1.5 Aktiv ausgenutzte Lücken
Server-Software, Middleware, Web

Apache Tomcat Seite 5

Server-Software, Middleware, Web
353
Reports
39
Aktiv ausgenutzt
Kritisch
Höchste Priorität
100.0%
Max. EPSS

Schwachstellen-Reports

353 Reports

Zeige 201 bis 250 von 353

  1. Apache Helix: zu freizügiges CORS in der REST-API

    CVE-2026-57111 Hoch

    In der REST-API (helix-rest, CORSFilter) von Apache Helix bis Version 2.0.0 besteht ein zu freizügiges Cross-Origin Resource Sharing (CORS), das einem entfernten Angreifer den plattformübergreifenden Zugriff ermöglicht. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: auf eine vom Hersteller korrigierte Version aktualisieren.

    CVSS: 7.5 EPSS: 0.27% Publiziert: Referenz: NVD
  2. Apache Storm – Deserialization of Untrusted Data via Nimbus Thrift API

    CVE-2026-35337 Hoch

    In Apache Storm (Versionen vor 2.8.6) werden beim Verarbeiten von Topology-Credentials über die Nimbus Thrift API nicht vertrauenswürdige Daten deserialisiert. Dies kann zur Ausführung beliebigen Codes führen. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.

    CVSS: 8.8 EPSS: 0.27% Publiziert: Referenz: NVD
  3. Apache Airflow: FTP-Provider überträgt den Datenkanal unverschlüsselt

    CVE-2026-49486 Hoch

    Der FTP-Provider von Apache Airflow baute in FTPSHook.get_conn() eine ftplib.FTP_TLS-Verbindung auf, rief jedoch nie prot_p() auf; dadurch war zwar der Steuerkanal TLS-geschützt, der Datenkanal wurde aber unverschlüsselt übertragen. Als betroffen ausgewiesen sind Apache HTTP Server / ASF-Projekte, Apache Tomcat und Progress. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: die vom Hersteller bereitgestellten Updates einspielen.

    CVSS: 7.5 EPSS: 0.26% Publiziert: Referenz: NVD
  4. Apache Thrift Node.js: Unkontrollierte Rekursion

    CVE-2026-41636 Hoch

    In den Node.js-Bindings von Apache Thrift vor Version 0.23.0 besteht eine Schwachstelle durch unkontrollierte Rekursion, die zu einem Denial-of-Service führen kann. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: Upgrade auf Apache Thrift 0.23.0.

    CVSS: 7.5 EPSS: 0.26% Publiziert: Referenz: NVD
  5. Apache Tomcat – HTTP Request Smuggling über ungültige Chunk-Extension

    CVE-2026-24880 Hoch

    In Apache Tomcat (ab 11.0.0-M1) führt eine inkonsistente Interpretation von HTTP-Anfragen über ungültige Chunk-Extensions zu einer HTTP-Request/Response-Smuggling-Schwachstelle. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.

    CVSS: 7.5 EPSS: 0.24% Publiziert: Referenz: NVD
  6. Apache Solr – Hardcodierte Anmeldedaten im Basic-Authentication-Setup-Tool

    CVE-2026-44825 Hoch

    In Apache Solr (Versionen 9.4.0 bis 9.10.1 sowie 10.0.0) enthält das Basic-Authentication-Setup-Tool hardcodierte Anmeldedaten, die einem entfernten Angreifer vollen administrativen Zugriff ermöglichen. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.

    CVSS: 8.1 EPSS: 0.21% Publiziert: Referenz: NVD
  7. Apache Camel: Authentifizierungs-Bypass bei konfiguriertem Context-Pfad

    CVE-2026-40022 Hoch

    Wenn auf dem eingebetteten HTTP-Server oder Management-Server von Apache Camel (camel-platform-http-main) Authentifizierung aktiviert und ein nicht-root-Context-Pfad wie /api oder /admin konfiguriert ist, kann die Authentifizierung umgangen werden. CVSS-Basiswert: 8.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.

    CVSS: 8.2 EPSS: 0.20% Publiziert: Referenz: NVD
  8. Apache Airflow – XCom-basierte Codeausführung durch DAG-Autoren

    CVE-2026-33858 Hoch

    DAG-Autoren in Apache Airflow, die normalerweise keinen Code im Webserver-Kontext ausführen dürfen, konnten durch präparierte XCom-Payloads die Ausführung beliebigen Codes im Webserver veranlassen. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.

    CVSS: 8.8 EPSS: 0.20% Publiziert: Referenz: NVD
  9. Apache OpenNLP – Denial of Service durch unbegrenzte Array-Allokation

    CVE-2026-42440 Hoch

    In Apache OpenNLP ermöglichen die Methoden des AbstractModelReader eine unbegrenzte Array-Allokation, die zu einem Speicherüberlauf (Out-of-Memory) und damit zu einem Denial-of-Service führen kann. Betroffen sind Versionen vor 2.5.9 sowie vor 3.0.0-M3. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.

    CVSS: 7.5 EPSS: 0.19% Publiziert: Referenz: NVD
  10. Apache CXF – Unvollständiger Fix für RCE über nicht vertrauenswürdige JMS-Konfiguration

    CVE-2026-44417 Hoch

    Der ursprüngliche Fix für CVE-2025-48913 in Apache CXF war unvollständig: Ein weiterer Codepfad ermöglicht weiterhin Remote Code Execution, wenn nicht vertrauenswürdige Benutzereingaben in die JMS-Konfiguration einfliessen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.

    CVSS: 7.5 EPSS: 0.15% Publiziert: Referenz: NVD
  11. Apache Log4j 1-to-2 Bridge – Log4j1XmlLayout erzeugt fehlerhaftes XML

    CVE-2026-34479 Hoch

    Das Log4j1XmlLayout aus der Apache Log4j 1-zu-Log4j-2-Brücke maskiert XML-1.0-verbotene Zeichen nicht korrekt und erzeugt dadurch fehlerhaftes XML. Konforme XML-Parser verweigern die Verarbeitung solcher Ausgaben, was zu Verfügbarkeitsproblemen führen kann. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 7.5 EPSS: 0.13% Publiziert: Referenz: NVD
  12. Apache Airflow – Unklares Sicherheitsmodell vor Version 3.2.0

    CVE-2025-66236 Hoch

    Vor Apache Airflow 3.2.0 war nicht eindeutig dokumentiert, dass sichere Airflow-Deployments besondere Massnahmen durch den Deployment Manager erfordern. Dies konnte dazu führen, dass Sicherheitsdetails und das Sicherheitsmodell von Airflow nicht ausreichend berücksichtigt wurden. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 7.5 EPSS: 0.12% Publiziert: Referenz: NVD
  13. Apache OFBiz – Server-Side Request Forgery (SSRF) via Content-Komponente

    CVE-2026-29226 Hoch

    In Apache OFBiz besteht eine SSRF-Schwachstelle über Operationen der Content-Komponente. Betroffen sind Versionen vor 24.09.06; ein Upgrade auf diese Version wird empfohlen. CVSS-Basiswert: 7.3 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: Upgrade auf Apache OFBiz 24.09.06.

    CVSS: 7.3 EPSS: 0.11% Publiziert: Referenz: NVD
  14. Apache SkyWalking MCP – Server-Side Request Forgery via SW-URL Header

    CVE-2026-34476 Hoch

    In Apache SkyWalking MCP Version 0.1.0 besteht eine Server-Side Request Forgery (SSRF)-Schwachstelle über den SW-URL HTTP-Header. Angreifer können dadurch interne Dienste ansprechen oder Anfragen aus dem Server-Kontext heraus auslösen. CVSS-Basiswert: 7.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: Upgrade auf Version 0.2.0.

    CVSS: 7.1 EPSS: 0.11% Publiziert: Referenz: NVD
  15. Apache HTTP Server – Buffer Over-read

    CVE-2026-34059 Hoch

    Eine Buffer-Over-read-Schwachstelle betrifft Apache HTTP Server bis einschliesslich Version 2.4.66. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: Upgrade auf Version 2.4.67, welche das Problem behebt.

    CVSS: 7.5 EPSS: 0.11% Publiziert: Referenz: NVD
  16. Apache Airflow – Unbefugtes DAG-Auslösen über Asset-Berechtigung

    CVE-2026-32228 Hoch

    Ein UI- oder API-Benutzer mit der Berechtigung zur Asset-Materialisierung konnte in Apache Airflow DAGs auslösen, auf die er keinen Zugriff haben sollte. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: Migration auf Apache Airflow 3.2.0, das das Problem behebt.

    CVSS: 7.5 EPSS: 0.11% Publiziert: Referenz: NVD
  17. Apache OFBiz – Server-Side Request Forgery (SSRF)

    CVE-2026-31910 Hoch

    In Apache OFBiz besteht eine SSRF-Schwachstelle. Betroffen sind Versionen vor 24.09.06; ein Upgrade auf diese Version behebt das Problem. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: Upgrade auf Apache OFBiz 24.09.06.

    CVSS: 7.5 EPSS: 0.10% Publiziert: Referenz: NVD
  18. Apache Airflow – Stack-Trace-Offenlegung bei SQL-Fehlern in der API

    CVE-2026-30912 Hoch

    Bei SQL-Fehlern gibt die Apache Airflow API Exception-Stack-Traces preis, selbst wenn die Einstellung „api/expose_stack_traces” auf false gesetzt ist. Dies kann einem Angreifer zusätzliche interne Informationen liefern. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 7.5 EPSS: 0.10% Publiziert: Referenz: NVD
  19. Apache Airflow – ComputeEngineSSHHook deaktiviert SSH-Host-Key-Verifizierung standardmässig

    CVE-2026-45361 Hoch

    Der `ComputeEngineSSHHook` des Apache-Airflow-Providers für Google deaktiviert standardmässig die SSH-Host-Key-Verifizierung, wodurch SSH-Verbindungen zwischen einem Airflow-Worker und einer Compute-Engine-VM für Man-in-the-Middle-Angriffe anfällig sind. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 8.1 EPSS: 0.09% Publiziert: Referenz: NVD
  20. Apache Tomcat JsonAccessLogValve – Improper Output Encoding

    CVE-2026-34483 Hoch

    Die Komponente JsonAccessLogValve in Apache Tomcat (Versionen 11.0.0-M1 bis 11.0.20 sowie 10.1.0-M1 bis 10.x) weist eine Schwachstelle bei der Ausgabekodierung auf. Angreifer können dadurch Log-Einträge manipulieren. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 7.5 EPSS: 0.09% Publiziert: Referenz: NVD
  21. Apache Tomcat – Kubernetes Bearer Token in Log-Datei offengelegt

    CVE-2026-34487 Hoch

    Die Cloud-Membership-Komponente für Clustering in Apache Tomcat schreibt den Kubernetes Bearer Token in Log-Dateien. Angreifer mit Zugriff auf diese Logs können den Token zur Authentifizierung gegenüber der Kubernetes-API missbrauchen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 7.5 EPSS: 0.09% Publiziert: Referenz: NVD
  22. Apache Tomcat Native / Tomcat – Unvollständige OCSP-Zertifikatsprüfung

    CVE-2026-24734 Hoch

    Bei Verwendung eines OCSP-Responders führten Apache Tomcat Native sowie der FFM-Port des Tomcat-Native-Codes die Zertifikatsverifizierung nicht vollständig durch. Dies betrifft Apache Tomcat Native und Apache Tomcat auf allen Plattformen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 7.5 EPSS: 0.09% Publiziert: Referenz: NVD
  23. Apache OpenMeetings – Zugangsdaten in URL-Parametern (GET-Anfrage)

    CVE-2026-34020 Hoch

    Der REST-Login-Endpunkt von Apache OpenMeetings überträgt Benutzername und Passwort als Abfrageparameter in einer HTTP-GET-Anfrage, was zur Offenlegung sensibler Daten in Logs und Browser-Historien führen kann. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 7.5 EPSS: 0.09% Publiziert: Referenz: NVD
  24. Apache Thrift c_glib – Fehlerhafte Speicherverwaltung

    CVE-2025-48431 Hoch

    In den c_glib-Sprachbindungen von Apache Thrift (vor Version 0.23.0) wurden nicht übereinstimmende Speicherverwaltungsroutinen gefunden. Empfohlene Massnahme: Upgrade auf Version 0.23.0 oder neuer. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 7.5 EPSS: 0.09% Publiziert: Referenz: NVD
  25. Apache OFBiz – Eval Injection durch unkontrollierte Code-Generierung

    CVE-2026-46586 Hoch

    In Apache OFBiz besteht eine Schwachstelle durch fehlerhafte Kontrolle der Code-Generierung sowie Eval Injection, bei der nicht vertrauenswürdige Eingaben in dynamisch ausgewertetem Code ausgeführt werden können. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 8.8 EPSS: 0.08% Publiziert: Referenz: NVD
  26. Apache OFBiz – Offenlegung sensibler Informationen gegenüber unbefugten Akteuren

    CVE-2026-31909 Hoch

    In Apache OFBiz können sensible Informationen gegenüber unbefugten Akteuren offengelegt werden. Betroffen sind Versionen vor 24.09.06; ein Upgrade wird empfohlen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: Upgrade auf Apache OFBiz 24.09.06.

    CVSS: 7.5 EPSS: 0.08% Publiziert: Referenz: NVD
  27. Apache Tomcat – Falsche Behandlung von Gross-/Kleinschreibung in LockOutRealm

    CVE-2026-43513 Hoch

    In Apache Tomcat besteht eine Schwachstelle durch unsachgemässe Behandlung der Gross-/Kleinschreibung in der LockOutRealm-Komponente. Betroffen sind Versionen ab 11.0.0-M1 bis 11.0.21, ab 10.1.0-M1 bis 10.1.54 sowie ab 9.0.0.M1. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 7.5 EPSS: 0.08% Publiziert: Referenz: NVD
  28. Apache Wicket – Offenlegung sensibler Informationen gegenüber unberechtigten Akteuren

    CVE-2026-43646 Hoch

    In Apache Wicket besteht eine Schwachstelle durch die Offenlegung sensibler Informationen gegenüber unberechtigten Akteuren. Betroffen sind Versionen von 8.0.0 bis 8.17.0, von 9.0.0 bis 9.22.0 sowie von 10.0.0 an. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 7.5 EPSS: 0.08% Publiziert: Referenz: NVD
  29. Apache ActiveMQ – Denial of Service via Out-of-Memory bei TLSv1.3

    CVE-2026-39304 Hoch

    Die NIO-SSL-Transporte in Apache ActiveMQ Client, Broker und ActiveMQ verarbeiten TLSv1.3 Handshake KeyUpdates nicht korrekt, was zu einem Out-of-Memory-Fehler und damit zu einem Denial of Service führen kann. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 7.5 EPSS: 0.08% Publiziert: Referenz: NVD
  30. Apache Airflow – Unsicheres XCom-Muster in Beispiel-DAG

    CVE-2025-54550 Hoch

    In der Apache Airflow-Dokumentation enthaltene Beispiel-DAGs implementierten ein unsicheres Muster beim Lesen von XCom-Werten, das von UI-Benutzern mit Bearbeitungsrechten ausgenutzt werden konnte. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 8.1 EPSS: 0.07% Publiziert: Referenz: NVD
  31. Apache OpenMeetings – Hartcodierter kryptographischer Schlüssel

    CVE-2026-33266 Hoch

    In Apache OpenMeetings wird der Verschlüsselungsschlüssel für „Remember me”-Cookies standardmässig auf einen festen Wert in der Konfigurationsdatei gesetzt und nicht automatisch rotiert. Dies stellt eine Schwachstelle durch die Verwendung eines hartcodierten kryptographischen Schlüssels dar. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 7.5 EPSS: 0.07% Publiziert: Referenz: NVD
  32. Apache Thrift – Integer Overflow in TFramedTransport (Go)

    CVE-2026-41602 Hoch

    In der Go-Implementierung von Apache Thrift TFramedTransport besteht eine Integer-Overflow-Schwachstelle. Betroffen sind alle Versionen vor 0.23.0. Ein Upgrade auf Version 0.23.0 oder höher wird empfohlen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 7.5 EPSS: 0.07% Publiziert: Referenz: NVD
  33. Apache ActiveMQ – Code Injection durch unzureichende Eingabevalidierung

    CVE-2026-41044 Hoch

    In Apache ActiveMQ und Apache ActiveMQ Broker besteht eine Schwachstelle durch unzureichende Eingabevalidierung und fehlerhafte Kontrolle der Code-Generierung. Ein authentifizierter Angreifer kann diese ausnutzen, um Code einzuschleusen. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 8.8 EPSS: 0.07% Publiziert: Referenz: NVD
  34. Apache Syncope – Unzureichende Isolation ermöglicht Ausführung von schädlichem Code

    CVE-2026-42782 Hoch

    In Apache Syncope können Administratoren mit ausreichenden Berechtigungen für Implementierungen eine schädliche Groovy-Klasse mit nicht vertrauenswürdigem Code erstellen. Die unzureichende Isolation oder Abschirmung ermöglicht es, diesen Code im Kontext der Anwendung auszuführen. CVSS-Basiswert: 7.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 7.2 EPSS: 0.07% Publiziert: Referenz: NVD
  35. Apache Thrift: Out-of-Bounds-Read-Schwachstelle

    CVE-2026-41604 Hoch

    In Apache Thrift vor Version 0.23.0 wurde eine Out-of-Bounds-Read-Schwachstelle identifiziert, die eine unsachgemässe Verarbeitung von Speicherbereichen ermöglicht. CVSS-Basiswert: 8.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: Upgrade auf Apache Thrift 0.23.0.

    CVSS: 8.2 EPSS: 0.07% Publiziert: Referenz: NVD
  36. Apache Camel LevelDB – Deserialisierung nicht vertrauenswürdiger Daten

    CVE-2026-25747 Hoch

    Die Klasse DefaultLevelDBSerializer in der Apache Camel LevelDB-Komponente deserialisiert Daten aus dem LevelDB-Aggregations-Repository ohne ausreichende Prüfung. Dies kann bei der Verarbeitung nicht vertrauenswürdiger Daten zu unsicherer Deserialisierung führen. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 8.8 EPSS: 0.06% Publiziert: Referenz: NVD
  37. Apache ActiveMQ – Code-Injection durch fehlerhafte Eingabevalidierung

    CVE-2026-42588 Hoch

    Apache ActiveMQ Classic weist eine Schwachstelle in der Eingabevalidierung auf, die eine Code-Injection ermöglicht. Die Broker-Komponente ist betroffen und kann durch manipulierte Eingaben zur Ausführung von eingeschleustem Code missbraucht werden. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 8.1 EPSS: 0.06% Publiziert: Referenz: NVD
  38. Apache ActiveMQ – Code Injection durch fehlerhafte Eingabevalidierung

    CVE-2026-45505 Hoch

    In Apache ActiveMQ wurde eine Schwachstelle durch unzureichende Eingabevalidierung und unkontrollierte Code-Generierung (Code Injection) gemeldet. Die Lücke betrifft Apache ActiveMQ Broker sowie alle ActiveMQ-Varianten. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 8.8 EPSS: 0.06% Publiziert: Referenz: NVD
  39. Apache Camel-MINA: Unsichere Deserialisierung in MinaConverter

    CVE-2026-40473 Hoch

    Der Typ-Konverter MinaConverter.toObjectInput(IoBuffer) der camel-mina-Komponente kapselt einen IoBuffer in ein java.io.ObjectInputStream-Objekt, ohne ObjectInputFilter oder Klassenladeeinschränkungen anzuwenden. Dies ermöglicht unsichere Deserialisierung über manipulierte Netzwerkdaten. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 8.8 EPSS: 0.06% Publiziert: Referenz: NVD
  40. Apache Avro Java SDK – Code Injection

    CVE-2025-33042 Hoch

    Im Apache Avro Java SDK besteht eine Schwachstelle durch unsachgemässe Kontrolle der Code-Generierung (Code Injection), die beim Verarbeiten nicht vertrauenswürdiger Avro-Schemas ausgelöst werden kann. CVSS-Basiswert: 7.3 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 7.3 EPSS: 0.06% Publiziert: Referenz: NVD
  41. Apache SkyWalking – Informationsoffenlegung über Debugging-Endpunkt

    CVE-2026-30778 Hoch

    Der Endpunkt /debugging/config/dump in Apache SkyWalking OAP kann sensible Konfigurationsinformationen von MySQL/PostgreSQL preisgeben. Betroffen sind Versionen 9.7.0 bis 10.3.0. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 7.5 EPSS: 0.06% Publiziert: Referenz: NVD
  42. Apache Log4j JsonTemplateLayout – ungültige JSON-Ausgabe bei bestimmten Log-Ereignissen

    CVE-2026-34481 Hoch

    Das JsonTemplateLayout in Apache Log4j (Versionen bis einschliesslich 2.25.3) erzeugt unter bestimmten Bedingungen bei Log-Ereignissen ungültige JSON-Ausgaben. Dies kann die Weiterverarbeitung der Logs beeinträchtigen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 7.5 EPSS: 0.06% Publiziert: Referenz: NVD
  43. Apache HttpClient 5.6: Fehlende gegenseitige Authentifizierung bei SCRAM-SHA-256

    CVE-2026-40542 Hoch

    In Apache HttpClient 5.6 fehlt ein kritischer Schritt in der Authentifizierungslogik, der es einem Angreifer ermöglicht, den Client dazu zu bringen, SCRAM-SHA-256-Authentifizierung ohne ordnungsgemässe gegenseitige Authentifizierungsprüfung zu akzeptieren. CVSS-Basiswert: 7.3 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 7.3 EPSS: 0.05% Publiziert: Referenz: NVD
  44. Apache Fluss – Heap-Erschöpfung durch unbegrenzte Netty-Frame-Länge

    CVE-2026-49361 Hoch

    Apache Fluss in Versionen vor 0.9.1 konfiguriert den Netty LengthFieldBasedFrameDecoder mit Integer.MAX_VALUE als maximale Frame-Länge. Dies ermöglicht nicht authentifizierten Remote-Angreifern, den JVM-Heap durch gezielt große Frames zu erschöpfen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 7.5 EPSS: 0.05% Publiziert: Referenz: NVD
  45. Apache Flink – Code-Injection in SQL-Code-Generierung

    CVE-2026-35194 Hoch

    In Apache Flink (Versionen 1.15.0 bis 1.20.x sowie 2.0.0 bis 2.x) ermöglicht eine Code-Injection in der SQL-Code-Generierung authentifizierten Nutzern mit Query-Berechtigungen die Ausführung beliebigen Codes auf TaskManagers. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 8.1 EPSS: 0.05% Publiziert: Referenz: NVD
  46. Apache Tomcat – Ressourcenzuteilung ohne Limits (DoS)

    CVE-2026-41284 Hoch

    In Apache Tomcat besteht eine Schwachstelle durch fehlende Begrenzung der Ressourcenzuteilung. Betroffen sind mehrere Versionen, darunter 11.0.0-M1 bis 11.0.21, 10.1.0-M1 bis 10.1.54 sowie 9.0.0.M1 und spätere. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 7.5 EPSS: 0.05% Publiziert: Referenz: NVD
  47. Apache Airflow – Arbitrary Code Execution durch DAG-Autoren

    CVE-2026-25917 Hoch

    In Apache Airflow können DAG-Autoren, die normalerweise keinen Code im Webserver-Kontext ausführen dürfen, über präparierte XCom-Payloads beliebigen Code auf dem Webserver ausführen. CVSS-Basiswert: 7.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 7.2 EPSS: 0.05% Publiziert: Referenz: NVD
  48. Apache Tomcat – HTTP-Authentifizierungs-Header bei WebSocket-Authentifizierung weitergegeben

    CVE-2026-42498 Hoch

    In Apache Tomcat wird der HTTP-Authentifizierungs-Header bei der WebSocket-Authentifizierung an unerwartete Hosts weitergegeben. Betroffen sind Apache Tomcat-Versionen von 11.0.0-M1 bis 11.0.21 sowie von 10.1. CVSS-Basiswert: 7.3 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 7.3 EPSS: 0.05% Publiziert: Referenz: NVD
  49. Apache Airflow – JWT-Token-Exposition in Logs

    CVE-2026-31987 Hoch

    In Apache Airflow wurden JWT-Tokens von Tasks in Protokolldateien offengelegt. Dadurch könnten UI-Benutzer die Identität von DAG-Autoren annehmen und unbefugte Aktionen ausführen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: Upgrade auf eine Apache-Airflow-Version mit enthaltener Fehlerkorrektur.

    CVSS: 7.5 EPSS: 0.05% Publiziert: Referenz: NVD
  50. Undertow – Request Smuggling über ungültige Header-Terminierung

    CVE-2026-28367 Hoch

    In Undertow kann ein entfernter Angreifer durch das Senden von '\r\r\r' als Header-Block-Terminator HTTP-Request-Smuggling-Angriffe in Kombination mit bestimmten Proxy-Servern durchführen. CVSS-Basiswert: 8.7 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 8.7 EPSS: 0.05% Publiziert: Referenz: NVD

Diesem Produkt-Feed folgen

Eigener RSS-Feed nur für Apache Tomcat, kostenlos und ohne Anmeldung. Zustellung per E-Mail, Webhook, REST oder TAXII richten wir auf Anfrage ein.

RSS-Feed öffnen Zustellung anfragen

Wie folge ich dem Feed?

  • 1 RSS-Feed-Link kopieren oder direkt im RSS-Reader öffnen.
  • 2 Priorisierte Reports (KEV · EPSS · CVSS) landen automatisch in Ihrem Reader.
  • 3 Zustellung per E-Mail, Webhook, REST oder TAXII auf Anfrage einrichten lassen.
Zurück zum Katalog