Ivanti (Pulse/Connect Secure) Seite 3
Schwachstellen-Reports
160 ReportsZeige 101 bis 150 von 160
-
Ivanti EPMM – Fehlerhafte Zertifikatsvalidierung
CVE-2026-7821 HochEine fehlerhafte Zertifikatsvalidierung in Ivanti EPMM vor den Versionen 12.6.1.1, 12.7.0.1 und 12.8.0.1 ermöglicht es einem entfernten, nicht authentifizierten Angreifer, ein Gerät aus einer eingeschränkten Menge nicht eingeschriebener Geräte einzuschreiben. CVSS-Basiswert: 7.4 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 7.4 EPSS: 0.06% Publiziert: Referenz: NVD -
OpenVPN Connect macOS – Privilege Escalation via Background Service
CVE-2026-9560 HochIn OpenVPN Connect 3.5.1 bis 3.8.1 auf macOS ermöglicht eine Schwachstelle im Hintergrunddienst lokalen Angreifern die Ausführung beliebiger Befehle mit erhöhten Rechten über einen lokalen IPC-Kanal. CVSS-Basiswert: 7.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 7.8 EPSS: 0.06% Publiziert: Referenz: NVD -
Connect-CMS – Stored Cross-Site Scripting
CVE-2026-32278 HochIm Content-Management-System Connect-CMS bis einschliesslich Version 1.41.0 (1.x-Reihe) und 2.41.0 (2.x-Reihe) besteht eine Stored-Cross-Site-Scripting-Schwachstelle (XSS). CVSS-Basiswert: 8.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 8.2 EPSS: 0.05% Publiziert: Referenz: NVD -
Adobe Connect – Cross-Site Scripting (XSS) mit Privilege Escalation
CVE-2026-34617 HochIn Adobe Connect (Versionen 2025.3, 12.10 und früher) besteht eine Cross-Site-Scripting-Schwachstelle, die zur Privileg-Eskalation missbraucht werden kann. CVSS-Basiswert: 8.7 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 8.7 EPSS: 0.05% Publiziert: Referenz: NVD -
Connect-CMS – Unzureichende Autorisierung
CVE-2026-32299 HochIm Content-Management-System Connect-CMS bis einschliesslich Version 1.41.0 (1.x-Reihe) und 2.41.0 (2.x-Reihe) besteht ein Problem mit unzureichender Autorisierung. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 7.5 EPSS: 0.05% Publiziert: Referenz: NVD -
Ivanti Pulse/Connect Secure: Klartext-Passwörter und sensible Mitarbeiterdaten in Systemprotokollen
CVE-2026-50205 HochIn Systemprotokolldateien werden Authentifizierungspasswörter des SMTP-Servers unverschlüsselt zusammen mit sensiblen Mitarbeiter- und Unternehmensidentifikationsdaten ausgegeben. Dadurch können Personen mit Zugriff auf die Logs vertrauliche Zugangsdaten und Personendaten einsehen. CVSS-Basiswert: 8.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: Hersteller-Update gemäss Ivanti-Advisory einspielen.
CVSS: 8.2 EPSS: 0.05% Publiziert: Referenz: NVD -
SEPPmail Secure Email Gateway – GINA Second-Password-Bypass
CVE-2026-29132 HochIm SEPPmail Secure Email Gateway vor Version 15.0.3 kann ein Angreifer mit Zugriff auf das GINA-Konto eines Opfers die Zweikennwort-Prüfung umgehen und geschützte E-Mails lesen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 7.5 EPSS: 0.04% Publiziert: Referenz: NVD -
SEPPmail Secure Email Gateway – Missbrauch von PGP-Signaturen
CVE-2026-29138 HochIm SEPPmail Secure Email Gateway vor Version 15.0.3 können Angreifer mit einer speziell gestalteten E-Mail-Adresse die PGP-Signatur eines anderen Nutzers als eigene beanspruchen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 7.5 EPSS: 0.04% Publiziert: Referenz: NVD -
Debugging-Routine umgeht Anmeldung in Ivanti-Geräten
CVE-2026-49194 HochEine Debugging-Routine (SCREEN_CLICK(5053)) in betroffenen Ivanti-Produkten erlaubt es einer Verbindung, die reguläre Anmeldeaufforderung des Geräts vollständig zu überspringen und direkt eine interaktive Shell zu erreichen. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 8.8 EPSS: 0.04% Publiziert: Referenz: NVD -
SEPPmail Secure Email Gateway – E-Mail-Inhaltszugriff durch präparierte Absenderadresse
CVE-2026-29131 HochIm SEPPmail Secure Email Gateway vor Version 15.0.3 können Angreifer durch eine speziell gestaltete E-Mail-Adresse den Inhalt von verschlüsselten E-Mails anderer Benutzer lesen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 7.5 EPSS: 0.04% Publiziert: Referenz: NVD -
Ericsson Indoor Connect 8855 – Improper Filtering (Dateimanipulation)
CVE-2025-27260 HochEricsson Indoor Connect 8855 vor Version 2025.Q3 enthält eine Schwachstelle durch unzureichende Filterung von Sonderzeichen, die bei Ausnutzung zu einer unbefugten Änderung bestimmter Informationen führen kann. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 7.5 EPSS: 0.04% Publiziert: Referenz: NVD -
Ivanti: Kontovalidierungs-Endpunkt gibt Benutzerprofildaten preis
CVE-2026-50213 HochDer Kontovalidierungs-Endpunkt /v1/User/validate liefert umfassende Benutzerprofildaten zurück, die durch systematisches Durchprobieren vorhersagbarer Identifikationszeichenketten abgegriffen werden können. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 7.5 EPSS: 0.03% Publiziert: Referenz: NVD -
Chartbrew: Schwachstelle für authentifizierte Benutzer mit Projekt-Editor-Rechten
CVE-2026-41518 HochChartbrew ist eine quelloffene Webanwendung, die sich direkt mit Datenbanken und APIs verbinden und die Daten zur Erstellung von Diagrammen nutzen kann. In den Versionen 4.9.0 bis 5.0.0 kann ein authentifizierter Benutzer mit Projekt-Editor-Rechten die Schwachstelle ausnutzen. Der Angriff erfolgt über das Netzwerk mit gewechseltem Scope und erfordert eine Benutzerinteraktion. CVSS-Basiswert: 7.6 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 7.6 EPSS: 0.03% Publiziert: Referenz: NVD -
Ivanti: Fest kodierte, nicht ablaufende APK-Ressourcendateien führen zu Informationsleck
CVE-2026-49187 HochFest kodierte APK-Ressourcendateien laufen nicht ab; das gemeinsam genutzte Geheimnis führt zu Informationslecks und potenziellem Missbrauch. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 7.5 EPSS: 0.03% Publiziert: Referenz: NVD -
Öffentlich zugängliche Cloud-Storage-Container legen Telemetriedaten offen
CVE-2026-49193 HochZu freizügige Konfigurationseinstellungen an Cloud-Storage-Containern legen aktive Telemetrieinformationen öffentlich im Internet offen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: die Zugriffskonfiguration der betroffenen Storage-Container gemäss Hersteller-Advisory einschränken.
CVSS: 7.5 EPSS: 0.03% Publiziert: Referenz: NVD -
Statische Initialisierungsvektoren bei AES-CBC ermöglichen Replay- und Known-Plaintext-Angriffe
CVE-2026-50210 HochDas Gerät verschlüsselt Daten mit AES-CBC unter Verwendung statischer, mit Nullen gefüllter Initialisierungsvektoren und wird dadurch anfällig für Replay-Angriffe und Known-Plaintext-Entschlüsselung. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 7.5 EPSS: 0.03% Publiziert: Referenz: NVD -
Kiteworks Secure Data Forms – Reflected XSS
CVE-2026-24751 HochIn Kiteworks (einem privaten Datennetzwerk) wurde vor Version 9.3.0 eine Reflected-Cross-Site-Scripting-Schwachstelle in den Secure Data Forms entdeckt, die es einem externen Angreifer ermöglicht, einen Benutzer zur Ausführung von beliebigem JavaScript-Code zu verleiten. CVSS-Basiswert: 8.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 8.2 EPSS: 0.03% Publiziert: Referenz: NVD -
Kiteworks Secure Data Forms – Reflected XSS
CVE-2026-24752 HochIn Kiteworks (einem privaten Datennetzwerk) wurde vor Version 9.3.0 eine Reflected-Cross-Site-Scripting-Schwachstelle in den Secure Data Forms entdeckt, die es einem externen Angreifer ermöglicht, einen Benutzer zur Ausführung von beliebigem JavaScript-Code zu verleiten. CVSS-Basiswert: 8.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 8.2 EPSS: 0.03% Publiziert: Referenz: NVD -
Ivanti Secure Access Client – Lokale Privilegienerweiterung (Race Condition)
CVE-2026-7432 HochIn Ivanti Secure Access Client vor Version 22.8R6 ermöglicht eine Race Condition einem lokal authentifizierten Benutzer, seine Rechte auf SYSTEM-Ebene zu erhöhen. CVSS-Basiswert: 7.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 7.8 EPSS: 0.03% Publiziert: Referenz: NVD -
Kiteworks Secure Data Forms – SQL-Injection
CVE-2026-24782 HochIn Kiteworks (einem privaten Datennetzwerk) wurden vor Version 9.3.0 mehrere SQL-Injection-Schwachstellen in den Secure Data Forms entdeckt, die von einem authentifizierten Angreifer mit entsprechenden FormBuilder-Rechten ausgenutzt werden können. CVSS-Basiswert: 7.6 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 7.6 EPSS: 0.03% Publiziert: Referenz: NVD -
Ivanti Endpoint Manager – Fehlerhafte Berechtigungen (Privilege Escalation)
CVE-2026-8110 HochEine fehlerhafte Berechtigungszuweisung im Agenten von Ivanti Endpoint Manager vor Version 2024 SU6 ermöglicht einem lokal authentifizierten Angreifer die Eskalation seiner Rechte. CVSS-Basiswert: 7.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 7.8 EPSS: 0.03% Publiziert: Referenz: NVD -
Ivanti Secure Access Windows Client – Arbitrary Read/Write
CVE-2026-33451 HochIm Secure Access Windows Client vor Version 14.50 von Ivanti (Pulse/Connect Secure) wurde eine Schwachstelle für beliebiges Lesen und Schreiben entdeckt. Angreifer mit lokalem Zugriff auf den Windows-Client können durch das Senden von manipulierten Daten an eine API die Schwachstelle ausnutzen. CVSS-Basiswert: 7.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 7.8 EPSS: 0.02% Publiziert: Referenz: NVD -
Connect-CMS – DOM-basiertes Cross-Site Scripting im Cabinet-Plugin
CVE-2026-32277 HochIm Content-Management-System Connect-CMS existiert in den Versionen 1.35.0 bis 1.41.0 und 2.35.0 bis 2.41.0 ein DOM-basiertes Cross-Site-Scripting (XSS) in der Listenansicht des Cabinet-Plugins. CVSS-Basiswert: 8.7 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 8.7 EPSS: 0.02% Publiziert: Referenz: NVD -
Connect-CMS – Unzureichende Autorisierung im M-Bereich
CVE-2026-32300 HochIm Content-Management-System Connect-CMS bis einschliesslich Version 1.41.0 (1.x-Reihe) und 2.41.0 (2.x-Reihe) besteht ein Problem mit unzureichender Autorisierung. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 8.1 EPSS: 0.02% Publiziert: Referenz: NVD -
Ivanti – Fehlende Autorisierungsprüfung in eSIM-Management-API
CVE-2026-49203 HochZentrale Management-API-Endpunkte für die Zuteilung von Mobilfunk-eSIM-Profilen prüfen die Autorisierung des Aufrufers nicht, wodurch entfernte Profile überschrieben oder gelöscht werden können. CVSS-Basiswert: 8.3 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 8.3 EPSS: 0.01% Publiziert: Referenz: NVD -
Unverifizierte AT-Kommandos über die Binder-Grenze ermöglichen Baseband-Zugriff
CVE-2026-50207 HochDie System-Binder-Grenze akzeptiert unverifizierte, durchgereichte AT-Kommandos, wodurch lokale Anwendungen Baseband-Dateien lesen oder die Mobilfunkverbindung deaktivieren können. CVSS-Basiswert: 7.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 7.8 EPSS: 0.01% Publiziert: Referenz: NVD -
MDM-Endpunkt per Broadcast-Events überschreibbar – Übernahme der Geräteverwaltung
CVE-2026-50209 HochÜber Broadcast-Events kann bösartige Software die standardmässig konfigurierte MDM-Endpunktadresse (Mobile Device Management) eines Geräts überschreiben und so die administrative Kontrolle auf einen externen Angreifer verlagern. CVSS-Basiswert: 7.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: Hersteller-Updates einspielen, sobald verfügbar.
CVSS: 7.8 EPSS: 0.01% Publiziert: Referenz: NVD -
OP-TEE – Schwachstelle in der Trusted Execution Environment
CVE-2026-40290 HochOP-TEE ist eine Trusted Execution Environment (TEE), die als Begleiter zu einem nicht-sicheren Linux-Kernel auf Arm-Cortex-A-Kernen mit TrustZone-Technologie konzipiert ist. Ab Version 3.16.0 besteht eine Schwachstelle in OP-TEE. CVSS-Basiswert: 7.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: auf eine fehlerbereinigte Version aktualisieren.
CVSS: 7.8 EPSS: 0.01% Publiziert: Referenz: NVD -
Ivanti: Ungeschützter Broadcast Receiver erlaubt unautorisierte Administrationsoperationen
CVE-2026-49189 HochUngeprüfte öffentliche Zugriffsberechtigungen auf einem zentralen Broadcast Receiver erlauben es unautorisierten lokalen Softwarekomponenten, administrative Operationen auszulösen. Der Angriff erfolgt lokal. CVSS-Basiswert: 7.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 7.8 EPSS: 0.01% Publiziert: Referenz: NVD -
Android Bluetooth – Bonding Bypass (Privilege Escalation)
CVE-2026-0045 HochEin Logikfehler in der Funktion bta_jv_rfcomm_connect (bta_jv_act.cc) ermöglicht es, das Bonding für eine gesicherte Bluetooth-Verbindung zu umgehen, was zu einer lokalen Rechteeskalation ohne zusätzliche Ausführungsrechte führen kann. CVSS-Basiswert: 7.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 7.8 EPSS: 0.01% Publiziert: Referenz: NVD -
Path Traversal in Ivanti Xtraction
CVE-2026-14903 HochIn Ivanti Xtraction vor Version 2026.2.1 besteht eine Path-Traversal-Schwachstelle, über die ein entfernter, authentifizierter Angreifer beliebige Dateien ausserhalb des Web-Roots lesen kann. CVSS-Basiswert: 7.7 (Hoch). Empfohlene Massnahme: auf Ivanti Xtraction Version 2026.2.1 oder höher aktualisieren.
CVSS: 7.7 Publiziert: Referenz: NVD -
Rechteausweitung in Windows Secure Kernel Mode (CVE-2026-42982)
CVE-2026-42982 HochEine unzureichende Konsistenzprüfung von Eingaben in Windows Secure Kernel Mode erlaubt es einem berechtigten Angreifer, lokal seine Rechte auszuweiten. Betroffen ist Microsoft Windows. CVSS-Basiswert: 7.8 (Hoch). Ein EPSS-Wert liegt in den Quelldaten nicht vor. Empfohlene Massnahme: verfügbare Sicherheitsupdates von Microsoft einspielen.
CVSS: 7.8 Publiziert: Referenz: NVD -
Windows Secure Boot: Umgehung einer Sicherheitsfunktion
CVE-2026-49783 HochEine unzureichend implementierte Sicherheitsprüfung in Windows Secure Boot erlaubt einem berechtigten Angreifer, lokal eine Sicherheitsfunktion zu umgehen. CVSS-Basiswert: 7.8 (Hoch). Eine aktive Ausnutzung über CISA KEV oder ein Einsatz in Ransomware-Kampagnen ist nicht belegt. Empfohlene Massnahme: die von Microsoft bereitgestellten Sicherheitsupdates einspielen.
CVSS: 7.8 Publiziert: Referenz: NVD -
Use-after-free in Windows SSTP ermöglicht Remote-Code-Ausführung (CVE-2026-50694)
CVE-2026-50694 HochEin Use-after-free im Windows Secure Socket Tunneling Protocol (SSTP) erlaubt es einem nicht berechtigten Angreifer, über das Netzwerk Code auszuführen. Betroffen ist Microsoft Windows. CVSS-Basiswert: 8.1 (Hoch). Ein EPSS-Wert liegt in den Quelldaten nicht vor. Empfohlene Massnahme: verfügbare Sicherheitsupdates von Microsoft einspielen.
CVSS: 8.1 Publiziert: Referenz: NVD -
WordPress Catalyst Connect Zoho CRM Client Portal: SQL-Injection über uid-Parameter
CVE-2025-5017 MittelDas WordPress-Plugin Catalyst Connect Zoho CRM Client Portal ist bis einschliesslich Version 2.2.0 für zeitbasierte SQL-Injection über den Parameter uid anfällig, verursacht durch unzureichende Maskierung. CVSS-Basiswert: 4.9 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: das Plugin auf eine bereinigte Version aktualisieren.
CVSS: 4.9 EPSS: 0.26% Publiziert: Referenz: NVD -
IBM App Connect Enterprise / Integration Bus: SQL-Injection
CVE-2026-3602 MittelIBM App Connect Enterprise (13.0.1.0 bis 13.0.7.2 sowie 12.0.1.0 bis 12.0.12.26) und IBM Integration Bus for z/OS (10.1.0.0 bis 10.1.0.7) sind für SQL-Injection anfällig. Ein entfernter Angreifer könnte dies ausnutzen. Als betroffen ausgewiesen sind IBM Storage und Ivanti (Pulse/Connect Secure). CVSS-Basiswert: 4.7 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: auf eine korrigierte Version aktualisieren.
CVSS: 4.7 EPSS: 0.18% Publiziert: Referenz: NVD -
WithSecure / F-Secure Atlant – Denial-of-Service beim Scannen von PE32-Dateien
CVE-2022-28880 MittelBeim Scannen von manipulierten PE32-Binärdateien kann in F-Secure Atlant und bestimmten WithSecure-Produkten ein Absturz der Scan-Engine ausgelöst werden, was zu einem Denial-of-Service führt. CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.
CVSS: 4.3 EPSS: 0.18% Publiziert: Referenz: NVD -
VPN-Netzwerkprofil: Command Injection über bösartige Konfigurationsdateien
CVE-2026-50206 MittelEingehende VPN-Netzwerkprofil-Einstellungen verarbeiten Sonderzeichen nicht sicher und ermöglichen so eine Command Injection über bösartige Konfigurationsdateien. CVSS-Basiswert: 6.8 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: verfügbare Hersteller-Updates einspielen.
CVSS: 6.8 EPSS: 0.13% Publiziert: Referenz: NVD -
AMD Secure Processor (ASP) – Unzureichende Zugriffskontrolle auf SMN-Apertures
CVE-2021-46747 MittelIm AMD Secure Processor (ASP) ermöglicht eine unzureichende Granularität der Zugriffskontrolle einer nicht vertrauenswürdigen Benutzeranwendung, sensible SMN-Apertures (System Management Network) abzubilden. Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
EPSS: 0.10% Publiziert: Referenz: NVD -
Wire iOS vor 4.16.0: Schwachstelle bei der Verarbeitung manipulierter Proteus-Nachrichten
CVE-2026-35049 MittelDer iOS-Client der Wire-Messaging-Anwendung (wire-ios) ist in Versionen vor 4.16.0 anfällig für manipulierte Proteus-Externe-Nachrichten mit einem verschlüsselten Payload. CVSS-Basiswert: 6.5 (Mittel).
CVSS: 6.5 EPSS: 0.06% Publiziert: Referenz: NVD -
Linux-Kernel: vsock ignoriert Signal/Timeout bei bereits bestehender Verbindung nicht
CVE-2025-40248 MittelIm Linux-Kernel wurde eine Schwachstelle im vsock-Subsystem behoben: Während connect() konnte ein Signal oder ein Timeout dazu führen, dass eine bereits bestehende Verbindung getrennt wurde, obwohl dies nicht beabsichtigt war. Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
EPSS: 0.06% Publiziert: Referenz: NVD -
TLS-Socket-Subsystem – Out-of-bounds-Zugriff im Verbindungspfad
CVE-2026-5066 MittelIm TLS-Socket-Verbindungspfad des Netzwerk-Socket-Subsystems (subsys/net/lib/sockets/sockets_tls.c) besteht ein möglicher Out-of-bounds-Schreib-/Lesezugriff. Er kann auftreten, wenn der TLS-Session-Cache aktiviert ist. CVSS-Basiswert: 6.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 6.3 EPSS: 0.06% Publiziert: Referenz: NVD -
Fest kodierte Zugangsdaten in zurückgelassenen Debug-Modulen
CVE-2026-49204 MittelZurückgelassene Debug-Module enthalten fest hinterlegte Zugangsdaten für interne AWS-Cognito-Test-Sandboxes, was eine Ausnutzung betroffener Assets ermöglichen kann. CVSS-Basiswert: 6.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 6.5 EPSS: 0.03% Publiziert: Referenz: NVD -
IDOR im Summary-Service-Endpunkt – Offenlegung von Gerätedaten
CVE-2026-49192 MittelDer Summary-Service-Endpunkt weist eine IDOR-Schwachstelle (Insecure Direct Object Reference) auf: Er prüft nicht, ob ein Nutzer Eigentümer der abgefragten Hardware-Seriennummern ist, wodurch Gerätedaten durch Scraping ausgelesen werden können. CVSS-Basiswert: 5.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: Auf eine vom Hersteller bereitgestellte, korrigierte Version aktualisieren.
CVSS: 5.4 EPSS: 0.03% Publiziert: Referenz: NVD -
HAX CMS: Refresh-Token-Cookie ohne Secure-Flag
CVE-2026-46398 MittelHAX CMS dient der Verwaltung von Microsite-Umgebungen mit PHP- oder Node.js-Backend. Ab Version 25.0.0 und vor Version 26.0.0 wird das Cookie haxcms_refresh_token ohne das Secure-Flag gesetzt, wodurch es über unverschlüsselte Verbindungen übertragen und abgegriffen werden kann. Ein CVSS-Basiswert liegt nicht in den Quelldaten vor. Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: Auf HAX CMS 26.0.0 oder neuer aktualisieren.
EPSS: 0.03% Publiziert: Referenz: NVD -
Kiteworks Secure Data Forms – Stored XSS
CVE-2026-24754 MittelIn Kiteworks (einem privaten Datennetzwerk) wurde vor Version 9.3.0 eine gespeicherte Cross-Site-Scripting-Schwachstelle in den Secure Data Forms entdeckt, die einem authentifizierten Angreifer die Ausführung von beliebigem JavaScript-Code ermöglicht. CVSS-Basiswert: 5.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 5.4 EPSS: 0.03% Publiziert: Referenz: NVD -
Kiteworks Secure Data Forms – Insecure Direct Object Reference (IDOR)
CVE-2026-23638 MittelIn Kiteworks vor Version 9.3.0 ermöglicht eine Insecure-Direct-Object-Reference-Schwachstelle (IDOR) in den Secure Data Forms einem authentifizierten Angreifer die Manipulation von Daten anderer Benutzer. CVSS-Basiswert: 6.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 6.5 EPSS: 0.03% Publiziert: Referenz: NVD -
Kiteworks Secure Data Forms – IDOR (Ressourcenmodifikation)
CVE-2026-24753 MittelIn Kiteworks (einem privaten Datennetzwerk) wurde vor Version 9.3.0 eine Insecure-Direct-Object-Reference-Schwachstelle (IDOR) in den Secure Data Forms entdeckt, die einem authentifizierten Benutzer die unberechtigte Modifikation von Ressourcen ermöglicht. CVSS-Basiswert: 6.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 6.5 EPSS: 0.03% Publiziert: Referenz: NVD -
Kiteworks Secure Data Forms – IDOR (Ressourcenzugriff)
CVE-2026-24756 MittelIn Kiteworks (einem privaten Datennetzwerk) wurde vor Version 9.3.0 eine Insecure-Direct-Object-Reference-Schwachstelle (IDOR) in den Secure Data Forms entdeckt, die einem authentifizierten Benutzer die unberechtigte Modifikation von Ressourcen ermöglicht. CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 4.3 EPSS: 0.03% Publiziert: Referenz: NVD -
Kiteworks Secure Data Forms – IDOR (Berechtigungsmodifikation)
CVE-2026-24755 MittelIn Kiteworks (einem privaten Datennetzwerk) wurde vor Version 9.3.0 eine Insecure-Direct-Object-Reference-Schwachstelle (IDOR) in den Secure Data Forms entdeckt, die einem authentifizierten Benutzer die unberechtigte Änderung von Berechtigungen ermöglicht. CVSS-Basiswert: 5.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 5.4 EPSS: 0.02% Publiziert: Referenz: NVD
Diesem Produkt-Feed folgen
Eigener RSS-Feed nur für Ivanti (Pulse/Connect Secure), kostenlos und ohne Anmeldung. Zustellung per E-Mail, Webhook, REST oder TAXII richten wir auf Anfrage ein.
RSS-Feed öffnen Zustellung anfragenWie folge ich dem Feed?
- 1 RSS-Feed-Link kopieren oder direkt im RSS-Reader öffnen.
- 2 Priorisierte Reports (KEV · EPSS · CVSS) landen automatisch in Ihrem Reader.
- 3 Zustellung per E-Mail, Webhook, REST oder TAXII auf Anfrage einrichten lassen.