1.5 Aktiv ausgenutzte Lücken
Server-Software, Middleware, Web

Apache Tomcat Seite 7

Server-Software, Middleware, Web
353
Reports
39
Aktiv ausgenutzt
Kritisch
Höchste Priorität
100.0%
Max. EPSS

Schwachstellen-Reports

353 Reports

Zeige 301 bis 350 von 353

  1. Apache Airflow: Offenlegung fremder DAG-Quellen (< 3.3.0)

    CVE-2026-49296 Mittel

    In Apache Airflow vor 3.3.0 konnte ein zum Lesen eines DAGs berechtigter Nutzer den Quellcode anderer DAGs offenlegen, die in derselben Quelldatei liegen – etwa über den Endpunkt GET /api/v2/dagSources/{dag_id}. CVSS-Basiswert: 6.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.6 %. Empfohlene Massnahme: Auf Apache Airflow 3.3.0 aktualisieren.

    CVSS: 6.5 EPSS: 0.60% Publiziert: Referenz: NVD
  2. Apache HTTP Server – Out-of-bounds-Read in mod_headers/mod_mime

    CVE-2026-43951 Mittel

    Im Apache HTTP Server besteht bei Nutzung von mod_headers und mod_mime mit mehreren Antwortsprachen eine Out-of-bounds-Read-Schwachstelle. Betroffen sind Versionen von 2.4.0 bis einschliesslich 2.4.67. CVSS-Basiswert: 6.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: auf eine nicht betroffene Version des Apache HTTP Servers aktualisieren.

    CVSS: 6.5 EPSS: 0.53% Publiziert: Referenz: NVD
  3. Apache HTTP Server: XSS in mod_proxy_ftp-Verzeichnislisten (≤ 2.4.67)

    CVE-2026-29170 Mittel

    Eine Cross-Site-Scripting-Schwachstelle besteht in der HTML-Verzeichnislisten-Erzeugung von mod_proxy_ftp im Apache HTTP Server 2.4.67 und früher, wenn FTP-Verzeichnisinhalte per Forward- oder Reverse-Proxy aufgelistet werden. CVSS-Basiswert: 6.1 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %.

    CVSS: 6.1 EPSS: 0.50% Publiziert: Referenz: NVD
  4. Apache Answer: Speichererschöpfung durch präparierte TIFF-Datei

    CVE-2026-33582 Mittel

    In Apache Answer (bis einschliesslich Version 2.0.0) besteht eine Schwachstelle durch unbeschränkten Upload von Dateien eines gefährlichen Typs. Eine präparierte TIFF-Datei kann bei der Verarbeitung eine übermässige Speicherallokation auslösen. CVSS-Basiswert: 6.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: auf eine bereinigte Version von Apache Answer aktualisieren.

    CVSS: 6.5 EPSS: 0.48% Publiziert: Referenz: NVD
  5. OAuth2-Server – Log-Injection über unsanitisierten clientId-Parameter

    CVE-2026-50629 Mittel

    Der Parameter clientId aus eingehenden HTTP-Anfragen wird ohne Bereinigung von Steuerzeichen direkt in Warnmeldungen des OAuth2-Server-Logs eingefügt. Dadurch kann ein Angreifer beliebige Inhalte in die Log-Dateien einschleusen (Log-Injection). CVSS-Basiswert: 5.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: Update auf eine bereinigte Version einspielen.

    CVSS: 5.3 EPSS: 0.47% Publiziert: Referenz: NVD
  6. Apache Tomcat – XSS im Number-Guess-Beispiel

    CVE-2026-50229 Mittel

    Im Number-Guess-Beispiel von Apache Tomcat besteht eine Basic-XSS-Schwachstelle durch unzureichende Neutralisierung skriptbezogener HTML-Tags in einer Webseite. Betroffen ist Apache Tomcat ab Version 11.0.0-M1. CVSS-Basiswert: 6.1 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %.

    CVSS: 6.1 EPSS: 0.46% Publiziert: Referenz: NVD
  7. Apache Camel – Unzureichende Eingabevalidierung im ElasticSearch Rest Client

    CVE-2026-46453 Mittel

    In der Komponente camel-elasticsearch-rest-client von Apache Camel ermöglichen eine unzureichende Eingabevalidierung und eine Autorisierungsumgehung über einen benutzergesteuerten Schlüssel unerwünschtes Verhalten, da die Komponente mehrere Exchange-Werte ungeprüft übernimmt. CVSS-Basiswert: 5.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: Update auf eine bereinigte Apache-Camel-Version einspielen.

    CVSS: 5.3 EPSS: 0.45% Publiziert: Referenz: NVD
  8. Apache DolphinScheduler: Fehlerhafte Autorisierung ermöglicht Löschen fremder Task-Definitionen

    CVE-2026-41280 Mittel

    Eine fehlerhafte Autorisierung in Apache DolphinScheduler erlaubt Benutzern mit System-Login-Berechtigung, Task-Definitionen in Projekten zu löschen, für die sie nicht berechtigt sind. Betroffen sind Versionen vor 3.4.2. CVSS-Basiswert: 4.9 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: auf Version 3.4.2 oder neuer aktualisieren.

    CVSS: 4.9 EPSS: 0.44% Publiziert: Referenz: NVD
  9. Apache DolphinScheduler: Unberechtigter Zugriff auf Alert-Instanzen

    CVE-2026-47340 Mittel

    In Apache DolphinScheduler erlaubt eine fehlerhafte Zugriffskontrolle authentifizierten Benutzern den Zugriff auf Alert-Instanzen von Alarmgruppen, für die sie keine Berechtigung besitzen. CVSS-Basiswert: 6.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.

    CVSS: 6.5 EPSS: 0.43% Publiziert: Referenz: NVD
  10. Apache APISIX: Authentifizierungsumgehung durch Token-Replay in hmac-auth

    CVE-2026-47341 Mittel

    In Apache APISIX besteht eine Authentifizierungsumgehung durch Capture-Replay: Bei bestimmten Konfigurationen des hmac-auth-Plugins kann ein Token dauerhaft wiederverwendet werden, wodurch die Ablauffrist umgangen wird. CVSS-Basiswert: 6.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: betroffene Apache-APISIX-Version gemäss Herstelleradvisory aktualisieren.

    CVSS: 6.5 EPSS: 0.43% Publiziert: Referenz: NVD
  11. Apache Camel – Injection in der camel-irc-Komponente

    CVE-2026-49097 Mittel

    In der IRC-Komponente von Apache Camel besteht eine Schwachstelle durch unzureichende Eingabevalidierung und mangelnde Neutralisierung von Sonderzeichen in der Ausgabe an eine nachgelagerte Komponente (Injection). CVSS-Basiswert: 6.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.

    CVSS: 6.5 EPSS: 0.43% Publiziert: Referenz: NVD
  12. Apache Camel (camel-dapr): Confused-Deputy durch unzureichende Eingabevalidierung

    CVE-2026-49086 Mittel

    In der Apache-Camel-Komponente camel-dapr besteht eine Schwachstelle durch unzureichende Eingabevalidierung (Confused Deputy / Unintended Proxy). Der Dapr-Pub/Sub-Consumer (DaprPubSubConsumer) übernahm dabei Felder ungeprüft. CVSS-Basiswert: 6.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: betroffene camel-dapr-Version gemäss Apache-Advisory aktualisieren.

    CVSS: 6.5 EPSS: 0.43% Publiziert: Referenz: NVD
  13. Apache Tomcat: Fehlerhafte Autorisierung beim Default-Servlet

    CVE-2026-55956 Mittel

    Eine Autorisierungsschwachstelle in Apache Tomcat führt dazu, dass die für das Default-Servlet festgelegten Sicherheitsbeschränkungen jede als Teil der Beschränkung konfigurierte HTTP-Methode oder Methoden-Auslassung ignorieren. CVSS-Basiswert: 6.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.

    CVSS: 6.5 EPSS: 0.41% Publiziert: Referenz: NVD
  14. Apache Answer: XSS über alternative Syntax

    CVE-2026-25688 Mittel

    In Apache Answer bis einschliesslich Version 2.0.0 besteht eine Schwachstelle durch unzureichende Neutralisierung alternativer XSS-Syntax. KI-generierte Antwortinhalte wurden ohne ausreichende Bereinigung im Browser gerendert. CVSS-Basiswert: 6.1 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: Auf eine korrigierte Version von Apache Answer aktualisieren.

    CVSS: 6.1 EPSS: 0.41% Publiziert: Referenz: NVD
  15. Apache Answer – Offenlegung privater Informationen an Unbefugte

    CVE-2026-25699 Mittel

    In Apache Answer bis einschliesslich Version 2.0.0 besteht eine Schwachstelle, durch die private, personenbezogene Informationen an unbefugte Akteure offengelegt werden. Timeline-bezogene APIs verfügten nicht über eine ausreichende Autorisierungsprüfung. CVSS-Basiswert: 6.1 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.

    CVSS: 6.1 EPSS: 0.41% Publiziert: Referenz: NVD
  16. OAuth2 AuthorizationUtils: CRLF-Injection im WWW-Authenticate-Header

    CVE-2026-50630 Mittel

    In der Klasse OAuth2 AuthorizationUtils besteht eine CRLF-Injection-Schwachstelle. Beim Aufbau des WWW-Authenticate-Antwort-Headers wird der Parameter 'realm' ohne Bereinigung von Carriage-Return-/Line-Feed-Zeichen zusammengesetzt. CVSS-Basiswert: 6.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: Auf eine fehlerbereinigte Version aktualisieren.

    CVSS: 6.5 EPSS: 0.40% Publiziert: Referenz: NVD
  17. Apache Answer: Unbeschränkter Upload von Dateien gefährlichen Typs

    CVE-2026-34031 Mittel

    In Apache Answer besteht eine Schwachstelle durch den unbeschränkten Upload von Dateien eines gefährlichen Typs. Der Server validierte von Nutzern bereitgestellte Bild-URLs nicht ausreichend. Betroffen sind Versionen bis einschliesslich 2.0.0. CVSS-Basiswert: 6.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.

    CVSS: 6.5 EPSS: 0.40% Publiziert: Referenz: NVD
  18. Apache APISIX – Open Redirect in der cas-auth-Konfiguration

    CVE-2026-44915 Mittel

    Die Standardkonfiguration von cas-auth in Apache APISIX ist anfällig für eine URL-Umleitung zu nicht vertrauenswürdigen Zielen (Open Redirect) und ermöglicht dadurch Phishing sowie den Diebstahl von Zugangsdaten. CVSS-Basiswert: 6.1 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.

    CVSS: 6.1 EPSS: 0.40% Publiziert: Referenz: NVD
  19. Apache Camel (camel-kafka): Injection-Schwachstelle in der Kafka-Komponente

    CVE-2026-49098 Mittel

    Eine Schwachstelle durch unzureichende Eingabevalidierung und mangelnde Neutralisierung von Sonderzeichen (Injection) betrifft die Kafka-Komponente von Apache Camel (camel-kafka), konkret den camel-kafka-Producer. CVSS-Basiswert: 5.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.

    CVSS: 5.3 EPSS: 0.39% Publiziert: Referenz: NVD
  20. Apache Answer – Cross-Site Scripting (Basic XSS)

    CVE-2026-34033 Mittel

    In Apache Answer (bis einschliesslich Version 2.0.0) besteht eine Cross-Site-Scripting-Schwachstelle (Basic XSS): Von Nutzern bereitgestellte Inhalte wurden bei der Seitengenerierung unzureichend neutralisiert, wodurch script-bezogene HTML-Tags eingeschleust werden können. CVSS-Basiswert: 5.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: Auf eine vom Hersteller bereitgestellte, korrigierte Version aktualisieren.

    CVSS: 5.4 EPSS: 0.37% Publiziert: Referenz: NVD
  21. Apache CXF – Authentifizierungsumgehung im OAuth2 TokenIntrospectionService

    CVE-2026-50623 Mittel

    Im OAuth2 TokenIntrospectionService von Apache CXF besteht eine Authentifizierungsumgehung. Wegen eines fehlenden 'throw'-Schlüsselworts in der Prüfung des Security-Contexts greift der Introspection-Endpunkt die Sicherheitsprüfung nicht korrekt. CVSS-Basiswert: 4.8 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.

    CVSS: 4.8 EPSS: 0.37% Publiziert: Referenz: NVD
  22. Apache Camel Netty HTTP: Sensible Informationen in Fehlermeldung

    CVE-2026-49365 Mittel

    Eine Schwachstelle in der Komponente Apache Camel Netty HTTP führt dazu, dass Fehlermeldungen sensible Informationen enthalten können. Der HTTP-Server-Consumer camel-netty-http stellt die Option muteException bereit, die dieses Verhalten steuert. Als betroffen ausgewiesen sind Apache HTTP Server / ASF-Projekte und Apache Tomcat. CVSS-Basiswert: 5.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: auf eine korrigierte Version aktualisieren.

    CVSS: 5.3 EPSS: 0.36% Publiziert: Referenz: NVD
  23. Apache Camel Undertow – Fehlermeldung mit sensiblen Informationen

    CVE-2026-56139 Mittel

    In der Apache-Camel-Komponente camel-undertow kann der HTTP-Server-Consumer über die muteException-Option sensible Informationen in erzeugten Fehlermeldungen offenlegen. CVSS-Basiswert: 5.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.

    CVSS: 5.3 EPSS: 0.36% Publiziert: Referenz: NVD
  24. Apache: Authentifizierungsumgehung durch Spoofing im OPA-Plugin

    CVE-2026-49231 Mittel

    Im OPA-Plugin besteht eine Authentifizierungsumgehung durch Spoofing: Ein Angreifer kann gefälschte Identitäts-Header an Upstream-Systeme weiterreichen und dabei eine vom Standard abweichende Konfiguration des OPA-Plugins ausnutzen. CVSS-Basiswert: 5.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: die vom Projekt bereitgestellte korrigierte Version einspielen.

    CVSS: 5.4 EPSS: 0.36% Publiziert: Referenz: NVD
  25. Authorization Bypass in der Apache-Camel-JIRA-Komponente

    CVE-2026-48206 Mittel

    Eine unzureichende Eingabevalidierung bzw. ein Authorization Bypass über einen benutzerkontrollierten Schlüssel in der JIRA-Komponente von Apache Camel: Die camel-jira-Producer lesen ihre Operationsparameter (u. a. den Issue-Key) so ein, dass sich eine Autorisierungsprüfung umgehen lässt. CVSS-Basiswert: 5.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: auf eine fehlerbereinigte Apache-Camel-Version aktualisieren.

    CVSS: 5.3 EPSS: 0.35% Publiziert: Referenz: NVD
  26. Apache Gravitino UI – SQL-Fehlkonfiguration erlaubt Lesen/Leeren von Dateien

    CVE-2025-53648 Mittel

    Eine SQL-Fehlkonfiguration in der Gravitino-UI (Versionen 1.0.0 und darunter) kann es einem böswilligen Benutzer ermöglichen, Dateien zu lesen oder zu leeren (truncate). CVSS-Basiswert: 5.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: Auf Version 1.0.0 aktualisieren, welche das Problem behebt.

    CVSS: 5.4 EPSS: 0.35% Publiziert: Referenz: NVD
  27. Apache Camel Salesforce Component – Injection und Authorization Bypass

    CVE-2026-49099 Mittel

    Die Apache Camel Salesforce Component ist anfällig für eine unzureichende Neutralisierung besonderer Elemente in der Ausgabe (Injection) sowie für eine Autorisierungsumgehung über einen benutzerkontrollierten Schlüssel. CVSS-Basiswert: 5.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.

    CVSS: 5.3 EPSS: 0.34% Publiziert: Referenz: NVD
  28. Apache NiFi: Fehlerhafte Autorisierung bei Konfigurationsprüfungsanfragen

    CVE-2026-44911 Mittel

    Die Autorisierungsbehandlung für Anfragen zur Verifizierung von Komponentenkonfigurationen erlaubt in Apache NiFi 1.15.0 bis 2.9.0 Clients mit Lesezugriff, vorgeschlagene Konfigurationseigenschaften einzureichen. CVSS-Basiswert: 6.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: Apache NiFi auf eine korrigierte Version aktualisieren.

    CVSS: 6.3 EPSS: 0.33% Publiziert: Referenz: NVD
  29. Apache Answer – Offenlegung nicht gelisteter Fragen

    CVE-2026-34905 Mittel

    In Apache Answer (betroffen bis einschließlich Version 2.0.0) besteht eine Offenlegung sensibler Informationen gegenüber nicht autorisierten Akteuren. Die Funktion für nicht gelistete Fragen setzte Zugriffsbeschränkungen nicht durch. CVSS-Basiswert: 6.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.

    CVSS: 6.5 EPSS: 0.33% Publiziert: Referenz: NVD
  30. Apache Atlas – Authentifiziertes Cross-Site-Scripting (XSS)

    CVE-2025-62198 Mittel

    In Apache Atlas kann ein authentifizierter Benutzer Cross-Site-Scripting (XSS) ausführen. Betroffen sind die Versionen 2.4.0 und früher. CVSS-Basiswert: 5.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: auf Version 2.5.0 aktualisieren, welche das Problem behebt.

    CVSS: 5.4 EPSS: 0.32% Publiziert: Referenz: NVD
  31. Apache APISIX – Log-Manipulation über das wolf-rbac-Plugin

    CVE-2026-44046 Mittel

    In Apache APISIX besteht eine Schwachstelle durch die Nutzung einer wenig vertrauenswürdigen Quelle. Ein Angreifer kann das wolf-rbac-Plugin in der Standardkonfiguration ausnutzen, um Logs mit gefälschten Identitätsinformationen zu verunreinigen. CVSS-Basiswert: 5.8 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.

    CVSS: 5.8 EPSS: 0.31% Publiziert: Referenz: NVD
  32. Apache DolphinScheduler – Fehlerhafte Autorisierung

    CVE-2026-42357 Mittel

    Eine Schwachstelle der fehlerhaften Autorisierung in Apache DolphinScheduler erlaubt Benutzern den Zugriff auf Informationen zu Workflow-Instanzen von Projekten, für die sie keine Zugriffsberechtigung besitzen. CVSS-Basiswert: 6.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: betroffene Version gemäss Apache-Advisory aktualisieren.

    CVSS: 6.5 EPSS: 0.31% Publiziert: Referenz: NVD
  33. Apache Tomcat: Replay-Angriff gegen den EncryptionInterceptor der Cluster-Komponente

    CVE-2026-55955 Mittel

    Eine Schwachstelle bei der Authentifizierung in Apache Tomcat erlaubte einen Replay-Angriff gegen den EncryptionInterceptor in der Cluster-Komponente. Betroffen ist laut Quelle Apache Tomcat ab 11.0.0-M1. CVSS-Basiswert: 6.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.

    CVSS: 6.5 EPSS: 0.28% Publiziert: Referenz: NVD
  34. Apache CXF: Umgehung der Signaturprüfung im JwsJsonContainerRequestFilter

    CVE-2026-50634 Mittel

    Eine Schwachstelle im JwsJsonContainerRequestFilter von Apache CXF kann dazu ausgenutzt werden, dass CXF Metadaten verarbeitet, die nicht durch die akzeptierte Signatur authentifiziert wurden. Dadurch lässt sich die Signaturprüfung der Anwendung umgehen. CVSS-Basiswert: 6.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.

    CVSS: 6.5 EPSS: 0.28% Publiziert: Referenz: NVD
  35. Apache NiFi: Ungeprüfte HTTP-Header bei der URL-Bildung

    CVE-2026-54665 Mittel

    Apache NiFi (Versionen 0.0.1 bis 2.9.0) bildet qualifizierte URLs aus verschiedenen HTTP-Request-Headern, die als Alternative zum Standard-Host-Header dienen, ohne die übermittelten Werte zu validieren. CVSS-Basiswert: 5.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: auf eine fehlerbereinigte Apache-NiFi-Version aktualisieren.

    CVSS: 5.3 EPSS: 0.27% Publiziert: Referenz: NVD
  36. Spring Kafka Retry-Topic Header Validation

    CVE-2026-41727 Mittel

    Die Retry-Topic-Infrastruktur von Spring Kafka validierte benutzerkontrollierte Header-Werte nicht ausreichend, bevor sie darauf reagierte. Ein Producer konnte einen Datensatz mit einem manipulierten retry_topic-attempts-Header senden. CVSS-Basiswert: 6.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.

    CVSS: 6.5 EPSS: 0.24% Publiziert: Referenz: NVD
  37. Apache Gravitino: Authentifizierter SSRF im JobManager

    CVE-2026-49876 Mittel

    In Apache Gravitino erlaubt eine authentifizierte Server-Side-Request-Forgery-Schwachstelle im JobManager serverseitige HTTP-Anfragen an das interne Netzwerk und an Cloud-Metadaten-Endpunkte. Ursache sind nicht validierte URIs in Job-Templates. CVSS-Basiswert: 6.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: betroffene Apache-Gravitino-Version gemäss Herstelleradvisory aktualisieren.

    CVSS: 6.5 EPSS: 0.20% Publiziert: Referenz: NVD
  38. Apache HTTP Server – unzureichende Rechteverwaltung erlaubt lokalen .htaccess-Dateizugriff

    CVE-2026-44119 Mittel

    In Apache HTTP Server 2.4.67 und früher erlaubt eine unzureichende Rechteverwaltung (Improper Privilege Management) lokalen Autoren von .htaccess-Dateien, Dateien mit den Rechten des httpd-Benutzers zu lesen. CVSS-Basiswert: 5.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: Auf eine vom Hersteller bereitgestellte, korrigierte Version aktualisieren.

    CVSS: 5.5 EPSS: 0.17% Publiziert: Referenz: NVD
  39. Apache Flink Kubernetes Operator: SSRF durch fehlende jarURI-Validierung

    CVE-2026-40564 Mittel

    Im Apache Flink Kubernetes Operator wird der jarURI-Parameter von FlinkSessionJob nicht validiert, was Server-Side Request Forgery (SSRF) und den Zugriff auf externe Ressourcen ermöglicht. CVSS-Basiswert: 6.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 6.5 EPSS: 0.05% Publiziert: Referenz: NVD
  40. Apache Airflow – Fehlende Zugriffskontrolle im Event-Log-Endpunkt

    CVE-2026-46764 Mittel

    In Apache Airflow ermöglicht der Event-Log-Detail-Endpunkt (GET /api/v2/eventLogs/{event_log_id}) den Abruf von Audit-Log-Einträgen direkt über numerische IDs nach einer allgemeinen Berechtigungsprüfung, ohne eine benutzergebundene Filterung durchzuführen. Dies kann zu einem unberechtigten Informationszugriff führen. CVSS-Basiswert: 4.3 (Mittel).

    CVSS: 4.3 EPSS: 0.04% Publiziert: Referenz: NVD
  41. Apache Airflow: Umgehung der Variablen-Maskierung bei verschachtelten Schlüsseln

    CVE-2026-42358 Mittel

    In Apache Airflow bewirkt ein Fehler im Variable-Response-Masker, dass die Schwärzung verschachtelter Schlüssel mit sicherheitsrelevanten Suffixen (z. B. „password”, „token”, „secret”, „api_key”) umgangen werden kann, wenn der JSON-Wert entsprechend strukturiert ist. CVSS-Basiswert: 6.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 6.5 EPSS: 0.03% Publiziert: Referenz: NVD
  42. Apache Calcite – Unsafe Reflection durch extern kontrollierte Eingabe

    CVE-2026-46718 Mittel

    In Apache Calcite (Versionen ab 1.5.0 bis vor 1.42) ermöglicht die Verwendung extern kontrollierter Eingaben zur Klassen- oder Code-Auswahl eine „Unsafe Reflection”-Schwachstelle. Nutzern wird ein Upgrade empfohlen. CVSS-Basiswert: 6.5 (Mittel).

    CVSS: 6.5 EPSS: 0.02% Publiziert: Referenz: NVD
  43. Apache Airflow – Symlink-Angriff über Task-Log-Verzeichnis

    CVE-2026-40861 Mittel

    Ein DAG-Autor konnte im Task-Log-Verzeichnis einen Symlink auf eine beliebige, vom API-Server-Prozess lesbare Datei erstellen und so einen Lesepfad-Angriff durchführen (z. B. auf /etc/passwd oder airflow.cfg). CVSS-Basiswert: 6.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 6.5 EPSS: 0.02% Publiziert: Referenz: NVD
  44. Apache Kafka – Fehlerhafte Autorisierung bei CONSUMER_GROUP_DESCRIBE

    CVE-2026-41115 Mittel

    In Apache Kafka wurde bei der Implementierung des CONSUMER_GROUP_DESCRIBE-API (Opcode 69) die DESCRIBE-Operation fälschlicherweise gegen die GROUP-Ressource statt der korrekten Ressource geprüft. Dies stellt eine unzureichende Autorisierungsprüfung dar. CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 4.3 EPSS: 0.02% Publiziert: Referenz: NVD
  45. Apache Airflow – JWT-Cookie ohne Secure-Flag

    CVE-2026-41017 Mittel

    Die Middleware JWTRefreshMiddleware in Apache Airflow setzte das JWT-Auth-Cookie ohne das Secure-Flag. Bei Deployments hinter einem HTTPS-terminierenden Reverse-Proxy (z. B. nginx oder Envoy) konnte das Cookie so über ungesicherte Verbindungen übertragen werden. CVSS-Basiswert: 5.9 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 5.9 EPSS: 0.02% Publiziert: Referenz: NVD
  46. Apache Airflow – Fehlende DAG-Autorisierung bei partitioned_dag_runs

    CVE-2026-41014 Mittel

    Die partitioned_dag_runs-Endpunkte im Airflow-UI prüften lediglich Asset-Zugriffsrechte, nicht aber die DAG-spezifische Autorisierung. Ein authentifizierter Benutzer mit globalem Asset:read-Recht konnte dadurch DAG-Run-Informationen anderer DAGs aufzählen. CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 4.3 EPSS: 0.01% Publiziert: Referenz: NVD
  47. Apache Airflow – JWT-Token nach Logout weiterhin gültig

    CVE-2026-48726 Mittel

    In Apache Airflow werden zuvor ausgestellte JWT-Token nach dem Klicken auf „Abmelden” in der Benutzeroberfläche nicht ungültig gemacht. Betroffen sind der FabAuthManager und der KeycloakAuthManager, da der Logout-Vorgang keine Token-Invalidierung durchführt. CVSS-Basiswert: 6.5 (Mittel).

    CVSS: 6.5 EPSS: 0.01% Publiziert: Referenz: NVD
  48. Apache Airflow – SMTP STARTTLS ohne Zertifikatsvalidierung

    CVE-2026-49267 Mittel

    Apache Airflows EmailOperator und die zugehörigen SMTP-Hilfsfunktionen bauen STARTTLS-Verbindungen auf, ohne das Remote-Zertifikat zu verifizieren, wenn SMTP STARTTLS in der Konfiguration aktiviert ist. Dies ermöglicht Man-in-the-Middle-Angriffe auf E-Mail-Verbindungen. CVSS-Basiswert: 5.9 (Mittel).

    CVSS: 5.9 EPSS: 0.01% Publiziert: Referenz: NVD
  49. Apache OpenMeetings Path Traversal

    CVE-2026-49488 Mittel

    In Apache OpenMeetings besteht eine Path-Traversal-Schwachstelle (unzulässige Einschränkung eines Pfadnamens auf ein beschränktes Verzeichnis). Betroffen sind Versionen ab 5.0.0 vor 9.1.0. CVSS-Basiswert: 6.5 (Mittel). Empfohlene Massnahme: auf Apache OpenMeetings 9.1.0 oder neuer aktualisieren.

    CVSS: 6.5 Publiziert: Referenz: NVD
  50. Apache Kylin fehlerhafte Autorisierung

    CVE-2026-62393 Mittel

    In Apache Kylin besteht eine Schwachstelle durch unsachgemässe Behandlung unzureichender Berechtigungen: Bei der Abfrage von Job-Informationen kann ein Angreifer durch fehlerhafte Autorisierung Zugriff auf nicht autorisierte Jobs erhalten. CVSS-Basiswert: 4.3 (Mittel). Empfohlene Massnahme: Updates des Herstellers beobachten und nach Verfügbarkeit einspielen.

    CVSS: 4.3 Publiziert: Referenz: NVD

Diesem Produkt-Feed folgen

Eigener RSS-Feed nur für Apache Tomcat, kostenlos und ohne Anmeldung. Zustellung per E-Mail, Webhook, REST oder TAXII richten wir auf Anfrage ein.

RSS-Feed öffnen Zustellung anfragen

Wie folge ich dem Feed?

  • 1 RSS-Feed-Link kopieren oder direkt im RSS-Reader öffnen.
  • 2 Priorisierte Reports (KEV · EPSS · CVSS) landen automatisch in Ihrem Reader.
  • 3 Zustellung per E-Mail, Webhook, REST oder TAXII auf Anfrage einrichten lassen.
Zurück zum Katalog