1.2 Aktiv ausgenutzte Lücken
Virtualisierung, Hypervisor, Cloud-Infra

VMware (Broadcom VMSA)

Virtualisierung, Hypervisor, Cloud-Infra

VMware (Broadcom VMSA) gehört zur Kategorie „Virtualisierung, Hypervisor, Cloud-Infra". xonatec überwacht VMware (Broadcom VMSA) kontinuierlich auf neue Sicherheitslücken, priorisiert jede Meldung nach aktiver Ausnutzung (KEV), Ausnutzungswahrscheinlichkeit (EPSS) und Schweregrad (CVSS) Im zugeschnittenen Bericht erhalten Sie ausschliesslich die Meldungen, die dieses Produkt betreffen.

129
Reports
33
Aktiv ausgenutzt
Kritisch
Höchste Priorität
99.9%
Max. EPSS

Schwachstellen-Reports

129 Reports

Zeige 1 bis 50 von 129

  1. Broadcom VMware Aria Operations – Command Injection

    CVE-2026-22719 Hoch Aktiv ausgenutzt

    VMware Aria Operations enthält eine Command-Injection-Schwachstelle. Ein nicht authentifizierter Angreifer kann diese ausnutzen, um beliebige Befehle auszuführen, was zur Remote-Code-Ausführung führen kann. CVSS-Basiswert: 8.1 (Hoch). Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 1.9 %.

    CVSS: 8.1 EPSS: 1.90% Publiziert: Referenz: CISA KEV
  2. VMware Tanzu Spring Cloud Function – Remote Code Execution

    CVE-2022-22963 Aktiv ausgenutzt

    In VMware Tanzu Spring Cloud Function wurde eine Schwachstelle zur Remote Code Execution festgestellt, die es Angreifern ermöglicht, beliebigen Code aus der Ferne auszuführen. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 99.9 %.

    EPSS: 99.94% Publiziert: Referenz: CISA KEV
  3. Spring Framework JDK 9+ Remote Code Execution (Spring4Shell)

    CVE-2022-22965 Aktiv ausgenutzt

    Eine Schwachstelle im Spring Framework ermöglicht auf JDK-9+-Umgebungen entfernte Codeausführung. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 99.7 %.

    EPSS: 99.68% Publiziert: Referenz: CISA KEV
  4. VMware Spring Cloud Gateway Code Injection

    CVE-2022-22947 Aktiv ausgenutzt

    In VMware Spring Cloud Gateway wurde eine Code-Injection-Schwachstelle identifiziert. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 94.5 %.

    EPSS: 94.46% Publiziert: Referenz: CISA KEV
  5. VMware vCenter Server File Upload-Schwachstelle

    CVE-2021-22005 Aktiv ausgenutzt Ransomware

    In VMware vCenter Server wurde eine Schwachstelle beim Datei-Upload gemeldet, die eine unbefugte Codeausführung ermöglichen kann. Wird laut CISA KEV aktiv ausgenutzt; Aufnahme in den KEV-Katalog am 2021-11-03. Bekannter Einsatz in Ransomware-Kampagnen. Ausnutzungswahrscheinlichkeit (EPSS): 94.4 %.

    EPSS: 94.45% Publiziert: Referenz: CISA KEV
  6. VMware Workspace ONE Access Server-Side Template Injection

    CVE-2022-22954 Aktiv ausgenutzt Ransomware

    In VMware Workspace ONE Access und Identity Manager wurde eine Server-Side Template Injection-Schwachstelle gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Bekannter Einsatz in Ransomware-Kampagnen. Ausnutzungswahrscheinlichkeit (EPSS): 94.4 %.

    EPSS: 94.44% Publiziert: Referenz: CISA KEV
  7. VMware vRealize Operations Manager API SSRF

    CVE-2021-21975 Aktiv ausgenutzt Ransomware

    In der VMware vRealize Operations Manager API wurde eine Server Side Request Forgery (SSRF)-Schwachstelle gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Bekannter Einsatz in Ransomware-Kampagnen. Ausnutzungswahrscheinlichkeit (EPSS): 94.4 %.

    EPSS: 94.42% Publiziert: Referenz: CISA KEV
  8. VMware vCenter Server Improper Input Validation

    CVE-2021-21985 Aktiv ausgenutzt Ransomware

    In VMware vCenter Server wurde eine Schwachstelle durch fehlerhafte Eingabevalidierung gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Bekannter Einsatz in Ransomware-Kampagnen. Ausnutzungswahrscheinlichkeit (EPSS): 94.4 %.

    EPSS: 94.41% Publiziert: Referenz: CISA KEV
  9. VMware vCenter Server – Information Disclosure

    CVE-2020-3952 Aktiv ausgenutzt

    In VMware vCenter Server wurde eine Schwachstelle zur unberechtigten Informationsoffenlegung gemeldet. Wird laut CISA KEV aktiv ausgenutzt; Aufnahme in den KEV-Katalog am 2021-11-03. Ein CVSS-Basiswert liegt in den Quelldaten nicht vor. Ausnutzungswahrscheinlichkeit (EPSS): 94.4 % – ein sehr hoher Wert, der auf breit verfügbare Exploits hindeutet. Betroffen ist der überwachte Produktbereich VMware (Broadcom VMSA).

    EPSS: 94.37% Publiziert: Referenz: CISA KEV
  10. VMware Tanzu Spring Cloud Config – Directory Traversal

    CVE-2020-5410 Aktiv ausgenutzt

    In VMware Tanzu Spring Cloud Config wurde eine Directory-Traversal-Schwachstelle gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 94.3 %.

    EPSS: 94.35% Publiziert: Referenz: CISA KEV
  11. VMware Tanzu Spring Data Commons – Property Binder Vulnerability

    CVE-2018-1273 Aktiv ausgenutzt Ransomware

    In VMware Tanzu Spring Data Commons wurde eine Schwachstelle im Property Binder gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Bekannter Einsatz in Ransomware-Kampagnen. Ausnutzungswahrscheinlichkeit (EPSS): 94.3 %.

    EPSS: 94.28% Publiziert: Referenz: CISA KEV
  12. VMware Aria Operations for Networks – Command Injection

    CVE-2023-20887 Aktiv ausgenutzt

    In VMware Aria Operations for Networks wurde eine Command-Injection-Schwachstelle gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 94.3 %.

    EPSS: 94.26% Publiziert: Referenz: CISA KEV
  13. VMware SD-WAN Edge (VeloCloud) – Command Injection

    CVE-2018-6961 Aktiv ausgenutzt

    In VMware SD-WAN Edge by VeloCloud wurde eine Command-Injection-Schwachstelle gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 93.9 %.

    EPSS: 93.88% Publiziert: Referenz: CISA KEV
  14. VMware vCenter Server Remote Code Execution

    CVE-2021-21972 Aktiv ausgenutzt Ransomware

    In VMware vCenter Server wurde eine Schwachstelle zur Remote Code Execution identifiziert. Wird laut CISA KEV aktiv ausgenutzt. Bekannter Einsatz in Ransomware-Kampagnen. Ausnutzungswahrscheinlichkeit (EPSS): 93.8 %.

    EPSS: 93.82% Publiziert: Referenz: CISA KEV
  15. VMware vCenter Server – Out-of-Bounds Write

    CVE-2023-34048 Aktiv ausgenutzt

    In VMware vCenter Server wurde eine Out-of-Bounds-Write-Schwachstelle entdeckt. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 93.2 %.

    EPSS: 93.21% Publiziert: Referenz: CISA KEV
  16. VMware ESXi / Horizon DaaS OpenSLP – Heap-Based Buffer Overflow

    CVE-2019-5544 Aktiv ausgenutzt Ransomware

    In der OpenSLP-Komponente von VMware ESXi und Horizon DaaS besteht ein Heap-basierter Pufferüberlauf. Ein CVSS-Basiswert liegt in den Quelldaten nicht vor. Wird laut CISA KEV aktiv ausgenutzt; Aufnahme in den KEV-Katalog am 2021-11-03. Bekannter Einsatz in Ransomware-Kampagnen. Ausnutzungswahrscheinlichkeit (EPSS): 92.1 %.

    EPSS: 92.13% Publiziert: Referenz: CISA KEV
  17. VMware vCenter Server und Cloud Foundation SSRF

    CVE-2021-21973 Aktiv ausgenutzt

    In VMware vCenter Server und Cloud Foundation wurde eine Server Side Request Forgery (SSRF)-Schwachstelle gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 90.4 %.

    EPSS: 90.39% Publiziert: Referenz: CISA KEV
  18. VMware ESXi OpenSLP – Use-After-Free

    CVE-2020-3992 Aktiv ausgenutzt Ransomware

    In VMware ESXi wurde eine Use-After-Free-Schwachstelle in OpenSLP gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Bekannter Einsatz in Ransomware-Kampagnen. Ausnutzungswahrscheinlichkeit (EPSS): 90.3 %.

    EPSS: 90.31% Publiziert: Referenz: CISA KEV
  19. Broadcom VMware vCenter Server – Out-of-Bounds Write

    CVE-2024-37079 Aktiv ausgenutzt

    Im Broadcom VMware vCenter Server wurde eine Out-of-Bounds-Write-Schwachstelle identifiziert. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 82.3 %.

    EPSS: 82.28% Publiziert: Referenz: CISA KEV
  20. VMware ESXi Authentication Bypass

    CVE-2024-37085 Aktiv ausgenutzt Ransomware

    In VMware ESXi wurde eine Schwachstelle zur Authentifizierungsumgehung gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Bekannter Einsatz in Ransomware-Kampagnen. Ausnutzungswahrscheinlichkeit (EPSS): 79.1 %.

    EPSS: 79.12% Publiziert: Referenz: CISA KEV
  21. VMware vCenter Server – Heap-Based Buffer Overflow

    CVE-2024-38812 Aktiv ausgenutzt

    In VMware vCenter Server wurde eine Heap-basierte Pufferüberlauf-Schwachstelle entdeckt. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 77.9 %.

    EPSS: 77.87% Publiziert: Referenz: CISA KEV
  22. VMware vCenter Server Improper Access Control

    CVE-2021-22017 Aktiv ausgenutzt

    In VMware vCenter Server wurde eine Schwachstelle durch fehlerhafte Zugriffskontrolle gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 74.8 %.

    EPSS: 74.83% Publiziert: Referenz: CISA KEV
  23. VMware Privilege Escalation in mehreren Produkten

    CVE-2022-22960 Aktiv ausgenutzt

    In mehreren VMware-Produkten wurde eine Schwachstelle zur Privilegienerweiterung gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 72.5 %.

    EPSS: 72.49% Publiziert: Referenz: CISA KEV
  24. VMware vCenter Server – Privilege Escalation

    CVE-2024-38813 Aktiv ausgenutzt

    In VMware vCenter Server wurde eine Schwachstelle zur Privilegienerweiterung gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 29.5 %.

    EPSS: 29.53% Publiziert: Referenz: CISA KEV
  25. VMware vCenter Server Incorrect Default File Permissions

    CVE-2022-22948 Aktiv ausgenutzt

    In VMware vCenter Server wurden fehlerhafte Standard-Dateiberechtigungen gemeldet, die eine unbefugte Informationsoffenlegung ermöglichen können. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 26.0 %.

    EPSS: 26.01% Publiziert: Referenz: CISA KEV
  26. VMware – Privilege Escalation in mehreren Produkten

    CVE-2020-3950 Aktiv ausgenutzt

    In mehreren VMware-Produkten wurde eine Schwachstelle zur Privileg-Eskalation gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 16.1 %.

    EPSS: 16.07% Publiziert: Referenz: CISA KEV
  27. VMware – Command Injection in mehreren Produkten

    CVE-2020-4006 Aktiv ausgenutzt

    In mehreren VMware-Produkten wurde eine Command-Injection-Schwachstelle gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 12.8 %.

    EPSS: 12.79% Publiziert: Referenz: CISA KEV
  28. VMware Tools Authentication Bypass

    CVE-2023-20867 Aktiv ausgenutzt

    In VMware Tools wurde eine Schwachstelle entdeckt, die eine Authentifizierungsumgehung ermöglicht. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 2.2 %.

    EPSS: 2.19% Publiziert: Referenz: CISA KEV
  29. VMware ESXi/Workstation/Fusion – Information Disclosure

    CVE-2025-22226 Aktiv ausgenutzt

    In VMware ESXi, Workstation und Fusion wurde eine Schwachstelle zur Offenlegung von Informationen gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 1.7 %.

    EPSS: 1.68% Publiziert: Referenz: CISA KEV
  30. VMware ESXi/Workstation – TOCTOU Race Condition

    CVE-2025-22224 Aktiv ausgenutzt

    In VMware ESXi und Workstation wurde eine TOCTOU-Race-Condition-Schwachstelle gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 1.5 %.

    EPSS: 1.52% Publiziert: Referenz: CISA KEV
  31. VMware ESXi – Arbitrary Write Vulnerability

    CVE-2025-22225 Aktiv ausgenutzt

    In VMware ESXi besteht eine Schwachstelle, die beliebige Schreibzugriffe ermöglicht. Wird laut CISA KEV aktiv ausgenutzt. Ein CVSS-Basiswert liegt in den Quelldaten nicht vor. Ausnutzungswahrscheinlichkeit (EPSS): 1.0 %. Neben VMware (Broadcom VMSA) führt auch Rockwell Automation die Lücke in seinen Security Advisories.

    EPSS: 0.96% Publiziert: Referenz: CISA KEV
  32. Broadcom Brocade Fabric OS – Code Injection

    CVE-2025-1976 Aktiv ausgenutzt

    Im Broadcom Brocade Fabric OS wurde eine Code-Injection-Schwachstelle identifiziert. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 0.8 %.

    EPSS: 0.78% Publiziert: Referenz: CISA KEV
  33. Broadcom VMware Aria Operations und VMware Tools – Privilege Escalation durch unsichere Aktionen

    CVE-2025-41244 Aktiv ausgenutzt

    In Broadcom VMware Aria Operations und VMware Tools wurde eine Schwachstelle durch Privilegien mit unsicheren Aktionen identifiziert. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %.

    EPSS: 0.53% Publiziert: Referenz: CISA KEV
  34. Spring Cloud Config – Auslieferung beliebiger Dateien über Config Server

    CVE-2026-40982 Kritisch

    Spring Cloud Config erlaubt es einem Angreifer, über speziell präparierte Anfragen an den spring-cloud-config-server beliebige Text- und Binärdateien auszuliefern. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 9.1 EPSS: 0.14% Publiziert: Referenz: NVD
  35. Spring AI – SpEL-Injection in SimpleVectorStore

    CVE-2026-22738 Kritisch

    In Spring AI besteht eine SpEL-Injection-Schwachstelle in SimpleVectorStore, wenn ein benutzerseitig gelieferter Wert als Schlüssel in einem Filterausdruck verwendet wird. Ein Angreifer könnte dies ausnutzen, um beliebigen Code auszuführen. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 9.8 EPSS: 0.05% Publiziert: Referenz: NVD
  36. Spring Security – HTTP-Response-Header werden nicht geschrieben

    CVE-2026-22732 Kritisch

    In Spring Security kann es bei Servlet-Anwendungen vorkommen, dass konfigurierte HTTP-Antwort-Header nicht korrekt geschrieben werden. Dies kann Sicherheitsmechanismen, die auf diesen Headern basieren, unwirksam machen. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 9.1 EPSS: 0.03% Publiziert: Referenz: NVD
  37. Spring Boot – Unwirksame Standard-Web-Sicherheit ermöglicht unautorisierten Zugriff

    CVE-2026-40976 Kritisch

    Unter bestimmten Umständen ist die Standard-Web-Sicherheit von Spring Boot unwirksam und ermöglicht unautorisierten Zugriff auf alle Endpunkte. Betroffen sind servlet-basierte Webanwendungen mit spezifischer Konfiguration. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 9.1 EPSS: 0.02% Publiziert: Referenz: NVD
  38. VMware ESXi OpenSLP Heap Overflow

    CVE-2021-21974 Hoch

    In VMware ESXi (Versionen 7.0, 6.7 und 6.5) wurde eine Heap-Overflow-Schwachstelle in OpenSLP identifiziert. Ein Angreifer im selben Netzwerksegment kann diese ausnutzen. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 55.7 %.

    CVSS: 8.8 EPSS: 55.70% Publiziert: Referenz: NVD
  39. Spring for Apache Kafka: unsichere Präfix-Prüfung vertrauenswürdiger Pakete im Kafka-Header-Mapper

    CVE-2026-41731 Hoch

    Der JsonKafkaHeaderMapper sowie der veraltete DefaultKafkaHeaderMapper glichen Typ-Header über eine reine Präfix-Prüfung gegen die Liste vertrauenswürdiger Pakete ab. Dadurch wurden mit einem als vertrauenswürdig eingestuften Paket implizit auch alle dessen Unterpakete als vertrauenswürdig behandelt. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: Auf die vom Hersteller bereitgestellte, korrigierte Version aktualisieren.

    CVSS: 8.1 EPSS: 0.49% Publiziert: Referenz: NVD
  40. Spring for GraphQL – Unsichere Deserialisierung bei paginierten Abfragen

    CVE-2026-41699 Hoch

    Spring-for-GraphQL-Anwendungen sind bei der Verarbeitung paginierter GraphQL-Abfragen anfällig für unsichere Deserialisierung. Ein Angreifer kann eine bösartige GraphQL-Anfrage erstellen, die zu Remote Code Execution führen kann. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: Sicherheitsupdate gemäss Spring-Advisory einspielen.

    CVSS: 8.1 EPSS: 0.43% Publiziert: Referenz: NVD
  41. RabbitMQ: Fehlende Frame-Size-Begrenzung im Stream-Listener

    CVE-2026-57220 Hoch

    RabbitMQ ist ein Messaging- und Streaming-Broker. Vor Version 4.2.6 erzwingt der RabbitMQ-Stream-Listener die konfigurierte Frame-Size-Begrenzung beim Zusammenbau von Frames während der Authentifizierung nicht. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: Update auf Version 4.2.6.

    CVSS: 7.5 EPSS: 0.43% Publiziert: Referenz: NVD
  42. Spring Framework: DoS beim Auflösen statischer Ressourcen (MVC/WebFlux)

    CVE-2026-41842 Hoch

    Spring-MVC- und WebFlux-Anwendungen sind beim Auflösen statischer Ressourcen anfällig für Denial-of-Service-Angriffe. Betroffen sind unter anderem Spring Framework 7.0.0 bis 7.0.7 sowie 6.2.0 bis 6.2.18. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: Auf eine fehlerbereinigte Spring-Framework-Version aktualisieren.

    CVSS: 7.5 EPSS: 0.40% Publiziert: Referenz: NVD
  43. VMware Cloud Foundation Operations – Mehrere gespeicherte XSS-Schwachstellen

    CVE-2026-41723 Hoch

    VMware Cloud Foundation Operations enthält mehrere gespeicherte Cross-Site-Scripting-Schwachstellen. Ein böswilliger Akteur mit Rechten zum Erstellen von Policies, Views oder Text-Widgets kann Skripte einschleusen. CVSS-Basiswert: 8.0 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: die von VMware (Broadcom) bereitgestellten Sicherheitsupdates einspielen.

    CVSS: 8.0 EPSS: 0.40% Publiziert: Referenz: NVD
  44. Spring Data REST – SpEL-Ausdrucksinjektion über JSON-Patch-Anfragen

    CVE-2026-41729 Hoch

    Spring Data REST ist über eine SpEL-Ausdrucksinjektion in Map-typisierten Eigenschaften angreifbar, wenn JSON-Patch-Anfragen (application/json-patch+json) verarbeitet werden. Voraussetzung ist eine persistente Entität, die eine Map-typisierte Eigenschaft bereitstellt. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.

    CVSS: 8.1 EPSS: 0.39% Publiziert: Referenz: NVD
  45. Spring Data Commons: Denial of Service durch Ressourcenerschöpfung

    CVE-2026-41695 Hoch

    Anwendungen, die Spring Data Commons einsetzen, können anfällig für einen Denial of Service durch Ressourcenerschöpfung sein, wenn von Angreifern kontrollierte Property-Path-Strings an die Property-Path-Auflösung des MappingContext übergeben werden. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: das Update gemäss dem Spring-Security-Advisory einspielen.

    CVSS: 7.5 EPSS: 0.36% Publiziert: Referenz: NVD
  46. Spring Data – Heap-Erschöpfung über unbegrenzten Property-Lookup-Cache

    CVE-2026-41716 Hoch

    In Spring Data akzeptiert und speichert der interne Property-Lookup-Cache dauerhaft von Angreifern kontrollierte Zeichenketten als Cache-Schlüssel. Über wiederholte Anfragen lässt sich dadurch der Heap-Speicher erschöpfen (Denial of Service). CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: verfügbare Spring-Sicherheitsupdates einspielen.

    CVSS: 7.5 EPSS: 0.36% Publiziert: Referenz: NVD
  47. Spring: Algorithmischer Denial of Service durch manipulierte SpEL-Ausdrücke

    CVE-2026-41850 Hoch

    Anwendungen, die von Benutzern gelieferte Spring-Expression-Language-Ausdrücke (SpEL) auswerten, sind für einen algorithmischen Denial of Service anfällig; über einen speziell präparierten Ausdruck kann ein Angreifer die Verarbeitung erheblich verlangsamen. Als betroffen ausgewiesen sind VMware (Broadcom VMSA) und Spring (Broadcom/Tanzu). CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: die vom Hersteller bereitgestellten Updates einspielen.

    CVSS: 7.5 EPSS: 0.36% Publiziert: Referenz: NVD
  48. RabbitMQ: Offenlegung des OAuth-2-Client-Secrets über den veralteten Endpunkt /api/auth

    CVE-2026-57219 Hoch

    In RabbitMQ vor den Versionen 3.13.15, 4.0.20, 4.1.11 und 4.2.6 kann der veraltete Endpunkt GET /api/auth auf entsprechend konfigurierten Installationen das OAuth-2-Client-Secret offenlegen. Als betroffen ausgewiesen sind Broadcom/Symantec, Spring (Broadcom/Tanzu), VMware (Broadcom VMSA) und RabbitMQ/Kafka. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: die vom Hersteller bereitgestellten Updates einspielen.

    CVSS: 7.5 EPSS: 0.36% Publiziert: Referenz: NVD
  49. Spring GraphQL – fehlerhafte Auflösung von Controller-Annotationen

    CVE-2026-41856 Hoch

    Der Mechanismus zur Erkennung von @Controller-Data-Fetcher-Annotationen in Spring GraphQL löst Annotationen an Methoden innerhalb von Typhierarchien möglicherweise nicht korrekt auf. Dies kann problematisch sein, wenn solche Annotationen für Sicherheitszwecke eingesetzt werden. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: auf eine korrigierte Version aktualisieren.

    CVSS: 7.5 EPSS: 0.35% Publiziert: Referenz: NVD
  50. Spring – Trusted-Package-Prüfung in JsonPulsarHeaderMapper umgehbar

    CVE-2026-41732 Hoch

    Der JsonPulsarHeaderMapper prüfte Typ-Header gegen vertrauenswürdige Pakete über einen Präfix-Abgleich, wodurch das Vertrauen in ein Paket implizit auch alle seine Unterpakete einschloss. Zusätzlich wirkte sich eine leere Liste vertrauenswürdiger Pakete unsicher aus. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: auf eine fehlerbereinigte Version aktualisieren.

    CVSS: 8.1 EPSS: 0.35% Publiziert: Referenz: NVD

Diesem Produkt-Feed folgen

Eigener RSS-Feed nur für VMware (Broadcom VMSA), kostenlos und ohne Anmeldung. Zustellung per E-Mail, Webhook, REST oder TAXII richten wir auf Anfrage ein.

RSS-Feed öffnen Zustellung anfragen

Wie folge ich dem Feed?

  • 1 RSS-Feed-Link kopieren oder direkt im RSS-Reader öffnen.
  • 2 Priorisierte Reports (KEV · EPSS · CVSS) landen automatisch in Ihrem Reader.
  • 3 Zustellung per E-Mail, Webhook, REST oder TAXII auf Anfrage einrichten lassen.
Zurück zum Katalog