← Terug naar blog
Security briefing5 min leestijd2026-05-01

Security briefing, 1 mei 2026: CISA-Windowsalarm, SAP/PyTorch-supplychainaanval, cPanel-0-day, Copy Fail en Gemini CLI-RCE

De les van vanochtend is lelijk en bekend: zodra vertrouwde admin- of ontwikkelpaden vergiftigd raken, hebben aanvallers geen finesse meer nodig om schade te doen.


Top line: Vijf verhalen tellen vanochtend: CISA wil snelle Windows-patches, de supplychain-compromis sprong van SAP-npm-pakketten naar PyTorch Lightning en intercom-client, aanvallen op de cPanel-bypass zijn live, Linux Copy Fail maakt root goedkoop en Google moest een maximaal kritieke Gemini CLI-fout repareren.


1. Het Windows-patchbevel van CISA betekent dat dit geen optionele backlog meer is

Volgens BleepingComputer heeft CISA een actief uitgebuite Windows-kwetsbaarheid toegevoegd aan de KEV-catalogus en federale instanties een deadline gegeven. Dat signaal is helder: als CISA spoed afdwingt, moeten ondernemingen aannemen dat echte aanvallerstechniek al beschikbaar is.


2. Het SAP-npm-incident was al ernstig; PyTorch Lightning bewijst dat de campagne groeit

The Hacker News meldt dat kwaadaardige PyTorch Lightning-versies 2.6.2 en 2.6.3 van 30 april gekoppeld zijn aan dezelfde Mini Shai-Hulud-activiteit die SAP-gerelateerde npm-pakketten trof. De malware steelt GitHub-, npm-, SSH-, cloud-, Kubernetes- en CI-geheimen. Elke getroffen developer-laptop of runner is dus een incident.


3. cPanel en WHM blijven live fire

BleepingComputer en The Register beschrijven de cPanel/WHM-authenticatiebypass als kritiek, actief uitgebuit en ernstig genoeg voor noodpatches. Zulke bugs geven direct toegang tot websites, mailboxes, databases en soms volledige hostingvloten.


4. Copy Fail laat weer zien waarom “alleen lokaal” luie triage is

The Register en The Hacker News beschrijven Copy Fail (CVE-2026-31431) als een Linux-LPE die een kleine foothold in root kan omzetten op grote distributies. Dit is relevant waar lager-vertrouwde code lokaal kan draaien: CI, gedeelde servers, jump hosts en containers met gedeelde kernel.


5. Google’s Gemini CLI-fix sluit een CVSS 10-lek, maar kan automatisering breken

The Register en The Hacker News melden dat Google een maximaal kritieke command-executionbug in Gemini CLI en de bijbehorende GitHub Actions-workflow heeft gerepareerd, plus Cursor-problemen die ook code-executie kunnen geven. Operationeel lastig, maar een open host-executionpad laten bestaan is erger.

Wat je vandaag moet doen

Patch urgente Windows-doelen, roteer geheimen na gecompromitteerde package-installaties, sluit het cPanel-gat, patch Linux-kernels waar lokale uitvoering telt en test AI-ondersteunde CI opnieuw na Gemini-updates. Het patroon is bot: vertrouwde operationele leidingen liggen onder vuur.

Bronnen

  • BleepingComputer over het dringende Windows-patchbevel van CISA.
  • BleepingComputer en The Hacker News over de SAP-npm-compromis en de PyTorch-Lightning-naschok.
  • BleepingComputer en The Register over de cPanel/WHM-bypass.
  • The Register en The Hacker News over Copy Fail (CVE-2026-31431).
  • The Register en The Hacker News over Google’s Gemini CLI-fix.