Progress MOVEit / WS_FTP / LoadMaster
Hersteller: Progress
Progress MOVEit / WS_FTP / LoadMaster gehört zur Kategorie „Managed File Transfer / Secure File Sharing". xonatec überwacht Progress MOVEit / WS_FTP / LoadMaster kontinuierlich auf neue Sicherheitslücken, priorisiert jede Meldung nach aktiver Ausnutzung (KEV), Ausnutzungswahrscheinlichkeit (EPSS) und Schweregrad (CVSS) Im zugeschnittenen Bericht erhalten Sie ausschliesslich die Meldungen, die dieses Produkt betreffen.
Schwachstellen-Reports
66 ReportsZeige 1 bis 50 von 66
-
Progress MOVEit Transfer – SQL Injection
CVE-2023-34362 Aktiv ausgenutztEine SQL-Injection-Schwachstelle in Progress MOVEit Transfer ermöglicht Angreifern unbefugten Datenbankzugriff. Neben Progress führt auch GE HealthCare die Lücke in seinen Sicherheitsinformationen. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 99.9 %. Empfohlene Massnahme: Die Hersteller-Patches gemäss Progress-Advisory einspielen.
EPSS: 99.93% Publiziert: Referenz: CISA KEV -
Meta React Server Components – Remote Code Execution
CVE-2025-55182 Aktiv ausgenutztIn Meta React Server Components besteht eine Schwachstelle, die entfernte Codeausführung (Remote Code Execution) ermöglicht. Wird laut CISA KEV aktiv ausgenutzt; die Aufnahme in den KEV-Katalog erfolgte am 2025-12-05. Ein CVSS-Basiswert liegt in den Quelldaten nicht vor. Ausnutzungswahrscheinlichkeit (EPSS): 99.6 %. Da die Komponente in zahlreichen Produkt-Stacks eingebettet ist, sollten betroffene Anwendungen anhand der Hersteller-Advisories auf eine gepatchte Version gehoben werden.
EPSS: 99.56% Publiziert: Referenz: CISA KEV -
Progress WhatsUp Gold – SQL Injection
CVE-2024-6670 Aktiv ausgenutzt RansomwareProgress WhatsUp Gold ist von einer SQL-Injection-Schwachstelle betroffen. Wird laut CISA KEV aktiv ausgenutzt. Bekannter Einsatz in Ransomware-Kampagnen. Ausnutzungswahrscheinlichkeit (EPSS): 94.5 %.
EPSS: 94.47% Publiziert: Referenz: CISA KEV -
Progress WS_FTP Server – Deserialisierung nicht vertrauenswürdiger Daten
CVE-2023-40044 Aktiv ausgenutzt RansomwareProgress WS_FTP Server ist von einer Schwachstelle durch Deserialisierung nicht vertrauenswürdiger Daten betroffen. Wird laut CISA KEV aktiv ausgenutzt. Bekannter Einsatz in Ransomware-Kampagnen. Ausnutzungswahrscheinlichkeit (EPSS): 94.4 %.
EPSS: 94.44% Publiziert: Referenz: CISA KEV -
Progress Telerik Report Server – Authentication Bypass by Spoofing
CVE-2024-4358 Aktiv ausgenutztProgress Telerik Report Server ist von einer Schwachstelle betroffen, die eine Authentifizierungsumgehung durch Spoofing ermöglicht. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 94.3 %.
EPSS: 94.34% Publiziert: Referenz: CISA KEV -
Progress Kemp LoadMaster – OS Command Injection
CVE-2024-1212 Aktiv ausgenutztProgress Kemp LoadMaster ist von einer OS-Command-Injection-Schwachstelle betroffen. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 94.3 %.
EPSS: 94.30% Publiziert: Referenz: CISA KEV -
Progress WhatsUp Gold – Path Traversal
CVE-2024-4885 Aktiv ausgenutztProgress WhatsUp Gold ist von einer Path-Traversal-Schwachstelle betroffen. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 94.3 %.
EPSS: 94.27% Publiziert: Referenz: CISA KEV -
Progress Telerik UI for ASP.NET AJAX – Deserialisierung nicht vertrauenswürdiger Daten
CVE-2019-18935 Aktiv ausgenutzt RansomwareIn Progress Telerik UI for ASP.NET AJAX ermöglicht eine Deserialisierungs-Schwachstelle nicht vertrauenswürdiger Daten die Ausführung von beliebigem Code. Wird laut CISA KEV aktiv ausgenutzt. Bekannter Einsatz in Ransomware-Kampagnen. Ausnutzungswahrscheinlichkeit (EPSS): 93.6 %.
EPSS: 93.58% Publiziert: Referenz: CISA KEV -
Wing FTP Server – Unsachgemässe Behandlung von Null-Bytes
CVE-2025-47812 Aktiv ausgenutztWing FTP Server ist von einer Schwachstelle durch unsachgemässe Neutralisierung von Null-Bytes oder NUL-Zeichen betroffen. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 92.9 %.
EPSS: 92.93% Publiziert: Referenz: CISA KEV -
Progress Telerik UI for ASP.NET AJAX und Sitefinity – Kryptografische Schwachstelle
CVE-2017-9248 Aktiv ausgenutztIn Progress Telerik UI for ASP.NET AJAX und Sitefinity wurde eine kryptografische Schwachstelle identifiziert. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 89.4 %.
EPSS: 89.44% Publiziert: Referenz: CISA KEV -
Wing FTP Server – Information Disclosure
CVE-2025-47813 Aktiv ausgenutztWing FTP Server ist von einer Schwachstelle zur Offenlegung von Informationen betroffen. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 26.9 %.
EPSS: 26.92% Publiziert: Referenz: CISA KEV -
ShareFile Storage Zones Controller – Zugriff auf Konfigurationsseiten ohne Authentifizierung
CVE-2026-2699 KritischIm Customer Managed ShareFile Storage Zones Controller (SZC) von Progress können nicht authentifizierte Angreifer auf eingeschränkte Konfigurationsseiten zugreifen, was zu Änderungen an der Systemkonfiguration und potenzieller Remotecodeausführung führen kann. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 31.2 %.
CVSS: 9.8 EPSS: 31.16% Publiziert: Referenz: NVD -
Progress – Dateiupload führt zu Remote Code Execution
CVE-2026-2701 KritischEin authentifizierter Benutzer kann eine schädliche Datei auf den Server hochladen und ausführen, was zu einer Remotecodeausführung führt. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 1.0 %.
CVSS: 9.1 EPSS: 1.01% Publiziert: Referenz: NVD -
Free Float FTP – Pufferüberlauf im STOR-Befehl ermöglicht Remote-Codeausführung
CVE-2019-25614 KritischFree Float FTP 1.0 enthält eine Pufferüberlauf-Schwachstelle im STOR-Befehlshandler, die es entfernten Angreifern durch einen manipulierten STOR-Request mit überlangem Payload ermöglicht, beliebigen Code auszuführen. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.9 %.
CVSS: 9.8 EPSS: 0.86% Publiziert: Referenz: NVD -
FTP Navigator – Stack-Überlauf via SEH-Überschreibung ermöglicht Codeausführung
CVE-2019-25321 KritischFTP Navigator 8.03 enthält eine Stack-Overflow-Schwachstelle, die es Angreifern durch Überschreiben der Structured-Exception-Handler-Register ermöglicht, beliebigen Code auszuführen. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %.
CVSS: 9.8 EPSS: 0.54% Publiziert: Referenz: NVD -
NICO-FTP – Structured Exception Handler Buffer Overflow ermöglicht Codeausführung
CVE-2018-25254 KritischNICO-FTP 3.0.1.19 enthält eine Structured-Exception-Handler-Pufferüberlauf-Schwachstelle, die es entfernten Angreifern ermöglicht, durch manipulierte FTP-Befehle beliebigen Code auszuführen. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.
CVSS: 9.8 EPSS: 0.44% Publiziert: Referenz: NVD -
ClipBucket v5: Blind SQL Injection in actions/progress_video.php
CVE-2026-45060 KritischClipBucket v5, eine Open-Source-Plattform zum Teilen von Videos, ist vor Version 5.5.3 - #129 über den Endpunkt actions/progress_video.php für Blind SQL Injection anfällig. Jeder nicht authentifizierte Nutzer kann die Lücke ausnutzen. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: auf Version 5.5.3 - #129 oder neuer aktualisieren.
CVSS: 9.8 EPSS: 0.36% Publiziert: Referenz: NVD -
Progress ADC / LoadMaster: OS-Command-Injection in der API ermöglicht Remote Code Execution
CVE-2026-8037 KritischIn der API der Progress-ADC-Produkte besteht eine OS-Command-Injection-Schwachstelle. Ein nicht authentifizierter Angreifer kann darüber beliebige Befehle auf der LoadMaster-Appliance ausführen, indem er nicht ausreichend geprüfte Eingaben ausnutzt. Der Angriffsvektor ist laut CVSS-Vektor benachbart (AV:A). CVSS-Basiswert: 9.6 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.
CVSS: 9.6 EPSS: 0.30% Publiziert: Referenz: NVD -
Improper Access Control in Progress Sitefinity Web Services
CVE-2026-7198 KritischIn Progress Sitefinity 15.4.8623 (vor Version 15.4.8630) ermöglicht eine fehlerhafte Zugriffskontrolle in den Web Services einem nicht authentifizierten Angreifer aus der Ferne, auf eigentlich eingeschränkte Inhalte zuzugreifen. CVSS-Basiswert: 9.8 (Kritisch). Betroffene Produkte: N-able, Progress.
CVSS: 9.8 EPSS: 0.23% Publiziert: Referenz: NVD -
Authentication Bypass in Progress MOVEit Automation
CVE-2026-4670 KritischIn Progress MOVEit Automation besteht eine kritische Schwachstelle, die eine Authentifizierungsumgehung durch eine primäre Schwäche ermöglicht. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.
CVSS: 9.8 EPSS: 0.23% Publiziert: Referenz: NVD -
Konica Minolta FTP Utility – Buffer Overflow im LIST-Befehl
CVE-2020-37068 KritischKonica Minolta FTP Utility 1.0 enthält eine Buffer-Overflow-Schwachstelle im LIST-Befehl, die es Angreifern ermöglicht, Systemregister zu überschreiben. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.
CVSS: 9.8 EPSS: 0.19% Publiziert: Referenz: NVD -
Konica Minolta FTP Utility – Buffer Overflow im NLST-Befehl
CVE-2020-37069 KritischKonica Minolta FTP Utility 1.0 enthält eine Buffer-Overflow-Schwachstelle im NLST-Befehl, die es Angreifern ermöglicht, Systemregister zu überschreiben. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.
CVSS: 9.8 EPSS: 0.19% Publiziert: Referenz: NVD -
basic-ftp – Path Traversal in downloadToDir()
CVE-2026-27699 KritischDie FTP-Client-Bibliothek „basic-ftp” für Node.js enthält in Versionen vor 5.2.0 eine Path-Traversal-Schwachstelle (CWE-22) in der Methode „downloadToDir()”. Ein bösartiger FTP-Server kann manipulierte Verzeichnislisten senden, um Dateien ausserhalb des vorgesehenen Zielverzeichnisses zu schreiben. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.
CVSS: 9.1 EPSS: 0.15% Publiziert: Referenz: NVD -
Unzureichend geschützte Zugangsdaten in Progress Sitefinity Web Services
CVE-2026-7312 KritischIn den Web Services von Progress Sitefinity (Versionen 14.0.7700 bis 15.2.8441) besteht eine kritische Schwachstelle durch unzureichend geschützte Zugangsdaten (CWE-522). CVSS-Basiswert: 10 (Kritisch).
CVSS: 10.0 EPSS: 0.03% Publiziert: Referenz: NVD -
Windows FTP Service: Heap-Pufferüberlauf ermöglicht Codeausführung über das Netzwerk
CVE-2026-49172 KritischEin heap-basierter Pufferüberlauf im Windows FTP Service erlaubt einem nicht authentifizierten Angreifer die Ausführung von Schadcode über das Netzwerk. CVSS-Basiswert: 9.8 (Kritisch). Es liegen keine Hinweise auf aktive Ausnutzung (CISA KEV) oder einen Einsatz in Ransomware-Kampagnen vor.
CVSS: 9.8 Publiziert: Referenz: NVD -
basic-ftp – FTP Command Injection via CRLF
CVE-2026-39983 HochDie Node.js-Bibliothek „basic-ftp” erlaubt in Versionen vor 5.2.1 FTP-Command-Injection über CRLF-Sequenzen (\\r\\n) in Dateipfad-Parametern von High-Level-API-Methoden wie „cd()”, „remove()” und anderen. CVSS-Basiswert: 8.6 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 2.0 %.
CVSS: 8.6 EPSS: 2.04% Publiziert: Referenz: NVD -
GL.iNet GL-MT3000: snprintf-Schwachstelle im FTP-Protocol-Handler
CVE-2026-11451 HochIn GL.iNet GL-MT3000 4.4.5 ist die Funktion snprintf der Datei /cgi-bin/glc im FTP-Protocol-Handler betroffen. Eine Manipulation des Arguments media_dir ermöglicht die Ausnutzung. CVSS-Basiswert: 7.3 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 1.0 %. Empfohlene Massnahme: auf eine fehlerbereinigte Firmware-Version aktualisieren.
CVSS: 7.3 EPSS: 0.99% Publiziert: Referenz: NVD -
Wing FTP Server – Authenticated Remote Code Execution via Lua-Injection
CVE-2026-44403 HochWing FTP Server vor Version 8.1.3 enthält eine Schwachstelle zur authentifizierten Remotecodeausführung im Session-Serialisierungs-Mechanismus, die es authentifizierten Administratoren ermöglicht, beliebigen Lua-Code einzuschleusen. CVSS-Basiswert: 7.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.6 %.
CVSS: 7.2 EPSS: 0.62% Publiziert: Referenz: NVD -
Progress MOVEit Transfer: Injection in den Custom-Reports-Modulen
CVE-2026-10698 HochEine unzureichende Neutralisierung spezieller Elemente in der Datenabfragelogik der Custom-Reports-Module von Progress MOVEit Transfer betrifft die Versionen ab 2025.0.0 vor 2025.0.8. CVSS-Basiswert: 7.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: Update auf MOVEit Transfer 2025.0.8 oder neuer.
CVSS: 7.2 EPSS: 0.44% Publiziert: Referenz: NVD -
Monsta FTP – Server-Side Request Forgery in fetchRemoteFile
CVE-2026-60105 HochMonsta FTP vor Version 2.14.5 enthält eine Server-Side-Request-Forgery-Schwachstelle in der Aktion fetchRemoteFile. Ursache ist eine unvollständige Prüfung der IP-Sperrliste in der Funktion isBlockedIP(), die bestimmte Adressen nicht erkennt. CVSS-Basiswert: 8.6 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Eine aktive Ausnutzung über CISA KEV ist nicht bekannt. Empfohlene Massnahme: Update auf Monsta FTP 2.14.5 oder neuer einspielen.
CVSS: 8.6 EPSS: 0.31% Publiziert: Referenz: NVD -
Progress MOVEit Transfer – Speicherleck in den Custom-Reports-Modulen
CVE-2026-10699 HochIn Progress MOVEit Transfer besteht in den Custom-Reports-Modulen eine Schwachstelle durch fehlende Speicherfreigabe nach Ablauf der effektiven Lebensdauer. Betroffen sind MOVEit Transfer ab Version 2025.0.0 vor 2025.0.8 sowie ab 2025.1.0. Die Auswirkung betrifft die Verfügbarkeit des Dienstes. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: Aktualisierung auf MOVEit Transfer 2025.0.8 oder neuer.
CVSS: 7.5 EPSS: 0.28% Publiziert: Referenz: NVD -
Progress ADC – OS Command Injection über API (Geo Administration)
CVE-2026-3517 HochIn der API von Progress ADC-Produkten ermöglicht eine OS-Command-Injection-Schwachstelle einem authentifizierten Angreifer mit „Geo Administration”-Berechtigungen die Ausführung beliebiger Befehle auf dem LoadMaster-Gerät. CVSS-Basiswert: 8.4 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.
CVSS: 8.4 EPSS: 0.27% Publiziert: Referenz: NVD -
Apache Airflow: FTP-Provider überträgt den Datenkanal unverschlüsselt
CVE-2026-49486 HochDer FTP-Provider von Apache Airflow baute in FTPSHook.get_conn() eine ftplib.FTP_TLS-Verbindung auf, rief jedoch nie prot_p() auf; dadurch war zwar der Steuerkanal TLS-geschützt, der Datenkanal wurde aber unverschlüsselt übertragen. Als betroffen ausgewiesen sind Apache HTTP Server / ASF-Projekte, Apache Tomcat und Progress. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: die vom Hersteller bereitgestellten Updates einspielen.
CVSS: 7.5 EPSS: 0.26% Publiziert: Referenz: NVD -
Progress Flowmon ADS – Schwachstelle für niedrig privilegierte Nutzer
CVE-2026-9272 HochIn Progress Flowmon ADS (Versionen vor 12.5.6 und 13.0.5) kann ein als niedrig privilegierter Nutzer im Anomaly Detection System (ADS) authentifizierter Angreifer speziell präparierte Anfragen senden. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: auf Flowmon ADS 12.5.6 bzw. 13.0.5 oder neuer aktualisieren.
CVSS: 8.1 EPSS: 0.25% Publiziert: Referenz: NVD -
Core FTP 2.0 – Denial-of-Service im PBSZ-Befehl
CVE-2019-25686 HochCore FTP 2.0 Build 653 enthält eine Denial-of-Service-Schwachstelle im PBSZ-Befehl, die es nicht authentifizierten Angreifern ermöglicht, den Dienst durch Senden eines missgebildeten Befehls mit überdimensioniertem Puffer zum Absturz zu bringen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.
CVSS: 7.5 EPSS: 0.24% Publiziert: Referenz: NVD -
Progress MOVEit Transfer – Cross-Site-Scripting im Ad-Hoc-Modul
CVE-2026-11903 HochEine unzureichende Neutralisierung von Eingaben bei der Erzeugung von Webseiten (Cross-Site-Scripting) im Ad-Hoc-Modul von Progress MOVEit Transfer betrifft Versionen ab 2026.0.0. CVSS-Basiswert: 8.0 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.
CVSS: 8.0 EPSS: 0.23% Publiziert: Referenz: NVD -
Progress ADC – OS Command Injection über API (All-Berechtigungen)
CVE-2026-3518 HochIn der API von Progress ADC-Produkten ermöglicht eine OS-Command-Injection-Schwachstelle einem authentifizierten Angreifer mit „All”-Berechtigungen die Ausführung beliebiger Befehle auf dem LoadMaster-Gerät. CVSS-Basiswert: 8.4 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.
CVSS: 8.4 EPSS: 0.20% Publiziert: Referenz: NVD -
Progress Flowmon: Schwachstelle im PDF-Generierungsprozess
CVE-2026-8079 HochIn Progress Flowmon vor Version 12.5.9 und 13.0.11 kann ein authentifizierter Nutzer mit niedrigen Rechten während des PDF-Generierungsprozesses eine Anfrage präparieren, die zu Betriebssystem-Operationen führt. CVSS-Basiswert: 7.3 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: auf Version 12.5.9 bzw. 13.0.11 oder höher aktualisieren.
CVSS: 7.3 EPSS: 0.18% Publiziert: Referenz: NVD -
Privilege Escalation durch fehlerhafte Eingabevalidierung in MOVEit Automation
CVE-2026-5174 HochIn Progress MOVEit Automation wurde eine Schwachstelle durch unsachgemässe Eingabevalidierung gemeldet, die eine Rechteausweitung ermöglicht. CVSS-Basiswert: 7.7 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 7.7 EPSS: 0.14% Publiziert: Referenz: NVD -
Authorization Bypass durch nutzerkontrollierten Schlüssel in Progress Sitefinity
CVE-2026-7201 HochIn den Web Services von Progress Sitefinity (Versionen 15.2.x bis 15.4.x) ermöglicht eine Autorisierungsumgehung durch einen nutzerkontrollierten Schlüssel (CWE-639) entfernten authentifizierten Angreifern unbefugten Zugriff. CVSS-Basiswert: 8.8 (Hoch).
CVSS: 8.8 EPSS: 0.13% Publiziert: Referenz: NVD -
Unkontrollierter Ressourcenverbrauch in Telerik UI for AJAX (RadAsyncUpload)
CVE-2026-6022 HochIn Progress Telerik UI for AJAX vor Version 2026.1.421 erlaubt die Komponente RadAsyncUpload durch unkontrollierten Ressourcenverbrauch das Hochladen von Dateien, die die konfigurierte maximale Grösse überschreiten. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 7.5 EPSS: 0.11% Publiziert: Referenz: NVD -
Core FTP/SFTP Server – Buffer Overflow im User-Domain-Feld
CVE-2019-25654 HochCore FTP/SFTP Server 1.2 enthält eine Buffer-Overflow-Schwachstelle, die es Angreifern ermöglicht, den Dienst durch Übergabe einer übermässig langen Zeichenkette im User-Domain-Feld zum Absturz zu bringen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 7.5 EPSS: 0.08% Publiziert: Referenz: NVD -
Symlink-Following-Schwachstelle in Froxlor (SSH-Key-Synchronisation)
CVE-2026-41236 HochDie quelloffene Server-Administrationssoftware Froxlor enthält laut Quelle in Version 2.3.6 eine Symlink-Following-Schwachstelle im root-eigenen Pfad zur Synchronisation von SSH-Schlüsseln für Kunden-FTP-Benutzer. Über diesen Provisioning-Code lässt sich die Verknüpfungsauflösung ausnutzen. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 8.8 EPSS: 0.06% Publiziert: Referenz: NVD -
basic-ftp – Denial of Service durch unkontrollierten Speicherverbrauch
CVE-2026-41324 HochDie Node.js-Bibliothek „basic-ftp” ist in Versionen vor 5.3.0 anfällig für Denial-of-Service durch unbegrenztes Speicherwachstum beim Verarbeiten von Verzeichnislistings eines bösartigen FTP-Servers. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 7.5 EPSS: 0.06% Publiziert: Referenz: NVD -
Unsichere Deserialisierung im RadFilter-Steuerelement von Telerik UI for AJAX
CVE-2026-6023 HochIn Progress Telerik UI for AJAX (Versionen 2024.4.1114 bis 2026.1.421) ist das RadFilter-Steuerelement anfällig für unsichere Deserialisierung, wenn der Filterstatus aus einer clientseitig zugänglichen Quelle wiederhergestellt wird. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 8.1 EPSS: 0.05% Publiziert: Referenz: NVD -
FTP Navigator – Denial of Service durch SEH-Überschreibung
CVE-2019-25329 HochFTP Navigator 8.03 enthält eine Denial-of-Service-Schwachstelle, die es Angreifern durch Überschreiben der Structured-Exception-Handler-Register mit manipulierten Eingaben ermöglicht, die Anwendung zum Absturz zu bringen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 7.5 EPSS: 0.04% Publiziert: Referenz: NVD -
Progress Flowmon – Unbeabsichtigte Codeausführung bei Report-Generierung
CVE-2026-3692 HochIn Progress Flowmon vor Version 12.5.8 kann ein authentifizierter Benutzer mit niedrigen Rechten eine präparierte Anfrage während der Report-Generierung stellen, die zu unbeabsichtigter Codeausführung führt. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 8.8 EPSS: 0.04% Publiziert: Referenz: NVD -
Progress ADC – OS Command Injection über API (VS Administration)
CVE-2026-3519 HochIn der API von Progress ADC-Produkten ermöglicht eine OS-Command-Injection-Schwachstelle einem authentifizierten Angreifer mit „VS Administration”-Berechtigungen die Ausführung beliebiger Befehle auf dem LoadMaster-Gerät. CVSS-Basiswert: 8.4 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 8.4 EPSS: 0.04% Publiziert: Referenz: NVD -
Privilege Escalation durch unsichere geerbte Berechtigungen in Cerberus FTP Server
CVE-2026-6265 HochIn Cerberus FTP Server unter Windows besteht eine Schwachstelle durch unsichere vererbte Berechtigungen, die eine Rechteausweitung ermöglicht. Das Problem wurde in Cerberus FTP Server 2026.1 behoben. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 8.8 EPSS: 0.03% Publiziert: Referenz: NVD -
Progress ADC – OS Command Injection über UI (All-Berechtigungen)
CVE-2026-4048 HochIn der Benutzeroberfläche von Progress ADC-Produkten ermöglicht eine OS-Command-Injection-Schwachstelle einem authentifizierten Angreifer mit „All”-Berechtigungen die Ausführung beliebiger Befehle auf dem LoadMaster-Gerät. CVSS-Basiswert: 8.4 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 8.4 EPSS: 0.03% Publiziert: Referenz: NVD
Diesem Produkt-Feed folgen
Eigener RSS-Feed nur für Progress MOVEit / WS_FTP / LoadMaster, kostenlos und ohne Anmeldung. Zustellung per E-Mail, Webhook, REST oder TAXII richten wir auf Anfrage ein.
RSS-Feed öffnen Zustellung anfragenWie folge ich dem Feed?
- 1 RSS-Feed-Link kopieren oder direkt im RSS-Reader öffnen.
- 2 Priorisierte Reports (KEV · EPSS · CVSS) landen automatisch in Ihrem Reader.
- 3 Zustellung per E-Mail, Webhook, REST oder TAXII auf Anfrage einrichten lassen.