1.2 Aktiv ausgenutzte Lücken
Virtualisierung, Hypervisor, Cloud-Infra

VMware (Broadcom VMSA) Seite 2

Virtualisierung, Hypervisor, Cloud-Infra
129
Reports
33
Aktiv ausgenutzt
Kritisch
Höchste Priorität
100.0%
Max. EPSS

Schwachstellen-Reports

129 Reports

Zeige 51 bis 100 von 129

  1. Spring Security: Denial of Service im SAML-2.0-REDIRECT-Binding

    CVE-2026-40988 Hoch

    Eine Anwendung, die spring-security-saml2-service-provider und das REDIRECT-Binding für SAML-2.0-Login oder -Logout verwendet, kann für einen Denial of Service anfällig sein: Ein unbegrenzter Writer bläht die verarbeiteten Daten auf. Der Angriff erfolgt über das Netzwerk. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: die Spring-Security-Aktualisierungen gemäss Hersteller-Advisory einspielen.

    CVSS: 7.5 EPSS: 0.33% Publiziert: Referenz: NVD
  2. Spring Data MongoDB: SpEL-Expression-Injection beim Parameter-Binding

    CVE-2026-41717 Hoch

    Spring Data MongoDB enthält eine Schwachstelle für die Injektion von SpEL-Ausdrücken (Spring Expression Language). Sie tritt beim Parameter-Binding auf, wenn eine benutzerdefinierte Repository-Abfragemethode entsprechend annotiert ist. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: die vom Hersteller bereitgestellten Updates für Spring Data MongoDB einspielen.

    CVSS: 8.1 EPSS: 0.33% Publiziert: Referenz: NVD
  3. VMware Cloud Foundation Operations: mehrere gespeicherte XSS-Schwachstellen

    CVE-2026-41724 Hoch

    VMware Cloud Foundation Operations enthält mehrere gespeicherte Cross-Site-Scripting-Schwachstellen (Stored XSS). Ein Angreifer mit den Berechtigungen, Policies, Views oder Text-Widgets zu erstellen, könnte Skripte einschleusen. CVSS-Basiswert: 8.0 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: die im VMware-/Broadcom-Advisory genannten Updates einspielen.

    CVSS: 8.0 EPSS: 0.31% Publiziert: Referenz: NVD
  4. Spring Data REST: JSON-Patch umgeht Write-Access-Filter bei mehrsegmentigen Pointern

    CVE-2026-41728 Hoch

    Die JSON-Patch-Implementierung von Spring Data REST (application/json-patch+json) wendet den Write-Access-Filter nicht auf Zwischensegmente an, wenn ein mehrsegmentiger JSON-Pointer aufgelöst wird. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.

    CVSS: 7.5 EPSS: 0.31% Publiziert: Referenz: NVD
  5. VMware Cloud Foundation Operations – Mehrere Stored-Cross-Site-Scripting-Schwachstellen

    CVE-2026-41722 Hoch

    VMware Cloud Foundation Operations enthält mehrere gespeicherte Cross-Site-Scripting-Schwachstellen. Ein Angreifer mit Berechtigungen zum Erstellen von Richtlinien, Ansichten oder Text-Widgets könnte darüber Skripte einschleusen. CVSS-Basiswert: 8.0 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.

    CVSS: 8.0 EPSS: 0.30% Publiziert: Referenz: NVD
  6. Spring HATEOAS – unbegrenzter Cache ermöglicht Ressourcenerschöpfung

    CVE-2026-41007 Hoch

    Spring HATEOAS unterhält einen unbegrenzten statischen Cache von StringLinkRelation-Instanzen, der auf angreiferseitig gelieferten Zeichenketten basiert. Betroffen sind Spring HATEOAS 1.5.0 bis 1.5.6 sowie 2.3.0 bis 2.3.4 und 2.4.x. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: auf eine korrigierte Version aktualisieren.

    CVSS: 7.5 EPSS: 0.30% Publiziert: Referenz: NVD
  7. RabbitMQ: DoS über übergrosse JSON-Bodies in der Management-HTTP-API

    CVE-2026-57212 Hoch

    RabbitMQ ist ein Messaging- und Streaming-Broker. Vor den Versionen 3.13.14, 4.0.19, 4.1.10 und 4.2.5 akzeptiert die rabbitmq_management-HTTP-API übergrosse, gültige JSON-Bodies auf den with_decode- und direct_request-Pfaden, was einen Denial of Service ermöglicht. CVSS-Basiswert: 7.7 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: Auf RabbitMQ 3.13.14, 4.0.19, 4.1.10 bzw. 4.2.5 oder neuer aktualisieren.

    CVSS: 7.7 EPSS: 0.29% Publiziert: Referenz: NVD
  8. Spring Cloud Sleuth – Denial of Service durch präparierte Aufrufe

    CVE-2026-41708 Hoch

    In Spring Cloud Sleuth kann ein Benutzer speziell präparierte Aufrufe übergeben, die einen Denial-of-Service-Zustand auslösen können. Betroffen sind Anwendungen, die eine anfällige Version einsetzen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.

    CVSS: 7.5 EPSS: 0.28% Publiziert: Referenz: NVD
  9. Spring HATEOAS: Unsichere Bean-Bindung in den Media-Type-Deserialisierern

    CVE-2026-41006 Hoch

    Die interne Methode PropertyUtils.createObjectFromProperties von Spring HATEOAS, die von den Deserialisierern für die Media-Typen Collection+JSON und UBER verwendet wird, führt eine Bean-Property-Bindung per Reflection ohne Prüfung durch. Als betroffen ausgewiesen sind VMware (Broadcom VMSA) und Spring (Broadcom/Tanzu). CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: die vom Hersteller bereitgestellten Updates einspielen.

    CVSS: 7.5 EPSS: 0.28% Publiziert: Referenz: NVD
  10. Spring Framework – Unsichere Deserialisierung in JMS Jackson MessageConverter

    CVE-2026-41855 Hoch

    In einer nicht vertrauenswürdigen JMS-Umgebung erlauben die Spring-Klassen MappingJackson2MessageConverter und JacksonJsonMessageConverter die Instanziierung beliebiger Klassen aus empfangenen Nachrichten. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.

    CVSS: 8.1 EPSS: 0.27% Publiziert: Referenz: NVD
  11. Spring Framework: Integer-Überlauf in der Spring Expression Language (SpEL)

    CVE-2026-41849 Hoch

    In der Auswertungslogik der Spring Expression Language (SpEL) besteht eine Integer-Überlauf-Schwachstelle. Ein Angreifer kann dies ausnutzen, indem er einen speziell präparierten SpEL-Ausdruck übergibt, der den Überlauf auslöst. Der Angriff erfolgt über das Netzwerk. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: die Spring-Aktualisierungen gemäss Hersteller-Advisory einspielen.

    CVSS: 7.5 EPSS: 0.26% Publiziert: Referenz: NVD
  12. Spring AI Vector Stores: Query-Injection in VectorDB

    CVE-2026-47835 Hoch

    In Spring AI Vector Stores können Sonderzeichen dazu genutzt werden, die Ausführung beliebiger Abfragen in Elasticsearch, OpenSearch und GemFire VectorDB zu erzwingen. Betroffen ist laut Quelldaten unter anderem die Komponente spring-ai-elasticsearch. CVSS-Basiswert: 8.6 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: Aktualisierung auf die im Spring-Security-Advisory genannten bereinigten Versionen.

    CVSS: 8.6 EPSS: 0.25% Publiziert: Referenz: NVD
  13. Foreign Bindings auf amq.rabbitmq.reply-to in RabbitMQ

    CVE-2026-57215 Hoch

    RabbitMQ, ein Messaging- und Streaming-Broker, erlaubt in Versionen vor 3.13.15, 4.0.20, 4.1.11 und 4.2.6 foreign bindings auf amq.rabbitmq.reply-to-Ziele, weil flüchtige direct-reply-to-Queues nicht ausreichend abgesichert sind. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: auf eine der fehlerbereinigten RabbitMQ-Versionen aktualisieren.

    CVSS: 8.8 EPSS: 0.24% Publiziert: Referenz: NVD
  14. Spring Security: Mögliche Codeausführung über RelyingPartyRegistration

    CVE-2026-41003 Hoch

    Ein Angreifer, der Werte in einer RelyingPartyRegistration beeinflussen kann, kann unter Umständen beliebigen Code über von Spring-Security-Filtern erzeugte HTML-Formulare ausführen. Betroffen ist unter anderem Spring Security ab Version 5.7.0. CVSS-Basiswert: 7.6 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: Auf eine fehlerbereinigte Spring-Security-Version aktualisieren.

    CVSS: 7.6 EPSS: 0.20% Publiziert: Referenz: NVD
  15. Spring Security: Deserialisierung schädlicher Payloads über das SAML-Metadaten-Repository

    CVE-2026-40993 Hoch

    Ein Angreifer mit Schreibrechten auf die von JdbcAssertingPartyMetadataRepository verwaltete Datenbanktabelle (saml2_asserting_party_metadata) kann schädliche serialisierte Payloads in der Spalte ablegen. Bei der späteren Deserialisierung kann dies zu einer Kompromittierung führen. CVSS-Basiswert: 7.3 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: auf eine korrigierte Spring-Version aktualisieren.

    CVSS: 7.3 EPSS: 0.20% Publiziert: Referenz: NVD
  16. Spring for GraphQL – Cross-Site WebSocket Hijacking

    CVE-2026-41700 Hoch

    Spring-for-GraphQL-Anwendungen, die den WebSocket-Transport aktiviert haben, sind anfällig für Cross-Site WebSocket Hijacking. Ein Angreifer kann einen authentifizierten Nutzer dazu verleiten, eine bösartige Seite aufzurufen. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: die von Spring bereitgestellten Sicherheitsupdates einspielen.

    CVSS: 8.1 EPSS: 0.18% Publiziert: Referenz: NVD
  17. Spring Framework: XSS durch fehlerhaftes Escaping in javaScriptEscape()

    CVE-2026-41845 Hoch

    Durch fehlerhaftes Escaping kann die Verwendung von JavaScriptUtils.javaScriptEscape() zu JavaScript-Code-Injection im Browser und damit zu einer Cross-Site-Scripting-(XSS)-Schwachstelle führen. CVSS-Basiswert: 7.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.

    CVSS: 7.1 EPSS: 0.16% Publiziert: Referenz: NVD
  18. VMware Aria Operations – Stored Cross-Site Scripting

    CVE-2026-22720 Hoch

    VMware Aria Operations enthält eine Stored-Cross-Site-Scripting-Schwachstelle. Ein Angreifer mit Berechtigungen zum Erstellen benutzerdefinierter Benchmarks kann Skripte einschleusen, um administrative Aktionen durchzuführen. CVSS-Basiswert: 8.0 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 8.0 EPSS: 0.13% Publiziert: Referenz: NVD
  19. Brocade Fabric OS – Unsichere Authentifizierungs- und Verwaltungsdienste

    CVE-2025-58382 Hoch

    In Brocade Fabric OS vor Version 9.2.1c2 wurde eine Schwachstelle in der sicheren Konfiguration von Authentifizierungs- und Verwaltungsdiensten identifiziert. Ein authentifizierter, entfernter Angreifer mit Administratorrechten kann diese ausnutzen. CVSS-Basiswert: 7.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 7.2 EPSS: 0.10% Publiziert: Referenz: NVD
  20. Spring AI – Cypher-Injection in Neo4jVectorFilterExpressionConverter

    CVE-2026-22743 Hoch

    Das Modul spring-ai-neo4j-store enthält eine Cypher-Injection-Schwachstelle in Neo4jVectorFilterExpressionConverter. Wird ein benutzerkontrollierter String als Schlüssel in einem Filterausdruck übergeben, kann dies zu einer ungewollten Ausführung von Datenbankabfragen führen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 7.5 EPSS: 0.08% Publiziert: Referenz: NVD
  21. Spring AI – Server-Side Request Forgery in BedrockProxyChatModel

    CVE-2026-22742 Hoch

    Das Modul spring-ai-bedrock-converse enthält eine Server-Side Request Forgery (SSRF)-Schwachstelle in BedrockProxyChatModel beim Verarbeiten von multimodalen Nachrichten mit benutzerseitig gelieferten Medien-URLs. CVSS-Basiswert: 8.6 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 8.6 EPSS: 0.08% Publiziert: Referenz: NVD
  22. Spring Security – Filter Chain Bypass via securityMatchers

    CVE-2026-22753 Hoch

    In Spring Security kann bei Verwendung von securityMatchers(String) zusammen mit einem PathPatternRequestMatcher.Builder-Bean zur Voranstellung eines Servlet-Pfades die entsprechende Filter-Chain umgangen werden, was zu unberechtigtem Zugriff führen kann. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 7.5 EPSS: 0.06% Publiziert: Referenz: NVD
  23. Spring AI – Injection in RedisFilterExpressionConverter

    CVE-2026-22744 Hoch

    In RedisFilterExpressionConverter des Moduls spring-ai-redis-store wird ein benutzerkontrollierter String bei TAG-Feldern direkt in die Abfrage eingefügt, ohne ausreichende Bereinigung, was eine Injection-Schwachstelle ermöglicht. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 7.5 EPSS: 0.06% Publiziert: Referenz: NVD
  24. Spring – Timing-Angriff auf Remote-Secret

    CVE-2026-40972 Hoch

    Ein Angreifer im selben Netzwerk wie die Remote-Anwendung kann durch einen Timing-Angriff Informationen über das Remote-Secret ermitteln, was in extremen Fällen zur Kompromittierung des Secrets führen kann. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 7.5 EPSS: 0.06% Publiziert: Referenz: NVD
  25. Spring Security – Filter Chain Bypass via intercept-url servlet-path

    CVE-2026-22754 Hoch

    In Spring Security kann bei Verwendung von <sec:intercept-url servlet-path="…"> zur Pfadberechnung die zugehörige Filter-Chain umgangen werden, was zu unberechtigtem Zugriff führen kann. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 7.5 EPSS: 0.06% Publiziert: Referenz: NVD
  26. Spring Cloud Gateway: SSL-Bundle-Konfiguration wird stillschweigend ignoriert

    CVE-2026-22750 Hoch

    Beim Konfigurieren von SSL-Bundles in Spring Cloud Gateway über die Eigenschaft spring.ssl.bundle wurde die Konfiguration stillschweigend ignoriert und stattdessen die Standard-SSL-Konfiguration verwendet. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: Auf eine fehlerbereinigte Version aktualisieren und die wirksame SSL-Konfiguration überprüfen.

    CVSS: 7.5 EPSS: 0.06% Publiziert: Referenz: NVD
  27. Spring AI – Unbeabsichtigte Datenexposition in Chat-Memory-Komponente

    CVE-2026-41712 Hoch

    Die Chat-Memory-Komponente von Spring AI enthielt eine problematische Standardkonfiguration, die bei fehlender expliziter Überschreibung zu unbeabsichtigter Datenexposition zwischen verschiedenen Nutzern führen konnte. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 7.5 EPSS: 0.04% Publiziert: Referenz: NVD
  28. VMware Fusion TOCTOU-Schwachstelle in SETUID-Binary

    CVE-2026-41702 Hoch

    VMware Fusion enthält eine TOCTOU-Schwachstelle (Time-of-check Time-of-use), die bei einer Operation eines SETUID-Binaries auftritt. Ein lokaler Angreifer ohne Administratorrechte könnte diese Lücke ausnutzen. CVSS-Basiswert: 7.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 7.8 EPSS: 0.04% Publiziert: Referenz: NVD
  29. Spring AI – Prompt Injection über Konversationsspeicher

    CVE-2026-41713 Hoch

    Ein Angreifer kann manipulierte Eingaben in den Konversationsspeicher einschleusen, die vom Modell auf unbeabsichtigte Weise interpretiert werden. Anwendungen, die den betroffenen Advisor mit nutzerkontrollierten Eingaben verwenden, sind gefährdet. CVSS-Basiswert: 8.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 8.2 EPSS: 0.04% Publiziert: Referenz: NVD
  30. VMware Tools for Windows XXE-Schwachstelle

    CVE-2022-22977 Hoch

    VMware Tools for Windows (Version 12.0.0, 11.x.y und 10.x.y) enthält eine XML External Entity (XXE)-Schwachstelle. Ein lokaler Angreifer ohne Administratorrechte im Windows-Gastsystem kann diese ausnutzen. CVSS-Basiswert: 7.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 7.1 EPSS: 0.04% Publiziert: Referenz: NVD
  31. Brocade Fabric OS – Ausbruch aus der Restricted Shell via configdownload

    CVE-2018-6439 Hoch

    Eine Schwachstelle im configdownload-Befehl der Kommandozeilen-Schnittstelle (CLI) von Brocade Fabric OS in Versionen vor 8.2.1, 8.1.2f, 8.0.2f und 7.4.2d kann es einem lokalen Angreifer ermöglichen, aus der eingeschränkten Shell (Restricted Shell) auszubrechen. CVSS-Basiswert: 7.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: auf eine der fehlerbereinigten Fabric-OS-Versionen aktualisieren.

    CVSS: 7.8 EPSS: 0.04% Publiziert: Referenz: NVD
  32. Brocade ASCG 3.4.0 – Authentication Bypass

    CVE-2026-0869 Hoch

    In Brocade ASCG 3.4.0 ermöglicht eine Authentifizierungsumgehung nicht autorisierten Benutzern die Durchführung von ASCG-Operationen im Zusammenhang mit Brocade Support Link (BSL) und der Streaming-Konfiguration; zudem kann die ASC-Funktion deaktiviert werden. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 8.8 EPSS: 0.04% Publiziert: Referenz: NVD
  33. Spring Boot Actuator – Authentication Bypass

    CVE-2026-22733 Hoch

    In Spring Boot-Anwendungen mit Actuator kann eine Schwachstelle zur Umgehung der Authentifizierung führen, wenn ein Endpunkt, der Authentifizierung erfordert, unter dem vom Actuator verwendeten Pfad deklariert ist. CVSS-Basiswert: 8.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 8.2 EPSS: 0.04% Publiziert: Referenz: NVD
  34. Spring Boot Actuator – Authentication Bypass

    CVE-2026-22731 Hoch

    Spring-Boot-Anwendungen mit Actuator können unter bestimmten Pfadkonfigurationen für eine Authentifizierungsumgehung anfällig sein. Geschützte Endpunkte können ohne gültige Authentifizierung erreichbar sein. CVSS-Basiswert: 8.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 8.2 EPSS: 0.04% Publiziert: Referenz: NVD
  35. Spring AI – JSONPath Injection (Authentication Bypass)

    CVE-2026-22729 Hoch

    In Spring AI wurde eine JSONPath-Injection-Schwachstelle im AbstractFilterExpressionConverter entdeckt. Authentifizierte Benutzer können durch manipulierte Filterausdrücke metadatenbasierte Zugriffskontrollen umgehen. CVSS-Basiswert: 8.6 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 8.6 EPSS: 0.03% Publiziert: Referenz: NVD
  36. RabbitMQ – Fehlerhafte Topic-Autorisierung im MQTT-Plugin

    CVE-2026-44838 Hoch

    RabbitMQ ist ein Messaging- und Streaming-Broker. In den Versionen 4.2.0 bis vor 4.2.4 erlaubt das MQTT-Plugin eine Autorisierung auf Topic-Ebene über reguläre Ausdrücke mit Variablensubstitution, die von Administratoren fehlerhaft konfiguriert werden kann. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: Auf RabbitMQ 4.2.4 oder neuer aktualisieren.

    CVSS: 8.1 EPSS: 0.03% Publiziert: Referenz: NVD
  37. Spring AI – Injection in FilterExpressionConverter-Implementierungen

    CVE-2026-40967 Hoch

    Verschiedene FilterExpressionConverter-Implementierungen in Spring AI übersetzen Filterausdrücke in vektorstore-spezifische Abfragesprachen, ohne Schlüssel und Werte ausreichend zu bereinigen, was Injection-Angriffe ermöglicht. CVSS-Basiswert: 8.6 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 8.6 EPSS: 0.03% Publiziert: Referenz: NVD
  38. Brocade Fabric OS – Privilege Escalation via bind-Befehl

    CVE-2025-58383 Hoch

    In Brocade Fabric OS vor Version 9.2.1c2 kann ein Benutzer mit Administratorrechten den bind-Befehl ausführen, um Privilegien zu eskalieren und Sicherheitskontrollen zu umgehen. CVSS-Basiswert: 7.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 7.2 EPSS: 0.03% Publiziert: Referenz: NVD
  39. Spring AI – SQL Injection (MariaDBFilterExpressionConverter)

    CVE-2026-22730 Hoch

    In Spring AI wurde eine SQL-Injection-Schwachstelle im MariaDBFilterExpressionConverter gemeldet. Angreifer können metadatenbasierte Zugriffskontrollen umgehen und beliebige SQL-Befehle ausführen. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 8.8 EPSS: 0.03% Publiziert: Referenz: NVD
  40. Spring AI MilvusVectorStore – Filter-Expression-Injection

    CVE-2026-41705 Hoch

    Die Implementierung von MilvusVectorStore#doDelete(List) in Spring AI ist anfällig für Filter-Expression-Injection durch unsanitisierte Dokument-IDs. CVSS-Basiswert: 8.6 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 8.6 EPSS: 0.03% Publiziert: Referenz: NVD
  41. Spring AI – SQL-Injection in CosmosDBVectorStore

    CVE-2026-40978 Hoch

    Eine SQL-Injection-Schwachstelle in Spring AIs CosmosDBVectorStore ermöglicht Angreifern die Ausführung beliebiger SQL-Abfragen über manipulierte Dokument-IDs. Betroffen sind Spring AI Versionen 1.0.0 bis 1.0.5. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 8.8 EPSS: 0.02% Publiziert: Referenz: NVD
  42. Spring Cloud Config – Unbeabsichtigte Secret-Exposition via Google Secrets Manager

    CVE-2026-40981 Hoch

    Ein Angreifer kann durch manipulierte Anfragen an den Spring Cloud Config Server (bei Verwendung von Google Secrets Manager als Backend) Geheimnisse aus nicht vorgesehenen GCP-Projekten auslesen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 7.5 EPSS: 0.02% Publiziert: Referenz: NVD
  43. Spring Cloud Config Server – TOCTOU-Angriff auf Git-Basisverzeichnis

    CVE-2026-41002 Hoch

    Das vom Spring Cloud Config Server genutzte Basisverzeichnis zum Klonen von Git-Repositories ist anfällig für Time-of-Check-Time-of-Use (TOCTOU)-Angriffe. CVSS-Basiswert: 7.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 7.2 EPSS: 0.01% Publiziert: Referenz: NVD
  44. Brocade Fabric OS – Unsichere Speicherung von Dateiinhalten in Bash-Shell

    CVE-2026-0383 Hoch

    In Brocade Fabric OS können authentifizierte lokale Angreifer mit Bash-Shell-Zugriff unsicher gespeicherte Dateiinhalte einsehen, darunter den Verlauf des History-Befehls. CVSS-Basiswert: 7.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 7.8 EPSS: 0.01% Publiziert: Referenz: NVD
  45. Spring Boot – Lokale Übernahme des ApplicationTemp-Verzeichnisses

    CVE-2026-40973 Hoch

    Ein lokaler Angreifer auf demselben Host kann unter bestimmten Bedingungen die Kontrolle über das von ApplicationTemp verwendete Verzeichnis übernehmen, wenn server.servlet.session.persistent auf true gesetzt ist. CVSS-Basiswert: 7.0 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 7.0 EPSS: 0.01% Publiziert: Referenz: NVD
  46. Brocade SANnav – SQL-Abfragen in Support-Datei exponiert

    CVE-2025-12774 Hoch

    Im Migrationsskript für Brocade SANnav vor Version 3.0 können Datenbank-SQL-Abfragen in der SANnav-Support-Speicherdatei gesammelt werden. Ein Angreifer mit Zugriff auf diese Support-Datei kann so potenziell sensible Informationen einsehen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 7.5 EPSS: 0.01% Publiziert: Referenz: NVD
  47. Brocade Fabric OS – Privilege Escalation via seccertmgmt/seccryptocfg

    CVE-2025-9711 Hoch

    In Brocade Fabric OS vor Version 9.2.1c3 können lokale authentifizierte Benutzer über die Export-Option der Befehle seccertmgmt und seccryptocfg ihre Rechte auf „root” ausweiten. CVSS-Basiswert: 7.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 7.8 EPSS: 0.01% Publiziert: Referenz: NVD
  48. CVE-2026-41851 – Denial of Service über SpEL-Ausdrücke (Spring)

    CVE-2026-41851 Mittel

    Anwendungen, die von Benutzern gelieferte Spring-Expression-Language-Ausdrücke (SpEL) auswerten, können anfällig für einen Denial of Service sein, wenn die Auswertung eines SpEL-Ausdrucks eine unbegrenzte Berechnung auslöst. CVSS-Basiswert: 5.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: auf eine korrigierte Spring-Version aktualisieren und die Auswertung nicht vertrauenswürdiger SpEL-Ausdrücke unterbinden.

    CVSS: 5.3 EPSS: 0.36% Publiziert: Referenz: NVD
  49. RabbitMQ: Authentifizierungs-Schwachstelle bei loopback-beschränkten Nutzern

    CVE-2026-57216 Mittel

    RabbitMQ ist ein Messaging- und Streaming-Broker. Vor den Versionen 3.13.15, 4.0.20, 4.1.11 und 4.2.6 konnte die Authentifizierung über AMQP 0-9-1, AMQP 1.0 und das Stream-Protokoll einem loopback-beschränkten Nutzer wie guest unerwünschten Zugriff erlauben. CVSS-Basiswert: 6.8 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: auf Version 3.13.15, 4.0.20, 4.1.11 bzw. 4.2.6 oder höher aktualisieren.

    CVSS: 6.8 EPSS: 0.34% Publiziert: Referenz: NVD
  50. Spring MVC/WebFlux: Path-Traversal bei statischen Ressourcen

    CVE-2026-41843 Mittel

    Spring-MVC- und -WebFlux-Anwendungen sind beim Auflösen statischer Ressourcen anfällig für Path-Traversal-Angriffe. Betroffen sind laut Quelle Spring Framework 7.0.0 bis 7.0.7, 6.2.0 bis 6.2.18 sowie 6.1.0 und frühere Versionen. CVSS-Basiswert: 5.9 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: Auf eine fehlerbereinigte Spring-Framework-Version aktualisieren.

    CVSS: 5.9 EPSS: 0.34% Publiziert: Referenz: NVD

Diesem Produkt-Feed folgen

Eigener RSS-Feed nur für VMware (Broadcom VMSA), kostenlos und ohne Anmeldung. Zustellung per E-Mail, Webhook, REST oder TAXII richten wir auf Anfrage ein.

RSS-Feed öffnen Zustellung anfragen

Wie folge ich dem Feed?

  • 1 RSS-Feed-Link kopieren oder direkt im RSS-Reader öffnen.
  • 2 Priorisierte Reports (KEV · EPSS · CVSS) landen automatisch in Ihrem Reader.
  • 3 Zustellung per E-Mail, Webhook, REST oder TAXII auf Anfrage einrichten lassen.
Zurück zum Katalog