Ping Identity/OneLogin
Ping Identity/OneLogin gehört zur Kategorie „Enterprise-Apps, ERP, HR, SaaS". xonatec überwacht Ping Identity/OneLogin kontinuierlich auf neue Sicherheitslücken, priorisiert jede Meldung nach aktiver Ausnutzung (KEV), Ausnutzungswahrscheinlichkeit (EPSS) und Schweregrad (CVSS) Im zugeschnittenen Bericht erhalten Sie ausschliesslich die Meldungen, die dieses Produkt betreffen.
Schwachstellen-Reports
54 ReportsZeige 1 bis 50 von 54
-
VMware Workspace ONE Access Server-Side Template Injection
CVE-2022-22954 Aktiv ausgenutzt RansomwareIn VMware Workspace ONE Access und Identity Manager wurde eine Server-Side Template Injection-Schwachstelle gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Bekannter Einsatz in Ransomware-Kampagnen. Ausnutzungswahrscheinlichkeit (EPSS): 94.4 %.
EPSS: 94.44% Publiziert: Referenz: CISA KEV -
HP Multiple Products – Remote Code Execution
CVE-2013-4810 Aktiv ausgenutztMehrere HP-Produkte weisen eine kritische Schwachstelle auf, die Remote Code Execution ermöglicht. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 89.7 %.
EPSS: 89.70% Publiziert: Referenz: CISA KEV -
Cisco Identity Services Engine Injection Vulnerability
CVE-2025-20281 Aktiv ausgenutztIn Cisco Identity Services Engine (ISE) wurde eine Injection-Schwachstelle (CVE-2025-20281) gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 34.2 %.
EPSS: 34.17% Publiziert: Referenz: CISA KEV -
Cisco Identity Services Engine – Injection-Schwachstelle
CVE-2025-20337 Aktiv ausgenutztIn Cisco Identity Services Engine wurde eine Injection-Schwachstelle gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 1.4 %.
EPSS: 1.35% Publiziert: Referenz: CISA KEV -
Oracle Identity Manager / Web Services Manager – Kritische Schwachstelle in REST WebServices
CVE-2026-21992 KritischIn Oracle Identity Manager (Komponente: REST WebServices) und Oracle Web Services Manager (Komponente: Web Services) von Oracle Fusion Middleware wurde eine kritische Sicherheitslücke identifiziert. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 1.0 %.
CVSS: 9.8 EPSS: 1.01% Publiziert: Referenz: NVD -
Cisco ISE und ISE-PIC: Befehlsausführung auf dem zugrunde liegenden Betriebssystem
CVE-2026-20181 KritischEine Schwachstelle in Cisco ISE und ISE-PIC erlaubt einem authentifizierten, entfernten Angreifer die Ausführung beliebiger Befehle auf dem zugrunde liegenden Betriebssystem des betroffenen Geräts. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.7 %. Empfohlene Massnahme: Betroffene Software gemäss Cisco-Advisory aktualisieren.
CVSS: 9.1 EPSS: 0.75% Publiziert: Referenz: NVD -
Oracle Identity Manager: Leicht ausnutzbare Schwachstelle in der OIM Legacy UI
CVE-2026-46807 KritischIm Produkt Identity Manager von Oracle Fusion Middleware besteht eine leicht ausnutzbare Schwachstelle in der Komponente OIM Legacy UI. Betroffen sind die unterstützten Versionen 12.2.1.4.0 und 14.1.2.1.0. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %.
CVSS: 9.8 EPSS: 0.52% Publiziert: Referenz: NVD -
ThingsBoard v4.3.0.1: Authentifizierungsumgehung beim OAuth-Code-Austausch
CVE-2026-36537 KritischThingsBoard v4.3.0.1 ist für eine Authentifizierungsumgehung während des OAuth-Authorization-Code-Austauschs anfällig. Laut Quellbeschreibung vertraut die Anwendung den vom Benutzer gelieferten Identitätsdaten im user-Parameter unzulässigerweise. Die Schwachstelle ist ohne Authentifizierung über das Netzwerk ausnutzbar. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %.
CVSS: 9.8 EPSS: 0.51% Publiziert: Referenz: NVD -
Oracle Identity Manager (Core): Leicht ausnutzbare Schwachstelle
CVE-2026-35268 KritischIm Produkt Identity Manager der Oracle Fusion Middleware (Komponente: Core) besteht eine leicht ausnutzbare Schwachstelle. Betroffen sind die unterstützten Versionen 12.2.1.4.0 und 14.1.2.1.0. CVSS-Basiswert: 9.9 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: Das zugehörige Oracle Critical Patch Update einspielen.
CVSS: 9.9 EPSS: 0.43% Publiziert: Referenz: NVD -
Oracle Identity Manager Connector – Schwachstelle im Generic Unix Connector
CVE-2026-46794 KritischIm Produkt Identity Manager Connector der Oracle Fusion Middleware besteht eine leicht ausnutzbare Schwachstelle in der Komponente Generic Unix Connector. Betroffen sind laut Quelle die unterstützten Versionen 12.2.1.4.0 und 14.1.2.1.0. CVSS-Basiswert: 9.9 (Kritisch), Vektor CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H – bereits geringe Rechte genügen, mit Scope-Wechsel. Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: das zugehörige Oracle Critical Patch Update einspielen; Identity-Komponenten sind wegen ihrer Rolle in der Zugriffsverwaltung besonders schützenswert.
CVSS: 9.9 EPSS: 0.43% Publiziert: Referenz: NVD -
Oracle Identity Manager Connector – Schwachstelle in den Mainframe Connectors
CVE-2026-35294 KritischIm Oracle Identity Manager Connector (Oracle Fusion Middleware, Komponente Mainframe Connectors) besteht eine leicht ausnutzbare Schwachstelle. Betroffen sind laut Quelle die unterstützten Versionen 12.2.1.4.0 und 14.1.2.1.0. CVSS-Basiswert: 9.9 (Kritisch), Vektor CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H – für die Ausnutzung über das Netz genügen niedrige Privilegien, der Scope wechselt. Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Da Identity-Komponenten Zugriffsentscheidungen für nachgelagerte Systeme treffen, ist die Lücke vorrangig zu behandeln.
CVSS: 9.9 EPSS: 0.41% Publiziert: Referenz: NVD -
Oracle Identity Manager Connector (Generic Unix Connector): Leicht ausnutzbare Schwachstelle
CVE-2026-46792 KritischIm Produkt Identity Manager Connector der Oracle Fusion Middleware (Komponente: Generic Unix Connector) besteht eine leicht ausnutzbare Schwachstelle. Betroffen sind die unterstützten Versionen 12.2.1.4.0 und 14.1.2.1.0. CVSS-Basiswert: 9.9 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: Das zugehörige Oracle Critical Patch Update einspielen.
CVSS: 9.9 EPSS: 0.40% Publiziert: Referenz: NVD -
Oracle Identity Manager Connector (Komponente Database User) – leicht ausnutzbare Schwachstelle
CVE-2026-46793 KritischIm Identity Manager Connector, Bestandteil von Oracle Fusion Middleware (Komponente: Database User), besteht eine leicht ausnutzbare Schwachstelle. Betroffen sind laut Quelle die Versionen 12.2.1.4.0 und 14.1.2.1.0. CVSS-Basiswert: 9.9 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: Die Patches aus dem zugehörigen Oracle Critical Patch Update einspielen.
CVSS: 9.9 EPSS: 0.40% Publiziert: Referenz: NVD -
Neterbit NW-431F Router: OS-Command-Injection im Ping-Diagnosemodul
CVE-2025-67447 KritischDas Netzwerkdiagnose-Modul (Ping) des Neterbit NW-431F Routers in Version 20241014-IR03 und früher ist für OS-Command-Injection anfällig. Laut Quellbeschreibung bereinigt die Anwendung Benutzereingaben im IP-Adressfeld nicht ausreichend. Die Schwachstelle ist ohne Authentifizierung über das Netzwerk erreichbar. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.
CVSS: 9.8 EPSS: 0.29% Publiziert: Referenz: NVD -
Cloud Foundry UAA – Fehlende SAML-Signaturprüfung in zwei Flows
CVE-2026-41005 KritischCloud Foundry UAA behandelte in zwei SAML-Flows die XML-Verschlüsselung zum Service Provider (Vertraulichkeit) fälschlich als Ersatz für die XML-Signaturen des Identity Providers (Authentizität). Dadurch wird die Herkunft der Assertions nicht ausreichend geprüft. CVSS-Basiswert: 9.0 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 9.0 EPSS: 0.13% Publiziert: Referenz: NVD -
Oracle Identity Manager Connector – Privilege Escalation (Fusion Middleware)
CVE-2026-34287 KritischIm Oracle Identity Manager Connector für Oracle Fusion Middleware (Komponente: Core, Version 12.2.1.4.0) besteht eine leicht ausnutzbare Schwachstelle, die nicht authentifizierten Angreifern über das Netzwerk eine Rechteausweitung ermöglicht. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 9.1 EPSS: 0.07% Publiziert: Referenz: NVD -
authentik Source Stage: Bypass via leerem POST-Request
CVE-2026-49448 KritischIm Open-Source-Identity-Provider authentik lässt sich die Source-Stage vor den Versionen 2025.12.6, 2026.2.4 und 2026.5.1 durch das Senden eines leeren POST-Requests umgehen. Das Problem wurde in den genannten Versionen behoben. CVSS-Basiswert: 9.8 (Kritisch).
CVSS: 9.8 EPSS: 0.07% Publiziert: Referenz: NVD -
IBM WebSphere Application Server – Identity Spoofing
CVE-2026-8644 KritischIBM WebSphere Application Server (Versionen 9.0 und 8.5) ist anfällig für Identity Spoofing. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 9.1 EPSS: 0.05% Publiziert: Referenz: NVD -
UDS Identity Config: Logikfehler im Keycloak-Konfigurations-Image
CVE-2026-46389 KritischUDS Identity Config erstellt das Keycloak-Konfigurations-Image (Realm, Plugins, Theme, Truststore, JARs), das vom Identity-Deployment von UDS Core genutzt wird. In den Versionen 0.11.0 bis 0.26.0 führt ein Logikfehler zu einer kritisch bewerteten Schwachstelle. CVSS-Basiswert: 10 (Kritisch) bei netzbasiertem Angriffsvektor ohne erforderliche Authentifizierung oder Nutzerinteraktion. Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: auf eine Version neuer als 0.26.0 aktualisieren.
CVSS: 10.0 EPSS: 0.04% Publiziert: Referenz: NVD -
Oracle Identity Manager Connector – Privilege Escalation (Fusion Middleware)
CVE-2026-34285 KritischIm Oracle Identity Manager Connector für Oracle Fusion Middleware (Komponente: Core, Version 12.2.1.4.0) besteht eine leicht ausnutzbare Schwachstelle, die nicht authentifizierten Angreifern über das Netzwerk eine Rechteausweitung ermöglicht. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 9.1 EPSS: 0.02% Publiziert: Referenz: NVD -
Oracle Identity Manager Connector – Privilege Escalation (Fusion Middleware)
CVE-2026-34286 KritischIm Oracle Identity Manager Connector für Oracle Fusion Middleware (Komponente: Core, Version 12.2.1.4.0) besteht eine leicht ausnutzbare Schwachstelle, die nicht authentifizierten Angreifern über das Netzwerk eine Rechteausweitung ermöglicht. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 9.1 EPSS: 0.02% Publiziert: Referenz: NVD -
authentik SFE (Simple Flow Executor): Sicherheitslücke in Stage-Implementierung
CVE-2026-42849 KritischIm Open-Source-Identity-Provider authentik besteht vor den Versionen 2025.12.5 und 2026.2.3 eine kritische Schwachstelle in der Stage-Implementierung des Simple Flow Executor (SFE). CVSS-Basiswert: 9.3 (Kritisch).
CVSS: 9.3 EPSS: 0.02% Publiziert: Referenz: NVD -
IBM Verify Identity Access / Security Verify Access – Kritische Sicherheitslücke
CVE-2026-1346 KritischIn IBM Verify Identity Access (Container) 11.0 bis 11.0.2 sowie IBM Security Verify Access (Container) 10.0 bis 10.0.9.1 wurde eine kritische Sicherheitslücke gemeldet. CVSS-Basiswert: 9.3 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 9.3 EPSS: 0.01% Publiziert: Referenz: NVD -
Vitec Flamingo: Nicht authentifizierte OS-Command-Injection in admin/ajax/ping.php
CVE-2026-60121 KritischVitec Flamingo 4.12.2 enthält laut NVD eine OS-Command-Injection im Endpunkt admin/ajax/ping.php, die ohne Authentifizierung ausgenutzt werden kann. Entfernte Angreifer können darüber beliebige Befehle ausführen; ausgenutzt wird gemäss Quelle eine doppelte Verarbeitung der Eingabe. Der CVSS-Vektor weist die Lücke als über das Netzwerk, ohne Privilegien und ohne Benutzerinteraktion ausnutzbar aus, mit vollständiger Auswirkung auf Vertraulichkeit, Integrität und Verfügbarkeit. CVSS-Basiswert: 9.8 (Kritisch). Ein EPSS-Wert liegt in den Quelldaten nicht vor.
CVSS: 9.8 Publiziert: Referenz: NVD -
Rapid7 InsightConnect Ping-Plugin – OS-Command-Injection über host-Parameter
CVE-2026-8660 HochEine OS-Command-Injection-Schwachstelle in der Ping-Aktion des Rapid7 InsightConnect Ping-Plugins unter Linux erlaubt entfernten Angreifern die Ausführung beliebiger Betriebssystembefehle über den host-Parameter aufgrund unzureichender Eingabevalidierung. CVSS-Basiswert: 7.7 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.7 %. Empfohlene Massnahme: verfügbare Hersteller-Updates einspielen.
CVSS: 7.7 EPSS: 0.68% Publiziert: Referenz: NVD -
Ping Identity – Server-Side Template Injection via Velocity Engine
CVE-2025-12107 HochDurch die Verwendung einer verwundbaren Drittanbieter-Velocity-Template-Engine können Angreifer mit Administratorrechten beliebige Template-Syntax in serverseitige Templates einschleusen und ausführen. CVSS-Basiswert: 8.4 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.6 %.
CVSS: 8.4 EPSS: 0.58% Publiziert: Referenz: NVD -
Synology C2 Identity Edge Server – Exposed Dangerous Function (PWN2OWN 2025)
CVE-2025-14713 HochIm Synology C2 Identity Edge Server-Paket für DSM (vor Version 1.76.0-0307) wurde eine Schwachstelle durch eine exponierte gefährliche Methode oder Funktion gefunden. Entfernte Angreifer können dadurch Benutzeranmeldedaten vom Edge-Server auslesen. Die Schwachstelle wurde im Rahmen des PWN2OWN 2025-Wettbewerbs offengelegt. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %.
CVSS: 7.5 EPSS: 0.47% Publiziert: Referenz: NVD -
Schwachstelle in Oracle Fusion Middleware Identity Manager
CVE-2026-35265 HochIn der Komponente Security des Produkts Identity Manager (Oracle Fusion Middleware) besteht eine leicht ausnutzbare Schwachstelle. Betroffen sind laut Quelle die unterstützten Versionen 12.2.1.4.0 und 14.1.2.1.0. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: die vom Hersteller bereitgestellten Sicherheitsupdates einspielen.
CVSS: 8.8 EPSS: 0.43% Publiziert: Referenz: NVD -
Schwachstelle in Oracle Identity Manager (REST-Webservices)
CVE-2026-35267 HochIm Identity Manager von Oracle Fusion Middleware (Komponente REST-Webservices) besteht laut Quelle eine leicht ausnutzbare Schwachstelle; betroffen sind die Versionen 12.2.1.4.0 und 14.1.2.1.0. Ein Angreifer mit niedrigen Rechten kann sie über das Netzwerk ausnutzen und damit Vertraulichkeit, Integrität und Verfügbarkeit vollständig kompromittieren. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.
CVSS: 8.8 EPSS: 0.43% Publiziert: Referenz: NVD -
Cisco ISE / ISE-PIC: Fehlerhafte Autorisierung ermöglicht Zugriff auf sensible Informationen
CVE-2026-20190 HochEine Schwachstelle in Cisco ISE und ISE-PIC könnte es einem nicht authentifizierten, entfernten Angreifer erlauben, sensible Informationen auf einem betroffenen Gerät einzusehen. Ursache ist eine fehlerhafte Autorisierungsprüfung. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.
CVSS: 7.5 EPSS: 0.41% Publiziert: Referenz: NVD -
Oracle Fusion Middleware Identity Manager – Schwachstelle in REST WebServices
CVE-2026-35269 HochEine Schwachstelle im Produkt Identity Manager von Oracle Fusion Middleware (Komponente: REST WebServices) betrifft die Versionen 12.2.1.4.0 und 14.1.2.1.0. Sie ist leicht ausnutzbar und wirkt sich auf die Integrität aus. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.
CVSS: 7.5 EPSS: 0.35% Publiziert: Referenz: NVD -
ZITADEL: OAuth2-Token-Exchange prüft Subject-Token unzureichend
CVE-2026-56668 HochZITADEL ist eine quelloffene Identity-Management-Plattform. In Versionen vor 4.15.3 prüft der OAuth2-Token-Exchange-Endpunkt (grant-type token-exchange) das übergebene Subject-Token nicht ausreichend. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: auf ZITADEL 4.15.3 oder neuer aktualisieren.
CVSS: 8.1 EPSS: 0.23% Publiziert: Referenz: NVD -
authentik SAML Source ACS: XML Signature Wrapping
CVE-2026-47201 HochIm Open-Source-Identity-Provider authentik ist der SAML-Source-ACS-Endpunkt vor den Versionen 2025.12.5, 2026.2.3 und 2026.5.1 anfällig für XML Signature Wrapping bei der Validierung von Upstream-Antworten. CVSS-Basiswert: 8.5 (Hoch).
CVSS: 8.5 EPSS: 0.10% Publiziert: Referenz: NVD -
Ping Identity – Datenaustausch bei Silent Just-In-Time Provisioning
CVE-2024-1524 HochWenn das Feature „Silent Just-In-Time Provisioning” für einen Verbund-Identitätsanbieter (IDP) aktiviert ist, können während des Account-Provisionierungsvorgangs Benutzerdaten eines lokalen Kontos überschrieben werden. CVSS-Basiswert: 7.7 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 7.7 EPSS: 0.09% Publiziert: Referenz: NVD -
Azure Privileged Identity Management – Authorization Bypass
CVE-2026-35430 HochIn Azure Privileged Identity Management (PIM) ermöglicht ein Authorization Bypass durch einen benutzerkontrollierten Schlüssel autorisierten Angreifern, Rechte über ein Netzwerk auszuweiten. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 8.8 EPSS: 0.07% Publiziert: Referenz: NVD -
Ping Identity – Authentication Bypass für gesperrte Konten via Magic Link/Pass Key
CVE-2025-10908 HochAufgrund fehlender Validierung des Benutzerkontostatus während der Authentifizierung können gesperrte Konten über Magic-Link- oder Pass-Key-Methoden erfolgreich authentifiziert werden. Dies umgeht die vorgesehenen Sicherheitskontrollen. CVSS-Basiswert: 7.3 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 7.3 EPSS: 0.07% Publiziert: Referenz: NVD -
authentik: Privilege Escalation über Source-Connection-Manipulation
CVE-2026-49443 HochIm Open-Source-Identity-Provider authentik kann ein Angreifer mit der Möglichkeit, eine Source-Verbindung zu ändern, und einem Konto in einer der konfigurierten Quellen vor den Versionen 2025.12.6, 2026.2.4 und 2026.5.1 erweiterte Rechte erlangen. CVSS-Basiswert: 8.8 (Hoch).
CVSS: 8.8 EPSS: 0.06% Publiziert: Referenz: NVD -
IBM Verify Identity Access / Security Verify Access – Sicherheitslücke
CVE-2026-1345 HochFür IBM Verify Identity Access Container (Versionen 11.0 bis 11.0.2), IBM Security Verify Access Container (Versionen 10.0 bis 10.0.9.1) sowie die entsprechenden Nicht-Container-Varianten wurde eine Sicherheitslücke gemeldet. CVSS-Basiswert: 7.3 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 7.3 EPSS: 0.06% Publiziert: Referenz: NVD -
Ping Identity – Unkontrolliertes Speicherwachstum im Magic Link-Authentifizierungsfluss
CVE-2025-10470 HochDer Magic-Link-Authentifizierungsfluss akzeptiert mehrere ungültige Authentifizierungsanfragen ohne ausreichendes Rate-Limiting oder Ressourcenkontrolle, was zu unkontrolliertem Speicherwachstum führt. CVSS-Basiswert: 8.6 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 8.6 EPSS: 0.06% Publiziert: Referenz: NVD -
Oracle Identity Manager Connector – Sicherheitslücke in Fusion Middleware Core
CVE-2026-34290 HochIm Oracle Identity Manager Connector für Oracle Fusion Middleware (Komponente: Core, Version 12.2.1.4.0) besteht eine leicht ausnutzbare Schwachstelle. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 7.5 EPSS: 0.05% Publiziert: Referenz: NVD -
Microsoft UFO Framework – Unsichere Identitätsprüfung im WebSocket Control Plane
CVE-2026-46414 HochIm Open-Source-Framework Microsoft UFO (Version 3.0.1-4-ge2626659) für intelligente Geräteautomatisierung vertraut die WebSocket-Steuerungsebene client-seitig übermittelten Identitäts- und Rollenfeldern ohne ausreichende Validierung. Dies ermöglicht Angreifern eine nicht autorisierte Übernahme von Berechtigungen. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 8.8 EPSS: 0.05% Publiziert: Referenz: NVD -
IBM Verify Identity Access / Security Verify Access – Sicherheitslücke
CVE-2026-1343 HochFür IBM Verify Identity Access Container (Versionen 11.0 bis 11.0.2), IBM Security Verify Access Container (Versionen 10.0 bis 10.0.9.1) sowie die entsprechenden Nicht-Container-Varianten wurde eine Sicherheitslücke gemeldet. CVSS-Basiswert: 7.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 7.2 EPSS: 0.04% Publiziert: Referenz: NVD -
IBM Verify Identity Access / Security Verify Access – Sicherheitslücke
CVE-2026-4101 HochIn mehreren Versionen von IBM Verify Identity Access Container (11.0–11.0.2), IBM Security Verify Access Container (10.0–10.0.9.1) sowie den entsprechenden nicht-Container-Varianten wurde eine Sicherheitslücke gemeldet. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 8.1 EPSS: 0.03% Publiziert: Referenz: NVD -
WSO2 – XML External Entity Injection (XXE)
CVE-2024-2374 HochXML-Parser in mehreren WSO2-Produkten akzeptieren benutzerseitig übermittelte XML-Daten, ohne die Auflösung externer Entitäten zu verhindern. Dadurch können Angreifer über manipulierte XML-Eingaben eine XML External Entity (XXE)-Attacke durchführen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 7.5 EPSS: 0.02% Publiziert: Referenz: NVD -
LabF nfsAxe Ping Client: Buffer Overflow
CVE-2019-25736 HochDer Ping Client von LabF nfsAxe 3.7 enthält eine Buffer-Overflow-Schwachstelle, die es lokalen Angreifern erlaubt, durch eine bösartige Eingabe im Feld Host IP beliebigen Code auszuführen. CVSS-Basiswert: 8.4 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 8.4 EPSS: 0.01% Publiziert: Referenz: NVD -
authentik SAML Source: Fehlende Validierung des Conditions-Elements
CVE-2026-41577 HochIm Open-Source-Identity-Provider authentik validiert der SAML-Source-Response-Prozessor (ResponseProcessor.parse()) vor den Versionen 2025.12.5 und 2026.2.3 das Conditions-Element in Assertions nicht ausreichend. Angreifer könnten dies ausnutzen, um Authentifizierungskontrollen zu umgehen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: authentik auf Version 2025.12.5 bzw. 2026.2.3 oder neuer aktualisieren.
CVSS: 7.5 EPSS: 0.01% Publiziert: Referenz: NVD -
IBM Verify Identity Access / Security Verify Access – Sicherheitslücke
CVE-2026-1342 HochFür IBM Verify Identity Access Container (Versionen 11.0 bis 11.0.2), IBM Security Verify Access Container (Versionen 10.0 bis 10.0.9.1) sowie die entsprechenden Nicht-Container-Varianten wurde eine Sicherheitslücke gemeldet. CVSS-Basiswert: 8.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 8.5 EPSS: 0.01% Publiziert: Referenz: NVD -
Oracle Identity Manager (Fusion Middleware) – Schwachstelle im End-User-Self-Service
CVE-2026-46810 MittelIn der Komponente End User Self Service des Identity Managers von Oracle Fusion Middleware besteht eine leicht ausnutzbare Schwachstelle. Betroffen sind die unterstützten Versionen 12.2.1.4.0 und 14.1.2.1.0. CVSS-Basiswert: 6.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.
CVSS: 6.5 EPSS: 0.27% Publiziert: Referenz: NVD -
ZITADEL – uneinheitliche Prüfung bei ausgehenden URL-Abrufen
CVE-2026-55671 MittelZITADEL ist eine quelloffene Identity-Management-Plattform. In den Versionen 4.0.0-rc.1 bis 4.15.1 prüfen die HTTP-Benachrichtigungskanäle, der OIDC-BackChannel-Logout sowie die Abrufe von SAML-Metadaten-URLs die Ziel-URLs nicht konsistent. Ein CVSS-Basiswert liegt in den Quelldaten nicht vor. Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.
EPSS: 0.25% Publiziert: Referenz: NVD -
Föderierte Authentifizierung – Fehlerhafte Rollentrennung bei JIT-Provisionierung
CVE-2024-1248 MittelDie stille Just-in-Time-(JIT)-Provisionierung in Implementierungen föderierter Authentifizierung trennt Benutzerrollen bei der Kontoerstellung nicht korrekt, wenn ein föderierter Benutzer denselben Benutzernamen wie ein bestehender Benutzer verwendet. CVSS-Basiswert: 4.8 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.
CVSS: 4.8 EPSS: 0.19% Publiziert: Referenz: NVD
Diesem Produkt-Feed folgen
Eigener RSS-Feed nur für Ping Identity/OneLogin, kostenlos und ohne Anmeldung. Zustellung per E-Mail, Webhook, REST oder TAXII richten wir auf Anfrage ein.
RSS-Feed öffnen Zustellung anfragenWie folge ich dem Feed?
- 1 RSS-Feed-Link kopieren oder direkt im RSS-Reader öffnen.
- 2 Priorisierte Reports (KEV · EPSS · CVSS) landen automatisch in Ihrem Reader.
- 3 Zustellung per E-Mail, Webhook, REST oder TAXII auf Anfrage einrichten lassen.