Apache HTTP Server / ASF-Projekte Seite 4
Schwachstellen-Reports
354 ReportsZeige 151 bis 200 von 354
-
Apache Lucene.Net.Replicator: Path-Traversal-Schwachstelle
CVE-2026-47896 HochIn der Apache Lucene.Net.Replicator-Bibliothek besteht eine Path-Traversal-Schwachstelle (unzureichende Beschränkung eines Pfadnamens auf ein zugelassenes Verzeichnis). CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.7 %. Empfohlene Massnahme: auf eine fehlerbereinigte Version gemäss Apache-Advisory aktualisieren.
CVSS: 7.5 EPSS: 0.70% Publiziert: Referenz: NVD -
Apache HTTP Server: Heap-basierter Pufferüberlauf über ProxyPassReverseCookie
CVE-2026-34356 HochEine Heap-basierte Pufferüberlauf-Schwachstelle im Apache HTTP Server betrifft Umgebungen mit bösartigen Backend-Servern und den ProxyPassReverseCookie*-Direktiven. Betroffen sind die Versionen 2.4.0 bis 2.4.67. Der Angriff erfolgt über das Netzwerk. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.7 %. Empfohlene Massnahme: auf eine fehlerbereinigte Version des Apache HTTP Server aktualisieren.
CVSS: 7.5 EPSS: 0.68% Publiziert: Referenz: NVD -
Apache ActiveMQ Broker: unzureichende Eingabevalidierung (LDAP)
CVE-2026-49434 HochIn Apache ActiveMQ Broker, Apache ActiveMQ und Apache ActiveMQ All besteht eine Schwachstelle durch unzureichende Eingabevalidierung. Ein Angreifer, der LDAP-Einträge veröffentlichen oder verändern kann, die zur konfigurierten Suche passen, kann die Lücke ausnutzen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.7 %. Empfohlene Massnahme: auf eine korrigierte Version der betroffenen Apache-Software aktualisieren.
CVSS: 7.5 EPSS: 0.66% Publiziert: Referenz: NVD -
Apache OFBiz: Template-Injection (Code Injection) durch berechtigte Nutzer
CVE-2026-50223 HochIn Apache OFBiz besteht eine Schwachstelle durch unzureichende Kontrolle der Code-Generierung (Code Injection): Ein authentifizierter Benutzer mit niedrigen Rechten und Content-/DataResource-Bearbeitungsberechtigung kann eine Template-Injection durchführen. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.7 %. Empfohlene Massnahme: die vom Hersteller bereitgestellte fehlerbereinigte Version einspielen.
CVSS: 8.8 EPSS: 0.66% Publiziert: Referenz: NVD -
Apache CXF – Unvollständige Korrektur für RCE über nicht vertrauenswürdige JMS-Konfiguration
CVE-2026-50632 HochFür Apache CXF wurde festgestellt, dass eine frühere Korrektur zu CVE-2026-44417 (nicht vertrauenswürdige JMS-Konfiguration kann zu RCE führen) unvollständig war. Bei nicht vertrauenswürdiger Konfiguration kann dies weiterhin Codeausführung ermöglichen. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.6 %. Empfohlene Massnahme: Auf eine korrigierte Apache-CXF-Version aktualisieren.
CVSS: 8.1 EPSS: 0.65% Publiziert: Referenz: NVD -
Apache Lucene.Net.Replicator – Path Traversal
CVE-2026-47897 HochEine Path-Traversal-Schwachstelle (unzureichende Beschränkung eines Pfadnamens auf ein zulässiges Verzeichnis) betrifft die Bibliothek Lucene.Net.Replicator von Apache Lucene.Net. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.6 %. Empfohlene Massnahme: auf eine korrigierte Version aktualisieren.
CVSS: 7.5 EPSS: 0.62% Publiziert: Referenz: NVD -
Apache HTTP Server: Buffer Over-read über ausgehende OCSP-Anfragen
CVE-2026-44185 HochIm Apache HTTP Server besteht eine Buffer-Over-read-Schwachstelle über ausgehende OCSP-Anfragen an einen vom Angreifer kontrollierten OCSP-Server. Betroffen sind laut Quelle die Versionen 2.4.0 bis 2.4.67. CVSS-Basiswert: 7.3 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.6 %. Empfohlene Massnahme: auf eine korrigierte Apache-HTTP-Server-Version aktualisieren.
CVSS: 7.3 EPSS: 0.60% Publiziert: Referenz: NVD -
Apache ActiveMQ – fehlende Autorisierung bei temporären Destinations
CVE-2026-54475 HochEine Schwachstelle durch fehlende Autorisierung betrifft Apache ActiveMQ Broker, Apache ActiveMQ All und Apache ActiveMQ. Bei Apache ActiveMQ Classic sollten temporäre Destinations auf die Verbindung isoliert sein, die sie erzeugt hat; diese Isolation war laut Quelle nicht gewährleistet. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.6 %. Empfohlene Massnahme: auf eine korrigierte Version aktualisieren.
CVSS: 7.5 EPSS: 0.59% Publiziert: Referenz: NVD -
Apache HttpComponents Core: Unkontrollierter Ressourcenverbrauch im HTTP/1.1-Parser ermöglicht Denial of Service
CVE-2026-54399 HochEine Schwachstelle durch unkontrollierten Ressourcenverbrauch im HTTP/1.1-Nachrichten-Parser von Apache HttpComponents Core (5.4.2 und früher sowie 5.5-beta1 und früher) erlaubt einem entfernten Angreifer einen Denial of Service. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.6 %.
CVSS: 7.5 EPSS: 0.59% Publiziert: Referenz: NVD -
Apache HttpComponents Core: DoS im HTTP/2-HPACK-Decoder
CVE-2026-54428 HochEine Ressourcenzuweisung ohne Limit oder Drosselung im HTTP/2-HPACK-Decoder von Apache HttpComponents Core (Version 5.4.2 und früher, 5.5-beta1 und früher) erlaubt einem entfernten Angreifer, einen Denial of Service auszulösen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.6 %. Empfohlene Massnahme: auf eine fehlerbereinigte Version gemäss Apache-Advisory aktualisieren.
CVSS: 7.5 EPSS: 0.59% Publiziert: Referenz: NVD -
Apache HTTP Server mod_dav_lock – NULL-Pointer-Dereferenz
CVE-2026-29169 HochIn Apache HTTP Server kann ein Null-Zeiger-Fehler in mod_dav_lock durch einen manipulierten HTTP-Request ausgelöst werden, was zum Absturz des Servers führt. Betroffen sind Versionen 2.4.66 und früher. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.6 %.
CVSS: 7.5 EPSS: 0.58% Publiziert: Referenz: NVD -
Apache HTTP Server: Endlosschleife im Modul mod_proxy_ftp
CVE-2026-44186 HochDas Modul mod_proxy_ftp im Apache HTTP Server enthält eine Schwachstelle mit unerreichbarer Abbruchbedingung (Endlosschleife), die bei einem vom Angreifer kontrollierten Backend-FTP-Server ausgelöst werden kann. Als betroffen ausgewiesen sind Apache HTTP Server / ASF-Projekte und Apache Tomcat. CVSS-Basiswert: 7.3 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.6 %. Empfohlene Massnahme: die vom Hersteller bereitgestellten Updates einspielen.
CVSS: 7.3 EPSS: 0.56% Publiziert: Referenz: NVD -
Apache IoTDB: Denial of Service durch unbegrenzte Abfragezeitspannen
CVE-2026-24012 HochEine Schwachstelle des Typs Uncontrolled Resource Consumption in Apache IoTDB: Eine Schnittstelle erzwingt keine angemessenen Grenzen für die Zeitspanne und das Aggregationsintervall einer Abfrage. Ein Angreifer kann eine entsprechend präparierte Abfrage konstruieren und so einen Denial of Service auslösen. Der Angriff erfolgt über das Netzwerk. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %.
CVSS: 7.5 EPSS: 0.55% Publiziert: Referenz: NVD -
Apache Camel – Deserialisierung nicht vertrauenswürdiger Daten
CVE-2026-42527 HochIn Apache Camel besteht eine Schwachstelle durch Deserialisierung nicht vertrauenswürdiger Daten. Das in mehreren Apache-Camel-Komponenten mitgelieferte Standard-ObjectInputFilter-Muster für die Defense-in-Depth-Filterung bei der Deserialisierung ist unzureichend. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: Betroffene Apache-Camel-Komponenten aktualisieren.
CVSS: 8.1 EPSS: 0.55% Publiziert: Referenz: NVD -
Apache Camel (Vertx-Websocket-Komponente): SSRF und Informationsoffenlegung durch fehlerhafte Eingabevalidierung
CVE-2026-46726 HochIn der Vertx-Websocket-Komponente von Apache Camel ermöglichen fehlerhafte Eingabevalidierung sowie die Offenlegung sensibler Informationen gegenüber Unbefugten eine Server-Side Request Forgery (SSRF). CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %.
CVSS: 7.5 EPSS: 0.54% Publiziert: Referenz: NVD -
Apache Camel Atmosphere-Websocket: SSRF und Offenlegung sensibler Informationen
CVE-2026-55993 HochEine Schwachstelle in der Atmosphere-Websocket-Komponente von Apache Camel erlaubt durch unzureichende Eingabevalidierung eine Server-Side Request Forgery (SSRF) sowie die Offenlegung sensibler Informationen gegenüber einem nicht autorisierten Akteur. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: auf eine vom Hersteller bereitgestellte, korrigierte Version aktualisieren.
CVSS: 7.5 EPSS: 0.54% Publiziert: Referenz: NVD -
Apache ActiveMQ – Fehlerhafte Autorisierung beim Zugriff auf die Web-Console
CVE-2026-49877 HochIn Apache ActiveMQ kann ein authentifizierter Web-Console-Benutzer mit geringen Rechten standardmäßig auf die /admin/*-Pfade der Web-Console zugreifen. Ursache sind fehlerhafte Standard-Jetty-Einstellungen. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %.
CVSS: 8.1 EPSS: 0.51% Publiziert: Referenz: NVD -
Apache Camel (JMS-Komponente) – Deserialisierung nicht vertrauenswürdiger Daten
CVE-2026-43866 HochEine Schwachstelle durch Deserialisierung nicht vertrauenswürdiger Daten betrifft Apache Camel bzw. die Apache Camel JMS-Komponente. Laut Quelle deserialisiert JmsBinding.extractBodyFromJms() in camel-jms – und das entsprechende JmsBinding in camel-sjms – Daten unsicher. CVSS-Basiswert: 7.3 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: auf eine korrigierte Version aktualisieren.
CVSS: 7.3 EPSS: 0.50% Publiziert: Referenz: NVD -
Spring for Apache Kafka: unsichere Präfix-Prüfung vertrauenswürdiger Pakete im Kafka-Header-Mapper
CVE-2026-41731 HochDer JsonKafkaHeaderMapper sowie der veraltete DefaultKafkaHeaderMapper glichen Typ-Header über eine reine Präfix-Prüfung gegen die Liste vertrauenswürdiger Pakete ab. Dadurch wurden mit einem als vertrauenswürdig eingestuften Paket implizit auch alle dessen Unterpakete als vertrauenswürdig behandelt. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: Auf die vom Hersteller bereitgestellte, korrigierte Version aktualisieren.
CVSS: 8.1 EPSS: 0.49% Publiziert: Referenz: NVD -
Apache Spark – Sicherheitslücke (vor 3.5.7 / 4.0.1)
CVE-2025-54920 HochIn Apache Spark wurden in Versionen vor 3.5.7 und 4.0.1 Sicherheitsprobleme gemeldet. Empfohlene Massnahme: Upgrade auf Version 3.5.7 oder 4.0.1 bzw. neuer. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %.
CVSS: 8.8 EPSS: 0.49% Publiziert: Referenz: NVD -
Deserialisierung nicht vertrauenswürdiger Daten in Apache Camel PQC
CVE-2026-46590 HochDie camel-pqc-Komponente von Apache Camel weist eine Schwachstelle durch Deserialisierung nicht vertrauenswürdiger Daten auf. Die Komponente persistiert Metadaten von Post-Quantum-Schlüsseln (KeyMetadata) über pluggable KeyLifecycleManager-Implementierungen. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: auf eine fehlerbereinigte Version von Apache Camel aktualisieren.
CVSS: 8.8 EPSS: 0.48% Publiziert: Referenz: NVD -
Apache HTTP Server (mod_http2): Use-after-free bei erschöpften Datei-Handles
CVE-2026-48913 HochEine Use-after-free-Schwachstelle im Apache-HTTP-Server-Modul mod_http2 tritt auf, wenn die Datei-Handles bereits erschöpft sind. Betroffen ist Apache HTTP Server von 2.4.55 bis 2.4.67. CVSS-Basiswert: 7.3 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: auf eine korrigierte Apache-HTTP-Server-Version aktualisieren.
CVSS: 7.3 EPSS: 0.48% Publiziert: Referenz: NVD -
Apache Tomcat: Authentifizierungsumgehung im JNDIRealm (GSSAPI)
CVE-2026-55957 HochWar in Apache Tomcat der JNDIRealm so konfiguriert, dass Bind-Vorgänge über GSSAPI authentifiziert werden, konnten Angreifer sich anmelden, ohne die korrekten Zugangsdaten anzugeben (fehlender kritischer Authentifizierungsschritt). Als betroffen ausgewiesen sind Apache HTTP Server / ASF-Projekte und Apache Tomcat. CVSS-Basiswert: 7.3 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: die vom Hersteller bereitgestellten Updates einspielen.
CVSS: 7.3 EPSS: 0.46% Publiziert: Referenz: NVD -
CVE-2026-58065 – Apache Airflow Git-Provider deaktiviert SSH-Hostkey-Prüfung
CVE-2026-58065 HochDer Git-Provider von Apache Airflow führt seine Git-über-SSH-Operationen standardmässig mit StrictHostKeyChecking=no aus und deaktiviert damit die Prüfung des SSH-Hostschlüssels. Ein Angreifer, der den Netzwerkpfad abfangen kann, ist dadurch in der Lage, sich in die Verbindung einzuklinken (Man-in-the-Middle). CVSS-Basiswert: 8.1 (Hoch).
CVSS: 8.1 EPSS: 0.46% Publiziert: Referenz: NVD -
Apache CXF: Unbegrenzte Anzahl von Attachment-Headern ermöglicht Denial of Service
CVE-2026-50645 HochBeim Deserialisieren einer Nachricht durch Apache CXF gibt es keine Begrenzung der Anzahl der Attachment-Header, die eine Nachricht enthalten darf. Dies kann zu unkontrolliertem Ressourcenverbrauch und damit zu einem Denial of Service führen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %.
CVSS: 7.5 EPSS: 0.46% Publiziert: Referenz: NVD -
Apache Answer: administrative Tokens nach Berechtigungsänderung nicht invalidiert
CVE-2026-25700 HochIn Apache Answer besteht eine Schwachstelle durch unzureichende Einschränkung der Sicherheits-Token-Zuweisung. Zuvor ausgestellte administrative Tokens wurden laut Quelle nicht invalidiert. Betroffen ist Apache Answer bis Version 2.0.0. CVSS-Basiswert: 7.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: auf eine vom Hersteller korrigierte Version aktualisieren.
CVSS: 7.2 EPSS: 0.45% Publiziert: Referenz: NVD -
Apache Camel: Unzureichende Eingabevalidierung in der NATS-Komponente
CVE-2026-46457 HochDie Komponente camel-nats von Apache Camel überträgt eingehende NATS-Nachrichten-Header in den Camel-Exchange, wobei die headerFilterStrategy standardmässig unzureichend gesetzt ist (Improper Input Validation). Als betroffen ausgewiesen sind Apache HTTP Server / ASF-Projekte und Apache Tomcat. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: die vom Hersteller bereitgestellten Updates einspielen.
CVSS: 7.5 EPSS: 0.42% Publiziert: Referenz: NVD -
Apache Tomcat: fehlerhafte Kontrollfluss-Umsetzung im Rewrite-Valve
CVE-2026-53404 HochEine Schwachstelle durch stets fehlerhafte Kontrollfluss-Umsetzung im Rewrite-Valve von Apache Tomcat führte dazu, dass bei einer erfüllten ersten Bedingung einer OR-Verkettung nachfolgende Nicht-OR-Bedingungen übersprungen wurden. CVSS-Basiswert: 7.3 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: auf eine korrigierte Apache-Tomcat-Version aktualisieren.
CVSS: 7.3 EPSS: 0.41% Publiziert: Referenz: NVD -
Apache APISIX – Open Redirect auf nicht vertrauenswürdige Seite
CVE-2026-48895 HochEine Open-Redirect-Schwachstelle (URL-Umleitung auf eine nicht vertrauenswürdige Seite) betrifft Apache APISIX. Ein Angreifer könnte laut Quelle bestimmte Client-Header manipulieren, um eine offene Weiterleitung auszulösen und dadurch die Session potenziell offenzulegen. CVSS-Basiswert: 7.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: auf eine korrigierte Version aktualisieren.
CVSS: 7.2 EPSS: 0.41% Publiziert: Referenz: NVD -
Apache OFBiz: Rechteausweitung durch niedrig privilegierte Nutzer
CVE-2026-47342 HochEine Schwachstelle zur Rechteausweitung in Apache OFBiz erlaubt einem niedrig privilegierten, authentifizierten Nutzer, höhere Berechtigungen zu erlangen. Betroffen sind laut Quelldaten Versionen vor 24.09.07. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: Aktualisierung auf Apache OFBiz 24.09.07 oder neuer.
CVSS: 8.8 EPSS: 0.41% Publiziert: Referenz: NVD -
Apache Traffic Server – Absturz durch fehlerhafte POST-Verarbeitung
CVE-2025-58136 HochIn Apache Traffic Server (Versionen 10.0.0 bis 10.1.1 sowie 9.0.0 bis 9.2.12) verursacht ein Fehler in der POST-Anfrageverarbeitung unter bestimmten Bedingungen einen Absturz. Empfohlene Massnahme: Upgrade auf eine gepatchte Version. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.
CVSS: 7.5 EPSS: 0.41% Publiziert: Referenz: NVD -
Apache APISIX: Improper Input Validation im forward-auth-Plugin
CVE-2026-39998 HochEine Schwachstelle durch unzureichende Eingabevalidierung in Apache APISIX erlaubt es einem Angreifer, über bestimmte Konfigurationen des forward-auth-Plugins Identity-Header zu fälschen und so Identitäten vorzutäuschen. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.
CVSS: 8.8 EPSS: 0.40% Publiziert: Referenz: NVD -
Apache Camel: Unzureichende Eingabevalidierung in der Lucene-Komponente
CVE-2026-46585 HochIn der Lucene-Komponente von Apache Camel ermöglichen eine unzureichende Eingabevalidierung sowie eine Autorisierungsumgehung über einen benutzerkontrollierten Schlüssel den unbefugten Zugriff. Der camel-lucene-Producer liest die Suchphrase aus einem Exchange-Header. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: auf eine korrigierte Apache-Camel-Version aktualisieren.
CVSS: 7.5 EPSS: 0.40% Publiziert: Referenz: NVD -
Apache Camel – unzureichende Eingabevalidierung
CVE-2026-46587 HochEine Schwachstelle durch unzureichende Eingabevalidierung betrifft Apache Camel. Betroffen sind laut Quelle Apache Camel bis 4.14.7, von 4.15.0 bis 4.18.2 sowie von 4.19.0 bis 4.20.0. CVSS-Basiswert: 7.3 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: auf eine korrigierte Version aktualisieren.
CVSS: 7.3 EPSS: 0.40% Publiziert: Referenz: NVD -
Apache Camel: unzureichende Eingabevalidierung
CVE-2026-46588 HochIn Apache Camel besteht eine Schwachstelle durch unzureichende Eingabevalidierung. Betroffen sind laut Quelle die Versionen bis 4.14.7, von 4.15.0 bis 4.18.2 sowie von 4.19.0 bis 4.20.0. CVSS-Basiswert: 7.3 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: auf eine vom Hersteller empfohlene korrigierte Version aktualisieren.
CVSS: 7.3 EPSS: 0.40% Publiziert: Referenz: NVD -
Apache Camel: Schwachstelle durch unzureichende Eingabevalidierung
CVE-2026-49042 HochEine Schwachstelle durch unzureichende Eingabevalidierung in Apache Camel betrifft die Versionen 4.8.0 bis 4.18.2 sowie 4.19.0 bis 4.20.0. CVSS-Basiswert: 7.3 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: auf die vom Hersteller empfohlenen Versionen (u. a. 4.18.3) aktualisieren.
CVSS: 7.3 EPSS: 0.40% Publiziert: Referenz: NVD -
Apache Camel CXF SOAP: Confused-Deputy-Schwachstelle durch unzureichende Eingabevalidierung
CVE-2026-46592 HochEine Schwachstelle durch unzureichende Eingabevalidierung in der CXF-SOAP-Komponente (camel-cxf) von Apache Camel erlaubt es einem Angreifer, die aufgerufene SOAP-Operation zu beeinflussen (Unintended Proxy / 'Confused Deputy'). CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: auf eine vom Hersteller bereitgestellte, korrigierte Version aktualisieren.
CVSS: 7.5 EPSS: 0.40% Publiziert: Referenz: NVD -
Apache Camel (Iggy-Komponente): SSRF und Informationsoffenlegung durch fehlerhafte Eingabevalidierung
CVE-2026-55994 HochIn der Iggy-Komponente von Apache Camel ermöglichen fehlerhafte Eingabevalidierung sowie die Offenlegung sensibler Informationen gegenüber Unbefugten eine Server-Side Request Forgery (SSRF). CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.
CVSS: 7.5 EPSS: 0.40% Publiziert: Referenz: NVD -
Apache NiFi: Fehlende Autorisierung beim Ersetzen von Process Groups
CVE-2026-44914 HochIn Apache NiFi 1.12.0 bis 2.9.0 fehlt eine Autorisierungsprüfung beim Ersetzen von Process Groups, die Erweiterungskomponenten mit bestimmten über die Restricted-Annotation geforderten Berechtigungen enthalten. CVSS-Basiswert: 7.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: auf eine fehlerbereinigte Version gemäss Apache-Advisory aktualisieren.
CVSS: 7.2 EPSS: 0.39% Publiziert: Referenz: NVD -
Apache NiFi: SQL-Injection im CaptureChangeMySQL-Processor durch fehlerhaftes Escaping von Tabellennamen
CVE-2026-44913 HochFehlerhaftes Escaping von Datenbank-Tabellennamen im CaptureChangeMySQL-Processor von Apache NiFi 1.2.0 bis 2.9.0 ermöglicht das Einschleusen von SQL-Befehlen über gezielt gestaltete Namen. CVSS-Basiswert: 7.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.
CVSS: 7.2 EPSS: 0.39% Publiziert: Referenz: NVD -
Apache Doris MCP Server – SQL-Injection im Metadaten-Abfragepfad
CVE-2025-66336 HochDer Apache Doris MCP Server enthält eine SQL-Injection-Schwachstelle in einem Metadaten-Abfragepfad. Ein durch den Benutzer kontrollierter Datenbankname wird direkt in eine SQL-Abfrage eingefügt und ohne Parametrisierung ausgeführt. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.
CVSS: 8.1 EPSS: 0.38% Publiziert: Referenz: NVD -
Rechtekollision im FAB-Auth-Manager von Apache Airflow
CVE-2026-59245 HochIm FAB-Auth-Manager von Apache Airflow kollidiert eine DAG mit der dag_id DAGs mit dem globalen Ressourcennamen für die Alle-DAGs-Berechtigung, den resource_name() erzeugt. Dadurch kann eine einem Nutzer erteilte, auf eine einzelne DAG beschränkte Berechtigung mit der globalen Berechtigung für alle DAGs zusammenfallen. CVSS-Basiswert: 8.1 (Hoch).
CVSS: 8.1 EPSS: 0.36% Publiziert: Referenz: NVD -
Spring – Trusted-Package-Prüfung in JsonPulsarHeaderMapper umgehbar
CVE-2026-41732 HochDer JsonPulsarHeaderMapper prüfte Typ-Header gegen vertrauenswürdige Pakete über einen Präfix-Abgleich, wodurch das Vertrauen in ein Paket implizit auch alle seine Unterpakete einschloss. Zusätzlich wirkte sich eine leere Liste vertrauenswürdiger Pakete unsicher aus. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: auf eine fehlerbereinigte Version aktualisieren.
CVSS: 8.1 EPSS: 0.35% Publiziert: Referenz: NVD -
Apache Camel Neo4J: Injection in der Cypher-WHERE-Klausel
CVE-2026-46591 HochIn der Neo4J-Komponente von Apache Camel werden Sonderzeichen in der Datenabfragelogik unzureichend neutralisiert. Der camel-neo4j-Producer erzeugt für seine Match-, Retrieve- und Delete-Operationen die Cypher-WHERE-Klausel, wodurch eine Injection möglich wird. CVSS-Basiswert: 8.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: auf eine bereinigte Version der camel-neo4j-Komponente aktualisieren.
CVSS: 8.2 EPSS: 0.33% Publiziert: Referenz: NVD -
Apache APISIX – fehlerhafte Authentifizierung im cas-auth-Plugin
CVE-2026-49872 HochIn Apache APISIX besteht eine Schwachstelle bei der Authentifizierung: Wird das cas-auth-Plugin in einer Route verwendet, kann sich ein Angreifer möglicherweise mit Zugangsdaten aus einer anderen Quelle authentifizieren. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: auf eine fehlerbereinigte Version aktualisieren.
CVSS: 8.1 EPSS: 0.32% Publiziert: Referenz: NVD -
Apache Traffic Server – Request Smuggling durch fehlerhafte Chunked-Nachrichten
CVE-2025-65114 HochApache Traffic Server ermöglicht Request Smuggling, wenn Chunked-Nachrichten fehlerhaft sind. Betroffen sind die Versionen 9.0.0 bis 9.2.12 sowie 10.0.0 bis 10.1.1. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.
CVSS: 7.5 EPSS: 0.30% Publiziert: Referenz: NVD -
Apache CXF: Race Condition ermöglicht Umgehung der Refresh-Token-Einmalnutzung
CVE-2026-50631 HochEine Race Condition in AbstractOAuthDataProvider erlaubt es, dass gleichzeitige Anfragen mit demselben Refresh Token die Einmalnutzungs-Semantik umgehen und mehrere gültige Access Tokens erzeugen, wenn 'recycleRefreshTokens' entsprechend konfiguriert ist. CVSS-Basiswert: 7.4 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: auf eine fehlerbereinigte Version gemäss Apache-Advisory aktualisieren.
CVSS: 7.4 EPSS: 0.29% Publiziert: Referenz: NVD -
Fehlerhafte Autorisierung in Apache APISIX (authz-casdoor-Plugin)
CVE-2026-47339 HochIn Apache APISIX besteht eine Schwachstelle durch fehlerhafte Autorisierung. Unter der Standardkonfiguration des Plugins authz-casdoor kann ein Angreifer sich mit Zugangsdaten aus einer anderen Quelle authentifizieren. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.
CVSS: 8.1 EPSS: 0.29% Publiziert: Referenz: NVD -
Apache Camel – Unsichere Java-Deserialisierung in ConsulRegistry
CVE-2026-27172 HochDie Klasse ConsulRegistry im Apache-Camel-Modul camel-consul liest Java-serialisierte Werte aus dem Consul-Backend und deserialisiert diese ohne ausreichende Prüfung. Dies kann von einem Angreifer mit Schreibzugriff auf Consul ausgenutzt werden, um beliebigen Code auszuführen. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.
CVSS: 8.8 EPSS: 0.27% Publiziert: Referenz: NVD -
Apache Camel-Infinispan: Unsichere Deserialisierung in Remote-Aggregations-Repository
CVE-2026-40858 HochDas ProtoStream-basierte Remote-Aggregations-Repository der camel-infinispan-Komponente deserialisiert Daten aus einem entfernten Infinispan-Cache mittels java.io.ObjectInputStream ohne ObjectInputFilter anzuwenden. Dies ermöglicht unsichere Deserialisierung über manipulierte Cache-Einträge. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.
CVSS: 8.8 EPSS: 0.27% Publiziert: Referenz: NVD
Diesem Produkt-Feed folgen
Eigener RSS-Feed nur für Apache HTTP Server / ASF-Projekte, kostenlos und ohne Anmeldung. Zustellung per E-Mail, Webhook, REST oder TAXII richten wir auf Anfrage ein.
RSS-Feed öffnen Zustellung anfragenWie folge ich dem Feed?
- 1 RSS-Feed-Link kopieren oder direkt im RSS-Reader öffnen.
- 2 Priorisierte Reports (KEV · EPSS · CVSS) landen automatisch in Ihrem Reader.
- 3 Zustellung per E-Mail, Webhook, REST oder TAXII auf Anfrage einrichten lassen.