CVE-2020-13949
NCSC-2026-0145 [1.00] [M/H] Kwetsbaarheden verholpen in Microsoft Dynamics
CVSS is niet hetzelfde als prioriteit. CVSS drukt alleen de technische ernst uit. De priority score weegt daarnaast actief misbruik (CISA KEV), de beschikbaarheid van een exploit en de gemeentelijke relevantie mee — en bepaalt zo wat éérst moet.
Beschrijving
Microsoft heeft kwetsbaarheden verholpen in diverse componenten van Dynamics. Een geauthenticeerde kwaadwillende kan de kwetsbaarheden misbruiken om zich verhoogde rechten toe te kennen, willekeurige code uit te voeren en/of toegang te krijgen tot gevoelige gegevens. De kwetsbaarheid met kenmerk CVE-2026-33821 is reeds centraal verholpen door Microsoft en slechts toegevoegd ter informatie. Er zijn geen acties benodigd voor deze kwetsbaarheid. ``` Dynamics Business Central: |----------------|------|-------------------------------------| | CVE-ID | CVSS | Impact | |----------------|------|-------------------------------------| | CVE-2026-40417 | 7.80 | Verkrijgen van verhoogde rechten | |----------------|------|-------------------------------------| Microsoft Dynamics 365 (on-premises): |----------------|------|-------------------------------------| | CVE-ID | CVSS | Impact | |----------------|------|-------------------------------------| | CVE-2026-42898 | 9.90 | Uitvoeren van willekeurige code | | CVE-2026-42833 | 9.10 | Uitvoeren van willekeurige code | |----------------|------|-------------------------------------| Power Automate: |----------------|------|-------------------------------------| | CVE-ID | CVSS | Impact | |----------------|------|-------------------------------------| | CVE-2026-40374 | 6.50 | Toegang tot gevoelige gegevens | |----------------|------|-------------------------------------| Microsoft Dynamics 365 Customer Insights: |----------------|------|-------------------------------------| | CVE-ID | CVSS | Impact | |----------------|------|-------------------------------------| | CVE-2026-33821 | 7.70 | Verkrijgen van verhoogde rechten | |----------------|------|-------------------------------------| ```
Waarom relevant voor gemeenten
Deze dreiging scoort 40/100 voor de gemeentelijke relevantie. Meegewogen: bevestiging door een officiële bron, veelgebruikte gemeentelijke technologie en impact op identity of Microsoft 365. De score is verlaagd vanwege een vooralsnog uitsluitend theoretische kwetsbaarheid. Geraakte processen: Microsoft 365 en identity.
Deze dreiging is relevant voor de gemeente. Een onverholpen kwetsbaarheid in gemeentelijke systemen vergroot de kans op misbruik. De impact is beheersbaar mits de geadviseerde maatregelen tijdig worden opgevolgd. Laat de CISO de voortgang bewaken en escaleer richting directie zodra nieuwe signalen daartoe aanleiding geven.
Geraakte processen
Aanbevolen mitigaties
- Inventariseer of de getroffen producten in de eigen omgeving in gebruik zijn.
- Installeer beschikbare updates of pas de geadviseerde mitigaties toe.
- Geef voorrang aan internetgerichte systemen.
Operationele acties
- Bepaal de patchstatus van de getroffen producten en plan installatie binnen de geldende patchtermijn.
- Beperk of isoleer internetgerichte systemen tot de update is doorgevoerd.
- Verhoog tijdelijk de monitoring op de betrokken systemen en koppelingen.
Score-uitleg
Meegewogen factoren
- CVSS-basisscore onbekend
- EPSS-kans onbekend
- Staat op de CISA KEV-lijst — actief misbruikt
- Publieke exploit beschikbaar
- In verband gebracht met ransomware
De volledige prioriteitsonderbouwing van de dreiging ("Monitoren") staat op de dreigingspagina.
Kenmerken
- CVSS
- —
- EPSS
- —
- KEV
- Nee
- Exploit
- Nee
- Ransomware
- Nee
- Priority score
- 0 / 100
- Gem. relevantie
- 40 / 100
- Geregistreerd
- 20 mei 2026