1.1 Aktiv ausgenutzte Lücken
Netzwerk, Firewall, Security-Appliances

Check Point

Netzwerk, Firewall, Security-Appliances

Check Point gehört zur Kategorie „Netzwerk, Firewall, Security-Appliances". xonatec überwacht Check Point kontinuierlich auf neue Sicherheitslücken, priorisiert jede Meldung nach aktiver Ausnutzung (KEV), Ausnutzungswahrscheinlichkeit (EPSS) und Schweregrad (CVSS) Im zugeschnittenen Bericht erhalten Sie ausschliesslich die Meldungen, die dieses Produkt betreffen.

70
Reports
9
Aktiv ausgenutzt
Kritisch
Höchste Priorität
94.3%
Max. EPSS

Schwachstellen-Reports

70 Reports

Zeige 1 bis 50 von 70

  1. Check Point Quantum Security Gateways – Information Disclosure

    CVE-2024-24919 Aktiv ausgenutzt Ransomware

    In Check Point Quantum Security Gateways besteht eine Schwachstelle zur Offenlegung von Informationen. Wird laut CISA KEV aktiv ausgenutzt. Bekannter Einsatz in Ransomware-Kampagnen. Ausnutzungswahrscheinlichkeit (EPSS): 94.3 %.

    EPSS: 94.34% Publiziert: Referenz: CISA KEV
  2. NETGEAR Multiple WAP Devices – Command Injection

    CVE-2016-1555 Aktiv ausgenutzt

    In mehreren NETGEAR WAP-Geräten wurde eine Command-Injection-Schwachstelle identifiziert. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 94.3 %.

    EPSS: 94.33% Publiziert: Referenz: CISA KEV
  3. D-Link DWL-2600AP – Command Injection Vulnerability

    CVE-2019-20500 Aktiv ausgenutzt

    Im D-Link DWL-2600AP Access Point besteht eine Command-Injection-Schwachstelle. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 89.9 %.

    EPSS: 89.89% Publiziert: Referenz: CISA KEV
  4. D-Link DNR-322L – Download of Code Without Integrity Check

    CVE-2022-40799 Aktiv ausgenutzt

    Im D-Link DNR-322L besteht eine Schwachstelle, bei der Code ohne Integritätsprüfung heruntergeladen werden kann. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 53.9 %.

    EPSS: 53.89% Publiziert: Referenz: CISA KEV
  5. Oracle Java SE – Integrity Check Vulnerability

    CVE-2015-4902 Aktiv ausgenutzt

    In Oracle Java SE wurde eine Schwachstelle bei der Integritätsprüfung gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 18.3 %.

    EPSS: 18.25% Publiziert: Referenz: CISA KEV
  6. Notepad++ – Download of Code Without Integrity Check

    CVE-2025-15556 Aktiv ausgenutzt

    In Notepad++ besteht eine Schwachstelle, bei der Code ohne Integritätsprüfung heruntergeladen werden kann. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 9.1 %.

    EPSS: 9.12% Publiziert: Referenz: CISA KEV
  7. TrueConf Client – Download ohne Integritätsprüfung

    CVE-2026-3502 Aktiv ausgenutzt

    Im TrueConf Client besteht eine Schwachstelle, bei der Code ohne Integritätsprüfung heruntergeladen und ausgeführt werden kann. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 3.3 %.

    EPSS: 3.27% Publiziert: Referenz: CISA KEV
  8. Samsung Mobile Devices – Improper Boundary Check

    CVE-2021-25372 Aktiv ausgenutzt

    In Samsung Mobile Devices besteht eine Schwachstelle durch eine fehlerhafte Grenzprüfung. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 1.8 %.

    EPSS: 1.76% Publiziert: Referenz: CISA KEV
  9. Linux Kernel – TOCTOU Race Condition

    CVE-2025-38352 Aktiv ausgenutzt

    Im Linux-Kernel wurde eine Time-of-Check Time-of-Use (TOCTOU) Race-Condition-Schwachstelle gemeldet, die Amazon Linux, Oracle Linux, Rocky Linux sowie Check Point betrifft. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    EPSS: 0.14% Publiziert: Referenz: CISA KEV
  10. WordPress-Plugin Invoice Generator: Rechteausweitung über ungeschützte AJAX-Aktion

    CVE-2026-12415 Kritisch

    Das WordPress-Plugin Invoice Generator ist anfällig für eine Rechteausweitung, weil die AJAX-Aktion pravel_invoice_edit_account() keine Berechtigungsprüfung durchführt. Nicht ausreichend berechtigte Aufrufer können die Aktion dadurch auslösen. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.7 %. Empfohlene Massnahme: das Plugin auf die vom Hersteller bereitgestellte fehlerbereinigte Version aktualisieren.

    CVSS: 9.8 EPSS: 0.66% Publiziert: Referenz: NVD
  11. Linux-Kernel: Fehlerhafte dll_change-Prüfung in tegra124-emc

    CVE-2026-53045 Kritisch

    Im Linux-Kernel wurde eine fehlerhafte Prüfung im Speichertreiber tegra124-emc behoben. Der Code, der prüft, ob das angegebene Speicher-Timing die DLL im EMRS-Register aktiviert, arbeitete nicht korrekt. CVSS-Basiswert: 9.8 (Kritisch); der Vektor weist auf einen Angriff über das Netzwerk ohne Authentifizierung und ohne Benutzerinteraktion hin. Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: die vom Distributor bereitgestellten Kernel-Updates einspielen.

    CVSS: 9.8 EPSS: 0.52% Publiziert: Referenz: NVD
  12. WordPress-Plugin „Schema & Structured Data for WP & AMP": Ungeprüfter Datei-Upload

    CVE-2026-9067 Kritisch

    Das WordPress-Plugin „Schema & Structured Data for WP & AMP" prüft vor Version 1.60 in seinen Frontend-AJAX-Handlern für Datei-Uploads keine Benutzerberechtigungen und validiert den tatsächlichen Inhalt hochgeladener Dateien nicht. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: Aktualisierung auf Plugin-Version 1.60.

    CVSS: 9.1 EPSS: 0.43% Publiziert: Referenz: NVD
  13. Coolify: Terminal-WebSocket-Routen prüfen nur Authentifizierung, keine Autorisierung

    CVE-2026-34048 Kritisch

    Coolify ist ein quelloffenes, selbst hostbares Werkzeug zur Verwaltung von Servern, Anwendungen und Datenbanken. In Versionen vor 4.0.0-beta.471 prüfen die Bootstrap-Routen des Terminal-WebSockets lediglich die Authentifizierung, nicht aber die Berechtigung des Aufrufers. CVSS-Basiswert: 9.9 (Kritisch) bei netzbasiertem Angriffsvektor mit nur geringen Rechten und ohne Nutzerinteraktion. Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: auf 4.0.0-beta.471 oder neuer aktualisieren.

    CVSS: 9.9 EPSS: 0.40% Publiziert: Referenz: NVD
  14. Samba – Fehlkonfiguration beim „check password script”

    CVE-2026-4408 Kritisch

    In Samba wurde eine Schwachstelle entdeckt, die durch eine Fehlkonfiguration der Funktion „check password script” in Dateiservern und klassischen Domänen-Controllern entsteht. Ein entfernter Angreifer kann diese Fehlkonfiguration ausnutzen, sofern das Skript entsprechend eingerichtet ist. CVSS-Basiswert: 9.0 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.

    CVSS: 9.0 EPSS: 0.39% Publiziert: Referenz: NVD
  15. Perl-Modul Socket: Out-of-Bounds-Heap-Read in pack_ip_mreq_source()

    CVE-2026-12087 Kritisch

    Das Perl-Modul Socket enthält in Versionen vor 2.041 einen Out-of-Bounds-Heap-Read. In Socket.xs prüft pack_ip_mreq_source() die Länge des Quell-Arguments, bevor dieses eingelesen wird, sodass die Prüfung ins Leere läuft. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: Auf Socket 2.041 oder neuer aktualisieren.

    CVSS: 9.1 EPSS: 0.39% Publiziert: Referenz: NVD
  16. vm2 (Node.js-Sandbox): Unvollständiger Fix für GHSA-8hg8-63c5-gwmx umgehbar

    CVE-2026-47137 Kritisch

    vm2 ist eine quelloffene VM/Sandbox für Node.js. In Versionen vor 3.11.4 lässt sich die mit dem Fix für GHSA-8hg8-63c5-gwmx (CVE-2023-37903) in nodevm.js eingeführte Prüfung umgehen, die eine bestimmte Nesting-Kombination blockieren sollte. CVSS-Basiswert: 10 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: Auf vm2 3.11.4 oder neuer aktualisieren.

    CVSS: 10.0 EPSS: 0.38% Publiziert: Referenz: NVD
  17. Gitea: OAuth2-PKCE-Verfahren wird nicht korrekt durchgesetzt

    CVE-2026-26247 Kritisch

    Gitea-Versionen vor 1.25.5 speichern die OAuth2-PKCE-Challenge-Methode S256 während der Autorisierung nicht korrekt. Dadurch ist ein Token-Austausch möglich, ohne dass der erwartete Verifier geprüft wird. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: auf Gitea 1.25.5 oder neuer aktualisieren.

    CVSS: 9.1 EPSS: 0.38% Publiziert: Referenz: NVD
  18. STACKIT IaaS API: Privilegienausweitung durch fehlende Autorisierungsprüfung

    CVE-2026-39910 Kritisch

    Die STACKIT IaaS API enthält eine fehlende Autorisierungsprüfung, über die authentifizierte Angreifer mit geringen Rechten ihre Privilegien bis zur vollständigen Kompromittierung der Organisation ausweiten können. Laut Quelldaten geschieht dies durch das Anhängen beliebiger Ressourcen. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Weitere Details sind dem NVD-Eintrag zu entnehmen.

    CVSS: 9.8 EPSS: 0.30% Publiziert: Referenz: NVD
  19. Roxy-WI: Unzureichende Berechtigungsprüfung im Endpunkt PUT /smon/check

    CVE-2026-45550 Kritisch

    Roxy-WI ist eine Weboberfläche zur Verwaltung von HAProxy-, Nginx-, Apache- und Keepalived-Servern. In Version 8.2.6.4 und älter prüft der Endpunkt PUT /smon/check (app/routes/smon/routes.py:117-138) die Berechtigungen nur unzureichend, sodass angemeldete Benutzer mit geringen Rechten Aktionen ausserhalb ihres Zuständigkeitsbereichs auslösen können. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.

    CVSS: 9.1 EPSS: 0.20% Publiziert: Referenz: NVD
  20. Pharmacy Point of Sale System v1.0 – SQL Injection

    CVE-2026-26704 Kritisch

    Im sourcecodester Pharmacy Point of Sale System v1.0 besteht eine SQL-Injection-Schwachstelle in /pharmacy/view_category.php. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 9.8 EPSS: 0.05% Publiziert: Referenz: NVD
  21. SQL Injection in Pharmacy Point of Sale System (view_product.php)

    CVE-2026-26705 Kritisch

    Im sourcecodester Pharmacy Point of Sale System v1.0 wurde eine SQL-Injection-Schwachstelle in der Datei /pharmacy/view_product.php entdeckt. Ein Angreifer kann dadurch Datenbankabfragen manipulieren. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 9.8 EPSS: 0.05% Publiziert: Referenz: NVD
  22. SQL Injection in Pharmacy Point of Sale System (manage_user.php)

    CVE-2026-26708 Kritisch

    Im sourcecodester Pharmacy Point of Sale System v1.0 wurde eine SQL-Injection-Schwachstelle in der Datei /pharmacy/manage_user.php entdeckt. Ein Angreifer kann dadurch Datenbankabfragen manipulieren. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 9.8 EPSS: 0.05% Publiziert: Referenz: NVD
  23. SQL Injection in Pharmacy Point of Sale System (view_receipt.php)

    CVE-2026-26706 Kritisch

    Im sourcecodester Pharmacy Point of Sale System v1.0 wurde eine SQL-Injection-Schwachstelle in der Datei /pharmacy/view_receipt.php entdeckt. Ein Angreifer kann dadurch Datenbankabfragen manipulieren. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 9.8 EPSS: 0.02% Publiziert: Referenz: NVD
  24. SQL Injection in Pharmacy Point of Sale System (view_supplier.php)

    CVE-2026-26707 Kritisch

    Im sourcecodester Pharmacy Point of Sale System v1.0 wurde eine SQL-Injection-Schwachstelle in der Datei /pharmacy/view_supplier.php entdeckt. Ein Angreifer kann dadurch Datenbankabfragen manipulieren. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 9.8 EPSS: 0.02% Publiziert: Referenz: NVD
  25. Local File Inclusion in OpenSourcePOS 3.4.1 (Sales.php)

    CVE-2026-26746 Hoch

    OpenSourcePOS 3.4.1 enthält eine Local File Inclusion (LFI)-Schwachstelle in der Funktion Sales.php::getInvoice(). Ein Angreifer kann durch Manipulation des Invoice-Type-Parameters beliebige Dateien auf dem Webserver auslesen. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.

    CVSS: 8.8 EPSS: 0.34% Publiziert: Referenz: NVD
  26. Monsta FTP – Server-Side Request Forgery in fetchRemoteFile

    CVE-2026-60105 Hoch

    Monsta FTP vor Version 2.14.5 enthält eine Server-Side-Request-Forgery-Schwachstelle in der Aktion fetchRemoteFile. Ursache ist eine unvollständige Prüfung der IP-Sperrliste in der Funktion isBlockedIP(), die bestimmte Adressen nicht erkennt. CVSS-Basiswert: 8.6 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Eine aktive Ausnutzung über CISA KEV ist nicht bekannt. Empfohlene Massnahme: Update auf Monsta FTP 2.14.5 oder neuer einspielen.

    CVSS: 8.6 EPSS: 0.31% Publiziert: Referenz: NVD
  27. Linux-Kernel: Integer-Überlauf bei der AFBC-Framebuffer-Grössenprüfung (drm/komeda)

    CVE-2026-53068 Hoch

    Im Linux-Kernel wurde eine Schwachstelle im Grafiktreiber drm/komeda behoben. Die Prüfung der AFBC-Framebuffer-Grösse berechnete die minimal erforderliche Grösse fehlerhaft, wodurch ein Integer-Überlauf auftreten konnte. CVSS-Basiswert: 7.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Eine aktive Ausnutzung (CISA KEV) oder ein Einsatz in Ransomware-Kampagnen sind nicht belegt. Empfohlene Massnahme: die vom jeweiligen Distributor bereitgestellten Kernel-Aktualisierungen einspielen.

    CVSS: 7.1 EPSS: 0.12% Publiziert: Referenz: NVD
  28. OpenSourcePOS v3.4.1 – Remote Code Execution via AJAX

    CVE-2025-70093 Hoch

    In OpenSourcePOS v3.4.1 können Angreifer über eine manipulierte AJAX-Antwort beliebigen Code ausführen. CVSS-Basiswert: 7.4 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 7.4 EPSS: 0.09% Publiziert: Referenz: NVD
  29. Authentication Bypass in prefecthq/prefect 3.6.19

    CVE-2026-3514 Hoch

    In prefecthq/prefect Version 3.6.19 existiert eine Schwachstelle zur Umgehung der Authentifizierung, bedingt durch eine fehlerhafte Behandlung von URL-Pfad-Ausnahmen für Health-Check-Probes. Die Authentifizierungs-Middleware kann dadurch umgangen werden. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 7.5 EPSS: 0.08% Publiziert: Referenz: NVD
  30. WordPress SP Project & Document Manager: Fehlende Berechtigungsprüfung erlaubt unbefugten Zugriff

    CVE-2026-10737 Hoch

    Das WordPress-Plugin SP Project & Document Manager ist bis einschliesslich Version 4.71 durch eine fehlende Berechtigungsprüfung in der view_file-Funktion für unbefugten Zugriff anfällig. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: Aktualisierung des Plugins auf eine Version neuer als 4.71.

    CVSS: 7.5 EPSS: 0.07% Publiziert: Referenz: NVD
  31. Path Traversal in jupyter-server 2.17.0

    CVE-2026-5422 Hoch

    In jupyter-server Version 2.17.0 existiert eine Path-Traversal-Schwachstelle, bedingt durch eine fehlerhafte Prüfung der Root-Verzeichnisgrenze in der Funktion _get_os_path() innerhalb von jupyter_server/services/contents/fileio.py. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 8.1 EPSS: 0.05% Publiziert: Referenz: NVD
  32. WordPress-Plugin „Booking Package“: Privilegienerweiterung durch Account-Übernahme

    CVE-2026-9851 Hoch

    Das WordPress-Plugin „Booking Package“ ist in Versionen bis einschliesslich 1.7.16 für Privilegienerweiterung durch Account-Übernahme anfällig, verursacht durch eine fehlende Berechtigungsprüfung in der Funktion updateUs…. Als betroffen ausgewiesen sind WordPress (Patchstack), WordPress (Wordfence), WordPress (WPScan) und Check Point. CVSS-Basiswert: 7.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: das Plugin auf eine korrigierte Version aktualisieren.

    CVSS: 7.2 EPSS: 0.04% Publiziert: Referenz: NVD
  33. SQL Injection in Open Source Point of Sale (Items-Suche)

    CVE-2026-32888 Hoch

    Open Source Point of Sale enthält eine SQL-Injection-Schwachstelle in der Artikel-Suchfunktion. Bei Verwendung benutzerdefinierter Attribute können Datenbankabfragen manipuliert werden. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 8.8 EPSS: 0.03% Publiziert: Referenz: NVD
  34. student_management_system_by_php: Schwachstelle in add_user_check.php

    CVE-2026-10227 Hoch

    In raisulislamg4 student_management_system_by_php wurde eine Schwachstelle in einer unbekannten Funktion der Datei add_user_check.php gefunden, die über das Netzwerk ohne Authentifizierung ausgenutzt werden kann. CVSS-Basiswert: 7.3 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 7.3 EPSS: 0.03% Publiziert: Referenz: NVD
  35. Android InputMethodManagerService – fehlende Berechtigungsprüfung

    CVE-2026-0072 Hoch

    In der Methode addInputMethodListener des Android InputMethodManagerService fehlt eine Berechtigungsprüfung. Dies kann lokalen Angreifern eine Rechteausweitung ermöglichen, ohne dass zusätzliche Ausführungsrechte erforderlich sind. CVSS-Basiswert: 7.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: die im Android Security Bulletin bereitgestellten Updates einspielen.

    CVSS: 7.8 EPSS: 0.03% Publiziert: Referenz: NVD
  36. Java/OpenJDK – Installation nicht verifizierter Apps durch fehlende Berechtigungsprüfung (PackageInstallerService)

    CVE-2026-0089 Hoch

    In mehreren Funktionen von PackageInstallerService.java ermöglicht eine fehlende Berechtigungsprüfung die Installation nicht verifizierter Apps. Dies kann zu einer lokalen Rechteausweitung führen. CVSS-Basiswert: 7.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 7.8 EPSS: 0.01% Publiziert: Referenz: NVD
  37. haveged – Fehlerhafte Berechtigungsprüfung am abstrakten UNIX-Socket

    CVE-2026-41054 Hoch

    In src/havegecmd.c führt die Funktion socket_handler eine Berechtigungsprüfung am abstrakten UNIX-Socket durch. Zwar erkennt sie, wenn der verbindende Benutzer nicht root ist, die Prüfung ist jedoch fehlerhaft. CVSS-Basiswert: 7.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 7.8 EPSS: 0.00% Publiziert: Referenz: NVD
  38. Windows Secure Boot: Umgehung einer Sicherheitsfunktion

    CVE-2026-49783 Hoch

    Eine unzureichend implementierte Sicherheitsprüfung in Windows Secure Boot erlaubt einem berechtigten Angreifer, lokal eine Sicherheitsfunktion zu umgehen. CVSS-Basiswert: 7.8 (Hoch). Eine aktive Ausnutzung über CISA KEV oder ein Einsatz in Ransomware-Kampagnen ist nicht belegt. Empfohlene Massnahme: die von Microsoft bereitgestellten Sicherheitsupdates einspielen.

    CVSS: 7.8 Publiziert: Referenz: NVD
  39. Apache Log4j API: Ungültiges JSON durch nicht-finite Gleitkommawerte in MapMessage

    CVE-2026-49844 Mittel

    Eine fehlerhafte Kodierung nicht-finiter Gleitkommawerte bei der JSON-Serialisierung von MapMessage in der Apache Log4j API erzeugt Ausgaben, die kein gültiges JSON sind. Betroffen sind Versionen der Apache Log4j API ab 2.13. Ein CVSS-Wert liegt in den Quelldaten nicht vor. Ausnutzungswahrscheinlichkeit (EPSS): 0.8 %. Eine aktive Ausnutzung über CISA KEV oder ein Ransomware-Bezug ist nicht bekannt. Empfohlene Massnahme: verfügbare Aktualisierungen der Apache Log4j API einspielen.

    EPSS: 0.78% Publiziert: Referenz: NVD
  40. Off-by-One-Fehler in GnuTLS PKCS#12 Bag-Element-Prüfung

    CVE-2026-42015 Mittel

    In GnuTLS wurde ein Off-by-One-Fehler in der Bereichsprüfung von PKCS#12-Bag-Elementen entdeckt. Ein entfernter Angreifer kann damit über das interne Array eines PKCS#12-Bags hinausschreiben. CVSS-Basiswert: 5.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.7 %. Empfohlene Massnahme: Sicherheitsupdates gemäss Ubuntu-Hinweis USN-8539-1 einspielen.

    CVSS: 5.3 EPSS: 0.73% Publiziert: Referenz: NVD
  41. FoundationAgents MetaGPT: Befehls-Manipulation in check_cmd_exists

    CVE-2026-11455 Mittel

    In FoundationAgents MetaGPT bis Version 0.8.2 wurde eine Schwachstelle in der Funktion check_cmd_exists der Datei metagpt/utils/common.py festgestellt, bei der sich das übergebene Argument manipulieren lässt. CVSS-Basiswert: 5.0 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.6 %. Empfohlene Massnahme: auf eine fehlerbereinigte Version nach 0.8.2 aktualisieren.

    CVSS: 5.0 EPSS: 0.64% Publiziert: Referenz: NVD
  42. WP Hotel Booking (WordPress): Reflected Cross-Site Scripting

    CVE-2026-11392 Mittel

    Das Plugin WP Hotel Booking für WordPress ist in allen Versionen bis einschliesslich 2.3.1 für Reflected Cross-Site Scripting anfällig. Ursache ist eine unzureichende Bereinigung der Parameter check_in_date und check_out_date. CVSS-Basiswert: 6.1 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: das Plugin auf eine bereinigte Version aktualisieren, sobald verfügbar.

    CVSS: 6.1 EPSS: 0.25% Publiziert: Referenz: NVD
  43. Eclipse KUKSA Databroker – fehlende Validierung im gRPC-Handler PublishValue

    CVE-2026-13699 Mittel

    In Eclipse KUKSA Databroker Version 0.6.1 prüft der gRPC-Handler kuksa.val.v2.VAL/PublishValue das optionale Feld data_point im PublishValueRequest nicht auf sein Vorhandensein. Eine entsprechend präparierte Anfrage kann die Verfügbarkeit beeinträchtigen. CVSS-Basiswert: 4.3 (Mittel).

    CVSS: 4.3 EPSS: 0.22% Publiziert: Referenz: NVD
  44. WordPress GW AI Website Builder – unbefugte Datenänderung durch fehlende Berechtigungsprüfung

    CVE-2026-1946 Mittel

    Das WordPress-Plugin GW AI Website Builder ist für eine unbefugte Datenänderung anfällig, weil in der Funktion gwaiwebu_gravitywrite_disconnect_handler() eine Berechtigungsprüfung fehlt. Angreifer können dies in allen betroffenen Versionen ausnutzen. Der CVSS-Basiswert liegt bei 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.

    CVSS: 4.3 EPSS: 0.22% Publiziert: Referenz: NVD
  45. Capgo: Informationsoffenlegung über unauthentifizierten SSO-Endpunkt

    CVE-2026-56336 Mittel

    Capgo vor Version 12.128.2 enthält eine Schwachstelle zur Informationsoffenlegung im unauthentifizierten Endpunkt /private/sso/check-domain, der interne Werte für org_id und provider_id zurückgibt. Angreifer können diese Werte aufzählen und für weitere Angriffe verwenden. CVSS-Basiswert: 5.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: auf Capgo Version 12.128.2 oder höher aktualisieren.

    CVSS: 5.3 EPSS: 0.21% Publiziert: Referenz: NVD
  46. OpenClaw: Umgehung der Installationsrichtlinie in den Plugin-Install-Wrappern

    CVE-2026-62193 Mittel

    OpenClaw enthält in den Versionen 2026.6.5 vor 2026.6.9 eine Schwachstelle in den Plugin-Install-Wrappern, die die Installationsrichtlinie (Autorisierungsprüfung) überspringen kann. Voraussetzung ist, dass die betroffene Funktion aktiviert ist. CVSS-Basiswert: 4.9 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: auf OpenClaw 2026.6.9 oder neuer aktualisieren.

    CVSS: 4.9 EPSS: 0.20% Publiziert: Referenz: NVD
  47. Eclipse Jetty: Request-Authority stimmt nicht mit Host-Header überein

    CVE-2026-6790 Mittel

    In Eclipse Jetty wird bei HTTP/1-, HTTP/2- und HTTP/3-Anfragen nicht strikt geprüft, ob die Request-Authority (Host und Port) mit dem angegebenen Host-Header übereinstimmt. Dadurch kann die Zuordnung von Anfragen an den vorgesehenen Host unterlaufen werden. CVSS-Basiswert: 5.3 (Mittel).

    CVSS: 5.3 EPSS: 0.20% Publiziert: Referenz: NVD
  48. Rejetto HFS CSRF-Schutz-Umgehung

    CVE-2026-61502 Mittel

    Rejetto HFS in den Versionen 3.0.0 bis 3.2.0 akzeptiert zustandsändernde API-Anfragen über die GET-Methode und nimmt GET-Anfragen von der Anti-CSRF-Header-Prüfung aus. Ein entfernter Angreifer kann dadurch administrative Aktionen ausführen. CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: Updates des Herstellers beobachten und nach Verfügbarkeit einspielen.

    CVSS: 4.3 EPSS: 0.18% Publiziert: Referenz: NVD
  49. Linux-Kernel – fehlende Typprüfung im qdsp6-Topology-Code (ASoC)

    CVE-2026-53052 Mittel

    Im Linux-Kernel wurde ein Fehler im ASoC-qcom-qdsp6-Topology-Code behoben. Vor dem Zugriff auf die privaten Daten eines Widgets wurde dessen Typ nicht geprüft. Ein CVSS-Basiswert liegt in den Quelldaten nicht vor. Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: das bereitgestellte Kernel-Update der Distribution einspielen.

    EPSS: 0.17% Publiziert: Referenz: NVD
  50. Linux-Kernel: NULL-Dereferenzierung im WLAN-Treiber mt76/mt7925

    CVE-2026-53105 Mittel

    Im Linux-Kernel wurde eine Schwachstelle im WLAN-Treiber mt76/mt7925 behoben: In mt7925_mac_write_txwi kann es zu einer NULL-Dereferenzierung von vif kommen. Ein CVSS-Basiswert liegt in den Quelldaten nicht vor. Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: die Kernel-Aktualisierung der jeweiligen Distribution einspielen.

    EPSS: 0.17% Publiziert: Referenz: NVD

Diesem Produkt-Feed folgen

Eigener RSS-Feed nur für Check Point, kostenlos und ohne Anmeldung. Zustellung per E-Mail, Webhook, REST oder TAXII richten wir auf Anfrage ein.

RSS-Feed öffnen Zustellung anfragen

Wie folge ich dem Feed?

  • 1 RSS-Feed-Link kopieren oder direkt im RSS-Reader öffnen.
  • 2 Priorisierte Reports (KEV · EPSS · CVSS) landen automatisch in Ihrem Reader.
  • 3 Zustellung per E-Mail, Webhook, REST oder TAXII auf Anfrage einrichten lassen.
Zurück zum Katalog