1.1 Aktiv ausgenutzte Lücken
Netzwerk, Firewall, Security-Appliances

Ivanti (Pulse/Connect Secure) Seite 2

Netzwerk, Firewall, Security-Appliances
161
Reports
47
Aktiv ausgenutzt
Kritisch
Höchste Priorität
100.0%
Max. EPSS

Schwachstellen-Reports

161 Reports

Zeige 51 bis 100 von 161

  1. Adobe Connect – Deserialization of Untrusted Data (Arbitrary Code Execution)

    CVE-2026-34615 Kritisch

    Adobe Connect in den Versionen 2025.3, 12.10 und früher ist von einer weiteren Deserialisierungsschwachstelle (Deserialization of Untrusted Data) betroffen, die zur Ausführung beliebigen Codes im Kontext des aktuellen Benutzers führen kann. CVSS-Basiswert: 9.3 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 4.5 %.

    CVSS: 9.3 EPSS: 4.51% Publiziert: Referenz: NVD
  2. Adobe Connect – Deserialisierung nicht vertrauenswürdiger Daten (RCE)

    CVE-2026-34659 Kritisch

    Adobe Connect-Versionen 2025.9.15, 2025.8.157 und früher sind von einer Schwachstelle durch Deserialisierung nicht vertrauenswürdiger Daten betroffen, die zur Ausführung beliebigen Codes im Kontext des aktuellen Benutzers führen kann. CVSS-Basiswert: 9.6 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 3.7 %.

    CVSS: 9.6 EPSS: 3.74% Publiziert: Referenz: NVD
  3. UniFi Connect Application – Command Injection über Improper Access Control

    CVE-2026-50746 Kritisch

    In der UniFi Connect Application besteht eine Schwachstelle durch unzureichende Zugriffskontrolle (Improper Access Control). Ein Angreifer mit Netzwerkzugang kann darüber eine Command Injection auf dem Host-Gerät ausführen. CVSS-Basiswert: 10 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.9 %. Empfohlene Massnahme: Den Netzzugriff auf die Anwendung einschränken und Hersteller-Updates einspielen.

    CVSS: 10.0 EPSS: 0.92% Publiziert: Referenz: NVD
  4. CVE-2026-9074 – Unauthentifizierte SQL-Injection in IBM API Connect

    CVE-2026-9074 Kritisch

    IBM API Connect 10.0.8.0 bis 10.0.8.9 und 12.1.0.0 bis 12.1.0.3 enthält eine nicht authentifizierte SQL-Injection-Schwachstelle in der Passwort-Zurücksetzen-Funktion. Über das Netzwerk lassen sich Vertraulichkeit und Integrität vollständig gefährden. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %.

    CVSS: 9.1 EPSS: 0.51% Publiziert: Referenz: NVD
  5. Adobe Connect – Falsche Autorisierung (RCE)

    CVE-2026-34660 Kritisch

    Adobe Connect-Versionen 2025.9.15, 2025.8.157 und früher sind von einer Schwachstelle durch fehlerhafte Autorisierung betroffen, die zur Ausführung beliebigen Codes im Kontext des aktuellen Benutzers führen kann. CVSS-Basiswert: 9.3 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.

    CVSS: 9.3 EPSS: 0.31% Publiziert: Referenz: NVD
  6. Rocket.Chat: Zugriff für nicht authentifizierte Angreifer über das Netzwerk

    CVE-2026-45689 Kritisch

    Rocket.Chat ist eine quelloffene, anpassbare Kommunikationsplattform. In den Versionen vor 8.5.0, 8.4.1, 8.3.3, 8.2.3, 8.1.4, 8.0.5, 7.13.7 und 7.10.11 kann ein nicht authentifizierter Angreifer über das Netzwerk unberechtigten Zugriff erlangen. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: auf eine der genannten korrigierten Rocket.Chat-Versionen aktualisieren.

    CVSS: 9.1 EPSS: 0.31% Publiziert: Referenz: NVD
  7. Rocket.Chat: Schwachstelle im CAS-Login-Handler

    CVE-2026-45688 Kritisch

    Rocket.Chat ist eine quelloffene, anpassbare Kommunikationsplattform. In den Versionen vor 8.5.0, 8.4.1, 8.3.3, 8.2.3, 8.1.4, 8.0.5, 7.13.7 und 7.10.11 leitet der CAS-Login-Handler laut Quelle Daten fehlerhaft weiter. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: Auf eine der genannten korrigierten Versionen aktualisieren.

    CVSS: 9.1 EPSS: 0.29% Publiziert: Referenz: NVD
  8. Termix vor 2.3.2: Schwachstelle im Endpunkt POST /ssh/tunnel/connect

    CVE-2026-45748 Kritisch

    Termix ist eine webbasierte Server-Management-Plattform mit SSH-Terminal, Tunneling und Dateibearbeitung. In Versionen vor 2.3.2 baut der Endpunkt POST /ssh/tunnel/connect einen SSH-Tunnel auf eine Weise auf, die laut Quelle angreifbar ist. CVSS-Basiswert: 9.8 (Kritisch). Laut CVSS-Vektor ist die Lücke über das Netz ohne Authentifizierung und ohne Benutzerinteraktion ausnutzbar. Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: Aktualisierung auf Termix 2.3.2 oder neuer.

    CVSS: 9.8 EPSS: 0.29% Publiziert: Referenz: NVD
  9. UniFi OS: Fehlerhafte Zugriffskontrolle unter bestimmten Netzwerkkonfigurationen

    CVE-2026-55116 Kritisch

    Ein Angreifer mit Netzwerkzugriff könnte unter bestimmten Netzwerkkonfigurationen eine Schwachstelle durch fehlerhafte Zugriffskontrolle in bestimmten Geräten mit UniFi OS ausnutzen, um unautorisierte Aktionen auszuführen. CVSS-Basiswert: 9.0 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.

    CVSS: 9.0 EPSS: 0.23% Publiziert: Referenz: NVD
  10. Command Injection über manipulierte MQTT-Nachrichten mit Root-Rechten

    CVE-2026-49199 Kritisch

    Speziell präparierte MQTT-Nachrichten können eine Command Injection auslösen. Angreifer erhalten dadurch laut Quelle Code-Ausführung mit Root-Rechten auf dem Zielgerät. CVSS-Basiswert: 9.8 (Kritisch). Der CVSS-Vektor weist die Lücke als netzwerkbasiert, ohne Authentifizierung und ohne Nutzerinteraktion ausnutzbar aus. Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.

    CVSS: 9.8 EPSS: 0.22% Publiziert: Referenz: NVD
  11. Adobe Connect – Reflected Cross-Site Scripting (XSS)

    CVE-2026-27243 Kritisch

    In Adobe Connect Version 2025.3, 12.10 und früher besteht eine Reflected-XSS-Schwachstelle, über die ein Angreifer schädliche Skripte in Webseiten einschleusen kann. CVSS-Basiswert: 9.3 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 9.3 EPSS: 0.12% Publiziert: Referenz: NVD
  12. Adobe Connect – DOM-based Cross-Site Scripting (XSS)

    CVE-2026-27246 Kritisch

    In Adobe Connect Version 2025.3, 12.10 und früher besteht eine DOM-basierte XSS-Schwachstelle, über die ein Angreifer schädliche Skripte in Webseiten einschleusen kann. CVSS-Basiswert: 9.3 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 9.3 EPSS: 0.12% Publiziert: Referenz: NVD
  13. Adobe Connect – Reflected Cross-Site Scripting (XSS)

    CVE-2026-27245 Kritisch

    In Adobe Connect Version 2025.3, 12.10 und früher besteht eine Reflected-XSS-Schwachstelle, über die ein Angreifer schädliche Skripte in Webseiten einschleusen kann. CVSS-Basiswert: 9.3 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 9.3 EPSS: 0.12% Publiziert: Referenz: NVD
  14. Ivanti Xtraction – External File Name Control (Path Traversal / Stored XSS)

    CVE-2026-8043 Kritisch

    In Ivanti Xtraction vor Version 2026.2 ermöglicht eine externe Kontrolle von Dateinamen einem entfernten, authentifizierten Angreifer, sensible Dateien zu lesen und beliebige HTML-Dateien in ein Web-Verzeichnis zu schreiben, was zu weiteren Angriffen führen kann. CVSS-Basiswert: 9.6 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 9.6 EPSS: 0.12% Publiziert: Referenz: NVD
  15. Ivanti Secure Access Client – Buffer Overflow in der Nachrichtenverarbeitungsfunktion

    CVE-2026-33447 Kritisch

    Im Ivanti Secure Access Client vor Version 14.50 besteht ein Buffer Overflow in einer Nachrichten-Parsing-Funktion. Angreifer mit Kontrolle über einen manipulierten Server können ein spezielles Paket senden, das Speicherbereiche überschreibt. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 9.8 EPSS: 0.08% Publiziert: Referenz: NVD
  16. Ivanti Secure Access Client – Buffer Overflow im Authentifizierungssubsystem

    CVE-2026-33446 Kritisch

    Im Ivanti Secure Access Client vor Version 14.50 besteht ein Buffer Overflow im Authentifizierungssubsystem. Angreifer mit Kontrolle über einen manipulierten Server können ein spezielles Paket senden, das Speicherbereiche überschreibt. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 9.8 EPSS: 0.07% Publiziert: Referenz: NVD
  17. ai_cmd: Unauthentifizierte Ausführung beliebiger Root-Befehle über popen()

    CVE-2026-49188 Kritisch

    Das Dienstprogramm ai_cmd läuft mit vollen Root-Rechten und leitet Eingaben aus dem Socket direkt an popen() weiter. Dadurch können nicht authentifizierte Angreifer beliebige Befehle mit Root-Rechten ausführen. CVSS-Basiswert: 9.8 (Kritisch); der Angriff ist über das Netzwerk ohne Zugangsdaten und ohne Benutzerinteraktion möglich. Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 9.8 EPSS: 0.06% Publiziert: Referenz: NVD
  18. SEPPmail Secure Email Gateway – Account-Übernahme via GINA-Initialisierung

    CVE-2026-29139 Kritisch

    Im SEPPmail Secure Email Gateway vor Version 15.0.3 ermöglicht ein Missbrauch der GINA-Konto-Initialisierung die Übernahme fremder Konten durch Zurücksetzen des Opferpassworts. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 9.8 EPSS: 0.06% Publiziert: Referenz: NVD
  19. SEPPmail Secure Email Gateway – Fehlende Authentifizierung bei S/MIME-verschlüsselten Nachrichten

    CVE-2026-29143 Kritisch

    Im SEPPmail Secure Email Gateway vor Version 15.0.3 werden innere Nachrichten von S/MIME-verschlüsselten MIME-Einheiten nicht korrekt authentifiziert, wodurch ein Angreifer vertrauenswürdige Header manipulieren kann. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 9.1 EPSS: 0.06% Publiziert: Referenz: NVD
  20. SEPPmail Secure Email Gateway – PGP-Key-Upload mit falscher UID

    CVE-2026-29133 Kritisch

    Im SEPPmail Secure Email Gateway vor Version 15.0.3 können Angreifer PGP-Schlüssel mit UIDs hochladen, die nicht mit ihrer eigenen E-Mail-Adresse übereinstimmen, was zu einer Fehlzuordnung von Verschlüsselungsschlüsseln führen kann. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 9.1 EPSS: 0.06% Publiziert: Referenz: NVD
  21. FieldX MDM: Command Injection über ungeprüfte Payloads in Runtime.exec()

    CVE-2026-49185 Kritisch

    Das adb-Messaging-Topic von FieldX MDM reicht ungeprüfte Payloads direkt an Runtime.exec() weiter. Dadurch können Angreifer eigene Befehle beziehungsweise Instruktionen einschleusen (Command Injection). CVSS-Basiswert: 9.8 (Kritisch). Laut CVSS-Vektor ist die Lücke über das Netzwerk ohne Rechte und ohne Benutzerinteraktion ausnutzbar. Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Zugeordnetes überwachtes Produkt: Ivanti (Pulse/Connect Secure).

    CVSS: 9.8 EPSS: 0.05% Publiziert: Referenz: NVD
  22. Verbliebene Werks-Diagnosefunktionen erlauben Schreibzugriff auf NVRAM-Register

    CVE-2026-50211 Kritisch

    Auf Auslieferungs-Builds verbleiben Engineering-Diagnosefunktionen und Diagnose-Software auf Werksebene erreichbar. Dadurch erhalten bösartige Apps Schreibrechte auf interne NVRAM-Register. CVSS-Basiswert: 9.8 (Kritisch); der Vektor weist auf einen Angriff über das Netzwerk ohne Authentifizierung und ohne Benutzerinteraktion hin. Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 9.8 EPSS: 0.05% Publiziert: Referenz: NVD
  23. M3WebServer: Fest einkompilierte Backend-API-Schlüssel

    CVE-2026-49191 Kritisch

    Der Produktiv-Build des M3WebServer enthält seine Backend-API-Schlüssel fest im Code. Laut Quelle lassen sich diese Schlüssel über ausführliche Fehlerseiten (verbose error handling) leicht abgreifen. Der CVSS-Vektor (AV:N/AC:L/PR:N/UI:N) beschreibt einen Angriff über das Netzwerk ohne Authentifizierung und ohne Benutzerinteraktion. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 9.8 EPSS: 0.05% Publiziert: Referenz: NVD
  24. Lokaler MQTT-Broker ohne Topic-ACLs erlaubt Enumeration und Publish per Wildcard

    CVE-2026-49186 Kritisch

    Der lokale MQTT-Broker erzwingt keine Access Control Lists auf Topic-Ebene. Dadurch kann sich jeder Client mit Wildcard-Zeichen (# oder +) auf Topics abonnieren, um verborgene Netzwerkgeräte zu enumerieren oder Nachrichten zu publizieren. Der Angriff ist über das Netzwerk ohne Rechte und ohne Benutzerinteraktion möglich (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H). CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 9.8 EPSS: 0.04% Publiziert: Referenz: NVD
  25. Deaktivierte TLS-Zertifikatsprüfung (TrustAllCerts) und fest codierte DES-Schlüssel

    CVE-2026-50208 Kritisch

    Sogenannte TrustAllCerts-Routinen deaktivieren die standardmässige Prüfung von TLS-Zertifikaten. In Kombination mit fest codierten symmetrischen DES-Schlüsseln kann ein Angreifer in einer Man-in-the-Middle-Position den Netzwerkverkehr entschlüsseln. CVSS-Basiswert: 9.4 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 9.4 EPSS: 0.02% Publiziert: Referenz: NVD
  26. Ivanti Virtual Traffic Manager – OS Command Injection (RCE)

    CVE-2026-8051 Hoch

    Eine OS-Command-Injection-Schwachstelle in Ivanti Virtual Traffic Manager vor Version 22.9r4 ermöglicht einem entfernten, authentifizierten Angreifer mit Administratorrechten die Ausführung von beliebigem Code auf dem System. CVSS-Basiswert: 7.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 1.5 %.

    CVSS: 7.2 EPSS: 1.46% Publiziert: Referenz: NVD
  27. Splunk Enterprise/Cloud Platform: Schwachstelle in mehreren Versionen

    CVE-2026-20251 Hoch

    Laut Quelldaten betrifft die Schwachstelle Splunk Enterprise in Versionen unterhalb 10.2.4, 10.0.7, 9.4.12 und 9.3.13, die Splunk Cloud Platform unterhalb 10.3.2512.12, 10.2.2510.14, 10.1.2507.22 und 9.3.2411.132 sowie das Splunk Secure Gateway. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.6 %. Empfohlene Massnahme: Aktualisierung auf eine der genannten fehlerbereinigten Versionen.

    CVSS: 8.8 EPSS: 0.57% Publiziert: Referenz: NVD
  28. ClamAV: DoS/Speicherbeschädigung im PE-Datei-Parser

    CVE-2026-20213 Hoch

    Eine Schwachstelle im PE-Datei-Parser von ClamAV könnte einem nicht authentifizierten, entfernten Angreifer erlauben, durch Speicherbeschädigung einen Denial-of-Service-Zustand oder möglicherweise weitergehende Auswirkungen zu verursachen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %.

    CVSS: 7.5 EPSS: 0.46% Publiziert: Referenz: NVD
  29. ClamAV: Speicherfehler im FSG-Dateiformat-Parser ermöglicht Denial of Service

    CVE-2026-20214 Hoch

    Eine Schwachstelle im Parser für das FSG-Dateiformat von ClamAV könnte es einem nicht authentifizierten, entfernten Angreifer erlauben, durch eine Speicherbeschädigung einen Denial-of-Service-Zustand oder möglicherweise weitergehende Auswirkungen zu verursachen. Der Angriff erfolgt über das Netzwerk. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %.

    CVSS: 7.5 EPSS: 0.46% Publiziert: Referenz: NVD
  30. IBM API Connect – Standard-Anmeldedaten ermöglichen unbefugten Zugriff

    CVE-2026-3144 Hoch

    IBM API Connect 12.1.0.0 bis 12.1.0.3 verwendet Standard-Anmeldedaten, die einem Angreifer unbefugten Zugriff auf die Anwendung ermöglichen könnten, bevor das System eine Aktualisierung der Zugangsdaten erzwingt. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: die Standard-Anmeldedaten unverzüglich ändern und die vom Hersteller bereitgestellte Aktualisierung einspielen.

    CVSS: 8.1 EPSS: 0.41% Publiziert: Referenz: NVD
  31. Ivanti EPMM – Unbefugter Administratorzugriff (Improper Access Control)

    CVE-2026-5786 Hoch

    In Ivanti EPMM vor den Versionen 12.6.1.1, 12.7.0.1 und 12.8.0.1 ermöglicht eine fehlerhafte Zugriffskontrolle einem remote authentifizierten Angreifer, administrativen Zugriff zu erlangen. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.

    CVSS: 8.8 EPSS: 0.40% Publiziert: Referenz: NVD
  32. ClamAV – Denial of Service im InstallShield-Parser

    CVE-2026-20216 Hoch

    Eine Schwachstelle im InstallShield-Dateiformat-Parser von ClamAV kann es einem nicht authentifizierten, entfernten Angreifer ermöglichen, einen Denial-of-Service-Zustand auf einem betroffenen Gerät auszulösen. Ursache ist eine unsachgemässe Verarbeitung. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: verfügbare Hersteller-Updates einspielen.

    CVSS: 7.5 EPSS: 0.39% Publiziert: Referenz: NVD
  33. ClamAV: Speicherkorruption im 7z-Parser ermöglicht Denial of Service

    CVE-2026-20215 Hoch

    Eine Schwachstelle im 7z-Dateiformat-Parser von ClamAV könnte einem nicht authentifizierten, entfernten Angreifer erlauben, durch Speicherkorruption einen Denial of Service oder möglicherweise weitergehende Auswirkungen zu verursachen. Als betroffen ausgewiesen sind Cisco (Webex/UC), Cisco Webex, Cisco, Ivanti (Pulse/Connect Secure) und WithSecure (F-Secure). CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: die vom Hersteller bereitgestellten Updates einspielen.

    CVSS: 7.5 EPSS: 0.39% Publiziert: Referenz: NVD
  34. ClamAV: Denial of Service im PESpin-Dateiformat-Parser

    CVE-2026-20217 Hoch

    Eine Schwachstelle im PESpin-Dateiformat-Parser von ClamAV könnte einem nicht authentifizierten, entfernten Angreifer erlauben, infolge einer Speicherbeschädigung einen Denial-of-Service-Zustand oder möglicherweise weiterreichende Auswirkungen herbeizuführen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: ClamAV auf eine fehlerbereinigte Version gemäss dem Hersteller-Advisory aktualisieren.

    CVSS: 7.5 EPSS: 0.39% Publiziert: Referenz: NVD
  35. ClamAV (ALZ-Parser) – Denial of Service durch Speicherkorruption

    CVE-2026-20243 Hoch

    Eine Schwachstelle im ALZ-Dateiformat-Parser von ClamAV könnte einem nicht authentifizierten, entfernten Angreifer erlauben, einen Denial-of-Service-Zustand oder möglicherweise weitergehende Auswirkungen infolge einer Speicherkorruption herbeizuführen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: Aktualisierung von ClamAV gemäss Hersteller-Advisory.

    CVSS: 7.5 EPSS: 0.39% Publiziert: Referenz: NVD
  36. ClamAV – Speicherkorruption im DMG-Parser (Denial of Service)

    CVE-2026-20244 Hoch

    Eine Schwachstelle im DMG-Dateiformat-Parser von ClamAV könnte einem nicht authentifizierten, entfernten Angreifer erlauben, durch Speicherkorruption einen Denial-of-Service-Zustand oder möglicherweise weitergehende Auswirkungen herbeizuführen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: Hersteller-Updates einspielen, sobald verfügbar.

    CVSS: 7.5 EPSS: 0.39% Publiziert: Referenz: NVD
  37. Ivanti Neurons for ITSM – Fehlerhafte Zugriffskontrolle ermöglicht administrativen Zugriff

    CVE-2026-9614 Hoch

    Eine fehlerhafte Zugriffskontrolle in Ivanti Neurons for ITSM (Cloud und On-Premises) ermöglicht einem authentifizierten Remote-Angreifer, administrativen Zugriff auf das System zu erlangen. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.

    CVSS: 8.8 EPSS: 0.36% Publiziert: Referenz: NVD
  38. Ivanti Endpoint Manager – SQL Injection in Web Console (RCE)

    CVE-2026-8111 Hoch

    Eine SQL-Injection-Schwachstelle in der Web-Konsole von Ivanti Endpoint Manager vor Version 2024 SU6 ermöglicht einem entfernten, authentifizierten Angreifer die Ausführung von beliebigem Code auf dem System. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.

    CVSS: 8.8 EPSS: 0.35% Publiziert: Referenz: NVD
  39. Ivanti EPMM – Unauthentifizierter Methodenaufruf (Improper Access Control)

    CVE-2026-5788 Hoch

    In Ivanti EPMM vor den Versionen 12.6.1.1, 12.7.0.1 und 12.8.0.1 erlaubt eine fehlerhafte Zugriffskontrolle einem nicht authentifizierten Angreifer aus der Ferne, beliebige Methoden aufzurufen. CVSS-Basiswert: 7.0 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.

    CVSS: 7.0 EPSS: 0.25% Publiziert: Referenz: NVD
  40. Ivanti Secure Access Client – Fehlerhafte Zertifikatsvalidierung (RCE)

    CVE-2026-8992 Hoch

    Eine fehlerhafte Zertifikatsvalidierung in Ivanti Secure Access Client vor Version 22.8R6 ermöglicht einem entfernten, nicht authentifizierten Angreifer die Ausführung von beliebigem Code. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 8.8 EPSS: 0.13% Publiziert: Referenz: NVD
  41. SEPPmail Secure Email Gateway – Umgehung der Betreff-Bereinigung

    CVE-2026-29135 Hoch

    Im SEPPmail Secure Email Gateway vor Version 15.0.3 kann ein Angreifer ein speziell präpariertes Passwort-Tag erstellen, das die Bereinigung des E-Mail-Betreffs umgeht. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 7.5 EPSS: 0.11% Publiziert: Referenz: NVD
  42. Connect-CMS – Authentifizierter Angreifer kann Code ausführen

    CVE-2026-32276 Hoch

    Im Content-Management-System Connect-CMS bis einschliesslich Version 1.41.0 (1.x-Reihe) und 2.41.0 (2.x-Reihe) kann ein authentifizierter Nutzer potenziell Code ausführen. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 8.8 EPSS: 0.10% Publiziert: Referenz: NVD
  43. Azure Entra ID – Unsachgemässes Privilegienmanagement (Privilege Escalation)

    CVE-2026-23663 Hoch

    Ein unsachgemässes Privilegienmanagement in Azure Entra ID ermöglicht einem nicht autorisierten Angreifer über das Netzwerk eine Rechteeskalation. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 7.5 EPSS: 0.10% Publiziert: Referenz: NVD
  44. Tanium Connect – Nicht autorisierte Codeausführung

    CVE-2026-9208 Hoch

    Tanium hat eine Schwachstelle zur nicht autorisierten Codeausführung in Connect behoben. Diese Schwachstelle ist Ivanti (Pulse/Connect Secure)-Produkten zugeordnet. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 8.8 EPSS: 0.08% Publiziert: Referenz: NVD
  45. Tanium Connect – Nicht autorisierte Codeausführung

    CVE-2026-9207 Hoch

    Tanium hat eine Schwachstelle zur nicht autorisierten Codeausführung in Connect behoben. Diese Schwachstelle ist Ivanti (Pulse/Connect Secure)-Produkten zugeordnet. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 8.8 EPSS: 0.07% Publiziert: Referenz: NVD
  46. Ivanti DSM – Lokale Privilegienerweiterung

    CVE-2026-3483 Hoch

    In Ivanti DSM vor Version 2026.1.1 erlaubt eine exponierte, gefährliche Methode einem lokal authentifizierten Angreifer, seine Berechtigungen zu erhöhen. CVSS-Basiswert: 7.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 7.8 EPSS: 0.07% Publiziert: Referenz: NVD
  47. SEPPmail Secure Email Gateway – GINA-Webdomain-Metadaten-Manipulation

    CVE-2026-29134 Hoch

    Im SEPPmail Secure Email Gateway vor Version 15.0.3 kann ein externer Benutzer GINA-Webdomain-Metadaten modifizieren und domänenspezifische Einschränkungen umgehen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 7.5 EPSS: 0.07% Publiziert: Referenz: NVD
  48. Ivanti: Unzureichende Berechtigungsprüfung erlaubt unautorisierte Installationen

    CVE-2026-49190 Hoch

    Das System wertet die Berechtigungen über mehrere interne Operationscodes (Opcodes) nicht korrekt aus, wodurch unautorisierte Anwendungsinstallationen oder Befehlsausführungen möglich werden. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: Einspielen der vom Hersteller bereitgestellten Sicherheitsupdates.

    CVSS: 8.8 EPSS: 0.06% Publiziert: Referenz: NVD
  49. Ivanti Secure Access Client – Buffer Overflow im Nachrichten-Handler

    CVE-2026-33449 Hoch

    Im Ivanti Secure Access Client vor Version 14.50 besteht ein Buffer Overflow in einer Nachrichtenverarbeitungsfunktion. Angreifer mit Kontrolle über einen manipulierten Server können eine kryptografisch gültige Nachricht senden, um Speicherbereiche zu überschreiben. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 7.5 EPSS: 0.06% Publiziert: Referenz: NVD
  50. Unauthentifizierter Zugriff auf interne Multimedia-Sitzungsarchive

    CVE-2026-49202 Hoch

    Interne Multimedia-Sitzungsarchive sind ohne Authentifizierung zugänglich, verschärft durch lockere Cross-Origin-Resource-Sharing-Regeln (CORS), die einen Diebstahl über Website-Grenzen hinweg ermöglichen. CVSS-Basiswert: 8.6 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: auf eine fehlerbereinigte Version aktualisieren und CORS-Regeln restriktiv konfigurieren.

    CVSS: 8.6 EPSS: 0.06% Publiziert: Referenz: NVD

Diesem Produkt-Feed folgen

Eigener RSS-Feed nur für Ivanti (Pulse/Connect Secure), kostenlos und ohne Anmeldung. Zustellung per E-Mail, Webhook, REST oder TAXII richten wir auf Anfrage ein.

RSS-Feed öffnen Zustellung anfragen

Wie folge ich dem Feed?

  • 1 RSS-Feed-Link kopieren oder direkt im RSS-Reader öffnen.
  • 2 Priorisierte Reports (KEV · EPSS · CVSS) landen automatisch in Ihrem Reader.
  • 3 Zustellung per E-Mail, Webhook, REST oder TAXII auf Anfrage einrichten lassen.
Zurück zum Katalog