1.14 Aktiv ausgenutzte Lücken
Remote Access / RMM / Fernwartung

N-able (N-central / Take Control) Seite 2

Hersteller: N-able

Remote Access / RMM / Fernwartung
170
Reports
50
Aktiv ausgenutzt
Kritisch
Höchste Priorität
99.2%
Max. EPSS

Schwachstellen-Reports

170 Reports

Zeige 51 bis 100 von 170

  1. DedeCMS: Command Execution in file_manage_control.php

    CVE-2026-38615 Kritisch

    DedeCMS in der Version V5.7.118 ist in der Datei file_manage_control.php für Command Execution anfällig. Angreifer können darüber Befehle auf dem Server ausführen. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.8 %. Die Quelldaten nennen keine fehlerbereinigte Version und keine konkrete Massnahme.

    CVSS: 9.8 EPSS: 0.82% Publiziert: Referenz: NVD
  2. Control Web Panel: Blinde SQL-Injection ohne Authentifizierung

    CVE-2026-57517 Kritisch

    Control Web Panel vor Version 0.9.8.1225 enthält eine blinde SQL-Injection. Nicht authentifizierte Angreifer können darüber aus der Ferne beliebige SQL-Abfragen ausführen, indem sie ungefilterte Eingaben übermitteln. CVSS-Basiswert: 9.8 (Kritisch); der Angriff ist über das Netzwerk ohne Zugangsdaten und ohne Benutzerinteraktion möglich. Ausnutzungswahrscheinlichkeit (EPSS): 0.6 %. Empfohlene Massnahme: Update auf Control Web Panel 0.9.8.1225 oder neuer.

    CVSS: 9.8 EPSS: 0.59% Publiziert: Referenz: NVD
  3. Realtyna Organic IDX (WordPress) – Code Injection

    CVE-2026-57811 Kritisch

    Im WordPress-Plugin Realtyna Organic IDX (real-estate-listing-realtyna-wpl) besteht eine Schwachstelle durch unzureichende Kontrolle der Codegenerierung (Code Injection), die das Einbinden von entferntem Code erlaubt. CVSS-Basiswert: 10 (Kritisch) – Angriff über das Netzwerk ohne Rechte und ohne Nutzerinteraktion, mit Scope-Wechsel und voller Auswirkung auf Vertraulichkeit, Integrität und Verfügbarkeit. Ausnutzungswahrscheinlichkeit (EPSS): 0.6 %. Empfohlene Massnahme: das Plugin auf eine vom Hersteller als korrigiert ausgewiesene Version aktualisieren.

    CVSS: 10.0 EPSS: 0.56% Publiziert: Referenz: NVD
  4. Hermes WebUI: unauthentifizierte Übernahme der Ersteinrichtung über _set_password

    CVE-2026-49973 Kritisch

    Hermes WebUI vor Version 0.51.358 enthält eine fehlerhafte Zugriffskontrolle. Nicht authentifizierte Angreifer aus dem Netz können die Ersteinrichtung übernehmen, indem sie den Parameter _set_password übermitteln. Damit lässt sich die Kontrolle über die Instanz erlangen, bevor der reguläre Betreiber sie einrichtet. CVSS-Basiswert: 9.4 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: auf Hermes WebUI 0.51.358 oder neuer aktualisieren.

    CVSS: 9.4 EPSS: 0.54% Publiziert: Referenz: NVD
  5. MetForm Pro: unauthentifizierte Umgehung der Zugriffskontrolle bis Version 3.9.1

    CVE-2026-24611 Kritisch

    Das Plugin MetForm Pro enthält in den Versionen bis einschliesslich 3.9.1 eine fehlerhafte Zugriffskontrolle, die ohne Authentifizierung ausgenutzt werden kann. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: auf eine Version neuer als 3.9.1 aktualisieren.

    CVSS: 9.1 EPSS: 0.44% Publiziert: Referenz: NVD
  6. WordPress-Plugin ACPT (Pro) – Custom Post Types: Code Injection

    CVE-2026-25470 Kritisch

    Im WordPress-Plugin ACPT (Pro) – Custom Post Types besteht laut NVD eine Code-Injection-Schwachstelle, die das Einbinden und Ausführen entfernten Codes erlaubt. CVSS-Basiswert: 10 (Kritisch), Vektor CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H – ausnutzbar ohne Authentifizierung über das Netz. Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Die betroffenen Versionsstände sind in den Quelldaten abgeschnitten; empfohlen ist, das Plugin auf die aktuelle Version zu aktualisieren.

    CVSS: 10.0 EPSS: 0.41% Publiziert: Referenz: NVD
  7. Ocelot: Umgehung IP-basierter Zugriffsbeschränkungen über WebSocket-Upgrade

    CVE-2026-58172 Kritisch

    Ocelot bis Version 24.1.0 (behoben in Commit f156fd4) enthält eine Schwachstelle zur Umgehung von Sicherheitskontrollen, die es gesperrten Clients erlaubt, IP-basierte Zugriffsbeschränkungen durch das Senden von WebSocket-Upgrade-Anfragen zu umgehen. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.

    CVSS: 9.1 EPSS: 0.41% Publiziert: Referenz: NVD
  8. Linux-Kernel: Race Condition im bcmgenet-Timeout-Handler

    CVE-2026-53086 Kritisch

    Im Linux-Kernel wurde eine Race Condition im Timeout-Handler des Netzwerktreibers bcmgenet behoben. Laut NVD versucht bcmgenet_timeout alle TX-Queues stillzulegen, wenn nur eine einzelne Queue in einen Timeout läuft. Der CVSS-Vektor weist die Lücke als über das Netzwerk, ohne Privilegien und ohne Benutzerinteraktion ausnutzbar aus. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: die Kernel-Updates der betroffenen Distributionen einspielen.

    CVSS: 9.8 EPSS: 0.39% Publiziert: Referenz: NVD
  9. obs tar_scm – Shellcode-Injection im Mercurial-Handler

    CVE-2026-56004 Kritisch

    Im Mercurial-Handler des Source-Service obs tar_scm vor Version 0.12.4 besteht eine Shellcode-Injection. Angreifer, die eine _service-Datei bereitstellen können, sind dadurch in der Lage, Code im Kontext des Source-Service auszuführen. CVSS-Basiswert: 10 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: obs tar_scm auf Version 0.12.4 oder neuer aktualisieren.

    CVSS: 10.0 EPSS: 0.38% Publiziert: Referenz: NVD
  10. Cognee: Fehlerhafte Zugriffskontrolle erlaubt Überschreiben der LLM-Provider-Konfiguration

    CVE-2026-58473 Kritisch

    Cognee vor Version 1.2.0 enthält eine Schwachstelle durch fehlerhafte Zugriffskontrolle, die nicht authentifizierten Angreifern durch Selbstregistrierung eines Kontos das Überschreiben der globalen LLM-Provider-Konfiguration erlaubt. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: Aktualisierung auf Version 1.2.0.

    CVSS: 9.1 EPSS: 0.37% Publiziert: Referenz: NVD
  11. N-able – unzureichende Validierung des Technology-Object-Namens im Web-Interface

    CVE-2026-25787 Kritisch

    Betroffene Geräte validieren und bereinigen den Namen eines Technology Object (TO) nicht ausreichend, der auf der Seite „Motion Control Diagnostics“ der Web-Oberfläche dargestellt wird. Dadurch kann ein authentifizierter Angreifer die Verarbeitung beeinflussen. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.

    CVSS: 9.1 EPSS: 0.37% Publiziert: Referenz: NVD
  12. Cap-go – Fehler in der Authentifizierungslogik ermöglicht Kontoübernahme

    CVE-2026-56081 Kritisch

    Cap-go vor Version 12.128.2 enthält einen Fehler in der Authentifizierungslogik: Ein Angreifer kann ein Konto registrieren und kontrollieren, das an die E-Mail-Adresse eines Opfers gebunden ist, bevor diese Adresse verifiziert wurde. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.

    CVSS: 9.1 EPSS: 0.35% Publiziert: Referenz: NVD
  13. Honeywell Control Network Module – Command Injection

    CVE-2026-5433 Kritisch

    Das Honeywell Control Network Module (CNM) enthält eine Command-Injection-Schwachstelle im Webinterface. Ein Angreifer könnte diese Lücke über Befehlstrennzeichen ausnutzen, was potenziell zu Remote Code Execution führt. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.

    CVSS: 9.1 EPSS: 0.32% Publiziert: Referenz: NVD
  14. WooCommerce PDF Invoice Builder – Code Injection (Remote Code Inclusion)

    CVE-2026-52704 Kritisch

    Im Plugin WooCommerce PDF Invoice Builder von Edgar Rojas besteht eine Schwachstelle durch unzureichende Kontrolle der Code-Generierung (Code Injection), die Remote Code Inclusion ermöglicht. CVSS-Basiswert: 10 (Kritisch), Vektor CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H – aus dem Netz ohne Rechte oder Nutzerinteraktion ausnutzbar, mit Scope-Wechsel. Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: das Plugin auf eine bereinigte Version aktualisieren oder bis zur Verfügbarkeit eines Fixes deaktivieren.

    CVSS: 10.0 EPSS: 0.31% Publiziert: Referenz: NVD
  15. Firefly III: Fehlerhafte Zugriffskontrolle in der Webhook-Verwaltung (SSRF)

    CVE-2026-50886 Kritisch

    Eine fehlerhafte Zugriffskontrolle in der Webhook-Verwaltungskomponente von Project Firefly III v6.5.9 erlaubt Angreifern, über eine manipulierte POST-Anfrage interne Ressourcen zu scannen. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.

    CVSS: 9.1 EPSS: 0.31% Publiziert: Referenz: NVD
  16. RD Station – Code Injection (Remote Code Inclusion)

    CVE-2026-49774 Kritisch

    Im Plugin RD Station von Filipe Nasc besteht eine Schwachstelle durch unzureichende Kontrolle der Code-Generierung (Code Injection), die Remote Code Inclusion ermöglicht. Betroffen sind laut Quelle alle Versionen bis einschliesslich 5.6.0. CVSS-Basiswert: 9.9 (Kritisch), Vektor CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H – geringe Rechte genügen, mit Scope-Wechsel. Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: das Plugin auf eine Version neuer als 5.6.0 aktualisieren oder bis zur Verfügbarkeit eines Fixes deaktivieren.

    CVSS: 9.9 EPSS: 0.28% Publiziert: Referenz: NVD
  17. TrueBooker (≤ 1.1.9) – nicht authentifizierte fehlerhafte Zugriffskontrolle

    CVE-2026-48881 Kritisch

    Laut NVD besteht in TrueBooker in Versionen bis einschliesslich 1.1.9 eine nicht authentifizierte fehlerhafte Zugriffskontrolle (Broken Access Control). Der Angriff ist über das Netzwerk ohne Authentifizierung und ohne Benutzerinteraktion möglich und betrifft Vertraulichkeit und Integrität. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.

    CVSS: 9.1 EPSS: 0.28% Publiziert: Referenz: NVD
  18. Control-M/Server – unzureichende Eingabefilterung ermöglicht unautorisierte Ausführung

    CVE-2026-10539 Kritisch

    Ein Kommunikationskommando von Control-M/Server filtert bzw. bereinigt laut NVD vom Benutzer gelieferte Eingaben unzureichend. Unter bestimmten Bedingungen kann dies einem nicht authentifizierten Angreifer die unautorisierte Ausführung ermöglichen. Der Angriff ist netzwerkbasiert, erfordert jedoch eine hohe Angriffskomplexität. CVSS-Basiswert: 9.0 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.

    CVSS: 9.0 EPSS: 0.24% Publiziert: Referenz: NVD
  19. Improper Access Control in Progress Sitefinity Web Services

    CVE-2026-7198 Kritisch

    In Progress Sitefinity 15.4.8623 (vor Version 15.4.8630) ermöglicht eine fehlerhafte Zugriffskontrolle in den Web Services einem nicht authentifizierten Angreifer aus der Ferne, auf eigentlich eingeschränkte Inhalte zuzugreifen. CVSS-Basiswert: 9.8 (Kritisch). Betroffene Produkte: N-able, Progress.

    CVSS: 9.8 EPSS: 0.23% Publiziert: Referenz: NVD
  20. Dataprom PACS/ACSS – Origin Validation Error (Traffic Injection)

    CVE-2024-10534 Kritisch

    In den Zutrittskontroll- und Personaleinsatzsystemen von Dataprom Informatics (PACS/ACSS) wurde eine Origin-Validation-Schwachstelle gemeldet, die Traffic Injection ermöglicht. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.

    CVSS: 9.8 EPSS: 0.22% Publiziert: Referenz: NVD
  21. EIPStackGroup OpENer 2.3.0: Fehlerhafte Zugriffskontrolle bei Encapsulation-Sitzungen

    CVE-2026-51538 Kritisch

    In EIPStackGroup OpENer 2.3.0 (Commit 76b95cf) besteht eine Schwachstelle durch fehlerhafte Zugriffskontrolle (Incorrect Access Control) bei der Verarbeitung von Encapsulation-Sitzungen. Sie tritt auf, wenn der Server kritische Encapsulation-Befehle verarbeitet. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.

    CVSS: 9.1 EPSS: 0.20% Publiziert: Referenz: NVD
  22. Next4Biz CRM & BPM: Code Injection ermöglicht Remote Code Inclusion

    CVE-2024-5683 Kritisch

    In der Business-Process-Management-Software von Next4Biz CRM & BPM besteht eine unzureichende Kontrolle bei der Code-Erzeugung (Code Injection). Angreifende können darüber fremden Code einbinden und ausführen lassen (Remote Code Inclusion). CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.

    CVSS: 9.8 EPSS: 0.19% Publiziert: Referenz: NVD
  23. ArkSigner Software: PHP Remote File Inclusion

    CVE-2025-11023 Kritisch

    In ArkSigner Software besteht laut Quellbeschreibung eine PHP-Remote-File-Inclusion-Schwachstelle: Funktionalität aus einer nicht vertrauenswürdigen Quelle wird eingebunden, weil der Dateiname für Include-/Require-Anweisungen nicht ausreichend kontrolliert wird. Die Lücke ist ohne Authentifizierung über das Netzwerk erreichbar. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.

    CVSS: 9.8 EPSS: 0.16% Publiziert: Referenz: NVD
  24. CVE-2025-13590 – N-able: Arbitrary File Upload via REST API

    CVE-2025-13590 Kritisch

    Ein Angreifer mit Administratorrechten kann über eine System-REST-API eine beliebige Datei an einen benutzerkontrollierten Speicherort hochladen, was zu Remote Code Execution führen kann. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 9.1 EPSS: 0.11% Publiziert: Referenz: NVD
  25. Olgu Computer Systems e-Belediye – Falsche Berechtigungen für kritische Ressourcen

    CVE-2024-9142 Kritisch

    In der e-Belediye-Lösung von Olgu Computer Systems wurde eine Schwachstelle durch fehlerhafte Pfad- und Berechtigungszuweisung für kritische Ressourcen gemeldet, die Manipulation von Dateisystemzugriffen ermöglicht. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 9.8 EPSS: 0.09% Publiziert: Referenz: NVD
  26. CVE-2026-21515 – Offenlegung sensibler Informationen in Azure IoT Central (Privilege Escalation)

    CVE-2026-21515 Kritisch

    In Azure IoT Central wurde eine Schwachstelle entdeckt, die einem autorisierten Angreifer über das Netzwerk die Eskalation von Berechtigungen durch Offenlegung sensibler Informationen ermöglicht. CVSS-Basiswert: 9.9 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 9.9 EPSS: 0.09% Publiziert: Referenz: NVD
  27. CVE-2026-23781 – Hartcodierte Standard-Zugangsdaten in BMC Control-M/MFT

    CVE-2026-23781 Kritisch

    In BMC Control-M/MFT 9.0.20 bis 9.0.22 sind Standard-Debug-Zugangsdaten im Klartext im Anwendungspaket hartcodiert hinterlegt. Falls diese unverändert bleiben, können Angreifer die Anmeldedaten ausnutzen. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 9.8 EPSS: 0.07% Publiziert: Referenz: NVD
  28. Boolean-basierte Blind-SQL-Injection

    CVE-2025-62319 Kritisch

    Es besteht eine Boolean-basierte SQL-Injection – eine Form der Blind-SQL-Injection, bei der Angreifende über Eingabefelder Boolesche Bedingungen (TRUE oder FALSE) in SQL-Abfragen einschleusen und die Datenbank so schrittweise auslesen können. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 9.8 EPSS: 0.05% Publiziert: Referenz: NVD
  29. CVE-2026-34184 – Fehlende Autorisierung in Hydrosystem Control System (Verzeichniszugriff)

    CVE-2026-34184 Kritisch

    Das Hydrosystem Control System erzwingt für bestimmte Verzeichnisse keine Autorisierung, wodurch ein nicht authentifizierter Angreifer alle Dateien in diesen Verzeichnissen lesen und teilweise ausführen kann. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 9.1 EPSS: 0.04% Publiziert: Referenz: NVD
  30. Dinosoft ERP: fehlende Authentifizierung und fehlerhafte Zugriffskontrolle

    CVE-2025-8025 Kritisch

    In Dinosoft ERP von Dinosoft Business Solutions fehlt die Authentifizierung für eine kritische Funktion, zusätzlich ist die Zugriffskontrolle fehlerhaft umgesetzt. Angreifer können laut Quelle auf Funktionen zugreifen, die nicht ordnungsgemäss durch ACLs eingeschränkt sind. CVSS-Basiswert: 9.8 (Kritisch). Laut CVSS-Vektor ist die Lücke über das Netz ohne Authentifizierung und ohne Benutzerinteraktion ausnutzbar. Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 9.8 EPSS: 0.04% Publiziert: Referenz: NVD
  31. PruvaSoft Apinizer Management Console: Autorisierungsumgehung über benutzergesteuerten Schlüssel

    CVE-2024-5619 Kritisch

    In der Apinizer Management Console von PruvaSoft Informatics besteht eine Autorisierungsumgehung über einen benutzergesteuerten Schlüssel (Authorization Bypass Through User-Controlled Key). Angreifer können laut Quelle falsch konfigurierte Zugriffskontroll-Sicherheitsstufen ausnutzen. CVSS-Basiswert: 9.6 (Kritisch). Der CVSS-Vektor weist die Lücke als netzwerkbasiert und ohne Nutzerinteraktion ausnutzbar aus; sie erfordert niedrige Privilegien und wirkt über den betroffenen Sicherheitskontext hinaus (Scope: Changed). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 9.6 EPSS: 0.03% Publiziert: Referenz: NVD
  32. Sustainable Irrigation Platform (SIP) – Command Injection im cli_control-Plugin

    CVE-2026-58479 Kritisch

    Die Sustainable Irrigation Platform (SIP) enthält bis einschliesslich Version 5.2.16 im optionalen cli_control-Plugin eine Command-Injection-Schwachstelle. Diese lässt sich ohne Authentifizierung oder per Cross-Site Request Forgery ausnutzen, wodurch Angreifer eingeschleuste Befehle ausführen können. CVSS-Basiswert: 9.8 (Kritisch).

    CVSS: 9.8 Publiziert: Referenz: NVD
  33. Gigabyte Control Center – Arbitrary File Write

    CVE-2026-4415 Hoch

    Im Gigabyte Control Center ermöglicht eine Arbitrary-File-Write-Schwachstelle nicht authentifizierten Remote-Angreifern das Schreiben beliebiger Dateien an beliebige Speicherorte, wenn die Pairing-Funktion aktiviert ist. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.8 %.

    CVSS: 8.1 EPSS: 0.79% Publiziert: Referenz: NVD
  34. Ivanti Neurons for ITSM – Fehlerhafte Zugriffskontrolle ermöglicht administrativen Zugriff

    CVE-2026-9614 Hoch

    Eine fehlerhafte Zugriffskontrolle in Ivanti Neurons for ITSM (Cloud und On-Premises) ermöglicht einem authentifizierten Remote-Angreifer, administrativen Zugriff auf das System zu erlangen. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.

    CVSS: 8.8 EPSS: 0.36% Publiziert: Referenz: NVD
  35. WSO2-Produkte: Unzureichende Validierung von JSON-Payloads im Throttling

    CVE-2026-4249 Hoch

    Der Mechanismus zur Behandlung von Throttling-Ereignissen in mehreren WSO2-Produkten akzeptiert benutzergelieferte JSON-Payloads ohne ausreichende Prüfung von Struktur und Inhalt. Dies ermöglicht einem nicht authentifizierten, entfernten Angreifer laut Quellbeschreibung einen Missbrauch. CVSS-Basiswert: 8.6 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: die betroffenen WSO2-Produkte gemäss Hersteller-Advisory aktualisieren.

    CVSS: 8.6 EPSS: 0.34% Publiziert: Referenz: NVD
  36. CVE-2026-23780 – SQL Injection in BMC Control-M/MFT Debug-Schnittstelle

    CVE-2026-23780 Hoch

    In BMC Control-M/MFT 9.0.20 bis 9.0.22 wurde eine SQL-Injection-Schwachstelle in der Debug-Schnittstelle der MFT-API entdeckt. Ein authentifizierter Angreifer kann aufgrund fehlender Eingabevalidierung bösartige SQL-Abfragen einschleusen. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.

    CVSS: 8.8 EPSS: 0.21% Publiziert: Referenz: NVD
  37. QNAP Qsync Central – Buffer Overflow

    CVE-2025-52868 Hoch

    In QNAP Qsync Central wurde eine Buffer-Overflow-Schwachstelle gemeldet. Ein entfernter Angreifer mit einem Benutzerkonto kann die Lücke ausnutzen, um Speicher zu modifizieren oder Prozesse zum Absturz zu bringen. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 8.1 EPSS: 0.14% Publiziert: Referenz: NVD
  38. QNAP Qsync Central – Buffer Overflow

    CVE-2025-52869 Hoch

    In QNAP Qsync Central wurde eine Buffer-Overflow-Schwachstelle gemeldet. Ein entfernter Angreifer mit einem Benutzerkonto kann die Lücke ausnutzen, um Speicher zu modifizieren oder Prozesse zum Absturz zu bringen. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 8.1 EPSS: 0.14% Publiziert: Referenz: NVD
  39. OpenHarness: Fehlerhafte Zugriffskontrolle in den integrierten Datei-Werkzeugen

    CVE-2026-22682 Hoch

    OpenHarness enthält vor Commit 166fcfe eine Schwachstelle bei der Zugriffskontrolle in den integrierten Datei-Werkzeugen. Ursache ist eine inkonsistente Parameterverarbeitung bei der Durchsetzung von Berechtigungen, wodurch Angreifer diese umgehen können. CVSS-Basiswert: 7.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: auf eine Version ab Commit 166fcfe aktualisieren.

    CVSS: 7.1 EPSS: 0.13% Publiziert: Referenz: NVD
  40. PHP Remote File Inclusion in Axiomthemes Confidant

    CVE-2025-53440 Hoch

    Im WordPress-Theme Confidant des Herstellers Axiomthemes wurde eine Schwachstelle zur PHP Local File Inclusion über eine unsachgemässe Kontrolle von Dateinamen in Include/Require-Anweisungen identifiziert. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 8.1 EPSS: 0.11% Publiziert: Referenz: NVD
  41. PHP Remote File Inclusion in Axiomthemes Crafti

    CVE-2025-58705 Hoch

    Im WordPress-Theme Crafti des Herstellers Axiomthemes wurde eine Schwachstelle zur PHP Local File Inclusion über eine unsachgemässe Kontrolle von Dateinamen in Include/Require-Anweisungen identifiziert. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 8.1 EPSS: 0.11% Publiziert: Referenz: NVD
  42. PHP Remote File Inclusion in UnboundStudio Accordion FAQ

    CVE-2025-58024 Hoch

    Im WordPress-Plugin Accordion FAQ des Herstellers UnboundStudio wurde eine Schwachstelle zur PHP Local File Inclusion über eine unsachgemässe Kontrolle von Dateinamen in Include/Require-Anweisungen identifiziert. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 7.5 EPSS: 0.11% Publiziert: Referenz: NVD
  43. Gigabyte Control Center – unzureichende Zugriffskontrolle im MBStorage-Modul

    CVE-2026-9492 Hoch

    Das MBStorage-DRAM-Beleuchtungssteuerungsmodul im Gigabyte Control Center (GCC) von GIGABYTE Technology weist eine Schwachstelle durch unzureichende Zugriffskontrolle auf. Authentifizierte lokale Angreifer können speziell gestaltete Anfragen senden. CVSS-Basiswert: 7.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 7.8 EPSS: 0.11% Publiziert: Referenz: NVD
  44. CVE-2026-23782 – Offenlegung von API-Zugangsdaten in BMC Control-M/MFT

    CVE-2026-23782 Hoch

    In BMC Control-M/MFT 9.0.20 bis 9.0.22 ermöglicht ein API-Management-Endpunkt nicht authentifizierten Benutzern das Abrufen eines API-Bezeichners sowie des zugehörigen geheimen Schlüssels. Mit diesen Informationen können Angreifer weitergehende Aktionen durchführen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 7.5 EPSS: 0.10% Publiziert: Referenz: NVD
  45. Nebim V3 ERP – Ausführung mit unnötigen Privilegien (Ausweitung auf das Betriebssystem)

    CVE-2025-13506 Hoch

    In Nebim V3 ERP besteht eine Schwachstelle durch Ausführung mit unnötigen Privilegien (Execution with Unnecessary Privileges), die eine Ausweitung der Kontrolle von der Datenbank auf das Betriebssystem ermöglicht. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: verfügbare Hersteller-Updates gemäss Advisory einspielen.

    CVSS: 8.8 EPSS: 0.09% Publiziert: Referenz: NVD
  46. Zoom Contact Center: Rechteausweitung durch unzureichende Datenauthentizitätsprüfung

    CVE-2026-53406 Hoch

    In der Funktion Remote Control für Zoom Contact Center für Windows vor Version 7.0.0 kann eine unzureichende Prüfung der Datenauthentizität einem authentifizierten Benutzer eine lokale Rechteausweitung ermöglichen. Als betroffen ausgewiesen sind Zoom und N-able. CVSS-Basiswert: 7.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: auf Version 7.0.0 oder neuer aktualisieren.

    CVSS: 7.8 EPSS: 0.08% Publiziert: Referenz: NVD
  47. Amazon Kiro IDE – Unzureichende Zugriffskontrolle beim Schreiben von Dateien

    CVE-2026-10591 Hoch

    In Amazon Kiro IDE wurde vor Version 0.11 eine Schwachstelle durch unzureichende Zugriffskontrolleinschränkungen im Datei-Schreib-Tool identifiziert. Nicht authentifizierte Angreifer könnten über manipulierte Anweisungen beliebige Befehle aus der Ferne ausführen. CVSS-Basiswert: 8.8 (Hoch).

    CVSS: 8.8 EPSS: 0.08% Publiziert: Referenz: NVD
  48. SambaBox: Code-Injection ermöglicht OS-Command-Injection

    CVE-2026-3120 Hoch

    In SambaBox von Profelis Information and Consulting besteht eine Schwachstelle durch unzureichende Kontrolle der Code-Generierung (Code Injection), die OS-Command-Injection ermöglicht. Als betroffen ausgewiesen ist N-able. CVSS-Basiswert: 7.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: die vom Hersteller bereitgestellten Updates einspielen.

    CVSS: 7.2 EPSS: 0.07% Publiziert: Referenz: NVD
  49. QNAP Qsync Central – Format-String-Schwachstelle

    CVE-2025-30269 Hoch

    In QNAP Qsync Central wurde eine Schwachstelle durch unkontrollierte externe Format-Strings gemeldet. Ein entfernter Angreifer mit einem Benutzerkonto kann die Lücke ausnutzen, um geheime Informationen zu erlangen. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 8.1 EPSS: 0.06% Publiziert: Referenz: NVD
  50. QNAP Qsync Central – Out-of-Bounds Write

    CVE-2025-30276 Hoch

    In QNAP Qsync Central wurde eine Out-of-Bounds-Write-Schwachstelle gemeldet. Ein entfernter Angreifer mit einem Benutzerkonto kann die Lücke ausnutzen, um Speicher zu modifizieren oder zu beschädigen. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 8.8 EPSS: 0.06% Publiziert: Referenz: NVD

Diesem Produkt-Feed folgen

Eigener RSS-Feed nur für N-able (N-central / Take Control), kostenlos und ohne Anmeldung. Zustellung per E-Mail, Webhook, REST oder TAXII richten wir auf Anfrage ein.

RSS-Feed öffnen Zustellung anfragen

Wie folge ich dem Feed?

  • 1 RSS-Feed-Link kopieren oder direkt im RSS-Reader öffnen.
  • 2 Priorisierte Reports (KEV · EPSS · CVSS) landen automatisch in Ihrem Reader.
  • 3 Zustellung per E-Mail, Webhook, REST oder TAXII auf Anfrage einrichten lassen.
Zurück zum Katalog