Ivanti (Pulse/Connect Secure) Seite 2
Schwachstellen-Reports
161 ReportsZeige 51 bis 100 von 161
-
Adobe Connect – Deserialization of Untrusted Data (Arbitrary Code Execution)
CVE-2026-34615 KritischAdobe Connect in den Versionen 2025.3, 12.10 und früher ist von einer weiteren Deserialisierungsschwachstelle (Deserialization of Untrusted Data) betroffen, die zur Ausführung beliebigen Codes im Kontext des aktuellen Benutzers führen kann. CVSS-Basiswert: 9.3 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 4.5 %.
CVSS: 9.3 EPSS: 4.51% Publiziert: Referenz: NVD -
Adobe Connect – Deserialisierung nicht vertrauenswürdiger Daten (RCE)
CVE-2026-34659 KritischAdobe Connect-Versionen 2025.9.15, 2025.8.157 und früher sind von einer Schwachstelle durch Deserialisierung nicht vertrauenswürdiger Daten betroffen, die zur Ausführung beliebigen Codes im Kontext des aktuellen Benutzers führen kann. CVSS-Basiswert: 9.6 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 3.7 %.
CVSS: 9.6 EPSS: 3.74% Publiziert: Referenz: NVD -
UniFi Connect Application – Command Injection über Improper Access Control
CVE-2026-50746 KritischIn der UniFi Connect Application besteht eine Schwachstelle durch unzureichende Zugriffskontrolle (Improper Access Control). Ein Angreifer mit Netzwerkzugang kann darüber eine Command Injection auf dem Host-Gerät ausführen. CVSS-Basiswert: 10 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.9 %. Empfohlene Massnahme: Den Netzzugriff auf die Anwendung einschränken und Hersteller-Updates einspielen.
CVSS: 10.0 EPSS: 0.92% Publiziert: Referenz: NVD -
CVE-2026-9074 – Unauthentifizierte SQL-Injection in IBM API Connect
CVE-2026-9074 KritischIBM API Connect 10.0.8.0 bis 10.0.8.9 und 12.1.0.0 bis 12.1.0.3 enthält eine nicht authentifizierte SQL-Injection-Schwachstelle in der Passwort-Zurücksetzen-Funktion. Über das Netzwerk lassen sich Vertraulichkeit und Integrität vollständig gefährden. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %.
CVSS: 9.1 EPSS: 0.51% Publiziert: Referenz: NVD -
Adobe Connect – Falsche Autorisierung (RCE)
CVE-2026-34660 KritischAdobe Connect-Versionen 2025.9.15, 2025.8.157 und früher sind von einer Schwachstelle durch fehlerhafte Autorisierung betroffen, die zur Ausführung beliebigen Codes im Kontext des aktuellen Benutzers führen kann. CVSS-Basiswert: 9.3 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.
CVSS: 9.3 EPSS: 0.31% Publiziert: Referenz: NVD -
Rocket.Chat: Zugriff für nicht authentifizierte Angreifer über das Netzwerk
CVE-2026-45689 KritischRocket.Chat ist eine quelloffene, anpassbare Kommunikationsplattform. In den Versionen vor 8.5.0, 8.4.1, 8.3.3, 8.2.3, 8.1.4, 8.0.5, 7.13.7 und 7.10.11 kann ein nicht authentifizierter Angreifer über das Netzwerk unberechtigten Zugriff erlangen. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: auf eine der genannten korrigierten Rocket.Chat-Versionen aktualisieren.
CVSS: 9.1 EPSS: 0.31% Publiziert: Referenz: NVD -
Rocket.Chat: Schwachstelle im CAS-Login-Handler
CVE-2026-45688 KritischRocket.Chat ist eine quelloffene, anpassbare Kommunikationsplattform. In den Versionen vor 8.5.0, 8.4.1, 8.3.3, 8.2.3, 8.1.4, 8.0.5, 7.13.7 und 7.10.11 leitet der CAS-Login-Handler laut Quelle Daten fehlerhaft weiter. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: Auf eine der genannten korrigierten Versionen aktualisieren.
CVSS: 9.1 EPSS: 0.29% Publiziert: Referenz: NVD -
Termix vor 2.3.2: Schwachstelle im Endpunkt POST /ssh/tunnel/connect
CVE-2026-45748 KritischTermix ist eine webbasierte Server-Management-Plattform mit SSH-Terminal, Tunneling und Dateibearbeitung. In Versionen vor 2.3.2 baut der Endpunkt POST /ssh/tunnel/connect einen SSH-Tunnel auf eine Weise auf, die laut Quelle angreifbar ist. CVSS-Basiswert: 9.8 (Kritisch). Laut CVSS-Vektor ist die Lücke über das Netz ohne Authentifizierung und ohne Benutzerinteraktion ausnutzbar. Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: Aktualisierung auf Termix 2.3.2 oder neuer.
CVSS: 9.8 EPSS: 0.29% Publiziert: Referenz: NVD -
UniFi OS: Fehlerhafte Zugriffskontrolle unter bestimmten Netzwerkkonfigurationen
CVE-2026-55116 KritischEin Angreifer mit Netzwerkzugriff könnte unter bestimmten Netzwerkkonfigurationen eine Schwachstelle durch fehlerhafte Zugriffskontrolle in bestimmten Geräten mit UniFi OS ausnutzen, um unautorisierte Aktionen auszuführen. CVSS-Basiswert: 9.0 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.
CVSS: 9.0 EPSS: 0.23% Publiziert: Referenz: NVD -
Command Injection über manipulierte MQTT-Nachrichten mit Root-Rechten
CVE-2026-49199 KritischSpeziell präparierte MQTT-Nachrichten können eine Command Injection auslösen. Angreifer erhalten dadurch laut Quelle Code-Ausführung mit Root-Rechten auf dem Zielgerät. CVSS-Basiswert: 9.8 (Kritisch). Der CVSS-Vektor weist die Lücke als netzwerkbasiert, ohne Authentifizierung und ohne Nutzerinteraktion ausnutzbar aus. Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.
CVSS: 9.8 EPSS: 0.22% Publiziert: Referenz: NVD -
Adobe Connect – Reflected Cross-Site Scripting (XSS)
CVE-2026-27243 KritischIn Adobe Connect Version 2025.3, 12.10 und früher besteht eine Reflected-XSS-Schwachstelle, über die ein Angreifer schädliche Skripte in Webseiten einschleusen kann. CVSS-Basiswert: 9.3 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 9.3 EPSS: 0.12% Publiziert: Referenz: NVD -
Adobe Connect – DOM-based Cross-Site Scripting (XSS)
CVE-2026-27246 KritischIn Adobe Connect Version 2025.3, 12.10 und früher besteht eine DOM-basierte XSS-Schwachstelle, über die ein Angreifer schädliche Skripte in Webseiten einschleusen kann. CVSS-Basiswert: 9.3 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 9.3 EPSS: 0.12% Publiziert: Referenz: NVD -
Adobe Connect – Reflected Cross-Site Scripting (XSS)
CVE-2026-27245 KritischIn Adobe Connect Version 2025.3, 12.10 und früher besteht eine Reflected-XSS-Schwachstelle, über die ein Angreifer schädliche Skripte in Webseiten einschleusen kann. CVSS-Basiswert: 9.3 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 9.3 EPSS: 0.12% Publiziert: Referenz: NVD -
Ivanti Xtraction – External File Name Control (Path Traversal / Stored XSS)
CVE-2026-8043 KritischIn Ivanti Xtraction vor Version 2026.2 ermöglicht eine externe Kontrolle von Dateinamen einem entfernten, authentifizierten Angreifer, sensible Dateien zu lesen und beliebige HTML-Dateien in ein Web-Verzeichnis zu schreiben, was zu weiteren Angriffen führen kann. CVSS-Basiswert: 9.6 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 9.6 EPSS: 0.12% Publiziert: Referenz: NVD -
Ivanti Secure Access Client – Buffer Overflow in der Nachrichtenverarbeitungsfunktion
CVE-2026-33447 KritischIm Ivanti Secure Access Client vor Version 14.50 besteht ein Buffer Overflow in einer Nachrichten-Parsing-Funktion. Angreifer mit Kontrolle über einen manipulierten Server können ein spezielles Paket senden, das Speicherbereiche überschreibt. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 9.8 EPSS: 0.08% Publiziert: Referenz: NVD -
Ivanti Secure Access Client – Buffer Overflow im Authentifizierungssubsystem
CVE-2026-33446 KritischIm Ivanti Secure Access Client vor Version 14.50 besteht ein Buffer Overflow im Authentifizierungssubsystem. Angreifer mit Kontrolle über einen manipulierten Server können ein spezielles Paket senden, das Speicherbereiche überschreibt. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 9.8 EPSS: 0.07% Publiziert: Referenz: NVD -
ai_cmd: Unauthentifizierte Ausführung beliebiger Root-Befehle über popen()
CVE-2026-49188 KritischDas Dienstprogramm ai_cmd läuft mit vollen Root-Rechten und leitet Eingaben aus dem Socket direkt an popen() weiter. Dadurch können nicht authentifizierte Angreifer beliebige Befehle mit Root-Rechten ausführen. CVSS-Basiswert: 9.8 (Kritisch); der Angriff ist über das Netzwerk ohne Zugangsdaten und ohne Benutzerinteraktion möglich. Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 9.8 EPSS: 0.06% Publiziert: Referenz: NVD -
SEPPmail Secure Email Gateway – Account-Übernahme via GINA-Initialisierung
CVE-2026-29139 KritischIm SEPPmail Secure Email Gateway vor Version 15.0.3 ermöglicht ein Missbrauch der GINA-Konto-Initialisierung die Übernahme fremder Konten durch Zurücksetzen des Opferpassworts. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 9.8 EPSS: 0.06% Publiziert: Referenz: NVD -
SEPPmail Secure Email Gateway – Fehlende Authentifizierung bei S/MIME-verschlüsselten Nachrichten
CVE-2026-29143 KritischIm SEPPmail Secure Email Gateway vor Version 15.0.3 werden innere Nachrichten von S/MIME-verschlüsselten MIME-Einheiten nicht korrekt authentifiziert, wodurch ein Angreifer vertrauenswürdige Header manipulieren kann. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 9.1 EPSS: 0.06% Publiziert: Referenz: NVD -
SEPPmail Secure Email Gateway – PGP-Key-Upload mit falscher UID
CVE-2026-29133 KritischIm SEPPmail Secure Email Gateway vor Version 15.0.3 können Angreifer PGP-Schlüssel mit UIDs hochladen, die nicht mit ihrer eigenen E-Mail-Adresse übereinstimmen, was zu einer Fehlzuordnung von Verschlüsselungsschlüsseln führen kann. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 9.1 EPSS: 0.06% Publiziert: Referenz: NVD -
FieldX MDM: Command Injection über ungeprüfte Payloads in Runtime.exec()
CVE-2026-49185 KritischDas adb-Messaging-Topic von FieldX MDM reicht ungeprüfte Payloads direkt an Runtime.exec() weiter. Dadurch können Angreifer eigene Befehle beziehungsweise Instruktionen einschleusen (Command Injection). CVSS-Basiswert: 9.8 (Kritisch). Laut CVSS-Vektor ist die Lücke über das Netzwerk ohne Rechte und ohne Benutzerinteraktion ausnutzbar. Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Zugeordnetes überwachtes Produkt: Ivanti (Pulse/Connect Secure).
CVSS: 9.8 EPSS: 0.05% Publiziert: Referenz: NVD -
Verbliebene Werks-Diagnosefunktionen erlauben Schreibzugriff auf NVRAM-Register
CVE-2026-50211 KritischAuf Auslieferungs-Builds verbleiben Engineering-Diagnosefunktionen und Diagnose-Software auf Werksebene erreichbar. Dadurch erhalten bösartige Apps Schreibrechte auf interne NVRAM-Register. CVSS-Basiswert: 9.8 (Kritisch); der Vektor weist auf einen Angriff über das Netzwerk ohne Authentifizierung und ohne Benutzerinteraktion hin. Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 9.8 EPSS: 0.05% Publiziert: Referenz: NVD -
M3WebServer: Fest einkompilierte Backend-API-Schlüssel
CVE-2026-49191 KritischDer Produktiv-Build des M3WebServer enthält seine Backend-API-Schlüssel fest im Code. Laut Quelle lassen sich diese Schlüssel über ausführliche Fehlerseiten (verbose error handling) leicht abgreifen. Der CVSS-Vektor (AV:N/AC:L/PR:N/UI:N) beschreibt einen Angriff über das Netzwerk ohne Authentifizierung und ohne Benutzerinteraktion. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 9.8 EPSS: 0.05% Publiziert: Referenz: NVD -
Lokaler MQTT-Broker ohne Topic-ACLs erlaubt Enumeration und Publish per Wildcard
CVE-2026-49186 KritischDer lokale MQTT-Broker erzwingt keine Access Control Lists auf Topic-Ebene. Dadurch kann sich jeder Client mit Wildcard-Zeichen (# oder +) auf Topics abonnieren, um verborgene Netzwerkgeräte zu enumerieren oder Nachrichten zu publizieren. Der Angriff ist über das Netzwerk ohne Rechte und ohne Benutzerinteraktion möglich (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H). CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 9.8 EPSS: 0.04% Publiziert: Referenz: NVD -
Deaktivierte TLS-Zertifikatsprüfung (TrustAllCerts) und fest codierte DES-Schlüssel
CVE-2026-50208 KritischSogenannte TrustAllCerts-Routinen deaktivieren die standardmässige Prüfung von TLS-Zertifikaten. In Kombination mit fest codierten symmetrischen DES-Schlüsseln kann ein Angreifer in einer Man-in-the-Middle-Position den Netzwerkverkehr entschlüsseln. CVSS-Basiswert: 9.4 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 9.4 EPSS: 0.02% Publiziert: Referenz: NVD -
Ivanti Virtual Traffic Manager – OS Command Injection (RCE)
CVE-2026-8051 HochEine OS-Command-Injection-Schwachstelle in Ivanti Virtual Traffic Manager vor Version 22.9r4 ermöglicht einem entfernten, authentifizierten Angreifer mit Administratorrechten die Ausführung von beliebigem Code auf dem System. CVSS-Basiswert: 7.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 1.5 %.
CVSS: 7.2 EPSS: 1.46% Publiziert: Referenz: NVD -
Splunk Enterprise/Cloud Platform: Schwachstelle in mehreren Versionen
CVE-2026-20251 HochLaut Quelldaten betrifft die Schwachstelle Splunk Enterprise in Versionen unterhalb 10.2.4, 10.0.7, 9.4.12 und 9.3.13, die Splunk Cloud Platform unterhalb 10.3.2512.12, 10.2.2510.14, 10.1.2507.22 und 9.3.2411.132 sowie das Splunk Secure Gateway. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.6 %. Empfohlene Massnahme: Aktualisierung auf eine der genannten fehlerbereinigten Versionen.
CVSS: 8.8 EPSS: 0.57% Publiziert: Referenz: NVD -
ClamAV: DoS/Speicherbeschädigung im PE-Datei-Parser
CVE-2026-20213 HochEine Schwachstelle im PE-Datei-Parser von ClamAV könnte einem nicht authentifizierten, entfernten Angreifer erlauben, durch Speicherbeschädigung einen Denial-of-Service-Zustand oder möglicherweise weitergehende Auswirkungen zu verursachen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %.
CVSS: 7.5 EPSS: 0.46% Publiziert: Referenz: NVD -
ClamAV: Speicherfehler im FSG-Dateiformat-Parser ermöglicht Denial of Service
CVE-2026-20214 HochEine Schwachstelle im Parser für das FSG-Dateiformat von ClamAV könnte es einem nicht authentifizierten, entfernten Angreifer erlauben, durch eine Speicherbeschädigung einen Denial-of-Service-Zustand oder möglicherweise weitergehende Auswirkungen zu verursachen. Der Angriff erfolgt über das Netzwerk. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %.
CVSS: 7.5 EPSS: 0.46% Publiziert: Referenz: NVD -
IBM API Connect – Standard-Anmeldedaten ermöglichen unbefugten Zugriff
CVE-2026-3144 HochIBM API Connect 12.1.0.0 bis 12.1.0.3 verwendet Standard-Anmeldedaten, die einem Angreifer unbefugten Zugriff auf die Anwendung ermöglichen könnten, bevor das System eine Aktualisierung der Zugangsdaten erzwingt. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: die Standard-Anmeldedaten unverzüglich ändern und die vom Hersteller bereitgestellte Aktualisierung einspielen.
CVSS: 8.1 EPSS: 0.41% Publiziert: Referenz: NVD -
Ivanti EPMM – Unbefugter Administratorzugriff (Improper Access Control)
CVE-2026-5786 HochIn Ivanti EPMM vor den Versionen 12.6.1.1, 12.7.0.1 und 12.8.0.1 ermöglicht eine fehlerhafte Zugriffskontrolle einem remote authentifizierten Angreifer, administrativen Zugriff zu erlangen. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.
CVSS: 8.8 EPSS: 0.40% Publiziert: Referenz: NVD -
ClamAV – Denial of Service im InstallShield-Parser
CVE-2026-20216 HochEine Schwachstelle im InstallShield-Dateiformat-Parser von ClamAV kann es einem nicht authentifizierten, entfernten Angreifer ermöglichen, einen Denial-of-Service-Zustand auf einem betroffenen Gerät auszulösen. Ursache ist eine unsachgemässe Verarbeitung. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: verfügbare Hersteller-Updates einspielen.
CVSS: 7.5 EPSS: 0.39% Publiziert: Referenz: NVD -
ClamAV: Speicherkorruption im 7z-Parser ermöglicht Denial of Service
CVE-2026-20215 HochEine Schwachstelle im 7z-Dateiformat-Parser von ClamAV könnte einem nicht authentifizierten, entfernten Angreifer erlauben, durch Speicherkorruption einen Denial of Service oder möglicherweise weitergehende Auswirkungen zu verursachen. Als betroffen ausgewiesen sind Cisco (Webex/UC), Cisco Webex, Cisco, Ivanti (Pulse/Connect Secure) und WithSecure (F-Secure). CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: die vom Hersteller bereitgestellten Updates einspielen.
CVSS: 7.5 EPSS: 0.39% Publiziert: Referenz: NVD -
ClamAV: Denial of Service im PESpin-Dateiformat-Parser
CVE-2026-20217 HochEine Schwachstelle im PESpin-Dateiformat-Parser von ClamAV könnte einem nicht authentifizierten, entfernten Angreifer erlauben, infolge einer Speicherbeschädigung einen Denial-of-Service-Zustand oder möglicherweise weiterreichende Auswirkungen herbeizuführen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: ClamAV auf eine fehlerbereinigte Version gemäss dem Hersteller-Advisory aktualisieren.
CVSS: 7.5 EPSS: 0.39% Publiziert: Referenz: NVD -
ClamAV (ALZ-Parser) – Denial of Service durch Speicherkorruption
CVE-2026-20243 HochEine Schwachstelle im ALZ-Dateiformat-Parser von ClamAV könnte einem nicht authentifizierten, entfernten Angreifer erlauben, einen Denial-of-Service-Zustand oder möglicherweise weitergehende Auswirkungen infolge einer Speicherkorruption herbeizuführen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: Aktualisierung von ClamAV gemäss Hersteller-Advisory.
CVSS: 7.5 EPSS: 0.39% Publiziert: Referenz: NVD -
ClamAV – Speicherkorruption im DMG-Parser (Denial of Service)
CVE-2026-20244 HochEine Schwachstelle im DMG-Dateiformat-Parser von ClamAV könnte einem nicht authentifizierten, entfernten Angreifer erlauben, durch Speicherkorruption einen Denial-of-Service-Zustand oder möglicherweise weitergehende Auswirkungen herbeizuführen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: Hersteller-Updates einspielen, sobald verfügbar.
CVSS: 7.5 EPSS: 0.39% Publiziert: Referenz: NVD -
Ivanti Neurons for ITSM – Fehlerhafte Zugriffskontrolle ermöglicht administrativen Zugriff
CVE-2026-9614 HochEine fehlerhafte Zugriffskontrolle in Ivanti Neurons for ITSM (Cloud und On-Premises) ermöglicht einem authentifizierten Remote-Angreifer, administrativen Zugriff auf das System zu erlangen. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.
CVSS: 8.8 EPSS: 0.36% Publiziert: Referenz: NVD -
Ivanti Endpoint Manager – SQL Injection in Web Console (RCE)
CVE-2026-8111 HochEine SQL-Injection-Schwachstelle in der Web-Konsole von Ivanti Endpoint Manager vor Version 2024 SU6 ermöglicht einem entfernten, authentifizierten Angreifer die Ausführung von beliebigem Code auf dem System. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.
CVSS: 8.8 EPSS: 0.35% Publiziert: Referenz: NVD -
Ivanti EPMM – Unauthentifizierter Methodenaufruf (Improper Access Control)
CVE-2026-5788 HochIn Ivanti EPMM vor den Versionen 12.6.1.1, 12.7.0.1 und 12.8.0.1 erlaubt eine fehlerhafte Zugriffskontrolle einem nicht authentifizierten Angreifer aus der Ferne, beliebige Methoden aufzurufen. CVSS-Basiswert: 7.0 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.
CVSS: 7.0 EPSS: 0.25% Publiziert: Referenz: NVD -
Ivanti Secure Access Client – Fehlerhafte Zertifikatsvalidierung (RCE)
CVE-2026-8992 HochEine fehlerhafte Zertifikatsvalidierung in Ivanti Secure Access Client vor Version 22.8R6 ermöglicht einem entfernten, nicht authentifizierten Angreifer die Ausführung von beliebigem Code. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 8.8 EPSS: 0.13% Publiziert: Referenz: NVD -
SEPPmail Secure Email Gateway – Umgehung der Betreff-Bereinigung
CVE-2026-29135 HochIm SEPPmail Secure Email Gateway vor Version 15.0.3 kann ein Angreifer ein speziell präpariertes Passwort-Tag erstellen, das die Bereinigung des E-Mail-Betreffs umgeht. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 7.5 EPSS: 0.11% Publiziert: Referenz: NVD -
Connect-CMS – Authentifizierter Angreifer kann Code ausführen
CVE-2026-32276 HochIm Content-Management-System Connect-CMS bis einschliesslich Version 1.41.0 (1.x-Reihe) und 2.41.0 (2.x-Reihe) kann ein authentifizierter Nutzer potenziell Code ausführen. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 8.8 EPSS: 0.10% Publiziert: Referenz: NVD -
Azure Entra ID – Unsachgemässes Privilegienmanagement (Privilege Escalation)
CVE-2026-23663 HochEin unsachgemässes Privilegienmanagement in Azure Entra ID ermöglicht einem nicht autorisierten Angreifer über das Netzwerk eine Rechteeskalation. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 7.5 EPSS: 0.10% Publiziert: Referenz: NVD -
Tanium Connect – Nicht autorisierte Codeausführung
CVE-2026-9208 HochTanium hat eine Schwachstelle zur nicht autorisierten Codeausführung in Connect behoben. Diese Schwachstelle ist Ivanti (Pulse/Connect Secure)-Produkten zugeordnet. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 8.8 EPSS: 0.08% Publiziert: Referenz: NVD -
Tanium Connect – Nicht autorisierte Codeausführung
CVE-2026-9207 HochTanium hat eine Schwachstelle zur nicht autorisierten Codeausführung in Connect behoben. Diese Schwachstelle ist Ivanti (Pulse/Connect Secure)-Produkten zugeordnet. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 8.8 EPSS: 0.07% Publiziert: Referenz: NVD -
Ivanti DSM – Lokale Privilegienerweiterung
CVE-2026-3483 HochIn Ivanti DSM vor Version 2026.1.1 erlaubt eine exponierte, gefährliche Methode einem lokal authentifizierten Angreifer, seine Berechtigungen zu erhöhen. CVSS-Basiswert: 7.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 7.8 EPSS: 0.07% Publiziert: Referenz: NVD -
SEPPmail Secure Email Gateway – GINA-Webdomain-Metadaten-Manipulation
CVE-2026-29134 HochIm SEPPmail Secure Email Gateway vor Version 15.0.3 kann ein externer Benutzer GINA-Webdomain-Metadaten modifizieren und domänenspezifische Einschränkungen umgehen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 7.5 EPSS: 0.07% Publiziert: Referenz: NVD -
Ivanti: Unzureichende Berechtigungsprüfung erlaubt unautorisierte Installationen
CVE-2026-49190 HochDas System wertet die Berechtigungen über mehrere interne Operationscodes (Opcodes) nicht korrekt aus, wodurch unautorisierte Anwendungsinstallationen oder Befehlsausführungen möglich werden. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: Einspielen der vom Hersteller bereitgestellten Sicherheitsupdates.
CVSS: 8.8 EPSS: 0.06% Publiziert: Referenz: NVD -
Ivanti Secure Access Client – Buffer Overflow im Nachrichten-Handler
CVE-2026-33449 HochIm Ivanti Secure Access Client vor Version 14.50 besteht ein Buffer Overflow in einer Nachrichtenverarbeitungsfunktion. Angreifer mit Kontrolle über einen manipulierten Server können eine kryptografisch gültige Nachricht senden, um Speicherbereiche zu überschreiben. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 7.5 EPSS: 0.06% Publiziert: Referenz: NVD -
Unauthentifizierter Zugriff auf interne Multimedia-Sitzungsarchive
CVE-2026-49202 HochInterne Multimedia-Sitzungsarchive sind ohne Authentifizierung zugänglich, verschärft durch lockere Cross-Origin-Resource-Sharing-Regeln (CORS), die einen Diebstahl über Website-Grenzen hinweg ermöglichen. CVSS-Basiswert: 8.6 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: auf eine fehlerbereinigte Version aktualisieren und CORS-Regeln restriktiv konfigurieren.
CVSS: 8.6 EPSS: 0.06% Publiziert: Referenz: NVD
Diesem Produkt-Feed folgen
Eigener RSS-Feed nur für Ivanti (Pulse/Connect Secure), kostenlos und ohne Anmeldung. Zustellung per E-Mail, Webhook, REST oder TAXII richten wir auf Anfrage ein.
RSS-Feed öffnen Zustellung anfragenWie folge ich dem Feed?
- 1 RSS-Feed-Link kopieren oder direkt im RSS-Reader öffnen.
- 2 Priorisierte Reports (KEV · EPSS · CVSS) landen automatisch in Ihrem Reader.
- 3 Zustellung per E-Mail, Webhook, REST oder TAXII auf Anfrage einrichten lassen.