1.6 Aktiv ausgenutzte Lücken
Enterprise-Apps, ERP, HR, SaaS

Ping Identity/OneLogin Seite 2

Enterprise-Apps, ERP, HR, SaaS
54
Reports
4
Aktiv ausgenutzt
Kritisch
Höchste Priorität
94.4%
Max. EPSS

Schwachstellen-Reports

54 Reports

Zeige 51 bis 54 von 54

  1. Reflektiertes Cross-Site-Scripting über unzureichend kodierten URL-Parameter

    CVE-2025-8591 Mittel

    Die Software übernimmt Benutzereingaben aus einem URL-Parameter ohne ausreichende Ausgabe-Kodierung, bevor sie an den Browser des Nutzers zurückgegeben werden. Dadurch kann ein Angreifer schädliche Skripte einschleusen (reflektiertes Cross-Site-Scripting). CVSS-Basiswert: 6.1 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.

    CVSS: 6.1 EPSS: 0.16% Publiziert: Referenz: NVD
  2. Idira Identity Browser-Erweiterung: Origin-Validierungsfehler in der Verifizierungsroutine

    CVE-2026-45173 Mittel

    In den internen Webseiten-Verifizierungsroutinen der Idira-Identity-Browser-Erweiterung (Builds für Chrome, Firefox und Edge) vor Version 26.8.1 besteht ein Fehler bei der Origin-Validierung, den ein authentifizierter Nutzer ausnutzen kann (weitere Details in der Quelle abgeschnitten). CVSS-Basiswert: 6.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: auf Version 26.8.1 oder neuer aktualisieren.

    CVSS: 6.5 EPSS: 0.16% Publiziert: Referenz: NVD
  3. authentik WS-Federation: Unsichere wreply-Validierung (Open Redirect)

    CVE-2026-41569 Mittel

    Im Open-Source-Identity-Provider authentik wurde vor Version 2026.2.3 der vom Benutzer übergebene wreply-Parameter im WS-Federation-Provider nur mittels eines einfachen Zeichenketten-Präfixvergleichs statt einer korrekten URL-Validierung geprüft. Dies kann zu einer Open-Redirect-Schwachstelle führen. CVSS-Basiswert: 6.1 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: auf authentik 2026.2.3 oder neuer aktualisieren.

    CVSS: 6.1 EPSS: 0.05% Publiziert: Referenz: NVD
  4. Ping Identity/OneLogin: Fehlende Mandantentrennung bei Consent-Scopes

    CVE-2025-13475 Niedrig

    In mandantenfähigen Deployments isoliert der Mechanismus zur Verwaltung der Anwendungs-Zustimmung (Consent) die Consent-Scopes zwischen den Mandanten nicht korrekt. Eine von einem Nutzer für eine bestimmte SaaS-Anwendung erteilte Zustimmung wird dadurch nicht sauber mandantenübergreifend getrennt. CVSS-Basiswert: 3.5 (Niedrig). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: Sicherheitsupdate des Herstellers nach Verfügbarkeit einspielen.

    CVSS: 3.5 EPSS: 0.16% Publiziert: Referenz: NVD

Diesem Produkt-Feed folgen

Eigener RSS-Feed nur für Ping Identity/OneLogin, kostenlos und ohne Anmeldung. Zustellung per E-Mail, Webhook, REST oder TAXII richten wir auf Anfrage ein.

RSS-Feed öffnen Zustellung anfragen

Wie folge ich dem Feed?

  • 1 RSS-Feed-Link kopieren oder direkt im RSS-Reader öffnen.
  • 2 Priorisierte Reports (KEV · EPSS · CVSS) landen automatisch in Ihrem Reader.
  • 3 Zustellung per E-Mail, Webhook, REST oder TAXII auf Anfrage einrichten lassen.
Zurück zum Katalog