Spring (Broadcom/Tanzu) Seite 2
Schwachstellen-Reports
120 ReportsZeige 51 bis 100 von 120
-
Spring AI – Prompt Injection über Konversationsspeicher
CVE-2026-41713 HochEin Angreifer kann manipulierte Eingaben in den Konversationsspeicher einschleusen, die vom Modell auf unbeabsichtigte Weise interpretiert werden. Anwendungen, die den betroffenen Advisor mit nutzerkontrollierten Eingaben verwenden, sind gefährdet. CVSS-Basiswert: 8.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 8.2 EPSS: 0.04% Publiziert: Referenz: NVD -
Brocade Fabric OS – Ausbruch aus der Restricted Shell via configdownload
CVE-2018-6439 HochEine Schwachstelle im configdownload-Befehl der Kommandozeilen-Schnittstelle (CLI) von Brocade Fabric OS in Versionen vor 8.2.1, 8.1.2f, 8.0.2f und 7.4.2d kann es einem lokalen Angreifer ermöglichen, aus der eingeschränkten Shell (Restricted Shell) auszubrechen. CVSS-Basiswert: 7.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: auf eine der fehlerbereinigten Fabric-OS-Versionen aktualisieren.
CVSS: 7.8 EPSS: 0.04% Publiziert: Referenz: NVD -
Brocade ASCG 3.4.0 – Authentication Bypass
CVE-2026-0869 HochIn Brocade ASCG 3.4.0 ermöglicht eine Authentifizierungsumgehung nicht autorisierten Benutzern die Durchführung von ASCG-Operationen im Zusammenhang mit Brocade Support Link (BSL) und der Streaming-Konfiguration; zudem kann die ASC-Funktion deaktiviert werden. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 8.8 EPSS: 0.04% Publiziert: Referenz: NVD -
Spring Boot Actuator – Authentication Bypass
CVE-2026-22733 HochIn Spring Boot-Anwendungen mit Actuator kann eine Schwachstelle zur Umgehung der Authentifizierung führen, wenn ein Endpunkt, der Authentifizierung erfordert, unter dem vom Actuator verwendeten Pfad deklariert ist. CVSS-Basiswert: 8.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 8.2 EPSS: 0.04% Publiziert: Referenz: NVD -
Spring Boot Actuator – Authentication Bypass
CVE-2026-22731 HochSpring-Boot-Anwendungen mit Actuator können unter bestimmten Pfadkonfigurationen für eine Authentifizierungsumgehung anfällig sein. Geschützte Endpunkte können ohne gültige Authentifizierung erreichbar sein. CVSS-Basiswert: 8.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 8.2 EPSS: 0.04% Publiziert: Referenz: NVD -
Spring AI – JSONPath Injection (Authentication Bypass)
CVE-2026-22729 HochIn Spring AI wurde eine JSONPath-Injection-Schwachstelle im AbstractFilterExpressionConverter entdeckt. Authentifizierte Benutzer können durch manipulierte Filterausdrücke metadatenbasierte Zugriffskontrollen umgehen. CVSS-Basiswert: 8.6 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 8.6 EPSS: 0.03% Publiziert: Referenz: NVD -
RabbitMQ – Fehlerhafte Topic-Autorisierung im MQTT-Plugin
CVE-2026-44838 HochRabbitMQ ist ein Messaging- und Streaming-Broker. In den Versionen 4.2.0 bis vor 4.2.4 erlaubt das MQTT-Plugin eine Autorisierung auf Topic-Ebene über reguläre Ausdrücke mit Variablensubstitution, die von Administratoren fehlerhaft konfiguriert werden kann. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: Auf RabbitMQ 4.2.4 oder neuer aktualisieren.
CVSS: 8.1 EPSS: 0.03% Publiziert: Referenz: NVD -
Spring AI – Injection in FilterExpressionConverter-Implementierungen
CVE-2026-40967 HochVerschiedene FilterExpressionConverter-Implementierungen in Spring AI übersetzen Filterausdrücke in vektorstore-spezifische Abfragesprachen, ohne Schlüssel und Werte ausreichend zu bereinigen, was Injection-Angriffe ermöglicht. CVSS-Basiswert: 8.6 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 8.6 EPSS: 0.03% Publiziert: Referenz: NVD -
Brocade Fabric OS – Privilege Escalation via bind-Befehl
CVE-2025-58383 HochIn Brocade Fabric OS vor Version 9.2.1c2 kann ein Benutzer mit Administratorrechten den bind-Befehl ausführen, um Privilegien zu eskalieren und Sicherheitskontrollen zu umgehen. CVSS-Basiswert: 7.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 7.2 EPSS: 0.03% Publiziert: Referenz: NVD -
Spring AI – SQL Injection (MariaDBFilterExpressionConverter)
CVE-2026-22730 HochIn Spring AI wurde eine SQL-Injection-Schwachstelle im MariaDBFilterExpressionConverter gemeldet. Angreifer können metadatenbasierte Zugriffskontrollen umgehen und beliebige SQL-Befehle ausführen. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 8.8 EPSS: 0.03% Publiziert: Referenz: NVD -
Spring AI MilvusVectorStore – Filter-Expression-Injection
CVE-2026-41705 HochDie Implementierung von MilvusVectorStore#doDelete(List) in Spring AI ist anfällig für Filter-Expression-Injection durch unsanitisierte Dokument-IDs. CVSS-Basiswert: 8.6 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 8.6 EPSS: 0.03% Publiziert: Referenz: NVD -
Undertow – Header-Parsing-Inkonsistenz ermöglicht Request Smuggling
CVE-2026-28368 HochIn Undertow werden Header-Namen abweichend von vorgelagerten Proxies geparst. Ein entfernter Angreifer kann speziell konstruierte Anfragen erstellen, die von Undertow und einem vorgeschalteten Proxy unterschiedlich interpretiert werden, und so HTTP-Request-Smuggling-Angriffe durchführen. CVSS-Basiswert: 8.7 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 8.7 EPSS: 0.03% Publiziert: Referenz: NVD -
Spring AI – SQL-Injection in CosmosDBVectorStore
CVE-2026-40978 HochEine SQL-Injection-Schwachstelle in Spring AIs CosmosDBVectorStore ermöglicht Angreifern die Ausführung beliebiger SQL-Abfragen über manipulierte Dokument-IDs. Betroffen sind Spring AI Versionen 1.0.0 bis 1.0.5. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 8.8 EPSS: 0.02% Publiziert: Referenz: NVD -
Spring Cloud Config – Unbeabsichtigte Secret-Exposition via Google Secrets Manager
CVE-2026-40981 HochEin Angreifer kann durch manipulierte Anfragen an den Spring Cloud Config Server (bei Verwendung von Google Secrets Manager als Backend) Geheimnisse aus nicht vorgesehenen GCP-Projekten auslesen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 7.5 EPSS: 0.02% Publiziert: Referenz: NVD -
Spring Cloud Config Server – TOCTOU-Angriff auf Git-Basisverzeichnis
CVE-2026-41002 HochDas vom Spring Cloud Config Server genutzte Basisverzeichnis zum Klonen von Git-Repositories ist anfällig für Time-of-Check-Time-of-Use (TOCTOU)-Angriffe. CVSS-Basiswert: 7.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 7.2 EPSS: 0.01% Publiziert: Referenz: NVD -
Brocade Fabric OS – Unsichere Speicherung von Dateiinhalten in Bash-Shell
CVE-2026-0383 HochIn Brocade Fabric OS können authentifizierte lokale Angreifer mit Bash-Shell-Zugriff unsicher gespeicherte Dateiinhalte einsehen, darunter den Verlauf des History-Befehls. CVSS-Basiswert: 7.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 7.8 EPSS: 0.01% Publiziert: Referenz: NVD -
Spring Boot – Lokale Übernahme des ApplicationTemp-Verzeichnisses
CVE-2026-40973 HochEin lokaler Angreifer auf demselben Host kann unter bestimmten Bedingungen die Kontrolle über das von ApplicationTemp verwendete Verzeichnis übernehmen, wenn server.servlet.session.persistent auf true gesetzt ist. CVSS-Basiswert: 7.0 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 7.0 EPSS: 0.01% Publiziert: Referenz: NVD -
Brocade SANnav – SQL-Abfragen in Support-Datei exponiert
CVE-2025-12774 HochIm Migrationsskript für Brocade SANnav vor Version 3.0 können Datenbank-SQL-Abfragen in der SANnav-Support-Speicherdatei gesammelt werden. Ein Angreifer mit Zugriff auf diese Support-Datei kann so potenziell sensible Informationen einsehen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 7.5 EPSS: 0.01% Publiziert: Referenz: NVD -
Brocade Fabric OS – Privilege Escalation via seccertmgmt/seccryptocfg
CVE-2025-9711 HochIn Brocade Fabric OS vor Version 9.2.1c3 können lokale authentifizierte Benutzer über die Export-Option der Befehle seccertmgmt und seccryptocfg ihre Rechte auf „root” ausweiten. CVSS-Basiswert: 7.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 7.8 EPSS: 0.01% Publiziert: Referenz: NVD -
Azure Spring Apps: Rechteausweitung durch fehlerhafte Authentifizierung
CVE-2026-50338 HochEine fehlerhafte Authentifizierung in Azure Spring Apps erlaubt einem berechtigten Angreifer, über das Netzwerk seine Rechte auszuweiten. CVSS-Basiswert: 8.2 (Hoch). Empfohlene Massnahme: die vom Hersteller bereitgestellten Updates einspielen.
CVSS: 8.2 Publiziert: Referenz: NVD -
Spring (Broadcom/Tanzu): Schwachstelle CVE-2026-41862
CVE-2026-41862 MittelDas Spring Security Advisory (Broadcom/Tanzu) weist für diese Kennung eine Schwachstelle in Spring-Produkten aus. Eine detaillierte technische Beschreibung sowie ein CVSS-Basiswert liegen in den Quelldaten nicht vor. Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: das Spring Security Advisory prüfen und verfügbare Updates einspielen.
EPSS: 0.42% Referenz: Spring -
Spring: Hersteller-Advisory zu CVE-2026-40999
CVE-2026-40999 MittelSpring (Broadcom/Tanzu) führt CVE-2026-40999 in seinen Security-Advisories. Eine technische Beschreibung der Schwachstelle liegt in den vorliegenden Quelldaten nicht vor, ebenso ist kein CVSS-Basiswert angegeben. Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: Das Security-Advisory von Spring prüfen und verfügbare Updates einspielen.
EPSS: 0.38% Referenz: Spring (Broadcom/Tanzu) -
Spring (Broadcom/Tanzu): Schwachstelle CVE-2026-40997
CVE-2026-40997 MittelDas Spring Security Advisory (Broadcom/Tanzu) weist für diese Kennung eine Schwachstelle in Spring-Produkten aus. Eine detaillierte technische Beschreibung sowie ein CVSS-Basiswert liegen in den Quelldaten nicht vor. Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: das Spring Security Advisory prüfen und verfügbare Updates einspielen.
EPSS: 0.37% Referenz: Spring -
CVE-2026-41851 – Denial of Service über SpEL-Ausdrücke (Spring)
CVE-2026-41851 MittelAnwendungen, die von Benutzern gelieferte Spring-Expression-Language-Ausdrücke (SpEL) auswerten, können anfällig für einen Denial of Service sein, wenn die Auswertung eines SpEL-Ausdrucks eine unbegrenzte Berechnung auslöst. CVSS-Basiswert: 5.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: auf eine korrigierte Spring-Version aktualisieren und die Auswertung nicht vertrauenswürdiger SpEL-Ausdrücke unterbinden.
CVSS: 5.3 EPSS: 0.36% Publiziert: Referenz: NVD -
CVE-2026-40998 – Spring-Sicherheitshinweis (Broadcom/Tanzu)
CVE-2026-40998 MittelDiese Schwachstelle wird in den Spring-Security-Advisories (Broadcom/Tanzu) geführt; eine nähere technische Beschreibung liegt in den Quelldaten nicht vor. Ein CVSS-Basiswert liegt in den Quelldaten nicht vor. Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: das zugehörige Spring-Advisory prüfen und betroffene Komponenten aktualisieren.
EPSS: 0.35% Referenz: Spring (Broadcom/Tanzu) -
RabbitMQ: Authentifizierungs-Schwachstelle bei loopback-beschränkten Nutzern
CVE-2026-57216 MittelRabbitMQ ist ein Messaging- und Streaming-Broker. Vor den Versionen 3.13.15, 4.0.20, 4.1.11 und 4.2.6 konnte die Authentifizierung über AMQP 0-9-1, AMQP 1.0 und das Stream-Protokoll einem loopback-beschränkten Nutzer wie guest unerwünschten Zugriff erlauben. CVSS-Basiswert: 6.8 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: auf Version 3.13.15, 4.0.20, 4.1.11 bzw. 4.2.6 oder höher aktualisieren.
CVSS: 6.8 EPSS: 0.34% Publiziert: Referenz: NVD -
Spring MVC/WebFlux: Path-Traversal bei statischen Ressourcen
CVE-2026-41843 MittelSpring-MVC- und -WebFlux-Anwendungen sind beim Auflösen statischer Ressourcen anfällig für Path-Traversal-Angriffe. Betroffen sind laut Quelle Spring Framework 7.0.0 bis 7.0.7, 6.2.0 bis 6.2.18 sowie 6.1.0 und frühere Versionen. CVSS-Basiswert: 5.9 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: Auf eine fehlerbereinigte Spring-Framework-Version aktualisieren.
CVSS: 5.9 EPSS: 0.34% Publiziert: Referenz: NVD -
Spring Data Commons – Denial of Service über @ProjectedPayload
CVE-2026-41721 MittelSpring Data Commons enthält eine Schwachstelle, die zu einem Denial-of-Service-Zustand führen kann, wenn Spring Data Web Support in Verbindung mit einer Controller-Methode mit @ProjectedPayload aktiviert ist. CVSS-Basiswert: 5.9 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.
CVSS: 5.9 EPSS: 0.33% Publiziert: Referenz: NVD -
Spring Framework (MVC/WebFlux): Information Disclosure bei statischen Ressourcen
CVE-2026-41841 MittelSpring-MVC- und -WebFlux-Anwendungen sind beim Auflösen statischer Ressourcen für Information-Disclosure-Angriffe anfällig. Betroffen sind laut Quelle Spring Framework 7.0.0 bis 7.0.7 sowie 6.2.0 bis 6.2.18. CVSS-Basiswert: 5.9 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.
CVSS: 5.9 EPSS: 0.31% Publiziert: Referenz: NVD -
RabbitMQ Management-UI – Cross-Site-Scripting über ungenügend maskierte Argumente
CVE-2026-57214 MittelIn RabbitMQ vor Version 4.2.5 rendert die Management-Oberfläche das Argument x-internal-purpose einer Queue oder eines Exchange ohne ausreichende Maskierung in ein HTML-title-Attribut, wodurch Cross-Site-Scripting (XSS) möglich wird. Zur Ausnutzung ist eine Benutzerinteraktion erforderlich. CVSS-Basiswert: 5.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: auf RabbitMQ 4.2.5 oder neuer aktualisieren.
CVSS: 5.4 EPSS: 0.30% Publiziert: Referenz: NVD -
Spring Data Commons: Denial of Service beim Parsen von Sort-Parametern
CVE-2026-41711 MittelAnwendungen, die Spring Data Commons verwenden, können durch einen StackOverflowException beim Parsen von Sort-Parametern für einen Denial-of-Service-Angriff anfällig sein. CVSS-Basiswert: 5.9 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: Auf eine von Spring bereitgestellte, korrigierte Version aktualisieren.
CVSS: 5.9 EPSS: 0.28% Publiziert: Referenz: NVD -
RabbitMQ (Windows): Path-Traversal im Management-Plugin
CVE-2026-57211 MittelRabbitMQ ist ein Messaging- und Streaming-Broker. Vor den Versionen 4.1.11 und 4.2.6 kann unter Windows der Static-File-Handler rabbit_mgmt_wm_static des RabbitMQ-Management-Plugins URL-kodierte Backslashes weitergeben, was einen Path-Traversal-Angriff ermöglicht. CVSS-Basiswert: 6.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: Auf RabbitMQ 4.1.11 bzw. 4.2.6 aktualisieren.
CVSS: 6.5 EPSS: 0.28% Publiziert: Referenz: NVD -
RabbitMQ: Umgehung der Topic-Autorisierung bei Metadaten-Ausfällen
CVE-2026-57217 MittelRabbitMQ ist ein Messaging- und Streaming-Broker. In Versionen vor 3.13.15, 4.0.21, 4.1.11 und 4.2.6 kann die Topic-Autorisierung während Ausfällen des Metadaten-Speichers eingeschränkte Topic-Schreib- und Bind-Vorgänge zulassen. CVSS-Basiswert: 6.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: Auf RabbitMQ 3.13.15, 4.0.21, 4.1.11 bzw. 4.2.6 oder neuer aktualisieren.
CVSS: 6.5 EPSS: 0.27% Publiziert: Referenz: NVD -
RabbitMQ: Nachrichtenempfang nach Ablauf des OAuth-Tokens
CVE-2026-57218 MittelRabbitMQ ist ein Messaging- und Streaming-Broker. In Versionen vor 4.2.6 erlaubt AMQP 0-9-1, dass ein bestehender Consumer auch nach Ablauf des OAuth-Tokens oder nach einem connection.update_secret-Refresh weiterhin Nachrichten empfängt. CVSS-Basiswert: 6.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: Update auf RabbitMQ 4.2.6 oder neuer.
CVSS: 6.5 EPSS: 0.27% Publiziert: Referenz: NVD -
RabbitMQ: Fehlende Autorisierungsprüfung bei passiven Declare-Operationen
CVE-2026-57221 MittelRabbitMQ ist ein Messaging- und Streaming-Broker. Vor den Versionen 3.13.15, 4.0.20, 4.1.11, 4.2.6 führt RabbitMQ bei passiven AMQP-0-9-1-Operationen queue.declare und exchange.declare keine Autorisierungsprüfungen durch. Als betroffen ausgewiesen sind Broadcom/Symantec, Spring (Broadcom/Tanzu), VMware (Broadcom VMSA) und RabbitMQ/Kafka. CVSS-Basiswert: 5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: auf eine korrigierte Version aktualisieren.
CVSS: 5.0 EPSS: 0.27% Publiziert: Referenz: NVD -
Spring Data MongoDB – Unzureichende Validierung bei Regex-Parameterbindung
CVE-2026-41696 MittelSpring-Data-MongoDB-Repository-Query-Methoden mit @Query-Annotation und Regex-Parameterbindung führen eine unzureichende Validierung des gebundenen Parameters durch. Ein Angreifer kann einen präparierten String übergeben. CVSS-Basiswert: 5.9 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.
CVSS: 5.9 EPSS: 0.26% Publiziert: Referenz: NVD -
Spring WebFlux: Denial of Service bei Verarbeitung von Multipart-Anfragen
CVE-2026-41840 MittelSpring-WebFlux-Anwendungen sind bei der Verarbeitung von Multipart-Anfragen anfällig für Denial-of-Service-Angriffe. Betroffen sind laut Quelle u. a. Spring Framework 7.0.0 bis 7.0.7, 6.2.0 bis 6.2.18 sowie 6.1.0 (weitere Versionen in der Quelle). CVSS-Basiswert: 5.9 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.
CVSS: 5.9 EPSS: 0.25% Publiziert: Referenz: NVD -
Spring Kafka Retry-Topic Header Validation
CVE-2026-41727 MittelDie Retry-Topic-Infrastruktur von Spring Kafka validierte benutzerkontrollierte Header-Werte nicht ausreichend, bevor sie darauf reagierte. Ein Producer konnte einen Datensatz mit einem manipulierten retry_topic-attempts-Header senden. CVSS-Basiswert: 6.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.
CVSS: 6.5 EPSS: 0.24% Publiziert: Referenz: NVD -
RabbitMQ – Cross-Site-Scripting im Federation-Management-Plugin
CVE-2026-57213 MittelIn RabbitMQ vor 3.13.14, 4.0.19, 4.1.10 und 4.2.5 rendert das Plugin rabbitmq_federation_management das Feld consumer_tag auf der Federation-Status-Seite ohne ausreichende Neutralisierung, wodurch Cross-Site-Scripting möglich wird. CVSS-Basiswert: 4.8 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: Update auf eine bereinigte RabbitMQ-Version einspielen.
CVSS: 4.8 EPSS: 0.24% Publiziert: Referenz: NVD -
Spring (Broadcom/Tanzu): Sicherheitshinweis zu CVE-2026-40994
CVE-2026-40994 MittelFür Spring (Broadcom/Tanzu) ist die Schwachstelle CVE-2026-40994 ausgewiesen. Nähere technische Details liegen in den Quelldaten nicht vor. Ein CVSS-Basiswert ist nicht angegeben. Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: den Sicherheitshinweis von Spring beachten und verfügbare Updates einspielen.
EPSS: 0.23% Referenz: Spring (Broadcom/Tanzu) -
Spring (Broadcom/Tanzu): Schwachstelle CVE-2026-40985
CVE-2026-40985 MittelDas Spring Security Advisory (Broadcom/Tanzu) weist für diese Kennung eine Schwachstelle in Spring-Produkten aus. Eine detaillierte technische Beschreibung sowie ein CVSS-Basiswert liegen in den Quelldaten nicht vor. Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: das Spring Security Advisory prüfen und verfügbare Updates einspielen.
EPSS: 0.22% Referenz: Spring -
CVE-2026-40991 – Spring (Broadcom/Tanzu) Sicherheitslücke
CVE-2026-40991 MittelFür das Spring-Framework (Broadcom/Tanzu) wurde die Schwachstelle CVE-2026-40991 gemeldet. Nähere technische Details liegen in den Quelldaten nicht vor. Ein CVSS-Basiswert ist nicht angegeben. Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: das Spring-Security-Advisory prüfen und verfügbare Updates einspielen.
EPSS: 0.22% Referenz: Spring (Broadcom/Tanzu) -
CVE-2026-41000 – Spring (Broadcom/Tanzu) Sicherheitslücke
CVE-2026-41000 MittelFür das Spring-Framework (Broadcom/Tanzu) wurde die Schwachstelle CVE-2026-41000 gemeldet. Nähere technische Details liegen in den Quelldaten nicht vor. Ein CVSS-Basiswert ist nicht angegeben. Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: das Spring-Security-Advisory prüfen und verfügbare Updates einspielen.
EPSS: 0.22% Referenz: Spring (Broadcom/Tanzu) -
Spring Security: Schwachstelle in CookieRequestCache/CookieServerRequestCache
CVE-2026-41706 MittelSpring Securitys CookieRequestCache und CookieServerRequestCache speichern die Pre-Authentication-Request-URL in einem Browser-Cookie, damit Nutzer nach der Anmeldung an ihr ursprüngliches Ziel zurückgeleitet werden können. CVSS-Basiswert: 6.1 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: Auf eine von Spring bereitgestellte, korrigierte Version aktualisieren.
CVSS: 6.1 EPSS: 0.21% Publiziert: Referenz: NVD -
Spring: Hersteller-Advisory zu CVE-2026-40987
CVE-2026-40987 MittelSpring (Broadcom/Tanzu) führt CVE-2026-40987 in seinen Security-Advisories. Eine technische Beschreibung der Schwachstelle liegt in den vorliegenden Quelldaten nicht vor, ebenso ist kein CVSS-Basiswert angegeben. Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: Das Security-Advisory von Spring prüfen und verfügbare Updates einspielen.
EPSS: 0.21% Referenz: Spring (Broadcom/Tanzu) -
CVE-2026-40986 – Spring-Sicherheitshinweis (Broadcom/Tanzu)
CVE-2026-40986 MittelDiese Schwachstelle wird in den Spring-Security-Advisories (Broadcom/Tanzu) geführt; eine nähere technische Beschreibung liegt in den Quelldaten nicht vor. Ein CVSS-Basiswert liegt in den Quelldaten nicht vor. Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: das zugehörige Spring-Advisory prüfen und betroffene Komponenten aktualisieren.
EPSS: 0.20% Referenz: Spring (Broadcom/Tanzu) -
Spring Data REST – Offenlegung interner Details über Fehlermeldungen
CVE-2026-41730 MittelSpring Data REST serialisiert die vollständige Exception-Cause-Chain in die HTTP-Fehlerantworten und kann dadurch Interna der Persistenzschicht gegenüber HTTP-Clients offenlegen. CVSS-Basiswert: 5.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.
CVSS: 5.3 EPSS: 0.20% Publiziert: Referenz: NVD -
Spring WebFlux: Rechteausweitung durch Session-ID-Austausch bei kompromittierter Subdomain
CVE-2026-41839 MittelEine Spring-WebFlux-Anwendung mit einer kompromittierten Subdomain – etwa durch Cross-Site-Scripting (XSS) – ist anfällig für einen Eskalationsangriff, bei dem eine bekannte Session-ID gegen die eines authentifizierten Nutzers ausgetauscht wird. CVSS-Basiswert: 4.2 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Eine aktive Ausnutzung über CISA KEV oder ein Ransomware-Bezug ist nicht bekannt. Empfohlene Massnahme: verfügbare Hersteller-Updates einspielen.
CVSS: 4.2 EPSS: 0.20% Publiziert: Referenz: NVD -
Spring Data REST – Querydsl akzeptiert beliebige Property-Pfade als Filter
CVE-2026-41837 MittelDie Querydsl-Integration von Spring Data REST akzeptiert beliebige persistente Property-Pfade als Filter-Schlüssel in Request-Parametern und berücksichtigt Jackson-Anpassungen nicht, bevor diese an Querydsl übergeben werden. CVSS-Basiswert: 5.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: Update auf eine bereinigte Spring-Data-REST-Version einspielen.
CVSS: 5.3 EPSS: 0.19% Publiziert: Referenz: NVD -
Multipart Request Smuggling in Spring MVC und WebFlux
CVE-2026-41853 MittelSpring-MVC- und Spring-WebFlux-Anwendungen sind anfällig für Multipart-Request-Smuggling-Angriffe. Betroffen sind laut Quelle Spring Framework 7.0.0 bis 7.0.7, 6.2.0 bis 6.2.18, 6.1.0 bis 6.1.27 sowie 5.3.0 und neuere Versionen der 5.3er-Reihe. CVSS-Basiswert: 5.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: auf eine fehlerbereinigte Spring-Framework-Version aktualisieren.
CVSS: 5.3 EPSS: 0.19% Publiziert: Referenz: NVD
Diesem Produkt-Feed folgen
Eigener RSS-Feed nur für Spring (Broadcom/Tanzu), kostenlos und ohne Anmeldung. Zustellung per E-Mail, Webhook, REST oder TAXII richten wir auf Anfrage ein.
RSS-Feed öffnen Zustellung anfragenWie folge ich dem Feed?
- 1 RSS-Feed-Link kopieren oder direkt im RSS-Reader öffnen.
- 2 Priorisierte Reports (KEV · EPSS · CVSS) landen automatisch in Ihrem Reader.
- 3 Zustellung per E-Mail, Webhook, REST oder TAXII auf Anfrage einrichten lassen.