Apache Tomcat Seite 7
Schwachstellen-Reports
353 ReportsZeige 301 bis 350 von 353
-
Apache Airflow: Offenlegung fremder DAG-Quellen (< 3.3.0)
CVE-2026-49296 MittelIn Apache Airflow vor 3.3.0 konnte ein zum Lesen eines DAGs berechtigter Nutzer den Quellcode anderer DAGs offenlegen, die in derselben Quelldatei liegen – etwa über den Endpunkt GET /api/v2/dagSources/{dag_id}. CVSS-Basiswert: 6.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.6 %. Empfohlene Massnahme: Auf Apache Airflow 3.3.0 aktualisieren.
CVSS: 6.5 EPSS: 0.60% Publiziert: Referenz: NVD -
Apache HTTP Server – Out-of-bounds-Read in mod_headers/mod_mime
CVE-2026-43951 MittelIm Apache HTTP Server besteht bei Nutzung von mod_headers und mod_mime mit mehreren Antwortsprachen eine Out-of-bounds-Read-Schwachstelle. Betroffen sind Versionen von 2.4.0 bis einschliesslich 2.4.67. CVSS-Basiswert: 6.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: auf eine nicht betroffene Version des Apache HTTP Servers aktualisieren.
CVSS: 6.5 EPSS: 0.53% Publiziert: Referenz: NVD -
Apache HTTP Server: XSS in mod_proxy_ftp-Verzeichnislisten (≤ 2.4.67)
CVE-2026-29170 MittelEine Cross-Site-Scripting-Schwachstelle besteht in der HTML-Verzeichnislisten-Erzeugung von mod_proxy_ftp im Apache HTTP Server 2.4.67 und früher, wenn FTP-Verzeichnisinhalte per Forward- oder Reverse-Proxy aufgelistet werden. CVSS-Basiswert: 6.1 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %.
CVSS: 6.1 EPSS: 0.50% Publiziert: Referenz: NVD -
Apache Answer: Speichererschöpfung durch präparierte TIFF-Datei
CVE-2026-33582 MittelIn Apache Answer (bis einschliesslich Version 2.0.0) besteht eine Schwachstelle durch unbeschränkten Upload von Dateien eines gefährlichen Typs. Eine präparierte TIFF-Datei kann bei der Verarbeitung eine übermässige Speicherallokation auslösen. CVSS-Basiswert: 6.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: auf eine bereinigte Version von Apache Answer aktualisieren.
CVSS: 6.5 EPSS: 0.48% Publiziert: Referenz: NVD -
OAuth2-Server – Log-Injection über unsanitisierten clientId-Parameter
CVE-2026-50629 MittelDer Parameter clientId aus eingehenden HTTP-Anfragen wird ohne Bereinigung von Steuerzeichen direkt in Warnmeldungen des OAuth2-Server-Logs eingefügt. Dadurch kann ein Angreifer beliebige Inhalte in die Log-Dateien einschleusen (Log-Injection). CVSS-Basiswert: 5.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: Update auf eine bereinigte Version einspielen.
CVSS: 5.3 EPSS: 0.47% Publiziert: Referenz: NVD -
Apache Tomcat – XSS im Number-Guess-Beispiel
CVE-2026-50229 MittelIm Number-Guess-Beispiel von Apache Tomcat besteht eine Basic-XSS-Schwachstelle durch unzureichende Neutralisierung skriptbezogener HTML-Tags in einer Webseite. Betroffen ist Apache Tomcat ab Version 11.0.0-M1. CVSS-Basiswert: 6.1 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %.
CVSS: 6.1 EPSS: 0.46% Publiziert: Referenz: NVD -
Apache Camel – Unzureichende Eingabevalidierung im ElasticSearch Rest Client
CVE-2026-46453 MittelIn der Komponente camel-elasticsearch-rest-client von Apache Camel ermöglichen eine unzureichende Eingabevalidierung und eine Autorisierungsumgehung über einen benutzergesteuerten Schlüssel unerwünschtes Verhalten, da die Komponente mehrere Exchange-Werte ungeprüft übernimmt. CVSS-Basiswert: 5.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: Update auf eine bereinigte Apache-Camel-Version einspielen.
CVSS: 5.3 EPSS: 0.45% Publiziert: Referenz: NVD -
Apache DolphinScheduler: Fehlerhafte Autorisierung ermöglicht Löschen fremder Task-Definitionen
CVE-2026-41280 MittelEine fehlerhafte Autorisierung in Apache DolphinScheduler erlaubt Benutzern mit System-Login-Berechtigung, Task-Definitionen in Projekten zu löschen, für die sie nicht berechtigt sind. Betroffen sind Versionen vor 3.4.2. CVSS-Basiswert: 4.9 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: auf Version 3.4.2 oder neuer aktualisieren.
CVSS: 4.9 EPSS: 0.44% Publiziert: Referenz: NVD -
Apache DolphinScheduler: Unberechtigter Zugriff auf Alert-Instanzen
CVE-2026-47340 MittelIn Apache DolphinScheduler erlaubt eine fehlerhafte Zugriffskontrolle authentifizierten Benutzern den Zugriff auf Alert-Instanzen von Alarmgruppen, für die sie keine Berechtigung besitzen. CVSS-Basiswert: 6.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.
CVSS: 6.5 EPSS: 0.43% Publiziert: Referenz: NVD -
Apache APISIX: Authentifizierungsumgehung durch Token-Replay in hmac-auth
CVE-2026-47341 MittelIn Apache APISIX besteht eine Authentifizierungsumgehung durch Capture-Replay: Bei bestimmten Konfigurationen des hmac-auth-Plugins kann ein Token dauerhaft wiederverwendet werden, wodurch die Ablauffrist umgangen wird. CVSS-Basiswert: 6.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: betroffene Apache-APISIX-Version gemäss Herstelleradvisory aktualisieren.
CVSS: 6.5 EPSS: 0.43% Publiziert: Referenz: NVD -
Apache Camel – Injection in der camel-irc-Komponente
CVE-2026-49097 MittelIn der IRC-Komponente von Apache Camel besteht eine Schwachstelle durch unzureichende Eingabevalidierung und mangelnde Neutralisierung von Sonderzeichen in der Ausgabe an eine nachgelagerte Komponente (Injection). CVSS-Basiswert: 6.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.
CVSS: 6.5 EPSS: 0.43% Publiziert: Referenz: NVD -
Apache Camel (camel-dapr): Confused-Deputy durch unzureichende Eingabevalidierung
CVE-2026-49086 MittelIn der Apache-Camel-Komponente camel-dapr besteht eine Schwachstelle durch unzureichende Eingabevalidierung (Confused Deputy / Unintended Proxy). Der Dapr-Pub/Sub-Consumer (DaprPubSubConsumer) übernahm dabei Felder ungeprüft. CVSS-Basiswert: 6.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: betroffene camel-dapr-Version gemäss Apache-Advisory aktualisieren.
CVSS: 6.5 EPSS: 0.43% Publiziert: Referenz: NVD -
Apache Tomcat: Fehlerhafte Autorisierung beim Default-Servlet
CVE-2026-55956 MittelEine Autorisierungsschwachstelle in Apache Tomcat führt dazu, dass die für das Default-Servlet festgelegten Sicherheitsbeschränkungen jede als Teil der Beschränkung konfigurierte HTTP-Methode oder Methoden-Auslassung ignorieren. CVSS-Basiswert: 6.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.
CVSS: 6.5 EPSS: 0.41% Publiziert: Referenz: NVD -
Apache Answer: XSS über alternative Syntax
CVE-2026-25688 MittelIn Apache Answer bis einschliesslich Version 2.0.0 besteht eine Schwachstelle durch unzureichende Neutralisierung alternativer XSS-Syntax. KI-generierte Antwortinhalte wurden ohne ausreichende Bereinigung im Browser gerendert. CVSS-Basiswert: 6.1 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: Auf eine korrigierte Version von Apache Answer aktualisieren.
CVSS: 6.1 EPSS: 0.41% Publiziert: Referenz: NVD -
Apache Answer – Offenlegung privater Informationen an Unbefugte
CVE-2026-25699 MittelIn Apache Answer bis einschliesslich Version 2.0.0 besteht eine Schwachstelle, durch die private, personenbezogene Informationen an unbefugte Akteure offengelegt werden. Timeline-bezogene APIs verfügten nicht über eine ausreichende Autorisierungsprüfung. CVSS-Basiswert: 6.1 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.
CVSS: 6.1 EPSS: 0.41% Publiziert: Referenz: NVD -
OAuth2 AuthorizationUtils: CRLF-Injection im WWW-Authenticate-Header
CVE-2026-50630 MittelIn der Klasse OAuth2 AuthorizationUtils besteht eine CRLF-Injection-Schwachstelle. Beim Aufbau des WWW-Authenticate-Antwort-Headers wird der Parameter 'realm' ohne Bereinigung von Carriage-Return-/Line-Feed-Zeichen zusammengesetzt. CVSS-Basiswert: 6.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: Auf eine fehlerbereinigte Version aktualisieren.
CVSS: 6.5 EPSS: 0.40% Publiziert: Referenz: NVD -
Apache Answer: Unbeschränkter Upload von Dateien gefährlichen Typs
CVE-2026-34031 MittelIn Apache Answer besteht eine Schwachstelle durch den unbeschränkten Upload von Dateien eines gefährlichen Typs. Der Server validierte von Nutzern bereitgestellte Bild-URLs nicht ausreichend. Betroffen sind Versionen bis einschliesslich 2.0.0. CVSS-Basiswert: 6.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.
CVSS: 6.5 EPSS: 0.40% Publiziert: Referenz: NVD -
Apache APISIX – Open Redirect in der cas-auth-Konfiguration
CVE-2026-44915 MittelDie Standardkonfiguration von cas-auth in Apache APISIX ist anfällig für eine URL-Umleitung zu nicht vertrauenswürdigen Zielen (Open Redirect) und ermöglicht dadurch Phishing sowie den Diebstahl von Zugangsdaten. CVSS-Basiswert: 6.1 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.
CVSS: 6.1 EPSS: 0.40% Publiziert: Referenz: NVD -
Apache Camel (camel-kafka): Injection-Schwachstelle in der Kafka-Komponente
CVE-2026-49098 MittelEine Schwachstelle durch unzureichende Eingabevalidierung und mangelnde Neutralisierung von Sonderzeichen (Injection) betrifft die Kafka-Komponente von Apache Camel (camel-kafka), konkret den camel-kafka-Producer. CVSS-Basiswert: 5.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.
CVSS: 5.3 EPSS: 0.39% Publiziert: Referenz: NVD -
Apache Answer – Cross-Site Scripting (Basic XSS)
CVE-2026-34033 MittelIn Apache Answer (bis einschliesslich Version 2.0.0) besteht eine Cross-Site-Scripting-Schwachstelle (Basic XSS): Von Nutzern bereitgestellte Inhalte wurden bei der Seitengenerierung unzureichend neutralisiert, wodurch script-bezogene HTML-Tags eingeschleust werden können. CVSS-Basiswert: 5.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: Auf eine vom Hersteller bereitgestellte, korrigierte Version aktualisieren.
CVSS: 5.4 EPSS: 0.37% Publiziert: Referenz: NVD -
Apache CXF – Authentifizierungsumgehung im OAuth2 TokenIntrospectionService
CVE-2026-50623 MittelIm OAuth2 TokenIntrospectionService von Apache CXF besteht eine Authentifizierungsumgehung. Wegen eines fehlenden 'throw'-Schlüsselworts in der Prüfung des Security-Contexts greift der Introspection-Endpunkt die Sicherheitsprüfung nicht korrekt. CVSS-Basiswert: 4.8 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.
CVSS: 4.8 EPSS: 0.37% Publiziert: Referenz: NVD -
Apache Camel Netty HTTP: Sensible Informationen in Fehlermeldung
CVE-2026-49365 MittelEine Schwachstelle in der Komponente Apache Camel Netty HTTP führt dazu, dass Fehlermeldungen sensible Informationen enthalten können. Der HTTP-Server-Consumer camel-netty-http stellt die Option muteException bereit, die dieses Verhalten steuert. Als betroffen ausgewiesen sind Apache HTTP Server / ASF-Projekte und Apache Tomcat. CVSS-Basiswert: 5.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: auf eine korrigierte Version aktualisieren.
CVSS: 5.3 EPSS: 0.36% Publiziert: Referenz: NVD -
Apache Camel Undertow – Fehlermeldung mit sensiblen Informationen
CVE-2026-56139 MittelIn der Apache-Camel-Komponente camel-undertow kann der HTTP-Server-Consumer über die muteException-Option sensible Informationen in erzeugten Fehlermeldungen offenlegen. CVSS-Basiswert: 5.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.
CVSS: 5.3 EPSS: 0.36% Publiziert: Referenz: NVD -
Apache: Authentifizierungsumgehung durch Spoofing im OPA-Plugin
CVE-2026-49231 MittelIm OPA-Plugin besteht eine Authentifizierungsumgehung durch Spoofing: Ein Angreifer kann gefälschte Identitäts-Header an Upstream-Systeme weiterreichen und dabei eine vom Standard abweichende Konfiguration des OPA-Plugins ausnutzen. CVSS-Basiswert: 5.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: die vom Projekt bereitgestellte korrigierte Version einspielen.
CVSS: 5.4 EPSS: 0.36% Publiziert: Referenz: NVD -
Authorization Bypass in der Apache-Camel-JIRA-Komponente
CVE-2026-48206 MittelEine unzureichende Eingabevalidierung bzw. ein Authorization Bypass über einen benutzerkontrollierten Schlüssel in der JIRA-Komponente von Apache Camel: Die camel-jira-Producer lesen ihre Operationsparameter (u. a. den Issue-Key) so ein, dass sich eine Autorisierungsprüfung umgehen lässt. CVSS-Basiswert: 5.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: auf eine fehlerbereinigte Apache-Camel-Version aktualisieren.
CVSS: 5.3 EPSS: 0.35% Publiziert: Referenz: NVD -
Apache Gravitino UI – SQL-Fehlkonfiguration erlaubt Lesen/Leeren von Dateien
CVE-2025-53648 MittelEine SQL-Fehlkonfiguration in der Gravitino-UI (Versionen 1.0.0 und darunter) kann es einem böswilligen Benutzer ermöglichen, Dateien zu lesen oder zu leeren (truncate). CVSS-Basiswert: 5.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: Auf Version 1.0.0 aktualisieren, welche das Problem behebt.
CVSS: 5.4 EPSS: 0.35% Publiziert: Referenz: NVD -
Apache Camel Salesforce Component – Injection und Authorization Bypass
CVE-2026-49099 MittelDie Apache Camel Salesforce Component ist anfällig für eine unzureichende Neutralisierung besonderer Elemente in der Ausgabe (Injection) sowie für eine Autorisierungsumgehung über einen benutzerkontrollierten Schlüssel. CVSS-Basiswert: 5.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.
CVSS: 5.3 EPSS: 0.34% Publiziert: Referenz: NVD -
Apache NiFi: Fehlerhafte Autorisierung bei Konfigurationsprüfungsanfragen
CVE-2026-44911 MittelDie Autorisierungsbehandlung für Anfragen zur Verifizierung von Komponentenkonfigurationen erlaubt in Apache NiFi 1.15.0 bis 2.9.0 Clients mit Lesezugriff, vorgeschlagene Konfigurationseigenschaften einzureichen. CVSS-Basiswert: 6.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: Apache NiFi auf eine korrigierte Version aktualisieren.
CVSS: 6.3 EPSS: 0.33% Publiziert: Referenz: NVD -
Apache Answer – Offenlegung nicht gelisteter Fragen
CVE-2026-34905 MittelIn Apache Answer (betroffen bis einschließlich Version 2.0.0) besteht eine Offenlegung sensibler Informationen gegenüber nicht autorisierten Akteuren. Die Funktion für nicht gelistete Fragen setzte Zugriffsbeschränkungen nicht durch. CVSS-Basiswert: 6.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.
CVSS: 6.5 EPSS: 0.33% Publiziert: Referenz: NVD -
Apache Atlas – Authentifiziertes Cross-Site-Scripting (XSS)
CVE-2025-62198 MittelIn Apache Atlas kann ein authentifizierter Benutzer Cross-Site-Scripting (XSS) ausführen. Betroffen sind die Versionen 2.4.0 und früher. CVSS-Basiswert: 5.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: auf Version 2.5.0 aktualisieren, welche das Problem behebt.
CVSS: 5.4 EPSS: 0.32% Publiziert: Referenz: NVD -
Apache APISIX – Log-Manipulation über das wolf-rbac-Plugin
CVE-2026-44046 MittelIn Apache APISIX besteht eine Schwachstelle durch die Nutzung einer wenig vertrauenswürdigen Quelle. Ein Angreifer kann das wolf-rbac-Plugin in der Standardkonfiguration ausnutzen, um Logs mit gefälschten Identitätsinformationen zu verunreinigen. CVSS-Basiswert: 5.8 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.
CVSS: 5.8 EPSS: 0.31% Publiziert: Referenz: NVD -
Apache DolphinScheduler – Fehlerhafte Autorisierung
CVE-2026-42357 MittelEine Schwachstelle der fehlerhaften Autorisierung in Apache DolphinScheduler erlaubt Benutzern den Zugriff auf Informationen zu Workflow-Instanzen von Projekten, für die sie keine Zugriffsberechtigung besitzen. CVSS-Basiswert: 6.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: betroffene Version gemäss Apache-Advisory aktualisieren.
CVSS: 6.5 EPSS: 0.31% Publiziert: Referenz: NVD -
Apache Tomcat: Replay-Angriff gegen den EncryptionInterceptor der Cluster-Komponente
CVE-2026-55955 MittelEine Schwachstelle bei der Authentifizierung in Apache Tomcat erlaubte einen Replay-Angriff gegen den EncryptionInterceptor in der Cluster-Komponente. Betroffen ist laut Quelle Apache Tomcat ab 11.0.0-M1. CVSS-Basiswert: 6.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.
CVSS: 6.5 EPSS: 0.28% Publiziert: Referenz: NVD -
Apache CXF: Umgehung der Signaturprüfung im JwsJsonContainerRequestFilter
CVE-2026-50634 MittelEine Schwachstelle im JwsJsonContainerRequestFilter von Apache CXF kann dazu ausgenutzt werden, dass CXF Metadaten verarbeitet, die nicht durch die akzeptierte Signatur authentifiziert wurden. Dadurch lässt sich die Signaturprüfung der Anwendung umgehen. CVSS-Basiswert: 6.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.
CVSS: 6.5 EPSS: 0.28% Publiziert: Referenz: NVD -
Apache NiFi: Ungeprüfte HTTP-Header bei der URL-Bildung
CVE-2026-54665 MittelApache NiFi (Versionen 0.0.1 bis 2.9.0) bildet qualifizierte URLs aus verschiedenen HTTP-Request-Headern, die als Alternative zum Standard-Host-Header dienen, ohne die übermittelten Werte zu validieren. CVSS-Basiswert: 5.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: auf eine fehlerbereinigte Apache-NiFi-Version aktualisieren.
CVSS: 5.3 EPSS: 0.27% Publiziert: Referenz: NVD -
Spring Kafka Retry-Topic Header Validation
CVE-2026-41727 MittelDie Retry-Topic-Infrastruktur von Spring Kafka validierte benutzerkontrollierte Header-Werte nicht ausreichend, bevor sie darauf reagierte. Ein Producer konnte einen Datensatz mit einem manipulierten retry_topic-attempts-Header senden. CVSS-Basiswert: 6.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.
CVSS: 6.5 EPSS: 0.24% Publiziert: Referenz: NVD -
Apache Gravitino: Authentifizierter SSRF im JobManager
CVE-2026-49876 MittelIn Apache Gravitino erlaubt eine authentifizierte Server-Side-Request-Forgery-Schwachstelle im JobManager serverseitige HTTP-Anfragen an das interne Netzwerk und an Cloud-Metadaten-Endpunkte. Ursache sind nicht validierte URIs in Job-Templates. CVSS-Basiswert: 6.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: betroffene Apache-Gravitino-Version gemäss Herstelleradvisory aktualisieren.
CVSS: 6.5 EPSS: 0.20% Publiziert: Referenz: NVD -
Apache HTTP Server – unzureichende Rechteverwaltung erlaubt lokalen .htaccess-Dateizugriff
CVE-2026-44119 MittelIn Apache HTTP Server 2.4.67 und früher erlaubt eine unzureichende Rechteverwaltung (Improper Privilege Management) lokalen Autoren von .htaccess-Dateien, Dateien mit den Rechten des httpd-Benutzers zu lesen. CVSS-Basiswert: 5.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: Auf eine vom Hersteller bereitgestellte, korrigierte Version aktualisieren.
CVSS: 5.5 EPSS: 0.17% Publiziert: Referenz: NVD -
Apache Flink Kubernetes Operator: SSRF durch fehlende jarURI-Validierung
CVE-2026-40564 MittelIm Apache Flink Kubernetes Operator wird der jarURI-Parameter von FlinkSessionJob nicht validiert, was Server-Side Request Forgery (SSRF) und den Zugriff auf externe Ressourcen ermöglicht. CVSS-Basiswert: 6.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 6.5 EPSS: 0.05% Publiziert: Referenz: NVD -
Apache Airflow – Fehlende Zugriffskontrolle im Event-Log-Endpunkt
CVE-2026-46764 MittelIn Apache Airflow ermöglicht der Event-Log-Detail-Endpunkt (GET /api/v2/eventLogs/{event_log_id}) den Abruf von Audit-Log-Einträgen direkt über numerische IDs nach einer allgemeinen Berechtigungsprüfung, ohne eine benutzergebundene Filterung durchzuführen. Dies kann zu einem unberechtigten Informationszugriff führen. CVSS-Basiswert: 4.3 (Mittel).
CVSS: 4.3 EPSS: 0.04% Publiziert: Referenz: NVD -
Apache Airflow: Umgehung der Variablen-Maskierung bei verschachtelten Schlüsseln
CVE-2026-42358 MittelIn Apache Airflow bewirkt ein Fehler im Variable-Response-Masker, dass die Schwärzung verschachtelter Schlüssel mit sicherheitsrelevanten Suffixen (z. B. „password”, „token”, „secret”, „api_key”) umgangen werden kann, wenn der JSON-Wert entsprechend strukturiert ist. CVSS-Basiswert: 6.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 6.5 EPSS: 0.03% Publiziert: Referenz: NVD -
Apache Calcite – Unsafe Reflection durch extern kontrollierte Eingabe
CVE-2026-46718 MittelIn Apache Calcite (Versionen ab 1.5.0 bis vor 1.42) ermöglicht die Verwendung extern kontrollierter Eingaben zur Klassen- oder Code-Auswahl eine „Unsafe Reflection”-Schwachstelle. Nutzern wird ein Upgrade empfohlen. CVSS-Basiswert: 6.5 (Mittel).
CVSS: 6.5 EPSS: 0.02% Publiziert: Referenz: NVD -
Apache Airflow – Symlink-Angriff über Task-Log-Verzeichnis
CVE-2026-40861 MittelEin DAG-Autor konnte im Task-Log-Verzeichnis einen Symlink auf eine beliebige, vom API-Server-Prozess lesbare Datei erstellen und so einen Lesepfad-Angriff durchführen (z. B. auf /etc/passwd oder airflow.cfg). CVSS-Basiswert: 6.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 6.5 EPSS: 0.02% Publiziert: Referenz: NVD -
Apache Kafka – Fehlerhafte Autorisierung bei CONSUMER_GROUP_DESCRIBE
CVE-2026-41115 MittelIn Apache Kafka wurde bei der Implementierung des CONSUMER_GROUP_DESCRIBE-API (Opcode 69) die DESCRIBE-Operation fälschlicherweise gegen die GROUP-Ressource statt der korrekten Ressource geprüft. Dies stellt eine unzureichende Autorisierungsprüfung dar. CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 4.3 EPSS: 0.02% Publiziert: Referenz: NVD -
Apache Airflow – JWT-Cookie ohne Secure-Flag
CVE-2026-41017 MittelDie Middleware JWTRefreshMiddleware in Apache Airflow setzte das JWT-Auth-Cookie ohne das Secure-Flag. Bei Deployments hinter einem HTTPS-terminierenden Reverse-Proxy (z. B. nginx oder Envoy) konnte das Cookie so über ungesicherte Verbindungen übertragen werden. CVSS-Basiswert: 5.9 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 5.9 EPSS: 0.02% Publiziert: Referenz: NVD -
Apache Airflow – Fehlende DAG-Autorisierung bei partitioned_dag_runs
CVE-2026-41014 MittelDie partitioned_dag_runs-Endpunkte im Airflow-UI prüften lediglich Asset-Zugriffsrechte, nicht aber die DAG-spezifische Autorisierung. Ein authentifizierter Benutzer mit globalem Asset:read-Recht konnte dadurch DAG-Run-Informationen anderer DAGs aufzählen. CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 4.3 EPSS: 0.01% Publiziert: Referenz: NVD -
Apache Airflow – JWT-Token nach Logout weiterhin gültig
CVE-2026-48726 MittelIn Apache Airflow werden zuvor ausgestellte JWT-Token nach dem Klicken auf „Abmelden” in der Benutzeroberfläche nicht ungültig gemacht. Betroffen sind der FabAuthManager und der KeycloakAuthManager, da der Logout-Vorgang keine Token-Invalidierung durchführt. CVSS-Basiswert: 6.5 (Mittel).
CVSS: 6.5 EPSS: 0.01% Publiziert: Referenz: NVD -
Apache Airflow – SMTP STARTTLS ohne Zertifikatsvalidierung
CVE-2026-49267 MittelApache Airflows EmailOperator und die zugehörigen SMTP-Hilfsfunktionen bauen STARTTLS-Verbindungen auf, ohne das Remote-Zertifikat zu verifizieren, wenn SMTP STARTTLS in der Konfiguration aktiviert ist. Dies ermöglicht Man-in-the-Middle-Angriffe auf E-Mail-Verbindungen. CVSS-Basiswert: 5.9 (Mittel).
CVSS: 5.9 EPSS: 0.01% Publiziert: Referenz: NVD -
Apache OpenMeetings Path Traversal
CVE-2026-49488 MittelIn Apache OpenMeetings besteht eine Path-Traversal-Schwachstelle (unzulässige Einschränkung eines Pfadnamens auf ein beschränktes Verzeichnis). Betroffen sind Versionen ab 5.0.0 vor 9.1.0. CVSS-Basiswert: 6.5 (Mittel). Empfohlene Massnahme: auf Apache OpenMeetings 9.1.0 oder neuer aktualisieren.
CVSS: 6.5 Publiziert: Referenz: NVD -
Apache Kylin fehlerhafte Autorisierung
CVE-2026-62393 MittelIn Apache Kylin besteht eine Schwachstelle durch unsachgemässe Behandlung unzureichender Berechtigungen: Bei der Abfrage von Job-Informationen kann ein Angreifer durch fehlerhafte Autorisierung Zugriff auf nicht autorisierte Jobs erhalten. CVSS-Basiswert: 4.3 (Mittel). Empfohlene Massnahme: Updates des Herstellers beobachten und nach Verfügbarkeit einspielen.
CVSS: 4.3 Publiziert: Referenz: NVD
Diesem Produkt-Feed folgen
Eigener RSS-Feed nur für Apache Tomcat, kostenlos und ohne Anmeldung. Zustellung per E-Mail, Webhook, REST oder TAXII richten wir auf Anfrage ein.
RSS-Feed öffnen Zustellung anfragenWie folge ich dem Feed?
- 1 RSS-Feed-Link kopieren oder direkt im RSS-Reader öffnen.
- 2 Priorisierte Reports (KEV · EPSS · CVSS) landen automatisch in Ihrem Reader.
- 3 Zustellung per E-Mail, Webhook, REST oder TAXII auf Anfrage einrichten lassen.