Webveiligheid voorjaar 2026: wat er in zes weken veranderde

Tussen eind april en half mei 2026 liep de agenda voor webveiligheid sneller vol dan normaal. CVE's in webframeworks, een Windows-wormrisico, een backdoor in een WordPress-plugin met 70.000 installaties, een Let's Encrypt-storing en nieuw onderzoek over hoe snel veelgebruikte wachtwoordhashes te kraken zijn. Hier is een feitelijk overzicht voor de website van een klein bedrijf.

Webframeworks en webservers

SPIP — CERTFR-2026-AVI-0564, 12 mei 2026. CERT-FR publiceerde een waarschuwing voor SPIP-versies onder 4.4.14, met risico op externe code-uitvoering. Update naar SPIP 4.4.14 of hoger.

Spring — CERTFR-2026-AVI-0554, 11 mei 2026. Vijf CVE's voor Spring Cloud Function en Spring (CVE-2026-40989, CVE-2026-40990, CVE-2026-41705, CVE-2026-41712, CVE-2026-41713), met onder meer risico op externe code-uitvoering en denial of service. Getroffen versies omvatten Spring Cloud Function vóór 3.2.16, 4.1.10, 4.2.6, 4.3.3 en 5.0.2.

NGINX — CVE-2026-42945, 14 mei 2026. Een heap buffer overflow in de rewrite-module, CVSS 9.2, in NGINX Open Source 0.6.27 tot en met 1.30.0. Gepatcht in 1.31.0 en 1.30.1. Kan leiden tot denial of service en, met ASLR uitgeschakeld, externe code-uitvoering. De fout zat er 18 jaar in.

cPanel — CVE-2026-29202, gemeld op 8 mei 2026. CVSS 8.8. Een geauthenticeerde gebruiker kan willekeurige Perl-code uitvoeren op de onderliggende machine. Op shared hosting kan elke gewone accounthouder zo een aanvaller worden tegen naastliggende sites.

WordPress

Backdoor in Quick Page/Post Redirect — Security.NL, 30 april 2026. Onderzoeker Austin Ginder ontdekte dat de plugin, met meer dan 70.000 actieve installaties, twee backdoors bevatte: content-injectie en het kunnen laden van updates vanaf een schadelijk domein (in feite externe code-uitvoering). De schadelijke code zou in 2021 zijn toegevoegd. WordPress.org heeft de plugin offline gehaald. Heb je hem geïnstalleerd, deactiveer en verwijder hem.

Voor de vier andere WordPress-pluginkwetsbaarheden uit maart-april 2026 (MW WP Form, Perfmatters, Tutor LMS Pro, Smart Slider 3) zie ons aparte WP-plugin-overzicht.

Vertrouwen en certificaten

Let's Encrypt-storing — 8-9 mei 2026, circa 2,5 uur. Nieuw aangemaakte root- en intermediate-CA's misten de serverAuth-EKU-extensie die vereist wordt door het Common CA Database-beleid. Let's Encrypt stopte tijdelijk met uitgifte en hervatte na de configuratiefix. Sites waarvan de verlenging in dat venster viel, hadden mogelijk opnieuw moeten proberen.

DNSSEC en certificaatvernieuwingen — Sucuri-blog, 4 mei 2026. Marc Kranat (Sucuri) beschrijft hoe Ballot SC-085v2 van het CA/Browser Forum, volledig geïmplementeerd in maart 2026, strikte DNSSEC-validatie verplicht heeft gemaakt bij uitgifte en vernieuwing van certificaten. Veelvoorkomende oorzaken van mislukkingen: ontbrekende of onjuiste DS-records bij de registrar, verlopen RRSIG-handtekeningen, onvolledige key rollovers, inconsistente data tussen nameservers, klok- of algoritme-mismatch. Diagnose: DNSViz, Zonemaster, delv.

Cryptografie

60% van MD5-hashes binnen het uur gekraakt — Kaspersky, 7 mei 2026. Met één Nvidia RTX 5090 testte Kaspersky meer dan 231 miljoen unieke wachtwoorden uit darkweb-lekken. 60 procent kraakte binnen een uur, 48 procent binnen 60 seconden. Praktisch gevolg: als je site nog MD5 (of een andere snelle ongesalted hash) gebruikt voor wachtwoorden, ga er bij elk lek vanuit dat de wachtwoorden ook hersteld zijn. Stap over op bcrypt, scrypt of Argon2.

Windows-infrastructuur

Drie wormbare Windows-CVE's — Security.NL, 13 mei 2026. In de mei-Patch-Tuesday zaten CVE-2026-41089 (Windows Netlogon, externe code-uitvoering op domain controllers, zonder inloggegevens); CVE-2026-41096 (Windows DNS-client, RCE via kwaadaardige DNS-antwoorden); en CVE-2026-40415 (Windows TCP/IP, niet-geauthenticeerde RCE, hoewel Microsoft aangeeft dat exploitatie "considerably less likely" is door geheugenbeperkingen). Patches zijn beschikbaar. Draai je ergens Windows Server, installeer ze.

Wat dit bij elkaar betekent

Het Britse NCSC publiceerde op 1 mei 2026 een blogpost getiteld "Preparing for a vulnerability patch wave", met de stelling dat AI-tools het ontdekken van kwetsbaarheden versnellen en dat organisaties moeten rekenen op meer meldingen, sneller, over de hele stack. De zes weken hierboven zijn ongeveer hoe dat er in de praktijk uitziet: elk belangrijk oppervlak (webframework, hostingpaneel, webserver, WordPress-plugin, publieke CA, OS) had iets te melden.

Voor een klein bedrijf draait de respons niet om paniek maar om routine. Drie gewoonten dekken het meeste:

1. Zet automatische updates aan voor WordPress core, plugins en je besturingssysteem. De uitzonderingen (betaalde plugins, custom integraties) moeten een korte lijst zijn die je actief beheert, niet de standaard.
2. Houd bij welke externe diensten je site gebruikt, zodat je in uren weet als er een waarschuwing uitkomt en niet pas weken later via een blog van een concurrent.
3. Stop met snelle ongesalted hashes voor wachtwoorden. Heb je je wachtwoordopslag in 2026 nog niet doorgelicht, doe dat deze week.

De beveiligings-checklist voor kleine bedrijven en de gids over kwetsbare WordPress-plugins dekken het fundament.

Bronnen: CERT-FR AVI-0564 — SPIP, CERT-FR AVI-0554 — Spring, BleepingComputer — NGINX CVE-2026-42945, Security.NL — cPanel CVE-2026-29202, Security.NL — Let's Encrypt-storing, Sucuri Blog — DNSSEC en SSL, The Register / Kaspersky — MD5, Security.NL — Windows wormbare CVE's, Security.NL — Quick Page/Post Redirect backdoor, NCSC — Vulnerability patch wave.