance Referenties: Vrijwaringsverklaring Door gebruik van deze security advisory gaat u akkoord met de navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke zorg heeft betracht bij de samenstelling van dit beveiligingsadvies, kan het NCSC niet instaan voor de volledigheid, juistheid of (voortdurende) actualiteit van dit beveiligingsadvies. De informatie in dit beveiligingsadvies is uitsluitend bedoeld als algemene informatie voor professionele partijen. Aan de informatie in dit beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC en de Staat zijn niet aansprakelijk voor enige schade ten gevolge van het gebruik of de onmogelijkheid van het gebruik van dit beveiligingsadvies, waaronder begrepen schade ten gevolge van de onjuistheid of onvolledigheid van de informatie in dit beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht van toepassing. Alle geschillen in verband met en/of voortvloeiend uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de voorzieningenrechter in kort geding. -----BEGIN PGP SIGNATURE----- iQGzBAEBCgAdFiEEGSwziqblmmRNtImqgupWoL0ZhGEFAmmLgfsACgkQgupWoL0Z hGFdswv/Y4qtPn4aNx5RBP7lH46RYaC/scw6K7C8vUtnAzL+kqOaiNm+UVCDIkon Aejo6lgYxivFLfay4irEvmM7NsmZLeBc4c0NV6SvNK9L4WChFujQdb5lTao0JfCg 4Jt/wJsfm4ssDBIqxId2SLk88ZJPcFeiG/5d5Hq3m98JVzGIy7Ktlsy4AfdRblEQ Ioyd0KpZD8a8JCCmyeODWYNqqfK+/4yY2LWNl4+vzwTDTF0QmLH8oo0OMKsKw3gC jqZdE19iobxu9WS74vl4h7G5/i3dBwz2dd6lKO8vWlmGbFVDeaQCoqPcvS9M0Z2E LAGn+RL6FUA1VRjWgQizxcs1C6E3VBcJ2YXw0RbJmIsEu3WLE2+ynTPsoJFP852U WkyR71cHBFn3i8lbRwfKLXNvzNKEhYS9nwvNZjPNYyILAryQrB4P0EQzGDcvqyIv Vyf2PwkbenX1p4dyNb59MmngKNuwVhp/bOp7xVENToC/nDJbc3A34P2JgOM3NI8g pqY/vzFl =Ajgm -----END PGP SIGNATURE-----