Check Point
Check Point gehört zur Kategorie „Netzwerk, Firewall, Security-Appliances". xonatec überwacht Check Point kontinuierlich auf neue Sicherheitslücken, priorisiert jede Meldung nach aktiver Ausnutzung (KEV), Ausnutzungswahrscheinlichkeit (EPSS) und Schweregrad (CVSS) Im zugeschnittenen Bericht erhalten Sie ausschliesslich die Meldungen, die dieses Produkt betreffen.
Schwachstellen-Reports
70 ReportsZeige 1 bis 50 von 70
-
Check Point Quantum Security Gateways – Information Disclosure
CVE-2024-24919 Aktiv ausgenutzt RansomwareIn Check Point Quantum Security Gateways besteht eine Schwachstelle zur Offenlegung von Informationen. Wird laut CISA KEV aktiv ausgenutzt. Bekannter Einsatz in Ransomware-Kampagnen. Ausnutzungswahrscheinlichkeit (EPSS): 94.3 %.
EPSS: 94.34% Publiziert: Referenz: CISA KEV -
NETGEAR Multiple WAP Devices – Command Injection
CVE-2016-1555 Aktiv ausgenutztIn mehreren NETGEAR WAP-Geräten wurde eine Command-Injection-Schwachstelle identifiziert. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 94.3 %.
EPSS: 94.33% Publiziert: Referenz: CISA KEV -
D-Link DWL-2600AP – Command Injection Vulnerability
CVE-2019-20500 Aktiv ausgenutztIm D-Link DWL-2600AP Access Point besteht eine Command-Injection-Schwachstelle. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 89.9 %.
EPSS: 89.89% Publiziert: Referenz: CISA KEV -
D-Link DNR-322L – Download of Code Without Integrity Check
CVE-2022-40799 Aktiv ausgenutztIm D-Link DNR-322L besteht eine Schwachstelle, bei der Code ohne Integritätsprüfung heruntergeladen werden kann. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 53.9 %.
EPSS: 53.89% Publiziert: Referenz: CISA KEV -
Oracle Java SE – Integrity Check Vulnerability
CVE-2015-4902 Aktiv ausgenutztIn Oracle Java SE wurde eine Schwachstelle bei der Integritätsprüfung gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 18.3 %.
EPSS: 18.25% Publiziert: Referenz: CISA KEV -
Notepad++ – Download of Code Without Integrity Check
CVE-2025-15556 Aktiv ausgenutztIn Notepad++ besteht eine Schwachstelle, bei der Code ohne Integritätsprüfung heruntergeladen werden kann. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 9.1 %.
EPSS: 9.12% Publiziert: Referenz: CISA KEV -
TrueConf Client – Download ohne Integritätsprüfung
CVE-2026-3502 Aktiv ausgenutztIm TrueConf Client besteht eine Schwachstelle, bei der Code ohne Integritätsprüfung heruntergeladen und ausgeführt werden kann. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 3.3 %.
EPSS: 3.27% Publiziert: Referenz: CISA KEV -
Samsung Mobile Devices – Improper Boundary Check
CVE-2021-25372 Aktiv ausgenutztIn Samsung Mobile Devices besteht eine Schwachstelle durch eine fehlerhafte Grenzprüfung. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 1.8 %.
EPSS: 1.76% Publiziert: Referenz: CISA KEV -
Linux Kernel – TOCTOU Race Condition
CVE-2025-38352 Aktiv ausgenutztIm Linux-Kernel wurde eine Time-of-Check Time-of-Use (TOCTOU) Race-Condition-Schwachstelle gemeldet, die Amazon Linux, Oracle Linux, Rocky Linux sowie Check Point betrifft. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
EPSS: 0.14% Publiziert: Referenz: CISA KEV -
WordPress-Plugin Invoice Generator: Rechteausweitung über ungeschützte AJAX-Aktion
CVE-2026-12415 KritischDas WordPress-Plugin Invoice Generator ist anfällig für eine Rechteausweitung, weil die AJAX-Aktion pravel_invoice_edit_account() keine Berechtigungsprüfung durchführt. Nicht ausreichend berechtigte Aufrufer können die Aktion dadurch auslösen. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.7 %. Empfohlene Massnahme: das Plugin auf die vom Hersteller bereitgestellte fehlerbereinigte Version aktualisieren.
CVSS: 9.8 EPSS: 0.66% Publiziert: Referenz: NVD -
Linux-Kernel: Fehlerhafte dll_change-Prüfung in tegra124-emc
CVE-2026-53045 KritischIm Linux-Kernel wurde eine fehlerhafte Prüfung im Speichertreiber tegra124-emc behoben. Der Code, der prüft, ob das angegebene Speicher-Timing die DLL im EMRS-Register aktiviert, arbeitete nicht korrekt. CVSS-Basiswert: 9.8 (Kritisch); der Vektor weist auf einen Angriff über das Netzwerk ohne Authentifizierung und ohne Benutzerinteraktion hin. Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: die vom Distributor bereitgestellten Kernel-Updates einspielen.
CVSS: 9.8 EPSS: 0.52% Publiziert: Referenz: NVD -
WordPress-Plugin „Schema & Structured Data for WP & AMP": Ungeprüfter Datei-Upload
CVE-2026-9067 KritischDas WordPress-Plugin „Schema & Structured Data for WP & AMP" prüft vor Version 1.60 in seinen Frontend-AJAX-Handlern für Datei-Uploads keine Benutzerberechtigungen und validiert den tatsächlichen Inhalt hochgeladener Dateien nicht. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: Aktualisierung auf Plugin-Version 1.60.
CVSS: 9.1 EPSS: 0.43% Publiziert: Referenz: NVD -
Coolify: Terminal-WebSocket-Routen prüfen nur Authentifizierung, keine Autorisierung
CVE-2026-34048 KritischCoolify ist ein quelloffenes, selbst hostbares Werkzeug zur Verwaltung von Servern, Anwendungen und Datenbanken. In Versionen vor 4.0.0-beta.471 prüfen die Bootstrap-Routen des Terminal-WebSockets lediglich die Authentifizierung, nicht aber die Berechtigung des Aufrufers. CVSS-Basiswert: 9.9 (Kritisch) bei netzbasiertem Angriffsvektor mit nur geringen Rechten und ohne Nutzerinteraktion. Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: auf 4.0.0-beta.471 oder neuer aktualisieren.
CVSS: 9.9 EPSS: 0.40% Publiziert: Referenz: NVD -
Samba – Fehlkonfiguration beim „check password script”
CVE-2026-4408 KritischIn Samba wurde eine Schwachstelle entdeckt, die durch eine Fehlkonfiguration der Funktion „check password script” in Dateiservern und klassischen Domänen-Controllern entsteht. Ein entfernter Angreifer kann diese Fehlkonfiguration ausnutzen, sofern das Skript entsprechend eingerichtet ist. CVSS-Basiswert: 9.0 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.
CVSS: 9.0 EPSS: 0.39% Publiziert: Referenz: NVD -
Perl-Modul Socket: Out-of-Bounds-Heap-Read in pack_ip_mreq_source()
CVE-2026-12087 KritischDas Perl-Modul Socket enthält in Versionen vor 2.041 einen Out-of-Bounds-Heap-Read. In Socket.xs prüft pack_ip_mreq_source() die Länge des Quell-Arguments, bevor dieses eingelesen wird, sodass die Prüfung ins Leere läuft. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: Auf Socket 2.041 oder neuer aktualisieren.
CVSS: 9.1 EPSS: 0.39% Publiziert: Referenz: NVD -
vm2 (Node.js-Sandbox): Unvollständiger Fix für GHSA-8hg8-63c5-gwmx umgehbar
CVE-2026-47137 Kritischvm2 ist eine quelloffene VM/Sandbox für Node.js. In Versionen vor 3.11.4 lässt sich die mit dem Fix für GHSA-8hg8-63c5-gwmx (CVE-2023-37903) in nodevm.js eingeführte Prüfung umgehen, die eine bestimmte Nesting-Kombination blockieren sollte. CVSS-Basiswert: 10 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: Auf vm2 3.11.4 oder neuer aktualisieren.
CVSS: 10.0 EPSS: 0.38% Publiziert: Referenz: NVD -
Gitea: OAuth2-PKCE-Verfahren wird nicht korrekt durchgesetzt
CVE-2026-26247 KritischGitea-Versionen vor 1.25.5 speichern die OAuth2-PKCE-Challenge-Methode S256 während der Autorisierung nicht korrekt. Dadurch ist ein Token-Austausch möglich, ohne dass der erwartete Verifier geprüft wird. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: auf Gitea 1.25.5 oder neuer aktualisieren.
CVSS: 9.1 EPSS: 0.38% Publiziert: Referenz: NVD -
STACKIT IaaS API: Privilegienausweitung durch fehlende Autorisierungsprüfung
CVE-2026-39910 KritischDie STACKIT IaaS API enthält eine fehlende Autorisierungsprüfung, über die authentifizierte Angreifer mit geringen Rechten ihre Privilegien bis zur vollständigen Kompromittierung der Organisation ausweiten können. Laut Quelldaten geschieht dies durch das Anhängen beliebiger Ressourcen. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Weitere Details sind dem NVD-Eintrag zu entnehmen.
CVSS: 9.8 EPSS: 0.30% Publiziert: Referenz: NVD -
Roxy-WI: Unzureichende Berechtigungsprüfung im Endpunkt PUT /smon/check
CVE-2026-45550 KritischRoxy-WI ist eine Weboberfläche zur Verwaltung von HAProxy-, Nginx-, Apache- und Keepalived-Servern. In Version 8.2.6.4 und älter prüft der Endpunkt PUT /smon/check (app/routes/smon/routes.py:117-138) die Berechtigungen nur unzureichend, sodass angemeldete Benutzer mit geringen Rechten Aktionen ausserhalb ihres Zuständigkeitsbereichs auslösen können. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.
CVSS: 9.1 EPSS: 0.20% Publiziert: Referenz: NVD -
Pharmacy Point of Sale System v1.0 – SQL Injection
CVE-2026-26704 KritischIm sourcecodester Pharmacy Point of Sale System v1.0 besteht eine SQL-Injection-Schwachstelle in /pharmacy/view_category.php. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 9.8 EPSS: 0.05% Publiziert: Referenz: NVD -
SQL Injection in Pharmacy Point of Sale System (view_product.php)
CVE-2026-26705 KritischIm sourcecodester Pharmacy Point of Sale System v1.0 wurde eine SQL-Injection-Schwachstelle in der Datei /pharmacy/view_product.php entdeckt. Ein Angreifer kann dadurch Datenbankabfragen manipulieren. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 9.8 EPSS: 0.05% Publiziert: Referenz: NVD -
SQL Injection in Pharmacy Point of Sale System (manage_user.php)
CVE-2026-26708 KritischIm sourcecodester Pharmacy Point of Sale System v1.0 wurde eine SQL-Injection-Schwachstelle in der Datei /pharmacy/manage_user.php entdeckt. Ein Angreifer kann dadurch Datenbankabfragen manipulieren. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 9.8 EPSS: 0.05% Publiziert: Referenz: NVD -
SQL Injection in Pharmacy Point of Sale System (view_receipt.php)
CVE-2026-26706 KritischIm sourcecodester Pharmacy Point of Sale System v1.0 wurde eine SQL-Injection-Schwachstelle in der Datei /pharmacy/view_receipt.php entdeckt. Ein Angreifer kann dadurch Datenbankabfragen manipulieren. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 9.8 EPSS: 0.02% Publiziert: Referenz: NVD -
SQL Injection in Pharmacy Point of Sale System (view_supplier.php)
CVE-2026-26707 KritischIm sourcecodester Pharmacy Point of Sale System v1.0 wurde eine SQL-Injection-Schwachstelle in der Datei /pharmacy/view_supplier.php entdeckt. Ein Angreifer kann dadurch Datenbankabfragen manipulieren. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 9.8 EPSS: 0.02% Publiziert: Referenz: NVD -
Local File Inclusion in OpenSourcePOS 3.4.1 (Sales.php)
CVE-2026-26746 HochOpenSourcePOS 3.4.1 enthält eine Local File Inclusion (LFI)-Schwachstelle in der Funktion Sales.php::getInvoice(). Ein Angreifer kann durch Manipulation des Invoice-Type-Parameters beliebige Dateien auf dem Webserver auslesen. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.
CVSS: 8.8 EPSS: 0.34% Publiziert: Referenz: NVD -
Monsta FTP – Server-Side Request Forgery in fetchRemoteFile
CVE-2026-60105 HochMonsta FTP vor Version 2.14.5 enthält eine Server-Side-Request-Forgery-Schwachstelle in der Aktion fetchRemoteFile. Ursache ist eine unvollständige Prüfung der IP-Sperrliste in der Funktion isBlockedIP(), die bestimmte Adressen nicht erkennt. CVSS-Basiswert: 8.6 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Eine aktive Ausnutzung über CISA KEV ist nicht bekannt. Empfohlene Massnahme: Update auf Monsta FTP 2.14.5 oder neuer einspielen.
CVSS: 8.6 EPSS: 0.31% Publiziert: Referenz: NVD -
Linux-Kernel: Integer-Überlauf bei der AFBC-Framebuffer-Grössenprüfung (drm/komeda)
CVE-2026-53068 HochIm Linux-Kernel wurde eine Schwachstelle im Grafiktreiber drm/komeda behoben. Die Prüfung der AFBC-Framebuffer-Grösse berechnete die minimal erforderliche Grösse fehlerhaft, wodurch ein Integer-Überlauf auftreten konnte. CVSS-Basiswert: 7.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Eine aktive Ausnutzung (CISA KEV) oder ein Einsatz in Ransomware-Kampagnen sind nicht belegt. Empfohlene Massnahme: die vom jeweiligen Distributor bereitgestellten Kernel-Aktualisierungen einspielen.
CVSS: 7.1 EPSS: 0.12% Publiziert: Referenz: NVD -
OpenSourcePOS v3.4.1 – Remote Code Execution via AJAX
CVE-2025-70093 HochIn OpenSourcePOS v3.4.1 können Angreifer über eine manipulierte AJAX-Antwort beliebigen Code ausführen. CVSS-Basiswert: 7.4 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 7.4 EPSS: 0.09% Publiziert: Referenz: NVD -
Authentication Bypass in prefecthq/prefect 3.6.19
CVE-2026-3514 HochIn prefecthq/prefect Version 3.6.19 existiert eine Schwachstelle zur Umgehung der Authentifizierung, bedingt durch eine fehlerhafte Behandlung von URL-Pfad-Ausnahmen für Health-Check-Probes. Die Authentifizierungs-Middleware kann dadurch umgangen werden. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 7.5 EPSS: 0.08% Publiziert: Referenz: NVD -
WordPress SP Project & Document Manager: Fehlende Berechtigungsprüfung erlaubt unbefugten Zugriff
CVE-2026-10737 HochDas WordPress-Plugin SP Project & Document Manager ist bis einschliesslich Version 4.71 durch eine fehlende Berechtigungsprüfung in der view_file-Funktion für unbefugten Zugriff anfällig. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: Aktualisierung des Plugins auf eine Version neuer als 4.71.
CVSS: 7.5 EPSS: 0.07% Publiziert: Referenz: NVD -
Path Traversal in jupyter-server 2.17.0
CVE-2026-5422 HochIn jupyter-server Version 2.17.0 existiert eine Path-Traversal-Schwachstelle, bedingt durch eine fehlerhafte Prüfung der Root-Verzeichnisgrenze in der Funktion _get_os_path() innerhalb von jupyter_server/services/contents/fileio.py. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 8.1 EPSS: 0.05% Publiziert: Referenz: NVD -
WordPress-Plugin „Booking Package“: Privilegienerweiterung durch Account-Übernahme
CVE-2026-9851 HochDas WordPress-Plugin „Booking Package“ ist in Versionen bis einschliesslich 1.7.16 für Privilegienerweiterung durch Account-Übernahme anfällig, verursacht durch eine fehlende Berechtigungsprüfung in der Funktion updateUs…. Als betroffen ausgewiesen sind WordPress (Patchstack), WordPress (Wordfence), WordPress (WPScan) und Check Point. CVSS-Basiswert: 7.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: das Plugin auf eine korrigierte Version aktualisieren.
CVSS: 7.2 EPSS: 0.04% Publiziert: Referenz: NVD -
SQL Injection in Open Source Point of Sale (Items-Suche)
CVE-2026-32888 HochOpen Source Point of Sale enthält eine SQL-Injection-Schwachstelle in der Artikel-Suchfunktion. Bei Verwendung benutzerdefinierter Attribute können Datenbankabfragen manipuliert werden. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 8.8 EPSS: 0.03% Publiziert: Referenz: NVD -
student_management_system_by_php: Schwachstelle in add_user_check.php
CVE-2026-10227 HochIn raisulislamg4 student_management_system_by_php wurde eine Schwachstelle in einer unbekannten Funktion der Datei add_user_check.php gefunden, die über das Netzwerk ohne Authentifizierung ausgenutzt werden kann. CVSS-Basiswert: 7.3 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 7.3 EPSS: 0.03% Publiziert: Referenz: NVD -
Android InputMethodManagerService – fehlende Berechtigungsprüfung
CVE-2026-0072 HochIn der Methode addInputMethodListener des Android InputMethodManagerService fehlt eine Berechtigungsprüfung. Dies kann lokalen Angreifern eine Rechteausweitung ermöglichen, ohne dass zusätzliche Ausführungsrechte erforderlich sind. CVSS-Basiswert: 7.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: die im Android Security Bulletin bereitgestellten Updates einspielen.
CVSS: 7.8 EPSS: 0.03% Publiziert: Referenz: NVD -
Java/OpenJDK – Installation nicht verifizierter Apps durch fehlende Berechtigungsprüfung (PackageInstallerService)
CVE-2026-0089 HochIn mehreren Funktionen von PackageInstallerService.java ermöglicht eine fehlende Berechtigungsprüfung die Installation nicht verifizierter Apps. Dies kann zu einer lokalen Rechteausweitung führen. CVSS-Basiswert: 7.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 7.8 EPSS: 0.01% Publiziert: Referenz: NVD -
haveged – Fehlerhafte Berechtigungsprüfung am abstrakten UNIX-Socket
CVE-2026-41054 HochIn src/havegecmd.c führt die Funktion socket_handler eine Berechtigungsprüfung am abstrakten UNIX-Socket durch. Zwar erkennt sie, wenn der verbindende Benutzer nicht root ist, die Prüfung ist jedoch fehlerhaft. CVSS-Basiswert: 7.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 7.8 EPSS: 0.00% Publiziert: Referenz: NVD -
Windows Secure Boot: Umgehung einer Sicherheitsfunktion
CVE-2026-49783 HochEine unzureichend implementierte Sicherheitsprüfung in Windows Secure Boot erlaubt einem berechtigten Angreifer, lokal eine Sicherheitsfunktion zu umgehen. CVSS-Basiswert: 7.8 (Hoch). Eine aktive Ausnutzung über CISA KEV oder ein Einsatz in Ransomware-Kampagnen ist nicht belegt. Empfohlene Massnahme: die von Microsoft bereitgestellten Sicherheitsupdates einspielen.
CVSS: 7.8 Publiziert: Referenz: NVD -
Apache Log4j API: Ungültiges JSON durch nicht-finite Gleitkommawerte in MapMessage
CVE-2026-49844 MittelEine fehlerhafte Kodierung nicht-finiter Gleitkommawerte bei der JSON-Serialisierung von MapMessage in der Apache Log4j API erzeugt Ausgaben, die kein gültiges JSON sind. Betroffen sind Versionen der Apache Log4j API ab 2.13. Ein CVSS-Wert liegt in den Quelldaten nicht vor. Ausnutzungswahrscheinlichkeit (EPSS): 0.8 %. Eine aktive Ausnutzung über CISA KEV oder ein Ransomware-Bezug ist nicht bekannt. Empfohlene Massnahme: verfügbare Aktualisierungen der Apache Log4j API einspielen.
EPSS: 0.78% Publiziert: Referenz: NVD -
Off-by-One-Fehler in GnuTLS PKCS#12 Bag-Element-Prüfung
CVE-2026-42015 MittelIn GnuTLS wurde ein Off-by-One-Fehler in der Bereichsprüfung von PKCS#12-Bag-Elementen entdeckt. Ein entfernter Angreifer kann damit über das interne Array eines PKCS#12-Bags hinausschreiben. CVSS-Basiswert: 5.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.7 %. Empfohlene Massnahme: Sicherheitsupdates gemäss Ubuntu-Hinweis USN-8539-1 einspielen.
CVSS: 5.3 EPSS: 0.73% Publiziert: Referenz: NVD -
FoundationAgents MetaGPT: Befehls-Manipulation in check_cmd_exists
CVE-2026-11455 MittelIn FoundationAgents MetaGPT bis Version 0.8.2 wurde eine Schwachstelle in der Funktion check_cmd_exists der Datei metagpt/utils/common.py festgestellt, bei der sich das übergebene Argument manipulieren lässt. CVSS-Basiswert: 5.0 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.6 %. Empfohlene Massnahme: auf eine fehlerbereinigte Version nach 0.8.2 aktualisieren.
CVSS: 5.0 EPSS: 0.64% Publiziert: Referenz: NVD -
WP Hotel Booking (WordPress): Reflected Cross-Site Scripting
CVE-2026-11392 MittelDas Plugin WP Hotel Booking für WordPress ist in allen Versionen bis einschliesslich 2.3.1 für Reflected Cross-Site Scripting anfällig. Ursache ist eine unzureichende Bereinigung der Parameter check_in_date und check_out_date. CVSS-Basiswert: 6.1 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: das Plugin auf eine bereinigte Version aktualisieren, sobald verfügbar.
CVSS: 6.1 EPSS: 0.25% Publiziert: Referenz: NVD -
Eclipse KUKSA Databroker – fehlende Validierung im gRPC-Handler PublishValue
CVE-2026-13699 MittelIn Eclipse KUKSA Databroker Version 0.6.1 prüft der gRPC-Handler kuksa.val.v2.VAL/PublishValue das optionale Feld data_point im PublishValueRequest nicht auf sein Vorhandensein. Eine entsprechend präparierte Anfrage kann die Verfügbarkeit beeinträchtigen. CVSS-Basiswert: 4.3 (Mittel).
CVSS: 4.3 EPSS: 0.22% Publiziert: Referenz: NVD -
WordPress GW AI Website Builder – unbefugte Datenänderung durch fehlende Berechtigungsprüfung
CVE-2026-1946 MittelDas WordPress-Plugin GW AI Website Builder ist für eine unbefugte Datenänderung anfällig, weil in der Funktion gwaiwebu_gravitywrite_disconnect_handler() eine Berechtigungsprüfung fehlt. Angreifer können dies in allen betroffenen Versionen ausnutzen. Der CVSS-Basiswert liegt bei 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.
CVSS: 4.3 EPSS: 0.22% Publiziert: Referenz: NVD -
Capgo: Informationsoffenlegung über unauthentifizierten SSO-Endpunkt
CVE-2026-56336 MittelCapgo vor Version 12.128.2 enthält eine Schwachstelle zur Informationsoffenlegung im unauthentifizierten Endpunkt /private/sso/check-domain, der interne Werte für org_id und provider_id zurückgibt. Angreifer können diese Werte aufzählen und für weitere Angriffe verwenden. CVSS-Basiswert: 5.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: auf Capgo Version 12.128.2 oder höher aktualisieren.
CVSS: 5.3 EPSS: 0.21% Publiziert: Referenz: NVD -
OpenClaw: Umgehung der Installationsrichtlinie in den Plugin-Install-Wrappern
CVE-2026-62193 MittelOpenClaw enthält in den Versionen 2026.6.5 vor 2026.6.9 eine Schwachstelle in den Plugin-Install-Wrappern, die die Installationsrichtlinie (Autorisierungsprüfung) überspringen kann. Voraussetzung ist, dass die betroffene Funktion aktiviert ist. CVSS-Basiswert: 4.9 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: auf OpenClaw 2026.6.9 oder neuer aktualisieren.
CVSS: 4.9 EPSS: 0.20% Publiziert: Referenz: NVD -
Eclipse Jetty: Request-Authority stimmt nicht mit Host-Header überein
CVE-2026-6790 MittelIn Eclipse Jetty wird bei HTTP/1-, HTTP/2- und HTTP/3-Anfragen nicht strikt geprüft, ob die Request-Authority (Host und Port) mit dem angegebenen Host-Header übereinstimmt. Dadurch kann die Zuordnung von Anfragen an den vorgesehenen Host unterlaufen werden. CVSS-Basiswert: 5.3 (Mittel).
CVSS: 5.3 EPSS: 0.20% Publiziert: Referenz: NVD -
Rejetto HFS CSRF-Schutz-Umgehung
CVE-2026-61502 MittelRejetto HFS in den Versionen 3.0.0 bis 3.2.0 akzeptiert zustandsändernde API-Anfragen über die GET-Methode und nimmt GET-Anfragen von der Anti-CSRF-Header-Prüfung aus. Ein entfernter Angreifer kann dadurch administrative Aktionen ausführen. CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: Updates des Herstellers beobachten und nach Verfügbarkeit einspielen.
CVSS: 4.3 EPSS: 0.18% Publiziert: Referenz: NVD -
Linux-Kernel – fehlende Typprüfung im qdsp6-Topology-Code (ASoC)
CVE-2026-53052 MittelIm Linux-Kernel wurde ein Fehler im ASoC-qcom-qdsp6-Topology-Code behoben. Vor dem Zugriff auf die privaten Daten eines Widgets wurde dessen Typ nicht geprüft. Ein CVSS-Basiswert liegt in den Quelldaten nicht vor. Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: das bereitgestellte Kernel-Update der Distribution einspielen.
EPSS: 0.17% Publiziert: Referenz: NVD -
Linux-Kernel: NULL-Dereferenzierung im WLAN-Treiber mt76/mt7925
CVE-2026-53105 MittelIm Linux-Kernel wurde eine Schwachstelle im WLAN-Treiber mt76/mt7925 behoben: In mt7925_mac_write_txwi kann es zu einer NULL-Dereferenzierung von vif kommen. Ein CVSS-Basiswert liegt in den Quelldaten nicht vor. Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: die Kernel-Aktualisierung der jeweiligen Distribution einspielen.
EPSS: 0.17% Publiziert: Referenz: NVD
Diesem Produkt-Feed folgen
Eigener RSS-Feed nur für Check Point, kostenlos und ohne Anmeldung. Zustellung per E-Mail, Webhook, REST oder TAXII richten wir auf Anfrage ein.
RSS-Feed öffnen Zustellung anfragenWie folge ich dem Feed?
- 1 RSS-Feed-Link kopieren oder direkt im RSS-Reader öffnen.
- 2 Priorisierte Reports (KEV · EPSS · CVSS) landen automatisch in Ihrem Reader.
- 3 Zustellung per E-Mail, Webhook, REST oder TAXII auf Anfrage einrichten lassen.