1.5 Aktiv ausgenutzte Lücken
Server-Software, Middleware, Web

Spring (Broadcom/Tanzu)

Server-Software, Middleware, Web

Spring (Broadcom/Tanzu) gehört zur Kategorie „Server-Software, Middleware, Web". xonatec überwacht Spring (Broadcom/Tanzu) kontinuierlich auf neue Sicherheitslücken, priorisiert jede Meldung nach aktiver Ausnutzung (KEV), Ausnutzungswahrscheinlichkeit (EPSS) und Schweregrad (CVSS) Im zugeschnittenen Bericht erhalten Sie ausschliesslich die Meldungen, die dieses Produkt betreffen.

120
Reports
9
Aktiv ausgenutzt
Kritisch
Höchste Priorität
99.9%
Max. EPSS

Schwachstellen-Reports

120 Reports

Zeige 1 bis 50 von 120

  1. Broadcom VMware Aria Operations – Command Injection

    CVE-2026-22719 Hoch Aktiv ausgenutzt

    VMware Aria Operations enthält eine Command-Injection-Schwachstelle. Ein nicht authentifizierter Angreifer kann diese ausnutzen, um beliebige Befehle auszuführen, was zur Remote-Code-Ausführung führen kann. CVSS-Basiswert: 8.1 (Hoch). Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 1.9 %.

    CVSS: 8.1 EPSS: 1.90% Publiziert: Referenz: CISA KEV
  2. VMware Tanzu Spring Cloud Function – Remote Code Execution

    CVE-2022-22963 Aktiv ausgenutzt

    In VMware Tanzu Spring Cloud Function wurde eine Schwachstelle zur Remote Code Execution festgestellt, die es Angreifern ermöglicht, beliebigen Code aus der Ferne auszuführen. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 99.9 %.

    EPSS: 99.94% Publiziert: Referenz: CISA KEV
  3. Spring Framework JDK 9+ Remote Code Execution (Spring4Shell)

    CVE-2022-22965 Aktiv ausgenutzt

    Eine Schwachstelle im Spring Framework ermöglicht auf JDK-9+-Umgebungen entfernte Codeausführung. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 99.7 %.

    EPSS: 99.68% Publiziert: Referenz: CISA KEV
  4. VMware Spring Cloud Gateway Code Injection

    CVE-2022-22947 Aktiv ausgenutzt

    In VMware Spring Cloud Gateway wurde eine Code-Injection-Schwachstelle identifiziert. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 94.5 %.

    EPSS: 94.46% Publiziert: Referenz: CISA KEV
  5. VMware Tanzu Spring Cloud Config – Directory Traversal

    CVE-2020-5410 Aktiv ausgenutzt

    In VMware Tanzu Spring Cloud Config wurde eine Directory-Traversal-Schwachstelle gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 94.3 %.

    EPSS: 94.35% Publiziert: Referenz: CISA KEV
  6. VMware Tanzu Spring Data Commons – Property Binder Vulnerability

    CVE-2018-1273 Aktiv ausgenutzt Ransomware

    In VMware Tanzu Spring Data Commons wurde eine Schwachstelle im Property Binder gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Bekannter Einsatz in Ransomware-Kampagnen. Ausnutzungswahrscheinlichkeit (EPSS): 94.3 %.

    EPSS: 94.28% Publiziert: Referenz: CISA KEV
  7. Broadcom VMware vCenter Server – Out-of-Bounds Write

    CVE-2024-37079 Aktiv ausgenutzt

    Im Broadcom VMware vCenter Server wurde eine Out-of-Bounds-Write-Schwachstelle identifiziert. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 82.3 %.

    EPSS: 82.28% Publiziert: Referenz: CISA KEV
  8. Broadcom Brocade Fabric OS – Code Injection

    CVE-2025-1976 Aktiv ausgenutzt

    Im Broadcom Brocade Fabric OS wurde eine Code-Injection-Schwachstelle identifiziert. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 0.8 %.

    EPSS: 0.78% Publiziert: Referenz: CISA KEV
  9. Broadcom VMware Aria Operations und VMware Tools – Privilege Escalation durch unsichere Aktionen

    CVE-2025-41244 Aktiv ausgenutzt

    In Broadcom VMware Aria Operations und VMware Tools wurde eine Schwachstelle durch Privilegien mit unsicheren Aktionen identifiziert. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %.

    EPSS: 0.53% Publiziert: Referenz: CISA KEV
  10. Spring Cloud Config – Auslieferung beliebiger Dateien über Config Server

    CVE-2026-40982 Kritisch

    Spring Cloud Config erlaubt es einem Angreifer, über speziell präparierte Anfragen an den spring-cloud-config-server beliebige Text- und Binärdateien auszuliefern. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 9.1 EPSS: 0.14% Publiziert: Referenz: NVD
  11. Spring AI – SpEL-Injection in SimpleVectorStore

    CVE-2026-22738 Kritisch

    In Spring AI besteht eine SpEL-Injection-Schwachstelle in SimpleVectorStore, wenn ein benutzerseitig gelieferter Wert als Schlüssel in einem Filterausdruck verwendet wird. Ein Angreifer könnte dies ausnutzen, um beliebigen Code auszuführen. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 9.8 EPSS: 0.05% Publiziert: Referenz: NVD
  12. Spring Security – HTTP-Response-Header werden nicht geschrieben

    CVE-2026-22732 Kritisch

    In Spring Security kann es bei Servlet-Anwendungen vorkommen, dass konfigurierte HTTP-Antwort-Header nicht korrekt geschrieben werden. Dies kann Sicherheitsmechanismen, die auf diesen Headern basieren, unwirksam machen. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 9.1 EPSS: 0.03% Publiziert: Referenz: NVD
  13. Spring Boot – Unwirksame Standard-Web-Sicherheit ermöglicht unautorisierten Zugriff

    CVE-2026-40976 Kritisch

    Unter bestimmten Umständen ist die Standard-Web-Sicherheit von Spring Boot unwirksam und ermöglicht unautorisierten Zugriff auf alle Endpunkte. Betroffen sind servlet-basierte Webanwendungen mit spezifischer Konfiguration. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 9.1 EPSS: 0.02% Publiziert: Referenz: NVD
  14. Spring for Apache Kafka: unsichere Präfix-Prüfung vertrauenswürdiger Pakete im Kafka-Header-Mapper

    CVE-2026-41731 Hoch

    Der JsonKafkaHeaderMapper sowie der veraltete DefaultKafkaHeaderMapper glichen Typ-Header über eine reine Präfix-Prüfung gegen die Liste vertrauenswürdiger Pakete ab. Dadurch wurden mit einem als vertrauenswürdig eingestuften Paket implizit auch alle dessen Unterpakete als vertrauenswürdig behandelt. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: Auf die vom Hersteller bereitgestellte, korrigierte Version aktualisieren.

    CVSS: 8.1 EPSS: 0.49% Publiziert: Referenz: NVD
  15. Spring for GraphQL – Unsichere Deserialisierung bei paginierten Abfragen

    CVE-2026-41699 Hoch

    Spring-for-GraphQL-Anwendungen sind bei der Verarbeitung paginierter GraphQL-Abfragen anfällig für unsichere Deserialisierung. Ein Angreifer kann eine bösartige GraphQL-Anfrage erstellen, die zu Remote Code Execution führen kann. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: Sicherheitsupdate gemäss Spring-Advisory einspielen.

    CVSS: 8.1 EPSS: 0.43% Publiziert: Referenz: NVD
  16. RabbitMQ: Fehlende Frame-Size-Begrenzung im Stream-Listener

    CVE-2026-57220 Hoch

    RabbitMQ ist ein Messaging- und Streaming-Broker. Vor Version 4.2.6 erzwingt der RabbitMQ-Stream-Listener die konfigurierte Frame-Size-Begrenzung beim Zusammenbau von Frames während der Authentifizierung nicht. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: Update auf Version 4.2.6.

    CVSS: 7.5 EPSS: 0.43% Publiziert: Referenz: NVD
  17. Spring Framework: DoS beim Auflösen statischer Ressourcen (MVC/WebFlux)

    CVE-2026-41842 Hoch

    Spring-MVC- und WebFlux-Anwendungen sind beim Auflösen statischer Ressourcen anfällig für Denial-of-Service-Angriffe. Betroffen sind unter anderem Spring Framework 7.0.0 bis 7.0.7 sowie 6.2.0 bis 6.2.18. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: Auf eine fehlerbereinigte Spring-Framework-Version aktualisieren.

    CVSS: 7.5 EPSS: 0.40% Publiziert: Referenz: NVD
  18. Spring Data REST – SpEL-Ausdrucksinjektion über JSON-Patch-Anfragen

    CVE-2026-41729 Hoch

    Spring Data REST ist über eine SpEL-Ausdrucksinjektion in Map-typisierten Eigenschaften angreifbar, wenn JSON-Patch-Anfragen (application/json-patch+json) verarbeitet werden. Voraussetzung ist eine persistente Entität, die eine Map-typisierte Eigenschaft bereitstellt. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.

    CVSS: 8.1 EPSS: 0.39% Publiziert: Referenz: NVD
  19. Spring Data Commons: Denial of Service durch Ressourcenerschöpfung

    CVE-2026-41695 Hoch

    Anwendungen, die Spring Data Commons einsetzen, können anfällig für einen Denial of Service durch Ressourcenerschöpfung sein, wenn von Angreifern kontrollierte Property-Path-Strings an die Property-Path-Auflösung des MappingContext übergeben werden. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: das Update gemäss dem Spring-Security-Advisory einspielen.

    CVSS: 7.5 EPSS: 0.36% Publiziert: Referenz: NVD
  20. Spring Data – Heap-Erschöpfung über unbegrenzten Property-Lookup-Cache

    CVE-2026-41716 Hoch

    In Spring Data akzeptiert und speichert der interne Property-Lookup-Cache dauerhaft von Angreifern kontrollierte Zeichenketten als Cache-Schlüssel. Über wiederholte Anfragen lässt sich dadurch der Heap-Speicher erschöpfen (Denial of Service). CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: verfügbare Spring-Sicherheitsupdates einspielen.

    CVSS: 7.5 EPSS: 0.36% Publiziert: Referenz: NVD
  21. Spring: Algorithmischer Denial of Service durch manipulierte SpEL-Ausdrücke

    CVE-2026-41850 Hoch

    Anwendungen, die von Benutzern gelieferte Spring-Expression-Language-Ausdrücke (SpEL) auswerten, sind für einen algorithmischen Denial of Service anfällig; über einen speziell präparierten Ausdruck kann ein Angreifer die Verarbeitung erheblich verlangsamen. Als betroffen ausgewiesen sind VMware (Broadcom VMSA) und Spring (Broadcom/Tanzu). CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: die vom Hersteller bereitgestellten Updates einspielen.

    CVSS: 7.5 EPSS: 0.36% Publiziert: Referenz: NVD
  22. RabbitMQ: Offenlegung des OAuth-2-Client-Secrets über den veralteten Endpunkt /api/auth

    CVE-2026-57219 Hoch

    In RabbitMQ vor den Versionen 3.13.15, 4.0.20, 4.1.11 und 4.2.6 kann der veraltete Endpunkt GET /api/auth auf entsprechend konfigurierten Installationen das OAuth-2-Client-Secret offenlegen. Als betroffen ausgewiesen sind Broadcom/Symantec, Spring (Broadcom/Tanzu), VMware (Broadcom VMSA) und RabbitMQ/Kafka. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: die vom Hersteller bereitgestellten Updates einspielen.

    CVSS: 7.5 EPSS: 0.36% Publiziert: Referenz: NVD
  23. Spring GraphQL – fehlerhafte Auflösung von Controller-Annotationen

    CVE-2026-41856 Hoch

    Der Mechanismus zur Erkennung von @Controller-Data-Fetcher-Annotationen in Spring GraphQL löst Annotationen an Methoden innerhalb von Typhierarchien möglicherweise nicht korrekt auf. Dies kann problematisch sein, wenn solche Annotationen für Sicherheitszwecke eingesetzt werden. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: auf eine korrigierte Version aktualisieren.

    CVSS: 7.5 EPSS: 0.35% Publiziert: Referenz: NVD
  24. Spring – Trusted-Package-Prüfung in JsonPulsarHeaderMapper umgehbar

    CVE-2026-41732 Hoch

    Der JsonPulsarHeaderMapper prüfte Typ-Header gegen vertrauenswürdige Pakete über einen Präfix-Abgleich, wodurch das Vertrauen in ein Paket implizit auch alle seine Unterpakete einschloss. Zusätzlich wirkte sich eine leere Liste vertrauenswürdiger Pakete unsicher aus. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: auf eine fehlerbereinigte Version aktualisieren.

    CVSS: 8.1 EPSS: 0.35% Publiziert: Referenz: NVD
  25. Spring Security: Denial of Service im SAML-2.0-REDIRECT-Binding

    CVE-2026-40988 Hoch

    Eine Anwendung, die spring-security-saml2-service-provider und das REDIRECT-Binding für SAML-2.0-Login oder -Logout verwendet, kann für einen Denial of Service anfällig sein: Ein unbegrenzter Writer bläht die verarbeiteten Daten auf. Der Angriff erfolgt über das Netzwerk. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: die Spring-Security-Aktualisierungen gemäss Hersteller-Advisory einspielen.

    CVSS: 7.5 EPSS: 0.33% Publiziert: Referenz: NVD
  26. Spring Data MongoDB: SpEL-Expression-Injection beim Parameter-Binding

    CVE-2026-41717 Hoch

    Spring Data MongoDB enthält eine Schwachstelle für die Injektion von SpEL-Ausdrücken (Spring Expression Language). Sie tritt beim Parameter-Binding auf, wenn eine benutzerdefinierte Repository-Abfragemethode entsprechend annotiert ist. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: die vom Hersteller bereitgestellten Updates für Spring Data MongoDB einspielen.

    CVSS: 8.1 EPSS: 0.33% Publiziert: Referenz: NVD
  27. Spring Data REST: JSON-Patch umgeht Write-Access-Filter bei mehrsegmentigen Pointern

    CVE-2026-41728 Hoch

    Die JSON-Patch-Implementierung von Spring Data REST (application/json-patch+json) wendet den Write-Access-Filter nicht auf Zwischensegmente an, wenn ein mehrsegmentiger JSON-Pointer aufgelöst wird. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.

    CVSS: 7.5 EPSS: 0.31% Publiziert: Referenz: NVD
  28. Spring HATEOAS – unbegrenzter Cache ermöglicht Ressourcenerschöpfung

    CVE-2026-41007 Hoch

    Spring HATEOAS unterhält einen unbegrenzten statischen Cache von StringLinkRelation-Instanzen, der auf angreiferseitig gelieferten Zeichenketten basiert. Betroffen sind Spring HATEOAS 1.5.0 bis 1.5.6 sowie 2.3.0 bis 2.3.4 und 2.4.x. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: auf eine korrigierte Version aktualisieren.

    CVSS: 7.5 EPSS: 0.30% Publiziert: Referenz: NVD
  29. RabbitMQ: DoS über übergrosse JSON-Bodies in der Management-HTTP-API

    CVE-2026-57212 Hoch

    RabbitMQ ist ein Messaging- und Streaming-Broker. Vor den Versionen 3.13.14, 4.0.19, 4.1.10 und 4.2.5 akzeptiert die rabbitmq_management-HTTP-API übergrosse, gültige JSON-Bodies auf den with_decode- und direct_request-Pfaden, was einen Denial of Service ermöglicht. CVSS-Basiswert: 7.7 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: Auf RabbitMQ 3.13.14, 4.0.19, 4.1.10 bzw. 4.2.5 oder neuer aktualisieren.

    CVSS: 7.7 EPSS: 0.29% Publiziert: Referenz: NVD
  30. Spring Cloud Sleuth – Denial of Service durch präparierte Aufrufe

    CVE-2026-41708 Hoch

    In Spring Cloud Sleuth kann ein Benutzer speziell präparierte Aufrufe übergeben, die einen Denial-of-Service-Zustand auslösen können. Betroffen sind Anwendungen, die eine anfällige Version einsetzen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.

    CVSS: 7.5 EPSS: 0.28% Publiziert: Referenz: NVD
  31. Spring HATEOAS: Unsichere Bean-Bindung in den Media-Type-Deserialisierern

    CVE-2026-41006 Hoch

    Die interne Methode PropertyUtils.createObjectFromProperties von Spring HATEOAS, die von den Deserialisierern für die Media-Typen Collection+JSON und UBER verwendet wird, führt eine Bean-Property-Bindung per Reflection ohne Prüfung durch. Als betroffen ausgewiesen sind VMware (Broadcom VMSA) und Spring (Broadcom/Tanzu). CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: die vom Hersteller bereitgestellten Updates einspielen.

    CVSS: 7.5 EPSS: 0.28% Publiziert: Referenz: NVD
  32. Spring Framework – Unsichere Deserialisierung in JMS Jackson MessageConverter

    CVE-2026-41855 Hoch

    In einer nicht vertrauenswürdigen JMS-Umgebung erlauben die Spring-Klassen MappingJackson2MessageConverter und JacksonJsonMessageConverter die Instanziierung beliebiger Klassen aus empfangenen Nachrichten. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.

    CVSS: 8.1 EPSS: 0.27% Publiziert: Referenz: NVD
  33. Spring Framework: Integer-Überlauf in der Spring Expression Language (SpEL)

    CVE-2026-41849 Hoch

    In der Auswertungslogik der Spring Expression Language (SpEL) besteht eine Integer-Überlauf-Schwachstelle. Ein Angreifer kann dies ausnutzen, indem er einen speziell präparierten SpEL-Ausdruck übergibt, der den Überlauf auslöst. Der Angriff erfolgt über das Netzwerk. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: die Spring-Aktualisierungen gemäss Hersteller-Advisory einspielen.

    CVSS: 7.5 EPSS: 0.26% Publiziert: Referenz: NVD
  34. Spring AI Vector Stores: Query-Injection in VectorDB

    CVE-2026-47835 Hoch

    In Spring AI Vector Stores können Sonderzeichen dazu genutzt werden, die Ausführung beliebiger Abfragen in Elasticsearch, OpenSearch und GemFire VectorDB zu erzwingen. Betroffen ist laut Quelldaten unter anderem die Komponente spring-ai-elasticsearch. CVSS-Basiswert: 8.6 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: Aktualisierung auf die im Spring-Security-Advisory genannten bereinigten Versionen.

    CVSS: 8.6 EPSS: 0.25% Publiziert: Referenz: NVD
  35. Foreign Bindings auf amq.rabbitmq.reply-to in RabbitMQ

    CVE-2026-57215 Hoch

    RabbitMQ, ein Messaging- und Streaming-Broker, erlaubt in Versionen vor 3.13.15, 4.0.20, 4.1.11 und 4.2.6 foreign bindings auf amq.rabbitmq.reply-to-Ziele, weil flüchtige direct-reply-to-Queues nicht ausreichend abgesichert sind. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: auf eine der fehlerbereinigten RabbitMQ-Versionen aktualisieren.

    CVSS: 8.8 EPSS: 0.24% Publiziert: Referenz: NVD
  36. Spring Security: Mögliche Codeausführung über RelyingPartyRegistration

    CVE-2026-41003 Hoch

    Ein Angreifer, der Werte in einer RelyingPartyRegistration beeinflussen kann, kann unter Umständen beliebigen Code über von Spring-Security-Filtern erzeugte HTML-Formulare ausführen. Betroffen ist unter anderem Spring Security ab Version 5.7.0. CVSS-Basiswert: 7.6 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: Auf eine fehlerbereinigte Spring-Security-Version aktualisieren.

    CVSS: 7.6 EPSS: 0.20% Publiziert: Referenz: NVD
  37. Spring Security: Deserialisierung schädlicher Payloads über das SAML-Metadaten-Repository

    CVE-2026-40993 Hoch

    Ein Angreifer mit Schreibrechten auf die von JdbcAssertingPartyMetadataRepository verwaltete Datenbanktabelle (saml2_asserting_party_metadata) kann schädliche serialisierte Payloads in der Spalte ablegen. Bei der späteren Deserialisierung kann dies zu einer Kompromittierung führen. CVSS-Basiswert: 7.3 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: auf eine korrigierte Spring-Version aktualisieren.

    CVSS: 7.3 EPSS: 0.20% Publiziert: Referenz: NVD
  38. Spring for GraphQL – Cross-Site WebSocket Hijacking

    CVE-2026-41700 Hoch

    Spring-for-GraphQL-Anwendungen, die den WebSocket-Transport aktiviert haben, sind anfällig für Cross-Site WebSocket Hijacking. Ein Angreifer kann einen authentifizierten Nutzer dazu verleiten, eine bösartige Seite aufzurufen. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: die von Spring bereitgestellten Sicherheitsupdates einspielen.

    CVSS: 8.1 EPSS: 0.18% Publiziert: Referenz: NVD
  39. Spring Framework: XSS durch fehlerhaftes Escaping in javaScriptEscape()

    CVE-2026-41845 Hoch

    Durch fehlerhaftes Escaping kann die Verwendung von JavaScriptUtils.javaScriptEscape() zu JavaScript-Code-Injection im Browser und damit zu einer Cross-Site-Scripting-(XSS)-Schwachstelle führen. CVSS-Basiswert: 7.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.

    CVSS: 7.1 EPSS: 0.16% Publiziert: Referenz: NVD
  40. Brocade Fabric OS – Unsichere Authentifizierungs- und Verwaltungsdienste

    CVE-2025-58382 Hoch

    In Brocade Fabric OS vor Version 9.2.1c2 wurde eine Schwachstelle in der sicheren Konfiguration von Authentifizierungs- und Verwaltungsdiensten identifiziert. Ein authentifizierter, entfernter Angreifer mit Administratorrechten kann diese ausnutzen. CVSS-Basiswert: 7.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 7.2 EPSS: 0.10% Publiziert: Referenz: NVD
  41. Spring AI – Cypher-Injection in Neo4jVectorFilterExpressionConverter

    CVE-2026-22743 Hoch

    Das Modul spring-ai-neo4j-store enthält eine Cypher-Injection-Schwachstelle in Neo4jVectorFilterExpressionConverter. Wird ein benutzerkontrollierter String als Schlüssel in einem Filterausdruck übergeben, kann dies zu einer ungewollten Ausführung von Datenbankabfragen führen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 7.5 EPSS: 0.08% Publiziert: Referenz: NVD
  42. Spring AI – Server-Side Request Forgery in BedrockProxyChatModel

    CVE-2026-22742 Hoch

    Das Modul spring-ai-bedrock-converse enthält eine Server-Side Request Forgery (SSRF)-Schwachstelle in BedrockProxyChatModel beim Verarbeiten von multimodalen Nachrichten mit benutzerseitig gelieferten Medien-URLs. CVSS-Basiswert: 8.6 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 8.6 EPSS: 0.08% Publiziert: Referenz: NVD
  43. Spring Security – Filter Chain Bypass via securityMatchers

    CVE-2026-22753 Hoch

    In Spring Security kann bei Verwendung von securityMatchers(String) zusammen mit einem PathPatternRequestMatcher.Builder-Bean zur Voranstellung eines Servlet-Pfades die entsprechende Filter-Chain umgangen werden, was zu unberechtigtem Zugriff führen kann. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 7.5 EPSS: 0.06% Publiziert: Referenz: NVD
  44. Spring AI – Injection in RedisFilterExpressionConverter

    CVE-2026-22744 Hoch

    In RedisFilterExpressionConverter des Moduls spring-ai-redis-store wird ein benutzerkontrollierter String bei TAG-Feldern direkt in die Abfrage eingefügt, ohne ausreichende Bereinigung, was eine Injection-Schwachstelle ermöglicht. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 7.5 EPSS: 0.06% Publiziert: Referenz: NVD
  45. Spring – Timing-Angriff auf Remote-Secret

    CVE-2026-40972 Hoch

    Ein Angreifer im selben Netzwerk wie die Remote-Anwendung kann durch einen Timing-Angriff Informationen über das Remote-Secret ermitteln, was in extremen Fällen zur Kompromittierung des Secrets führen kann. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 7.5 EPSS: 0.06% Publiziert: Referenz: NVD
  46. Spring Security – Filter Chain Bypass via intercept-url servlet-path

    CVE-2026-22754 Hoch

    In Spring Security kann bei Verwendung von <sec:intercept-url servlet-path="…"> zur Pfadberechnung die zugehörige Filter-Chain umgangen werden, was zu unberechtigtem Zugriff führen kann. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 7.5 EPSS: 0.06% Publiziert: Referenz: NVD
  47. Spring Cloud Gateway: SSL-Bundle-Konfiguration wird stillschweigend ignoriert

    CVE-2026-22750 Hoch

    Beim Konfigurieren von SSL-Bundles in Spring Cloud Gateway über die Eigenschaft spring.ssl.bundle wurde die Konfiguration stillschweigend ignoriert und stattdessen die Standard-SSL-Konfiguration verwendet. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: Auf eine fehlerbereinigte Version aktualisieren und die wirksame SSL-Konfiguration überprüfen.

    CVSS: 7.5 EPSS: 0.06% Publiziert: Referenz: NVD
  48. Undertow – Request Smuggling über ungültige Header-Terminierung

    CVE-2026-28367 Hoch

    In Undertow kann ein entfernter Angreifer durch das Senden von '\r\r\r' als Header-Block-Terminator HTTP-Request-Smuggling-Angriffe in Kombination mit bestimmten Proxy-Servern durchführen. CVSS-Basiswert: 8.7 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 8.7 EPSS: 0.05% Publiziert: Referenz: NVD
  49. Undertow – Fehlerhafte Verarbeitung von Leerzeichen am Anfang von Header-Zeilen

    CVE-2026-28369 Hoch

    In Undertow werden HTTP-Anfragen, bei denen die erste Header-Zeile mit einem oder mehreren Leerzeichen beginnt, fehlerhaft verarbeitet: Die führenden Leerzeichen werden entfernt, was zu unerwarteten Interpretationsunterschieden gegenüber Proxies führen kann. CVSS-Basiswert: 8.7 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 8.7 EPSS: 0.05% Publiziert: Referenz: NVD
  50. Spring AI – Unbeabsichtigte Datenexposition in Chat-Memory-Komponente

    CVE-2026-41712 Hoch

    Die Chat-Memory-Komponente von Spring AI enthielt eine problematische Standardkonfiguration, die bei fehlender expliziter Überschreibung zu unbeabsichtigter Datenexposition zwischen verschiedenen Nutzern führen konnte. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 7.5 EPSS: 0.04% Publiziert: Referenz: NVD

Diesem Produkt-Feed folgen

Eigener RSS-Feed nur für Spring (Broadcom/Tanzu), kostenlos und ohne Anmeldung. Zustellung per E-Mail, Webhook, REST oder TAXII richten wir auf Anfrage ein.

RSS-Feed öffnen Zustellung anfragen

Wie folge ich dem Feed?

  • 1 RSS-Feed-Link kopieren oder direkt im RSS-Reader öffnen.
  • 2 Priorisierte Reports (KEV · EPSS · CVSS) landen automatisch in Ihrem Reader.
  • 3 Zustellung per E-Mail, Webhook, REST oder TAXII auf Anfrage einrichten lassen.
Zurück zum Katalog