Apache HTTP Server / ASF-Projekte Seite 2
Schwachstellen-Reports
354 ReportsZeige 51 bis 100 von 354
-
Apache HTTP Server mod_dav_fs: Manipulation der DAV-Property-Datenbanken
CVE-2026-42535 KritischEin Fehler in der Pfadverarbeitung von mod_dav_fs in Apache 2.4.67 und älter erlaubt es einem WebDAV-Content-Author, vertrauenswürdige DAV-Property-Datenbanken direkt zu manipulieren. Das kann laut Quelle zum Absturz von Kindprozessen führen. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: auf eine Version neuer als Apache 2.4.67 aktualisieren.
CVSS: 9.1 EPSS: 0.54% Publiziert: Referenz: NVD -
Apache CXF: XXE durch fehlende JAXP-Härtung der SAXParserFactory
CVE-2026-49875 KritischDie Klassen EndpointReferenceUtils und W3CMultiSchemaFactory von Apache CXF erzeugen eine SAXParserFactory ohne die notwendigen JAXP-Härtungseinstellungen. Dadurch ist eine Auflösung externer Entitäten über Out-of-Band-Kanäle (XXE) möglich. CVSS-Basiswert: 9.8 (Kritisch). Laut CVSS-Vektor ist die Lücke über das Netzwerk ohne Authentifizierung und ohne Benutzerinteraktion ausnutzbar. Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %.
CVSS: 9.8 EPSS: 0.53% Publiziert: Referenz: NVD -
Apache IoTDB: Unzureichende Pfadprüfung beim Anlegen von Trigger-Instanzen
CVE-2026-24014 KritischDie interne RPC-Schnittstelle des Apache IoTDB DataNode baut beim Anlegen von Trigger-Instanzen einen Dateipfad aus dem Namen des hochgeladenen Trigger-JARs, ohne ihn ausreichend zu validieren. Kritisch wird das laut Quellbeschreibung, wenn der interne DataNode-RPC-Port erreichbar ist. Die Schwachstelle ist ohne Authentifizierung über das Netzwerk ausnutzbar. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %.
CVSS: 9.8 EPSS: 0.51% Publiziert: Referenz: NVD -
mcp-pinot – MCP-Server ohne Authentifizierung an 0.0.0.0:8080 gebunden
CVE-2026-49257 Kritischmcp-pinot ist ein Python-basierter Model-Context-Protocol-Server (MCP) für den Zugriff auf Apache Pinot. In Version 3.0.1 und älter startet mcp-pinot standardmässig einen HTTP-MCP-Server, der an 0.0.0.0:8080 gebunden wird und damit auf allen Netzwerkschnittstellen erreichbar ist. CVSS-Basiswert: 10 (Kritisch), Vektor CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H – ohne Rechte oder Nutzerinteraktion ausnutzbar, mit Scope-Wechsel. Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: auf eine Version neuer als 3.0.1 aktualisieren und den Dienst nur an localhost oder ein vertrauenswürdiges Interface binden.
CVSS: 10.0 EPSS: 0.50% Publiziert: Referenz: NVD -
LDAP-Injection in DefaultLdapRealm über nicht bereinigten Benutzernamen
CVE-2026-49268 KritischEin entfernter Angreifer kann LDAP-Sonderzeichen in die Konstruktion des Distinguished Name (DN) in der Klasse DefaultLdapRealm einschleusen. Vom Benutzer gelieferte Eingaben werden dabei direkt in die LDAP-DN-Vorlage verkettet (LDAP-Injection). CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %.
CVSS: 9.1 EPSS: 0.49% Publiziert: Referenz: NVD -
Apache Camel Cometd: fehlende Header-Filterung bei eingehenden Bayeux-Nachrichten
CVE-2026-46454 KritischDie Komponente camel-cometd von Apache Camel übernimmt eingehende Bayeux-(CometD-)Nachrichten-Header ohne Anwendung eines Header-Filters in den Camel Exchange. Dadurch besteht eine Schwachstelle durch unzureichende Eingabevalidierung. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: das Advisory des Apache-Projekts beachten und auf eine fehlerbereinigte Version aktualisieren.
CVSS: 9.8 EPSS: 0.49% Publiziert: Referenz: NVD -
Apache HTTP Server: Buffer Underwrite bei präparierten regulären Ausdrücken
CVE-2026-44631 KritischDer Apache HTTP Server enthält eine Buffer-Underwrite-Schwachstelle, die über präparierte reguläre Ausdrücke in der Konfiguration ausgelöst wird. Betroffen sind die Versionen 2.4.0 bis 2.4.67. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: Der Hersteller empfiehlt ein Upgrade auf eine nicht betroffene Version gemäss Advisory.
CVSS: 9.8 EPSS: 0.49% Publiziert: Referenz: NVD -
Apache Camel: Unzureichende Eingabevalidierung in der AWS2-SQS-Komponente
CVE-2026-46456 KritischDie Komponente camel-aws2-sqs von Apache Camel übernimmt eingehende Message-Attribute über eine komponentenspezifische HeaderFilterStrategy in den Camel Exchange. Die Eingabevalidierung ist dabei unzureichend. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %.
CVSS: 9.8 EPSS: 0.47% Publiziert: Referenz: NVD -
Apache IoTDB: Authentifizierungsumgehung durch gefälschte sessionId in Thrift-RPC-Handlern
CVE-2026-24013 KritischIn Apache IoTDB besteht eine Schwachstelle zur Authentifizierungsumgehung durch Spoofing. Bestimmte Thrift-RPC-Query-Handler prüfen den Parameter sessionId nicht streng genug, sodass ein Angreifer Anfragen mit einer gefälschten Session konstruieren kann. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %.
CVSS: 9.1 EPSS: 0.47% Publiziert: Referenz: NVD -
Apache Camel: Unzureichende Eingabevalidierung und Zugriffskontrolle in camel-mongodb-gridfs
CVE-2026-48204 KritischDie Komponente Camel MongoDB GridFS von Apache Camel weist eine unzureichende Eingabevalidierung in Kombination mit einer fehlerhaften Zugriffskontrolle auf. Der camel-mongodb-gridfs-Producer wählt die auszuführende GridFS-Operation anhand von Eingabedaten aus, was von Angreifern missbraucht werden kann. CVSS-Basiswert: 9.8 (Kritisch). Die Schwachstelle ist laut CVSS-Vektor über das Netzwerk ohne Authentifizierung und ohne Benutzerinteraktion ausnutzbar. Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %.
CVSS: 9.8 EPSS: 0.45% Publiziert: Referenz: NVD -
Apache CXF: Fehlende Prüfung des 'aud'-Claims bei JWT-Access-Tokens
CVE-2026-50627 KritischDie Klasse JwtAccessTokenValidator in Apache CXF validiert den 'aud'-Claim (Audience) eingehender JWT-Access-Tokens nicht. Dadurch kann ein für einen Resource Server ausgestelltes JWT erfolgreich gegen einen anderen Resource Server wiederverwendet werden. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.
CVSS: 9.1 EPSS: 0.45% Publiziert: Referenz: NVD -
Roxy-WI – angreifbare HAProxy-section-save-Endpunkte
CVE-2026-45558 KritischRoxy-WI ist eine Weboberfläche zur Verwaltung von HAProxy-, Nginx-, Apache- und Keepalived-Servern. In Version 8.2.6.4 und älter sind die HAProxy-section-save-Endpunkte (POST /api/service/haproxy/<server_id>/section/) angreifbar; die Quellbeschreibung liegt nur gekürzt vor. CVSS-Basiswert: 9.9 (Kritisch), Vektor CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H – für die Ausnutzung über das Netz genügen niedrige Privilegien, der Scope wechselt. Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Da Roxy-WI die Konfiguration der verwalteten Server schreibt, betrifft eine Kompromittierung die gesamte dahinterliegende Proxy-/Webserver-Landschaft.
CVSS: 9.9 EPSS: 0.44% Publiziert: Referenz: NVD -
Apache Camel: Unzureichende Eingabevalidierung in der AWS-SNS-Komponente
CVE-2026-56140 KritischDie AWS-SNS-Komponente von Apache Camel weist eine unzureichende Eingabevalidierung auf. Die Komponente camel-aws2-sns filtert Camel-Header über die komponentenspezifische Sns2HeaderFilterStrategy, die diese Filterung nicht vollständig durchsetzt. CVSS-Basiswert: 9.8 (Kritisch). Laut CVSS-Vektor ist die Lücke über das Netzwerk ohne Authentifizierung und ohne Benutzerinteraktion ausnutzbar. Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.
CVSS: 9.8 EPSS: 0.43% Publiziert: Referenz: NVD -
Apache Camel Keycloak: Unzureichender Ablauf von Sitzungen
CVE-2026-46455 KritischDie Apache-Camel-Keycloak-Komponente weist eine Schwachstelle durch unzureichenden Ablauf von Sitzungen (Insufficient Session Expiration) auf. Laut Quellbeschreibung baut der Security-Helper KeycloakSecurityHelper.parseAndVerifyAccessToken einen Keycloak-TokenVerifier fehlerhaft auf. Die Lücke ist ohne Authentifizierung über das Netzwerk ausnutzbar. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.
CVSS: 9.8 EPSS: 0.41% Publiziert: Referenz: NVD -
Apache DolphinScheduler: fehlende Autorisierungsprüfung in der DataSource-API
CVE-2026-32966 KritischIn der DataSource-API von Apache DolphinScheduler fehlt eine Autorisierungsprüfung, wodurch Metadaten beliebiger Datenquellen offengelegt werden können. Betroffen sind Versionen vor 3.4.2. CVSS-Basiswert: 9.8 (Kritisch). Laut CVSS-Vektor ist die Lücke über das Netz ohne Authentifizierung und ohne Benutzerinteraktion ausnutzbar. Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: Aktualisierung auf Apache DolphinScheduler 3.4.2 oder neuer gemäss Herstellerempfehlung.
CVSS: 9.8 EPSS: 0.39% Publiziert: Referenz: NVD -
Apache APISIX: Authentifizierungsumgehung über das jwt-auth-Plugin
CVE-2026-39999 KritischIn Apache APISIX besteht eine Schwachstelle zur Authentifizierungsumgehung durch Spoofing. Bei bestimmten Konfigurationen des jwt-auth-Plugins kann ein Angreifer die Authentifizierung vollständig umgehen. Der CVSS-Vektor weist die Lücke als über das Netz ohne Authentifizierung und ohne Nutzerinteraktion ausnutzbar aus. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: die Konfiguration des jwt-auth-Plugins prüfen und die vom Hersteller bereitgestellte Aktualisierung einspielen.
CVSS: 9.1 EPSS: 0.39% Publiziert: Referenz: NVD -
Apache IoTDB: Path Traversal
CVE-2025-55017 KritischIn Apache IoTDB besteht eine Path-Traversal-Schwachstelle (unzureichende Beschränkung eines Pfadnamens auf ein zulässiges Verzeichnis). Betroffen sind die Versionen ab 2.0.0 vor 2.0.6 sowie ab 1.0.0 vor 1.3.6. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: auf Apache IoTDB 2.0.6 bzw. 1.3.6 oder neuer aktualisieren.
CVSS: 9.1 EPSS: 0.38% Publiziert: Referenz: NVD -
Apache IoTDB: Path Traversal
CVE-2025-64152 KritischIn Apache IoTDB besteht eine Path-Traversal-Schwachstelle (unzureichende Beschränkung eines Pfadnamens auf ein zulässiges Verzeichnis). Betroffen sind die Versionen ab 1.0.0 vor 1.3.6 sowie ab 2.0.0 vor 2.0.7. Der CVSS-Vektor weist die Lücke als über das Netz ohne Authentifizierung und ohne Nutzerinteraktion ausnutzbar aus. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: auf Apache IoTDB 1.3.6 bzw. 2.0.7 oder neuer aktualisieren.
CVSS: 9.1 EPSS: 0.38% Publiziert: Referenz: NVD -
Roxy-WI: WAF-Regel-Speicherung akzeptiert beliebige Konfigurationsdateinamen
CVE-2026-45556 KritischRoxy-WI ist eine Weboberfläche zur Verwaltung von HAProxy-, Nginx-, Apache- und Keepalived-Servern. In den Versionen bis einschliesslich 8.2.6.4 akzeptiert der Endpunkt POST /waf/<service>/<server_ip>/rule/<rule_id>/save einen frei wählbaren Konfigurationsdateinamen. CVSS-Basiswert: 9.9 (Kritisch) bei netzbasiertem Angriffsvektor mit nur geringen Rechten und ohne Nutzerinteraktion. Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: auf eine Version neuer als 8.2.6.4 aktualisieren.
CVSS: 9.9 EPSS: 0.37% Publiziert: Referenz: NVD -
Apache Camel Solr – Injection- und SSRF-Schwachstelle
CVE-2026-48203 KritischIn der Apache-Camel-Solr-Komponente bestehen laut NVD mehrere Schwachstellen: unzureichende Neutralisierung von Sonderzeichen in der Ausgabe (Injection), mangelhafte Eingabevalidierung sowie Server-Side Request Forgery (SSRF). Der Angriff ist über das Netzwerk ohne Authentifizierung und ohne Benutzerinteraktion möglich. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.
CVSS: 9.1 EPSS: 0.37% Publiziert: Referenz: NVD -
Apache Camel DNS – Server-Side Request Forgery (SSRF)
CVE-2026-48205 KritischIn der DNS-Komponente von Apache Camel ermöglichen unzureichende Eingabevalidierung und eine Server-Side Request Forgery (SSRF), dass die camel-dns-Producer DNS-Operationsparameter wie den abzufragenden Resolver oder Namen aus nicht vertrauenswürdiger Quelle verarbeiten. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.
CVSS: 9.1 EPSS: 0.37% Publiziert: Referenz: NVD -
Apache Tomcat – fehlerhafte Fehlerbehandlung bei CRL-Konfiguration für FFM-Connector
CVE-2026-53434 KritischIn Apache Tomcat besteht laut NVD eine Schwachstelle der Klasse „Detection of Error Condition Without Action“ bei der Konfiguration von CRLs für einen FFM-basierten Connector. Betroffen sind unter anderem Apache Tomcat 11.0.0-M1 bis 11.0.22 sowie ab 10.1.x. Der Angriff ist netzwerkbasiert ohne Authentifizierung möglich. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: auf eine bereinigte Apache-Tomcat-Version aktualisieren.
CVSS: 9.1 EPSS: 0.37% Publiziert: Referenz: NVD -
Apache Tomcat – fehlerhafte Kontrollfluss-Implementierung bei web.xml-Auswertung
CVE-2026-55276 KritischEine Schwachstelle durch eine grundsätzlich fehlerhafte Kontrollfluss-Implementierung (Always-Incorrect Control Flow) in Apache Tomcat führte dazu, dass spezielle Rollen und leere Autorisierungs-Constraints nicht berücksichtigt wurden, wenn die effektive web.xml protokolliert wurde. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: betroffene Tomcat-Version gemäss Apache-Advisory aktualisieren.
CVSS: 9.1 EPSS: 0.37% Publiziert: Referenz: NVD -
Apache IoTDB: REST-Basic-Authentifizierung akzeptiert veraltete Zugangsdaten aus dem Cache
CVE-2026-28564 KritischApache IoTDB beendet Sitzungen nicht ausreichend und ist für eine Authentifizierungsumgehung per Capture-Replay anfällig: Die REST-Basic-Authentifizierung akzeptiert veraltete, zwischengespeicherte Zugangsdaten. Angreifer können abgefangene Anmeldedaten dadurch weiterverwenden, obwohl sie nicht mehr gültig sein sollten. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Die Quelldaten nennen keine konkrete Massnahme; die betroffenen Versionsangaben sind in der NVD-Meldung nur unvollständig überliefert.
CVSS: 9.8 EPSS: 0.37% Publiziert: Referenz: NVD -
Apache IoTDB: Path Traversal ermöglicht Schreiben beliebiger Dateien
CVE-2026-40005 KritischIn Apache IoTDB besteht eine unzureichende Beschränkung von Pfadangaben (Path Traversal). Ein Angreifer kann dadurch beliebige Dateien überall dort schreiben, wo der IoTDB-Prozess Schreibrechte besitzt. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: Die Aktualisierung gemäss dem Apache-Advisory für IoTDB einspielen.
CVSS: 9.1 EPSS: 0.35% Publiziert: Referenz: NVD -
Apache DolphinScheduler: Fehlerhafte Autorisierung der experimentellen /v2-Schnittstelle
CVE-2026-32967 KritischIn Apache DolphinScheduler besteht eine Schwachstelle durch fehlerhafte Autorisierung an der experimentellen Schnittstelle /v2. Betroffen sind laut Quelle alle Versionen vor 3.4.2. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: Auf Apache DolphinScheduler 3.4.2 oder neuer aktualisieren.
CVSS: 9.1 EPSS: 0.34% Publiziert: Referenz: NVD -
Apache IoTDB: Unsafe Reflection im Pipe-Processor
CVE-2026-40008 KritischIn Apache IoTDB besteht eine Schwachstelle durch unsichere Reflection: Der Pipe-Processor liest einen voll qualifizierten Java-Klassennamen aus extern kontrollierter Eingabe und instanziiert die Klasse. Dadurch lassen sich Klassen bzw. Code auswählen, die nicht vorgesehen sind. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: das Advisory des Apache-Projekts beachten und auf eine fehlerbereinigte Version aktualisieren.
CVSS: 9.8 EPSS: 0.33% Publiziert: Referenz: NVD -
Apache Lucene.Net: XML External Entity (XXE) in Lucene.Net.Analysis.Common
CVE-2026-47898 KritischIn der Bibliothek Lucene.Net.Analysis.Common von Apache Lucene.Net werden XML-Referenzen auf externe Entitäten nicht ausreichend eingeschränkt (XXE). Betroffen sind Versionen ab 4.8.0-beta. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.
CVSS: 9.8 EPSS: 0.33% Publiziert: Referenz: NVD -
Apache Camel-Mail – Header-Injection durch unzureichende Filterung
CVE-2026-33454 KritischDie Apache Camel-Mail-Komponente ist anfällig für eine Camel-Message-Header-Injection. Die verwendete Header-Filterstrategie (MailHeaderFilterStrategy) filtert ausgehende Richtungen unzureichend, was die Manipulation von Mail-Headern ermöglicht. CVSS-Basiswert: 9.4 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.
CVSS: 9.4 EPSS: 0.33% Publiziert: Referenz: NVD -
Apache Gravitino: Codeausführung über bösartige H2-JDBC-URL in testConnection
CVE-2026-41042 KritischIn Apache Gravitino können nicht authentifizierte Aufrufer über die testConnection-API eine bösartige H2-JDBC-URL übergeben. Über den INIT-Parameter von H2 wird dabei beliebiger Java-Code auf dem Server ausgeführt. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.
CVSS: 9.1 EPSS: 0.29% Publiziert: Referenz: NVD -
Apache MINA – Unvollständiger Fix für CVE-2024-52046 (Deserialisierung)
CVE-2026-41409 KritischDer Fix für CVE-2024-52046 in Apache MINA AbstractIoBuffer.getObject() war unvollständig: Die Klassen-Allowlist für erlaubte Deserialisierungen wurde zu spät – nach einem statischen Initializer – angewendet. Dadurch blieb die unsichere Deserialisierung weiterhin möglich. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.
CVSS: 9.8 EPSS: 0.28% Publiziert: Referenz: NVD -
Roxy-WI: unvollständige JWT-Absicherung des Install-Blueprints
CVE-2026-45552 KritischRoxy-WI, eine Weboberfläche zur Verwaltung von HAProxy-, Nginx-, Apache- und Keepalived-Servern, deklariert laut NVD in Version 8.2.6.4 und älter im Install-Blueprint lediglich bp.before_request → @jwt_required(), womit die Absicherung der Routen unvollständig bleibt. CVSS-Basiswert: 9.9 (Kritisch), Vektor CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H. Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: Roxy-WI auf eine Version neuer als 8.2.6.4 aktualisieren; betroffen sind die damit verwalteten Webserver-Dienste.
CVSS: 9.9 EPSS: 0.27% Publiziert: Referenz: NVD -
cas-auth-Plugin: Cross-Site Request Forgery in der Standardkonfiguration
CVE-2026-49871 KritischIm cas-auth-Plugin besteht in der Standardkonfiguration eine Cross-Site-Request-Forgery-Schwachstelle (CSRF). Ein entfernter Angreifer, der ein Opfer auf eine von ihm kontrollierte Webseite lockt, kann die Lücke laut Quelle ausnutzen. CVSS-Basiswert: 9.3 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.
CVSS: 9.3 EPSS: 0.26% Publiziert: Referenz: NVD -
Apache MINA – Unvollständiger Fix für CVE-2026-41409 in Branches 2.1.x und 2.2.x
CVE-2026-42778 KritischDer Fix für CVE-2026-41409 wurde nicht auf die Branches 2.1.x und 2.2.x von Apache MINA angewendet. Das ursprüngliche Problem betrifft die Methode AbstractIoBuffer.getObject(), in der der Fix für CVE-2024-52046 unvollständig implementiert wurde. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.
CVSS: 9.8 EPSS: 0.26% Publiziert: Referenz: NVD -
Apache Doris FE – administrative REST-APIs ohne Authentifizierung erreichbar
CVE-2026-58319 KritischBestimmte administrative HTTP-REST-APIs des Apache Doris Frontend (FE) waren ohne ordnungsgemässe Authentifizierung erreichbar. Ein nicht authentifizierter Angreifer mit Netzwerkzugriff auf den FE-HTTP-Dienst konnte dadurch unautorisierte administrative Aktionen ausführen. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: Netzwerkzugriff auf den FE-HTTP-Dienst einschränken und Updates gemäss Herstellerangaben einspielen.
CVSS: 9.1 EPSS: 0.26% Publiziert: Referenz: NVD -
Apache Tomcat – Unzureichende Eingabevalidierung
CVE-2026-41293 KritischIn Apache Tomcat wurde eine Schwachstelle durch unzureichende Eingabevalidierung identifiziert. Betroffen sind mehrere Versionszweige, darunter 11.0.0-M1 bis 11.0.21, 10.1.0-M1 bis 10.1.54 sowie 9.0.0.M1 und spätere. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.
CVSS: 9.8 EPSS: 0.25% Publiziert: Referenz: NVD -
Apache Camel: Unvollständiger Fix für CVE-2025-27636 ermöglicht Header-Injection
CVE-2026-40453 KritischDer Fix für CVE-2025-27636 in Apache Camel setzte setLowerCase(true) in HttpHeaderFilterStrategy, um Varianten von Header-Namen wie „CAmelExecCommandExecutable” herauszufiltern. Dieser Fix ist unvollständig und kann weiterhin für die Ausführung von Befehren über manipulierte Header ausgenutzt werden. CVSS-Basiswert: 9.9 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.
CVSS: 9.9 EPSS: 0.23% Publiziert: Referenz: NVD -
Apache APISIX – Authentifizierungsumgehung im jwe-decrypt-Plugin
CVE-2026-49230 KritischIn Apache APISIX ist das jwe-decrypt-Plugin in der Standardkonfiguration durch eine fehlerhafte Prüfung des Integritätswerts anfällig für eine Authentifizierungsumgehung. Angreifer können damit die Authentifizierung umgehen. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.
CVSS: 9.1 EPSS: 0.22% Publiziert: Referenz: NVD -
Apache Kafka – Unsichere Standard-JWT-Validierungsklasse (SASL/OAUTHBEARER)
CVE-2026-33557 KritischIn Apache Kafka ist die Broker-Eigenschaft für die JWT-Validierung (sasl.oauthbearer.jwt.validator.class) standardmässig auf eine unsichere Klasse gesetzt, was eine potenzielle Sicherheitslücke darstellt. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.
CVSS: 9.1 EPSS: 0.22% Publiziert: Referenz: NVD -
Apache Gravitino: URL-Path-Injection über nicht kodierte, benutzerdefinierte Bezeichner
CVE-2026-41041 KritischIn Apache Gravitino lassen sich über nicht kodierte, von Benutzern gelieferte Bezeichner Pfade in URLs manipulieren (URL-Path-Injection). Betroffen sind die Versionen ab 1.0.0 vor 1.2.1. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: Laut Quelle wird Anwendern ein Upgrade auf eine fehlerbereinigte Version empfohlen.
CVSS: 9.1 EPSS: 0.21% Publiziert: Referenz: NVD -
Apache APISIX: Identitäts-Spoofing im openid-connect-Plugin
CVE-2026-44087 KritischIn Apache APISIX wird die Authentizität von Daten unzureichend geprüft. Das Plugin openid-connect bietet in der Standardkonfiguration eine Angriffsfläche, über die Angreifer Identitäts-Header fälschen können. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.
CVSS: 9.1 EPSS: 0.21% Publiziert: Referenz: NVD -
Roxy-WI: Unzureichende Berechtigungsprüfung im Endpunkt PUT /smon/check
CVE-2026-45550 KritischRoxy-WI ist eine Weboberfläche zur Verwaltung von HAProxy-, Nginx-, Apache- und Keepalived-Servern. In Version 8.2.6.4 und älter prüft der Endpunkt PUT /smon/check (app/routes/smon/routes.py:117-138) die Berechtigungen nur unzureichend, sodass angemeldete Benutzer mit geringen Rechten Aktionen ausserhalb ihres Zuständigkeitsbereichs auslösen können. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.
CVSS: 9.1 EPSS: 0.20% Publiziert: Referenz: NVD -
Apache Pony Mail: HTTP Request Smuggling – Admin-Übernahme
CVE-2026-41873 KritischIn Apache Pony Mail (nicht mehr unterstützt) ermöglicht eine Schwachstelle durch inkonsistente Interpretation von HTTP-Anfragen (HTTP Request/Response Smuggling) die Übernahme von Administrator-Konten. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.
CVSS: 9.8 EPSS: 0.17% Publiziert: Referenz: NVD -
Apache Tomcat: Unzureichende Dokumentation zur sicheren EncryptInterceptor-Konfiguration
CVE-2026-59084 KritischEine unzureichende technische Dokumentation in Apache Tomcat führte dazu, dass die Voraussetzungen für eine sichere Konfiguration des EncryptInterceptor nicht klar beschrieben waren. Dadurch konnte der Interceptor unbeabsichtigt unsicher betrieben werden. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Eine aktive Ausnutzung über CISA KEV oder ein Ransomware-Bezug ist nicht bekannt. Empfohlene Massnahme: die Dokumentationshinweise beachten, die EncryptInterceptor-Konfiguration entsprechend absichern und verfügbare Aktualisierungen einspielen.
CVSS: 9.1 EPSS: 0.16% Publiziert: Referenz: NVD -
Apache Tomcat – Umgehung von Security Constraints im Rewrite-Valve
CVE-2026-59083 KritischEine fehlerhafte Verarbeitung von URL-Encoding (Hex-Encoding) im Rewrite-Valve von Apache Tomcat erlaubt bei bestimmten Konfigurationen die Umgehung von Security Constraints. Betroffen ist Apache Tomcat ab Version 11.0. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: die Rewrite-Valve-Konfiguration prüfen und auf eine bereinigte Tomcat-Version aktualisieren, sobald verfügbar.
CVSS: 9.1 EPSS: 0.16% Publiziert: Referenz: NVD -
Apache ActiveMQ Artemis – Fehlende Authentifizierung ermöglicht Broker-Manipulation
CVE-2026-27446 KritischIn Apache Artemis bzw. Apache ActiveMQ Artemis fehlt für kritische Funktionen eine Authentifizierung (CWE-306). Ein nicht authentifizierter entfernter Angreifer kann über das Core-Protokoll einen Ziel-Broker zu unerlaubten Aktionen zwingen. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.
CVSS: 9.8 EPSS: 0.16% Publiziert: Referenz: NVD -
Apache Fury (PyFory) – Deserialisierung nicht vertrauenswürdiger Daten
CVE-2026-48207 KritischIn Apache Fury (PyFory) kann der ReduceSerializer die dokumentierten DeserializationPolicy-Validierungshooks während der Wiederherstellung des Reduce-Zustands und der globalen Namensauflösung umgehen. Dies ermöglicht die Deserialisierung nicht vertrauenswürdiger Daten mit potenziell schwerwiegenden Folgen. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 9.8 EPSS: 0.14% Publiziert: Referenz: NVD -
Apache Tomcat – Authentication Bypass in Digest-Authentifizierung (DEPRECATED)
CVE-2026-43512 KritischIn Apache Tomcat besteht eine als veraltet (DEPRECATED) markierte Schwachstelle in der Digest-Authentifizierung, die eine Umgehung der Authentifizierung ermöglicht. Betroffen sind Versionen von 11.0.0-M1 bis 11.0.21 sowie von 10.1.0-M1 bis 10.1.54. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 9.8 EPSS: 0.14% Publiziert: Referenz: NVD -
Apache Iceberg – Manipulation von Metadaten-Pfaden ermöglicht unbefugten Datenzugriff
CVE-2026-42812 KritischIn Apache Iceberg sind Metadaten-Dateien Steuerungsdateien, die festlegen, welche Datendateien zur Tabelle gehören. Der optionale Tabellen-Property-Parameter write.metadata.path kann missbraucht werden, um Metadaten-Dateien an einen nicht autorisierten Speicherort zu schreiben und so unbefugten Zugriff auf Daten zu erlangen. CVSS-Basiswert: 9.9 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 9.9 EPSS: 0.12% Publiziert: Referenz: NVD -
Apache Polaris – Wildcard-Zeichen in Tabellennamen ermöglichen übermässige S3-Zugriffsrechte
CVE-2026-42810 KritischApache Polaris akzeptiert wörtliche Wildcard-Zeichen (*) in Namespace- und Tabellennamen. Beim Aufbau temporärer S3-Zugriffsrichtlinien für delegierten Tabellenzugriff werden diese Zeichen unbehandelt übernommen, was zu übermässig weitreichenden Zugriffsrechten führen kann. CVSS-Basiswert: 9.9 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 9.9 EPSS: 0.11% Publiziert: Referenz: NVD
Diesem Produkt-Feed folgen
Eigener RSS-Feed nur für Apache HTTP Server / ASF-Projekte, kostenlos und ohne Anmeldung. Zustellung per E-Mail, Webhook, REST oder TAXII richten wir auf Anfrage ein.
RSS-Feed öffnen Zustellung anfragenWie folge ich dem Feed?
- 1 RSS-Feed-Link kopieren oder direkt im RSS-Reader öffnen.
- 2 Priorisierte Reports (KEV · EPSS · CVSS) landen automatisch in Ihrem Reader.
- 3 Zustellung per E-Mail, Webhook, REST oder TAXII auf Anfrage einrichten lassen.