1.5 Aktiv ausgenutzte Lücken
Server-Software, Middleware, Web

Spring (Broadcom/Tanzu) Seite 3

Server-Software, Middleware, Web
120
Reports
9
Aktiv ausgenutzt
Kritisch
Höchste Priorität
99.9%
Max. EPSS

Schwachstellen-Reports

120 Reports

Zeige 101 bis 120 von 120

  1. Spring Security Authorization Server: Unzureichende Validierung von request_uri

    CVE-2026-41008 Mittel

    Der Autorisierungsendpunkt des Spring Security Authorization Server validiert den Parameter request_uri unzureichend. Ein Angreifer kann eine bösartige Autorisierungsanfrage mit einem ungültigen request_uri erstellen. CVSS-Basiswert: 6.1 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.

    CVSS: 6.1 EPSS: 0.17% Publiziert: Referenz: NVD
  2. CVE-2026-41838 – Vorhersagbare WebSocket-Session-IDs (Spring)

    CVE-2026-41838 Mittel

    Die IDs für WebSocket-Sitzungen im spring-websocket-Modul sind nicht kryptografisch unvorhersagbar. In Kombination mit unzureichenden Autorisierungsregeln lässt sich dies möglicherweise ausnutzen. CVSS-Basiswert: 4.8 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: auf eine korrigierte Spring-Version aktualisieren und die Autorisierungsregeln überprüfen.

    CVSS: 4.8 EPSS: 0.17% Publiziert: Referenz: NVD
  3. Security-Bypass in Spring WebFlux bei Kotlin Router DSL

    CVE-2026-41847 Mittel

    Spring-WebFlux-Anwendungen können bei Verwendung der Kotlin Router DSL für eine Umgehung von Sicherheitsprüfungen anfällig sein. Betroffen sind laut Quelle Spring Framework 5.3.0 bis 5.3.48. CVSS-Basiswert: 4.8 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: auf eine fehlerbereinigte Spring-Framework-Version aktualisieren.

    CVSS: 4.8 EPSS: 0.17% Publiziert: Referenz: NVD
  4. CVE-2026-40995 – Spring Sicherheitslücke

    CVE-2026-40995 Mittel

    Für Spring (Broadcom/Tanzu) wurde die Sicherheitslücke CVE-2026-40995 gemeldet (Spring Security Advisories). Nähere technische Details liegen in den Quelldaten nicht vor. Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    EPSS: 0.15% Referenz: Spring
  5. Spring MVC: HTML/JavaScript-Injection über CSS-Attribute in JSP-Form-Tags

    CVE-2026-41846 Mittel

    Spring-MVC-Anwendungen, die benutzerdefinierte Werte in den Attributen cssClass, cssErrorClass oder cssStyle von JSP-Form-Tags akzeptieren, erlauben die Injektion beliebigen HTML- bzw. JavaScript-Codes. CVSS-Basiswert: 5.9 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 5.9 EPSS: 0.14% Publiziert: Referenz: NVD
  6. Spring (Broadcom/Tanzu): Schwachstelle CVE-2026-47825

    CVE-2026-47825 Mittel

    Das Spring Security Advisory (Broadcom/Tanzu) weist für diese Kennung eine Schwachstelle in Spring-Produkten aus. Eine detaillierte technische Beschreibung sowie ein CVSS-Basiswert liegen in den Quelldaten nicht vor. Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: das Spring Security Advisory prüfen und verfügbare Updates einspielen.

    EPSS: 0.14% Referenz: Spring
  7. Spring MVC/WebFlux: Open Redirect bei Wildcard-Mapping

    CVE-2026-41844 Mittel

    Eine Spring-MVC- oder Spring-WebFlux-Anwendung, die ein Mapping für „/**" ohne explizit angegebenen View-Namen konfiguriert, erlaubt es einem Angreifer, einen Link zu erstellen, der in einer 302-Weiterleitung auf eine beliebige Zieladresse resultiert. CVSS-Basiswert: 4.2 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 4.2 EPSS: 0.13% Publiziert: Referenz: NVD
  8. CVE-2026-40996 – Spring (Broadcom/Tanzu) Sicherheitshinweis

    CVE-2026-40996 Mittel

    Zu CVE-2026-40996 liegt ein Eintrag im Sicherheitsportal von Spring (Broadcom/Tanzu) vor. Zur Art und technischen Ausprägung der Schwachstelle enthalten die Quelldaten keine Beschreibung. Ein CVSS-Basiswert liegt in den Quelldaten nicht vor. Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: die Spring-Sicherheitshinweise prüfen und bereitgestellte Aktualisierungen einspielen.

    EPSS: 0.13% Referenz: Spring (Broadcom/Tanzu)
  9. Spring Framework: SSRF über UriComponentsBuilder (fehlerhaftes Host-Parsing)

    CVE-2026-41854 Mittel

    Aufgrund eines fehlerhaften Host-Parsings können Anwendungen, die den UriComponentsBuilder zum Parsen und Validieren einer extern bereitgestellten URL nutzen, für Server-Side Request Forgery (SSRF) anfällig sein. CVSS-Basiswert: 4.2 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: Betroffenes Spring-Framework gemäss Broadcom/Tanzu-Advisory aktualisieren.

    CVSS: 4.2 EPSS: 0.12% Publiziert: Referenz: NVD
  10. CVE-2026-40992 – Sicherheitslücke im Spring-Framework

    CVE-2026-40992 Mittel

    Für Spring (Broadcom/Tanzu) wurde die Schwachstelle CVE-2026-40992 gemeldet. Nähere technische Details liegen in den übergebenen Quelldaten nicht vor. Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: den Sicherheitshinweis des Herstellers prüfen und bereitgestellte Updates einspielen.

    EPSS: 0.12% Referenz: Spring (Broadcom/Tanzu)
  11. Spring Security: Falsche Benutzernamen-Extraktion aus X.509-Zertifikaten

    CVE-2026-47838 Mittel

    SubjectDnX509PrincipalExtractor verarbeitet bestimmte fehlerhafte CN-Werte in X.509-Zertifikaten nicht korrekt, was zum Auslesen des falschen Werts für den Benutzernamen führen kann. Mit einem sorgfältig präparierten Zertifikat lässt sich dies ausnutzen. CVSS-Basiswert: 6.8 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 6.8 EPSS: 0.12% Publiziert: Referenz: NVD
  12. CVE-2026-41001 – Sicherheitslücke im Spring-Framework

    CVE-2026-41001 Mittel

    Für Spring (Broadcom/Tanzu) wurde die Schwachstelle CVE-2026-41001 gemeldet. Nähere technische Details liegen in den übergebenen Quelldaten nicht vor. Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: den Sicherheitshinweis des Herstellers prüfen und bereitgestellte Updates einspielen.

    EPSS: 0.09% Referenz: Spring (Broadcom/Tanzu)
  13. Spring Cloud Function – OOM-Fehler durch unendliche Rekursion im Routing

    CVE-2026-40989 Mittel

    In Spring Cloud Function kann eine unendliche Rekursion im Routing-Layer bei der Anfrageverarbeitung zu einem Out-of-Memory-Fehler führen. Betroffen sind Versionen von Spring Cloud Function 3.2.x vor 3.2.16. CVSS-Basiswert: 5.7 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 5.7 EPSS: 0.07% Publiziert: Referenz: NVD
  14. Spring Cloud Function – OOM-Fehler durch unbegrenzte Funktionsregistrierung

    CVE-2026-40990 Mittel

    In Spring Cloud Function kann das Hinzufügen einer unbegrenzten Anzahl von Funktionen zur Function Registry zu einem Out-of-Memory-Fehler führen. Betroffen sind Versionen von Spring Cloud Function 3.2.x vor 3.2.16. CVSS-Basiswert: 5.7 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 5.7 EPSS: 0.07% Publiziert: Referenz: NVD
  15. Spring AI – Path-Traversal über unsanitisierte Dateinamen bei Anthropic Skills API

    CVE-2026-41863 Mittel

    Die Spring AI-Unterstützung für Anthropics Skills API verwendete LLM-beeinflusste Dateinamen ohne Bereinigung in Path.resolve beim Schreiben von Dateien auf die Festplatte. Dies konnte einem Angreifer ermöglichen, Dateien ausserhalb des vorgesehenen Verzeichnisses zu schreiben. CVSS-Basiswert: 6.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 6.5 EPSS: 0.05% Publiziert: Referenz: NVD
  16. RabbitMQ: Schwachstelle im Messaging- und Streaming-Broker

    CVE-2026-44839 Mittel

    RabbitMQ ist ein Messaging- und Streaming-Broker; eine Schwachstelle betrifft die Versionen von 3.7.0 bis vor 4.1.2 und 4.0.13. Laut Quelle ist der Fehler in den Versionen 4.1.2 und 4.0.13 behoben. CVSS-Basiswert: 4.8 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: auf RabbitMQ 4.1.2 bzw. 4.0.13 oder neuer aktualisieren.

    CVSS: 4.8 EPSS: 0.03% Publiziert: Referenz: NVD
  17. CVE-2026-41004 – Spring (Broadcom/Tanzu)

    CVE-2026-41004 Mittel

    Für diese Schwachstelle in Spring (Broadcom/Tanzu) liegen derzeit keine näheren technischen Quellangaben vor. Der Schweregrad wird als Mittel eingestuft. Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Eine aktive Ausnutzung über CISA KEV oder ein Einsatz in Ransomware-Kampagnen ist nicht belegt. Betroffene Produkte und weitere Details sollten anhand der Herstellerinformationen geprüft werden.

    EPSS: 0.01% Referenz: Spring (Broadcom/Tanzu)
  18. Spring Framework: Regular-Expression-Denial-of-Service (ReDoS)

    CVE-2026-41848 Niedrig

    Anwendungen können für einen Regular-Expression-Denial-of-Service (ReDoS) anfällig sein, wenn ein Angreifer ein Muster bereitstellen kann, das direkt oder indirekt an eine der betroffenen Methoden übergeben wird. CVSS-Basiswert: 3.7 (Niedrig). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.

    CVSS: 3.7 EPSS: 0.32% Publiziert: Referenz: NVD
  19. Spring Expression Language (SpEL): Ungewollter Methodenaufruf

    CVE-2026-41852 Niedrig

    Eine Schwachstelle in der Auswertungslogik der Spring Expression Language (SpEL) erlaubt den Aufruf beliebiger argumentloser Methoden, selbst in eingeschränkten oder schreibgeschützten Kontexten. CVSS-Basiswert: 3.7 (Niedrig). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.

    CVSS: 3.7 EPSS: 0.16% Publiziert: Referenz: NVD
  20. Spring Security SAML: Entschlüsselung ohne gültige Signatur

    CVE-2026-41694 Niedrig

    Spring Security SAML entschlüsselt SAML-Responses sowie Elemente von SAML-LogoutRequests und LogoutResponses, ohne eine gültige Signatur zu verlangen. Dadurch könnten Angreifer entsprechende SAML-Payloads präparieren. CVSS-Basiswert: 3.7 (Niedrig). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: auf eine fehlerbereinigte Version aktualisieren.

    CVSS: 3.7 EPSS: 0.14% Publiziert: Referenz: NVD

Diesem Produkt-Feed folgen

Eigener RSS-Feed nur für Spring (Broadcom/Tanzu), kostenlos und ohne Anmeldung. Zustellung per E-Mail, Webhook, REST oder TAXII richten wir auf Anfrage ein.

RSS-Feed öffnen Zustellung anfragen

Wie folge ich dem Feed?

  • 1 RSS-Feed-Link kopieren oder direkt im RSS-Reader öffnen.
  • 2 Priorisierte Reports (KEV · EPSS · CVSS) landen automatisch in Ihrem Reader.
  • 3 Zustellung per E-Mail, Webhook, REST oder TAXII auf Anfrage einrichten lassen.
Zurück zum Katalog