Ghost/Strapi/Sitecore/Kentico/Plone
Ghost/Strapi/Sitecore/Kentico/Plone gehört zur Kategorie „CMS & Web-Ecosystems". xonatec überwacht Ghost/Strapi/Sitecore/Kentico/Plone kontinuierlich auf neue Sicherheitslücken, priorisiert jede Meldung nach aktiver Ausnutzung (KEV), Ausnutzungswahrscheinlichkeit (EPSS) und Schweregrad (CVSS) Im zugeschnittenen Bericht erhalten Sie ausschliesslich die Meldungen, die dieses Produkt betreffen.
Schwachstellen-Reports
16 ReportsZeige 1 bis 16 von 16
-
Sitecore XP – Remote Command Execution Vulnerability
CVE-2021-42237 Aktiv ausgenutzt RansomwareIn Sitecore XP besteht eine Schwachstelle, die unauthentifizierte Remotecodeausführung ermöglicht. Wird laut CISA KEV aktiv ausgenutzt. Bekannter Einsatz in Ransomware-Kampagnen. Ausnutzungswahrscheinlichkeit (EPSS): 94.4 %.
EPSS: 94.37% Publiziert: Referenz: CISA KEV -
Kentico Xperience – Deserialization of Untrusted Data
CVE-2019-10068 Aktiv ausgenutztIn Kentico Xperience besteht eine Schwachstelle durch Deserialisierung nicht vertrauenswürdiger Daten. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 93.8 %.
EPSS: 93.81% Publiziert: Referenz: CISA KEV -
Kentico Xperience CMS – Authentication Bypass (zweite Schwachstelle)
CVE-2025-2747 Aktiv ausgenutztIn Kentico Xperience CMS besteht eine weitere Schwachstelle, die eine Umgehung der Authentifizierung über einen alternativen Pfad oder Kanal ermöglicht. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 91.4 %.
EPSS: 91.41% Publiziert: Referenz: CISA KEV -
Kentico Xperience CMS – Authentication Bypass
CVE-2025-2746 Aktiv ausgenutztIn Kentico Xperience CMS besteht eine Schwachstelle, die eine Umgehung der Authentifizierung über einen alternativen Pfad oder Kanal ermöglicht. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 90.2 %.
EPSS: 90.22% Publiziert: Referenz: CISA KEV -
Sitecore CMS und Experience Platform – Deserialization Vulnerability
CVE-2019-9874 Aktiv ausgenutztIn Sitecore CMS und der Experience Platform (XP) besteht eine Schwachstelle durch Deserialisierung nicht vertrauenswürdiger Daten. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 87.6 %.
EPSS: 87.63% Publiziert: Referenz: CISA KEV -
Sitecore CMS und Experience Platform – Deserialization Vulnerability
CVE-2019-9875 Aktiv ausgenutztIn Sitecore CMS und der Experience Platform (XP) besteht eine weitere Schwachstelle durch Deserialisierung nicht vertrauenswürdiger Daten. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 56.7 %.
EPSS: 56.70% Publiziert: Referenz: CISA KEV -
Sitecore – Deserialization of Untrusted Data (mehrere Produkte)
CVE-2025-53690 Aktiv ausgenutztIn mehreren Sitecore-Produkten besteht eine Schwachstelle durch Deserialisierung nicht vertrauenswürdiger Daten. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 5.2 %.
EPSS: 5.15% Publiziert: Referenz: CISA KEV -
Kentico Xperience – Path Traversal Vulnerability
CVE-2025-2749 Aktiv ausgenutztIn Kentico Xperience besteht eine Path-Traversal-Schwachstelle. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 4.8 %.
EPSS: 4.77% Publiziert: Referenz: CISA KEV -
Ghost CMS – Unauthenticated Arbitrary Database Read
CVE-2026-26980 KritischIn Ghost (Node.js-CMS) ermöglichen die Versionen 3.24.0 bis 6.19.0 nicht authentifizierten Angreifern beliebige Lesezugriffe auf die Datenbank. Das Problem wurde in Version 6.19.1 behoben. CVSS-Basiswert: 9.4 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 56.7 %. Empfohlene Massnahme: Update auf Ghost 6.19.1 oder höher.
CVSS: 9.4 EPSS: 56.66% Publiziert: Referenz: NVD -
Ghost: unauthentifizierter Zugriff auf zwischengespeicherte Inhalte hinter geteiltem Cache
CVE-2026-53943 KritischGhost ist ein Content-Management-System auf Node.js-Basis. In Versionen vor 6.37.0 kann ein nicht authentifizierter Angreifer die Schwachstelle ausnutzen, wenn Ghost hinter einer gemeinsam genutzten Caching-Schicht betrieben wird, sodass zwischengespeicherte Inhalte zwischen verschiedenen Besuchern geteilt werden. CVSS-Basiswert: 9.6 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: auf Ghost 6.37.0 oder neuer aktualisieren.
CVSS: 9.6 EPSS: 0.24% Publiziert: Referenz: NVD -
Strapi – Datenbankabfrage-Injection (4.x / 5.x)
CVE-2026-22599 HochIn Strapi (Open-Source-Headless-CMS) besteht in den Versionen der 4.x-Linie vor 4.26.1 und der 5.x-Linie vor 5.33.2 eine Datenbankabfrage-Injection-Schwachstelle. CVSS-Basiswert: 7.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Ein Update auf die jeweiligen gepatchten Versionen wird empfohlen.
CVSS: 7.2 EPSS: 0.13% Publiziert: Referenz: NVD -
Strapi – Unzureichende Bereinigung von Query-Parametern (relationale Filter)
CVE-2026-27886 HochIn Strapi (Versionen ab 4.0.0 und vor 5.37.0) wurden Query-Parameter beim Filtern von Inhalten über relationale Felder nicht ausreichend bereinigt. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Ein Update auf Version 5.37.0 oder höher wird empfohlen.
CVSS: 7.5 EPSS: 0.05% Publiziert: Referenz: NVD -
Ghost CMS – Schadcode-Ausführung durch bösartige Themes
CVE-2026-29053 HochIn Ghost, einem Node.js-basierten Content-Management-System, können speziell präparierte bösartige Themes von Version 0.7.2 bis 6.19.0 zur Ausführung beliebigen Codes auf dem Server führen. Das Problem wurde in einer neueren Version behoben. CVSS-Basiswert: 7.6 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 7.6 EPSS: 0.03% Publiziert: Referenz: NVD -
Ghost CMS – Unvollständiger CSRF-Schutz bei Session-Verifizierung
CVE-2026-29784 HochIn Ghost, einem Node.js-basierten Content-Management-System, ermöglichen unvollständige CSRF-Schutzmassnahmen rund um den Endpunkt /session/verify von Version 5.101.6 bis 6.19.2 den Missbrauch von Einmalcodes (OTCs) in anderen Login-Sitzungen als der ursprünglichen Anfrage. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 7.5 EPSS: 0.03% Publiziert: Referenz: NVD -
CVE-2026-59817 – Ghost: manipulierbare Spenden-Checkout-Metadaten
CVE-2026-59817 MittelGhost ist ein auf Node.js basierendes Content-Management-System. In den Versionen ab 6.27.0 und vor 6.44.0 erlaubte der öffentliche Spenden-Checkout-Prozess einem nicht authentifizierten Angreifer, die Metadaten des Spenden-Checkouts zu kontrollieren. CVSS-Basiswert: 5.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.
CVSS: 5.3 EPSS: 0.26% Publiziert: Referenz: NVD -
Strapi users-permissions akzeptiert unerwartete JWT-Algorithmen
CVE-2026-57997 MittelDas users-permissions-Plugin von Strapi schränkt die JWT-Algorithmen nicht ein, wenn plugin::users-permissions.jwt.algorithm nicht explizit konfiguriert ist. Dadurch werden neben HS256 auch HS384- und HS512-Tokens akzeptiert. CVSS-Basiswert: 4.8 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: den JWT-Algorithmus explizit konfigurieren und auf eine fehlerbereinigte Strapi-Version aktualisieren.
CVSS: 4.8 EPSS: 0.15% Publiziert: Referenz: NVD
Diesem Produkt-Feed folgen
Eigener RSS-Feed nur für Ghost/Strapi/Sitecore/Kentico/Plone, kostenlos und ohne Anmeldung. Zustellung per E-Mail, Webhook, REST oder TAXII richten wir auf Anfrage ein.
RSS-Feed öffnen Zustellung anfragenWie folge ich dem Feed?
- 1 RSS-Feed-Link kopieren oder direkt im RSS-Reader öffnen.
- 2 Priorisierte Reports (KEV · EPSS · CVSS) landen automatisch in Ihrem Reader.
- 3 Zustellung per E-Mail, Webhook, REST oder TAXII auf Anfrage einrichten lassen.