1.5 Aktiv ausgenutzte Lücken
Server-Software, Middleware, Web

Apache HTTP Server / ASF-Projekte Seite 5

Server-Software, Middleware, Web
354
Reports
39
Aktiv ausgenutzt
Kritisch
Höchste Priorität
100.0%
Max. EPSS

Schwachstellen-Reports

354 Reports

Zeige 201 bis 250 von 354

  1. Apache Camel Neo4J: Injection in der Cypher-WHERE-Klausel

    CVE-2026-46591 Hoch

    In der Neo4J-Komponente von Apache Camel werden Sonderzeichen in der Datenabfragelogik unzureichend neutralisiert. Der camel-neo4j-Producer erzeugt für seine Match-, Retrieve- und Delete-Operationen die Cypher-WHERE-Klausel, wodurch eine Injection möglich wird. CVSS-Basiswert: 8.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: auf eine bereinigte Version der camel-neo4j-Komponente aktualisieren.

    CVSS: 8.2 EPSS: 0.33% Publiziert: Referenz: NVD
  2. Apache APISIX – fehlerhafte Authentifizierung im cas-auth-Plugin

    CVE-2026-49872 Hoch

    In Apache APISIX besteht eine Schwachstelle bei der Authentifizierung: Wird das cas-auth-Plugin in einer Route verwendet, kann sich ein Angreifer möglicherweise mit Zugangsdaten aus einer anderen Quelle authentifizieren. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: auf eine fehlerbereinigte Version aktualisieren.

    CVSS: 8.1 EPSS: 0.32% Publiziert: Referenz: NVD
  3. Apache Traffic Server – Request Smuggling durch fehlerhafte Chunked-Nachrichten

    CVE-2025-65114 Hoch

    Apache Traffic Server ermöglicht Request Smuggling, wenn Chunked-Nachrichten fehlerhaft sind. Betroffen sind die Versionen 9.0.0 bis 9.2.12 sowie 10.0.0 bis 10.1.1. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.

    CVSS: 7.5 EPSS: 0.30% Publiziert: Referenz: NVD
  4. Apache CXF: Race Condition ermöglicht Umgehung der Refresh-Token-Einmalnutzung

    CVE-2026-50631 Hoch

    Eine Race Condition in AbstractOAuthDataProvider erlaubt es, dass gleichzeitige Anfragen mit demselben Refresh Token die Einmalnutzungs-Semantik umgehen und mehrere gültige Access Tokens erzeugen, wenn 'recycleRefreshTokens' entsprechend konfiguriert ist. CVSS-Basiswert: 7.4 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: auf eine fehlerbereinigte Version gemäss Apache-Advisory aktualisieren.

    CVSS: 7.4 EPSS: 0.29% Publiziert: Referenz: NVD
  5. Fehlerhafte Autorisierung in Apache APISIX (authz-casdoor-Plugin)

    CVE-2026-47339 Hoch

    In Apache APISIX besteht eine Schwachstelle durch fehlerhafte Autorisierung. Unter der Standardkonfiguration des Plugins authz-casdoor kann ein Angreifer sich mit Zugangsdaten aus einer anderen Quelle authentifizieren. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.

    CVSS: 8.1 EPSS: 0.29% Publiziert: Referenz: NVD
  6. Apache Camel – Unsichere Java-Deserialisierung in ConsulRegistry

    CVE-2026-27172 Hoch

    Die Klasse ConsulRegistry im Apache-Camel-Modul camel-consul liest Java-serialisierte Werte aus dem Consul-Backend und deserialisiert diese ohne ausreichende Prüfung. Dies kann von einem Angreifer mit Schreibzugriff auf Consul ausgenutzt werden, um beliebigen Code auszuführen. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.

    CVSS: 8.8 EPSS: 0.27% Publiziert: Referenz: NVD
  7. Apache Camel-Infinispan: Unsichere Deserialisierung in Remote-Aggregations-Repository

    CVE-2026-40858 Hoch

    Das ProtoStream-basierte Remote-Aggregations-Repository der camel-infinispan-Komponente deserialisiert Daten aus einem entfernten Infinispan-Cache mittels java.io.ObjectInputStream ohne ObjectInputFilter anzuwenden. Dies ermöglicht unsichere Deserialisierung über manipulierte Cache-Einträge. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.

    CVSS: 8.8 EPSS: 0.27% Publiziert: Referenz: NVD
  8. Apache Helix: zu freizügiges CORS in der REST-API

    CVE-2026-57111 Hoch

    In der REST-API (helix-rest, CORSFilter) von Apache Helix bis Version 2.0.0 besteht ein zu freizügiges Cross-Origin Resource Sharing (CORS), das einem entfernten Angreifer den plattformübergreifenden Zugriff ermöglicht. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: auf eine vom Hersteller korrigierte Version aktualisieren.

    CVSS: 7.5 EPSS: 0.27% Publiziert: Referenz: NVD
  9. Apache Storm – Deserialization of Untrusted Data via Nimbus Thrift API

    CVE-2026-35337 Hoch

    In Apache Storm (Versionen vor 2.8.6) werden beim Verarbeiten von Topology-Credentials über die Nimbus Thrift API nicht vertrauenswürdige Daten deserialisiert. Dies kann zur Ausführung beliebigen Codes führen. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.

    CVSS: 8.8 EPSS: 0.27% Publiziert: Referenz: NVD
  10. Apache Airflow: FTP-Provider überträgt den Datenkanal unverschlüsselt

    CVE-2026-49486 Hoch

    Der FTP-Provider von Apache Airflow baute in FTPSHook.get_conn() eine ftplib.FTP_TLS-Verbindung auf, rief jedoch nie prot_p() auf; dadurch war zwar der Steuerkanal TLS-geschützt, der Datenkanal wurde aber unverschlüsselt übertragen. Als betroffen ausgewiesen sind Apache HTTP Server / ASF-Projekte, Apache Tomcat und Progress. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: die vom Hersteller bereitgestellten Updates einspielen.

    CVSS: 7.5 EPSS: 0.26% Publiziert: Referenz: NVD
  11. Apache Thrift Node.js: Unkontrollierte Rekursion

    CVE-2026-41636 Hoch

    In den Node.js-Bindings von Apache Thrift vor Version 0.23.0 besteht eine Schwachstelle durch unkontrollierte Rekursion, die zu einem Denial-of-Service führen kann. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: Upgrade auf Apache Thrift 0.23.0.

    CVSS: 7.5 EPSS: 0.26% Publiziert: Referenz: NVD
  12. Apache Tomcat – HTTP Request Smuggling über ungültige Chunk-Extension

    CVE-2026-24880 Hoch

    In Apache Tomcat (ab 11.0.0-M1) führt eine inkonsistente Interpretation von HTTP-Anfragen über ungültige Chunk-Extensions zu einer HTTP-Request/Response-Smuggling-Schwachstelle. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.

    CVSS: 7.5 EPSS: 0.24% Publiziert: Referenz: NVD
  13. Apache Solr – Hardcodierte Anmeldedaten im Basic-Authentication-Setup-Tool

    CVE-2026-44825 Hoch

    In Apache Solr (Versionen 9.4.0 bis 9.10.1 sowie 10.0.0) enthält das Basic-Authentication-Setup-Tool hardcodierte Anmeldedaten, die einem entfernten Angreifer vollen administrativen Zugriff ermöglichen. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.

    CVSS: 8.1 EPSS: 0.21% Publiziert: Referenz: NVD
  14. Apache Camel: Authentifizierungs-Bypass bei konfiguriertem Context-Pfad

    CVE-2026-40022 Hoch

    Wenn auf dem eingebetteten HTTP-Server oder Management-Server von Apache Camel (camel-platform-http-main) Authentifizierung aktiviert und ein nicht-root-Context-Pfad wie /api oder /admin konfiguriert ist, kann die Authentifizierung umgangen werden. CVSS-Basiswert: 8.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.

    CVSS: 8.2 EPSS: 0.20% Publiziert: Referenz: NVD
  15. Apache Airflow – XCom-basierte Codeausführung durch DAG-Autoren

    CVE-2026-33858 Hoch

    DAG-Autoren in Apache Airflow, die normalerweise keinen Code im Webserver-Kontext ausführen dürfen, konnten durch präparierte XCom-Payloads die Ausführung beliebigen Codes im Webserver veranlassen. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.

    CVSS: 8.8 EPSS: 0.20% Publiziert: Referenz: NVD
  16. Apache OpenNLP – Denial of Service durch unbegrenzte Array-Allokation

    CVE-2026-42440 Hoch

    In Apache OpenNLP ermöglichen die Methoden des AbstractModelReader eine unbegrenzte Array-Allokation, die zu einem Speicherüberlauf (Out-of-Memory) und damit zu einem Denial-of-Service führen kann. Betroffen sind Versionen vor 2.5.9 sowie vor 3.0.0-M3. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.

    CVSS: 7.5 EPSS: 0.19% Publiziert: Referenz: NVD
  17. Apache CXF – Unvollständiger Fix für RCE über nicht vertrauenswürdige JMS-Konfiguration

    CVE-2026-44417 Hoch

    Der ursprüngliche Fix für CVE-2025-48913 in Apache CXF war unvollständig: Ein weiterer Codepfad ermöglicht weiterhin Remote Code Execution, wenn nicht vertrauenswürdige Benutzereingaben in die JMS-Konfiguration einfliessen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.

    CVSS: 7.5 EPSS: 0.15% Publiziert: Referenz: NVD
  18. Apache Airflow – Unklares Sicherheitsmodell vor Version 3.2.0

    CVE-2025-66236 Hoch

    Vor Apache Airflow 3.2.0 war nicht eindeutig dokumentiert, dass sichere Airflow-Deployments besondere Massnahmen durch den Deployment Manager erfordern. Dies konnte dazu führen, dass Sicherheitsdetails und das Sicherheitsmodell von Airflow nicht ausreichend berücksichtigt wurden. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 7.5 EPSS: 0.12% Publiziert: Referenz: NVD
  19. Apache OFBiz – Server-Side Request Forgery (SSRF) via Content-Komponente

    CVE-2026-29226 Hoch

    In Apache OFBiz besteht eine SSRF-Schwachstelle über Operationen der Content-Komponente. Betroffen sind Versionen vor 24.09.06; ein Upgrade auf diese Version wird empfohlen. CVSS-Basiswert: 7.3 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: Upgrade auf Apache OFBiz 24.09.06.

    CVSS: 7.3 EPSS: 0.11% Publiziert: Referenz: NVD
  20. Apache SkyWalking MCP – Server-Side Request Forgery via SW-URL Header

    CVE-2026-34476 Hoch

    In Apache SkyWalking MCP Version 0.1.0 besteht eine Server-Side Request Forgery (SSRF)-Schwachstelle über den SW-URL HTTP-Header. Angreifer können dadurch interne Dienste ansprechen oder Anfragen aus dem Server-Kontext heraus auslösen. CVSS-Basiswert: 7.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: Upgrade auf Version 0.2.0.

    CVSS: 7.1 EPSS: 0.11% Publiziert: Referenz: NVD
  21. Apache Airflow – Unbefugtes DAG-Auslösen über Asset-Berechtigung

    CVE-2026-32228 Hoch

    Ein UI- oder API-Benutzer mit der Berechtigung zur Asset-Materialisierung konnte in Apache Airflow DAGs auslösen, auf die er keinen Zugriff haben sollte. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: Migration auf Apache Airflow 3.2.0, das das Problem behebt.

    CVSS: 7.5 EPSS: 0.11% Publiziert: Referenz: NVD
  22. Apache OFBiz – Server-Side Request Forgery (SSRF)

    CVE-2026-31910 Hoch

    In Apache OFBiz besteht eine SSRF-Schwachstelle. Betroffen sind Versionen vor 24.09.06; ein Upgrade auf diese Version behebt das Problem. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: Upgrade auf Apache OFBiz 24.09.06.

    CVSS: 7.5 EPSS: 0.10% Publiziert: Referenz: NVD
  23. Apache Airflow – Stack-Trace-Offenlegung bei SQL-Fehlern in der API

    CVE-2026-30912 Hoch

    Bei SQL-Fehlern gibt die Apache Airflow API Exception-Stack-Traces preis, selbst wenn die Einstellung „api/expose_stack_traces” auf false gesetzt ist. Dies kann einem Angreifer zusätzliche interne Informationen liefern. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 7.5 EPSS: 0.10% Publiziert: Referenz: NVD
  24. Apache Airflow – ComputeEngineSSHHook deaktiviert SSH-Host-Key-Verifizierung standardmässig

    CVE-2026-45361 Hoch

    Der `ComputeEngineSSHHook` des Apache-Airflow-Providers für Google deaktiviert standardmässig die SSH-Host-Key-Verifizierung, wodurch SSH-Verbindungen zwischen einem Airflow-Worker und einer Compute-Engine-VM für Man-in-the-Middle-Angriffe anfällig sind. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 8.1 EPSS: 0.09% Publiziert: Referenz: NVD
  25. Apache Tomcat JsonAccessLogValve – Improper Output Encoding

    CVE-2026-34483 Hoch

    Die Komponente JsonAccessLogValve in Apache Tomcat (Versionen 11.0.0-M1 bis 11.0.20 sowie 10.1.0-M1 bis 10.x) weist eine Schwachstelle bei der Ausgabekodierung auf. Angreifer können dadurch Log-Einträge manipulieren. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 7.5 EPSS: 0.09% Publiziert: Referenz: NVD
  26. Apache Tomcat – Kubernetes Bearer Token in Log-Datei offengelegt

    CVE-2026-34487 Hoch

    Die Cloud-Membership-Komponente für Clustering in Apache Tomcat schreibt den Kubernetes Bearer Token in Log-Dateien. Angreifer mit Zugriff auf diese Logs können den Token zur Authentifizierung gegenüber der Kubernetes-API missbrauchen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 7.5 EPSS: 0.09% Publiziert: Referenz: NVD
  27. Apache Tomcat Native / Tomcat – Unvollständige OCSP-Zertifikatsprüfung

    CVE-2026-24734 Hoch

    Bei Verwendung eines OCSP-Responders führten Apache Tomcat Native sowie der FFM-Port des Tomcat-Native-Codes die Zertifikatsverifizierung nicht vollständig durch. Dies betrifft Apache Tomcat Native und Apache Tomcat auf allen Plattformen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 7.5 EPSS: 0.09% Publiziert: Referenz: NVD
  28. Apache OpenMeetings – Zugangsdaten in URL-Parametern (GET-Anfrage)

    CVE-2026-34020 Hoch

    Der REST-Login-Endpunkt von Apache OpenMeetings überträgt Benutzername und Passwort als Abfrageparameter in einer HTTP-GET-Anfrage, was zur Offenlegung sensibler Daten in Logs und Browser-Historien führen kann. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 7.5 EPSS: 0.09% Publiziert: Referenz: NVD
  29. Apache Thrift c_glib – Fehlerhafte Speicherverwaltung

    CVE-2025-48431 Hoch

    In den c_glib-Sprachbindungen von Apache Thrift (vor Version 0.23.0) wurden nicht übereinstimmende Speicherverwaltungsroutinen gefunden. Empfohlene Massnahme: Upgrade auf Version 0.23.0 oder neuer. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 7.5 EPSS: 0.09% Publiziert: Referenz: NVD
  30. Apache OFBiz – Eval Injection durch unkontrollierte Code-Generierung

    CVE-2026-46586 Hoch

    In Apache OFBiz besteht eine Schwachstelle durch fehlerhafte Kontrolle der Code-Generierung sowie Eval Injection, bei der nicht vertrauenswürdige Eingaben in dynamisch ausgewertetem Code ausgeführt werden können. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 8.8 EPSS: 0.08% Publiziert: Referenz: NVD
  31. Apache OFBiz – Offenlegung sensibler Informationen gegenüber unbefugten Akteuren

    CVE-2026-31909 Hoch

    In Apache OFBiz können sensible Informationen gegenüber unbefugten Akteuren offengelegt werden. Betroffen sind Versionen vor 24.09.06; ein Upgrade wird empfohlen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: Upgrade auf Apache OFBiz 24.09.06.

    CVSS: 7.5 EPSS: 0.08% Publiziert: Referenz: NVD
  32. Apache Tomcat – Falsche Behandlung von Gross-/Kleinschreibung in LockOutRealm

    CVE-2026-43513 Hoch

    In Apache Tomcat besteht eine Schwachstelle durch unsachgemässe Behandlung der Gross-/Kleinschreibung in der LockOutRealm-Komponente. Betroffen sind Versionen ab 11.0.0-M1 bis 11.0.21, ab 10.1.0-M1 bis 10.1.54 sowie ab 9.0.0.M1. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 7.5 EPSS: 0.08% Publiziert: Referenz: NVD
  33. Apache Wicket – Offenlegung sensibler Informationen gegenüber unberechtigten Akteuren

    CVE-2026-43646 Hoch

    In Apache Wicket besteht eine Schwachstelle durch die Offenlegung sensibler Informationen gegenüber unberechtigten Akteuren. Betroffen sind Versionen von 8.0.0 bis 8.17.0, von 9.0.0 bis 9.22.0 sowie von 10.0.0 an. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 7.5 EPSS: 0.08% Publiziert: Referenz: NVD
  34. Apache ActiveMQ – Denial of Service via Out-of-Memory bei TLSv1.3

    CVE-2026-39304 Hoch

    Die NIO-SSL-Transporte in Apache ActiveMQ Client, Broker und ActiveMQ verarbeiten TLSv1.3 Handshake KeyUpdates nicht korrekt, was zu einem Out-of-Memory-Fehler und damit zu einem Denial of Service führen kann. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 7.5 EPSS: 0.08% Publiziert: Referenz: NVD
  35. Apache Airflow – Unsicheres XCom-Muster in Beispiel-DAG

    CVE-2025-54550 Hoch

    In der Apache Airflow-Dokumentation enthaltene Beispiel-DAGs implementierten ein unsicheres Muster beim Lesen von XCom-Werten, das von UI-Benutzern mit Bearbeitungsrechten ausgenutzt werden konnte. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 8.1 EPSS: 0.07% Publiziert: Referenz: NVD
  36. Apache OpenMeetings – Hartcodierter kryptographischer Schlüssel

    CVE-2026-33266 Hoch

    In Apache OpenMeetings wird der Verschlüsselungsschlüssel für „Remember me”-Cookies standardmässig auf einen festen Wert in der Konfigurationsdatei gesetzt und nicht automatisch rotiert. Dies stellt eine Schwachstelle durch die Verwendung eines hartcodierten kryptographischen Schlüssels dar. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 7.5 EPSS: 0.07% Publiziert: Referenz: NVD
  37. Apache Thrift – Integer Overflow in TFramedTransport (Go)

    CVE-2026-41602 Hoch

    In der Go-Implementierung von Apache Thrift TFramedTransport besteht eine Integer-Overflow-Schwachstelle. Betroffen sind alle Versionen vor 0.23.0. Ein Upgrade auf Version 0.23.0 oder höher wird empfohlen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 7.5 EPSS: 0.07% Publiziert: Referenz: NVD
  38. Apache ActiveMQ – Code Injection durch unzureichende Eingabevalidierung

    CVE-2026-41044 Hoch

    In Apache ActiveMQ und Apache ActiveMQ Broker besteht eine Schwachstelle durch unzureichende Eingabevalidierung und fehlerhafte Kontrolle der Code-Generierung. Ein authentifizierter Angreifer kann diese ausnutzen, um Code einzuschleusen. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 8.8 EPSS: 0.07% Publiziert: Referenz: NVD
  39. Apache Syncope – Unzureichende Isolation ermöglicht Ausführung von schädlichem Code

    CVE-2026-42782 Hoch

    In Apache Syncope können Administratoren mit ausreichenden Berechtigungen für Implementierungen eine schädliche Groovy-Klasse mit nicht vertrauenswürdigem Code erstellen. Die unzureichende Isolation oder Abschirmung ermöglicht es, diesen Code im Kontext der Anwendung auszuführen. CVSS-Basiswert: 7.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 7.2 EPSS: 0.07% Publiziert: Referenz: NVD
  40. Apache Thrift: Out-of-Bounds-Read-Schwachstelle

    CVE-2026-41604 Hoch

    In Apache Thrift vor Version 0.23.0 wurde eine Out-of-Bounds-Read-Schwachstelle identifiziert, die eine unsachgemässe Verarbeitung von Speicherbereichen ermöglicht. CVSS-Basiswert: 8.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: Upgrade auf Apache Thrift 0.23.0.

    CVSS: 8.2 EPSS: 0.07% Publiziert: Referenz: NVD
  41. Apache Camel LevelDB – Deserialisierung nicht vertrauenswürdiger Daten

    CVE-2026-25747 Hoch

    Die Klasse DefaultLevelDBSerializer in der Apache Camel LevelDB-Komponente deserialisiert Daten aus dem LevelDB-Aggregations-Repository ohne ausreichende Prüfung. Dies kann bei der Verarbeitung nicht vertrauenswürdiger Daten zu unsicherer Deserialisierung führen. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 8.8 EPSS: 0.06% Publiziert: Referenz: NVD
  42. Apache ActiveMQ – Code-Injection durch fehlerhafte Eingabevalidierung

    CVE-2026-42588 Hoch

    Apache ActiveMQ Classic weist eine Schwachstelle in der Eingabevalidierung auf, die eine Code-Injection ermöglicht. Die Broker-Komponente ist betroffen und kann durch manipulierte Eingaben zur Ausführung von eingeschleustem Code missbraucht werden. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 8.1 EPSS: 0.06% Publiziert: Referenz: NVD
  43. Apache ActiveMQ – Code Injection durch fehlerhafte Eingabevalidierung

    CVE-2026-45505 Hoch

    In Apache ActiveMQ wurde eine Schwachstelle durch unzureichende Eingabevalidierung und unkontrollierte Code-Generierung (Code Injection) gemeldet. Die Lücke betrifft Apache ActiveMQ Broker sowie alle ActiveMQ-Varianten. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 8.8 EPSS: 0.06% Publiziert: Referenz: NVD
  44. Apache Camel-MINA: Unsichere Deserialisierung in MinaConverter

    CVE-2026-40473 Hoch

    Der Typ-Konverter MinaConverter.toObjectInput(IoBuffer) der camel-mina-Komponente kapselt einen IoBuffer in ein java.io.ObjectInputStream-Objekt, ohne ObjectInputFilter oder Klassenladeeinschränkungen anzuwenden. Dies ermöglicht unsichere Deserialisierung über manipulierte Netzwerkdaten. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 8.8 EPSS: 0.06% Publiziert: Referenz: NVD
  45. Apache Avro Java SDK – Code Injection

    CVE-2025-33042 Hoch

    Im Apache Avro Java SDK besteht eine Schwachstelle durch unsachgemässe Kontrolle der Code-Generierung (Code Injection), die beim Verarbeiten nicht vertrauenswürdiger Avro-Schemas ausgelöst werden kann. CVSS-Basiswert: 7.3 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 7.3 EPSS: 0.06% Publiziert: Referenz: NVD
  46. Apache SkyWalking – Informationsoffenlegung über Debugging-Endpunkt

    CVE-2026-30778 Hoch

    Der Endpunkt /debugging/config/dump in Apache SkyWalking OAP kann sensible Konfigurationsinformationen von MySQL/PostgreSQL preisgeben. Betroffen sind Versionen 9.7.0 bis 10.3.0. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 7.5 EPSS: 0.06% Publiziert: Referenz: NVD
  47. Apache HttpClient 5.6: Fehlende gegenseitige Authentifizierung bei SCRAM-SHA-256

    CVE-2026-40542 Hoch

    In Apache HttpClient 5.6 fehlt ein kritischer Schritt in der Authentifizierungslogik, der es einem Angreifer ermöglicht, den Client dazu zu bringen, SCRAM-SHA-256-Authentifizierung ohne ordnungsgemässe gegenseitige Authentifizierungsprüfung zu akzeptieren. CVSS-Basiswert: 7.3 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 7.3 EPSS: 0.05% Publiziert: Referenz: NVD
  48. Apache Fluss – Heap-Erschöpfung durch unbegrenzte Netty-Frame-Länge

    CVE-2026-49361 Hoch

    Apache Fluss in Versionen vor 0.9.1 konfiguriert den Netty LengthFieldBasedFrameDecoder mit Integer.MAX_VALUE als maximale Frame-Länge. Dies ermöglicht nicht authentifizierten Remote-Angreifern, den JVM-Heap durch gezielt große Frames zu erschöpfen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 7.5 EPSS: 0.05% Publiziert: Referenz: NVD
  49. Apache Flink – Code-Injection in SQL-Code-Generierung

    CVE-2026-35194 Hoch

    In Apache Flink (Versionen 1.15.0 bis 1.20.x sowie 2.0.0 bis 2.x) ermöglicht eine Code-Injection in der SQL-Code-Generierung authentifizierten Nutzern mit Query-Berechtigungen die Ausführung beliebigen Codes auf TaskManagers. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 8.1 EPSS: 0.05% Publiziert: Referenz: NVD
  50. Apache Tomcat – Ressourcenzuteilung ohne Limits (DoS)

    CVE-2026-41284 Hoch

    In Apache Tomcat besteht eine Schwachstelle durch fehlende Begrenzung der Ressourcenzuteilung. Betroffen sind mehrere Versionen, darunter 11.0.0-M1 bis 11.0.21, 10.1.0-M1 bis 10.1.54 sowie 9.0.0.M1 und spätere. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 7.5 EPSS: 0.05% Publiziert: Referenz: NVD

Diesem Produkt-Feed folgen

Eigener RSS-Feed nur für Apache HTTP Server / ASF-Projekte, kostenlos und ohne Anmeldung. Zustellung per E-Mail, Webhook, REST oder TAXII richten wir auf Anfrage ein.

RSS-Feed öffnen Zustellung anfragen

Wie folge ich dem Feed?

  • 1 RSS-Feed-Link kopieren oder direkt im RSS-Reader öffnen.
  • 2 Priorisierte Reports (KEV · EPSS · CVSS) landen automatisch in Ihrem Reader.
  • 3 Zustellung per E-Mail, Webhook, REST oder TAXII auf Anfrage einrichten lassen.
Zurück zum Katalog