Amazon Linux (ALAS) Seite 3
Schwachstellen-Reports
2279 ReportsZeige 101 bis 150 von 2279
-
Linux Kernel: Netfilter nft_set_pipapo_avx2 liefert bei Ablauf falsche Einträge
CVE-2026-43114 KritischIm Linux-Kernel wurde eine Schwachstelle in der Netfilter-Komponente nft_set_pipapo_avx2 behoben: Bei abgelaufenen Einträgen kann die AVX2-Matching-Funktion einen nicht übereinstimmenden Eintrag zurückgeben. CVSS-Basiswert: 9.4 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Ubuntu adressiert die Lücke in den Security Notices USN-8527-1 (Raspberry Pi) und USN-8528-1 (Xilinx ZynqMP). Empfohlene Massnahme: Kernel-Updates der jeweiligen Distribution einspielen.
CVSS: 9.4 EPSS: 0.36% Publiziert: Referenz: NVD -
Esri ArcGIS Server: Uneingeschränkter Datei-Upload
CVE-2026-9182 KritischEsri ArcGIS Server enthält eine Schwachstelle für uneingeschränkten Datei-Upload. Ein nicht authentifizierter Angreifer kann sie laut Quelle ausnutzen, indem er eine speziell präparierte Datei an den betroffenen Endpunkt hochlädt. Der CVSS-Vektor (AV:N/AC:L/PR:N/UI:N) beschreibt einen Angriff über das Netzwerk ohne Authentifizierung und ohne Benutzerinteraktion mit vollständiger Auswirkung auf Vertraulichkeit, Integrität und Verfügbarkeit. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.
CVSS: 9.8 EPSS: 0.35% Publiziert: Referenz: NVD -
Linux-Kernel: Double-Free in tipc_buf_append()
CVE-2026-52993 KritischIm Linux-Kernel wurde ein Double-Free in tipc_buf_append() behoben. Laut NVD kann tipc_msg_validate() den zu prüfenden Socket-Buffer neu allozieren und den ursprünglichen dabei freigeben, wodurch derselbe Speicher ein zweites Mal freigegeben werden kann. Der CVSS-Vektor weist die Lücke als über das Netzwerk, ohne Privilegien und ohne Benutzerinteraktion ausnutzbar aus. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: die Kernel-Updates der betroffenen Distributionen (Amazon Linux, Oracle Linux, Rocky Linux) einspielen.
CVSS: 9.8 EPSS: 0.35% Publiziert: Referenz: NVD -
Linux-Kernel: Unsichere sprintf-Verwendung in netfilter/conntrack
CVE-2026-53002 KritischIm Linux-Kernel wurde eine Schwachstelle im Conntrack-Teil von netfilter behoben. Die Verwendung von sprintf wurde durch das längenbegrenzte scnprintf ersetzt, um Pufferüberläufe auszuschliessen. CVSS-Basiswert: 9.8 (Kritisch). Laut CVSS-Vektor ist die Lücke über das Netzwerk ohne Authentifizierung und ohne Benutzerinteraktion ausnutzbar. Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: Kernel-Updates der eingesetzten Distribution einspielen.
CVSS: 9.8 EPSS: 0.35% Publiziert: Referenz: NVD -
Linux-Kernel: Refcount-Underflow in reqsk_queue_hash_req() (TCP)
CVE-2026-53260 KritischIm Linux-Kernel wurde eine Schwachstelle im TCP-Stack behoben: In reqsk_queue_hash_req() fehlten preempt_disable()/preempt_enable_nested()-Aufrufe, nachdem syzbot einen Refcount-Underflow bei reqsk->rsk_refcnt gemeldet hatte. Der betroffene Codepfad liegt im aus dem Netz erreichbaren TCP-Verbindungsaufbau (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H). CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: Kernel-Updates der eingesetzten Distribution einspielen.
CVSS: 9.8 EPSS: 0.35% Publiziert: Referenz: NVD -
Linux-Kernel: Fehlerhafte iova-zu-va-Umrechnung in RDMA/rxe
CVE-2026-46325 KritischIm Linux-Kernel wurde eine Schwachstelle in RDMA/rxe behoben: Die Umrechnung von iova zu va war für Memory Regions mit einer Seitengrösse ungleich PAGE_SIZE fehlerhaft, sodass die betroffenen Speicherbereiche falsch behandelt wurden. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: Die vom Distributor bereitgestellten Kernel-Updates für Amazon Linux, Oracle Linux und Rocky Linux einspielen.
CVSS: 9.8 EPSS: 0.35% Publiziert: Referenz: NVD -
Google Chrome: Type Confusion in Dawn ermöglicht Sandbox-Ausbruch
CVE-2026-13776 KritischIn der Grafikkomponente Dawn von Google Chrome vor Version 150.0.7871.47 besteht eine Type-Confusion-Schwachstelle. Ein entfernter Angreifer, der bereits den Renderer-Prozess kompromittiert hat, kann darüber mit einer präparierten HTML-Seite aus der Sandbox ausbrechen. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: Aktualisierung auf Google Chrome 150.0.7871.47 oder neuer.
CVSS: 9.8 EPSS: 0.34% Publiziert: Referenz: NVD -
Google Chrome: Heap-Buffer-Overflow in Chromecast ermöglicht Sandbox-Escape
CVE-2026-13798 KritischIn der Chromecast-Komponente von Google Chrome vor Version 150.0.7871.47 besteht ein Heap-Buffer-Overflow. Ein entfernter Angreifer, der bereits den Renderer-Prozess kompromittiert hat, kann darüber mit einer präparierten HTML-Seite potenziell einen Sandbox-Escape erreichen. CVSS-Basiswert: 9.6 (Kritisch). Der CVSS-Vektor verlangt eine Benutzerinteraktion (UI:R) und weist einen Scope-Wechsel aus. Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: Chrome auf Version 150.0.7871.47 oder neuer aktualisieren.
CVSS: 9.6 EPSS: 0.34% Publiziert: Referenz: NVD -
Linux-Kernel: nvmet-tcp reicht Fehler aus nvmet_tcp_build_pdu_iovec() nicht an die Aufrufer weiter
CVE-2026-52989 KritischIm Linux-Kernel wurde eine Schwachstelle im NVMe-over-TCP-Target (nvmet-tcp) behoben: Erkennt nvmet_tcp_build_pdu_iovec() einen Fehlerfall, wurde dieser bisher nicht an die aufrufenden Funktionen weitergereicht. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: Kernel-Updates der jeweiligen Distribution einspielen.
CVSS: 9.8 EPSS: 0.34% Publiziert: Referenz: NVD -
Linux-Kernel: Use-after-free durch fqdir_pre_exit()-Flush in inet frags
CVE-2026-53175 KritischIm Linux-Kernel wurde ein Use-after-free in der IP-Fragment-Verarbeitung (inet frags) behoben, der durch den Flush in fqdir_pre_exit() beim Abbau eines Netzwerk-Namespace ausgelöst wurde: fqdir_pre_exit() durchläuft dabei die fqdir-rhashtable. Die Schwachstelle betrifft den Netzwerk-Stack und ist entsprechend remote erreichbar (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H). CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: Kernel-Updates der eingesetzten Distribution einspielen.
CVSS: 9.8 EPSS: 0.34% Publiziert: Referenz: NVD -
Google Chrome unter Linux: Use-after-free in Chromoting
CVE-2026-14121 KritischIn der Komponente Chromoting von Google Chrome unter Linux besteht vor Version 150.0.7871.47 ein Use-after-free. Ein entfernter Angreifer kann darüber laut Quelle mittels bösartigem Netzwerkverkehr beliebigen Code ausführen; Chromium selbst stuft den Schweregrad als Low ein. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: Auf Google Chrome 150.0.7871.47 oder neuer aktualisieren.
CVSS: 9.8 EPSS: 0.34% Publiziert: Referenz: NVD -
Google Chrome: Use-after-free in der Network-Komponente ermöglicht Codeausführung
CVE-2026-11651 KritischIn Google Chrome vor Version 149.0.7827.103 besteht ein Use-after-free in der Komponente Network. Ein entfernter Angreifer kann darüber mit einer präparierten HTML-Seite beliebigen Code innerhalb der Sandbox ausführen; Chromium stuft die Schwere als High ein. Der Angriff erfordert Benutzerinteraktion und wirkt über die Sicherheitsgrenze hinaus (CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H). CVSS-Basiswert: 9.6 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: auf Chrome 149.0.7827.103 oder neuer aktualisieren.
CVSS: 9.6 EPSS: 0.34% Publiziert: Referenz: NVD -
Linux Kernel: netfilter ip6t_eui64 ungültiger MAC-Header abgelehnt
CVE-2026-31685 KritischIm Linux-Kernel wurde eine Schwachstelle in der netfilter-Komponente ip6t_eui64 behoben, bei der eui64_mt6() bei ungültigen Ethernet-Quell-MAC-Headern keine Ablehnung für alle Pakettypen durchführte. CVSS-Basiswert: 9.4 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Ubuntu hat die Lücke inzwischen in mehreren Kernel-Varianten adressiert (USN-8527-1 bis USN-8530-1, unter anderem für den Standard-Kernel, AWS, Xilinx ZynqMP und Raspberry Pi). Empfohlene Massnahme: die Kernel-Updates der jeweiligen Distribution einspielen.
CVSS: 9.4 EPSS: 0.34% Publiziert: Referenz: NVD -
Linux-Kernel: sctp bereinigt die Outqueue bei veralteten COOKIE-ECHO-Paketen nicht
CVE-2026-52924 KritischIm Linux-Kernel wurde ein Fehler in der SCTP-Implementierung behoben: Beim Verarbeiten veralteter COOKIE-ECHO-Pakete wurde die Outqueue nicht bereinigt. sctp_stream_update() wird laut Quelle nur aufgerufen, wenn die Assoziation in den COOKIE-Zustand wechselt. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Zugeordnete überwachte Produkte: Amazon Linux (ALAS), Oracle Linux (ELSA), Rocky Linux. Empfohlene Massnahme: die Kernel-Updates der eingesetzten Distribution einspielen.
CVSS: 9.8 EPSS: 0.34% Publiziert: Referenz: NVD -
Linux-Kernel: Use-After-Free in ksmbd bei Compound-Requests
CVE-2026-23428 KritischIm Linux-Kernel wurde ein Use-After-Free-Fehler in der ksmbd-Komponente behoben: smb2_get_ksmbd_tcon() verwendet work->tcon bei Compound-Requests wieder, ohne die share_conf-Referenz korrekt zu behandeln. Ubuntu hat dazu Kernel-Updates veröffentlicht (USN-8527-1 für Raspberry Pi, USN-8528-1 für Xilinx ZynqMP). CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: Kernel-Updates der jeweiligen Distribution einspielen.
CVSS: 9.8 EPSS: 0.33% Publiziert: Referenz: NVD -
Google Chrome: Use-after-free in der GPU-Komponente ermöglicht Sandbox-Ausbruch
CVE-2026-13775 KritischIn der GPU-Komponente von Google Chrome vor Version 150.0.7871.47 besteht ein Use-after-free. Ein entfernter Angreifer, der bereits den Renderer-Prozess kompromittiert hat, kann darüber mittels einer präparierten HTML-Seite potenziell aus der Sandbox ausbrechen. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: Chrome auf Version 150.0.7871.47 oder neuer aktualisieren; das betrifft auch die auf Chromium basierenden Distributionen der betroffenen Plattformen.
CVSS: 9.8 EPSS: 0.31% Publiziert: Referenz: NVD -
Google Chrome: unzureichende Prüfung nicht vertrauenswürdiger Eingaben in ANGLE
CVE-2026-13780 KritischIn der ANGLE-Komponente von Google Chrome vor Version 150.0.7871.47 werden nicht vertrauenswürdige Eingaben unzureichend geprüft. Ein entfernter Angreifer, der zuvor den Renderer-Prozess kompromittiert hat, kann dadurch laut NVD potenziell aus der Sandbox ausbrechen. CVSS-Basiswert: 9.6 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Zugeordnete überwachte Produkte: Google ChromeOS/Chrome, Apple (macOS/iOS), Amazon Linux (ALAS), Oracle Linux (ELSA), Rocky Linux, Microsoft Windows. Empfohlene Massnahme: Chrome auf Version 150.0.7871.47 oder neuer aktualisieren.
CVSS: 9.6 EPSS: 0.31% Publiziert: Referenz: NVD -
Google Chrome: Unzureichende Prüfung nicht vertrauenswürdiger Eingaben in Skia
CVE-2026-13781 KritischIn Google Chrome vor Version 150.0.7871.47 werden nicht vertrauenswürdige Eingaben in der Komponente Skia unzureichend validiert. Ein entfernter Angreifer, der bereits den Renderer-Prozess kompromittiert hat, kann darüber potenziell aus der Sandbox ausbrechen. Der Angriff erfordert Benutzerinteraktion und wirkt über die Sicherheitsgrenze hinaus (CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H). CVSS-Basiswert: 9.6 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: auf Chrome 150.0.7871.47 oder neuer aktualisieren.
CVSS: 9.6 EPSS: 0.31% Publiziert: Referenz: NVD -
Linux-Kernel: USB/IP – fehlende Validierung von number_of_packets in usbip_pack_ret_submit()
CVE-2026-31607 KritischIm Linux-Kernel wurde eine Schwachstelle im USB/IP-Subsystem behoben: Beim Empfang einer RET_SUBMIT-Antwort validierte usbip_pack_ret_submit() das Feld number_of_packets nicht. Ein bösartiger Gegenpart kann dies beim USB/IP-Client ausnutzen. CVSS-Basiswert: 9.8 (Kritisch), Vektor CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H. Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: die Kernel-Updates der jeweiligen Distribution einspielen – Ubuntu hat die Korrektur unter anderem mit USN-8527-1 bis USN-8530-1 ausgeliefert.
CVSS: 9.8 EPSS: 0.31% Publiziert: Referenz: NVD -
Google Chrome: Type Confusion in ANGLE ermöglicht Sandbox-Escape
CVE-2026-13883 KritischEine Type-Confusion-Schwachstelle in der Grafikkomponente ANGLE von Google Chrome vor Version 150.0.7871.47 erlaubt einem entfernten Angreifer über eine präparierte HTML-Seite potenziell einen Ausbruch aus der Sandbox. Chromium stuft die Sicherheitsrelevanz laut Quelle als Medium ein, der NVD-Basiswert liegt dennoch im kritischen Bereich. CVSS-Basiswert: 9.6 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: auf Chrome 150.0.7871.47 oder neuer aktualisieren; die Lücke wirkt sich auch auf Distributionen aus, die Chromium mitliefern.
CVSS: 9.6 EPSS: 0.31% Publiziert: Referenz: NVD -
Google Chrome – Use-after-free im Browser-Prozess ermöglicht Sandbox-Escape
CVE-2026-13782 KritischIn Google Chrome vor Version 150.0.7871.47 besteht ein Use-after-free im Browser-Prozess. Ein entfernter Angreifer, der bereits den Renderer-Prozess kompromittiert hat, kann darüber per präparierter HTML-Seite aus der Sandbox ausbrechen. CVSS-Basiswert: 10 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: Chrome bzw. die Chromium-basierten Browser der eingesetzten Plattformen auf Version 150.0.7871.47 oder neuer aktualisieren.
CVSS: 10.0 EPSS: 0.29% Publiziert: Referenz: NVD -
Google Chrome: Integer Overflow in Chromecast
CVE-2026-13796 KritischIn der Chromecast-Komponente von Google Chrome besteht vor Version 150.0.7871.47 ein Integer Overflow. Ein Angreifer aus der Ferne, der bereits den Renderer-Prozess kompromittiert hatte, konnte darüber mit einer präparierten HTML-Seite möglicherweise aus der Sandbox ausbrechen. CVSS-Basiswert: 9.6 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: auf Chrome 150.0.7871.47 oder neuer aktualisieren.
CVSS: 9.6 EPSS: 0.29% Publiziert: Referenz: NVD -
Google Chrome: Unzureichende Eingabevalidierung in Chromecast
CVE-2026-13797 KritischIn der Komponente Chromecast von Google Chrome vor Version 150.0.7871.47 werden laut NVD nicht vertrauenswürdige Eingaben unzureichend validiert. Ein entfernter Angreifer, der bereits den Renderer-Prozess kompromittiert hat, kann darüber potenziell aus der Sandbox ausbrechen. Die Ausnutzung erfordert gemäss CVSS-Vektor eine Benutzerinteraktion. CVSS-Basiswert: 9.6 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: auf Chrome 150.0.7871.47 oder neuer aktualisieren.
CVSS: 9.6 EPSS: 0.29% Publiziert: Referenz: NVD -
Google Chrome: Use-after-free in der Journeys-Komponente
CVE-2026-13853 KritischIn der Journeys-Komponente von Google Chrome vor Version 150.0.7871.47 besteht ein Use-after-free. Ein entfernter Angreifer, der bereits den Renderer-Prozess kompromittiert hat, kann darüber mit einer präparierten HTML-Seite aus der Sandbox ausbrechen. CVSS-Basiswert: 9.6 (Kritisch); die Ausnutzung erfordert eine Benutzerinteraktion. Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: Update auf Chrome 150.0.7871.47 oder neuer.
CVSS: 9.6 EPSS: 0.28% Publiziert: Referenz: NVD -
Google Chrome unter Linux: Use-after-free in Ozone
CVE-2026-13854 KritischIn der Komponente Ozone von Google Chrome unter Linux vor Version 150.0.7871.47 besteht ein Use-after-free. Ein entfernter Angreifer, der bereits den Renderer-Prozess kompromittiert hat, kann laut Quelle über eine präparierte HTML-Seite potenziell aus der Sandbox ausbrechen. Der CVSS-Vektor (AV:N/AC:L/PR:N/UI:R/S:C) beschreibt einen netzwerkbasierten Angriff ohne Authentifizierung, der Benutzerinteraktion erfordert und über die betroffene Komponente hinaus wirkt. CVSS-Basiswert: 9.6 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: auf Chrome 150.0.7871.47 oder neuer aktualisieren.
CVSS: 9.6 EPSS: 0.28% Publiziert: Referenz: NVD -
Google Chrome: unangemessene Implementierung in ANGLE ermöglicht Sandbox-Ausbruch
CVE-2026-13859 KritischIn der ANGLE-Komponente von Google Chrome vor Version 150.0.7871.47 besteht eine unangemessene Implementierung. Ein entfernter Angreifer kann darüber laut Quelle mit einer präparierten HTML-Seite potenziell aus der Sandbox ausbrechen. CVSS-Basiswert: 9.6 (Kritisch). Der Vektor verlangt Nutzerinteraktion, die Auswirkung reicht über den betroffenen Sicherheitskontext hinaus (Scope: Changed). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: auf Chrome 150.0.7871.47 oder neuer aktualisieren.
CVSS: 9.6 EPSS: 0.28% Publiziert: Referenz: NVD -
Google Chrome: Use-after-free in Core
CVE-2026-13861 KritischIn der Core-Komponente von Google Chrome besteht vor Version 150.0.7871.47 ein Use-after-free. Ein Angreifer aus der Ferne, der bereits den Renderer-Prozess kompromittiert hatte, konnte darüber mit einer präparierten HTML-Seite möglicherweise aus der Sandbox ausbrechen. CVSS-Basiswert: 9.6 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: auf Chrome 150.0.7871.47 oder neuer aktualisieren.
CVSS: 9.6 EPSS: 0.28% Publiziert: Referenz: NVD -
Linux-Kernel: Use-after-Free in net/tls tls_do_encryption
CVE-2026-31533 KritischIm Linux-Kernel wurde ein Use-after-Free-Fehler im TLS-Subsystem behoben: In der Fehlerbehandlung des EBUSY-Pfads von tls_do_encryption() konnte es zu einer unsicheren Speicherzugriffskondition kommen. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.
CVSS: 9.8 EPSS: 0.26% Publiziert: Referenz: NVD -
Linux-Kernel: IPv6-ICMP – skb2->cb[] wird in ip6_err_gen_icmpv6_unreach() nicht geleert
CVE-2026-43038 KritischIm Linux-Kernel wurde eine Schwachstelle im IPv6-ICMP-Code behoben: In ip6_err_gen_icmpv6_unreach() wurde das Feld skb2->cb[] nicht geleert. CVSS-Basiswert: 9.8 (Kritisch) – Angriff über das Netzwerk ohne Rechte und ohne Nutzerinteraktion, mit hoher Auswirkung auf Vertraulichkeit, Integrität und Verfügbarkeit. Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: die Kernel-Updates der jeweiligen Distribution einspielen; Ubuntu hat die Korrektur unter anderem mit USN-8527-1 bis USN-8530-1 ausgeliefert.
CVSS: 9.8 EPSS: 0.26% Publiziert: Referenz: NVD -
Google Chrome: Use-after-free in Printing
CVE-2026-11638 KritischIn der Printing-Komponente von Google Chrome vor Version 149.0.7827.103 besteht ein Use-after-free. Ein entfernter Angreifer kann laut NVD über eine präparierte HTML-Seite potenziell aus der Sandbox ausbrechen; Chromium stuft den Schweregrad als Critical ein. CVSS-Basiswert: 9.6 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Zugeordnete überwachte Produkte: Google ChromeOS/Chrome, Apple (macOS/iOS), Amazon Linux (ALAS), Oracle Linux (ELSA), Rocky Linux, Microsoft Windows. Empfohlene Massnahme: Chrome auf Version 149.0.7827.103 oder neuer aktualisieren.
CVSS: 9.6 EPSS: 0.25% Publiziert: Referenz: NVD -
Google Chrome unter Linux: Integer Overflow in der UI-Komponente
CVE-2026-11659 KritischIn der UI-Komponente von Google Chrome unter Linux vor Version 149.0.7827.103 besteht ein Integer Overflow. Ein entfernter Angreifer kann darüber laut Quelle mittels einer präparierten HTML-Seite potenziell aus der Sandbox ausbrechen (Chromium-Einstufung: High). Der CVSS-Vektor (AV:N/AC:L/PR:N/UI:R/S:C) beschreibt einen netzwerkbasierten Angriff ohne Authentifizierung, der Benutzerinteraktion erfordert und über die betroffene Komponente hinaus wirkt. CVSS-Basiswert: 9.6 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: auf Chrome 149.0.7827.103 oder neuer aktualisieren.
CVSS: 9.6 EPSS: 0.25% Publiziert: Referenz: NVD -
NVIDIA NVFlare Dashboard – Authentifizierungsumgehung durch nutzergesteuerten Schlüssel
CVE-2026-24178 KritischNVIDIA NVFlare Dashboard enthält eine Schwachstelle im Benutzerverwaltungs- und Authentifizierungssystem, durch die ein nicht authentifizierter Angreifer eine Autorisierungsumgehung über einen nutzerkontrollierten Schlüssel herbeiführen kann. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.
CVSS: 9.8 EPSS: 0.25% Publiziert: Referenz: NVD -
Google Chrome: Use-after-free in Navigation ermöglicht Sandbox-Ausbruch
CVE-2026-11671 KritischIn der Navigation-Komponente von Google Chrome vor Version 149.0.7827.103 besteht ein Use-after-free. Ein entfernter Angreifer kann darüber laut Quelle mit einer präparierten HTML-Seite potenziell aus der Sandbox ausbrechen (Chromium security severity: High). CVSS-Basiswert: 9.6 (Kritisch). Der Vektor verlangt Nutzerinteraktion, die Auswirkung reicht über den betroffenen Sicherheitskontext hinaus (Scope: Changed). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: auf Chrome 149.0.7827.103 oder neuer aktualisieren.
CVSS: 9.6 EPSS: 0.24% Publiziert: Referenz: NVD -
Adobe Experience Manager Forms JEE: Stored Cross-Site-Scripting
CVE-2026-34691 KritischAdobe Experience Manager Forms JEE ist in den Versionen LTS SP1, 6.5.24.0 und älter von einem Stored Cross-Site-Scripting betroffen. Ein Angreifer kann darüber schädliche Skripte einschleusen, die im Browser anderer Benutzer ausgeführt werden. CVSS-Basiswert: 9.3 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: die von Adobe bereitgestellten Sicherheitsupdates einspielen.
CVSS: 9.3 EPSS: 0.24% Publiziert: Referenz: NVD -
Google Chrome: Use-after-free in Cast ermöglicht Sandbox-Ausbruch
CVE-2026-14093 KritischIn der Cast-Komponente von Google Chrome vor Version 150.0.7871.47 besteht eine Use-after-free-Schwachstelle. Ein entfernter Angreifer, der zuvor den Renderer-Prozess kompromittiert hat, konnte über eine präparierte HTML-Seite potenziell aus der Sandbox ausbrechen. CVSS-Basiswert: 9.6 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: Chrome auf Version 150.0.7871.47 oder neuer aktualisieren; für Linux-Distributionen die jeweiligen Hersteller-Updates einspielen.
CVSS: 9.6 EPSS: 0.23% Publiziert: Referenz: NVD -
Google Chrome: Unzureichende Policy-Durchsetzung im Browser ermöglicht Sandbox-Ausbruch
CVE-2026-14095 KritischIn der Browser-Komponente von Google Chrome vor Version 150.0.7871.47 werden Richtlinien unzureichend durchgesetzt. Ein entfernter Angreifer, der zuvor den Renderer-Prozess kompromittiert hat, kann über eine präparierte Seite möglicherweise aus der Sandbox ausbrechen. Die Schwachstelle betrifft neben Chrome auch die davon abhängigen Distributionen und Betriebssystem-Pakete. CVSS-Basiswert: 9.6 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: Chrome auf Version 150.0.7871.47 oder neuer aktualisieren.
CVSS: 9.6 EPSS: 0.23% Publiziert: Referenz: NVD -
Google Chrome: Race Condition in der USB-Komponente ermöglicht Sandbox-Escape
CVE-2026-13882 KritischIn Google Chrome vor Version 150.0.7871.47 besteht eine Race Condition in der USB-Komponente. Ein entfernter Angreifer, der bereits den Renderer-Prozess kompromittiert hat, kann darüber mit einer präparierten HTML-Seite potenziell aus der Sandbox ausbrechen. Der Angriff erfordert Benutzerinteraktion und wirkt über die Sicherheitsgrenze hinaus (CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H). CVSS-Basiswert: 9.6 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: auf Chrome 150.0.7871.47 oder neuer aktualisieren.
CVSS: 9.6 EPSS: 0.22% Publiziert: Referenz: NVD -
Google Chrome: Sandbox-Escape in der Headless-Komponente
CVE-2026-12027 KritischEine unsachgemässe Implementierung in der Headless-Komponente von Google Chrome vor Version 149.0.7827.115 erlaubt einem entfernten Angreifer, der bereits den Renderer-Prozess kompromittiert hat, potenziell einen Sandbox-Escape über eine präparierte Seite. CVSS-Basiswert: 9.6 (Kritisch). Der CVSS-Vektor verlangt eine Benutzerinteraktion (UI:R) und weist einen Scope-Wechsel aus. Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: Chrome auf Version 149.0.7827.115 oder neuer aktualisieren.
CVSS: 9.6 EPSS: 0.22% Publiziert: Referenz: NVD -
Google Chrome: unzureichende Validierung nicht vertrauenswürdiger Eingaben in der UI
CVE-2026-11697 KritischIn der UI-Komponente von Google Chrome werden vor Version 149.0.7827.103 nicht vertrauenswürdige Eingaben unzureichend validiert. Ein Angreifer aus der Ferne konnte darüber mit einer präparierten HTML-Seite möglicherweise aus der Sandbox ausbrechen. CVSS-Basiswert: 9.6 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: auf Chrome 149.0.7827.103 oder neuer aktualisieren.
CVSS: 9.6 EPSS: 0.20% Publiziert: Referenz: NVD -
Linux Kernel: KVM/arm64 vgic-its gibt Translation-Cache-Referenz fehlerhaft frei
CVE-2026-46316 KritischIm Linux-Kernel wurde eine Schwachstelle in KVM für arm64 behoben: vgic_its_invalidate_cache() durchlief den Translation-Cache der ITS und gab dabei Referenzen nicht ausschliesslich für den tatsächlich gelöschten Eintrag frei. Der Fix beschränkt die Freigabe der Referenz auf den entfernten Eintrag. CVSS-Basiswert: 9.3 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: die Kernel-Updates der jeweiligen Distribution einspielen.
CVSS: 9.3 EPSS: 0.20% Publiziert: Referenz: NVD -
BUK TS-G Gas Station Automation System – SQL Injection
CVE-2026-3843 KritischIm Nefteprodukttekhnika BUK TS-G Gas Station Automation System 2.9.1 auf Linux wurde eine SQL-Injection-Schwachstelle (CWE-89) im Systemkonfigurationsmodul identifiziert. Ein entfernter Angreifer kann durch speziell gestaltete Anfragen die Datenbank manipulieren. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.
CVSS: 9.8 EPSS: 0.19% Publiziert: Referenz: NVD -
RustDesk Client – Authentication Bypass und unsicheres Passwort-Hashing
CVE-2026-30789 KritischIm RustDesk Client wurden eine Authentication-Bypass-Schwachstelle durch Capture-Replay sowie die Verwendung von Passwort-Hashes mit unzureichendem Rechenaufwand identifiziert. Die Schwachstellen betreffen Windows, macOS, Linux, iOS, Android und den WebClient. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.
CVSS: 9.8 EPSS: 0.18% Publiziert: Referenz: NVD -
AGL app-framework-main – Zip-Slip-Pfadtraversal mit TOCTOU-Race-Condition
CVE-2026-37531 KritischAGL app-framework-main bis Version 17.1.12 enthält eine Zip-Slip-Pfadtraversal-Schwachstelle (CWE-22) kombiniert mit einer TOCTOU-Race-Condition (CWE-367) im Widget-Installationsablauf. Die Funktion is_valid_filename ist betroffen und ermöglicht das Überschreiben beliebiger Dateien. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.
CVSS: 9.8 EPSS: 0.17% Publiziert: Referenz: NVD -
RustDesk Server Pro – Brute-Force-Schutz umgehbar, unsicheres Passwort-Hashing
CVE-2026-30790 KritischIn RustDesk Server Pro wurden eine unzureichende Beschränkung übermässiger Authentifizierungsversuche sowie die Verwendung von Passwort-Hashes mit unzureichendem Rechenaufwand festgestellt. Die Schwachstellen betreffen Windows, macOS, Linux und weitere Plattformen. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.
CVSS: 9.8 EPSS: 0.16% Publiziert: Referenz: NVD -
Centreon Open Tickets: Kritische Schwachstelle auf Central Server
CVE-2026-2749 KritischIn Centreon Open Tickets auf dem Central Server (Linux) wurde eine kritische Schwachstelle gefunden, die alle Versionen vor 25.10.3 und 24.10.8 betrifft. CVSS-Basiswert: 9.9 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 9.9 EPSS: 0.14% Publiziert: Referenz: NVD -
RustDesk Client – Privilege Abuse auf Windows, macOS, Linux, iOS, Android
CVE-2026-30783 KritischIm RustDesk Client wurde eine Schwachstelle entdeckt, die einen Privilege Abuse in den Modulen für Client-Signalisierung, API-Synchronisationsschleife und Konfigurationsverwaltung ermöglicht. Die Schwachstelle betrifft Windows, macOS, Linux, iOS, Android und den WebClient. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 9.8 EPSS: 0.14% Publiziert: Referenz: NVD -
Google Chrome – Sandbox Escape via Navigation
CVE-2026-3545 KritischIn Google Chrome vor Version 145.0.7632.159 wurde eine unzureichende Datenvalidierung in der Navigation-Komponente entdeckt. Ein entfernter Angreifer könnte über eine präparierte HTML-Seite potenziell einen Sandbox-Ausbruch durchführen. CVSS-Basiswert: 9.6 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 9.6 EPSS: 0.13% Publiziert: Referenz: NVD -
Acronis Cyber Protect 17 – Offenlegung und Manipulation sensibler Daten durch fehlende Authentifizierung
CVE-2026-28710 KritischIn Acronis Cyber Protect 17 (Linux, Windows) vor Build 41186 ermöglicht eine fehlerhafte Authentifizierung die Offenlegung und Manipulation sensibler Informationen. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 9.8 EPSS: 0.13% Publiziert: Referenz: NVD -
Use-after-free in DevTools – Google Chrome Sandbox-Escape
CVE-2026-6919 KritischIn Google Chrome vor Version 147.0.7727.117 besteht eine Use-after-free-Schwachstelle in den DevTools. Ein entfernter Angreifer, der den Renderer-Prozess kompromittiert hat, kann über eine präparierte HTML-Seite potenziell einen Sandbox-Escape durchführen. CVSS-Basiswert: 9.6 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 9.6 EPSS: 0.13% Publiziert: Referenz: NVD -
Use-after-free in PrivateAI – Sandbox Escape in Google Chrome vor 147.0.7727.55
CVE-2026-5874 KritischIn Google Chrome vor Version 147.0.7727.55 wurde ein Use-after-free-Fehler in der PrivateAI-Komponente entdeckt, der einem entfernten Angreifer, der einen Benutzer zu bestimmten UI-Interaktionen verleitet, potenziell einen Sandbox-Ausbruch über eine manipulierte HTML-Seite ermöglicht. CVSS-Basiswert: 9.6 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 9.6 EPSS: 0.13% Publiziert: Referenz: NVD
Diesem Produkt-Feed folgen
Eigener RSS-Feed nur für Amazon Linux (ALAS), kostenlos und ohne Anmeldung. Zustellung per E-Mail, Webhook, REST oder TAXII richten wir auf Anfrage ein.
RSS-Feed öffnen Zustellung anfragenWie folge ich dem Feed?
- 1 RSS-Feed-Link kopieren oder direkt im RSS-Reader öffnen.
- 2 Priorisierte Reports (KEV · EPSS · CVSS) landen automatisch in Ihrem Reader.
- 3 Zustellung per E-Mail, Webhook, REST oder TAXII auf Anfrage einrichten lassen.