VMware (Broadcom VMSA)
VMware (Broadcom VMSA) gehört zur Kategorie „Virtualisierung, Hypervisor, Cloud-Infra". xonatec überwacht VMware (Broadcom VMSA) kontinuierlich auf neue Sicherheitslücken, priorisiert jede Meldung nach aktiver Ausnutzung (KEV), Ausnutzungswahrscheinlichkeit (EPSS) und Schweregrad (CVSS) Im zugeschnittenen Bericht erhalten Sie ausschliesslich die Meldungen, die dieses Produkt betreffen.
Schwachstellen-Reports
129 ReportsZeige 1 bis 50 von 129
-
Broadcom VMware Aria Operations – Command Injection
CVE-2026-22719 Hoch Aktiv ausgenutztVMware Aria Operations enthält eine Command-Injection-Schwachstelle. Ein nicht authentifizierter Angreifer kann diese ausnutzen, um beliebige Befehle auszuführen, was zur Remote-Code-Ausführung führen kann. CVSS-Basiswert: 8.1 (Hoch). Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 1.9 %.
CVSS: 8.1 EPSS: 1.90% Publiziert: Referenz: CISA KEV -
VMware Tanzu Spring Cloud Function – Remote Code Execution
CVE-2022-22963 Aktiv ausgenutztIn VMware Tanzu Spring Cloud Function wurde eine Schwachstelle zur Remote Code Execution festgestellt, die es Angreifern ermöglicht, beliebigen Code aus der Ferne auszuführen. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 99.9 %.
EPSS: 99.94% Publiziert: Referenz: CISA KEV -
Spring Framework JDK 9+ Remote Code Execution (Spring4Shell)
CVE-2022-22965 Aktiv ausgenutztEine Schwachstelle im Spring Framework ermöglicht auf JDK-9+-Umgebungen entfernte Codeausführung. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 99.7 %.
EPSS: 99.68% Publiziert: Referenz: CISA KEV -
VMware Spring Cloud Gateway Code Injection
CVE-2022-22947 Aktiv ausgenutztIn VMware Spring Cloud Gateway wurde eine Code-Injection-Schwachstelle identifiziert. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 94.5 %.
EPSS: 94.46% Publiziert: Referenz: CISA KEV -
VMware vCenter Server File Upload-Schwachstelle
CVE-2021-22005 Aktiv ausgenutzt RansomwareIn VMware vCenter Server wurde eine Schwachstelle beim Datei-Upload gemeldet, die eine unbefugte Codeausführung ermöglichen kann. Wird laut CISA KEV aktiv ausgenutzt; Aufnahme in den KEV-Katalog am 2021-11-03. Bekannter Einsatz in Ransomware-Kampagnen. Ausnutzungswahrscheinlichkeit (EPSS): 94.4 %.
EPSS: 94.45% Publiziert: Referenz: CISA KEV -
VMware Workspace ONE Access Server-Side Template Injection
CVE-2022-22954 Aktiv ausgenutzt RansomwareIn VMware Workspace ONE Access und Identity Manager wurde eine Server-Side Template Injection-Schwachstelle gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Bekannter Einsatz in Ransomware-Kampagnen. Ausnutzungswahrscheinlichkeit (EPSS): 94.4 %.
EPSS: 94.44% Publiziert: Referenz: CISA KEV -
VMware vRealize Operations Manager API SSRF
CVE-2021-21975 Aktiv ausgenutzt RansomwareIn der VMware vRealize Operations Manager API wurde eine Server Side Request Forgery (SSRF)-Schwachstelle gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Bekannter Einsatz in Ransomware-Kampagnen. Ausnutzungswahrscheinlichkeit (EPSS): 94.4 %.
EPSS: 94.42% Publiziert: Referenz: CISA KEV -
VMware vCenter Server Improper Input Validation
CVE-2021-21985 Aktiv ausgenutzt RansomwareIn VMware vCenter Server wurde eine Schwachstelle durch fehlerhafte Eingabevalidierung gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Bekannter Einsatz in Ransomware-Kampagnen. Ausnutzungswahrscheinlichkeit (EPSS): 94.4 %.
EPSS: 94.41% Publiziert: Referenz: CISA KEV -
VMware vCenter Server – Information Disclosure
CVE-2020-3952 Aktiv ausgenutztIn VMware vCenter Server wurde eine Schwachstelle zur unberechtigten Informationsoffenlegung gemeldet. Wird laut CISA KEV aktiv ausgenutzt; Aufnahme in den KEV-Katalog am 2021-11-03. Ein CVSS-Basiswert liegt in den Quelldaten nicht vor. Ausnutzungswahrscheinlichkeit (EPSS): 94.4 % – ein sehr hoher Wert, der auf breit verfügbare Exploits hindeutet. Betroffen ist der überwachte Produktbereich VMware (Broadcom VMSA).
EPSS: 94.37% Publiziert: Referenz: CISA KEV -
VMware Tanzu Spring Cloud Config – Directory Traversal
CVE-2020-5410 Aktiv ausgenutztIn VMware Tanzu Spring Cloud Config wurde eine Directory-Traversal-Schwachstelle gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 94.3 %.
EPSS: 94.35% Publiziert: Referenz: CISA KEV -
VMware Tanzu Spring Data Commons – Property Binder Vulnerability
CVE-2018-1273 Aktiv ausgenutzt RansomwareIn VMware Tanzu Spring Data Commons wurde eine Schwachstelle im Property Binder gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Bekannter Einsatz in Ransomware-Kampagnen. Ausnutzungswahrscheinlichkeit (EPSS): 94.3 %.
EPSS: 94.28% Publiziert: Referenz: CISA KEV -
VMware Aria Operations for Networks – Command Injection
CVE-2023-20887 Aktiv ausgenutztIn VMware Aria Operations for Networks wurde eine Command-Injection-Schwachstelle gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 94.3 %.
EPSS: 94.26% Publiziert: Referenz: CISA KEV -
VMware SD-WAN Edge (VeloCloud) – Command Injection
CVE-2018-6961 Aktiv ausgenutztIn VMware SD-WAN Edge by VeloCloud wurde eine Command-Injection-Schwachstelle gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 93.9 %.
EPSS: 93.88% Publiziert: Referenz: CISA KEV -
VMware vCenter Server Remote Code Execution
CVE-2021-21972 Aktiv ausgenutzt RansomwareIn VMware vCenter Server wurde eine Schwachstelle zur Remote Code Execution identifiziert. Wird laut CISA KEV aktiv ausgenutzt. Bekannter Einsatz in Ransomware-Kampagnen. Ausnutzungswahrscheinlichkeit (EPSS): 93.8 %.
EPSS: 93.82% Publiziert: Referenz: CISA KEV -
VMware vCenter Server – Out-of-Bounds Write
CVE-2023-34048 Aktiv ausgenutztIn VMware vCenter Server wurde eine Out-of-Bounds-Write-Schwachstelle entdeckt. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 93.2 %.
EPSS: 93.21% Publiziert: Referenz: CISA KEV -
VMware ESXi / Horizon DaaS OpenSLP – Heap-Based Buffer Overflow
CVE-2019-5544 Aktiv ausgenutzt RansomwareIn der OpenSLP-Komponente von VMware ESXi und Horizon DaaS besteht ein Heap-basierter Pufferüberlauf. Ein CVSS-Basiswert liegt in den Quelldaten nicht vor. Wird laut CISA KEV aktiv ausgenutzt; Aufnahme in den KEV-Katalog am 2021-11-03. Bekannter Einsatz in Ransomware-Kampagnen. Ausnutzungswahrscheinlichkeit (EPSS): 92.1 %.
EPSS: 92.13% Publiziert: Referenz: CISA KEV -
VMware vCenter Server und Cloud Foundation SSRF
CVE-2021-21973 Aktiv ausgenutztIn VMware vCenter Server und Cloud Foundation wurde eine Server Side Request Forgery (SSRF)-Schwachstelle gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 90.4 %.
EPSS: 90.39% Publiziert: Referenz: CISA KEV -
VMware ESXi OpenSLP – Use-After-Free
CVE-2020-3992 Aktiv ausgenutzt RansomwareIn VMware ESXi wurde eine Use-After-Free-Schwachstelle in OpenSLP gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Bekannter Einsatz in Ransomware-Kampagnen. Ausnutzungswahrscheinlichkeit (EPSS): 90.3 %.
EPSS: 90.31% Publiziert: Referenz: CISA KEV -
Broadcom VMware vCenter Server – Out-of-Bounds Write
CVE-2024-37079 Aktiv ausgenutztIm Broadcom VMware vCenter Server wurde eine Out-of-Bounds-Write-Schwachstelle identifiziert. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 82.3 %.
EPSS: 82.28% Publiziert: Referenz: CISA KEV -
VMware ESXi Authentication Bypass
CVE-2024-37085 Aktiv ausgenutzt RansomwareIn VMware ESXi wurde eine Schwachstelle zur Authentifizierungsumgehung gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Bekannter Einsatz in Ransomware-Kampagnen. Ausnutzungswahrscheinlichkeit (EPSS): 79.1 %.
EPSS: 79.12% Publiziert: Referenz: CISA KEV -
VMware vCenter Server – Heap-Based Buffer Overflow
CVE-2024-38812 Aktiv ausgenutztIn VMware vCenter Server wurde eine Heap-basierte Pufferüberlauf-Schwachstelle entdeckt. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 77.9 %.
EPSS: 77.87% Publiziert: Referenz: CISA KEV -
VMware vCenter Server Improper Access Control
CVE-2021-22017 Aktiv ausgenutztIn VMware vCenter Server wurde eine Schwachstelle durch fehlerhafte Zugriffskontrolle gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 74.8 %.
EPSS: 74.83% Publiziert: Referenz: CISA KEV -
VMware Privilege Escalation in mehreren Produkten
CVE-2022-22960 Aktiv ausgenutztIn mehreren VMware-Produkten wurde eine Schwachstelle zur Privilegienerweiterung gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 72.5 %.
EPSS: 72.49% Publiziert: Referenz: CISA KEV -
VMware vCenter Server – Privilege Escalation
CVE-2024-38813 Aktiv ausgenutztIn VMware vCenter Server wurde eine Schwachstelle zur Privilegienerweiterung gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 29.5 %.
EPSS: 29.53% Publiziert: Referenz: CISA KEV -
VMware vCenter Server Incorrect Default File Permissions
CVE-2022-22948 Aktiv ausgenutztIn VMware vCenter Server wurden fehlerhafte Standard-Dateiberechtigungen gemeldet, die eine unbefugte Informationsoffenlegung ermöglichen können. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 26.0 %.
EPSS: 26.01% Publiziert: Referenz: CISA KEV -
VMware – Privilege Escalation in mehreren Produkten
CVE-2020-3950 Aktiv ausgenutztIn mehreren VMware-Produkten wurde eine Schwachstelle zur Privileg-Eskalation gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 16.1 %.
EPSS: 16.07% Publiziert: Referenz: CISA KEV -
VMware – Command Injection in mehreren Produkten
CVE-2020-4006 Aktiv ausgenutztIn mehreren VMware-Produkten wurde eine Command-Injection-Schwachstelle gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 12.8 %.
EPSS: 12.79% Publiziert: Referenz: CISA KEV -
VMware Tools Authentication Bypass
CVE-2023-20867 Aktiv ausgenutztIn VMware Tools wurde eine Schwachstelle entdeckt, die eine Authentifizierungsumgehung ermöglicht. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 2.2 %.
EPSS: 2.19% Publiziert: Referenz: CISA KEV -
VMware ESXi/Workstation/Fusion – Information Disclosure
CVE-2025-22226 Aktiv ausgenutztIn VMware ESXi, Workstation und Fusion wurde eine Schwachstelle zur Offenlegung von Informationen gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 1.7 %.
EPSS: 1.68% Publiziert: Referenz: CISA KEV -
VMware ESXi/Workstation – TOCTOU Race Condition
CVE-2025-22224 Aktiv ausgenutztIn VMware ESXi und Workstation wurde eine TOCTOU-Race-Condition-Schwachstelle gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 1.5 %.
EPSS: 1.52% Publiziert: Referenz: CISA KEV -
VMware ESXi – Arbitrary Write Vulnerability
CVE-2025-22225 Aktiv ausgenutztIn VMware ESXi besteht eine Schwachstelle, die beliebige Schreibzugriffe ermöglicht. Wird laut CISA KEV aktiv ausgenutzt. Ein CVSS-Basiswert liegt in den Quelldaten nicht vor. Ausnutzungswahrscheinlichkeit (EPSS): 1.0 %. Neben VMware (Broadcom VMSA) führt auch Rockwell Automation die Lücke in seinen Security Advisories.
EPSS: 0.96% Publiziert: Referenz: CISA KEV -
Broadcom Brocade Fabric OS – Code Injection
CVE-2025-1976 Aktiv ausgenutztIm Broadcom Brocade Fabric OS wurde eine Code-Injection-Schwachstelle identifiziert. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 0.8 %.
EPSS: 0.78% Publiziert: Referenz: CISA KEV -
Broadcom VMware Aria Operations und VMware Tools – Privilege Escalation durch unsichere Aktionen
CVE-2025-41244 Aktiv ausgenutztIn Broadcom VMware Aria Operations und VMware Tools wurde eine Schwachstelle durch Privilegien mit unsicheren Aktionen identifiziert. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %.
EPSS: 0.53% Publiziert: Referenz: CISA KEV -
Spring Cloud Config – Auslieferung beliebiger Dateien über Config Server
CVE-2026-40982 KritischSpring Cloud Config erlaubt es einem Angreifer, über speziell präparierte Anfragen an den spring-cloud-config-server beliebige Text- und Binärdateien auszuliefern. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 9.1 EPSS: 0.14% Publiziert: Referenz: NVD -
Spring AI – SpEL-Injection in SimpleVectorStore
CVE-2026-22738 KritischIn Spring AI besteht eine SpEL-Injection-Schwachstelle in SimpleVectorStore, wenn ein benutzerseitig gelieferter Wert als Schlüssel in einem Filterausdruck verwendet wird. Ein Angreifer könnte dies ausnutzen, um beliebigen Code auszuführen. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 9.8 EPSS: 0.05% Publiziert: Referenz: NVD -
Spring Security – HTTP-Response-Header werden nicht geschrieben
CVE-2026-22732 KritischIn Spring Security kann es bei Servlet-Anwendungen vorkommen, dass konfigurierte HTTP-Antwort-Header nicht korrekt geschrieben werden. Dies kann Sicherheitsmechanismen, die auf diesen Headern basieren, unwirksam machen. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 9.1 EPSS: 0.03% Publiziert: Referenz: NVD -
Spring Boot – Unwirksame Standard-Web-Sicherheit ermöglicht unautorisierten Zugriff
CVE-2026-40976 KritischUnter bestimmten Umständen ist die Standard-Web-Sicherheit von Spring Boot unwirksam und ermöglicht unautorisierten Zugriff auf alle Endpunkte. Betroffen sind servlet-basierte Webanwendungen mit spezifischer Konfiguration. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 9.1 EPSS: 0.02% Publiziert: Referenz: NVD -
VMware ESXi OpenSLP Heap Overflow
CVE-2021-21974 HochIn VMware ESXi (Versionen 7.0, 6.7 und 6.5) wurde eine Heap-Overflow-Schwachstelle in OpenSLP identifiziert. Ein Angreifer im selben Netzwerksegment kann diese ausnutzen. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 55.7 %.
CVSS: 8.8 EPSS: 55.70% Publiziert: Referenz: NVD -
Spring for Apache Kafka: unsichere Präfix-Prüfung vertrauenswürdiger Pakete im Kafka-Header-Mapper
CVE-2026-41731 HochDer JsonKafkaHeaderMapper sowie der veraltete DefaultKafkaHeaderMapper glichen Typ-Header über eine reine Präfix-Prüfung gegen die Liste vertrauenswürdiger Pakete ab. Dadurch wurden mit einem als vertrauenswürdig eingestuften Paket implizit auch alle dessen Unterpakete als vertrauenswürdig behandelt. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: Auf die vom Hersteller bereitgestellte, korrigierte Version aktualisieren.
CVSS: 8.1 EPSS: 0.49% Publiziert: Referenz: NVD -
Spring for GraphQL – Unsichere Deserialisierung bei paginierten Abfragen
CVE-2026-41699 HochSpring-for-GraphQL-Anwendungen sind bei der Verarbeitung paginierter GraphQL-Abfragen anfällig für unsichere Deserialisierung. Ein Angreifer kann eine bösartige GraphQL-Anfrage erstellen, die zu Remote Code Execution führen kann. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: Sicherheitsupdate gemäss Spring-Advisory einspielen.
CVSS: 8.1 EPSS: 0.43% Publiziert: Referenz: NVD -
RabbitMQ: Fehlende Frame-Size-Begrenzung im Stream-Listener
CVE-2026-57220 HochRabbitMQ ist ein Messaging- und Streaming-Broker. Vor Version 4.2.6 erzwingt der RabbitMQ-Stream-Listener die konfigurierte Frame-Size-Begrenzung beim Zusammenbau von Frames während der Authentifizierung nicht. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: Update auf Version 4.2.6.
CVSS: 7.5 EPSS: 0.43% Publiziert: Referenz: NVD -
Spring Framework: DoS beim Auflösen statischer Ressourcen (MVC/WebFlux)
CVE-2026-41842 HochSpring-MVC- und WebFlux-Anwendungen sind beim Auflösen statischer Ressourcen anfällig für Denial-of-Service-Angriffe. Betroffen sind unter anderem Spring Framework 7.0.0 bis 7.0.7 sowie 6.2.0 bis 6.2.18. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: Auf eine fehlerbereinigte Spring-Framework-Version aktualisieren.
CVSS: 7.5 EPSS: 0.40% Publiziert: Referenz: NVD -
VMware Cloud Foundation Operations – Mehrere gespeicherte XSS-Schwachstellen
CVE-2026-41723 HochVMware Cloud Foundation Operations enthält mehrere gespeicherte Cross-Site-Scripting-Schwachstellen. Ein böswilliger Akteur mit Rechten zum Erstellen von Policies, Views oder Text-Widgets kann Skripte einschleusen. CVSS-Basiswert: 8.0 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: die von VMware (Broadcom) bereitgestellten Sicherheitsupdates einspielen.
CVSS: 8.0 EPSS: 0.40% Publiziert: Referenz: NVD -
Spring Data REST – SpEL-Ausdrucksinjektion über JSON-Patch-Anfragen
CVE-2026-41729 HochSpring Data REST ist über eine SpEL-Ausdrucksinjektion in Map-typisierten Eigenschaften angreifbar, wenn JSON-Patch-Anfragen (application/json-patch+json) verarbeitet werden. Voraussetzung ist eine persistente Entität, die eine Map-typisierte Eigenschaft bereitstellt. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.
CVSS: 8.1 EPSS: 0.39% Publiziert: Referenz: NVD -
Spring Data Commons: Denial of Service durch Ressourcenerschöpfung
CVE-2026-41695 HochAnwendungen, die Spring Data Commons einsetzen, können anfällig für einen Denial of Service durch Ressourcenerschöpfung sein, wenn von Angreifern kontrollierte Property-Path-Strings an die Property-Path-Auflösung des MappingContext übergeben werden. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: das Update gemäss dem Spring-Security-Advisory einspielen.
CVSS: 7.5 EPSS: 0.36% Publiziert: Referenz: NVD -
Spring Data – Heap-Erschöpfung über unbegrenzten Property-Lookup-Cache
CVE-2026-41716 HochIn Spring Data akzeptiert und speichert der interne Property-Lookup-Cache dauerhaft von Angreifern kontrollierte Zeichenketten als Cache-Schlüssel. Über wiederholte Anfragen lässt sich dadurch der Heap-Speicher erschöpfen (Denial of Service). CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: verfügbare Spring-Sicherheitsupdates einspielen.
CVSS: 7.5 EPSS: 0.36% Publiziert: Referenz: NVD -
Spring: Algorithmischer Denial of Service durch manipulierte SpEL-Ausdrücke
CVE-2026-41850 HochAnwendungen, die von Benutzern gelieferte Spring-Expression-Language-Ausdrücke (SpEL) auswerten, sind für einen algorithmischen Denial of Service anfällig; über einen speziell präparierten Ausdruck kann ein Angreifer die Verarbeitung erheblich verlangsamen. Als betroffen ausgewiesen sind VMware (Broadcom VMSA) und Spring (Broadcom/Tanzu). CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: die vom Hersteller bereitgestellten Updates einspielen.
CVSS: 7.5 EPSS: 0.36% Publiziert: Referenz: NVD -
RabbitMQ: Offenlegung des OAuth-2-Client-Secrets über den veralteten Endpunkt /api/auth
CVE-2026-57219 HochIn RabbitMQ vor den Versionen 3.13.15, 4.0.20, 4.1.11 und 4.2.6 kann der veraltete Endpunkt GET /api/auth auf entsprechend konfigurierten Installationen das OAuth-2-Client-Secret offenlegen. Als betroffen ausgewiesen sind Broadcom/Symantec, Spring (Broadcom/Tanzu), VMware (Broadcom VMSA) und RabbitMQ/Kafka. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: die vom Hersteller bereitgestellten Updates einspielen.
CVSS: 7.5 EPSS: 0.36% Publiziert: Referenz: NVD -
Spring GraphQL – fehlerhafte Auflösung von Controller-Annotationen
CVE-2026-41856 HochDer Mechanismus zur Erkennung von @Controller-Data-Fetcher-Annotationen in Spring GraphQL löst Annotationen an Methoden innerhalb von Typhierarchien möglicherweise nicht korrekt auf. Dies kann problematisch sein, wenn solche Annotationen für Sicherheitszwecke eingesetzt werden. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: auf eine korrigierte Version aktualisieren.
CVSS: 7.5 EPSS: 0.35% Publiziert: Referenz: NVD -
Spring – Trusted-Package-Prüfung in JsonPulsarHeaderMapper umgehbar
CVE-2026-41732 HochDer JsonPulsarHeaderMapper prüfte Typ-Header gegen vertrauenswürdige Pakete über einen Präfix-Abgleich, wodurch das Vertrauen in ein Paket implizit auch alle seine Unterpakete einschloss. Zusätzlich wirkte sich eine leere Liste vertrauenswürdiger Pakete unsicher aus. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: auf eine fehlerbereinigte Version aktualisieren.
CVSS: 8.1 EPSS: 0.35% Publiziert: Referenz: NVD
Diesem Produkt-Feed folgen
Eigener RSS-Feed nur für VMware (Broadcom VMSA), kostenlos und ohne Anmeldung. Zustellung per E-Mail, Webhook, REST oder TAXII richten wir auf Anfrage ein.
RSS-Feed öffnen Zustellung anfragenWie folge ich dem Feed?
- 1 RSS-Feed-Link kopieren oder direkt im RSS-Reader öffnen.
- 2 Priorisierte Reports (KEV · EPSS · CVSS) landen automatisch in Ihrem Reader.
- 3 Zustellung per E-Mail, Webhook, REST oder TAXII auf Anfrage einrichten lassen.