1.1 Aktiv ausgenutzte Lücken
Netzwerk, Firewall, Security-Appliances

Ivanti (Pulse/Connect Secure) Seite 3

Netzwerk, Firewall, Security-Appliances
160
Reports
48
Aktiv ausgenutzt
Kritisch
Höchste Priorität
100.0%
Max. EPSS

Schwachstellen-Reports

160 Reports

Zeige 101 bis 150 von 160

  1. Ivanti EPMM – Fehlerhafte Zertifikatsvalidierung

    CVE-2026-7821 Hoch

    Eine fehlerhafte Zertifikatsvalidierung in Ivanti EPMM vor den Versionen 12.6.1.1, 12.7.0.1 und 12.8.0.1 ermöglicht es einem entfernten, nicht authentifizierten Angreifer, ein Gerät aus einer eingeschränkten Menge nicht eingeschriebener Geräte einzuschreiben. CVSS-Basiswert: 7.4 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 7.4 EPSS: 0.06% Publiziert: Referenz: NVD
  2. OpenVPN Connect macOS – Privilege Escalation via Background Service

    CVE-2026-9560 Hoch

    In OpenVPN Connect 3.5.1 bis 3.8.1 auf macOS ermöglicht eine Schwachstelle im Hintergrunddienst lokalen Angreifern die Ausführung beliebiger Befehle mit erhöhten Rechten über einen lokalen IPC-Kanal. CVSS-Basiswert: 7.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 7.8 EPSS: 0.06% Publiziert: Referenz: NVD
  3. Connect-CMS – Stored Cross-Site Scripting

    CVE-2026-32278 Hoch

    Im Content-Management-System Connect-CMS bis einschliesslich Version 1.41.0 (1.x-Reihe) und 2.41.0 (2.x-Reihe) besteht eine Stored-Cross-Site-Scripting-Schwachstelle (XSS). CVSS-Basiswert: 8.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 8.2 EPSS: 0.05% Publiziert: Referenz: NVD
  4. Adobe Connect – Cross-Site Scripting (XSS) mit Privilege Escalation

    CVE-2026-34617 Hoch

    In Adobe Connect (Versionen 2025.3, 12.10 und früher) besteht eine Cross-Site-Scripting-Schwachstelle, die zur Privileg-Eskalation missbraucht werden kann. CVSS-Basiswert: 8.7 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 8.7 EPSS: 0.05% Publiziert: Referenz: NVD
  5. Connect-CMS – Unzureichende Autorisierung

    CVE-2026-32299 Hoch

    Im Content-Management-System Connect-CMS bis einschliesslich Version 1.41.0 (1.x-Reihe) und 2.41.0 (2.x-Reihe) besteht ein Problem mit unzureichender Autorisierung. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 7.5 EPSS: 0.05% Publiziert: Referenz: NVD
  6. Ivanti Pulse/Connect Secure: Klartext-Passwörter und sensible Mitarbeiterdaten in Systemprotokollen

    CVE-2026-50205 Hoch

    In Systemprotokolldateien werden Authentifizierungspasswörter des SMTP-Servers unverschlüsselt zusammen mit sensiblen Mitarbeiter- und Unternehmensidentifikationsdaten ausgegeben. Dadurch können Personen mit Zugriff auf die Logs vertrauliche Zugangsdaten und Personendaten einsehen. CVSS-Basiswert: 8.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: Hersteller-Update gemäss Ivanti-Advisory einspielen.

    CVSS: 8.2 EPSS: 0.05% Publiziert: Referenz: NVD
  7. SEPPmail Secure Email Gateway – GINA Second-Password-Bypass

    CVE-2026-29132 Hoch

    Im SEPPmail Secure Email Gateway vor Version 15.0.3 kann ein Angreifer mit Zugriff auf das GINA-Konto eines Opfers die Zweikennwort-Prüfung umgehen und geschützte E-Mails lesen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 7.5 EPSS: 0.04% Publiziert: Referenz: NVD
  8. SEPPmail Secure Email Gateway – Missbrauch von PGP-Signaturen

    CVE-2026-29138 Hoch

    Im SEPPmail Secure Email Gateway vor Version 15.0.3 können Angreifer mit einer speziell gestalteten E-Mail-Adresse die PGP-Signatur eines anderen Nutzers als eigene beanspruchen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 7.5 EPSS: 0.04% Publiziert: Referenz: NVD
  9. Debugging-Routine umgeht Anmeldung in Ivanti-Geräten

    CVE-2026-49194 Hoch

    Eine Debugging-Routine (SCREEN_CLICK(5053)) in betroffenen Ivanti-Produkten erlaubt es einer Verbindung, die reguläre Anmeldeaufforderung des Geräts vollständig zu überspringen und direkt eine interaktive Shell zu erreichen. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 8.8 EPSS: 0.04% Publiziert: Referenz: NVD
  10. SEPPmail Secure Email Gateway – E-Mail-Inhaltszugriff durch präparierte Absenderadresse

    CVE-2026-29131 Hoch

    Im SEPPmail Secure Email Gateway vor Version 15.0.3 können Angreifer durch eine speziell gestaltete E-Mail-Adresse den Inhalt von verschlüsselten E-Mails anderer Benutzer lesen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 7.5 EPSS: 0.04% Publiziert: Referenz: NVD
  11. Ericsson Indoor Connect 8855 – Improper Filtering (Dateimanipulation)

    CVE-2025-27260 Hoch

    Ericsson Indoor Connect 8855 vor Version 2025.Q3 enthält eine Schwachstelle durch unzureichende Filterung von Sonderzeichen, die bei Ausnutzung zu einer unbefugten Änderung bestimmter Informationen führen kann. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 7.5 EPSS: 0.04% Publiziert: Referenz: NVD
  12. Ivanti: Kontovalidierungs-Endpunkt gibt Benutzerprofildaten preis

    CVE-2026-50213 Hoch

    Der Kontovalidierungs-Endpunkt /v1/User/validate liefert umfassende Benutzerprofildaten zurück, die durch systematisches Durchprobieren vorhersagbarer Identifikationszeichenketten abgegriffen werden können. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 7.5 EPSS: 0.03% Publiziert: Referenz: NVD
  13. Chartbrew: Schwachstelle für authentifizierte Benutzer mit Projekt-Editor-Rechten

    CVE-2026-41518 Hoch

    Chartbrew ist eine quelloffene Webanwendung, die sich direkt mit Datenbanken und APIs verbinden und die Daten zur Erstellung von Diagrammen nutzen kann. In den Versionen 4.9.0 bis 5.0.0 kann ein authentifizierter Benutzer mit Projekt-Editor-Rechten die Schwachstelle ausnutzen. Der Angriff erfolgt über das Netzwerk mit gewechseltem Scope und erfordert eine Benutzerinteraktion. CVSS-Basiswert: 7.6 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 7.6 EPSS: 0.03% Publiziert: Referenz: NVD
  14. Ivanti: Fest kodierte, nicht ablaufende APK-Ressourcendateien führen zu Informationsleck

    CVE-2026-49187 Hoch

    Fest kodierte APK-Ressourcendateien laufen nicht ab; das gemeinsam genutzte Geheimnis führt zu Informationslecks und potenziellem Missbrauch. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 7.5 EPSS: 0.03% Publiziert: Referenz: NVD
  15. Öffentlich zugängliche Cloud-Storage-Container legen Telemetriedaten offen

    CVE-2026-49193 Hoch

    Zu freizügige Konfigurationseinstellungen an Cloud-Storage-Containern legen aktive Telemetrieinformationen öffentlich im Internet offen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: die Zugriffskonfiguration der betroffenen Storage-Container gemäss Hersteller-Advisory einschränken.

    CVSS: 7.5 EPSS: 0.03% Publiziert: Referenz: NVD
  16. Statische Initialisierungsvektoren bei AES-CBC ermöglichen Replay- und Known-Plaintext-Angriffe

    CVE-2026-50210 Hoch

    Das Gerät verschlüsselt Daten mit AES-CBC unter Verwendung statischer, mit Nullen gefüllter Initialisierungsvektoren und wird dadurch anfällig für Replay-Angriffe und Known-Plaintext-Entschlüsselung. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 7.5 EPSS: 0.03% Publiziert: Referenz: NVD
  17. Kiteworks Secure Data Forms – Reflected XSS

    CVE-2026-24751 Hoch

    In Kiteworks (einem privaten Datennetzwerk) wurde vor Version 9.3.0 eine Reflected-Cross-Site-Scripting-Schwachstelle in den Secure Data Forms entdeckt, die es einem externen Angreifer ermöglicht, einen Benutzer zur Ausführung von beliebigem JavaScript-Code zu verleiten. CVSS-Basiswert: 8.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 8.2 EPSS: 0.03% Publiziert: Referenz: NVD
  18. Kiteworks Secure Data Forms – Reflected XSS

    CVE-2026-24752 Hoch

    In Kiteworks (einem privaten Datennetzwerk) wurde vor Version 9.3.0 eine Reflected-Cross-Site-Scripting-Schwachstelle in den Secure Data Forms entdeckt, die es einem externen Angreifer ermöglicht, einen Benutzer zur Ausführung von beliebigem JavaScript-Code zu verleiten. CVSS-Basiswert: 8.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 8.2 EPSS: 0.03% Publiziert: Referenz: NVD
  19. Ivanti Secure Access Client – Lokale Privilegienerweiterung (Race Condition)

    CVE-2026-7432 Hoch

    In Ivanti Secure Access Client vor Version 22.8R6 ermöglicht eine Race Condition einem lokal authentifizierten Benutzer, seine Rechte auf SYSTEM-Ebene zu erhöhen. CVSS-Basiswert: 7.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 7.8 EPSS: 0.03% Publiziert: Referenz: NVD
  20. Kiteworks Secure Data Forms – SQL-Injection

    CVE-2026-24782 Hoch

    In Kiteworks (einem privaten Datennetzwerk) wurden vor Version 9.3.0 mehrere SQL-Injection-Schwachstellen in den Secure Data Forms entdeckt, die von einem authentifizierten Angreifer mit entsprechenden FormBuilder-Rechten ausgenutzt werden können. CVSS-Basiswert: 7.6 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 7.6 EPSS: 0.03% Publiziert: Referenz: NVD
  21. Ivanti Endpoint Manager – Fehlerhafte Berechtigungen (Privilege Escalation)

    CVE-2026-8110 Hoch

    Eine fehlerhafte Berechtigungszuweisung im Agenten von Ivanti Endpoint Manager vor Version 2024 SU6 ermöglicht einem lokal authentifizierten Angreifer die Eskalation seiner Rechte. CVSS-Basiswert: 7.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 7.8 EPSS: 0.03% Publiziert: Referenz: NVD
  22. Ivanti Secure Access Windows Client – Arbitrary Read/Write

    CVE-2026-33451 Hoch

    Im Secure Access Windows Client vor Version 14.50 von Ivanti (Pulse/Connect Secure) wurde eine Schwachstelle für beliebiges Lesen und Schreiben entdeckt. Angreifer mit lokalem Zugriff auf den Windows-Client können durch das Senden von manipulierten Daten an eine API die Schwachstelle ausnutzen. CVSS-Basiswert: 7.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 7.8 EPSS: 0.02% Publiziert: Referenz: NVD
  23. Connect-CMS – DOM-basiertes Cross-Site Scripting im Cabinet-Plugin

    CVE-2026-32277 Hoch

    Im Content-Management-System Connect-CMS existiert in den Versionen 1.35.0 bis 1.41.0 und 2.35.0 bis 2.41.0 ein DOM-basiertes Cross-Site-Scripting (XSS) in der Listenansicht des Cabinet-Plugins. CVSS-Basiswert: 8.7 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 8.7 EPSS: 0.02% Publiziert: Referenz: NVD
  24. Connect-CMS – Unzureichende Autorisierung im M-Bereich

    CVE-2026-32300 Hoch

    Im Content-Management-System Connect-CMS bis einschliesslich Version 1.41.0 (1.x-Reihe) und 2.41.0 (2.x-Reihe) besteht ein Problem mit unzureichender Autorisierung. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 8.1 EPSS: 0.02% Publiziert: Referenz: NVD
  25. Ivanti – Fehlende Autorisierungsprüfung in eSIM-Management-API

    CVE-2026-49203 Hoch

    Zentrale Management-API-Endpunkte für die Zuteilung von Mobilfunk-eSIM-Profilen prüfen die Autorisierung des Aufrufers nicht, wodurch entfernte Profile überschrieben oder gelöscht werden können. CVSS-Basiswert: 8.3 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 8.3 EPSS: 0.01% Publiziert: Referenz: NVD
  26. Unverifizierte AT-Kommandos über die Binder-Grenze ermöglichen Baseband-Zugriff

    CVE-2026-50207 Hoch

    Die System-Binder-Grenze akzeptiert unverifizierte, durchgereichte AT-Kommandos, wodurch lokale Anwendungen Baseband-Dateien lesen oder die Mobilfunkverbindung deaktivieren können. CVSS-Basiswert: 7.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 7.8 EPSS: 0.01% Publiziert: Referenz: NVD
  27. MDM-Endpunkt per Broadcast-Events überschreibbar – Übernahme der Geräteverwaltung

    CVE-2026-50209 Hoch

    Über Broadcast-Events kann bösartige Software die standardmässig konfigurierte MDM-Endpunktadresse (Mobile Device Management) eines Geräts überschreiben und so die administrative Kontrolle auf einen externen Angreifer verlagern. CVSS-Basiswert: 7.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: Hersteller-Updates einspielen, sobald verfügbar.

    CVSS: 7.8 EPSS: 0.01% Publiziert: Referenz: NVD
  28. OP-TEE – Schwachstelle in der Trusted Execution Environment

    CVE-2026-40290 Hoch

    OP-TEE ist eine Trusted Execution Environment (TEE), die als Begleiter zu einem nicht-sicheren Linux-Kernel auf Arm-Cortex-A-Kernen mit TrustZone-Technologie konzipiert ist. Ab Version 3.16.0 besteht eine Schwachstelle in OP-TEE. CVSS-Basiswert: 7.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: auf eine fehlerbereinigte Version aktualisieren.

    CVSS: 7.8 EPSS: 0.01% Publiziert: Referenz: NVD
  29. Ivanti: Ungeschützter Broadcast Receiver erlaubt unautorisierte Administrationsoperationen

    CVE-2026-49189 Hoch

    Ungeprüfte öffentliche Zugriffsberechtigungen auf einem zentralen Broadcast Receiver erlauben es unautorisierten lokalen Softwarekomponenten, administrative Operationen auszulösen. Der Angriff erfolgt lokal. CVSS-Basiswert: 7.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 7.8 EPSS: 0.01% Publiziert: Referenz: NVD
  30. Android Bluetooth – Bonding Bypass (Privilege Escalation)

    CVE-2026-0045 Hoch

    Ein Logikfehler in der Funktion bta_jv_rfcomm_connect (bta_jv_act.cc) ermöglicht es, das Bonding für eine gesicherte Bluetooth-Verbindung zu umgehen, was zu einer lokalen Rechteeskalation ohne zusätzliche Ausführungsrechte führen kann. CVSS-Basiswert: 7.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 7.8 EPSS: 0.01% Publiziert: Referenz: NVD
  31. Path Traversal in Ivanti Xtraction

    CVE-2026-14903 Hoch

    In Ivanti Xtraction vor Version 2026.2.1 besteht eine Path-Traversal-Schwachstelle, über die ein entfernter, authentifizierter Angreifer beliebige Dateien ausserhalb des Web-Roots lesen kann. CVSS-Basiswert: 7.7 (Hoch). Empfohlene Massnahme: auf Ivanti Xtraction Version 2026.2.1 oder höher aktualisieren.

    CVSS: 7.7 Publiziert: Referenz: NVD
  32. Rechteausweitung in Windows Secure Kernel Mode (CVE-2026-42982)

    CVE-2026-42982 Hoch

    Eine unzureichende Konsistenzprüfung von Eingaben in Windows Secure Kernel Mode erlaubt es einem berechtigten Angreifer, lokal seine Rechte auszuweiten. Betroffen ist Microsoft Windows. CVSS-Basiswert: 7.8 (Hoch). Ein EPSS-Wert liegt in den Quelldaten nicht vor. Empfohlene Massnahme: verfügbare Sicherheitsupdates von Microsoft einspielen.

    CVSS: 7.8 Publiziert: Referenz: NVD
  33. Windows Secure Boot: Umgehung einer Sicherheitsfunktion

    CVE-2026-49783 Hoch

    Eine unzureichend implementierte Sicherheitsprüfung in Windows Secure Boot erlaubt einem berechtigten Angreifer, lokal eine Sicherheitsfunktion zu umgehen. CVSS-Basiswert: 7.8 (Hoch). Eine aktive Ausnutzung über CISA KEV oder ein Einsatz in Ransomware-Kampagnen ist nicht belegt. Empfohlene Massnahme: die von Microsoft bereitgestellten Sicherheitsupdates einspielen.

    CVSS: 7.8 Publiziert: Referenz: NVD
  34. Use-after-free in Windows SSTP ermöglicht Remote-Code-Ausführung (CVE-2026-50694)

    CVE-2026-50694 Hoch

    Ein Use-after-free im Windows Secure Socket Tunneling Protocol (SSTP) erlaubt es einem nicht berechtigten Angreifer, über das Netzwerk Code auszuführen. Betroffen ist Microsoft Windows. CVSS-Basiswert: 8.1 (Hoch). Ein EPSS-Wert liegt in den Quelldaten nicht vor. Empfohlene Massnahme: verfügbare Sicherheitsupdates von Microsoft einspielen.

    CVSS: 8.1 Publiziert: Referenz: NVD
  35. WordPress Catalyst Connect Zoho CRM Client Portal: SQL-Injection über uid-Parameter

    CVE-2025-5017 Mittel

    Das WordPress-Plugin Catalyst Connect Zoho CRM Client Portal ist bis einschliesslich Version 2.2.0 für zeitbasierte SQL-Injection über den Parameter uid anfällig, verursacht durch unzureichende Maskierung. CVSS-Basiswert: 4.9 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: das Plugin auf eine bereinigte Version aktualisieren.

    CVSS: 4.9 EPSS: 0.26% Publiziert: Referenz: NVD
  36. IBM App Connect Enterprise / Integration Bus: SQL-Injection

    CVE-2026-3602 Mittel

    IBM App Connect Enterprise (13.0.1.0 bis 13.0.7.2 sowie 12.0.1.0 bis 12.0.12.26) und IBM Integration Bus for z/OS (10.1.0.0 bis 10.1.0.7) sind für SQL-Injection anfällig. Ein entfernter Angreifer könnte dies ausnutzen. Als betroffen ausgewiesen sind IBM Storage und Ivanti (Pulse/Connect Secure). CVSS-Basiswert: 4.7 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: auf eine korrigierte Version aktualisieren.

    CVSS: 4.7 EPSS: 0.18% Publiziert: Referenz: NVD
  37. WithSecure / F-Secure Atlant – Denial-of-Service beim Scannen von PE32-Dateien

    CVE-2022-28880 Mittel

    Beim Scannen von manipulierten PE32-Binärdateien kann in F-Secure Atlant und bestimmten WithSecure-Produkten ein Absturz der Scan-Engine ausgelöst werden, was zu einem Denial-of-Service führt. CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.

    CVSS: 4.3 EPSS: 0.18% Publiziert: Referenz: NVD
  38. VPN-Netzwerkprofil: Command Injection über bösartige Konfigurationsdateien

    CVE-2026-50206 Mittel

    Eingehende VPN-Netzwerkprofil-Einstellungen verarbeiten Sonderzeichen nicht sicher und ermöglichen so eine Command Injection über bösartige Konfigurationsdateien. CVSS-Basiswert: 6.8 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: verfügbare Hersteller-Updates einspielen.

    CVSS: 6.8 EPSS: 0.13% Publiziert: Referenz: NVD
  39. AMD Secure Processor (ASP) – Unzureichende Zugriffskontrolle auf SMN-Apertures

    CVE-2021-46747 Mittel

    Im AMD Secure Processor (ASP) ermöglicht eine unzureichende Granularität der Zugriffskontrolle einer nicht vertrauenswürdigen Benutzeranwendung, sensible SMN-Apertures (System Management Network) abzubilden. Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    EPSS: 0.10% Publiziert: Referenz: NVD
  40. Wire iOS vor 4.16.0: Schwachstelle bei der Verarbeitung manipulierter Proteus-Nachrichten

    CVE-2026-35049 Mittel

    Der iOS-Client der Wire-Messaging-Anwendung (wire-ios) ist in Versionen vor 4.16.0 anfällig für manipulierte Proteus-Externe-Nachrichten mit einem verschlüsselten Payload. CVSS-Basiswert: 6.5 (Mittel).

    CVSS: 6.5 EPSS: 0.06% Publiziert: Referenz: NVD
  41. Linux-Kernel: vsock ignoriert Signal/Timeout bei bereits bestehender Verbindung nicht

    CVE-2025-40248 Mittel

    Im Linux-Kernel wurde eine Schwachstelle im vsock-Subsystem behoben: Während connect() konnte ein Signal oder ein Timeout dazu führen, dass eine bereits bestehende Verbindung getrennt wurde, obwohl dies nicht beabsichtigt war. Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    EPSS: 0.06% Publiziert: Referenz: NVD
  42. TLS-Socket-Subsystem – Out-of-bounds-Zugriff im Verbindungspfad

    CVE-2026-5066 Mittel

    Im TLS-Socket-Verbindungspfad des Netzwerk-Socket-Subsystems (subsys/net/lib/sockets/sockets_tls.c) besteht ein möglicher Out-of-bounds-Schreib-/Lesezugriff. Er kann auftreten, wenn der TLS-Session-Cache aktiviert ist. CVSS-Basiswert: 6.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 6.3 EPSS: 0.06% Publiziert: Referenz: NVD
  43. Fest kodierte Zugangsdaten in zurückgelassenen Debug-Modulen

    CVE-2026-49204 Mittel

    Zurückgelassene Debug-Module enthalten fest hinterlegte Zugangsdaten für interne AWS-Cognito-Test-Sandboxes, was eine Ausnutzung betroffener Assets ermöglichen kann. CVSS-Basiswert: 6.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 6.5 EPSS: 0.03% Publiziert: Referenz: NVD
  44. IDOR im Summary-Service-Endpunkt – Offenlegung von Gerätedaten

    CVE-2026-49192 Mittel

    Der Summary-Service-Endpunkt weist eine IDOR-Schwachstelle (Insecure Direct Object Reference) auf: Er prüft nicht, ob ein Nutzer Eigentümer der abgefragten Hardware-Seriennummern ist, wodurch Gerätedaten durch Scraping ausgelesen werden können. CVSS-Basiswert: 5.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: Auf eine vom Hersteller bereitgestellte, korrigierte Version aktualisieren.

    CVSS: 5.4 EPSS: 0.03% Publiziert: Referenz: NVD
  45. HAX CMS: Refresh-Token-Cookie ohne Secure-Flag

    CVE-2026-46398 Mittel

    HAX CMS dient der Verwaltung von Microsite-Umgebungen mit PHP- oder Node.js-Backend. Ab Version 25.0.0 und vor Version 26.0.0 wird das Cookie haxcms_refresh_token ohne das Secure-Flag gesetzt, wodurch es über unverschlüsselte Verbindungen übertragen und abgegriffen werden kann. Ein CVSS-Basiswert liegt nicht in den Quelldaten vor. Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: Auf HAX CMS 26.0.0 oder neuer aktualisieren.

    EPSS: 0.03% Publiziert: Referenz: NVD
  46. Kiteworks Secure Data Forms – Stored XSS

    CVE-2026-24754 Mittel

    In Kiteworks (einem privaten Datennetzwerk) wurde vor Version 9.3.0 eine gespeicherte Cross-Site-Scripting-Schwachstelle in den Secure Data Forms entdeckt, die einem authentifizierten Angreifer die Ausführung von beliebigem JavaScript-Code ermöglicht. CVSS-Basiswert: 5.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 5.4 EPSS: 0.03% Publiziert: Referenz: NVD
  47. Kiteworks Secure Data Forms – Insecure Direct Object Reference (IDOR)

    CVE-2026-23638 Mittel

    In Kiteworks vor Version 9.3.0 ermöglicht eine Insecure-Direct-Object-Reference-Schwachstelle (IDOR) in den Secure Data Forms einem authentifizierten Angreifer die Manipulation von Daten anderer Benutzer. CVSS-Basiswert: 6.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 6.5 EPSS: 0.03% Publiziert: Referenz: NVD
  48. Kiteworks Secure Data Forms – IDOR (Ressourcenmodifikation)

    CVE-2026-24753 Mittel

    In Kiteworks (einem privaten Datennetzwerk) wurde vor Version 9.3.0 eine Insecure-Direct-Object-Reference-Schwachstelle (IDOR) in den Secure Data Forms entdeckt, die einem authentifizierten Benutzer die unberechtigte Modifikation von Ressourcen ermöglicht. CVSS-Basiswert: 6.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 6.5 EPSS: 0.03% Publiziert: Referenz: NVD
  49. Kiteworks Secure Data Forms – IDOR (Ressourcenzugriff)

    CVE-2026-24756 Mittel

    In Kiteworks (einem privaten Datennetzwerk) wurde vor Version 9.3.0 eine Insecure-Direct-Object-Reference-Schwachstelle (IDOR) in den Secure Data Forms entdeckt, die einem authentifizierten Benutzer die unberechtigte Modifikation von Ressourcen ermöglicht. CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 4.3 EPSS: 0.03% Publiziert: Referenz: NVD
  50. Kiteworks Secure Data Forms – IDOR (Berechtigungsmodifikation)

    CVE-2026-24755 Mittel

    In Kiteworks (einem privaten Datennetzwerk) wurde vor Version 9.3.0 eine Insecure-Direct-Object-Reference-Schwachstelle (IDOR) in den Secure Data Forms entdeckt, die einem authentifizierten Benutzer die unberechtigte Änderung von Berechtigungen ermöglicht. CVSS-Basiswert: 5.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 5.4 EPSS: 0.02% Publiziert: Referenz: NVD

Diesem Produkt-Feed folgen

Eigener RSS-Feed nur für Ivanti (Pulse/Connect Secure), kostenlos und ohne Anmeldung. Zustellung per E-Mail, Webhook, REST oder TAXII richten wir auf Anfrage ein.

RSS-Feed öffnen Zustellung anfragen

Wie folge ich dem Feed?

  • 1 RSS-Feed-Link kopieren oder direkt im RSS-Reader öffnen.
  • 2 Priorisierte Reports (KEV · EPSS · CVSS) landen automatisch in Ihrem Reader.
  • 3 Zustellung per E-Mail, Webhook, REST oder TAXII auf Anfrage einrichten lassen.
Zurück zum Katalog