Apache Tomcat Seite 5
Schwachstellen-Reports
353 ReportsZeige 201 bis 250 von 353
-
Apache Helix: zu freizügiges CORS in der REST-API
CVE-2026-57111 HochIn der REST-API (helix-rest, CORSFilter) von Apache Helix bis Version 2.0.0 besteht ein zu freizügiges Cross-Origin Resource Sharing (CORS), das einem entfernten Angreifer den plattformübergreifenden Zugriff ermöglicht. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: auf eine vom Hersteller korrigierte Version aktualisieren.
CVSS: 7.5 EPSS: 0.27% Publiziert: Referenz: NVD -
Apache Storm – Deserialization of Untrusted Data via Nimbus Thrift API
CVE-2026-35337 HochIn Apache Storm (Versionen vor 2.8.6) werden beim Verarbeiten von Topology-Credentials über die Nimbus Thrift API nicht vertrauenswürdige Daten deserialisiert. Dies kann zur Ausführung beliebigen Codes führen. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.
CVSS: 8.8 EPSS: 0.27% Publiziert: Referenz: NVD -
Apache Airflow: FTP-Provider überträgt den Datenkanal unverschlüsselt
CVE-2026-49486 HochDer FTP-Provider von Apache Airflow baute in FTPSHook.get_conn() eine ftplib.FTP_TLS-Verbindung auf, rief jedoch nie prot_p() auf; dadurch war zwar der Steuerkanal TLS-geschützt, der Datenkanal wurde aber unverschlüsselt übertragen. Als betroffen ausgewiesen sind Apache HTTP Server / ASF-Projekte, Apache Tomcat und Progress. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: die vom Hersteller bereitgestellten Updates einspielen.
CVSS: 7.5 EPSS: 0.26% Publiziert: Referenz: NVD -
Apache Thrift Node.js: Unkontrollierte Rekursion
CVE-2026-41636 HochIn den Node.js-Bindings von Apache Thrift vor Version 0.23.0 besteht eine Schwachstelle durch unkontrollierte Rekursion, die zu einem Denial-of-Service führen kann. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: Upgrade auf Apache Thrift 0.23.0.
CVSS: 7.5 EPSS: 0.26% Publiziert: Referenz: NVD -
Apache Tomcat – HTTP Request Smuggling über ungültige Chunk-Extension
CVE-2026-24880 HochIn Apache Tomcat (ab 11.0.0-M1) führt eine inkonsistente Interpretation von HTTP-Anfragen über ungültige Chunk-Extensions zu einer HTTP-Request/Response-Smuggling-Schwachstelle. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.
CVSS: 7.5 EPSS: 0.24% Publiziert: Referenz: NVD -
Apache Solr – Hardcodierte Anmeldedaten im Basic-Authentication-Setup-Tool
CVE-2026-44825 HochIn Apache Solr (Versionen 9.4.0 bis 9.10.1 sowie 10.0.0) enthält das Basic-Authentication-Setup-Tool hardcodierte Anmeldedaten, die einem entfernten Angreifer vollen administrativen Zugriff ermöglichen. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.
CVSS: 8.1 EPSS: 0.21% Publiziert: Referenz: NVD -
Apache Camel: Authentifizierungs-Bypass bei konfiguriertem Context-Pfad
CVE-2026-40022 HochWenn auf dem eingebetteten HTTP-Server oder Management-Server von Apache Camel (camel-platform-http-main) Authentifizierung aktiviert und ein nicht-root-Context-Pfad wie /api oder /admin konfiguriert ist, kann die Authentifizierung umgangen werden. CVSS-Basiswert: 8.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.
CVSS: 8.2 EPSS: 0.20% Publiziert: Referenz: NVD -
Apache Airflow – XCom-basierte Codeausführung durch DAG-Autoren
CVE-2026-33858 HochDAG-Autoren in Apache Airflow, die normalerweise keinen Code im Webserver-Kontext ausführen dürfen, konnten durch präparierte XCom-Payloads die Ausführung beliebigen Codes im Webserver veranlassen. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.
CVSS: 8.8 EPSS: 0.20% Publiziert: Referenz: NVD -
Apache OpenNLP – Denial of Service durch unbegrenzte Array-Allokation
CVE-2026-42440 HochIn Apache OpenNLP ermöglichen die Methoden des AbstractModelReader eine unbegrenzte Array-Allokation, die zu einem Speicherüberlauf (Out-of-Memory) und damit zu einem Denial-of-Service führen kann. Betroffen sind Versionen vor 2.5.9 sowie vor 3.0.0-M3. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.
CVSS: 7.5 EPSS: 0.19% Publiziert: Referenz: NVD -
Apache CXF – Unvollständiger Fix für RCE über nicht vertrauenswürdige JMS-Konfiguration
CVE-2026-44417 HochDer ursprüngliche Fix für CVE-2025-48913 in Apache CXF war unvollständig: Ein weiterer Codepfad ermöglicht weiterhin Remote Code Execution, wenn nicht vertrauenswürdige Benutzereingaben in die JMS-Konfiguration einfliessen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.
CVSS: 7.5 EPSS: 0.15% Publiziert: Referenz: NVD -
Apache Log4j 1-to-2 Bridge – Log4j1XmlLayout erzeugt fehlerhaftes XML
CVE-2026-34479 HochDas Log4j1XmlLayout aus der Apache Log4j 1-zu-Log4j-2-Brücke maskiert XML-1.0-verbotene Zeichen nicht korrekt und erzeugt dadurch fehlerhaftes XML. Konforme XML-Parser verweigern die Verarbeitung solcher Ausgaben, was zu Verfügbarkeitsproblemen führen kann. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 7.5 EPSS: 0.13% Publiziert: Referenz: NVD -
Apache Airflow – Unklares Sicherheitsmodell vor Version 3.2.0
CVE-2025-66236 HochVor Apache Airflow 3.2.0 war nicht eindeutig dokumentiert, dass sichere Airflow-Deployments besondere Massnahmen durch den Deployment Manager erfordern. Dies konnte dazu führen, dass Sicherheitsdetails und das Sicherheitsmodell von Airflow nicht ausreichend berücksichtigt wurden. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 7.5 EPSS: 0.12% Publiziert: Referenz: NVD -
Apache OFBiz – Server-Side Request Forgery (SSRF) via Content-Komponente
CVE-2026-29226 HochIn Apache OFBiz besteht eine SSRF-Schwachstelle über Operationen der Content-Komponente. Betroffen sind Versionen vor 24.09.06; ein Upgrade auf diese Version wird empfohlen. CVSS-Basiswert: 7.3 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: Upgrade auf Apache OFBiz 24.09.06.
CVSS: 7.3 EPSS: 0.11% Publiziert: Referenz: NVD -
Apache SkyWalking MCP – Server-Side Request Forgery via SW-URL Header
CVE-2026-34476 HochIn Apache SkyWalking MCP Version 0.1.0 besteht eine Server-Side Request Forgery (SSRF)-Schwachstelle über den SW-URL HTTP-Header. Angreifer können dadurch interne Dienste ansprechen oder Anfragen aus dem Server-Kontext heraus auslösen. CVSS-Basiswert: 7.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: Upgrade auf Version 0.2.0.
CVSS: 7.1 EPSS: 0.11% Publiziert: Referenz: NVD -
Apache HTTP Server – Buffer Over-read
CVE-2026-34059 HochEine Buffer-Over-read-Schwachstelle betrifft Apache HTTP Server bis einschliesslich Version 2.4.66. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: Upgrade auf Version 2.4.67, welche das Problem behebt.
CVSS: 7.5 EPSS: 0.11% Publiziert: Referenz: NVD -
Apache Airflow – Unbefugtes DAG-Auslösen über Asset-Berechtigung
CVE-2026-32228 HochEin UI- oder API-Benutzer mit der Berechtigung zur Asset-Materialisierung konnte in Apache Airflow DAGs auslösen, auf die er keinen Zugriff haben sollte. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: Migration auf Apache Airflow 3.2.0, das das Problem behebt.
CVSS: 7.5 EPSS: 0.11% Publiziert: Referenz: NVD -
Apache OFBiz – Server-Side Request Forgery (SSRF)
CVE-2026-31910 HochIn Apache OFBiz besteht eine SSRF-Schwachstelle. Betroffen sind Versionen vor 24.09.06; ein Upgrade auf diese Version behebt das Problem. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: Upgrade auf Apache OFBiz 24.09.06.
CVSS: 7.5 EPSS: 0.10% Publiziert: Referenz: NVD -
Apache Airflow – Stack-Trace-Offenlegung bei SQL-Fehlern in der API
CVE-2026-30912 HochBei SQL-Fehlern gibt die Apache Airflow API Exception-Stack-Traces preis, selbst wenn die Einstellung „api/expose_stack_traces” auf false gesetzt ist. Dies kann einem Angreifer zusätzliche interne Informationen liefern. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 7.5 EPSS: 0.10% Publiziert: Referenz: NVD -
Apache Airflow – ComputeEngineSSHHook deaktiviert SSH-Host-Key-Verifizierung standardmässig
CVE-2026-45361 HochDer `ComputeEngineSSHHook` des Apache-Airflow-Providers für Google deaktiviert standardmässig die SSH-Host-Key-Verifizierung, wodurch SSH-Verbindungen zwischen einem Airflow-Worker und einer Compute-Engine-VM für Man-in-the-Middle-Angriffe anfällig sind. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 8.1 EPSS: 0.09% Publiziert: Referenz: NVD -
Apache Tomcat JsonAccessLogValve – Improper Output Encoding
CVE-2026-34483 HochDie Komponente JsonAccessLogValve in Apache Tomcat (Versionen 11.0.0-M1 bis 11.0.20 sowie 10.1.0-M1 bis 10.x) weist eine Schwachstelle bei der Ausgabekodierung auf. Angreifer können dadurch Log-Einträge manipulieren. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 7.5 EPSS: 0.09% Publiziert: Referenz: NVD -
Apache Tomcat – Kubernetes Bearer Token in Log-Datei offengelegt
CVE-2026-34487 HochDie Cloud-Membership-Komponente für Clustering in Apache Tomcat schreibt den Kubernetes Bearer Token in Log-Dateien. Angreifer mit Zugriff auf diese Logs können den Token zur Authentifizierung gegenüber der Kubernetes-API missbrauchen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 7.5 EPSS: 0.09% Publiziert: Referenz: NVD -
Apache Tomcat Native / Tomcat – Unvollständige OCSP-Zertifikatsprüfung
CVE-2026-24734 HochBei Verwendung eines OCSP-Responders führten Apache Tomcat Native sowie der FFM-Port des Tomcat-Native-Codes die Zertifikatsverifizierung nicht vollständig durch. Dies betrifft Apache Tomcat Native und Apache Tomcat auf allen Plattformen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 7.5 EPSS: 0.09% Publiziert: Referenz: NVD -
Apache OpenMeetings – Zugangsdaten in URL-Parametern (GET-Anfrage)
CVE-2026-34020 HochDer REST-Login-Endpunkt von Apache OpenMeetings überträgt Benutzername und Passwort als Abfrageparameter in einer HTTP-GET-Anfrage, was zur Offenlegung sensibler Daten in Logs und Browser-Historien führen kann. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 7.5 EPSS: 0.09% Publiziert: Referenz: NVD -
Apache Thrift c_glib – Fehlerhafte Speicherverwaltung
CVE-2025-48431 HochIn den c_glib-Sprachbindungen von Apache Thrift (vor Version 0.23.0) wurden nicht übereinstimmende Speicherverwaltungsroutinen gefunden. Empfohlene Massnahme: Upgrade auf Version 0.23.0 oder neuer. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 7.5 EPSS: 0.09% Publiziert: Referenz: NVD -
Apache OFBiz – Eval Injection durch unkontrollierte Code-Generierung
CVE-2026-46586 HochIn Apache OFBiz besteht eine Schwachstelle durch fehlerhafte Kontrolle der Code-Generierung sowie Eval Injection, bei der nicht vertrauenswürdige Eingaben in dynamisch ausgewertetem Code ausgeführt werden können. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 8.8 EPSS: 0.08% Publiziert: Referenz: NVD -
Apache OFBiz – Offenlegung sensibler Informationen gegenüber unbefugten Akteuren
CVE-2026-31909 HochIn Apache OFBiz können sensible Informationen gegenüber unbefugten Akteuren offengelegt werden. Betroffen sind Versionen vor 24.09.06; ein Upgrade wird empfohlen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: Upgrade auf Apache OFBiz 24.09.06.
CVSS: 7.5 EPSS: 0.08% Publiziert: Referenz: NVD -
Apache Tomcat – Falsche Behandlung von Gross-/Kleinschreibung in LockOutRealm
CVE-2026-43513 HochIn Apache Tomcat besteht eine Schwachstelle durch unsachgemässe Behandlung der Gross-/Kleinschreibung in der LockOutRealm-Komponente. Betroffen sind Versionen ab 11.0.0-M1 bis 11.0.21, ab 10.1.0-M1 bis 10.1.54 sowie ab 9.0.0.M1. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 7.5 EPSS: 0.08% Publiziert: Referenz: NVD -
Apache Wicket – Offenlegung sensibler Informationen gegenüber unberechtigten Akteuren
CVE-2026-43646 HochIn Apache Wicket besteht eine Schwachstelle durch die Offenlegung sensibler Informationen gegenüber unberechtigten Akteuren. Betroffen sind Versionen von 8.0.0 bis 8.17.0, von 9.0.0 bis 9.22.0 sowie von 10.0.0 an. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 7.5 EPSS: 0.08% Publiziert: Referenz: NVD -
Apache ActiveMQ – Denial of Service via Out-of-Memory bei TLSv1.3
CVE-2026-39304 HochDie NIO-SSL-Transporte in Apache ActiveMQ Client, Broker und ActiveMQ verarbeiten TLSv1.3 Handshake KeyUpdates nicht korrekt, was zu einem Out-of-Memory-Fehler und damit zu einem Denial of Service führen kann. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 7.5 EPSS: 0.08% Publiziert: Referenz: NVD -
Apache Airflow – Unsicheres XCom-Muster in Beispiel-DAG
CVE-2025-54550 HochIn der Apache Airflow-Dokumentation enthaltene Beispiel-DAGs implementierten ein unsicheres Muster beim Lesen von XCom-Werten, das von UI-Benutzern mit Bearbeitungsrechten ausgenutzt werden konnte. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 8.1 EPSS: 0.07% Publiziert: Referenz: NVD -
Apache OpenMeetings – Hartcodierter kryptographischer Schlüssel
CVE-2026-33266 HochIn Apache OpenMeetings wird der Verschlüsselungsschlüssel für „Remember me”-Cookies standardmässig auf einen festen Wert in der Konfigurationsdatei gesetzt und nicht automatisch rotiert. Dies stellt eine Schwachstelle durch die Verwendung eines hartcodierten kryptographischen Schlüssels dar. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 7.5 EPSS: 0.07% Publiziert: Referenz: NVD -
Apache Thrift – Integer Overflow in TFramedTransport (Go)
CVE-2026-41602 HochIn der Go-Implementierung von Apache Thrift TFramedTransport besteht eine Integer-Overflow-Schwachstelle. Betroffen sind alle Versionen vor 0.23.0. Ein Upgrade auf Version 0.23.0 oder höher wird empfohlen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 7.5 EPSS: 0.07% Publiziert: Referenz: NVD -
Apache ActiveMQ – Code Injection durch unzureichende Eingabevalidierung
CVE-2026-41044 HochIn Apache ActiveMQ und Apache ActiveMQ Broker besteht eine Schwachstelle durch unzureichende Eingabevalidierung und fehlerhafte Kontrolle der Code-Generierung. Ein authentifizierter Angreifer kann diese ausnutzen, um Code einzuschleusen. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 8.8 EPSS: 0.07% Publiziert: Referenz: NVD -
Apache Syncope – Unzureichende Isolation ermöglicht Ausführung von schädlichem Code
CVE-2026-42782 HochIn Apache Syncope können Administratoren mit ausreichenden Berechtigungen für Implementierungen eine schädliche Groovy-Klasse mit nicht vertrauenswürdigem Code erstellen. Die unzureichende Isolation oder Abschirmung ermöglicht es, diesen Code im Kontext der Anwendung auszuführen. CVSS-Basiswert: 7.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 7.2 EPSS: 0.07% Publiziert: Referenz: NVD -
Apache Thrift: Out-of-Bounds-Read-Schwachstelle
CVE-2026-41604 HochIn Apache Thrift vor Version 0.23.0 wurde eine Out-of-Bounds-Read-Schwachstelle identifiziert, die eine unsachgemässe Verarbeitung von Speicherbereichen ermöglicht. CVSS-Basiswert: 8.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: Upgrade auf Apache Thrift 0.23.0.
CVSS: 8.2 EPSS: 0.07% Publiziert: Referenz: NVD -
Apache Camel LevelDB – Deserialisierung nicht vertrauenswürdiger Daten
CVE-2026-25747 HochDie Klasse DefaultLevelDBSerializer in der Apache Camel LevelDB-Komponente deserialisiert Daten aus dem LevelDB-Aggregations-Repository ohne ausreichende Prüfung. Dies kann bei der Verarbeitung nicht vertrauenswürdiger Daten zu unsicherer Deserialisierung führen. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 8.8 EPSS: 0.06% Publiziert: Referenz: NVD -
Apache ActiveMQ – Code-Injection durch fehlerhafte Eingabevalidierung
CVE-2026-42588 HochApache ActiveMQ Classic weist eine Schwachstelle in der Eingabevalidierung auf, die eine Code-Injection ermöglicht. Die Broker-Komponente ist betroffen und kann durch manipulierte Eingaben zur Ausführung von eingeschleustem Code missbraucht werden. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 8.1 EPSS: 0.06% Publiziert: Referenz: NVD -
Apache ActiveMQ – Code Injection durch fehlerhafte Eingabevalidierung
CVE-2026-45505 HochIn Apache ActiveMQ wurde eine Schwachstelle durch unzureichende Eingabevalidierung und unkontrollierte Code-Generierung (Code Injection) gemeldet. Die Lücke betrifft Apache ActiveMQ Broker sowie alle ActiveMQ-Varianten. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 8.8 EPSS: 0.06% Publiziert: Referenz: NVD -
Apache Camel-MINA: Unsichere Deserialisierung in MinaConverter
CVE-2026-40473 HochDer Typ-Konverter MinaConverter.toObjectInput(IoBuffer) der camel-mina-Komponente kapselt einen IoBuffer in ein java.io.ObjectInputStream-Objekt, ohne ObjectInputFilter oder Klassenladeeinschränkungen anzuwenden. Dies ermöglicht unsichere Deserialisierung über manipulierte Netzwerkdaten. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 8.8 EPSS: 0.06% Publiziert: Referenz: NVD -
Apache Avro Java SDK – Code Injection
CVE-2025-33042 HochIm Apache Avro Java SDK besteht eine Schwachstelle durch unsachgemässe Kontrolle der Code-Generierung (Code Injection), die beim Verarbeiten nicht vertrauenswürdiger Avro-Schemas ausgelöst werden kann. CVSS-Basiswert: 7.3 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 7.3 EPSS: 0.06% Publiziert: Referenz: NVD -
Apache SkyWalking – Informationsoffenlegung über Debugging-Endpunkt
CVE-2026-30778 HochDer Endpunkt /debugging/config/dump in Apache SkyWalking OAP kann sensible Konfigurationsinformationen von MySQL/PostgreSQL preisgeben. Betroffen sind Versionen 9.7.0 bis 10.3.0. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 7.5 EPSS: 0.06% Publiziert: Referenz: NVD -
Apache Log4j JsonTemplateLayout – ungültige JSON-Ausgabe bei bestimmten Log-Ereignissen
CVE-2026-34481 HochDas JsonTemplateLayout in Apache Log4j (Versionen bis einschliesslich 2.25.3) erzeugt unter bestimmten Bedingungen bei Log-Ereignissen ungültige JSON-Ausgaben. Dies kann die Weiterverarbeitung der Logs beeinträchtigen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 7.5 EPSS: 0.06% Publiziert: Referenz: NVD -
Apache HttpClient 5.6: Fehlende gegenseitige Authentifizierung bei SCRAM-SHA-256
CVE-2026-40542 HochIn Apache HttpClient 5.6 fehlt ein kritischer Schritt in der Authentifizierungslogik, der es einem Angreifer ermöglicht, den Client dazu zu bringen, SCRAM-SHA-256-Authentifizierung ohne ordnungsgemässe gegenseitige Authentifizierungsprüfung zu akzeptieren. CVSS-Basiswert: 7.3 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 7.3 EPSS: 0.05% Publiziert: Referenz: NVD -
Apache Fluss – Heap-Erschöpfung durch unbegrenzte Netty-Frame-Länge
CVE-2026-49361 HochApache Fluss in Versionen vor 0.9.1 konfiguriert den Netty LengthFieldBasedFrameDecoder mit Integer.MAX_VALUE als maximale Frame-Länge. Dies ermöglicht nicht authentifizierten Remote-Angreifern, den JVM-Heap durch gezielt große Frames zu erschöpfen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 7.5 EPSS: 0.05% Publiziert: Referenz: NVD -
Apache Flink – Code-Injection in SQL-Code-Generierung
CVE-2026-35194 HochIn Apache Flink (Versionen 1.15.0 bis 1.20.x sowie 2.0.0 bis 2.x) ermöglicht eine Code-Injection in der SQL-Code-Generierung authentifizierten Nutzern mit Query-Berechtigungen die Ausführung beliebigen Codes auf TaskManagers. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 8.1 EPSS: 0.05% Publiziert: Referenz: NVD -
Apache Tomcat – Ressourcenzuteilung ohne Limits (DoS)
CVE-2026-41284 HochIn Apache Tomcat besteht eine Schwachstelle durch fehlende Begrenzung der Ressourcenzuteilung. Betroffen sind mehrere Versionen, darunter 11.0.0-M1 bis 11.0.21, 10.1.0-M1 bis 10.1.54 sowie 9.0.0.M1 und spätere. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 7.5 EPSS: 0.05% Publiziert: Referenz: NVD -
Apache Airflow – Arbitrary Code Execution durch DAG-Autoren
CVE-2026-25917 HochIn Apache Airflow können DAG-Autoren, die normalerweise keinen Code im Webserver-Kontext ausführen dürfen, über präparierte XCom-Payloads beliebigen Code auf dem Webserver ausführen. CVSS-Basiswert: 7.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 7.2 EPSS: 0.05% Publiziert: Referenz: NVD -
Apache Tomcat – HTTP-Authentifizierungs-Header bei WebSocket-Authentifizierung weitergegeben
CVE-2026-42498 HochIn Apache Tomcat wird der HTTP-Authentifizierungs-Header bei der WebSocket-Authentifizierung an unerwartete Hosts weitergegeben. Betroffen sind Apache Tomcat-Versionen von 11.0.0-M1 bis 11.0.21 sowie von 10.1. CVSS-Basiswert: 7.3 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 7.3 EPSS: 0.05% Publiziert: Referenz: NVD -
Apache Airflow – JWT-Token-Exposition in Logs
CVE-2026-31987 HochIn Apache Airflow wurden JWT-Tokens von Tasks in Protokolldateien offengelegt. Dadurch könnten UI-Benutzer die Identität von DAG-Autoren annehmen und unbefugte Aktionen ausführen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: Upgrade auf eine Apache-Airflow-Version mit enthaltener Fehlerkorrektur.
CVSS: 7.5 EPSS: 0.05% Publiziert: Referenz: NVD -
Undertow – Request Smuggling über ungültige Header-Terminierung
CVE-2026-28367 HochIn Undertow kann ein entfernter Angreifer durch das Senden von '\r\r\r' als Header-Block-Terminator HTTP-Request-Smuggling-Angriffe in Kombination mit bestimmten Proxy-Servern durchführen. CVSS-Basiswert: 8.7 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 8.7 EPSS: 0.05% Publiziert: Referenz: NVD
Diesem Produkt-Feed folgen
Eigener RSS-Feed nur für Apache Tomcat, kostenlos und ohne Anmeldung. Zustellung per E-Mail, Webhook, REST oder TAXII richten wir auf Anfrage ein.
RSS-Feed öffnen Zustellung anfragenWie folge ich dem Feed?
- 1 RSS-Feed-Link kopieren oder direkt im RSS-Reader öffnen.
- 2 Priorisierte Reports (KEV · EPSS · CVSS) landen automatisch in Ihrem Reader.
- 3 Zustellung per E-Mail, Webhook, REST oder TAXII auf Anfrage einrichten lassen.