Apache HTTP Server / ASF-Projekte Seite 6
Schwachstellen-Reports
354 ReportsZeige 251 bis 300 von 354
-
Apache Airflow – Arbitrary Code Execution durch DAG-Autoren
CVE-2026-25917 HochIn Apache Airflow können DAG-Autoren, die normalerweise keinen Code im Webserver-Kontext ausführen dürfen, über präparierte XCom-Payloads beliebigen Code auf dem Webserver ausführen. CVSS-Basiswert: 7.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 7.2 EPSS: 0.05% Publiziert: Referenz: NVD -
Apache Tomcat – HTTP-Authentifizierungs-Header bei WebSocket-Authentifizierung weitergegeben
CVE-2026-42498 HochIn Apache Tomcat wird der HTTP-Authentifizierungs-Header bei der WebSocket-Authentifizierung an unerwartete Hosts weitergegeben. Betroffen sind Apache Tomcat-Versionen von 11.0.0-M1 bis 11.0.21 sowie von 10.1. CVSS-Basiswert: 7.3 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 7.3 EPSS: 0.05% Publiziert: Referenz: NVD -
Apache Airflow – JWT-Token-Exposition in Logs
CVE-2026-31987 HochIn Apache Airflow wurden JWT-Tokens von Tasks in Protokolldateien offengelegt. Dadurch könnten UI-Benutzer die Identität von DAG-Autoren annehmen und unbefugte Aktionen ausführen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: Upgrade auf eine Apache-Airflow-Version mit enthaltener Fehlerkorrektur.
CVSS: 7.5 EPSS: 0.05% Publiziert: Referenz: NVD -
Undertow – Request Smuggling über ungültige Header-Terminierung
CVE-2026-28367 HochIn Undertow kann ein entfernter Angreifer durch das Senden von '\r\r\r' als Header-Block-Terminator HTTP-Request-Smuggling-Angriffe in Kombination mit bestimmten Proxy-Servern durchführen. CVSS-Basiswert: 8.7 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 8.7 EPSS: 0.05% Publiziert: Referenz: NVD -
Undertow – Fehlerhafte Verarbeitung von Leerzeichen am Anfang von Header-Zeilen
CVE-2026-28369 HochIn Undertow werden HTTP-Anfragen, bei denen die erste Header-Zeile mit einem oder mehreren Leerzeichen beginnt, fehlerhaft verarbeitet: Die führenden Leerzeichen werden entfernt, was zu unerwarteten Interpretationsunterschieden gegenüber Proxies führen kann. CVSS-Basiswert: 8.7 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 8.7 EPSS: 0.05% Publiziert: Referenz: NVD -
Apache APISIX – Klartextübertragung sensibler Daten im OpenID-Connect-Plugin
CVE-2026-31923 HochIn Apache APISIX kann es aufgrund des standardmässig auf false gesetzten Parameters ssl_verify im openid-connect-Plugin zur Klartextübertragung sensibler Informationen kommen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 7.5 EPSS: 0.04% Publiziert: Referenz: NVD -
Apache Arrow C++ – Use-After-Free beim Lesen von IPC-Dateien
CVE-2026-25087 HochIn Apache Arrow C++ (Versionen 15.0.0 bis 23.0.0) besteht eine Use-After-Free-Schwachstelle, die beim Lesen von Arrow-IPC-Dateien (nicht IPC-Streams) ausgelöst werden kann. CVSS-Basiswert: 7.0 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 7.0 EPSS: 0.04% Publiziert: Referenz: NVD -
Apache Thrift: Integer Overflow / Wraparound
CVE-2026-41605 HochIn Apache Thrift vor Version 0.23.0 besteht eine Integer-Overflow- bzw. Wraparound-Schwachstelle, die zu unerwartetem Programmverhalten führen kann. CVSS-Basiswert: 7.3 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: Upgrade auf Apache Thrift 0.23.0.
CVSS: 7.3 EPSS: 0.04% Publiziert: Referenz: NVD -
Apache Airflow – Fehlende Autorisierung in HITL-Endpunkten der Execution API
CVE-2026-30911 HochIn Apache Airflow Versionen 3.1.0 bis 3.1.7 fehlt eine Autorisierungsprüfung in den Human-in-the-Loop-Endpunkten der Execution API. Dadurch kann jede authentifizierte Task-Instanz entsprechende Aktionen lesen, genehmigen oder ausführen. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 8.1 EPSS: 0.04% Publiziert: Referenz: NVD -
Apache::SessionX – Unsichere Session-IDs
CVE-2025-40932 HochApache::SessionX (Versionen bis 2.01) für Perl erzeugt Session-IDs durch den Standardgenerator Apache::SessionX::Generate::MD5 auf unsichere Weise, was die Vorhersagbarkeit von Sitzungstoken ermöglicht. CVSS-Basiswert: 8.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 8.2 EPSS: 0.04% Publiziert: Referenz: NVD -
Apache Neethi: Denial of Service durch algorithmische Komplexität in WS-Policy
CVE-2026-42402 HochIn Apache Neethi können speziell präparierte WS-Policy-Dokumente durch exponentielle Kartesische Produktbildung bei der Policy-Normalisierung einen Denial-of-Service auslösen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 7.5 EPSS: 0.04% Publiziert: Referenz: NVD -
Apache Airflow – Code-Ausführung durch DAG-Autor
CVE-2024-56373 HochIn Apache Airflow können DAG-Autoren durch Manipulation der Datenbank im Kontext des Webservers beliebigen Code ausführen, obwohl dies regulär nicht erlaubt sein sollte. CVSS-Basiswert: 8.4 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 8.4 EPSS: 0.04% Publiziert: Referenz: NVD -
Apache Cassandra – Privilege Escalation in mTLS-Umgebung
CVE-2026-27314 HochIn Apache Cassandra 5.0 mit aktiviertem MutualTlsAuthenticator können Benutzer mit ausschliesslich CREATE-Berechtigung ihr eigenes Zertifikat mit einer beliebigen anderen Identität verknüpfen und sich so unerlaubt höhere Rechte verschaffen. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 8.8 EPSS: 0.04% Publiziert: Referenz: NVD -
Apache Thrift – Fehlende Validierung des Zertifikats bei Host-Abweichung
CVE-2026-43869 HochIn Apache Thrift besteht eine Schwachstelle durch unsachgemässe Validierung von Zertifikaten bei Host-Abweichung. Betroffen sind alle Versionen vor 0.23.0. Ein Upgrade auf Version 0.23.0, welche das Problem behebt, wird empfohlen. CVSS-Basiswert: 7.3 (Hoch).
CVSS: 7.3 EPSS: 0.04% Publiziert: Referenz: NVD -
Apache Neethi – Zirkuläre Referenzen in WS-Policy-Definitionen
CVE-2026-42403 HochApache Neethi erkennt zirkuläre Referenzen in Policy-Definitionen nicht korrekt. Wenn ein WS-Policy-Dokument zirkuläre Verweise enthält (Policy A referenziert Policy B, die wiederum Policy A referenziert), kann dies zu unerwünschtem Verhalten führen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 7.5 EPSS: 0.03% Publiziert: Referenz: NVD -
Apache Tomcat – Cipher-Preference-Reihenfolge wird nicht beibehalten
CVE-2026-29129 HochIn bestimmten Versionen von Apache Tomcat (11.0.16–11.0.18, 10.1.51–10.1.52, 9.0.114 und folgende) wird die konfigurierte Cipher-Preference-Reihenfolge nicht korrekt eingehalten. Dies kann dazu führen, dass schwächere Verschlüsselungsverfahren bevorzugt ausgehandelt werden. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 7.5 EPSS: 0.03% Publiziert: Referenz: NVD -
Apache Airflow – Session-Token mit zu weitem Cookie-Pfad
CVE-2026-28779 HochIn Apache Airflow 3.1.0 bis 3.1.7 wird das Session-Token-Cookie (_token) unabhängig von der konfigurierten Basis-URL mit dem Pfad '/' gesetzt. Dadurch können auf demselben Host betriebene andere Anwendungen dieses Cookie mitlesen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 7.5 EPSS: 0.03% Publiziert: Referenz: NVD -
Apache MINA SSHD – Path-Traversal-Schwachstelle im sshd-git-Bundle
CVE-2026-48827 HochIm Apache MINA SSHD Bundle sshd-git ermöglicht eine fehlende Pfadvalidierung in git-upload-pack, git-receive-pack und anderen Git-Operationen SSH-authentifizierten Nutzern den Zugriff auf Dateien ausserhalb des erlaubten Verzeichnisses (Path Traversal). CVSS-Basiswert: 7.1 (Hoch).
CVSS: 7.1 EPSS: 0.03% Publiziert: Referenz: NVD -
Apache ZooKeeper ZKTrustManager – Hostname-Verifizierung über PTR-Records umgehbar
CVE-2026-24281 HochIn Apache ZooKeeper fällt ZKTrustManager bei fehlgeschlagener IP-SAN-Validierung auf eine Reverse-DNS-Abfrage (PTR) zurück. Angreifer, die PTR-Records kontrollieren oder fälschen können, sind dadurch in der Lage, ZooKeeper-Server zu imitieren. CVSS-Basiswert: 7.4 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 7.4 EPSS: 0.03% Publiziert: Referenz: NVD -
Apache Thrift: Ungültige Zertifikat-Host-Validierung
CVE-2026-41603 HochIn Apache Thrift vor Version 0.23.0 besteht eine Schwachstelle durch fehlerhafte Validierung von Zertifikaten gegenüber dem Host (Improper Validation of Certificate with Host Mismatch). CVSS-Basiswert: 7.4 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: Upgrade auf Apache Thrift 0.23.0.
CVSS: 7.4 EPSS: 0.03% Publiziert: Referenz: NVD -
Apache Airflow BashOperator – Privilegienerweiterung über unsanitierte Eingabe
CVE-2026-30898 HochIn der Apache Airflow-Dokumentation wurde ein BashOperator-Beispiel bereitgestellt, das unsanitierte Benutzereingaben aus dag_run.conf verarbeitete und dadurch eine Privilegienerweiterung für UI-Benutzer ermöglichte. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 8.8 EPSS: 0.03% Publiziert: Referenz: NVD -
Apache – Origin-Validierungsfehler, Path Traversal und HTTP Request Splitting
CVE-2026-43870 HochFür Apache-Produkte wurden mehrere Schwachstellen gemeldet, darunter Origin-Validierungsfehler, Path-Traversal-Angriffe sowie HTTP Request/Response Splitting durch unsachgemässe Neutralisierung von CRLF-Sequenzen in HTTP-Headern. CVSS-Basiswert: 7.3 (Hoch).
CVSS: 7.3 EPSS: 0.03% Publiziert: Referenz: NVD -
Apache Camel-PQC: Unsichere Deserialisierung in FileBasedKeyLifecycleManager
CVE-2026-40048 HochDie Klasse FileBasedKeyLifecycleManager des Camel-PQC-Moduls deserialisiert Inhalte von Schlüsseldateien mittels java.io.ObjectInputStream ohne ObjectInputFilter anzuwenden. Dies ermöglicht potenziell unsichere Deserialisierung und Codeausführung. CVSS-Basiswert: 7.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 7.8 EPSS: 0.03% Publiziert: Referenz: NVD -
Apache DolphinScheduler – Offenlegung sensibler Informationen
CVE-2025-62188 HochIn Apache DolphinScheduler besteht eine Schwachstelle vom Typ „Exposure of Sensitive Information to an Unauthorized Actor”, durch die unbefugte Akteure auf sensible Informationen zugreifen können. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 7.5 EPSS: 0.03% Publiziert: Referenz: NVD -
Apache HertzBeat – XPath-Injection
CVE-2026-24343 HochIn Apache HertzBeat (Versionen 1.7.1 bis vor 1.8.0) besteht eine XPath-Injection-Schwachstelle durch unzureichende Neutralisierung von Daten in XPath-Ausdrücken. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 8.8 EPSS: 0.03% Publiziert: Referenz: NVD -
Undertow – Header-Parsing-Inkonsistenz ermöglicht Request Smuggling
CVE-2026-28368 HochIn Undertow werden Header-Namen abweichend von vorgelagerten Proxies geparst. Ein entfernter Angreifer kann speziell konstruierte Anfragen erstellen, die von Undertow und einem vorgeschalteten Proxy unterschiedlich interpretiert werden, und so HTTP-Request-Smuggling-Angriffe durchführen. CVSS-Basiswert: 8.7 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 8.7 EPSS: 0.03% Publiziert: Referenz: NVD -
Apache CloudStack – Path-Traversal beim Template-Download über KVM
CVE-2026-25077 HochBenutzerkonten dürfen standardmässig Templates direkt in den Primärspeicher für den Einsatz mit dem KVM-Hypervisor registrieren. Durch fehlende Bereinigung des Dateinamens können Angreifer diese Funktion missbrauchen. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 8.8 EPSS: 0.02% Publiziert: Referenz: NVD -
Apache Atlas: Code-Injection über DSL-Such-Endpunkt
CVE-2026-40563 HochApache Atlas exponiert einen DSL-Such-Endpunkt, der benutzerseitig übermittelte Abfragezeichenfolgen entgegennimmt. Ein Angreifer kann dies für eine Code-Injection-Attacke ausnutzen. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 8.1 EPSS: 0.02% Publiziert: Referenz: NVD -
Apache LDAP Client 2.1.7 – fehlende Hostname-Validierung bei TLS
CVE-2026-35563 HochDer LDAP-Client in Version 2.1.7 überprüft nicht, ob das Server-Zertifikat dem vorgesehenen LDAP-Hostnamen entspricht. Obwohl das Zertifikat selbst validiert wird, fehlt die Hostname-Prüfung, was Man-in-the-Middle-Angriffe ermöglicht. CVSS-Basiswert: 8.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 8.5 EPSS: 0.02% Publiziert: Referenz: NVD -
Apache DolphinScheduler – Fehlerhafte Autorisierung ermöglicht Nutzung undefinierter Tenants
CVE-2026-23902 HochEine fehlerhafte Autorisierungsprüfung in Apache DolphinScheduler erlaubt es authentifizierten Benutzern mit System-Login-Rechten, während der Workflow-Ausführung Tenants zu verwenden, die auf der Plattform nicht definiert sind. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 8.1 EPSS: 0.02% Publiziert: Referenz: NVD -
Apache ZooKeeper ZKConfig – Offenlegung sensibler Client-Konfigurationsdaten
CVE-2026-24308 HochApache ZooKeeper 3.8.5 und 3.9.4 verarbeiten Konfigurationswerte in ZKConfig fehlerhaft, wodurch sensible Informationen aus der Client-Konfiguration offengelegt werden können. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 7.5 EPSS: 0.02% Publiziert: Referenz: NVD -
Apache Airflow: XCom PATCH-Endpoint erlaubt Überschreiben reservierter Schlüssel
CVE-2026-42359 HochIn Apache Airflow ermöglicht ein Fehler im XCom-PATCH-Endpunkt (PATCH /api/v2/xcomEntries/{key}), dass authentifizierte Benutzer mit XCom-Schreibberechtigung XCom-Einträge unter reservierten Schlüsselnamen anlegen können. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 8.8 EPSS: 0.02% Publiziert: Referenz: NVD -
Apache Airflow – Unsichere Deserialisierung in Scheduler-Deadline-Decoder
CVE-2026-45360 HochIn Apache Airflow ermöglicht der Scheduler-seitige Deadline-Decoder (`SerializedCustomReference.deserialize_reference`) das Importieren und Ausführen beliebiger Klassenpfade, die aus DAG-autor-kontrollierten serialisierten Daten stammen. CVSS-Basiswert: 7.3 (Hoch).
CVSS: 7.3 EPSS: 0.02% Publiziert: Referenz: NVD -
Apache Answer – Offenlegung persönlicher Daten über unauthentifizierten API-Endpunkt
CVE-2026-24735 HochIn Apache Answer bis einschliesslich Version 1.7.1 legt ein nicht authentifizierter API-Endpunkt fälschlicherweise persönliche Nutzerdaten gegenüber unbefugten Akteuren offen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 7.5 EPSS: 0.02% Publiziert: Referenz: NVD -
Apache Airflow KubernetesExecutor – JWT-Token in Prozessargumenten sichtbar
CVE-2026-49298 HochEin Fehler im Apache Airflow KubernetesExecutor führt dazu, dass JWT-Token, die Worker-Pods zur Authentifizierung gegen die Execution API verwenden, als Kommandozeilenargumente an den Worker-Container übergeben werden und so in Prozesslisten sichtbar sind. CVSS-Basiswert: 8.8 (Hoch).
CVSS: 8.8 EPSS: 0.02% Publiziert: Referenz: NVD -
Apache::API::Password – Unsichere Zufallswerte für Salt-Generierung
CVE-2026-5088 HochIn Apache::API::Password bis Version 0.5.2 für Perl können bei der Generierung von Salts unsichere Zufallswerte entstehen. Die Methoden _make_salt und _make_salt_bcrypt versuchen dabei Crypt::URandom zu laden und greifen auf schwächere Zufallsquellen zurück, falls dies fehlschlägt. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 7.5 EPSS: 0.02% Publiziert: Referenz: NVD -
Apache Airflow – Code-Ausführung über manipulierten Datenbankeintrag im Triggerer
CVE-2025-69219 HochEin Benutzer mit Datenbankzugriff kann in Apache Airflow einen Datenbankeintrag so manipulieren, dass auf dem Triggerer Code ausgeführt wird. Dies gewährt dem Angreifer dieselben Berechtigungen wie einem DAG-Autor. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 8.8 EPSS: 0.02% Publiziert: Referenz: NVD -
Apache CloudStack Backup-Plugin – Fehlerhafte Zugriffslogik
CVE-2025-66172 HochDas CloudStack Backup-Plugin weist in den Versionen 4.21.0.0 und 4.22.0.0 eine fehlerhafte Zugriffslogik auf. Authentifizierte Benutzer in betroffenen Umgebungen, in denen dieses Plugin aktiviert ist, können unbefugten Zugriff erlangen. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 8.1 EPSS: 0.02% Publiziert: Referenz: NVD -
Apache NiFi: Fehlende Berechtigungsannotation in TinkerpopClientService
CVE-2026-39816 HochIn Apache NiFi fehlt der optionalen Erweiterungskomponente TinkerpopClientService (Versionen 2.0.0-M1 bis 2.8.0) die Restricted-Annotation mit der Execute-Code-Berechtigung. Dies kann es Angreifern ermöglichen, die Zugriffskontrolle zu umgehen. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 8.8 EPSS: 0.02% Publiziert: Referenz: NVD -
Apache Airflow – Open Redirect durch umgangene URL-Prüfung
CVE-2026-40961 HochEin Fehler in der Login-Redirect-Route von Apache Airflow erlaubte authentifizierten Benutzern, URLs zu konstruieren, die die Prüfung is_safe_url umgingen. Angreifer konnten so eine Weiterleitung von der vertrauenswürdigen Airflow-Domain auf eine externe Seite auslösen. CVSS-Basiswert: 7.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 7.2 EPSS: 0.01% Publiziert: Referenz: NVD -
Apache Airflow – Fehlerhafte Autorisierung bei Bulk-Task-Instance-API
CVE-2026-41084 HochEin Fehler in der Bulk-Task-Instances-API von Apache Airflow (PATCH/DELETE /api/v2/dags/{dag_id}/dagRuns/{dag_run_id}/taskInstances) führte dazu, dass die Autorisierung anhand der dag_id aus dem URL-Pfad geprüft wurde, anstatt anhand der tatsächlich betroffenen Ressource. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 7.5 EPSS: 0.01% Publiziert: Referenz: NVD -
Apache ActiveMQ – Falsche Standardberechtigungen in Jolokia-Autorisierung
CVE-2026-49157 HochIn Apache ActiveMQ (vor 5.19.7 sowie von 6.0.0 bis vor 6.2.6) gewähren die Standard-Jolokia-Autorisierungseinstellungen Nicht-Administratoren zu weitreichende Rechte. Dies kann zur unbefugten Ausführung von Verwaltungsoperationen führen. CVSS-Basiswert: 8.8 (Hoch).
CVSS: 8.8 EPSS: 0.01% Publiziert: Referenz: NVD -
Apache CloudStack – MinIO-Richtlinien bleiben nach Bucket-Löschung erhalten
CVE-2025-66467 HochIn Apache CloudStack werden MinIO-Richtlinien beim Löschen eines Buckets nicht bereinigt. Dadurch können Benutzer den Zugriff auf Buckets behalten, die sie zuvor besassen. Erstellt ein anderer Benutzer einen neuen Bucket mit demselben Namen, kann der frühere Eigentümer unberechtigten Zugriff erhalten. CVSS-Basiswert: 8.0 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 8.0 EPSS: 0.01% Publiziert: Referenz: NVD -
CVE-2011-3192 – Apache HTTP Server Sicherheitslücke
CVE-2011-3192 MittelFür Apache HTTP Server wurde eine Sicherheitslücke (CVE-2011-3192) gemeldet. Ausnutzungswahrscheinlichkeit (EPSS): 98.9 %.
EPSS: 98.95% Referenz: Apache HTTP Server / ASF-Projekte -
Apache Log4j API: Ungültiges JSON durch nicht-finite Gleitkommawerte in MapMessage
CVE-2026-49844 MittelEine fehlerhafte Kodierung nicht-finiter Gleitkommawerte bei der JSON-Serialisierung von MapMessage in der Apache Log4j API erzeugt Ausgaben, die kein gültiges JSON sind. Betroffen sind Versionen der Apache Log4j API ab 2.13. Ein CVSS-Wert liegt in den Quelldaten nicht vor. Ausnutzungswahrscheinlichkeit (EPSS): 0.8 %. Eine aktive Ausnutzung über CISA KEV oder ein Ransomware-Bezug ist nicht bekannt. Empfohlene Massnahme: verfügbare Aktualisierungen der Apache Log4j API einspielen.
EPSS: 0.78% Publiziert: Referenz: NVD -
Apache Airflow Samba-Provider: Pfad-Traversal im GCSToSambaOperator
CVE-2026-49818 MittelDer GCSToSambaOperator im Samba-Provider von Apache Airflow verband GCS-Objektnamen mit dem SMB-Zielpfad ohne Containment-Prüfung, sodass ein Objektname mit `../`-Segmenten einen Schreibpfad ausserhalb des vorgesehenen Verzeichnisses auflöste. CVSS-Basiswert: 6.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.7 %.
CVSS: 6.5 EPSS: 0.69% Publiziert: Referenz: NVD -
Apache ActiveMQ Web Console: Cross-Site-Scripting auf der Browse-Seite
CVE-2026-52760 MittelEine Cross-Site-Scripting-Schwachstelle in Apache ActiveMQ bzw. der Apache ActiveMQ Web Console: Die Browse-Seite der Web-Konsole rendert eine Nachricht (weitere Details in der Quelle abgeschnitten), wodurch Skripte eingeschleust werden können. CVSS-Basiswert: 6.1 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.7 %.
CVSS: 6.1 EPSS: 0.67% Publiziert: Referenz: NVD -
Apache Airflow: Bulk-Variables-API umgeht Redaction geheimer Werte
CVE-2026-48828 MittelIn Apache Airflow ruft die Bulk-Variables-API den Redactor ohne den Variablenschlüssel auf, sodass die schlüsselbasierte Prüfung `should_hide_value_for_key` – die bei geheim benannten Schlüsseln greift – nicht ausgelöst wird und sensible Werte offengelegt werden können. CVSS-Basiswert: 6.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.7 %.
CVSS: 6.5 EPSS: 0.66% Publiziert: Referenz: NVD -
Apache Airflow: Config API legt Secrets-Backend-Overrides offen
CVE-2026-48892 MittelDie Config API in Apache Airflow gab pro Schlüssel definierte Secrets-Backend-Overrides preis, die als Umgebungsvariablen gesetzt waren. Dadurch konnten sensible Konfigurationswerte an authentifizierte Nutzer offengelegt werden. CVSS-Basiswert: 6.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.7 %. Empfohlene Massnahme: Auf eine fehlerbereinigte Apache-Airflow-Version aktualisieren.
CVSS: 6.5 EPSS: 0.66% Publiziert: Referenz: NVD -
Apache Airflow: REST-API gibt Trigger-Kwargs unmaskiert preis
CVE-2026-49487 MittelIn Apache Airflow vor 3.3.0 gaben die REST-API-Endpunkte für Task-Instance-Details und -Listen die Trigger-Kwargs einer aufgeschobenen (deferred) Task ohne Maskierung zurück. Reichte ein deferred Operator ein Secret weiter, konnte dieses so offengelegt werden. CVSS-Basiswert: 6.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.7 %. Empfohlene Massnahme: Auf Apache Airflow 3.3.0 oder neuer aktualisieren.
CVSS: 6.5 EPSS: 0.66% Publiziert: Referenz: NVD
Diesem Produkt-Feed folgen
Eigener RSS-Feed nur für Apache HTTP Server / ASF-Projekte, kostenlos und ohne Anmeldung. Zustellung per E-Mail, Webhook, REST oder TAXII richten wir auf Anfrage ein.
RSS-Feed öffnen Zustellung anfragenWie folge ich dem Feed?
- 1 RSS-Feed-Link kopieren oder direkt im RSS-Reader öffnen.
- 2 Priorisierte Reports (KEV · EPSS · CVSS) landen automatisch in Ihrem Reader.
- 3 Zustellung per E-Mail, Webhook, REST oder TAXII auf Anfrage einrichten lassen.