1.5 Aktiv ausgenutzte Lücken
Server-Software, Middleware, Web

Apache HTTP Server / ASF-Projekte Seite 4

Server-Software, Middleware, Web
354
Reports
39
Aktiv ausgenutzt
Kritisch
Höchste Priorität
100.0%
Max. EPSS

Schwachstellen-Reports

354 Reports

Zeige 151 bis 200 von 354

  1. Apache Lucene.Net.Replicator: Path-Traversal-Schwachstelle

    CVE-2026-47896 Hoch

    In der Apache Lucene.Net.Replicator-Bibliothek besteht eine Path-Traversal-Schwachstelle (unzureichende Beschränkung eines Pfadnamens auf ein zugelassenes Verzeichnis). CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.7 %. Empfohlene Massnahme: auf eine fehlerbereinigte Version gemäss Apache-Advisory aktualisieren.

    CVSS: 7.5 EPSS: 0.70% Publiziert: Referenz: NVD
  2. Apache HTTP Server: Heap-basierter Pufferüberlauf über ProxyPassReverseCookie

    CVE-2026-34356 Hoch

    Eine Heap-basierte Pufferüberlauf-Schwachstelle im Apache HTTP Server betrifft Umgebungen mit bösartigen Backend-Servern und den ProxyPassReverseCookie*-Direktiven. Betroffen sind die Versionen 2.4.0 bis 2.4.67. Der Angriff erfolgt über das Netzwerk. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.7 %. Empfohlene Massnahme: auf eine fehlerbereinigte Version des Apache HTTP Server aktualisieren.

    CVSS: 7.5 EPSS: 0.68% Publiziert: Referenz: NVD
  3. Apache ActiveMQ Broker: unzureichende Eingabevalidierung (LDAP)

    CVE-2026-49434 Hoch

    In Apache ActiveMQ Broker, Apache ActiveMQ und Apache ActiveMQ All besteht eine Schwachstelle durch unzureichende Eingabevalidierung. Ein Angreifer, der LDAP-Einträge veröffentlichen oder verändern kann, die zur konfigurierten Suche passen, kann die Lücke ausnutzen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.7 %. Empfohlene Massnahme: auf eine korrigierte Version der betroffenen Apache-Software aktualisieren.

    CVSS: 7.5 EPSS: 0.66% Publiziert: Referenz: NVD
  4. Apache OFBiz: Template-Injection (Code Injection) durch berechtigte Nutzer

    CVE-2026-50223 Hoch

    In Apache OFBiz besteht eine Schwachstelle durch unzureichende Kontrolle der Code-Generierung (Code Injection): Ein authentifizierter Benutzer mit niedrigen Rechten und Content-/DataResource-Bearbeitungsberechtigung kann eine Template-Injection durchführen. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.7 %. Empfohlene Massnahme: die vom Hersteller bereitgestellte fehlerbereinigte Version einspielen.

    CVSS: 8.8 EPSS: 0.66% Publiziert: Referenz: NVD
  5. Apache CXF – Unvollständige Korrektur für RCE über nicht vertrauenswürdige JMS-Konfiguration

    CVE-2026-50632 Hoch

    Für Apache CXF wurde festgestellt, dass eine frühere Korrektur zu CVE-2026-44417 (nicht vertrauenswürdige JMS-Konfiguration kann zu RCE führen) unvollständig war. Bei nicht vertrauenswürdiger Konfiguration kann dies weiterhin Codeausführung ermöglichen. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.6 %. Empfohlene Massnahme: Auf eine korrigierte Apache-CXF-Version aktualisieren.

    CVSS: 8.1 EPSS: 0.65% Publiziert: Referenz: NVD
  6. Apache Lucene.Net.Replicator – Path Traversal

    CVE-2026-47897 Hoch

    Eine Path-Traversal-Schwachstelle (unzureichende Beschränkung eines Pfadnamens auf ein zulässiges Verzeichnis) betrifft die Bibliothek Lucene.Net.Replicator von Apache Lucene.Net. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.6 %. Empfohlene Massnahme: auf eine korrigierte Version aktualisieren.

    CVSS: 7.5 EPSS: 0.62% Publiziert: Referenz: NVD
  7. Apache HTTP Server: Buffer Over-read über ausgehende OCSP-Anfragen

    CVE-2026-44185 Hoch

    Im Apache HTTP Server besteht eine Buffer-Over-read-Schwachstelle über ausgehende OCSP-Anfragen an einen vom Angreifer kontrollierten OCSP-Server. Betroffen sind laut Quelle die Versionen 2.4.0 bis 2.4.67. CVSS-Basiswert: 7.3 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.6 %. Empfohlene Massnahme: auf eine korrigierte Apache-HTTP-Server-Version aktualisieren.

    CVSS: 7.3 EPSS: 0.60% Publiziert: Referenz: NVD
  8. Apache ActiveMQ – fehlende Autorisierung bei temporären Destinations

    CVE-2026-54475 Hoch

    Eine Schwachstelle durch fehlende Autorisierung betrifft Apache ActiveMQ Broker, Apache ActiveMQ All und Apache ActiveMQ. Bei Apache ActiveMQ Classic sollten temporäre Destinations auf die Verbindung isoliert sein, die sie erzeugt hat; diese Isolation war laut Quelle nicht gewährleistet. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.6 %. Empfohlene Massnahme: auf eine korrigierte Version aktualisieren.

    CVSS: 7.5 EPSS: 0.59% Publiziert: Referenz: NVD
  9. Apache HttpComponents Core: Unkontrollierter Ressourcenverbrauch im HTTP/1.1-Parser ermöglicht Denial of Service

    CVE-2026-54399 Hoch

    Eine Schwachstelle durch unkontrollierten Ressourcenverbrauch im HTTP/1.1-Nachrichten-Parser von Apache HttpComponents Core (5.4.2 und früher sowie 5.5-beta1 und früher) erlaubt einem entfernten Angreifer einen Denial of Service. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.6 %.

    CVSS: 7.5 EPSS: 0.59% Publiziert: Referenz: NVD
  10. Apache HttpComponents Core: DoS im HTTP/2-HPACK-Decoder

    CVE-2026-54428 Hoch

    Eine Ressourcenzuweisung ohne Limit oder Drosselung im HTTP/2-HPACK-Decoder von Apache HttpComponents Core (Version 5.4.2 und früher, 5.5-beta1 und früher) erlaubt einem entfernten Angreifer, einen Denial of Service auszulösen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.6 %. Empfohlene Massnahme: auf eine fehlerbereinigte Version gemäss Apache-Advisory aktualisieren.

    CVSS: 7.5 EPSS: 0.59% Publiziert: Referenz: NVD
  11. Apache HTTP Server mod_dav_lock – NULL-Pointer-Dereferenz

    CVE-2026-29169 Hoch

    In Apache HTTP Server kann ein Null-Zeiger-Fehler in mod_dav_lock durch einen manipulierten HTTP-Request ausgelöst werden, was zum Absturz des Servers führt. Betroffen sind Versionen 2.4.66 und früher. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.6 %.

    CVSS: 7.5 EPSS: 0.58% Publiziert: Referenz: NVD
  12. Apache HTTP Server: Endlosschleife im Modul mod_proxy_ftp

    CVE-2026-44186 Hoch

    Das Modul mod_proxy_ftp im Apache HTTP Server enthält eine Schwachstelle mit unerreichbarer Abbruchbedingung (Endlosschleife), die bei einem vom Angreifer kontrollierten Backend-FTP-Server ausgelöst werden kann. Als betroffen ausgewiesen sind Apache HTTP Server / ASF-Projekte und Apache Tomcat. CVSS-Basiswert: 7.3 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.6 %. Empfohlene Massnahme: die vom Hersteller bereitgestellten Updates einspielen.

    CVSS: 7.3 EPSS: 0.56% Publiziert: Referenz: NVD
  13. Apache IoTDB: Denial of Service durch unbegrenzte Abfragezeitspannen

    CVE-2026-24012 Hoch

    Eine Schwachstelle des Typs Uncontrolled Resource Consumption in Apache IoTDB: Eine Schnittstelle erzwingt keine angemessenen Grenzen für die Zeitspanne und das Aggregationsintervall einer Abfrage. Ein Angreifer kann eine entsprechend präparierte Abfrage konstruieren und so einen Denial of Service auslösen. Der Angriff erfolgt über das Netzwerk. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %.

    CVSS: 7.5 EPSS: 0.55% Publiziert: Referenz: NVD
  14. Apache Camel – Deserialisierung nicht vertrauenswürdiger Daten

    CVE-2026-42527 Hoch

    In Apache Camel besteht eine Schwachstelle durch Deserialisierung nicht vertrauenswürdiger Daten. Das in mehreren Apache-Camel-Komponenten mitgelieferte Standard-ObjectInputFilter-Muster für die Defense-in-Depth-Filterung bei der Deserialisierung ist unzureichend. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: Betroffene Apache-Camel-Komponenten aktualisieren.

    CVSS: 8.1 EPSS: 0.55% Publiziert: Referenz: NVD
  15. Apache Camel (Vertx-Websocket-Komponente): SSRF und Informationsoffenlegung durch fehlerhafte Eingabevalidierung

    CVE-2026-46726 Hoch

    In der Vertx-Websocket-Komponente von Apache Camel ermöglichen fehlerhafte Eingabevalidierung sowie die Offenlegung sensibler Informationen gegenüber Unbefugten eine Server-Side Request Forgery (SSRF). CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %.

    CVSS: 7.5 EPSS: 0.54% Publiziert: Referenz: NVD
  16. Apache Camel Atmosphere-Websocket: SSRF und Offenlegung sensibler Informationen

    CVE-2026-55993 Hoch

    Eine Schwachstelle in der Atmosphere-Websocket-Komponente von Apache Camel erlaubt durch unzureichende Eingabevalidierung eine Server-Side Request Forgery (SSRF) sowie die Offenlegung sensibler Informationen gegenüber einem nicht autorisierten Akteur. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: auf eine vom Hersteller bereitgestellte, korrigierte Version aktualisieren.

    CVSS: 7.5 EPSS: 0.54% Publiziert: Referenz: NVD
  17. Apache ActiveMQ – Fehlerhafte Autorisierung beim Zugriff auf die Web-Console

    CVE-2026-49877 Hoch

    In Apache ActiveMQ kann ein authentifizierter Web-Console-Benutzer mit geringen Rechten standardmäßig auf die /admin/*-Pfade der Web-Console zugreifen. Ursache sind fehlerhafte Standard-Jetty-Einstellungen. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %.

    CVSS: 8.1 EPSS: 0.51% Publiziert: Referenz: NVD
  18. Apache Camel (JMS-Komponente) – Deserialisierung nicht vertrauenswürdiger Daten

    CVE-2026-43866 Hoch

    Eine Schwachstelle durch Deserialisierung nicht vertrauenswürdiger Daten betrifft Apache Camel bzw. die Apache Camel JMS-Komponente. Laut Quelle deserialisiert JmsBinding.extractBodyFromJms() in camel-jms – und das entsprechende JmsBinding in camel-sjms – Daten unsicher. CVSS-Basiswert: 7.3 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: auf eine korrigierte Version aktualisieren.

    CVSS: 7.3 EPSS: 0.50% Publiziert: Referenz: NVD
  19. Spring for Apache Kafka: unsichere Präfix-Prüfung vertrauenswürdiger Pakete im Kafka-Header-Mapper

    CVE-2026-41731 Hoch

    Der JsonKafkaHeaderMapper sowie der veraltete DefaultKafkaHeaderMapper glichen Typ-Header über eine reine Präfix-Prüfung gegen die Liste vertrauenswürdiger Pakete ab. Dadurch wurden mit einem als vertrauenswürdig eingestuften Paket implizit auch alle dessen Unterpakete als vertrauenswürdig behandelt. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: Auf die vom Hersteller bereitgestellte, korrigierte Version aktualisieren.

    CVSS: 8.1 EPSS: 0.49% Publiziert: Referenz: NVD
  20. Apache Spark – Sicherheitslücke (vor 3.5.7 / 4.0.1)

    CVE-2025-54920 Hoch

    In Apache Spark wurden in Versionen vor 3.5.7 und 4.0.1 Sicherheitsprobleme gemeldet. Empfohlene Massnahme: Upgrade auf Version 3.5.7 oder 4.0.1 bzw. neuer. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %.

    CVSS: 8.8 EPSS: 0.49% Publiziert: Referenz: NVD
  21. Deserialisierung nicht vertrauenswürdiger Daten in Apache Camel PQC

    CVE-2026-46590 Hoch

    Die camel-pqc-Komponente von Apache Camel weist eine Schwachstelle durch Deserialisierung nicht vertrauenswürdiger Daten auf. Die Komponente persistiert Metadaten von Post-Quantum-Schlüsseln (KeyMetadata) über pluggable KeyLifecycleManager-Implementierungen. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: auf eine fehlerbereinigte Version von Apache Camel aktualisieren.

    CVSS: 8.8 EPSS: 0.48% Publiziert: Referenz: NVD
  22. Apache HTTP Server (mod_http2): Use-after-free bei erschöpften Datei-Handles

    CVE-2026-48913 Hoch

    Eine Use-after-free-Schwachstelle im Apache-HTTP-Server-Modul mod_http2 tritt auf, wenn die Datei-Handles bereits erschöpft sind. Betroffen ist Apache HTTP Server von 2.4.55 bis 2.4.67. CVSS-Basiswert: 7.3 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: auf eine korrigierte Apache-HTTP-Server-Version aktualisieren.

    CVSS: 7.3 EPSS: 0.48% Publiziert: Referenz: NVD
  23. Apache Tomcat: Authentifizierungsumgehung im JNDIRealm (GSSAPI)

    CVE-2026-55957 Hoch

    War in Apache Tomcat der JNDIRealm so konfiguriert, dass Bind-Vorgänge über GSSAPI authentifiziert werden, konnten Angreifer sich anmelden, ohne die korrekten Zugangsdaten anzugeben (fehlender kritischer Authentifizierungsschritt). Als betroffen ausgewiesen sind Apache HTTP Server / ASF-Projekte und Apache Tomcat. CVSS-Basiswert: 7.3 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: die vom Hersteller bereitgestellten Updates einspielen.

    CVSS: 7.3 EPSS: 0.46% Publiziert: Referenz: NVD
  24. CVE-2026-58065 – Apache Airflow Git-Provider deaktiviert SSH-Hostkey-Prüfung

    CVE-2026-58065 Hoch

    Der Git-Provider von Apache Airflow führt seine Git-über-SSH-Operationen standardmässig mit StrictHostKeyChecking=no aus und deaktiviert damit die Prüfung des SSH-Hostschlüssels. Ein Angreifer, der den Netzwerkpfad abfangen kann, ist dadurch in der Lage, sich in die Verbindung einzuklinken (Man-in-the-Middle). CVSS-Basiswert: 8.1 (Hoch).

    CVSS: 8.1 EPSS: 0.46% Publiziert: Referenz: NVD
  25. Apache CXF: Unbegrenzte Anzahl von Attachment-Headern ermöglicht Denial of Service

    CVE-2026-50645 Hoch

    Beim Deserialisieren einer Nachricht durch Apache CXF gibt es keine Begrenzung der Anzahl der Attachment-Header, die eine Nachricht enthalten darf. Dies kann zu unkontrolliertem Ressourcenverbrauch und damit zu einem Denial of Service führen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %.

    CVSS: 7.5 EPSS: 0.46% Publiziert: Referenz: NVD
  26. Apache Answer: administrative Tokens nach Berechtigungsänderung nicht invalidiert

    CVE-2026-25700 Hoch

    In Apache Answer besteht eine Schwachstelle durch unzureichende Einschränkung der Sicherheits-Token-Zuweisung. Zuvor ausgestellte administrative Tokens wurden laut Quelle nicht invalidiert. Betroffen ist Apache Answer bis Version 2.0.0. CVSS-Basiswert: 7.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: auf eine vom Hersteller korrigierte Version aktualisieren.

    CVSS: 7.2 EPSS: 0.45% Publiziert: Referenz: NVD
  27. Apache Camel: Unzureichende Eingabevalidierung in der NATS-Komponente

    CVE-2026-46457 Hoch

    Die Komponente camel-nats von Apache Camel überträgt eingehende NATS-Nachrichten-Header in den Camel-Exchange, wobei die headerFilterStrategy standardmässig unzureichend gesetzt ist (Improper Input Validation). Als betroffen ausgewiesen sind Apache HTTP Server / ASF-Projekte und Apache Tomcat. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: die vom Hersteller bereitgestellten Updates einspielen.

    CVSS: 7.5 EPSS: 0.42% Publiziert: Referenz: NVD
  28. Apache Tomcat: fehlerhafte Kontrollfluss-Umsetzung im Rewrite-Valve

    CVE-2026-53404 Hoch

    Eine Schwachstelle durch stets fehlerhafte Kontrollfluss-Umsetzung im Rewrite-Valve von Apache Tomcat führte dazu, dass bei einer erfüllten ersten Bedingung einer OR-Verkettung nachfolgende Nicht-OR-Bedingungen übersprungen wurden. CVSS-Basiswert: 7.3 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: auf eine korrigierte Apache-Tomcat-Version aktualisieren.

    CVSS: 7.3 EPSS: 0.41% Publiziert: Referenz: NVD
  29. Apache APISIX – Open Redirect auf nicht vertrauenswürdige Seite

    CVE-2026-48895 Hoch

    Eine Open-Redirect-Schwachstelle (URL-Umleitung auf eine nicht vertrauenswürdige Seite) betrifft Apache APISIX. Ein Angreifer könnte laut Quelle bestimmte Client-Header manipulieren, um eine offene Weiterleitung auszulösen und dadurch die Session potenziell offenzulegen. CVSS-Basiswert: 7.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: auf eine korrigierte Version aktualisieren.

    CVSS: 7.2 EPSS: 0.41% Publiziert: Referenz: NVD
  30. Apache OFBiz: Rechteausweitung durch niedrig privilegierte Nutzer

    CVE-2026-47342 Hoch

    Eine Schwachstelle zur Rechteausweitung in Apache OFBiz erlaubt einem niedrig privilegierten, authentifizierten Nutzer, höhere Berechtigungen zu erlangen. Betroffen sind laut Quelldaten Versionen vor 24.09.07. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: Aktualisierung auf Apache OFBiz 24.09.07 oder neuer.

    CVSS: 8.8 EPSS: 0.41% Publiziert: Referenz: NVD
  31. Apache Traffic Server – Absturz durch fehlerhafte POST-Verarbeitung

    CVE-2025-58136 Hoch

    In Apache Traffic Server (Versionen 10.0.0 bis 10.1.1 sowie 9.0.0 bis 9.2.12) verursacht ein Fehler in der POST-Anfrageverarbeitung unter bestimmten Bedingungen einen Absturz. Empfohlene Massnahme: Upgrade auf eine gepatchte Version. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.

    CVSS: 7.5 EPSS: 0.41% Publiziert: Referenz: NVD
  32. Apache APISIX: Improper Input Validation im forward-auth-Plugin

    CVE-2026-39998 Hoch

    Eine Schwachstelle durch unzureichende Eingabevalidierung in Apache APISIX erlaubt es einem Angreifer, über bestimmte Konfigurationen des forward-auth-Plugins Identity-Header zu fälschen und so Identitäten vorzutäuschen. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.

    CVSS: 8.8 EPSS: 0.40% Publiziert: Referenz: NVD
  33. Apache Camel: Unzureichende Eingabevalidierung in der Lucene-Komponente

    CVE-2026-46585 Hoch

    In der Lucene-Komponente von Apache Camel ermöglichen eine unzureichende Eingabevalidierung sowie eine Autorisierungsumgehung über einen benutzerkontrollierten Schlüssel den unbefugten Zugriff. Der camel-lucene-Producer liest die Suchphrase aus einem Exchange-Header. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: auf eine korrigierte Apache-Camel-Version aktualisieren.

    CVSS: 7.5 EPSS: 0.40% Publiziert: Referenz: NVD
  34. Apache Camel – unzureichende Eingabevalidierung

    CVE-2026-46587 Hoch

    Eine Schwachstelle durch unzureichende Eingabevalidierung betrifft Apache Camel. Betroffen sind laut Quelle Apache Camel bis 4.14.7, von 4.15.0 bis 4.18.2 sowie von 4.19.0 bis 4.20.0. CVSS-Basiswert: 7.3 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: auf eine korrigierte Version aktualisieren.

    CVSS: 7.3 EPSS: 0.40% Publiziert: Referenz: NVD
  35. Apache Camel: unzureichende Eingabevalidierung

    CVE-2026-46588 Hoch

    In Apache Camel besteht eine Schwachstelle durch unzureichende Eingabevalidierung. Betroffen sind laut Quelle die Versionen bis 4.14.7, von 4.15.0 bis 4.18.2 sowie von 4.19.0 bis 4.20.0. CVSS-Basiswert: 7.3 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: auf eine vom Hersteller empfohlene korrigierte Version aktualisieren.

    CVSS: 7.3 EPSS: 0.40% Publiziert: Referenz: NVD
  36. Apache Camel: Schwachstelle durch unzureichende Eingabevalidierung

    CVE-2026-49042 Hoch

    Eine Schwachstelle durch unzureichende Eingabevalidierung in Apache Camel betrifft die Versionen 4.8.0 bis 4.18.2 sowie 4.19.0 bis 4.20.0. CVSS-Basiswert: 7.3 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: auf die vom Hersteller empfohlenen Versionen (u. a. 4.18.3) aktualisieren.

    CVSS: 7.3 EPSS: 0.40% Publiziert: Referenz: NVD
  37. Apache Camel CXF SOAP: Confused-Deputy-Schwachstelle durch unzureichende Eingabevalidierung

    CVE-2026-46592 Hoch

    Eine Schwachstelle durch unzureichende Eingabevalidierung in der CXF-SOAP-Komponente (camel-cxf) von Apache Camel erlaubt es einem Angreifer, die aufgerufene SOAP-Operation zu beeinflussen (Unintended Proxy / 'Confused Deputy'). CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: auf eine vom Hersteller bereitgestellte, korrigierte Version aktualisieren.

    CVSS: 7.5 EPSS: 0.40% Publiziert: Referenz: NVD
  38. Apache Camel (Iggy-Komponente): SSRF und Informationsoffenlegung durch fehlerhafte Eingabevalidierung

    CVE-2026-55994 Hoch

    In der Iggy-Komponente von Apache Camel ermöglichen fehlerhafte Eingabevalidierung sowie die Offenlegung sensibler Informationen gegenüber Unbefugten eine Server-Side Request Forgery (SSRF). CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.

    CVSS: 7.5 EPSS: 0.40% Publiziert: Referenz: NVD
  39. Apache NiFi: Fehlende Autorisierung beim Ersetzen von Process Groups

    CVE-2026-44914 Hoch

    In Apache NiFi 1.12.0 bis 2.9.0 fehlt eine Autorisierungsprüfung beim Ersetzen von Process Groups, die Erweiterungskomponenten mit bestimmten über die Restricted-Annotation geforderten Berechtigungen enthalten. CVSS-Basiswert: 7.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: auf eine fehlerbereinigte Version gemäss Apache-Advisory aktualisieren.

    CVSS: 7.2 EPSS: 0.39% Publiziert: Referenz: NVD
  40. Apache NiFi: SQL-Injection im CaptureChangeMySQL-Processor durch fehlerhaftes Escaping von Tabellennamen

    CVE-2026-44913 Hoch

    Fehlerhaftes Escaping von Datenbank-Tabellennamen im CaptureChangeMySQL-Processor von Apache NiFi 1.2.0 bis 2.9.0 ermöglicht das Einschleusen von SQL-Befehlen über gezielt gestaltete Namen. CVSS-Basiswert: 7.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.

    CVSS: 7.2 EPSS: 0.39% Publiziert: Referenz: NVD
  41. Apache Doris MCP Server – SQL-Injection im Metadaten-Abfragepfad

    CVE-2025-66336 Hoch

    Der Apache Doris MCP Server enthält eine SQL-Injection-Schwachstelle in einem Metadaten-Abfragepfad. Ein durch den Benutzer kontrollierter Datenbankname wird direkt in eine SQL-Abfrage eingefügt und ohne Parametrisierung ausgeführt. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.

    CVSS: 8.1 EPSS: 0.38% Publiziert: Referenz: NVD
  42. Rechtekollision im FAB-Auth-Manager von Apache Airflow

    CVE-2026-59245 Hoch

    Im FAB-Auth-Manager von Apache Airflow kollidiert eine DAG mit der dag_id DAGs mit dem globalen Ressourcennamen für die Alle-DAGs-Berechtigung, den resource_name() erzeugt. Dadurch kann eine einem Nutzer erteilte, auf eine einzelne DAG beschränkte Berechtigung mit der globalen Berechtigung für alle DAGs zusammenfallen. CVSS-Basiswert: 8.1 (Hoch).

    CVSS: 8.1 EPSS: 0.36% Publiziert: Referenz: NVD
  43. Spring – Trusted-Package-Prüfung in JsonPulsarHeaderMapper umgehbar

    CVE-2026-41732 Hoch

    Der JsonPulsarHeaderMapper prüfte Typ-Header gegen vertrauenswürdige Pakete über einen Präfix-Abgleich, wodurch das Vertrauen in ein Paket implizit auch alle seine Unterpakete einschloss. Zusätzlich wirkte sich eine leere Liste vertrauenswürdiger Pakete unsicher aus. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: auf eine fehlerbereinigte Version aktualisieren.

    CVSS: 8.1 EPSS: 0.35% Publiziert: Referenz: NVD
  44. Apache Camel Neo4J: Injection in der Cypher-WHERE-Klausel

    CVE-2026-46591 Hoch

    In der Neo4J-Komponente von Apache Camel werden Sonderzeichen in der Datenabfragelogik unzureichend neutralisiert. Der camel-neo4j-Producer erzeugt für seine Match-, Retrieve- und Delete-Operationen die Cypher-WHERE-Klausel, wodurch eine Injection möglich wird. CVSS-Basiswert: 8.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: auf eine bereinigte Version der camel-neo4j-Komponente aktualisieren.

    CVSS: 8.2 EPSS: 0.33% Publiziert: Referenz: NVD
  45. Apache APISIX – fehlerhafte Authentifizierung im cas-auth-Plugin

    CVE-2026-49872 Hoch

    In Apache APISIX besteht eine Schwachstelle bei der Authentifizierung: Wird das cas-auth-Plugin in einer Route verwendet, kann sich ein Angreifer möglicherweise mit Zugangsdaten aus einer anderen Quelle authentifizieren. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: auf eine fehlerbereinigte Version aktualisieren.

    CVSS: 8.1 EPSS: 0.32% Publiziert: Referenz: NVD
  46. Apache Traffic Server – Request Smuggling durch fehlerhafte Chunked-Nachrichten

    CVE-2025-65114 Hoch

    Apache Traffic Server ermöglicht Request Smuggling, wenn Chunked-Nachrichten fehlerhaft sind. Betroffen sind die Versionen 9.0.0 bis 9.2.12 sowie 10.0.0 bis 10.1.1. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.

    CVSS: 7.5 EPSS: 0.30% Publiziert: Referenz: NVD
  47. Apache CXF: Race Condition ermöglicht Umgehung der Refresh-Token-Einmalnutzung

    CVE-2026-50631 Hoch

    Eine Race Condition in AbstractOAuthDataProvider erlaubt es, dass gleichzeitige Anfragen mit demselben Refresh Token die Einmalnutzungs-Semantik umgehen und mehrere gültige Access Tokens erzeugen, wenn 'recycleRefreshTokens' entsprechend konfiguriert ist. CVSS-Basiswert: 7.4 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: auf eine fehlerbereinigte Version gemäss Apache-Advisory aktualisieren.

    CVSS: 7.4 EPSS: 0.29% Publiziert: Referenz: NVD
  48. Fehlerhafte Autorisierung in Apache APISIX (authz-casdoor-Plugin)

    CVE-2026-47339 Hoch

    In Apache APISIX besteht eine Schwachstelle durch fehlerhafte Autorisierung. Unter der Standardkonfiguration des Plugins authz-casdoor kann ein Angreifer sich mit Zugangsdaten aus einer anderen Quelle authentifizieren. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.

    CVSS: 8.1 EPSS: 0.29% Publiziert: Referenz: NVD
  49. Apache Camel – Unsichere Java-Deserialisierung in ConsulRegistry

    CVE-2026-27172 Hoch

    Die Klasse ConsulRegistry im Apache-Camel-Modul camel-consul liest Java-serialisierte Werte aus dem Consul-Backend und deserialisiert diese ohne ausreichende Prüfung. Dies kann von einem Angreifer mit Schreibzugriff auf Consul ausgenutzt werden, um beliebigen Code auszuführen. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.

    CVSS: 8.8 EPSS: 0.27% Publiziert: Referenz: NVD
  50. Apache Camel-Infinispan: Unsichere Deserialisierung in Remote-Aggregations-Repository

    CVE-2026-40858 Hoch

    Das ProtoStream-basierte Remote-Aggregations-Repository der camel-infinispan-Komponente deserialisiert Daten aus einem entfernten Infinispan-Cache mittels java.io.ObjectInputStream ohne ObjectInputFilter anzuwenden. Dies ermöglicht unsichere Deserialisierung über manipulierte Cache-Einträge. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.

    CVSS: 8.8 EPSS: 0.27% Publiziert: Referenz: NVD

Diesem Produkt-Feed folgen

Eigener RSS-Feed nur für Apache HTTP Server / ASF-Projekte, kostenlos und ohne Anmeldung. Zustellung per E-Mail, Webhook, REST oder TAXII richten wir auf Anfrage ein.

RSS-Feed öffnen Zustellung anfragen

Wie folge ich dem Feed?

  • 1 RSS-Feed-Link kopieren oder direkt im RSS-Reader öffnen.
  • 2 Priorisierte Reports (KEV · EPSS · CVSS) landen automatisch in Ihrem Reader.
  • 3 Zustellung per E-Mail, Webhook, REST oder TAXII auf Anfrage einrichten lassen.
Zurück zum Katalog