1.5 Aktiv ausgenutzte Lücken
Server-Software, Middleware, Web

Apache HTTP Server / ASF-Projekte Seite 6

Server-Software, Middleware, Web
354
Reports
39
Aktiv ausgenutzt
Kritisch
Höchste Priorität
100.0%
Max. EPSS

Schwachstellen-Reports

354 Reports

Zeige 251 bis 300 von 354

  1. Apache Airflow – Arbitrary Code Execution durch DAG-Autoren

    CVE-2026-25917 Hoch

    In Apache Airflow können DAG-Autoren, die normalerweise keinen Code im Webserver-Kontext ausführen dürfen, über präparierte XCom-Payloads beliebigen Code auf dem Webserver ausführen. CVSS-Basiswert: 7.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 7.2 EPSS: 0.05% Publiziert: Referenz: NVD
  2. Apache Tomcat – HTTP-Authentifizierungs-Header bei WebSocket-Authentifizierung weitergegeben

    CVE-2026-42498 Hoch

    In Apache Tomcat wird der HTTP-Authentifizierungs-Header bei der WebSocket-Authentifizierung an unerwartete Hosts weitergegeben. Betroffen sind Apache Tomcat-Versionen von 11.0.0-M1 bis 11.0.21 sowie von 10.1. CVSS-Basiswert: 7.3 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 7.3 EPSS: 0.05% Publiziert: Referenz: NVD
  3. Apache Airflow – JWT-Token-Exposition in Logs

    CVE-2026-31987 Hoch

    In Apache Airflow wurden JWT-Tokens von Tasks in Protokolldateien offengelegt. Dadurch könnten UI-Benutzer die Identität von DAG-Autoren annehmen und unbefugte Aktionen ausführen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: Upgrade auf eine Apache-Airflow-Version mit enthaltener Fehlerkorrektur.

    CVSS: 7.5 EPSS: 0.05% Publiziert: Referenz: NVD
  4. Undertow – Request Smuggling über ungültige Header-Terminierung

    CVE-2026-28367 Hoch

    In Undertow kann ein entfernter Angreifer durch das Senden von '\r\r\r' als Header-Block-Terminator HTTP-Request-Smuggling-Angriffe in Kombination mit bestimmten Proxy-Servern durchführen. CVSS-Basiswert: 8.7 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 8.7 EPSS: 0.05% Publiziert: Referenz: NVD
  5. Undertow – Fehlerhafte Verarbeitung von Leerzeichen am Anfang von Header-Zeilen

    CVE-2026-28369 Hoch

    In Undertow werden HTTP-Anfragen, bei denen die erste Header-Zeile mit einem oder mehreren Leerzeichen beginnt, fehlerhaft verarbeitet: Die führenden Leerzeichen werden entfernt, was zu unerwarteten Interpretationsunterschieden gegenüber Proxies führen kann. CVSS-Basiswert: 8.7 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 8.7 EPSS: 0.05% Publiziert: Referenz: NVD
  6. Apache APISIX – Klartextübertragung sensibler Daten im OpenID-Connect-Plugin

    CVE-2026-31923 Hoch

    In Apache APISIX kann es aufgrund des standardmässig auf false gesetzten Parameters ssl_verify im openid-connect-Plugin zur Klartextübertragung sensibler Informationen kommen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 7.5 EPSS: 0.04% Publiziert: Referenz: NVD
  7. Apache Arrow C++ – Use-After-Free beim Lesen von IPC-Dateien

    CVE-2026-25087 Hoch

    In Apache Arrow C++ (Versionen 15.0.0 bis 23.0.0) besteht eine Use-After-Free-Schwachstelle, die beim Lesen von Arrow-IPC-Dateien (nicht IPC-Streams) ausgelöst werden kann. CVSS-Basiswert: 7.0 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 7.0 EPSS: 0.04% Publiziert: Referenz: NVD
  8. Apache Thrift: Integer Overflow / Wraparound

    CVE-2026-41605 Hoch

    In Apache Thrift vor Version 0.23.0 besteht eine Integer-Overflow- bzw. Wraparound-Schwachstelle, die zu unerwartetem Programmverhalten führen kann. CVSS-Basiswert: 7.3 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: Upgrade auf Apache Thrift 0.23.0.

    CVSS: 7.3 EPSS: 0.04% Publiziert: Referenz: NVD
  9. Apache Airflow – Fehlende Autorisierung in HITL-Endpunkten der Execution API

    CVE-2026-30911 Hoch

    In Apache Airflow Versionen 3.1.0 bis 3.1.7 fehlt eine Autorisierungsprüfung in den Human-in-the-Loop-Endpunkten der Execution API. Dadurch kann jede authentifizierte Task-Instanz entsprechende Aktionen lesen, genehmigen oder ausführen. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 8.1 EPSS: 0.04% Publiziert: Referenz: NVD
  10. Apache::SessionX – Unsichere Session-IDs

    CVE-2025-40932 Hoch

    Apache::SessionX (Versionen bis 2.01) für Perl erzeugt Session-IDs durch den Standardgenerator Apache::SessionX::Generate::MD5 auf unsichere Weise, was die Vorhersagbarkeit von Sitzungstoken ermöglicht. CVSS-Basiswert: 8.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 8.2 EPSS: 0.04% Publiziert: Referenz: NVD
  11. Apache Neethi: Denial of Service durch algorithmische Komplexität in WS-Policy

    CVE-2026-42402 Hoch

    In Apache Neethi können speziell präparierte WS-Policy-Dokumente durch exponentielle Kartesische Produktbildung bei der Policy-Normalisierung einen Denial-of-Service auslösen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 7.5 EPSS: 0.04% Publiziert: Referenz: NVD
  12. Apache Airflow – Code-Ausführung durch DAG-Autor

    CVE-2024-56373 Hoch

    In Apache Airflow können DAG-Autoren durch Manipulation der Datenbank im Kontext des Webservers beliebigen Code ausführen, obwohl dies regulär nicht erlaubt sein sollte. CVSS-Basiswert: 8.4 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 8.4 EPSS: 0.04% Publiziert: Referenz: NVD
  13. Apache Cassandra – Privilege Escalation in mTLS-Umgebung

    CVE-2026-27314 Hoch

    In Apache Cassandra 5.0 mit aktiviertem MutualTlsAuthenticator können Benutzer mit ausschliesslich CREATE-Berechtigung ihr eigenes Zertifikat mit einer beliebigen anderen Identität verknüpfen und sich so unerlaubt höhere Rechte verschaffen. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 8.8 EPSS: 0.04% Publiziert: Referenz: NVD
  14. Apache Thrift – Fehlende Validierung des Zertifikats bei Host-Abweichung

    CVE-2026-43869 Hoch

    In Apache Thrift besteht eine Schwachstelle durch unsachgemässe Validierung von Zertifikaten bei Host-Abweichung. Betroffen sind alle Versionen vor 0.23.0. Ein Upgrade auf Version 0.23.0, welche das Problem behebt, wird empfohlen. CVSS-Basiswert: 7.3 (Hoch).

    CVSS: 7.3 EPSS: 0.04% Publiziert: Referenz: NVD
  15. Apache Neethi – Zirkuläre Referenzen in WS-Policy-Definitionen

    CVE-2026-42403 Hoch

    Apache Neethi erkennt zirkuläre Referenzen in Policy-Definitionen nicht korrekt. Wenn ein WS-Policy-Dokument zirkuläre Verweise enthält (Policy A referenziert Policy B, die wiederum Policy A referenziert), kann dies zu unerwünschtem Verhalten führen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 7.5 EPSS: 0.03% Publiziert: Referenz: NVD
  16. Apache Tomcat – Cipher-Preference-Reihenfolge wird nicht beibehalten

    CVE-2026-29129 Hoch

    In bestimmten Versionen von Apache Tomcat (11.0.16–11.0.18, 10.1.51–10.1.52, 9.0.114 und folgende) wird die konfigurierte Cipher-Preference-Reihenfolge nicht korrekt eingehalten. Dies kann dazu führen, dass schwächere Verschlüsselungsverfahren bevorzugt ausgehandelt werden. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 7.5 EPSS: 0.03% Publiziert: Referenz: NVD
  17. Apache Airflow – Session-Token mit zu weitem Cookie-Pfad

    CVE-2026-28779 Hoch

    In Apache Airflow 3.1.0 bis 3.1.7 wird das Session-Token-Cookie (_token) unabhängig von der konfigurierten Basis-URL mit dem Pfad '/' gesetzt. Dadurch können auf demselben Host betriebene andere Anwendungen dieses Cookie mitlesen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 7.5 EPSS: 0.03% Publiziert: Referenz: NVD
  18. Apache MINA SSHD – Path-Traversal-Schwachstelle im sshd-git-Bundle

    CVE-2026-48827 Hoch

    Im Apache MINA SSHD Bundle sshd-git ermöglicht eine fehlende Pfadvalidierung in git-upload-pack, git-receive-pack und anderen Git-Operationen SSH-authentifizierten Nutzern den Zugriff auf Dateien ausserhalb des erlaubten Verzeichnisses (Path Traversal). CVSS-Basiswert: 7.1 (Hoch).

    CVSS: 7.1 EPSS: 0.03% Publiziert: Referenz: NVD
  19. Apache ZooKeeper ZKTrustManager – Hostname-Verifizierung über PTR-Records umgehbar

    CVE-2026-24281 Hoch

    In Apache ZooKeeper fällt ZKTrustManager bei fehlgeschlagener IP-SAN-Validierung auf eine Reverse-DNS-Abfrage (PTR) zurück. Angreifer, die PTR-Records kontrollieren oder fälschen können, sind dadurch in der Lage, ZooKeeper-Server zu imitieren. CVSS-Basiswert: 7.4 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 7.4 EPSS: 0.03% Publiziert: Referenz: NVD
  20. Apache Thrift: Ungültige Zertifikat-Host-Validierung

    CVE-2026-41603 Hoch

    In Apache Thrift vor Version 0.23.0 besteht eine Schwachstelle durch fehlerhafte Validierung von Zertifikaten gegenüber dem Host (Improper Validation of Certificate with Host Mismatch). CVSS-Basiswert: 7.4 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: Upgrade auf Apache Thrift 0.23.0.

    CVSS: 7.4 EPSS: 0.03% Publiziert: Referenz: NVD
  21. Apache Airflow BashOperator – Privilegienerweiterung über unsanitierte Eingabe

    CVE-2026-30898 Hoch

    In der Apache Airflow-Dokumentation wurde ein BashOperator-Beispiel bereitgestellt, das unsanitierte Benutzereingaben aus dag_run.conf verarbeitete und dadurch eine Privilegienerweiterung für UI-Benutzer ermöglichte. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 8.8 EPSS: 0.03% Publiziert: Referenz: NVD
  22. Apache – Origin-Validierungsfehler, Path Traversal und HTTP Request Splitting

    CVE-2026-43870 Hoch

    Für Apache-Produkte wurden mehrere Schwachstellen gemeldet, darunter Origin-Validierungsfehler, Path-Traversal-Angriffe sowie HTTP Request/Response Splitting durch unsachgemässe Neutralisierung von CRLF-Sequenzen in HTTP-Headern. CVSS-Basiswert: 7.3 (Hoch).

    CVSS: 7.3 EPSS: 0.03% Publiziert: Referenz: NVD
  23. Apache Camel-PQC: Unsichere Deserialisierung in FileBasedKeyLifecycleManager

    CVE-2026-40048 Hoch

    Die Klasse FileBasedKeyLifecycleManager des Camel-PQC-Moduls deserialisiert Inhalte von Schlüsseldateien mittels java.io.ObjectInputStream ohne ObjectInputFilter anzuwenden. Dies ermöglicht potenziell unsichere Deserialisierung und Codeausführung. CVSS-Basiswert: 7.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 7.8 EPSS: 0.03% Publiziert: Referenz: NVD
  24. Apache DolphinScheduler – Offenlegung sensibler Informationen

    CVE-2025-62188 Hoch

    In Apache DolphinScheduler besteht eine Schwachstelle vom Typ „Exposure of Sensitive Information to an Unauthorized Actor”, durch die unbefugte Akteure auf sensible Informationen zugreifen können. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 7.5 EPSS: 0.03% Publiziert: Referenz: NVD
  25. Apache HertzBeat – XPath-Injection

    CVE-2026-24343 Hoch

    In Apache HertzBeat (Versionen 1.7.1 bis vor 1.8.0) besteht eine XPath-Injection-Schwachstelle durch unzureichende Neutralisierung von Daten in XPath-Ausdrücken. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 8.8 EPSS: 0.03% Publiziert: Referenz: NVD
  26. Undertow – Header-Parsing-Inkonsistenz ermöglicht Request Smuggling

    CVE-2026-28368 Hoch

    In Undertow werden Header-Namen abweichend von vorgelagerten Proxies geparst. Ein entfernter Angreifer kann speziell konstruierte Anfragen erstellen, die von Undertow und einem vorgeschalteten Proxy unterschiedlich interpretiert werden, und so HTTP-Request-Smuggling-Angriffe durchführen. CVSS-Basiswert: 8.7 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 8.7 EPSS: 0.03% Publiziert: Referenz: NVD
  27. Apache CloudStack – Path-Traversal beim Template-Download über KVM

    CVE-2026-25077 Hoch

    Benutzerkonten dürfen standardmässig Templates direkt in den Primärspeicher für den Einsatz mit dem KVM-Hypervisor registrieren. Durch fehlende Bereinigung des Dateinamens können Angreifer diese Funktion missbrauchen. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 8.8 EPSS: 0.02% Publiziert: Referenz: NVD
  28. Apache Atlas: Code-Injection über DSL-Such-Endpunkt

    CVE-2026-40563 Hoch

    Apache Atlas exponiert einen DSL-Such-Endpunkt, der benutzerseitig übermittelte Abfragezeichenfolgen entgegennimmt. Ein Angreifer kann dies für eine Code-Injection-Attacke ausnutzen. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 8.1 EPSS: 0.02% Publiziert: Referenz: NVD
  29. Apache LDAP Client 2.1.7 – fehlende Hostname-Validierung bei TLS

    CVE-2026-35563 Hoch

    Der LDAP-Client in Version 2.1.7 überprüft nicht, ob das Server-Zertifikat dem vorgesehenen LDAP-Hostnamen entspricht. Obwohl das Zertifikat selbst validiert wird, fehlt die Hostname-Prüfung, was Man-in-the-Middle-Angriffe ermöglicht. CVSS-Basiswert: 8.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 8.5 EPSS: 0.02% Publiziert: Referenz: NVD
  30. Apache DolphinScheduler – Fehlerhafte Autorisierung ermöglicht Nutzung undefinierter Tenants

    CVE-2026-23902 Hoch

    Eine fehlerhafte Autorisierungsprüfung in Apache DolphinScheduler erlaubt es authentifizierten Benutzern mit System-Login-Rechten, während der Workflow-Ausführung Tenants zu verwenden, die auf der Plattform nicht definiert sind. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 8.1 EPSS: 0.02% Publiziert: Referenz: NVD
  31. Apache ZooKeeper ZKConfig – Offenlegung sensibler Client-Konfigurationsdaten

    CVE-2026-24308 Hoch

    Apache ZooKeeper 3.8.5 und 3.9.4 verarbeiten Konfigurationswerte in ZKConfig fehlerhaft, wodurch sensible Informationen aus der Client-Konfiguration offengelegt werden können. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 7.5 EPSS: 0.02% Publiziert: Referenz: NVD
  32. Apache Airflow: XCom PATCH-Endpoint erlaubt Überschreiben reservierter Schlüssel

    CVE-2026-42359 Hoch

    In Apache Airflow ermöglicht ein Fehler im XCom-PATCH-Endpunkt (PATCH /api/v2/xcomEntries/{key}), dass authentifizierte Benutzer mit XCom-Schreibberechtigung XCom-Einträge unter reservierten Schlüsselnamen anlegen können. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 8.8 EPSS: 0.02% Publiziert: Referenz: NVD
  33. Apache Airflow – Unsichere Deserialisierung in Scheduler-Deadline-Decoder

    CVE-2026-45360 Hoch

    In Apache Airflow ermöglicht der Scheduler-seitige Deadline-Decoder (`SerializedCustomReference.deserialize_reference`) das Importieren und Ausführen beliebiger Klassenpfade, die aus DAG-autor-kontrollierten serialisierten Daten stammen. CVSS-Basiswert: 7.3 (Hoch).

    CVSS: 7.3 EPSS: 0.02% Publiziert: Referenz: NVD
  34. Apache Answer – Offenlegung persönlicher Daten über unauthentifizierten API-Endpunkt

    CVE-2026-24735 Hoch

    In Apache Answer bis einschliesslich Version 1.7.1 legt ein nicht authentifizierter API-Endpunkt fälschlicherweise persönliche Nutzerdaten gegenüber unbefugten Akteuren offen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 7.5 EPSS: 0.02% Publiziert: Referenz: NVD
  35. Apache Airflow KubernetesExecutor – JWT-Token in Prozessargumenten sichtbar

    CVE-2026-49298 Hoch

    Ein Fehler im Apache Airflow KubernetesExecutor führt dazu, dass JWT-Token, die Worker-Pods zur Authentifizierung gegen die Execution API verwenden, als Kommandozeilenargumente an den Worker-Container übergeben werden und so in Prozesslisten sichtbar sind. CVSS-Basiswert: 8.8 (Hoch).

    CVSS: 8.8 EPSS: 0.02% Publiziert: Referenz: NVD
  36. Apache::API::Password – Unsichere Zufallswerte für Salt-Generierung

    CVE-2026-5088 Hoch

    In Apache::API::Password bis Version 0.5.2 für Perl können bei der Generierung von Salts unsichere Zufallswerte entstehen. Die Methoden _make_salt und _make_salt_bcrypt versuchen dabei Crypt::URandom zu laden und greifen auf schwächere Zufallsquellen zurück, falls dies fehlschlägt. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 7.5 EPSS: 0.02% Publiziert: Referenz: NVD
  37. Apache Airflow – Code-Ausführung über manipulierten Datenbankeintrag im Triggerer

    CVE-2025-69219 Hoch

    Ein Benutzer mit Datenbankzugriff kann in Apache Airflow einen Datenbankeintrag so manipulieren, dass auf dem Triggerer Code ausgeführt wird. Dies gewährt dem Angreifer dieselben Berechtigungen wie einem DAG-Autor. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 8.8 EPSS: 0.02% Publiziert: Referenz: NVD
  38. Apache CloudStack Backup-Plugin – Fehlerhafte Zugriffslogik

    CVE-2025-66172 Hoch

    Das CloudStack Backup-Plugin weist in den Versionen 4.21.0.0 und 4.22.0.0 eine fehlerhafte Zugriffslogik auf. Authentifizierte Benutzer in betroffenen Umgebungen, in denen dieses Plugin aktiviert ist, können unbefugten Zugriff erlangen. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 8.1 EPSS: 0.02% Publiziert: Referenz: NVD
  39. Apache NiFi: Fehlende Berechtigungsannotation in TinkerpopClientService

    CVE-2026-39816 Hoch

    In Apache NiFi fehlt der optionalen Erweiterungskomponente TinkerpopClientService (Versionen 2.0.0-M1 bis 2.8.0) die Restricted-Annotation mit der Execute-Code-Berechtigung. Dies kann es Angreifern ermöglichen, die Zugriffskontrolle zu umgehen. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 8.8 EPSS: 0.02% Publiziert: Referenz: NVD
  40. Apache Airflow – Open Redirect durch umgangene URL-Prüfung

    CVE-2026-40961 Hoch

    Ein Fehler in der Login-Redirect-Route von Apache Airflow erlaubte authentifizierten Benutzern, URLs zu konstruieren, die die Prüfung is_safe_url umgingen. Angreifer konnten so eine Weiterleitung von der vertrauenswürdigen Airflow-Domain auf eine externe Seite auslösen. CVSS-Basiswert: 7.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 7.2 EPSS: 0.01% Publiziert: Referenz: NVD
  41. Apache Airflow – Fehlerhafte Autorisierung bei Bulk-Task-Instance-API

    CVE-2026-41084 Hoch

    Ein Fehler in der Bulk-Task-Instances-API von Apache Airflow (PATCH/DELETE /api/v2/dags/{dag_id}/dagRuns/{dag_run_id}/taskInstances) führte dazu, dass die Autorisierung anhand der dag_id aus dem URL-Pfad geprüft wurde, anstatt anhand der tatsächlich betroffenen Ressource. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 7.5 EPSS: 0.01% Publiziert: Referenz: NVD
  42. Apache ActiveMQ – Falsche Standardberechtigungen in Jolokia-Autorisierung

    CVE-2026-49157 Hoch

    In Apache ActiveMQ (vor 5.19.7 sowie von 6.0.0 bis vor 6.2.6) gewähren die Standard-Jolokia-Autorisierungseinstellungen Nicht-Administratoren zu weitreichende Rechte. Dies kann zur unbefugten Ausführung von Verwaltungsoperationen führen. CVSS-Basiswert: 8.8 (Hoch).

    CVSS: 8.8 EPSS: 0.01% Publiziert: Referenz: NVD
  43. Apache CloudStack – MinIO-Richtlinien bleiben nach Bucket-Löschung erhalten

    CVE-2025-66467 Hoch

    In Apache CloudStack werden MinIO-Richtlinien beim Löschen eines Buckets nicht bereinigt. Dadurch können Benutzer den Zugriff auf Buckets behalten, die sie zuvor besassen. Erstellt ein anderer Benutzer einen neuen Bucket mit demselben Namen, kann der frühere Eigentümer unberechtigten Zugriff erhalten. CVSS-Basiswert: 8.0 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 8.0 EPSS: 0.01% Publiziert: Referenz: NVD
  44. CVE-2011-3192 – Apache HTTP Server Sicherheitslücke

    CVE-2011-3192 Mittel

    Für Apache HTTP Server wurde eine Sicherheitslücke (CVE-2011-3192) gemeldet. Ausnutzungswahrscheinlichkeit (EPSS): 98.9 %.

    EPSS: 98.95% Referenz: Apache HTTP Server / ASF-Projekte
  45. Apache Log4j API: Ungültiges JSON durch nicht-finite Gleitkommawerte in MapMessage

    CVE-2026-49844 Mittel

    Eine fehlerhafte Kodierung nicht-finiter Gleitkommawerte bei der JSON-Serialisierung von MapMessage in der Apache Log4j API erzeugt Ausgaben, die kein gültiges JSON sind. Betroffen sind Versionen der Apache Log4j API ab 2.13. Ein CVSS-Wert liegt in den Quelldaten nicht vor. Ausnutzungswahrscheinlichkeit (EPSS): 0.8 %. Eine aktive Ausnutzung über CISA KEV oder ein Ransomware-Bezug ist nicht bekannt. Empfohlene Massnahme: verfügbare Aktualisierungen der Apache Log4j API einspielen.

    EPSS: 0.78% Publiziert: Referenz: NVD
  46. Apache Airflow Samba-Provider: Pfad-Traversal im GCSToSambaOperator

    CVE-2026-49818 Mittel

    Der GCSToSambaOperator im Samba-Provider von Apache Airflow verband GCS-Objektnamen mit dem SMB-Zielpfad ohne Containment-Prüfung, sodass ein Objektname mit `../`-Segmenten einen Schreibpfad ausserhalb des vorgesehenen Verzeichnisses auflöste. CVSS-Basiswert: 6.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.7 %.

    CVSS: 6.5 EPSS: 0.69% Publiziert: Referenz: NVD
  47. Apache ActiveMQ Web Console: Cross-Site-Scripting auf der Browse-Seite

    CVE-2026-52760 Mittel

    Eine Cross-Site-Scripting-Schwachstelle in Apache ActiveMQ bzw. der Apache ActiveMQ Web Console: Die Browse-Seite der Web-Konsole rendert eine Nachricht (weitere Details in der Quelle abgeschnitten), wodurch Skripte eingeschleust werden können. CVSS-Basiswert: 6.1 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.7 %.

    CVSS: 6.1 EPSS: 0.67% Publiziert: Referenz: NVD
  48. Apache Airflow: Bulk-Variables-API umgeht Redaction geheimer Werte

    CVE-2026-48828 Mittel

    In Apache Airflow ruft die Bulk-Variables-API den Redactor ohne den Variablenschlüssel auf, sodass die schlüsselbasierte Prüfung `should_hide_value_for_key` – die bei geheim benannten Schlüsseln greift – nicht ausgelöst wird und sensible Werte offengelegt werden können. CVSS-Basiswert: 6.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.7 %.

    CVSS: 6.5 EPSS: 0.66% Publiziert: Referenz: NVD
  49. Apache Airflow: Config API legt Secrets-Backend-Overrides offen

    CVE-2026-48892 Mittel

    Die Config API in Apache Airflow gab pro Schlüssel definierte Secrets-Backend-Overrides preis, die als Umgebungsvariablen gesetzt waren. Dadurch konnten sensible Konfigurationswerte an authentifizierte Nutzer offengelegt werden. CVSS-Basiswert: 6.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.7 %. Empfohlene Massnahme: Auf eine fehlerbereinigte Apache-Airflow-Version aktualisieren.

    CVSS: 6.5 EPSS: 0.66% Publiziert: Referenz: NVD
  50. Apache Airflow: REST-API gibt Trigger-Kwargs unmaskiert preis

    CVE-2026-49487 Mittel

    In Apache Airflow vor 3.3.0 gaben die REST-API-Endpunkte für Task-Instance-Details und -Listen die Trigger-Kwargs einer aufgeschobenen (deferred) Task ohne Maskierung zurück. Reichte ein deferred Operator ein Secret weiter, konnte dieses so offengelegt werden. CVSS-Basiswert: 6.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.7 %. Empfohlene Massnahme: Auf Apache Airflow 3.3.0 oder neuer aktualisieren.

    CVSS: 6.5 EPSS: 0.66% Publiziert: Referenz: NVD

Diesem Produkt-Feed folgen

Eigener RSS-Feed nur für Apache HTTP Server / ASF-Projekte, kostenlos und ohne Anmeldung. Zustellung per E-Mail, Webhook, REST oder TAXII richten wir auf Anfrage ein.

RSS-Feed öffnen Zustellung anfragen

Wie folge ich dem Feed?

  • 1 RSS-Feed-Link kopieren oder direkt im RSS-Reader öffnen.
  • 2 Priorisierte Reports (KEV · EPSS · CVSS) landen automatisch in Ihrem Reader.
  • 3 Zustellung per E-Mail, Webhook, REST oder TAXII auf Anfrage einrichten lassen.
Zurück zum Katalog