1.8 Aktiv ausgenutzte Lücken
CMS & Web-Ecosystems

Ghost/Strapi/Sitecore/Kentico/Plone

CMS & Web-Ecosystems

Ghost/Strapi/Sitecore/Kentico/Plone gehört zur Kategorie „CMS & Web-Ecosystems". xonatec überwacht Ghost/Strapi/Sitecore/Kentico/Plone kontinuierlich auf neue Sicherheitslücken, priorisiert jede Meldung nach aktiver Ausnutzung (KEV), Ausnutzungswahrscheinlichkeit (EPSS) und Schweregrad (CVSS) Im zugeschnittenen Bericht erhalten Sie ausschliesslich die Meldungen, die dieses Produkt betreffen.

16
Reports
8
Aktiv ausgenutzt
Kritisch
Höchste Priorität
94.4%
Max. EPSS

Schwachstellen-Reports

16 Reports

Zeige 1 bis 16 von 16

  1. Sitecore XP – Remote Command Execution Vulnerability

    CVE-2021-42237 Aktiv ausgenutzt Ransomware

    In Sitecore XP besteht eine Schwachstelle, die unauthentifizierte Remotecodeausführung ermöglicht. Wird laut CISA KEV aktiv ausgenutzt. Bekannter Einsatz in Ransomware-Kampagnen. Ausnutzungswahrscheinlichkeit (EPSS): 94.4 %.

    EPSS: 94.37% Publiziert: Referenz: CISA KEV
  2. Kentico Xperience – Deserialization of Untrusted Data

    CVE-2019-10068 Aktiv ausgenutzt

    In Kentico Xperience besteht eine Schwachstelle durch Deserialisierung nicht vertrauenswürdiger Daten. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 93.8 %.

    EPSS: 93.81% Publiziert: Referenz: CISA KEV
  3. Kentico Xperience CMS – Authentication Bypass (zweite Schwachstelle)

    CVE-2025-2747 Aktiv ausgenutzt

    In Kentico Xperience CMS besteht eine weitere Schwachstelle, die eine Umgehung der Authentifizierung über einen alternativen Pfad oder Kanal ermöglicht. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 91.4 %.

    EPSS: 91.41% Publiziert: Referenz: CISA KEV
  4. Kentico Xperience CMS – Authentication Bypass

    CVE-2025-2746 Aktiv ausgenutzt

    In Kentico Xperience CMS besteht eine Schwachstelle, die eine Umgehung der Authentifizierung über einen alternativen Pfad oder Kanal ermöglicht. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 90.2 %.

    EPSS: 90.22% Publiziert: Referenz: CISA KEV
  5. Sitecore CMS und Experience Platform – Deserialization Vulnerability

    CVE-2019-9874 Aktiv ausgenutzt

    In Sitecore CMS und der Experience Platform (XP) besteht eine Schwachstelle durch Deserialisierung nicht vertrauenswürdiger Daten. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 87.6 %.

    EPSS: 87.63% Publiziert: Referenz: CISA KEV
  6. Sitecore CMS und Experience Platform – Deserialization Vulnerability

    CVE-2019-9875 Aktiv ausgenutzt

    In Sitecore CMS und der Experience Platform (XP) besteht eine weitere Schwachstelle durch Deserialisierung nicht vertrauenswürdiger Daten. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 56.7 %.

    EPSS: 56.70% Publiziert: Referenz: CISA KEV
  7. Sitecore – Deserialization of Untrusted Data (mehrere Produkte)

    CVE-2025-53690 Aktiv ausgenutzt

    In mehreren Sitecore-Produkten besteht eine Schwachstelle durch Deserialisierung nicht vertrauenswürdiger Daten. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 5.2 %.

    EPSS: 5.15% Publiziert: Referenz: CISA KEV
  8. Kentico Xperience – Path Traversal Vulnerability

    CVE-2025-2749 Aktiv ausgenutzt

    In Kentico Xperience besteht eine Path-Traversal-Schwachstelle. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 4.8 %.

    EPSS: 4.77% Publiziert: Referenz: CISA KEV
  9. Ghost CMS – Unauthenticated Arbitrary Database Read

    CVE-2026-26980 Kritisch

    In Ghost (Node.js-CMS) ermöglichen die Versionen 3.24.0 bis 6.19.0 nicht authentifizierten Angreifern beliebige Lesezugriffe auf die Datenbank. Das Problem wurde in Version 6.19.1 behoben. CVSS-Basiswert: 9.4 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 56.7 %. Empfohlene Massnahme: Update auf Ghost 6.19.1 oder höher.

    CVSS: 9.4 EPSS: 56.66% Publiziert: Referenz: NVD
  10. Ghost: unauthentifizierter Zugriff auf zwischengespeicherte Inhalte hinter geteiltem Cache

    CVE-2026-53943 Kritisch

    Ghost ist ein Content-Management-System auf Node.js-Basis. In Versionen vor 6.37.0 kann ein nicht authentifizierter Angreifer die Schwachstelle ausnutzen, wenn Ghost hinter einer gemeinsam genutzten Caching-Schicht betrieben wird, sodass zwischengespeicherte Inhalte zwischen verschiedenen Besuchern geteilt werden. CVSS-Basiswert: 9.6 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: auf Ghost 6.37.0 oder neuer aktualisieren.

    CVSS: 9.6 EPSS: 0.24% Publiziert: Referenz: NVD
  11. Strapi – Datenbankabfrage-Injection (4.x / 5.x)

    CVE-2026-22599 Hoch

    In Strapi (Open-Source-Headless-CMS) besteht in den Versionen der 4.x-Linie vor 4.26.1 und der 5.x-Linie vor 5.33.2 eine Datenbankabfrage-Injection-Schwachstelle. CVSS-Basiswert: 7.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Ein Update auf die jeweiligen gepatchten Versionen wird empfohlen.

    CVSS: 7.2 EPSS: 0.13% Publiziert: Referenz: NVD
  12. Strapi – Unzureichende Bereinigung von Query-Parametern (relationale Filter)

    CVE-2026-27886 Hoch

    In Strapi (Versionen ab 4.0.0 und vor 5.37.0) wurden Query-Parameter beim Filtern von Inhalten über relationale Felder nicht ausreichend bereinigt. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Ein Update auf Version 5.37.0 oder höher wird empfohlen.

    CVSS: 7.5 EPSS: 0.05% Publiziert: Referenz: NVD
  13. Ghost CMS – Schadcode-Ausführung durch bösartige Themes

    CVE-2026-29053 Hoch

    In Ghost, einem Node.js-basierten Content-Management-System, können speziell präparierte bösartige Themes von Version 0.7.2 bis 6.19.0 zur Ausführung beliebigen Codes auf dem Server führen. Das Problem wurde in einer neueren Version behoben. CVSS-Basiswert: 7.6 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 7.6 EPSS: 0.03% Publiziert: Referenz: NVD
  14. Ghost CMS – Unvollständiger CSRF-Schutz bei Session-Verifizierung

    CVE-2026-29784 Hoch

    In Ghost, einem Node.js-basierten Content-Management-System, ermöglichen unvollständige CSRF-Schutzmassnahmen rund um den Endpunkt /session/verify von Version 5.101.6 bis 6.19.2 den Missbrauch von Einmalcodes (OTCs) in anderen Login-Sitzungen als der ursprünglichen Anfrage. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 7.5 EPSS: 0.03% Publiziert: Referenz: NVD
  15. CVE-2026-59817 – Ghost: manipulierbare Spenden-Checkout-Metadaten

    CVE-2026-59817 Mittel

    Ghost ist ein auf Node.js basierendes Content-Management-System. In den Versionen ab 6.27.0 und vor 6.44.0 erlaubte der öffentliche Spenden-Checkout-Prozess einem nicht authentifizierten Angreifer, die Metadaten des Spenden-Checkouts zu kontrollieren. CVSS-Basiswert: 5.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.

    CVSS: 5.3 EPSS: 0.26% Publiziert: Referenz: NVD
  16. Strapi users-permissions akzeptiert unerwartete JWT-Algorithmen

    CVE-2026-57997 Mittel

    Das users-permissions-Plugin von Strapi schränkt die JWT-Algorithmen nicht ein, wenn plugin::users-permissions.jwt.algorithm nicht explizit konfiguriert ist. Dadurch werden neben HS256 auch HS384- und HS512-Tokens akzeptiert. CVSS-Basiswert: 4.8 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: den JWT-Algorithmus explizit konfigurieren und auf eine fehlerbereinigte Strapi-Version aktualisieren.

    CVSS: 4.8 EPSS: 0.15% Publiziert: Referenz: NVD

Diesem Produkt-Feed folgen

Eigener RSS-Feed nur für Ghost/Strapi/Sitecore/Kentico/Plone, kostenlos und ohne Anmeldung. Zustellung per E-Mail, Webhook, REST oder TAXII richten wir auf Anfrage ein.

RSS-Feed öffnen Zustellung anfragen

Wie folge ich dem Feed?

  • 1 RSS-Feed-Link kopieren oder direkt im RSS-Reader öffnen.
  • 2 Priorisierte Reports (KEV · EPSS · CVSS) landen automatisch in Ihrem Reader.
  • 3 Zustellung per E-Mail, Webhook, REST oder TAXII auf Anfrage einrichten lassen.
Zurück zum Katalog