Gemeente Cyber Dreigingsradar
Kritiek
Terug naar het overzicht
LaagKwetsbaarheidNCSC Security Advisories

NCSC-2026-0145 [1.00] [M/H] Kwetsbaarheden verholpen in Microsoft Dynamics

Microsoft heeft kwetsbaarheden verholpen in diverse componenten van Dynamics. Een geauthenticeerde kwaadwillende kan de kwetsbaarheden misbruiken om zich verhoogde rechten toe te kennen, willekeurige code uit te voeren en/of toegang te krijgen tot gevoelige gegevens. De kwetsbaarheid met kenmerk CVE-2026-33821 is reeds centraal verholpen door Microsoft en slechts toegevoegd ter informatie. Er zijn geen acties benodigd voor deze kwetsbaarheid. ``` Dynamics Business Central: |----------------|------|-------------------------------------| | CVE-ID | CVSS | Impact | |----------------|------|------

Prioriteit & onderbouwing

37 / 100

Prioriteit: Laag

Monitoren

Laag (37/100): monitoren. Zwaarst wegend: betrouwbaarheid van het signaal en gemeentelijke relevantie.

Threat Score20 / 100

laag

  • Technische ernst (severity): Genormaliseerde ernst 'low'; geen CVSS-score beschikbaar.
Exploit Score10 / 100

laag

  • Geen exploit bekend: Er is geen exploit of actief misbruik bekend.
Municipal Relevance Score40 / 100

midden

  • Gemeentelijke relevantie: Relevantiescore 40/100 uit de relevantie-engine (module 5).
Action Urgency Score37 / 100

midden

  • Technische ernst: Threat Score 20/100 x gewicht 25%.
  • Exploitatie: Exploit Score 10/100 x gewicht 25%.
  • Gemeentelijke relevantie: Relevantiescore 40/100 x gewicht 22%.
  • Betrouwbaarheid van het signaal: Confidence 'confirmed' x gewicht 12%.
  • Blootstellingskans: Geschatte blootstelling 34% x gewicht 10%.
  • Betrouwbaarheid van de bron: Bronbetrouwbaarheid 95% x gewicht 6%.

De priority_score is de Action Urgency Score: een gewogen combinatie van de technische ernst, de exploitatie en de gemeentelijke relevantie.

Toelichting

Microsoft heeft kwetsbaarheden verholpen in diverse componenten van Dynamics. Een geauthenticeerde kwaadwillende kan de kwetsbaarheden misbruiken om zich verhoogde rechten toe te kennen, willekeurige code uit te voeren en/of toegang te krijgen tot gevoelige gegevens. De kwetsbaarheid met kenmerk CVE-2026-33821 is reeds centraal verholpen door Microsoft en slechts toegevoegd ter informatie. Er zijn geen acties benodigd voor deze kwetsbaarheid. ``` Dynamics Business Central: |----------------|------|-------------------------------------| | CVE-ID | CVSS | Impact | |----------------|------|-------------------------------------| | CVE-2026-40417 | 7.80 | Verkrijgen van verhoogde rechten | |----------------|------|-------------------------------------| Microsoft Dynamics 365 (on-premises): |----------------|------|-------------------------------------| | CVE-ID | CVSS | Impact | |----------------|------|-------------------------------------| | CVE-2026-42898 | 9.90 | Uitvoeren van willekeurige code | | CVE-2026-42833 | 9.10 | Uitvoeren van willekeurige code | |----------------|------|-------------------------------------| Power Automate: |----------------|------|-------------------------------------| | CVE-ID | CVSS | Impact | |----------------|------|-------------------------------------| | CVE-2026-40374 | 6.50 | Toegang tot gevoelige gegevens | |----------------|------|-------------------------------------| Microsoft Dynamics 365 Customer Insights: |----------------|------|-------------------------------------| | CVE-ID | CVSS | Impact | |----------------|------|-------------------------------------| | CVE-2026-33821 | 7.70 | Verkrijgen van verhoogde rechten | |----------------|------|-------------------------------------| ```

Onderbouwing van de classificatie

Categorie 'vulnerability': er is een CVE aan de dreiging gekoppeld. Severity 'low' bepaald op basis van: geen severity-signalen gevonden, standaard 'low'. Confidence 'confirmed': officiële bron (NCSC Security Advisories). Herkende leveranciers/producten: Microsoft.

Kwetsbaarheden

CVE-2020-13949Prioriteitsscore 0.0 / 100
CVSS
EPSS
KEV
Nee

Gemeentelijke relevantie

40

Deze dreiging scoort 40/100 voor de gemeentelijke relevantie. Meegewogen: bevestiging door een officiële bron, veelgebruikte gemeentelijke technologie en impact op identity of Microsoft 365. De score is verlaagd vanwege een vooralsnog uitsluitend theoretische kwetsbaarheid. Geraakte processen: Microsoft 365 en identity.

Bestuurlijke duiding

Deze dreiging is relevant voor de gemeente. Een onverholpen kwetsbaarheid in gemeentelijke systemen vergroot de kans op misbruik. De impact is beheersbaar mits de geadviseerde maatregelen tijdig worden opgevolgd. Laat de CISO de voortgang bewaken en escaleer richting directie zodra nieuwe signalen daartoe aanleiding geven.

Geraakte processen

Microsoft 365 en identity

Geraakte technologie

Microsoft

Betrokken rollen

CISO · ISO · SOC · ICT beheer

Operationele acties

  • Bepaal de patchstatus van de getroffen producten en plan installatie binnen de geldende patchtermijn.
  • Beperk of isoleer internetgerichte systemen tot de update is doorgevoerd.
  • Verhoog tijdelijk de monitoring op de betrokken systemen en koppelingen.

Concrete stappen voor ICT-beheer en het securityteam.

Aanbevolen acties

  • Inventariseer of de getroffen producten in de eigen omgeving in gebruik zijn.
  • Installeer beschikbare updates of pas de geadviseerde mitigaties toe.
  • Geef voorrang aan internetgerichte systemen.

Dit zijn algemene handelingsperspectieven. Stem de opvolging af op de eigen omgeving en het ISMS van uw gemeente.

Kenmerken

Ernst
Laag
Categorie
Kwetsbaarheid
Zekerheid
Bevestigd
Status
Verrijkt
CVE's
CVE-2020-13949
Prioriteitsscore
37 / 100 · Laag
Bron
NCSC Security Advisories
Gepubliceerd
12 mei 2026

Labels

MicrosoftEntra ID
Originele publicatie