Apache Tomcat Seite 3
Schwachstellen-Reports
353 ReportsZeige 101 bis 150 von 353
-
Apache Polaris – GCS-Credentials durch manipulierte Tabellennamen tabellenübergreifend nutzbar
CVE-2026-42811 KritischApache Polaris soll kurzlebige GCS-Credentials ausstellen, die nur für Dateien einer einzelnen Tabelle gültig sind. Durch einen manipulierten Namespace- oder Tabellennamen können diese Credentials jedoch tabellenübergreifend eingesetzt werden. CVSS-Basiswert: 9.9 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 9.9 EPSS: 0.11% Publiziert: Referenz: NVD -
Apache OpenNLP: XXE-Schwachstelle in DictionaryEntryPersistor
CVE-2026-40682 KritischDer DictionaryEntryPersistor in Apache OpenNLP verarbeitet XML ohne ausreichende Absicherung gegen externe Entitäten (XXE). Betroffen sind Versionen vor 2.5.9 und vor 3.0.0-M3. Ein Angreifer kann über manipulierte Dictionary-Dateien beliebige Dateien auslesen oder SSRF auslösen. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 9.1 EPSS: 0.11% Publiziert: Referenz: NVD -
Apache Wicket: Session-Fixation durch fehlenden changeSessionId-Aufruf
CVE-2026-40010 KritischIn Apache Wicket wird nach der Session-Bindung nicht die HTTP-Methode changeSessionId aufgerufen, was Session-Fixation-Angriffe ermöglicht. Betroffen sind Versionen ab 8.0. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 9.1 EPSS: 0.11% Publiziert: Referenz: NVD -
Apache Ranger – Remote Code Execution via NashornScriptEngineCreator
CVE-2025-59059 KritischIn Apache Ranger (Versionen bis einschliesslich 2.7.0) besteht eine Remote-Code-Execution-Schwachstelle im NashornScriptEngineCreator. Empfohlene Massnahme: Upgrade auf Version 2.8.0. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 9.8 EPSS: 0.10% Publiziert: Referenz: NVD -
Apache OFBiz: LDAP Injection
CVE-2026-41919 KritischIn Apache OFBiz vor Version 24.09.06 besteht eine LDAP-Injection-Schwachstelle durch fehlende Neutralisierung von Sonderzeichen in LDAP-Abfragen, was zu unbefugtem Datenzugriff führen kann. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: Upgrade auf Apache OFBiz 24.09.06.
CVSS: 9.1 EPSS: 0.10% Publiziert: Referenz: NVD -
Apache OFBiz – Authentifizierungsumgehung ermöglicht Remote Code Execution
CVE-2026-45434 KritischIn Apache OFBiz wurde eine schwerwiegende Schwachstelle bei der Passwort-Änderungslogik entdeckt, die eine fehlerhafte Authentifizierungsprüfung enthält und dadurch Remote Code Execution ermöglicht. Betroffen sind alle Versionen vor 24.09.06; Nutzern wird ein Upgrade empfohlen. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 9.8 EPSS: 0.10% Publiziert: Referenz: NVD -
Apache OFBiz – Verwendung eines fest einkompilierten kryptografischen Schlüssels
CVE-2026-31986 KritischIn Apache OFBiz wird ein fest einkompilierter kryptografischer Schlüssel verwendet, was die Sicherheit von Verschlüsselungsmechanismen erheblich beeinträchtigt. Betroffen sind Versionen vor 24.09.06. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: Upgrade auf Apache OFBiz 24.09.06.
CVSS: 9.1 EPSS: 0.10% Publiziert: Referenz: NVD -
Apache Tomcat – Unzureichende Autorisierung bei mehrfachen HTTP-Methoden-Constraints
CVE-2026-43515 KritischIn Apache Tomcat wurde eine Schwachstelle bei der Autorisierungsprüfung identifiziert, die auftritt, wenn mehrere Methoden-Constraints dieselbe HTTP-Methode für dieselbe Erweiterung definieren. Betroffen sind Versionen ab 11.0.0-M1 bis 11.0.21 sowie weitere ältere Versionszweige. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 9.1 EPSS: 0.10% Publiziert: Referenz: NVD -
Apache Polaris – Unkontrollierte Vergabe temporärer Speicher-Credentials
CVE-2026-42809 KritischApache Polaris kann bei der schrittweisen Tabellenerstellung weitreichende temporäre Speicher-Credentials ("vended credentials") ausstellen, bevor der tatsächliche Tabellenspeicherort validiert oder dauerhaft reserviert wurde. Diese temporären Credentials können von Angreifern missbraucht werden. CVSS-Basiswert: 9.9 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 9.9 EPSS: 0.10% Publiziert: Referenz: NVD -
Apache Camel: Message-Header-Injection in Camel-CXF und Camel-Knative durch fehlende Inbound-Filterung
CVE-2026-47323 KritischDie HeaderFilterStrategy-Implementierungen von Camel-CXF und Camel-Knative (unter anderem CxfRsHeaderFilterStrategy in camel-cxf-rest) filtern eingehende Nachrichten-Header nicht ausreichend. Dadurch können Angreifer eigene Header in die Verarbeitung einschleusen (Message Header Injection). CVSS-Basiswert: 9.8 (Kritisch). Die Lücke ist laut CVSS-Vektor über das Netzwerk ohne Authentifizierung und ohne Benutzerinteraktion ausnutzbar. Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Zugeordnete überwachte Produkte: Apache HTTP Server / ASF-Projekte, Apache Tomcat.
CVSS: 9.8 EPSS: 0.08% Publiziert: Referenz: NVD -
Apache Druid – Kritische Schwachstelle mit LDAP-Authentifizierung (Versionen bis 35.x)
CVE-2026-23906 KritischIn Apache Druid besteht eine kritische Schwachstelle in allen Versionen von 0.17.0 bis 35.x, wenn die druid-basic-security-Erweiterung aktiviert und LDAP-Authentifizierung konfiguriert ist. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 9.8 EPSS: 0.08% Publiziert: Referenz: NVD -
Apache MINA – Unvollständiger Fix für CVE-2026-41635 in Branches 2.1.x und 2.2.x
CVE-2026-42779 KritischDer Fix für CVE-2026-41635 wurde nicht auf die Branches 2.1.x und 2.2.x von Apache MINA angewendet. Betroffen ist die Methode AbstractIoBuffer.resolveClass(), die zwei Codepfade enthält, von denen einer anfällig ist. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 9.8 EPSS: 0.07% Publiziert: Referenz: NVD -
Azure Managed Instance for Apache Cassandra – Unzureichende Zugriffskontrolle
CVE-2026-33109 KritischEine unzureichende Zugriffskontrolle in Azure Managed Instance for Apache Cassandra ermöglicht einem autorisierten Angreifer die Codeausführung über das Netzwerk. CVSS-Basiswert: 9.9 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 9.9 EPSS: 0.07% Publiziert: Referenz: NVD -
CVE-2026-50076 – Unsichere Deserialisierung in Apache Fory (fory-core Java SDK)
CVE-2026-50076 KritischIm Java-replace-resolve-Pfad des Apache Fory fory-core Java SDK vor Version 1.1.0 auf Java/JVM-Plattformen erlaubt eine Deserialisierung nicht vertrauenswürdiger Daten einem entfernten Angreifer, die Klassenregistrierung und Typprüfung zu umgehen. Über das Netzwerk lassen sich Vertraulichkeit und Integrität vollständig gefährden. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: Aktualisierung auf Apache Fory 1.1.0 oder neuer.
CVSS: 9.1 EPSS: 0.07% Publiziert: Referenz: NVD -
Apache MINA: Deserialisierungs-Bypass über AbstractIoBuffer
CVE-2026-41635 KritischIn Apache MINA enthält die Methode AbstractIoBuffer.resolveClass() einen Zweig für statische Klassen und primitive Typen, der die Klassenname-Allowlist vollständig umgeht und so eine unkontrollierte Deserialisierung ermöglicht. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 9.8 EPSS: 0.06% Publiziert: Referenz: NVD -
Azure Managed Instance for Apache Cassandra – Remote-Codeausführung
CVE-2026-33844 KritischEine unzureichende Zugriffskontrolle in Azure Managed Instance for Apache Cassandra erlaubt einem autorisierten Angreifer die Ausführung von Code über das Netzwerk. CVSS-Basiswert: 9.0 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 9.0 EPSS: 0.06% Publiziert: Referenz: NVD -
Apache Tomcat – Unzureichende Eingabevalidierung
CVE-2025-66614 KritischIn Apache Tomcat besteht eine Schwachstelle durch unzureichende Eingabevalidierung. Betroffen sind die Versionen 11.0.0-M1 bis 11.0.14, 10.1.0-M1 bis 10.1.49 sowie 9.0.0-M1 bis 9.0.112. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 9.1 EPSS: 0.05% Publiziert: Referenz: NVD -
Apache Camel Keycloak – Cross-Realm Token Acceptance Bypass in KeycloakSecurityPolicy
CVE-2026-23552 KritischDie KeycloakSecurityPolicy-Komponente in Apache Camel Keycloak validiert den „iss”-Claim (Issuer) von JWT-Tokens nicht korrekt. Dies ermöglicht einen Cross-Realm Token Acceptance Bypass, bei dem Tokens aus einem fremden Realm akzeptiert werden können. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 9.1 EPSS: 0.04% Publiziert: Referenz: NVD -
Apache::Session::Generate::ModUniqueId – unsichere Perl-Session-IDs
CVE-2026-5081 KritischApache::Session::Generate::ModUniqueId (eingeführt in Version 1.54) erzeugt in den Versionen 1.54 bis 1.94 unsichere Perl-Session-IDs, da der Wert der UNIQUE_ID zur Ableitung verwendet wird. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: auf eine korrigierte Version aktualisieren.
CVSS: 9.1 EPSS: 0.04% Publiziert: Referenz: NVD -
Apache APISIX – Header-Injection über Forward-Auth-Plugin
CVE-2026-31908 KritischIn Apache APISIX ermöglicht eine Schwachstelle im Forward-Auth-Plugin die Injektion bösartiger HTTP-Header durch einen Angreifer, der bestimmte Konfigurationsoptionen ausnutzt. Betroffen sind mehrere APISIX-Versionen ab 2.x. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 9.1 EPSS: 0.04% Publiziert: Referenz: NVD -
Apache Airflow – JWT-Token nach Logout nicht invalidiert
CVE-2025-57735 KritischIn Apache Airflow wurde das JWT-Token eines Benutzers beim Abmelden nicht invalidiert, was die Wiederverwendung eines abgefangenen Tokens ermöglicht. Das Problem wurde in Airflow 3.2 durch einen neuen Mechanismus behoben. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 9.1 EPSS: 0.04% Publiziert: Referenz: NVD -
Apache CXF – LDAP-Injection im XKMS-Server-Zertifikatsrepository
CVE-2026-44930 KritischIm XKMS-Server von Apache CXF besteht eine LDAP-Injection-Schwachstelle im LDAP-Zertifikatsrepository, die es einem Angreifer ermöglichen kann, beliebige Zertifikate aus dem Repository auszulesen. Ein Upgrade auf eine gepatchte Version wird empfohlen. CVSS-Basiswert: 9.8 (Kritisch).
CVSS: 9.8 EPSS: 0.04% Publiziert: Referenz: NVD -
Apache IoTDB – Kritische Schwachstelle durch fehlerhafte Eingabevalidierung
CVE-2026-24713 KritischIn Apache IoTDB (ab Version 1.0.0 vor 1.3.7 sowie ab 2.0.0 vor 2.0.7) ermöglicht eine fehlerhafte Eingabevalidierung potenziell schwerwiegende Angriffe. Ein Upgrade auf Version 1.3.7 oder 2.0.7 wird empfohlen. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 9.8 EPSS: 0.04% Publiziert: Referenz: NVD -
Apache Tomcat – CLIENT_CERT-Authentifizierung schlägt in bestimmten Szenarien nicht fehl
CVE-2026-29145 KritischIn Apache Tomcat und Apache Tomcat Native schlägt die CLIENT_CERT-Authentifizierung in bestimmten Szenarien bei deaktiviertem Soft-Fail nicht wie erwartet fehl. Betroffen sind Versionen ab 11.0.0 aufwärts. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 9.1 EPSS: 0.04% Publiziert: Referenz: NVD -
Apache CloudStack – Unbefugter Zugriff auf Instanzen anderer Mandanten via Proxmox-Extension
CVE-2026-25199 KritischÜber die Proxmox-Extension bereitgestellte Instanzen in Apache CloudStack (Versionen 4.21.0.0 bis 4.22.0.0) ermöglichen unbefugten Zugriff auf Instanzen anderer Mandanten. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 9.1 EPSS: 0.04% Publiziert: Referenz: NVD -
Apache Airflow: Template-Injection über DAG-Parameter-Dokumentation
CVE-2026-42252 KritischIn Apache Airflow enthielt die offizielle Dokumentation ein unsicheres BashOperator-Beispiel, das Template-Injection über DAG-Run-Konfigurationsparameter ermöglicht. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 9.1 EPSS: 0.03% Publiziert: Referenz: NVD -
Apache::Session::Generate::MD5 – Unsichere Session-IDs
CVE-2025-40931 KritischApache::Session::Generate::MD5 (Versionen bis 1.94) für Perl erzeugt Session-IDs auf unsichere Weise, was die Vorhersagbarkeit von Sitzungstoken ermöglicht. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 9.1 EPSS: 0.03% Publiziert: Referenz: NVD -
Apache HTTP Server – Heap-Buffer-Overflow in mod_proxy_ajp
CVE-2026-28780 KritischIn mod_proxy_ajp des Apache HTTP Servers kann ein bösartiger AJP-Server bei bestehender Verbindung eine präparierte AJP-Nachricht zurücksenden, die einen Heap-basierten Pufferüberlauf auslöst. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 9.8 EPSS: 0.03% Publiziert: Referenz: NVD -
Apache IoTDB – Kritische Schwachstelle in Versionen vor 1.3.7 und 2.0.7
CVE-2026-24015 KritischIn Apache IoTDB besteht eine kritische Schwachstelle in den Versionen ab 1.0.0 vor 1.3.7 sowie ab 2.0.0 vor 2.0.7. Empfohlene Massnahme: Upgrade auf Version 1.3.7 oder 2.0.7. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 9.8 EPSS: 0.03% Publiziert: Referenz: NVD -
Apache::Session – Wiederherstellung gelöschter Sessions
CVE-2013-10075 KritischIn Apache::Session bis Version 1.94 für Perl werden gelöschte Sessions unter bestimmten Umständen neu erstellt. Die Speicher-Backends File und DB_File erzeugen dabei Sessions, die eigentlich nicht existieren sollten. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 9.1 EPSS: 0.01% Publiziert: Referenz: NVD -
Apache Kylin – SQL-Injection über die Katalog-Refresh-API
CVE-2026-62390 KritischIn Apache Kylin besteht eine SQL-Injection-Schwachstelle durch unzureichende Neutralisierung von Sonderzeichen in einem SQL-Befehl. Eine Backend-API zum Aktualisieren des Tabellenkatalogs kann eine Injection in die erzeugte SQL-Anweisung ermöglichen. CVSS-Basiswert: 9.8 (Kritisch). Empfohlene Massnahme: die von Apache bereitgestellten Aktualisierungen einspielen.
CVSS: 9.8 Publiziert: Referenz: NVD -
OS Command Injection in Apache Kylin
CVE-2026-62392 KritischIn Apache Kylin besteht eine Schwachstelle durch unzureichende Neutralisierung von Sonderzeichen in einem OS-Kommando (OS Command Injection): Eine Backend-API kann Job-Konfigurationsparameter an die Betriebssystem-Kommandozeile weiterreichen. CVSS-Basiswert: 9.8 (Kritisch). Empfohlene Massnahme: die von Apache bereitgestellten Sicherheitshinweise beachten und aktualisierte Versionen einspielen.
CVSS: 9.8 Publiziert: Referenz: NVD -
Apache ActiveMQ: Code-Injection durch unzureichende Eingabevalidierung
CVE-2026-40466 HochIn Apache ActiveMQ Broker besteht eine Schwachstelle durch unzureichende Eingabevalidierung und fehlerhafte Kontrolle der Code-Generierung. Ein authentifizierter Angreifer kann diese ausnutzen, um Schadcode einzuschleusen. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 18.0 %.
CVSS: 8.8 EPSS: 18.01% Publiziert: Referenz: NVD -
Apache Tomcat – Padding-Oracle-Schwachstelle in EncryptInterceptor
CVE-2026-29146 HochIn Apache Tomcat besteht in der Standardkonfiguration des EncryptInterceptors eine Padding-Oracle-Schwachstelle. Betroffen sind die Versionen 11.0.0-M1 bis 11.0.18, 10.0.0-M1 bis 10.1.52 sowie 9.x. Ein Angreifer könnte verschlüsselte Daten durch wiederholte Anfragen entschlüsseln. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 12.9 %.
CVSS: 7.5 EPSS: 12.92% Publiziert: Referenz: NVD -
Apache HTTP Server mod_http – Denial of Service durch überhöhte Speicheranforderung
CVE-2026-49975 HochIm Apache HTTP Server führt eine Speicherallokation mit überhöhtem Grössenwert in mod_http bei manipulierten HTTP-Anfragen zu einem Denial of Service. Laut Quelldaten sind Versionen ab 2.4.17 betroffen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 11.5 %. Da der Angriff ohne Authentifizierung über das Netzwerk möglich ist, sollten exponierte Webserver zeitnah auf eine gepatchte Version aktualisiert werden.
CVSS: 7.5 EPSS: 11.47% Publiziert: Referenz: NVD -
Apache OpenNLP: Untrusted Java Deserialization in SvmDoccatModel
CVE-2026-43825 HochIn Apache OpenNLP besteht eine Untrusted-Java-Deserialization-Schwachstelle im SvmDoccatModel. Betroffen sind Versionen vor 3.0.0-M4 (libsvm-Dokumentkategorisierungsmodul, eingeführt mit OPENNLP-1808 und nur in der 3.x-Linie vorhanden). CVSS-Basiswert: 7.3 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 8.8 %. Empfohlene Massnahme: auf eine fehlerbereinigte Version gemäss Apache-Advisory aktualisieren.
CVSS: 7.3 EPSS: 8.79% Publiziert: Referenz: NVD -
Apache Tomcat EncryptInterceptor Bypass – fehlende Verschlüsselung sensibler Daten
CVE-2026-34486 HochIn Apache Tomcat (Versionen 11.0.20, 10.1.53 und weiteren) ermöglicht ein unvollständiger Fix für CVE-2026-29146 das Umgehen des EncryptInterceptor, sodass sensible Daten unverschlüsselt übertragen werden können. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 1.7 %.
CVSS: 7.5 EPSS: 1.68% Publiziert: Referenz: NVD -
Apache Airflow – Path-Traversal in den Google-Provider-Operatoren
CVE-2026-49297 HochIn den Google-Provider-Operatoren GCSToSFTPOperator und GCSTimeSpanFileTransformOperator von Apache Airflow werden die von der Bucket-Auflistung zurückgegebenen GCS-Objektnamen direkt an einen Zielpfad im Dateisystem angehängt, was Path Traversal ermöglicht. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 1.1 %.
CVSS: 8.1 EPSS: 1.06% Publiziert: Referenz: NVD -
Apache HTTP Server 2.4.66 – Double Free und mögliche Remote Code Execution via HTTP/2
CVE-2026-23918 HochIn Apache HTTP Server 2.4.66 besteht eine Double-Free-Schwachstelle im HTTP/2-Protokoll, die zu einer möglichen Remote Code Execution führen kann. Empfohlene Massnahme: Upgrade auf Version 2.4.67. CVSS-Basiswert: 8.0 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 1.0 %.
CVSS: 8.8 EPSS: 0.95% Publiziert: Referenz: NVD -
Apache ActiveMQ – Denial of Service über den STOMP-Connector
CVE-2026-49432 HochEine Schwachstelle durch unzureichende Eingabevalidierung betrifft Apache ActiveMQ, Apache ActiveMQ All und Apache ActiveMQ Stomp. Ein entfernter, nicht authentifizierter Peer, der einen exponierten STOMP-Connector erreicht, kann einen Denial of Service auslösen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.8 %. Empfohlene Massnahme: auf eine korrigierte Version aktualisieren und den Zugriff auf den STOMP-Connector einschränken.
CVSS: 7.5 EPSS: 0.84% Publiziert: Referenz: NVD -
Apache CXF – JNDI-Injection im JCA-Integrationsmodul
CVE-2026-50633 HochIm JCA-Integrationsmodul von Apache CXF wurde eine JNDI-Injection-Schwachstelle entdeckt, die zur Codeausführung führen kann, wenn ein Angreifer den JCA-Deployment-Deskriptor (ra.xml) manipulieren kann. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.8 %. Empfohlene Massnahme: die von Apache bereitgestellten Sicherheitsupdates einspielen.
CVSS: 8.1 EPSS: 0.83% Publiziert: Referenz: NVD -
Apache HTTP Server: Pufferüberlauf in mod_proxy_html
CVE-2026-34355 HochEin Pufferüberlauf in mod_proxy_html im Apache HTTP Server 2.4.67 und früher ermöglicht einen Angriff durch ein nicht vertrauenswürdiges Backend. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.8 %. Empfohlene Massnahme: Auf Apache HTTP Server 2.4.68 aktualisieren, der dieses Problem behebt.
CVSS: 7.5 EPSS: 0.80% Publiziert: Referenz: NVD -
Apache Camel (Hazelcast-Komponente) – Deserialisierung nicht vertrauenswürdiger Daten
CVE-2026-43865 HochDie Komponente camel-hazelcast von Apache Camel erzeugt und verwaltet Hazelcast-Instanzen mit einer Standardkonfiguration, die keine Einschränkungen anwendet, was eine Deserialisierung nicht vertrauenswürdiger Daten ermöglicht. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.8 %.
CVSS: 8.1 EPSS: 0.80% Publiziert: Referenz: NVD -
Apache ActiveMQ Client: Denial of Service durch überdimensionierte Speicherzuweisung
CVE-2026-50734 HochIn Apache ActiveMQ Client, Apache ActiveMQ und Apache ActiveMQ All besteht eine Schwachstelle durch Speicherzuweisung mit übermässiger Grössenangabe. Ein nicht authentifizierter Angreifer im Netzwerk kann durch eine präparierte Anfrage einen Denial of Service des Brokers auslösen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.8 %. Empfohlene Massnahme: auf eine fehlerbereinigte Version gemäss Apache-Advisory aktualisieren.
CVSS: 7.5 EPSS: 0.80% Publiziert: Referenz: NVD -
Apache ActiveMQ: Übermässige Speicherallokation über STOMP ermöglicht Denial of Service
CVE-2026-53916 HochIn Apache ActiveMQ (inkl. Apache ActiveMQ All und Apache ActiveMQ Stomp) kann ein nicht authentifizierter Client über eine STOMP-NIO-Verbindung präparierte Header senden und so eine Speicherallokation mit übermässiger Grösse und damit einen Denial of Service auslösen. Als betroffen ausgewiesen sind Apache HTTP Server / ASF-Projekte und Apache Tomcat. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.8 %. Empfohlene Massnahme: die vom Hersteller bereitgestellten Updates einspielen.
CVSS: 7.5 EPSS: 0.80% Publiziert: Referenz: NVD -
Apache ActiveMQ: Denial of Service durch übergrosse Speicherallokation
CVE-2026-53917 HochEine Schwachstelle vom Typ Memory Allocation with Excessive Size Value in Apache ActiveMQ (inkl. ActiveMQ All, Client und Broker) erlaubt einem authentifizierten Benutzer, durch entsprechend präparierte Anfragen einen Denial of Service des Brokers auszulösen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.8 %.
CVSS: 7.5 EPSS: 0.80% Publiziert: Referenz: NVD -
Unsichere Deserialisierung in Apache Camel (camel-vertx-http)
CVE-2026-40859 HochIn Apache Camel besteht eine Schwachstelle durch Deserialisierung nicht vertrauenswürdiger Daten. Die Komponente camel-vertx-http deserialisiert HTTP-Antwortkörper, die den Content-Type application/x-java-serialized-object tragen. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.7 %.
CVSS: 8.1 EPSS: 0.72% Publiziert: Referenz: NVD -
cordova-plugin-inappbrowser (iOS): Fehlende Formatvalidierung der id aus WKScriptMessage
CVE-2026-47430 HochDie iOS-Implementierung von cordova-plugin-inappbrowser übergibt das id-Feld aus einem WKScriptMessage-Body ohne Formatvalidierung an sendPluginResult:callbackId:. Dadurch lässt sich die Integrität der verarbeiteten Daten beeinträchtigen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.7 %. Empfohlene Massnahme: auf eine korrigierte Plugin-Version aktualisieren.
CVSS: 7.5 EPSS: 0.72% Publiziert: Referenz: NVD -
Apache HTTP Server (mod_xml2enc): Heap-basierter Pufferüberlauf
CVE-2026-42536 HochIm Apache HTTP Server besteht ein heap-basierter Pufferüberlauf im Zusammenspiel von mod_xml2enc und xml2StartParse bei nicht vertrauenswürdigem Inhalt. Betroffen sind die Versionen 2.4.0 bis 2.4.67. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.7 %. Empfohlene Massnahme: Aktualisierung auf eine fehlerbereinigte Apache-HTTP-Server-Version.
CVSS: 7.5 EPSS: 0.71% Publiziert: Referenz: NVD -
Apache ActiveMQ Broker – Denial of Service durch Out-of-Memory
CVE-2026-50750 HochEine Denial-of-Service-Schwachstelle durch Speichererschöpfung (Out of Memory) betrifft Apache ActiveMQ Broker, Apache ActiveMQ und Apache ActiveMQ All. Im Anschluss an den Fix für CVE-2026-49270 kann ein nicht authentifizierter Angreifer laut Quelle den Broker weiterhin zum Absturz bringen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.7 %. Empfohlene Massnahme: auf eine korrigierte Version aktualisieren.
CVSS: 7.5 EPSS: 0.71% Publiziert: Referenz: NVD
Diesem Produkt-Feed folgen
Eigener RSS-Feed nur für Apache Tomcat, kostenlos und ohne Anmeldung. Zustellung per E-Mail, Webhook, REST oder TAXII richten wir auf Anfrage ein.
RSS-Feed öffnen Zustellung anfragenWie folge ich dem Feed?
- 1 RSS-Feed-Link kopieren oder direkt im RSS-Reader öffnen.
- 2 Priorisierte Reports (KEV · EPSS · CVSS) landen automatisch in Ihrem Reader.
- 3 Zustellung per E-Mail, Webhook, REST oder TAXII auf Anfrage einrichten lassen.