De les van vanochtend is lelijk en bekend: zodra vertrouwde admin- of ontwikkelpaden vergiftigd raken, hebben aanvallers geen finesse meer nodig om schade te doen.
Top line: Vijf verhalen tellen vanochtend: CISA wil snelle Windows-patches, de supplychain-compromis sprong van SAP-npm-pakketten naar PyTorch Lightning en intercom-client, aanvallen op de cPanel-bypass zijn live, Linux Copy Fail maakt root goedkoop en Google moest een maximaal kritieke Gemini CLI-fout repareren.
Volgens BleepingComputer heeft CISA een actief uitgebuite Windows-kwetsbaarheid toegevoegd aan de KEV-catalogus en federale instanties een deadline gegeven. Dat signaal is helder: als CISA spoed afdwingt, moeten ondernemingen aannemen dat echte aanvallerstechniek al beschikbaar is.
The Hacker News meldt dat kwaadaardige PyTorch Lightning-versies 2.6.2 en 2.6.3 van 30 april gekoppeld zijn aan dezelfde Mini Shai-Hulud-activiteit die SAP-gerelateerde npm-pakketten trof. De malware steelt GitHub-, npm-, SSH-, cloud-, Kubernetes- en CI-geheimen. Elke getroffen developer-laptop of runner is dus een incident.
BleepingComputer en The Register beschrijven de cPanel/WHM-authenticatiebypass als kritiek, actief uitgebuit en ernstig genoeg voor noodpatches. Zulke bugs geven direct toegang tot websites, mailboxes, databases en soms volledige hostingvloten.
The Register en The Hacker News beschrijven Copy Fail (CVE-2026-31431) als een Linux-LPE die een kleine foothold in root kan omzetten op grote distributies. Dit is relevant waar lager-vertrouwde code lokaal kan draaien: CI, gedeelde servers, jump hosts en containers met gedeelde kernel.
The Register en The Hacker News melden dat Google een maximaal kritieke command-executionbug in Gemini CLI en de bijbehorende GitHub Actions-workflow heeft gerepareerd, plus Cursor-problemen die ook code-executie kunnen geven. Operationeel lastig, maar een open host-executionpad laten bestaan is erger.
Patch urgente Windows-doelen, roteer geheimen na gecompromitteerde package-installaties, sluit het cPanel-gat, patch Linux-kernels waar lokale uitvoering telt en test AI-ondersteunde CI opnieuw na Gemini-updates. Het patroon is bot: vertrouwde operationele leidingen liggen onder vuur.