1.6 Aktiv ausgenutzte Lücken
Enterprise-Apps, ERP, HR, SaaS

Ping Identity/OneLogin

Enterprise-Apps, ERP, HR, SaaS

Ping Identity/OneLogin gehört zur Kategorie „Enterprise-Apps, ERP, HR, SaaS". xonatec überwacht Ping Identity/OneLogin kontinuierlich auf neue Sicherheitslücken, priorisiert jede Meldung nach aktiver Ausnutzung (KEV), Ausnutzungswahrscheinlichkeit (EPSS) und Schweregrad (CVSS) Im zugeschnittenen Bericht erhalten Sie ausschliesslich die Meldungen, die dieses Produkt betreffen.

54
Reports
4
Aktiv ausgenutzt
Kritisch
Höchste Priorität
94.4%
Max. EPSS

Schwachstellen-Reports

54 Reports

Zeige 1 bis 50 von 54

  1. VMware Workspace ONE Access Server-Side Template Injection

    CVE-2022-22954 Aktiv ausgenutzt Ransomware

    In VMware Workspace ONE Access und Identity Manager wurde eine Server-Side Template Injection-Schwachstelle gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Bekannter Einsatz in Ransomware-Kampagnen. Ausnutzungswahrscheinlichkeit (EPSS): 94.4 %.

    EPSS: 94.44% Publiziert: Referenz: CISA KEV
  2. HP Multiple Products – Remote Code Execution

    CVE-2013-4810 Aktiv ausgenutzt

    Mehrere HP-Produkte weisen eine kritische Schwachstelle auf, die Remote Code Execution ermöglicht. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 89.7 %.

    EPSS: 89.70% Publiziert: Referenz: CISA KEV
  3. Cisco Identity Services Engine Injection Vulnerability

    CVE-2025-20281 Aktiv ausgenutzt

    In Cisco Identity Services Engine (ISE) wurde eine Injection-Schwachstelle (CVE-2025-20281) gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 34.2 %.

    EPSS: 34.17% Publiziert: Referenz: CISA KEV
  4. Cisco Identity Services Engine – Injection-Schwachstelle

    CVE-2025-20337 Aktiv ausgenutzt

    In Cisco Identity Services Engine wurde eine Injection-Schwachstelle gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 1.4 %.

    EPSS: 1.35% Publiziert: Referenz: CISA KEV
  5. Oracle Identity Manager / Web Services Manager – Kritische Schwachstelle in REST WebServices

    CVE-2026-21992 Kritisch

    In Oracle Identity Manager (Komponente: REST WebServices) und Oracle Web Services Manager (Komponente: Web Services) von Oracle Fusion Middleware wurde eine kritische Sicherheitslücke identifiziert. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 1.0 %.

    CVSS: 9.8 EPSS: 1.01% Publiziert: Referenz: NVD
  6. Cisco ISE und ISE-PIC: Befehlsausführung auf dem zugrunde liegenden Betriebssystem

    CVE-2026-20181 Kritisch

    Eine Schwachstelle in Cisco ISE und ISE-PIC erlaubt einem authentifizierten, entfernten Angreifer die Ausführung beliebiger Befehle auf dem zugrunde liegenden Betriebssystem des betroffenen Geräts. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.7 %. Empfohlene Massnahme: Betroffene Software gemäss Cisco-Advisory aktualisieren.

    CVSS: 9.1 EPSS: 0.75% Publiziert: Referenz: NVD
  7. Oracle Identity Manager: Leicht ausnutzbare Schwachstelle in der OIM Legacy UI

    CVE-2026-46807 Kritisch

    Im Produkt Identity Manager von Oracle Fusion Middleware besteht eine leicht ausnutzbare Schwachstelle in der Komponente OIM Legacy UI. Betroffen sind die unterstützten Versionen 12.2.1.4.0 und 14.1.2.1.0. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %.

    CVSS: 9.8 EPSS: 0.52% Publiziert: Referenz: NVD
  8. ThingsBoard v4.3.0.1: Authentifizierungsumgehung beim OAuth-Code-Austausch

    CVE-2026-36537 Kritisch

    ThingsBoard v4.3.0.1 ist für eine Authentifizierungsumgehung während des OAuth-Authorization-Code-Austauschs anfällig. Laut Quellbeschreibung vertraut die Anwendung den vom Benutzer gelieferten Identitätsdaten im user-Parameter unzulässigerweise. Die Schwachstelle ist ohne Authentifizierung über das Netzwerk ausnutzbar. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %.

    CVSS: 9.8 EPSS: 0.51% Publiziert: Referenz: NVD
  9. Oracle Identity Manager (Core): Leicht ausnutzbare Schwachstelle

    CVE-2026-35268 Kritisch

    Im Produkt Identity Manager der Oracle Fusion Middleware (Komponente: Core) besteht eine leicht ausnutzbare Schwachstelle. Betroffen sind die unterstützten Versionen 12.2.1.4.0 und 14.1.2.1.0. CVSS-Basiswert: 9.9 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: Das zugehörige Oracle Critical Patch Update einspielen.

    CVSS: 9.9 EPSS: 0.43% Publiziert: Referenz: NVD
  10. Oracle Identity Manager Connector – Schwachstelle im Generic Unix Connector

    CVE-2026-46794 Kritisch

    Im Produkt Identity Manager Connector der Oracle Fusion Middleware besteht eine leicht ausnutzbare Schwachstelle in der Komponente Generic Unix Connector. Betroffen sind laut Quelle die unterstützten Versionen 12.2.1.4.0 und 14.1.2.1.0. CVSS-Basiswert: 9.9 (Kritisch), Vektor CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H – bereits geringe Rechte genügen, mit Scope-Wechsel. Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: das zugehörige Oracle Critical Patch Update einspielen; Identity-Komponenten sind wegen ihrer Rolle in der Zugriffsverwaltung besonders schützenswert.

    CVSS: 9.9 EPSS: 0.43% Publiziert: Referenz: NVD
  11. Oracle Identity Manager Connector – Schwachstelle in den Mainframe Connectors

    CVE-2026-35294 Kritisch

    Im Oracle Identity Manager Connector (Oracle Fusion Middleware, Komponente Mainframe Connectors) besteht eine leicht ausnutzbare Schwachstelle. Betroffen sind laut Quelle die unterstützten Versionen 12.2.1.4.0 und 14.1.2.1.0. CVSS-Basiswert: 9.9 (Kritisch), Vektor CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H – für die Ausnutzung über das Netz genügen niedrige Privilegien, der Scope wechselt. Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Da Identity-Komponenten Zugriffsentscheidungen für nachgelagerte Systeme treffen, ist die Lücke vorrangig zu behandeln.

    CVSS: 9.9 EPSS: 0.41% Publiziert: Referenz: NVD
  12. Oracle Identity Manager Connector (Generic Unix Connector): Leicht ausnutzbare Schwachstelle

    CVE-2026-46792 Kritisch

    Im Produkt Identity Manager Connector der Oracle Fusion Middleware (Komponente: Generic Unix Connector) besteht eine leicht ausnutzbare Schwachstelle. Betroffen sind die unterstützten Versionen 12.2.1.4.0 und 14.1.2.1.0. CVSS-Basiswert: 9.9 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: Das zugehörige Oracle Critical Patch Update einspielen.

    CVSS: 9.9 EPSS: 0.40% Publiziert: Referenz: NVD
  13. Oracle Identity Manager Connector (Komponente Database User) – leicht ausnutzbare Schwachstelle

    CVE-2026-46793 Kritisch

    Im Identity Manager Connector, Bestandteil von Oracle Fusion Middleware (Komponente: Database User), besteht eine leicht ausnutzbare Schwachstelle. Betroffen sind laut Quelle die Versionen 12.2.1.4.0 und 14.1.2.1.0. CVSS-Basiswert: 9.9 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: Die Patches aus dem zugehörigen Oracle Critical Patch Update einspielen.

    CVSS: 9.9 EPSS: 0.40% Publiziert: Referenz: NVD
  14. Neterbit NW-431F Router: OS-Command-Injection im Ping-Diagnosemodul

    CVE-2025-67447 Kritisch

    Das Netzwerkdiagnose-Modul (Ping) des Neterbit NW-431F Routers in Version 20241014-IR03 und früher ist für OS-Command-Injection anfällig. Laut Quellbeschreibung bereinigt die Anwendung Benutzereingaben im IP-Adressfeld nicht ausreichend. Die Schwachstelle ist ohne Authentifizierung über das Netzwerk erreichbar. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.

    CVSS: 9.8 EPSS: 0.29% Publiziert: Referenz: NVD
  15. Cloud Foundry UAA – Fehlende SAML-Signaturprüfung in zwei Flows

    CVE-2026-41005 Kritisch

    Cloud Foundry UAA behandelte in zwei SAML-Flows die XML-Verschlüsselung zum Service Provider (Vertraulichkeit) fälschlich als Ersatz für die XML-Signaturen des Identity Providers (Authentizität). Dadurch wird die Herkunft der Assertions nicht ausreichend geprüft. CVSS-Basiswert: 9.0 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 9.0 EPSS: 0.13% Publiziert: Referenz: NVD
  16. Oracle Identity Manager Connector – Privilege Escalation (Fusion Middleware)

    CVE-2026-34287 Kritisch

    Im Oracle Identity Manager Connector für Oracle Fusion Middleware (Komponente: Core, Version 12.2.1.4.0) besteht eine leicht ausnutzbare Schwachstelle, die nicht authentifizierten Angreifern über das Netzwerk eine Rechteausweitung ermöglicht. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 9.1 EPSS: 0.07% Publiziert: Referenz: NVD
  17. authentik Source Stage: Bypass via leerem POST-Request

    CVE-2026-49448 Kritisch

    Im Open-Source-Identity-Provider authentik lässt sich die Source-Stage vor den Versionen 2025.12.6, 2026.2.4 und 2026.5.1 durch das Senden eines leeren POST-Requests umgehen. Das Problem wurde in den genannten Versionen behoben. CVSS-Basiswert: 9.8 (Kritisch).

    CVSS: 9.8 EPSS: 0.07% Publiziert: Referenz: NVD
  18. IBM WebSphere Application Server – Identity Spoofing

    CVE-2026-8644 Kritisch

    IBM WebSphere Application Server (Versionen 9.0 und 8.5) ist anfällig für Identity Spoofing. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 9.1 EPSS: 0.05% Publiziert: Referenz: NVD
  19. UDS Identity Config: Logikfehler im Keycloak-Konfigurations-Image

    CVE-2026-46389 Kritisch

    UDS Identity Config erstellt das Keycloak-Konfigurations-Image (Realm, Plugins, Theme, Truststore, JARs), das vom Identity-Deployment von UDS Core genutzt wird. In den Versionen 0.11.0 bis 0.26.0 führt ein Logikfehler zu einer kritisch bewerteten Schwachstelle. CVSS-Basiswert: 10 (Kritisch) bei netzbasiertem Angriffsvektor ohne erforderliche Authentifizierung oder Nutzerinteraktion. Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: auf eine Version neuer als 0.26.0 aktualisieren.

    CVSS: 10.0 EPSS: 0.04% Publiziert: Referenz: NVD
  20. Oracle Identity Manager Connector – Privilege Escalation (Fusion Middleware)

    CVE-2026-34285 Kritisch

    Im Oracle Identity Manager Connector für Oracle Fusion Middleware (Komponente: Core, Version 12.2.1.4.0) besteht eine leicht ausnutzbare Schwachstelle, die nicht authentifizierten Angreifern über das Netzwerk eine Rechteausweitung ermöglicht. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 9.1 EPSS: 0.02% Publiziert: Referenz: NVD
  21. Oracle Identity Manager Connector – Privilege Escalation (Fusion Middleware)

    CVE-2026-34286 Kritisch

    Im Oracle Identity Manager Connector für Oracle Fusion Middleware (Komponente: Core, Version 12.2.1.4.0) besteht eine leicht ausnutzbare Schwachstelle, die nicht authentifizierten Angreifern über das Netzwerk eine Rechteausweitung ermöglicht. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 9.1 EPSS: 0.02% Publiziert: Referenz: NVD
  22. authentik SFE (Simple Flow Executor): Sicherheitslücke in Stage-Implementierung

    CVE-2026-42849 Kritisch

    Im Open-Source-Identity-Provider authentik besteht vor den Versionen 2025.12.5 und 2026.2.3 eine kritische Schwachstelle in der Stage-Implementierung des Simple Flow Executor (SFE). CVSS-Basiswert: 9.3 (Kritisch).

    CVSS: 9.3 EPSS: 0.02% Publiziert: Referenz: NVD
  23. IBM Verify Identity Access / Security Verify Access – Kritische Sicherheitslücke

    CVE-2026-1346 Kritisch

    In IBM Verify Identity Access (Container) 11.0 bis 11.0.2 sowie IBM Security Verify Access (Container) 10.0 bis 10.0.9.1 wurde eine kritische Sicherheitslücke gemeldet. CVSS-Basiswert: 9.3 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 9.3 EPSS: 0.01% Publiziert: Referenz: NVD
  24. Vitec Flamingo: Nicht authentifizierte OS-Command-Injection in admin/ajax/ping.php

    CVE-2026-60121 Kritisch

    Vitec Flamingo 4.12.2 enthält laut NVD eine OS-Command-Injection im Endpunkt admin/ajax/ping.php, die ohne Authentifizierung ausgenutzt werden kann. Entfernte Angreifer können darüber beliebige Befehle ausführen; ausgenutzt wird gemäss Quelle eine doppelte Verarbeitung der Eingabe. Der CVSS-Vektor weist die Lücke als über das Netzwerk, ohne Privilegien und ohne Benutzerinteraktion ausnutzbar aus, mit vollständiger Auswirkung auf Vertraulichkeit, Integrität und Verfügbarkeit. CVSS-Basiswert: 9.8 (Kritisch). Ein EPSS-Wert liegt in den Quelldaten nicht vor.

    CVSS: 9.8 Publiziert: Referenz: NVD
  25. Rapid7 InsightConnect Ping-Plugin – OS-Command-Injection über host-Parameter

    CVE-2026-8660 Hoch

    Eine OS-Command-Injection-Schwachstelle in der Ping-Aktion des Rapid7 InsightConnect Ping-Plugins unter Linux erlaubt entfernten Angreifern die Ausführung beliebiger Betriebssystembefehle über den host-Parameter aufgrund unzureichender Eingabevalidierung. CVSS-Basiswert: 7.7 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.7 %. Empfohlene Massnahme: verfügbare Hersteller-Updates einspielen.

    CVSS: 7.7 EPSS: 0.68% Publiziert: Referenz: NVD
  26. Ping Identity – Server-Side Template Injection via Velocity Engine

    CVE-2025-12107 Hoch

    Durch die Verwendung einer verwundbaren Drittanbieter-Velocity-Template-Engine können Angreifer mit Administratorrechten beliebige Template-Syntax in serverseitige Templates einschleusen und ausführen. CVSS-Basiswert: 8.4 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.6 %.

    CVSS: 8.4 EPSS: 0.58% Publiziert: Referenz: NVD
  27. Synology C2 Identity Edge Server – Exposed Dangerous Function (PWN2OWN 2025)

    CVE-2025-14713 Hoch

    Im Synology C2 Identity Edge Server-Paket für DSM (vor Version 1.76.0-0307) wurde eine Schwachstelle durch eine exponierte gefährliche Methode oder Funktion gefunden. Entfernte Angreifer können dadurch Benutzeranmeldedaten vom Edge-Server auslesen. Die Schwachstelle wurde im Rahmen des PWN2OWN 2025-Wettbewerbs offengelegt. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %.

    CVSS: 7.5 EPSS: 0.47% Publiziert: Referenz: NVD
  28. Schwachstelle in Oracle Fusion Middleware Identity Manager

    CVE-2026-35265 Hoch

    In der Komponente Security des Produkts Identity Manager (Oracle Fusion Middleware) besteht eine leicht ausnutzbare Schwachstelle. Betroffen sind laut Quelle die unterstützten Versionen 12.2.1.4.0 und 14.1.2.1.0. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: die vom Hersteller bereitgestellten Sicherheitsupdates einspielen.

    CVSS: 8.8 EPSS: 0.43% Publiziert: Referenz: NVD
  29. Schwachstelle in Oracle Identity Manager (REST-Webservices)

    CVE-2026-35267 Hoch

    Im Identity Manager von Oracle Fusion Middleware (Komponente REST-Webservices) besteht laut Quelle eine leicht ausnutzbare Schwachstelle; betroffen sind die Versionen 12.2.1.4.0 und 14.1.2.1.0. Ein Angreifer mit niedrigen Rechten kann sie über das Netzwerk ausnutzen und damit Vertraulichkeit, Integrität und Verfügbarkeit vollständig kompromittieren. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.

    CVSS: 8.8 EPSS: 0.43% Publiziert: Referenz: NVD
  30. Cisco ISE / ISE-PIC: Fehlerhafte Autorisierung ermöglicht Zugriff auf sensible Informationen

    CVE-2026-20190 Hoch

    Eine Schwachstelle in Cisco ISE und ISE-PIC könnte es einem nicht authentifizierten, entfernten Angreifer erlauben, sensible Informationen auf einem betroffenen Gerät einzusehen. Ursache ist eine fehlerhafte Autorisierungsprüfung. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.

    CVSS: 7.5 EPSS: 0.41% Publiziert: Referenz: NVD
  31. Oracle Fusion Middleware Identity Manager – Schwachstelle in REST WebServices

    CVE-2026-35269 Hoch

    Eine Schwachstelle im Produkt Identity Manager von Oracle Fusion Middleware (Komponente: REST WebServices) betrifft die Versionen 12.2.1.4.0 und 14.1.2.1.0. Sie ist leicht ausnutzbar und wirkt sich auf die Integrität aus. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.

    CVSS: 7.5 EPSS: 0.35% Publiziert: Referenz: NVD
  32. ZITADEL: OAuth2-Token-Exchange prüft Subject-Token unzureichend

    CVE-2026-56668 Hoch

    ZITADEL ist eine quelloffene Identity-Management-Plattform. In Versionen vor 4.15.3 prüft der OAuth2-Token-Exchange-Endpunkt (grant-type token-exchange) das übergebene Subject-Token nicht ausreichend. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: auf ZITADEL 4.15.3 oder neuer aktualisieren.

    CVSS: 8.1 EPSS: 0.23% Publiziert: Referenz: NVD
  33. authentik SAML Source ACS: XML Signature Wrapping

    CVE-2026-47201 Hoch

    Im Open-Source-Identity-Provider authentik ist der SAML-Source-ACS-Endpunkt vor den Versionen 2025.12.5, 2026.2.3 und 2026.5.1 anfällig für XML Signature Wrapping bei der Validierung von Upstream-Antworten. CVSS-Basiswert: 8.5 (Hoch).

    CVSS: 8.5 EPSS: 0.10% Publiziert: Referenz: NVD
  34. Ping Identity – Datenaustausch bei Silent Just-In-Time Provisioning

    CVE-2024-1524 Hoch

    Wenn das Feature „Silent Just-In-Time Provisioning” für einen Verbund-Identitätsanbieter (IDP) aktiviert ist, können während des Account-Provisionierungsvorgangs Benutzerdaten eines lokalen Kontos überschrieben werden. CVSS-Basiswert: 7.7 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 7.7 EPSS: 0.09% Publiziert: Referenz: NVD
  35. Azure Privileged Identity Management – Authorization Bypass

    CVE-2026-35430 Hoch

    In Azure Privileged Identity Management (PIM) ermöglicht ein Authorization Bypass durch einen benutzerkontrollierten Schlüssel autorisierten Angreifern, Rechte über ein Netzwerk auszuweiten. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 8.8 EPSS: 0.07% Publiziert: Referenz: NVD
  36. Ping Identity – Authentication Bypass für gesperrte Konten via Magic Link/Pass Key

    CVE-2025-10908 Hoch

    Aufgrund fehlender Validierung des Benutzerkontostatus während der Authentifizierung können gesperrte Konten über Magic-Link- oder Pass-Key-Methoden erfolgreich authentifiziert werden. Dies umgeht die vorgesehenen Sicherheitskontrollen. CVSS-Basiswert: 7.3 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 7.3 EPSS: 0.07% Publiziert: Referenz: NVD
  37. authentik: Privilege Escalation über Source-Connection-Manipulation

    CVE-2026-49443 Hoch

    Im Open-Source-Identity-Provider authentik kann ein Angreifer mit der Möglichkeit, eine Source-Verbindung zu ändern, und einem Konto in einer der konfigurierten Quellen vor den Versionen 2025.12.6, 2026.2.4 und 2026.5.1 erweiterte Rechte erlangen. CVSS-Basiswert: 8.8 (Hoch).

    CVSS: 8.8 EPSS: 0.06% Publiziert: Referenz: NVD
  38. IBM Verify Identity Access / Security Verify Access – Sicherheitslücke

    CVE-2026-1345 Hoch

    Für IBM Verify Identity Access Container (Versionen 11.0 bis 11.0.2), IBM Security Verify Access Container (Versionen 10.0 bis 10.0.9.1) sowie die entsprechenden Nicht-Container-Varianten wurde eine Sicherheitslücke gemeldet. CVSS-Basiswert: 7.3 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 7.3 EPSS: 0.06% Publiziert: Referenz: NVD
  39. Ping Identity – Unkontrolliertes Speicherwachstum im Magic Link-Authentifizierungsfluss

    CVE-2025-10470 Hoch

    Der Magic-Link-Authentifizierungsfluss akzeptiert mehrere ungültige Authentifizierungsanfragen ohne ausreichendes Rate-Limiting oder Ressourcenkontrolle, was zu unkontrolliertem Speicherwachstum führt. CVSS-Basiswert: 8.6 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 8.6 EPSS: 0.06% Publiziert: Referenz: NVD
  40. Oracle Identity Manager Connector – Sicherheitslücke in Fusion Middleware Core

    CVE-2026-34290 Hoch

    Im Oracle Identity Manager Connector für Oracle Fusion Middleware (Komponente: Core, Version 12.2.1.4.0) besteht eine leicht ausnutzbare Schwachstelle. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 7.5 EPSS: 0.05% Publiziert: Referenz: NVD
  41. Microsoft UFO Framework – Unsichere Identitätsprüfung im WebSocket Control Plane

    CVE-2026-46414 Hoch

    Im Open-Source-Framework Microsoft UFO (Version 3.0.1-4-ge2626659) für intelligente Geräteautomatisierung vertraut die WebSocket-Steuerungsebene client-seitig übermittelten Identitäts- und Rollenfeldern ohne ausreichende Validierung. Dies ermöglicht Angreifern eine nicht autorisierte Übernahme von Berechtigungen. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 8.8 EPSS: 0.05% Publiziert: Referenz: NVD
  42. IBM Verify Identity Access / Security Verify Access – Sicherheitslücke

    CVE-2026-1343 Hoch

    Für IBM Verify Identity Access Container (Versionen 11.0 bis 11.0.2), IBM Security Verify Access Container (Versionen 10.0 bis 10.0.9.1) sowie die entsprechenden Nicht-Container-Varianten wurde eine Sicherheitslücke gemeldet. CVSS-Basiswert: 7.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 7.2 EPSS: 0.04% Publiziert: Referenz: NVD
  43. IBM Verify Identity Access / Security Verify Access – Sicherheitslücke

    CVE-2026-4101 Hoch

    In mehreren Versionen von IBM Verify Identity Access Container (11.0–11.0.2), IBM Security Verify Access Container (10.0–10.0.9.1) sowie den entsprechenden nicht-Container-Varianten wurde eine Sicherheitslücke gemeldet. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 8.1 EPSS: 0.03% Publiziert: Referenz: NVD
  44. WSO2 – XML External Entity Injection (XXE)

    CVE-2024-2374 Hoch

    XML-Parser in mehreren WSO2-Produkten akzeptieren benutzerseitig übermittelte XML-Daten, ohne die Auflösung externer Entitäten zu verhindern. Dadurch können Angreifer über manipulierte XML-Eingaben eine XML External Entity (XXE)-Attacke durchführen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 7.5 EPSS: 0.02% Publiziert: Referenz: NVD
  45. LabF nfsAxe Ping Client: Buffer Overflow

    CVE-2019-25736 Hoch

    Der Ping Client von LabF nfsAxe 3.7 enthält eine Buffer-Overflow-Schwachstelle, die es lokalen Angreifern erlaubt, durch eine bösartige Eingabe im Feld Host IP beliebigen Code auszuführen. CVSS-Basiswert: 8.4 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 8.4 EPSS: 0.01% Publiziert: Referenz: NVD
  46. authentik SAML Source: Fehlende Validierung des Conditions-Elements

    CVE-2026-41577 Hoch

    Im Open-Source-Identity-Provider authentik validiert der SAML-Source-Response-Prozessor (ResponseProcessor.parse()) vor den Versionen 2025.12.5 und 2026.2.3 das Conditions-Element in Assertions nicht ausreichend. Angreifer könnten dies ausnutzen, um Authentifizierungskontrollen zu umgehen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: authentik auf Version 2025.12.5 bzw. 2026.2.3 oder neuer aktualisieren.

    CVSS: 7.5 EPSS: 0.01% Publiziert: Referenz: NVD
  47. IBM Verify Identity Access / Security Verify Access – Sicherheitslücke

    CVE-2026-1342 Hoch

    Für IBM Verify Identity Access Container (Versionen 11.0 bis 11.0.2), IBM Security Verify Access Container (Versionen 10.0 bis 10.0.9.1) sowie die entsprechenden Nicht-Container-Varianten wurde eine Sicherheitslücke gemeldet. CVSS-Basiswert: 8.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 8.5 EPSS: 0.01% Publiziert: Referenz: NVD
  48. Oracle Identity Manager (Fusion Middleware) – Schwachstelle im End-User-Self-Service

    CVE-2026-46810 Mittel

    In der Komponente End User Self Service des Identity Managers von Oracle Fusion Middleware besteht eine leicht ausnutzbare Schwachstelle. Betroffen sind die unterstützten Versionen 12.2.1.4.0 und 14.1.2.1.0. CVSS-Basiswert: 6.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.

    CVSS: 6.5 EPSS: 0.27% Publiziert: Referenz: NVD
  49. ZITADEL – uneinheitliche Prüfung bei ausgehenden URL-Abrufen

    CVE-2026-55671 Mittel

    ZITADEL ist eine quelloffene Identity-Management-Plattform. In den Versionen 4.0.0-rc.1 bis 4.15.1 prüfen die HTTP-Benachrichtigungskanäle, der OIDC-BackChannel-Logout sowie die Abrufe von SAML-Metadaten-URLs die Ziel-URLs nicht konsistent. Ein CVSS-Basiswert liegt in den Quelldaten nicht vor. Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.

    EPSS: 0.25% Publiziert: Referenz: NVD
  50. Föderierte Authentifizierung – Fehlerhafte Rollentrennung bei JIT-Provisionierung

    CVE-2024-1248 Mittel

    Die stille Just-in-Time-(JIT)-Provisionierung in Implementierungen föderierter Authentifizierung trennt Benutzerrollen bei der Kontoerstellung nicht korrekt, wenn ein föderierter Benutzer denselben Benutzernamen wie ein bestehender Benutzer verwendet. CVSS-Basiswert: 4.8 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.

    CVSS: 4.8 EPSS: 0.19% Publiziert: Referenz: NVD

Diesem Produkt-Feed folgen

Eigener RSS-Feed nur für Ping Identity/OneLogin, kostenlos und ohne Anmeldung. Zustellung per E-Mail, Webhook, REST oder TAXII richten wir auf Anfrage ein.

RSS-Feed öffnen Zustellung anfragen

Wie folge ich dem Feed?

  • 1 RSS-Feed-Link kopieren oder direkt im RSS-Reader öffnen.
  • 2 Priorisierte Reports (KEV · EPSS · CVSS) landen automatisch in Ihrem Reader.
  • 3 Zustellung per E-Mail, Webhook, REST oder TAXII auf Anfrage einrichten lassen.
Zurück zum Katalog