N-able (N-central / Take Control) Seite 2
Hersteller: N-able
Schwachstellen-Reports
170 ReportsZeige 51 bis 100 von 170
-
DedeCMS: Command Execution in file_manage_control.php
CVE-2026-38615 KritischDedeCMS in der Version V5.7.118 ist in der Datei file_manage_control.php für Command Execution anfällig. Angreifer können darüber Befehle auf dem Server ausführen. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.8 %. Die Quelldaten nennen keine fehlerbereinigte Version und keine konkrete Massnahme.
CVSS: 9.8 EPSS: 0.82% Publiziert: Referenz: NVD -
Control Web Panel: Blinde SQL-Injection ohne Authentifizierung
CVE-2026-57517 KritischControl Web Panel vor Version 0.9.8.1225 enthält eine blinde SQL-Injection. Nicht authentifizierte Angreifer können darüber aus der Ferne beliebige SQL-Abfragen ausführen, indem sie ungefilterte Eingaben übermitteln. CVSS-Basiswert: 9.8 (Kritisch); der Angriff ist über das Netzwerk ohne Zugangsdaten und ohne Benutzerinteraktion möglich. Ausnutzungswahrscheinlichkeit (EPSS): 0.6 %. Empfohlene Massnahme: Update auf Control Web Panel 0.9.8.1225 oder neuer.
CVSS: 9.8 EPSS: 0.59% Publiziert: Referenz: NVD -
Realtyna Organic IDX (WordPress) – Code Injection
CVE-2026-57811 KritischIm WordPress-Plugin Realtyna Organic IDX (real-estate-listing-realtyna-wpl) besteht eine Schwachstelle durch unzureichende Kontrolle der Codegenerierung (Code Injection), die das Einbinden von entferntem Code erlaubt. CVSS-Basiswert: 10 (Kritisch) – Angriff über das Netzwerk ohne Rechte und ohne Nutzerinteraktion, mit Scope-Wechsel und voller Auswirkung auf Vertraulichkeit, Integrität und Verfügbarkeit. Ausnutzungswahrscheinlichkeit (EPSS): 0.6 %. Empfohlene Massnahme: das Plugin auf eine vom Hersteller als korrigiert ausgewiesene Version aktualisieren.
CVSS: 10.0 EPSS: 0.56% Publiziert: Referenz: NVD -
Hermes WebUI: unauthentifizierte Übernahme der Ersteinrichtung über _set_password
CVE-2026-49973 KritischHermes WebUI vor Version 0.51.358 enthält eine fehlerhafte Zugriffskontrolle. Nicht authentifizierte Angreifer aus dem Netz können die Ersteinrichtung übernehmen, indem sie den Parameter _set_password übermitteln. Damit lässt sich die Kontrolle über die Instanz erlangen, bevor der reguläre Betreiber sie einrichtet. CVSS-Basiswert: 9.4 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: auf Hermes WebUI 0.51.358 oder neuer aktualisieren.
CVSS: 9.4 EPSS: 0.54% Publiziert: Referenz: NVD -
MetForm Pro: unauthentifizierte Umgehung der Zugriffskontrolle bis Version 3.9.1
CVE-2026-24611 KritischDas Plugin MetForm Pro enthält in den Versionen bis einschliesslich 3.9.1 eine fehlerhafte Zugriffskontrolle, die ohne Authentifizierung ausgenutzt werden kann. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: auf eine Version neuer als 3.9.1 aktualisieren.
CVSS: 9.1 EPSS: 0.44% Publiziert: Referenz: NVD -
WordPress-Plugin ACPT (Pro) – Custom Post Types: Code Injection
CVE-2026-25470 KritischIm WordPress-Plugin ACPT (Pro) – Custom Post Types besteht laut NVD eine Code-Injection-Schwachstelle, die das Einbinden und Ausführen entfernten Codes erlaubt. CVSS-Basiswert: 10 (Kritisch), Vektor CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H – ausnutzbar ohne Authentifizierung über das Netz. Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Die betroffenen Versionsstände sind in den Quelldaten abgeschnitten; empfohlen ist, das Plugin auf die aktuelle Version zu aktualisieren.
CVSS: 10.0 EPSS: 0.41% Publiziert: Referenz: NVD -
Ocelot: Umgehung IP-basierter Zugriffsbeschränkungen über WebSocket-Upgrade
CVE-2026-58172 KritischOcelot bis Version 24.1.0 (behoben in Commit f156fd4) enthält eine Schwachstelle zur Umgehung von Sicherheitskontrollen, die es gesperrten Clients erlaubt, IP-basierte Zugriffsbeschränkungen durch das Senden von WebSocket-Upgrade-Anfragen zu umgehen. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.
CVSS: 9.1 EPSS: 0.41% Publiziert: Referenz: NVD -
Linux-Kernel: Race Condition im bcmgenet-Timeout-Handler
CVE-2026-53086 KritischIm Linux-Kernel wurde eine Race Condition im Timeout-Handler des Netzwerktreibers bcmgenet behoben. Laut NVD versucht bcmgenet_timeout alle TX-Queues stillzulegen, wenn nur eine einzelne Queue in einen Timeout läuft. Der CVSS-Vektor weist die Lücke als über das Netzwerk, ohne Privilegien und ohne Benutzerinteraktion ausnutzbar aus. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: die Kernel-Updates der betroffenen Distributionen einspielen.
CVSS: 9.8 EPSS: 0.39% Publiziert: Referenz: NVD -
obs tar_scm – Shellcode-Injection im Mercurial-Handler
CVE-2026-56004 KritischIm Mercurial-Handler des Source-Service obs tar_scm vor Version 0.12.4 besteht eine Shellcode-Injection. Angreifer, die eine _service-Datei bereitstellen können, sind dadurch in der Lage, Code im Kontext des Source-Service auszuführen. CVSS-Basiswert: 10 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: obs tar_scm auf Version 0.12.4 oder neuer aktualisieren.
CVSS: 10.0 EPSS: 0.38% Publiziert: Referenz: NVD -
Cognee: Fehlerhafte Zugriffskontrolle erlaubt Überschreiben der LLM-Provider-Konfiguration
CVE-2026-58473 KritischCognee vor Version 1.2.0 enthält eine Schwachstelle durch fehlerhafte Zugriffskontrolle, die nicht authentifizierten Angreifern durch Selbstregistrierung eines Kontos das Überschreiben der globalen LLM-Provider-Konfiguration erlaubt. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: Aktualisierung auf Version 1.2.0.
CVSS: 9.1 EPSS: 0.37% Publiziert: Referenz: NVD -
N-able – unzureichende Validierung des Technology-Object-Namens im Web-Interface
CVE-2026-25787 KritischBetroffene Geräte validieren und bereinigen den Namen eines Technology Object (TO) nicht ausreichend, der auf der Seite „Motion Control Diagnostics“ der Web-Oberfläche dargestellt wird. Dadurch kann ein authentifizierter Angreifer die Verarbeitung beeinflussen. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.
CVSS: 9.1 EPSS: 0.37% Publiziert: Referenz: NVD -
Cap-go – Fehler in der Authentifizierungslogik ermöglicht Kontoübernahme
CVE-2026-56081 KritischCap-go vor Version 12.128.2 enthält einen Fehler in der Authentifizierungslogik: Ein Angreifer kann ein Konto registrieren und kontrollieren, das an die E-Mail-Adresse eines Opfers gebunden ist, bevor diese Adresse verifiziert wurde. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.
CVSS: 9.1 EPSS: 0.35% Publiziert: Referenz: NVD -
Honeywell Control Network Module – Command Injection
CVE-2026-5433 KritischDas Honeywell Control Network Module (CNM) enthält eine Command-Injection-Schwachstelle im Webinterface. Ein Angreifer könnte diese Lücke über Befehlstrennzeichen ausnutzen, was potenziell zu Remote Code Execution führt. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.
CVSS: 9.1 EPSS: 0.32% Publiziert: Referenz: NVD -
WooCommerce PDF Invoice Builder – Code Injection (Remote Code Inclusion)
CVE-2026-52704 KritischIm Plugin WooCommerce PDF Invoice Builder von Edgar Rojas besteht eine Schwachstelle durch unzureichende Kontrolle der Code-Generierung (Code Injection), die Remote Code Inclusion ermöglicht. CVSS-Basiswert: 10 (Kritisch), Vektor CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H – aus dem Netz ohne Rechte oder Nutzerinteraktion ausnutzbar, mit Scope-Wechsel. Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: das Plugin auf eine bereinigte Version aktualisieren oder bis zur Verfügbarkeit eines Fixes deaktivieren.
CVSS: 10.0 EPSS: 0.31% Publiziert: Referenz: NVD -
Firefly III: Fehlerhafte Zugriffskontrolle in der Webhook-Verwaltung (SSRF)
CVE-2026-50886 KritischEine fehlerhafte Zugriffskontrolle in der Webhook-Verwaltungskomponente von Project Firefly III v6.5.9 erlaubt Angreifern, über eine manipulierte POST-Anfrage interne Ressourcen zu scannen. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.
CVSS: 9.1 EPSS: 0.31% Publiziert: Referenz: NVD -
RD Station – Code Injection (Remote Code Inclusion)
CVE-2026-49774 KritischIm Plugin RD Station von Filipe Nasc besteht eine Schwachstelle durch unzureichende Kontrolle der Code-Generierung (Code Injection), die Remote Code Inclusion ermöglicht. Betroffen sind laut Quelle alle Versionen bis einschliesslich 5.6.0. CVSS-Basiswert: 9.9 (Kritisch), Vektor CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H – geringe Rechte genügen, mit Scope-Wechsel. Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: das Plugin auf eine Version neuer als 5.6.0 aktualisieren oder bis zur Verfügbarkeit eines Fixes deaktivieren.
CVSS: 9.9 EPSS: 0.28% Publiziert: Referenz: NVD -
TrueBooker (≤ 1.1.9) – nicht authentifizierte fehlerhafte Zugriffskontrolle
CVE-2026-48881 KritischLaut NVD besteht in TrueBooker in Versionen bis einschliesslich 1.1.9 eine nicht authentifizierte fehlerhafte Zugriffskontrolle (Broken Access Control). Der Angriff ist über das Netzwerk ohne Authentifizierung und ohne Benutzerinteraktion möglich und betrifft Vertraulichkeit und Integrität. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.
CVSS: 9.1 EPSS: 0.28% Publiziert: Referenz: NVD -
Control-M/Server – unzureichende Eingabefilterung ermöglicht unautorisierte Ausführung
CVE-2026-10539 KritischEin Kommunikationskommando von Control-M/Server filtert bzw. bereinigt laut NVD vom Benutzer gelieferte Eingaben unzureichend. Unter bestimmten Bedingungen kann dies einem nicht authentifizierten Angreifer die unautorisierte Ausführung ermöglichen. Der Angriff ist netzwerkbasiert, erfordert jedoch eine hohe Angriffskomplexität. CVSS-Basiswert: 9.0 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.
CVSS: 9.0 EPSS: 0.24% Publiziert: Referenz: NVD -
Improper Access Control in Progress Sitefinity Web Services
CVE-2026-7198 KritischIn Progress Sitefinity 15.4.8623 (vor Version 15.4.8630) ermöglicht eine fehlerhafte Zugriffskontrolle in den Web Services einem nicht authentifizierten Angreifer aus der Ferne, auf eigentlich eingeschränkte Inhalte zuzugreifen. CVSS-Basiswert: 9.8 (Kritisch). Betroffene Produkte: N-able, Progress.
CVSS: 9.8 EPSS: 0.23% Publiziert: Referenz: NVD -
Dataprom PACS/ACSS – Origin Validation Error (Traffic Injection)
CVE-2024-10534 KritischIn den Zutrittskontroll- und Personaleinsatzsystemen von Dataprom Informatics (PACS/ACSS) wurde eine Origin-Validation-Schwachstelle gemeldet, die Traffic Injection ermöglicht. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.
CVSS: 9.8 EPSS: 0.22% Publiziert: Referenz: NVD -
EIPStackGroup OpENer 2.3.0: Fehlerhafte Zugriffskontrolle bei Encapsulation-Sitzungen
CVE-2026-51538 KritischIn EIPStackGroup OpENer 2.3.0 (Commit 76b95cf) besteht eine Schwachstelle durch fehlerhafte Zugriffskontrolle (Incorrect Access Control) bei der Verarbeitung von Encapsulation-Sitzungen. Sie tritt auf, wenn der Server kritische Encapsulation-Befehle verarbeitet. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.
CVSS: 9.1 EPSS: 0.20% Publiziert: Referenz: NVD -
Next4Biz CRM & BPM: Code Injection ermöglicht Remote Code Inclusion
CVE-2024-5683 KritischIn der Business-Process-Management-Software von Next4Biz CRM & BPM besteht eine unzureichende Kontrolle bei der Code-Erzeugung (Code Injection). Angreifende können darüber fremden Code einbinden und ausführen lassen (Remote Code Inclusion). CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.
CVSS: 9.8 EPSS: 0.19% Publiziert: Referenz: NVD -
ArkSigner Software: PHP Remote File Inclusion
CVE-2025-11023 KritischIn ArkSigner Software besteht laut Quellbeschreibung eine PHP-Remote-File-Inclusion-Schwachstelle: Funktionalität aus einer nicht vertrauenswürdigen Quelle wird eingebunden, weil der Dateiname für Include-/Require-Anweisungen nicht ausreichend kontrolliert wird. Die Lücke ist ohne Authentifizierung über das Netzwerk erreichbar. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.
CVSS: 9.8 EPSS: 0.16% Publiziert: Referenz: NVD -
CVE-2025-13590 – N-able: Arbitrary File Upload via REST API
CVE-2025-13590 KritischEin Angreifer mit Administratorrechten kann über eine System-REST-API eine beliebige Datei an einen benutzerkontrollierten Speicherort hochladen, was zu Remote Code Execution führen kann. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 9.1 EPSS: 0.11% Publiziert: Referenz: NVD -
Olgu Computer Systems e-Belediye – Falsche Berechtigungen für kritische Ressourcen
CVE-2024-9142 KritischIn der e-Belediye-Lösung von Olgu Computer Systems wurde eine Schwachstelle durch fehlerhafte Pfad- und Berechtigungszuweisung für kritische Ressourcen gemeldet, die Manipulation von Dateisystemzugriffen ermöglicht. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 9.8 EPSS: 0.09% Publiziert: Referenz: NVD -
CVE-2026-21515 – Offenlegung sensibler Informationen in Azure IoT Central (Privilege Escalation)
CVE-2026-21515 KritischIn Azure IoT Central wurde eine Schwachstelle entdeckt, die einem autorisierten Angreifer über das Netzwerk die Eskalation von Berechtigungen durch Offenlegung sensibler Informationen ermöglicht. CVSS-Basiswert: 9.9 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 9.9 EPSS: 0.09% Publiziert: Referenz: NVD -
CVE-2026-23781 – Hartcodierte Standard-Zugangsdaten in BMC Control-M/MFT
CVE-2026-23781 KritischIn BMC Control-M/MFT 9.0.20 bis 9.0.22 sind Standard-Debug-Zugangsdaten im Klartext im Anwendungspaket hartcodiert hinterlegt. Falls diese unverändert bleiben, können Angreifer die Anmeldedaten ausnutzen. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 9.8 EPSS: 0.07% Publiziert: Referenz: NVD -
Boolean-basierte Blind-SQL-Injection
CVE-2025-62319 KritischEs besteht eine Boolean-basierte SQL-Injection – eine Form der Blind-SQL-Injection, bei der Angreifende über Eingabefelder Boolesche Bedingungen (TRUE oder FALSE) in SQL-Abfragen einschleusen und die Datenbank so schrittweise auslesen können. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 9.8 EPSS: 0.05% Publiziert: Referenz: NVD -
CVE-2026-34184 – Fehlende Autorisierung in Hydrosystem Control System (Verzeichniszugriff)
CVE-2026-34184 KritischDas Hydrosystem Control System erzwingt für bestimmte Verzeichnisse keine Autorisierung, wodurch ein nicht authentifizierter Angreifer alle Dateien in diesen Verzeichnissen lesen und teilweise ausführen kann. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 9.1 EPSS: 0.04% Publiziert: Referenz: NVD -
Dinosoft ERP: fehlende Authentifizierung und fehlerhafte Zugriffskontrolle
CVE-2025-8025 KritischIn Dinosoft ERP von Dinosoft Business Solutions fehlt die Authentifizierung für eine kritische Funktion, zusätzlich ist die Zugriffskontrolle fehlerhaft umgesetzt. Angreifer können laut Quelle auf Funktionen zugreifen, die nicht ordnungsgemäss durch ACLs eingeschränkt sind. CVSS-Basiswert: 9.8 (Kritisch). Laut CVSS-Vektor ist die Lücke über das Netz ohne Authentifizierung und ohne Benutzerinteraktion ausnutzbar. Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 9.8 EPSS: 0.04% Publiziert: Referenz: NVD -
PruvaSoft Apinizer Management Console: Autorisierungsumgehung über benutzergesteuerten Schlüssel
CVE-2024-5619 KritischIn der Apinizer Management Console von PruvaSoft Informatics besteht eine Autorisierungsumgehung über einen benutzergesteuerten Schlüssel (Authorization Bypass Through User-Controlled Key). Angreifer können laut Quelle falsch konfigurierte Zugriffskontroll-Sicherheitsstufen ausnutzen. CVSS-Basiswert: 9.6 (Kritisch). Der CVSS-Vektor weist die Lücke als netzwerkbasiert und ohne Nutzerinteraktion ausnutzbar aus; sie erfordert niedrige Privilegien und wirkt über den betroffenen Sicherheitskontext hinaus (Scope: Changed). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 9.6 EPSS: 0.03% Publiziert: Referenz: NVD -
Sustainable Irrigation Platform (SIP) – Command Injection im cli_control-Plugin
CVE-2026-58479 KritischDie Sustainable Irrigation Platform (SIP) enthält bis einschliesslich Version 5.2.16 im optionalen cli_control-Plugin eine Command-Injection-Schwachstelle. Diese lässt sich ohne Authentifizierung oder per Cross-Site Request Forgery ausnutzen, wodurch Angreifer eingeschleuste Befehle ausführen können. CVSS-Basiswert: 9.8 (Kritisch).
CVSS: 9.8 Publiziert: Referenz: NVD -
Gigabyte Control Center – Arbitrary File Write
CVE-2026-4415 HochIm Gigabyte Control Center ermöglicht eine Arbitrary-File-Write-Schwachstelle nicht authentifizierten Remote-Angreifern das Schreiben beliebiger Dateien an beliebige Speicherorte, wenn die Pairing-Funktion aktiviert ist. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.8 %.
CVSS: 8.1 EPSS: 0.79% Publiziert: Referenz: NVD -
Ivanti Neurons for ITSM – Fehlerhafte Zugriffskontrolle ermöglicht administrativen Zugriff
CVE-2026-9614 HochEine fehlerhafte Zugriffskontrolle in Ivanti Neurons for ITSM (Cloud und On-Premises) ermöglicht einem authentifizierten Remote-Angreifer, administrativen Zugriff auf das System zu erlangen. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.
CVSS: 8.8 EPSS: 0.36% Publiziert: Referenz: NVD -
WSO2-Produkte: Unzureichende Validierung von JSON-Payloads im Throttling
CVE-2026-4249 HochDer Mechanismus zur Behandlung von Throttling-Ereignissen in mehreren WSO2-Produkten akzeptiert benutzergelieferte JSON-Payloads ohne ausreichende Prüfung von Struktur und Inhalt. Dies ermöglicht einem nicht authentifizierten, entfernten Angreifer laut Quellbeschreibung einen Missbrauch. CVSS-Basiswert: 8.6 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: die betroffenen WSO2-Produkte gemäss Hersteller-Advisory aktualisieren.
CVSS: 8.6 EPSS: 0.34% Publiziert: Referenz: NVD -
CVE-2026-23780 – SQL Injection in BMC Control-M/MFT Debug-Schnittstelle
CVE-2026-23780 HochIn BMC Control-M/MFT 9.0.20 bis 9.0.22 wurde eine SQL-Injection-Schwachstelle in der Debug-Schnittstelle der MFT-API entdeckt. Ein authentifizierter Angreifer kann aufgrund fehlender Eingabevalidierung bösartige SQL-Abfragen einschleusen. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.
CVSS: 8.8 EPSS: 0.21% Publiziert: Referenz: NVD -
QNAP Qsync Central – Buffer Overflow
CVE-2025-52868 HochIn QNAP Qsync Central wurde eine Buffer-Overflow-Schwachstelle gemeldet. Ein entfernter Angreifer mit einem Benutzerkonto kann die Lücke ausnutzen, um Speicher zu modifizieren oder Prozesse zum Absturz zu bringen. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 8.1 EPSS: 0.14% Publiziert: Referenz: NVD -
QNAP Qsync Central – Buffer Overflow
CVE-2025-52869 HochIn QNAP Qsync Central wurde eine Buffer-Overflow-Schwachstelle gemeldet. Ein entfernter Angreifer mit einem Benutzerkonto kann die Lücke ausnutzen, um Speicher zu modifizieren oder Prozesse zum Absturz zu bringen. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 8.1 EPSS: 0.14% Publiziert: Referenz: NVD -
OpenHarness: Fehlerhafte Zugriffskontrolle in den integrierten Datei-Werkzeugen
CVE-2026-22682 HochOpenHarness enthält vor Commit 166fcfe eine Schwachstelle bei der Zugriffskontrolle in den integrierten Datei-Werkzeugen. Ursache ist eine inkonsistente Parameterverarbeitung bei der Durchsetzung von Berechtigungen, wodurch Angreifer diese umgehen können. CVSS-Basiswert: 7.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: auf eine Version ab Commit 166fcfe aktualisieren.
CVSS: 7.1 EPSS: 0.13% Publiziert: Referenz: NVD -
PHP Remote File Inclusion in Axiomthemes Confidant
CVE-2025-53440 HochIm WordPress-Theme Confidant des Herstellers Axiomthemes wurde eine Schwachstelle zur PHP Local File Inclusion über eine unsachgemässe Kontrolle von Dateinamen in Include/Require-Anweisungen identifiziert. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 8.1 EPSS: 0.11% Publiziert: Referenz: NVD -
PHP Remote File Inclusion in Axiomthemes Crafti
CVE-2025-58705 HochIm WordPress-Theme Crafti des Herstellers Axiomthemes wurde eine Schwachstelle zur PHP Local File Inclusion über eine unsachgemässe Kontrolle von Dateinamen in Include/Require-Anweisungen identifiziert. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 8.1 EPSS: 0.11% Publiziert: Referenz: NVD -
PHP Remote File Inclusion in UnboundStudio Accordion FAQ
CVE-2025-58024 HochIm WordPress-Plugin Accordion FAQ des Herstellers UnboundStudio wurde eine Schwachstelle zur PHP Local File Inclusion über eine unsachgemässe Kontrolle von Dateinamen in Include/Require-Anweisungen identifiziert. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 7.5 EPSS: 0.11% Publiziert: Referenz: NVD -
Gigabyte Control Center – unzureichende Zugriffskontrolle im MBStorage-Modul
CVE-2026-9492 HochDas MBStorage-DRAM-Beleuchtungssteuerungsmodul im Gigabyte Control Center (GCC) von GIGABYTE Technology weist eine Schwachstelle durch unzureichende Zugriffskontrolle auf. Authentifizierte lokale Angreifer können speziell gestaltete Anfragen senden. CVSS-Basiswert: 7.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 7.8 EPSS: 0.11% Publiziert: Referenz: NVD -
CVE-2026-23782 – Offenlegung von API-Zugangsdaten in BMC Control-M/MFT
CVE-2026-23782 HochIn BMC Control-M/MFT 9.0.20 bis 9.0.22 ermöglicht ein API-Management-Endpunkt nicht authentifizierten Benutzern das Abrufen eines API-Bezeichners sowie des zugehörigen geheimen Schlüssels. Mit diesen Informationen können Angreifer weitergehende Aktionen durchführen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 7.5 EPSS: 0.10% Publiziert: Referenz: NVD -
Nebim V3 ERP – Ausführung mit unnötigen Privilegien (Ausweitung auf das Betriebssystem)
CVE-2025-13506 HochIn Nebim V3 ERP besteht eine Schwachstelle durch Ausführung mit unnötigen Privilegien (Execution with Unnecessary Privileges), die eine Ausweitung der Kontrolle von der Datenbank auf das Betriebssystem ermöglicht. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: verfügbare Hersteller-Updates gemäss Advisory einspielen.
CVSS: 8.8 EPSS: 0.09% Publiziert: Referenz: NVD -
Zoom Contact Center: Rechteausweitung durch unzureichende Datenauthentizitätsprüfung
CVE-2026-53406 HochIn der Funktion Remote Control für Zoom Contact Center für Windows vor Version 7.0.0 kann eine unzureichende Prüfung der Datenauthentizität einem authentifizierten Benutzer eine lokale Rechteausweitung ermöglichen. Als betroffen ausgewiesen sind Zoom und N-able. CVSS-Basiswert: 7.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: auf Version 7.0.0 oder neuer aktualisieren.
CVSS: 7.8 EPSS: 0.08% Publiziert: Referenz: NVD -
Amazon Kiro IDE – Unzureichende Zugriffskontrolle beim Schreiben von Dateien
CVE-2026-10591 HochIn Amazon Kiro IDE wurde vor Version 0.11 eine Schwachstelle durch unzureichende Zugriffskontrolleinschränkungen im Datei-Schreib-Tool identifiziert. Nicht authentifizierte Angreifer könnten über manipulierte Anweisungen beliebige Befehle aus der Ferne ausführen. CVSS-Basiswert: 8.8 (Hoch).
CVSS: 8.8 EPSS: 0.08% Publiziert: Referenz: NVD -
SambaBox: Code-Injection ermöglicht OS-Command-Injection
CVE-2026-3120 HochIn SambaBox von Profelis Information and Consulting besteht eine Schwachstelle durch unzureichende Kontrolle der Code-Generierung (Code Injection), die OS-Command-Injection ermöglicht. Als betroffen ausgewiesen ist N-able. CVSS-Basiswert: 7.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: die vom Hersteller bereitgestellten Updates einspielen.
CVSS: 7.2 EPSS: 0.07% Publiziert: Referenz: NVD -
QNAP Qsync Central – Format-String-Schwachstelle
CVE-2025-30269 HochIn QNAP Qsync Central wurde eine Schwachstelle durch unkontrollierte externe Format-Strings gemeldet. Ein entfernter Angreifer mit einem Benutzerkonto kann die Lücke ausnutzen, um geheime Informationen zu erlangen. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 8.1 EPSS: 0.06% Publiziert: Referenz: NVD -
QNAP Qsync Central – Out-of-Bounds Write
CVE-2025-30276 HochIn QNAP Qsync Central wurde eine Out-of-Bounds-Write-Schwachstelle gemeldet. Ein entfernter Angreifer mit einem Benutzerkonto kann die Lücke ausnutzen, um Speicher zu modifizieren oder zu beschädigen. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 8.8 EPSS: 0.06% Publiziert: Referenz: NVD
Diesem Produkt-Feed folgen
Eigener RSS-Feed nur für N-able (N-central / Take Control), kostenlos und ohne Anmeldung. Zustellung per E-Mail, Webhook, REST oder TAXII richten wir auf Anfrage ein.
RSS-Feed öffnen Zustellung anfragenWie folge ich dem Feed?
- 1 RSS-Feed-Link kopieren oder direkt im RSS-Reader öffnen.
- 2 Priorisierte Reports (KEV · EPSS · CVSS) landen automatisch in Ihrem Reader.
- 3 Zustellung per E-Mail, Webhook, REST oder TAXII auf Anfrage einrichten lassen.