1.5 Aktiv ausgenutzte Lücken
Server-Software, Middleware, Web

Apache Tomcat Seite 3

Server-Software, Middleware, Web
353
Reports
39
Aktiv ausgenutzt
Kritisch
Höchste Priorität
100.0%
Max. EPSS

Schwachstellen-Reports

353 Reports

Zeige 101 bis 150 von 353

  1. Apache Polaris – GCS-Credentials durch manipulierte Tabellennamen tabellenübergreifend nutzbar

    CVE-2026-42811 Kritisch

    Apache Polaris soll kurzlebige GCS-Credentials ausstellen, die nur für Dateien einer einzelnen Tabelle gültig sind. Durch einen manipulierten Namespace- oder Tabellennamen können diese Credentials jedoch tabellenübergreifend eingesetzt werden. CVSS-Basiswert: 9.9 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 9.9 EPSS: 0.11% Publiziert: Referenz: NVD
  2. Apache OpenNLP: XXE-Schwachstelle in DictionaryEntryPersistor

    CVE-2026-40682 Kritisch

    Der DictionaryEntryPersistor in Apache OpenNLP verarbeitet XML ohne ausreichende Absicherung gegen externe Entitäten (XXE). Betroffen sind Versionen vor 2.5.9 und vor 3.0.0-M3. Ein Angreifer kann über manipulierte Dictionary-Dateien beliebige Dateien auslesen oder SSRF auslösen. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 9.1 EPSS: 0.11% Publiziert: Referenz: NVD
  3. Apache Wicket: Session-Fixation durch fehlenden changeSessionId-Aufruf

    CVE-2026-40010 Kritisch

    In Apache Wicket wird nach der Session-Bindung nicht die HTTP-Methode changeSessionId aufgerufen, was Session-Fixation-Angriffe ermöglicht. Betroffen sind Versionen ab 8.0. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 9.1 EPSS: 0.11% Publiziert: Referenz: NVD
  4. Apache Ranger – Remote Code Execution via NashornScriptEngineCreator

    CVE-2025-59059 Kritisch

    In Apache Ranger (Versionen bis einschliesslich 2.7.0) besteht eine Remote-Code-Execution-Schwachstelle im NashornScriptEngineCreator. Empfohlene Massnahme: Upgrade auf Version 2.8.0. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 9.8 EPSS: 0.10% Publiziert: Referenz: NVD
  5. Apache OFBiz: LDAP Injection

    CVE-2026-41919 Kritisch

    In Apache OFBiz vor Version 24.09.06 besteht eine LDAP-Injection-Schwachstelle durch fehlende Neutralisierung von Sonderzeichen in LDAP-Abfragen, was zu unbefugtem Datenzugriff führen kann. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: Upgrade auf Apache OFBiz 24.09.06.

    CVSS: 9.1 EPSS: 0.10% Publiziert: Referenz: NVD
  6. Apache OFBiz – Authentifizierungsumgehung ermöglicht Remote Code Execution

    CVE-2026-45434 Kritisch

    In Apache OFBiz wurde eine schwerwiegende Schwachstelle bei der Passwort-Änderungslogik entdeckt, die eine fehlerhafte Authentifizierungsprüfung enthält und dadurch Remote Code Execution ermöglicht. Betroffen sind alle Versionen vor 24.09.06; Nutzern wird ein Upgrade empfohlen. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 9.8 EPSS: 0.10% Publiziert: Referenz: NVD
  7. Apache OFBiz – Verwendung eines fest einkompilierten kryptografischen Schlüssels

    CVE-2026-31986 Kritisch

    In Apache OFBiz wird ein fest einkompilierter kryptografischer Schlüssel verwendet, was die Sicherheit von Verschlüsselungsmechanismen erheblich beeinträchtigt. Betroffen sind Versionen vor 24.09.06. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: Upgrade auf Apache OFBiz 24.09.06.

    CVSS: 9.1 EPSS: 0.10% Publiziert: Referenz: NVD
  8. Apache Tomcat – Unzureichende Autorisierung bei mehrfachen HTTP-Methoden-Constraints

    CVE-2026-43515 Kritisch

    In Apache Tomcat wurde eine Schwachstelle bei der Autorisierungsprüfung identifiziert, die auftritt, wenn mehrere Methoden-Constraints dieselbe HTTP-Methode für dieselbe Erweiterung definieren. Betroffen sind Versionen ab 11.0.0-M1 bis 11.0.21 sowie weitere ältere Versionszweige. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 9.1 EPSS: 0.10% Publiziert: Referenz: NVD
  9. Apache Polaris – Unkontrollierte Vergabe temporärer Speicher-Credentials

    CVE-2026-42809 Kritisch

    Apache Polaris kann bei der schrittweisen Tabellenerstellung weitreichende temporäre Speicher-Credentials ("vended credentials") ausstellen, bevor der tatsächliche Tabellenspeicherort validiert oder dauerhaft reserviert wurde. Diese temporären Credentials können von Angreifern missbraucht werden. CVSS-Basiswert: 9.9 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 9.9 EPSS: 0.10% Publiziert: Referenz: NVD
  10. Apache Camel: Message-Header-Injection in Camel-CXF und Camel-Knative durch fehlende Inbound-Filterung

    CVE-2026-47323 Kritisch

    Die HeaderFilterStrategy-Implementierungen von Camel-CXF und Camel-Knative (unter anderem CxfRsHeaderFilterStrategy in camel-cxf-rest) filtern eingehende Nachrichten-Header nicht ausreichend. Dadurch können Angreifer eigene Header in die Verarbeitung einschleusen (Message Header Injection). CVSS-Basiswert: 9.8 (Kritisch). Die Lücke ist laut CVSS-Vektor über das Netzwerk ohne Authentifizierung und ohne Benutzerinteraktion ausnutzbar. Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Zugeordnete überwachte Produkte: Apache HTTP Server / ASF-Projekte, Apache Tomcat.

    CVSS: 9.8 EPSS: 0.08% Publiziert: Referenz: NVD
  11. Apache Druid – Kritische Schwachstelle mit LDAP-Authentifizierung (Versionen bis 35.x)

    CVE-2026-23906 Kritisch

    In Apache Druid besteht eine kritische Schwachstelle in allen Versionen von 0.17.0 bis 35.x, wenn die druid-basic-security-Erweiterung aktiviert und LDAP-Authentifizierung konfiguriert ist. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 9.8 EPSS: 0.08% Publiziert: Referenz: NVD
  12. Apache MINA – Unvollständiger Fix für CVE-2026-41635 in Branches 2.1.x und 2.2.x

    CVE-2026-42779 Kritisch

    Der Fix für CVE-2026-41635 wurde nicht auf die Branches 2.1.x und 2.2.x von Apache MINA angewendet. Betroffen ist die Methode AbstractIoBuffer.resolveClass(), die zwei Codepfade enthält, von denen einer anfällig ist. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 9.8 EPSS: 0.07% Publiziert: Referenz: NVD
  13. Azure Managed Instance for Apache Cassandra – Unzureichende Zugriffskontrolle

    CVE-2026-33109 Kritisch

    Eine unzureichende Zugriffskontrolle in Azure Managed Instance for Apache Cassandra ermöglicht einem autorisierten Angreifer die Codeausführung über das Netzwerk. CVSS-Basiswert: 9.9 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 9.9 EPSS: 0.07% Publiziert: Referenz: NVD
  14. CVE-2026-50076 – Unsichere Deserialisierung in Apache Fory (fory-core Java SDK)

    CVE-2026-50076 Kritisch

    Im Java-replace-resolve-Pfad des Apache Fory fory-core Java SDK vor Version 1.1.0 auf Java/JVM-Plattformen erlaubt eine Deserialisierung nicht vertrauenswürdiger Daten einem entfernten Angreifer, die Klassenregistrierung und Typprüfung zu umgehen. Über das Netzwerk lassen sich Vertraulichkeit und Integrität vollständig gefährden. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: Aktualisierung auf Apache Fory 1.1.0 oder neuer.

    CVSS: 9.1 EPSS: 0.07% Publiziert: Referenz: NVD
  15. Apache MINA: Deserialisierungs-Bypass über AbstractIoBuffer

    CVE-2026-41635 Kritisch

    In Apache MINA enthält die Methode AbstractIoBuffer.resolveClass() einen Zweig für statische Klassen und primitive Typen, der die Klassenname-Allowlist vollständig umgeht und so eine unkontrollierte Deserialisierung ermöglicht. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 9.8 EPSS: 0.06% Publiziert: Referenz: NVD
  16. Azure Managed Instance for Apache Cassandra – Remote-Codeausführung

    CVE-2026-33844 Kritisch

    Eine unzureichende Zugriffskontrolle in Azure Managed Instance for Apache Cassandra erlaubt einem autorisierten Angreifer die Ausführung von Code über das Netzwerk. CVSS-Basiswert: 9.0 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 9.0 EPSS: 0.06% Publiziert: Referenz: NVD
  17. Apache Tomcat – Unzureichende Eingabevalidierung

    CVE-2025-66614 Kritisch

    In Apache Tomcat besteht eine Schwachstelle durch unzureichende Eingabevalidierung. Betroffen sind die Versionen 11.0.0-M1 bis 11.0.14, 10.1.0-M1 bis 10.1.49 sowie 9.0.0-M1 bis 9.0.112. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 9.1 EPSS: 0.05% Publiziert: Referenz: NVD
  18. Apache Camel Keycloak – Cross-Realm Token Acceptance Bypass in KeycloakSecurityPolicy

    CVE-2026-23552 Kritisch

    Die KeycloakSecurityPolicy-Komponente in Apache Camel Keycloak validiert den „iss”-Claim (Issuer) von JWT-Tokens nicht korrekt. Dies ermöglicht einen Cross-Realm Token Acceptance Bypass, bei dem Tokens aus einem fremden Realm akzeptiert werden können. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 9.1 EPSS: 0.04% Publiziert: Referenz: NVD
  19. Apache::Session::Generate::ModUniqueId – unsichere Perl-Session-IDs

    CVE-2026-5081 Kritisch

    Apache::Session::Generate::ModUniqueId (eingeführt in Version 1.54) erzeugt in den Versionen 1.54 bis 1.94 unsichere Perl-Session-IDs, da der Wert der UNIQUE_ID zur Ableitung verwendet wird. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: auf eine korrigierte Version aktualisieren.

    CVSS: 9.1 EPSS: 0.04% Publiziert: Referenz: NVD
  20. Apache APISIX – Header-Injection über Forward-Auth-Plugin

    CVE-2026-31908 Kritisch

    In Apache APISIX ermöglicht eine Schwachstelle im Forward-Auth-Plugin die Injektion bösartiger HTTP-Header durch einen Angreifer, der bestimmte Konfigurationsoptionen ausnutzt. Betroffen sind mehrere APISIX-Versionen ab 2.x. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 9.1 EPSS: 0.04% Publiziert: Referenz: NVD
  21. Apache Airflow – JWT-Token nach Logout nicht invalidiert

    CVE-2025-57735 Kritisch

    In Apache Airflow wurde das JWT-Token eines Benutzers beim Abmelden nicht invalidiert, was die Wiederverwendung eines abgefangenen Tokens ermöglicht. Das Problem wurde in Airflow 3.2 durch einen neuen Mechanismus behoben. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 9.1 EPSS: 0.04% Publiziert: Referenz: NVD
  22. Apache CXF – LDAP-Injection im XKMS-Server-Zertifikatsrepository

    CVE-2026-44930 Kritisch

    Im XKMS-Server von Apache CXF besteht eine LDAP-Injection-Schwachstelle im LDAP-Zertifikatsrepository, die es einem Angreifer ermöglichen kann, beliebige Zertifikate aus dem Repository auszulesen. Ein Upgrade auf eine gepatchte Version wird empfohlen. CVSS-Basiswert: 9.8 (Kritisch).

    CVSS: 9.8 EPSS: 0.04% Publiziert: Referenz: NVD
  23. Apache IoTDB – Kritische Schwachstelle durch fehlerhafte Eingabevalidierung

    CVE-2026-24713 Kritisch

    In Apache IoTDB (ab Version 1.0.0 vor 1.3.7 sowie ab 2.0.0 vor 2.0.7) ermöglicht eine fehlerhafte Eingabevalidierung potenziell schwerwiegende Angriffe. Ein Upgrade auf Version 1.3.7 oder 2.0.7 wird empfohlen. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 9.8 EPSS: 0.04% Publiziert: Referenz: NVD
  24. Apache Tomcat – CLIENT_CERT-Authentifizierung schlägt in bestimmten Szenarien nicht fehl

    CVE-2026-29145 Kritisch

    In Apache Tomcat und Apache Tomcat Native schlägt die CLIENT_CERT-Authentifizierung in bestimmten Szenarien bei deaktiviertem Soft-Fail nicht wie erwartet fehl. Betroffen sind Versionen ab 11.0.0 aufwärts. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 9.1 EPSS: 0.04% Publiziert: Referenz: NVD
  25. Apache CloudStack – Unbefugter Zugriff auf Instanzen anderer Mandanten via Proxmox-Extension

    CVE-2026-25199 Kritisch

    Über die Proxmox-Extension bereitgestellte Instanzen in Apache CloudStack (Versionen 4.21.0.0 bis 4.22.0.0) ermöglichen unbefugten Zugriff auf Instanzen anderer Mandanten. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 9.1 EPSS: 0.04% Publiziert: Referenz: NVD
  26. Apache Airflow: Template-Injection über DAG-Parameter-Dokumentation

    CVE-2026-42252 Kritisch

    In Apache Airflow enthielt die offizielle Dokumentation ein unsicheres BashOperator-Beispiel, das Template-Injection über DAG-Run-Konfigurationsparameter ermöglicht. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 9.1 EPSS: 0.03% Publiziert: Referenz: NVD
  27. Apache::Session::Generate::MD5 – Unsichere Session-IDs

    CVE-2025-40931 Kritisch

    Apache::Session::Generate::MD5 (Versionen bis 1.94) für Perl erzeugt Session-IDs auf unsichere Weise, was die Vorhersagbarkeit von Sitzungstoken ermöglicht. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 9.1 EPSS: 0.03% Publiziert: Referenz: NVD
  28. Apache HTTP Server – Heap-Buffer-Overflow in mod_proxy_ajp

    CVE-2026-28780 Kritisch

    In mod_proxy_ajp des Apache HTTP Servers kann ein bösartiger AJP-Server bei bestehender Verbindung eine präparierte AJP-Nachricht zurücksenden, die einen Heap-basierten Pufferüberlauf auslöst. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 9.8 EPSS: 0.03% Publiziert: Referenz: NVD
  29. Apache IoTDB – Kritische Schwachstelle in Versionen vor 1.3.7 und 2.0.7

    CVE-2026-24015 Kritisch

    In Apache IoTDB besteht eine kritische Schwachstelle in den Versionen ab 1.0.0 vor 1.3.7 sowie ab 2.0.0 vor 2.0.7. Empfohlene Massnahme: Upgrade auf Version 1.3.7 oder 2.0.7. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 9.8 EPSS: 0.03% Publiziert: Referenz: NVD
  30. Apache::Session – Wiederherstellung gelöschter Sessions

    CVE-2013-10075 Kritisch

    In Apache::Session bis Version 1.94 für Perl werden gelöschte Sessions unter bestimmten Umständen neu erstellt. Die Speicher-Backends File und DB_File erzeugen dabei Sessions, die eigentlich nicht existieren sollten. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 9.1 EPSS: 0.01% Publiziert: Referenz: NVD
  31. Apache Kylin – SQL-Injection über die Katalog-Refresh-API

    CVE-2026-62390 Kritisch

    In Apache Kylin besteht eine SQL-Injection-Schwachstelle durch unzureichende Neutralisierung von Sonderzeichen in einem SQL-Befehl. Eine Backend-API zum Aktualisieren des Tabellenkatalogs kann eine Injection in die erzeugte SQL-Anweisung ermöglichen. CVSS-Basiswert: 9.8 (Kritisch). Empfohlene Massnahme: die von Apache bereitgestellten Aktualisierungen einspielen.

    CVSS: 9.8 Publiziert: Referenz: NVD
  32. OS Command Injection in Apache Kylin

    CVE-2026-62392 Kritisch

    In Apache Kylin besteht eine Schwachstelle durch unzureichende Neutralisierung von Sonderzeichen in einem OS-Kommando (OS Command Injection): Eine Backend-API kann Job-Konfigurationsparameter an die Betriebssystem-Kommandozeile weiterreichen. CVSS-Basiswert: 9.8 (Kritisch). Empfohlene Massnahme: die von Apache bereitgestellten Sicherheitshinweise beachten und aktualisierte Versionen einspielen.

    CVSS: 9.8 Publiziert: Referenz: NVD
  33. Apache ActiveMQ: Code-Injection durch unzureichende Eingabevalidierung

    CVE-2026-40466 Hoch

    In Apache ActiveMQ Broker besteht eine Schwachstelle durch unzureichende Eingabevalidierung und fehlerhafte Kontrolle der Code-Generierung. Ein authentifizierter Angreifer kann diese ausnutzen, um Schadcode einzuschleusen. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 18.0 %.

    CVSS: 8.8 EPSS: 18.01% Publiziert: Referenz: NVD
  34. Apache Tomcat – Padding-Oracle-Schwachstelle in EncryptInterceptor

    CVE-2026-29146 Hoch

    In Apache Tomcat besteht in der Standardkonfiguration des EncryptInterceptors eine Padding-Oracle-Schwachstelle. Betroffen sind die Versionen 11.0.0-M1 bis 11.0.18, 10.0.0-M1 bis 10.1.52 sowie 9.x. Ein Angreifer könnte verschlüsselte Daten durch wiederholte Anfragen entschlüsseln. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 12.9 %.

    CVSS: 7.5 EPSS: 12.92% Publiziert: Referenz: NVD
  35. Apache HTTP Server mod_http – Denial of Service durch überhöhte Speicheranforderung

    CVE-2026-49975 Hoch

    Im Apache HTTP Server führt eine Speicherallokation mit überhöhtem Grössenwert in mod_http bei manipulierten HTTP-Anfragen zu einem Denial of Service. Laut Quelldaten sind Versionen ab 2.4.17 betroffen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 11.5 %. Da der Angriff ohne Authentifizierung über das Netzwerk möglich ist, sollten exponierte Webserver zeitnah auf eine gepatchte Version aktualisiert werden.

    CVSS: 7.5 EPSS: 11.47% Publiziert: Referenz: NVD
  36. Apache OpenNLP: Untrusted Java Deserialization in SvmDoccatModel

    CVE-2026-43825 Hoch

    In Apache OpenNLP besteht eine Untrusted-Java-Deserialization-Schwachstelle im SvmDoccatModel. Betroffen sind Versionen vor 3.0.0-M4 (libsvm-Dokumentkategorisierungsmodul, eingeführt mit OPENNLP-1808 und nur in der 3.x-Linie vorhanden). CVSS-Basiswert: 7.3 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 8.8 %. Empfohlene Massnahme: auf eine fehlerbereinigte Version gemäss Apache-Advisory aktualisieren.

    CVSS: 7.3 EPSS: 8.79% Publiziert: Referenz: NVD
  37. Apache Tomcat EncryptInterceptor Bypass – fehlende Verschlüsselung sensibler Daten

    CVE-2026-34486 Hoch

    In Apache Tomcat (Versionen 11.0.20, 10.1.53 und weiteren) ermöglicht ein unvollständiger Fix für CVE-2026-29146 das Umgehen des EncryptInterceptor, sodass sensible Daten unverschlüsselt übertragen werden können. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 1.7 %.

    CVSS: 7.5 EPSS: 1.68% Publiziert: Referenz: NVD
  38. Apache Airflow – Path-Traversal in den Google-Provider-Operatoren

    CVE-2026-49297 Hoch

    In den Google-Provider-Operatoren GCSToSFTPOperator und GCSTimeSpanFileTransformOperator von Apache Airflow werden die von der Bucket-Auflistung zurückgegebenen GCS-Objektnamen direkt an einen Zielpfad im Dateisystem angehängt, was Path Traversal ermöglicht. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 1.1 %.

    CVSS: 8.1 EPSS: 1.06% Publiziert: Referenz: NVD
  39. Apache HTTP Server 2.4.66 – Double Free und mögliche Remote Code Execution via HTTP/2

    CVE-2026-23918 Hoch

    In Apache HTTP Server 2.4.66 besteht eine Double-Free-Schwachstelle im HTTP/2-Protokoll, die zu einer möglichen Remote Code Execution führen kann. Empfohlene Massnahme: Upgrade auf Version 2.4.67. CVSS-Basiswert: 8.0 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 1.0 %.

    CVSS: 8.8 EPSS: 0.95% Publiziert: Referenz: NVD
  40. Apache ActiveMQ – Denial of Service über den STOMP-Connector

    CVE-2026-49432 Hoch

    Eine Schwachstelle durch unzureichende Eingabevalidierung betrifft Apache ActiveMQ, Apache ActiveMQ All und Apache ActiveMQ Stomp. Ein entfernter, nicht authentifizierter Peer, der einen exponierten STOMP-Connector erreicht, kann einen Denial of Service auslösen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.8 %. Empfohlene Massnahme: auf eine korrigierte Version aktualisieren und den Zugriff auf den STOMP-Connector einschränken.

    CVSS: 7.5 EPSS: 0.84% Publiziert: Referenz: NVD
  41. Apache CXF – JNDI-Injection im JCA-Integrationsmodul

    CVE-2026-50633 Hoch

    Im JCA-Integrationsmodul von Apache CXF wurde eine JNDI-Injection-Schwachstelle entdeckt, die zur Codeausführung führen kann, wenn ein Angreifer den JCA-Deployment-Deskriptor (ra.xml) manipulieren kann. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.8 %. Empfohlene Massnahme: die von Apache bereitgestellten Sicherheitsupdates einspielen.

    CVSS: 8.1 EPSS: 0.83% Publiziert: Referenz: NVD
  42. Apache HTTP Server: Pufferüberlauf in mod_proxy_html

    CVE-2026-34355 Hoch

    Ein Pufferüberlauf in mod_proxy_html im Apache HTTP Server 2.4.67 und früher ermöglicht einen Angriff durch ein nicht vertrauenswürdiges Backend. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.8 %. Empfohlene Massnahme: Auf Apache HTTP Server 2.4.68 aktualisieren, der dieses Problem behebt.

    CVSS: 7.5 EPSS: 0.80% Publiziert: Referenz: NVD
  43. Apache Camel (Hazelcast-Komponente) – Deserialisierung nicht vertrauenswürdiger Daten

    CVE-2026-43865 Hoch

    Die Komponente camel-hazelcast von Apache Camel erzeugt und verwaltet Hazelcast-Instanzen mit einer Standardkonfiguration, die keine Einschränkungen anwendet, was eine Deserialisierung nicht vertrauenswürdiger Daten ermöglicht. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.8 %.

    CVSS: 8.1 EPSS: 0.80% Publiziert: Referenz: NVD
  44. Apache ActiveMQ Client: Denial of Service durch überdimensionierte Speicherzuweisung

    CVE-2026-50734 Hoch

    In Apache ActiveMQ Client, Apache ActiveMQ und Apache ActiveMQ All besteht eine Schwachstelle durch Speicherzuweisung mit übermässiger Grössenangabe. Ein nicht authentifizierter Angreifer im Netzwerk kann durch eine präparierte Anfrage einen Denial of Service des Brokers auslösen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.8 %. Empfohlene Massnahme: auf eine fehlerbereinigte Version gemäss Apache-Advisory aktualisieren.

    CVSS: 7.5 EPSS: 0.80% Publiziert: Referenz: NVD
  45. Apache ActiveMQ: Übermässige Speicherallokation über STOMP ermöglicht Denial of Service

    CVE-2026-53916 Hoch

    In Apache ActiveMQ (inkl. Apache ActiveMQ All und Apache ActiveMQ Stomp) kann ein nicht authentifizierter Client über eine STOMP-NIO-Verbindung präparierte Header senden und so eine Speicherallokation mit übermässiger Grösse und damit einen Denial of Service auslösen. Als betroffen ausgewiesen sind Apache HTTP Server / ASF-Projekte und Apache Tomcat. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.8 %. Empfohlene Massnahme: die vom Hersteller bereitgestellten Updates einspielen.

    CVSS: 7.5 EPSS: 0.80% Publiziert: Referenz: NVD
  46. Apache ActiveMQ: Denial of Service durch übergrosse Speicherallokation

    CVE-2026-53917 Hoch

    Eine Schwachstelle vom Typ Memory Allocation with Excessive Size Value in Apache ActiveMQ (inkl. ActiveMQ All, Client und Broker) erlaubt einem authentifizierten Benutzer, durch entsprechend präparierte Anfragen einen Denial of Service des Brokers auszulösen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.8 %.

    CVSS: 7.5 EPSS: 0.80% Publiziert: Referenz: NVD
  47. Unsichere Deserialisierung in Apache Camel (camel-vertx-http)

    CVE-2026-40859 Hoch

    In Apache Camel besteht eine Schwachstelle durch Deserialisierung nicht vertrauenswürdiger Daten. Die Komponente camel-vertx-http deserialisiert HTTP-Antwortkörper, die den Content-Type application/x-java-serialized-object tragen. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.7 %.

    CVSS: 8.1 EPSS: 0.72% Publiziert: Referenz: NVD
  48. cordova-plugin-inappbrowser (iOS): Fehlende Formatvalidierung der id aus WKScriptMessage

    CVE-2026-47430 Hoch

    Die iOS-Implementierung von cordova-plugin-inappbrowser übergibt das id-Feld aus einem WKScriptMessage-Body ohne Formatvalidierung an sendPluginResult:callbackId:. Dadurch lässt sich die Integrität der verarbeiteten Daten beeinträchtigen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.7 %. Empfohlene Massnahme: auf eine korrigierte Plugin-Version aktualisieren.

    CVSS: 7.5 EPSS: 0.72% Publiziert: Referenz: NVD
  49. Apache HTTP Server (mod_xml2enc): Heap-basierter Pufferüberlauf

    CVE-2026-42536 Hoch

    Im Apache HTTP Server besteht ein heap-basierter Pufferüberlauf im Zusammenspiel von mod_xml2enc und xml2StartParse bei nicht vertrauenswürdigem Inhalt. Betroffen sind die Versionen 2.4.0 bis 2.4.67. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.7 %. Empfohlene Massnahme: Aktualisierung auf eine fehlerbereinigte Apache-HTTP-Server-Version.

    CVSS: 7.5 EPSS: 0.71% Publiziert: Referenz: NVD
  50. Apache ActiveMQ Broker – Denial of Service durch Out-of-Memory

    CVE-2026-50750 Hoch

    Eine Denial-of-Service-Schwachstelle durch Speichererschöpfung (Out of Memory) betrifft Apache ActiveMQ Broker, Apache ActiveMQ und Apache ActiveMQ All. Im Anschluss an den Fix für CVE-2026-49270 kann ein nicht authentifizierter Angreifer laut Quelle den Broker weiterhin zum Absturz bringen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.7 %. Empfohlene Massnahme: auf eine korrigierte Version aktualisieren.

    CVSS: 7.5 EPSS: 0.71% Publiziert: Referenz: NVD

Diesem Produkt-Feed folgen

Eigener RSS-Feed nur für Apache Tomcat, kostenlos und ohne Anmeldung. Zustellung per E-Mail, Webhook, REST oder TAXII richten wir auf Anfrage ein.

RSS-Feed öffnen Zustellung anfragen

Wie folge ich dem Feed?

  • 1 RSS-Feed-Link kopieren oder direkt im RSS-Reader öffnen.
  • 2 Priorisierte Reports (KEV · EPSS · CVSS) landen automatisch in Ihrem Reader.
  • 3 Zustellung per E-Mail, Webhook, REST oder TAXII auf Anfrage einrichten lassen.
Zurück zum Katalog