VMware (Broadcom VMSA) Seite 2
Schwachstellen-Reports
129 ReportsZeige 51 bis 100 von 129
-
Spring Security: Denial of Service im SAML-2.0-REDIRECT-Binding
CVE-2026-40988 HochEine Anwendung, die spring-security-saml2-service-provider und das REDIRECT-Binding für SAML-2.0-Login oder -Logout verwendet, kann für einen Denial of Service anfällig sein: Ein unbegrenzter Writer bläht die verarbeiteten Daten auf. Der Angriff erfolgt über das Netzwerk. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: die Spring-Security-Aktualisierungen gemäss Hersteller-Advisory einspielen.
CVSS: 7.5 EPSS: 0.33% Publiziert: Referenz: NVD -
Spring Data MongoDB: SpEL-Expression-Injection beim Parameter-Binding
CVE-2026-41717 HochSpring Data MongoDB enthält eine Schwachstelle für die Injektion von SpEL-Ausdrücken (Spring Expression Language). Sie tritt beim Parameter-Binding auf, wenn eine benutzerdefinierte Repository-Abfragemethode entsprechend annotiert ist. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: die vom Hersteller bereitgestellten Updates für Spring Data MongoDB einspielen.
CVSS: 8.1 EPSS: 0.33% Publiziert: Referenz: NVD -
VMware Cloud Foundation Operations: mehrere gespeicherte XSS-Schwachstellen
CVE-2026-41724 HochVMware Cloud Foundation Operations enthält mehrere gespeicherte Cross-Site-Scripting-Schwachstellen (Stored XSS). Ein Angreifer mit den Berechtigungen, Policies, Views oder Text-Widgets zu erstellen, könnte Skripte einschleusen. CVSS-Basiswert: 8.0 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: die im VMware-/Broadcom-Advisory genannten Updates einspielen.
CVSS: 8.0 EPSS: 0.31% Publiziert: Referenz: NVD -
Spring Data REST: JSON-Patch umgeht Write-Access-Filter bei mehrsegmentigen Pointern
CVE-2026-41728 HochDie JSON-Patch-Implementierung von Spring Data REST (application/json-patch+json) wendet den Write-Access-Filter nicht auf Zwischensegmente an, wenn ein mehrsegmentiger JSON-Pointer aufgelöst wird. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.
CVSS: 7.5 EPSS: 0.31% Publiziert: Referenz: NVD -
VMware Cloud Foundation Operations – Mehrere Stored-Cross-Site-Scripting-Schwachstellen
CVE-2026-41722 HochVMware Cloud Foundation Operations enthält mehrere gespeicherte Cross-Site-Scripting-Schwachstellen. Ein Angreifer mit Berechtigungen zum Erstellen von Richtlinien, Ansichten oder Text-Widgets könnte darüber Skripte einschleusen. CVSS-Basiswert: 8.0 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.
CVSS: 8.0 EPSS: 0.30% Publiziert: Referenz: NVD -
Spring HATEOAS – unbegrenzter Cache ermöglicht Ressourcenerschöpfung
CVE-2026-41007 HochSpring HATEOAS unterhält einen unbegrenzten statischen Cache von StringLinkRelation-Instanzen, der auf angreiferseitig gelieferten Zeichenketten basiert. Betroffen sind Spring HATEOAS 1.5.0 bis 1.5.6 sowie 2.3.0 bis 2.3.4 und 2.4.x. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: auf eine korrigierte Version aktualisieren.
CVSS: 7.5 EPSS: 0.30% Publiziert: Referenz: NVD -
RabbitMQ: DoS über übergrosse JSON-Bodies in der Management-HTTP-API
CVE-2026-57212 HochRabbitMQ ist ein Messaging- und Streaming-Broker. Vor den Versionen 3.13.14, 4.0.19, 4.1.10 und 4.2.5 akzeptiert die rabbitmq_management-HTTP-API übergrosse, gültige JSON-Bodies auf den with_decode- und direct_request-Pfaden, was einen Denial of Service ermöglicht. CVSS-Basiswert: 7.7 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: Auf RabbitMQ 3.13.14, 4.0.19, 4.1.10 bzw. 4.2.5 oder neuer aktualisieren.
CVSS: 7.7 EPSS: 0.29% Publiziert: Referenz: NVD -
Spring Cloud Sleuth – Denial of Service durch präparierte Aufrufe
CVE-2026-41708 HochIn Spring Cloud Sleuth kann ein Benutzer speziell präparierte Aufrufe übergeben, die einen Denial-of-Service-Zustand auslösen können. Betroffen sind Anwendungen, die eine anfällige Version einsetzen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.
CVSS: 7.5 EPSS: 0.28% Publiziert: Referenz: NVD -
Spring HATEOAS: Unsichere Bean-Bindung in den Media-Type-Deserialisierern
CVE-2026-41006 HochDie interne Methode PropertyUtils.createObjectFromProperties von Spring HATEOAS, die von den Deserialisierern für die Media-Typen Collection+JSON und UBER verwendet wird, führt eine Bean-Property-Bindung per Reflection ohne Prüfung durch. Als betroffen ausgewiesen sind VMware (Broadcom VMSA) und Spring (Broadcom/Tanzu). CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: die vom Hersteller bereitgestellten Updates einspielen.
CVSS: 7.5 EPSS: 0.28% Publiziert: Referenz: NVD -
Spring Framework – Unsichere Deserialisierung in JMS Jackson MessageConverter
CVE-2026-41855 HochIn einer nicht vertrauenswürdigen JMS-Umgebung erlauben die Spring-Klassen MappingJackson2MessageConverter und JacksonJsonMessageConverter die Instanziierung beliebiger Klassen aus empfangenen Nachrichten. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.
CVSS: 8.1 EPSS: 0.27% Publiziert: Referenz: NVD -
Spring Framework: Integer-Überlauf in der Spring Expression Language (SpEL)
CVE-2026-41849 HochIn der Auswertungslogik der Spring Expression Language (SpEL) besteht eine Integer-Überlauf-Schwachstelle. Ein Angreifer kann dies ausnutzen, indem er einen speziell präparierten SpEL-Ausdruck übergibt, der den Überlauf auslöst. Der Angriff erfolgt über das Netzwerk. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: die Spring-Aktualisierungen gemäss Hersteller-Advisory einspielen.
CVSS: 7.5 EPSS: 0.26% Publiziert: Referenz: NVD -
Spring AI Vector Stores: Query-Injection in VectorDB
CVE-2026-47835 HochIn Spring AI Vector Stores können Sonderzeichen dazu genutzt werden, die Ausführung beliebiger Abfragen in Elasticsearch, OpenSearch und GemFire VectorDB zu erzwingen. Betroffen ist laut Quelldaten unter anderem die Komponente spring-ai-elasticsearch. CVSS-Basiswert: 8.6 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: Aktualisierung auf die im Spring-Security-Advisory genannten bereinigten Versionen.
CVSS: 8.6 EPSS: 0.25% Publiziert: Referenz: NVD -
Foreign Bindings auf amq.rabbitmq.reply-to in RabbitMQ
CVE-2026-57215 HochRabbitMQ, ein Messaging- und Streaming-Broker, erlaubt in Versionen vor 3.13.15, 4.0.20, 4.1.11 und 4.2.6 foreign bindings auf amq.rabbitmq.reply-to-Ziele, weil flüchtige direct-reply-to-Queues nicht ausreichend abgesichert sind. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: auf eine der fehlerbereinigten RabbitMQ-Versionen aktualisieren.
CVSS: 8.8 EPSS: 0.24% Publiziert: Referenz: NVD -
Spring Security: Mögliche Codeausführung über RelyingPartyRegistration
CVE-2026-41003 HochEin Angreifer, der Werte in einer RelyingPartyRegistration beeinflussen kann, kann unter Umständen beliebigen Code über von Spring-Security-Filtern erzeugte HTML-Formulare ausführen. Betroffen ist unter anderem Spring Security ab Version 5.7.0. CVSS-Basiswert: 7.6 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: Auf eine fehlerbereinigte Spring-Security-Version aktualisieren.
CVSS: 7.6 EPSS: 0.20% Publiziert: Referenz: NVD -
Spring Security: Deserialisierung schädlicher Payloads über das SAML-Metadaten-Repository
CVE-2026-40993 HochEin Angreifer mit Schreibrechten auf die von JdbcAssertingPartyMetadataRepository verwaltete Datenbanktabelle (saml2_asserting_party_metadata) kann schädliche serialisierte Payloads in der Spalte ablegen. Bei der späteren Deserialisierung kann dies zu einer Kompromittierung führen. CVSS-Basiswert: 7.3 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: auf eine korrigierte Spring-Version aktualisieren.
CVSS: 7.3 EPSS: 0.20% Publiziert: Referenz: NVD -
Spring for GraphQL – Cross-Site WebSocket Hijacking
CVE-2026-41700 HochSpring-for-GraphQL-Anwendungen, die den WebSocket-Transport aktiviert haben, sind anfällig für Cross-Site WebSocket Hijacking. Ein Angreifer kann einen authentifizierten Nutzer dazu verleiten, eine bösartige Seite aufzurufen. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: die von Spring bereitgestellten Sicherheitsupdates einspielen.
CVSS: 8.1 EPSS: 0.18% Publiziert: Referenz: NVD -
Spring Framework: XSS durch fehlerhaftes Escaping in javaScriptEscape()
CVE-2026-41845 HochDurch fehlerhaftes Escaping kann die Verwendung von JavaScriptUtils.javaScriptEscape() zu JavaScript-Code-Injection im Browser und damit zu einer Cross-Site-Scripting-(XSS)-Schwachstelle führen. CVSS-Basiswert: 7.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.
CVSS: 7.1 EPSS: 0.16% Publiziert: Referenz: NVD -
VMware Aria Operations – Stored Cross-Site Scripting
CVE-2026-22720 HochVMware Aria Operations enthält eine Stored-Cross-Site-Scripting-Schwachstelle. Ein Angreifer mit Berechtigungen zum Erstellen benutzerdefinierter Benchmarks kann Skripte einschleusen, um administrative Aktionen durchzuführen. CVSS-Basiswert: 8.0 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 8.0 EPSS: 0.13% Publiziert: Referenz: NVD -
Brocade Fabric OS – Unsichere Authentifizierungs- und Verwaltungsdienste
CVE-2025-58382 HochIn Brocade Fabric OS vor Version 9.2.1c2 wurde eine Schwachstelle in der sicheren Konfiguration von Authentifizierungs- und Verwaltungsdiensten identifiziert. Ein authentifizierter, entfernter Angreifer mit Administratorrechten kann diese ausnutzen. CVSS-Basiswert: 7.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 7.2 EPSS: 0.10% Publiziert: Referenz: NVD -
Spring AI – Cypher-Injection in Neo4jVectorFilterExpressionConverter
CVE-2026-22743 HochDas Modul spring-ai-neo4j-store enthält eine Cypher-Injection-Schwachstelle in Neo4jVectorFilterExpressionConverter. Wird ein benutzerkontrollierter String als Schlüssel in einem Filterausdruck übergeben, kann dies zu einer ungewollten Ausführung von Datenbankabfragen führen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 7.5 EPSS: 0.08% Publiziert: Referenz: NVD -
Spring AI – Server-Side Request Forgery in BedrockProxyChatModel
CVE-2026-22742 HochDas Modul spring-ai-bedrock-converse enthält eine Server-Side Request Forgery (SSRF)-Schwachstelle in BedrockProxyChatModel beim Verarbeiten von multimodalen Nachrichten mit benutzerseitig gelieferten Medien-URLs. CVSS-Basiswert: 8.6 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 8.6 EPSS: 0.08% Publiziert: Referenz: NVD -
Spring Security – Filter Chain Bypass via securityMatchers
CVE-2026-22753 HochIn Spring Security kann bei Verwendung von securityMatchers(String) zusammen mit einem PathPatternRequestMatcher.Builder-Bean zur Voranstellung eines Servlet-Pfades die entsprechende Filter-Chain umgangen werden, was zu unberechtigtem Zugriff führen kann. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 7.5 EPSS: 0.06% Publiziert: Referenz: NVD -
Spring AI – Injection in RedisFilterExpressionConverter
CVE-2026-22744 HochIn RedisFilterExpressionConverter des Moduls spring-ai-redis-store wird ein benutzerkontrollierter String bei TAG-Feldern direkt in die Abfrage eingefügt, ohne ausreichende Bereinigung, was eine Injection-Schwachstelle ermöglicht. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 7.5 EPSS: 0.06% Publiziert: Referenz: NVD -
Spring – Timing-Angriff auf Remote-Secret
CVE-2026-40972 HochEin Angreifer im selben Netzwerk wie die Remote-Anwendung kann durch einen Timing-Angriff Informationen über das Remote-Secret ermitteln, was in extremen Fällen zur Kompromittierung des Secrets führen kann. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 7.5 EPSS: 0.06% Publiziert: Referenz: NVD -
Spring Security – Filter Chain Bypass via intercept-url servlet-path
CVE-2026-22754 HochIn Spring Security kann bei Verwendung von <sec:intercept-url servlet-path="…"> zur Pfadberechnung die zugehörige Filter-Chain umgangen werden, was zu unberechtigtem Zugriff führen kann. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 7.5 EPSS: 0.06% Publiziert: Referenz: NVD -
Spring Cloud Gateway: SSL-Bundle-Konfiguration wird stillschweigend ignoriert
CVE-2026-22750 HochBeim Konfigurieren von SSL-Bundles in Spring Cloud Gateway über die Eigenschaft spring.ssl.bundle wurde die Konfiguration stillschweigend ignoriert und stattdessen die Standard-SSL-Konfiguration verwendet. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: Auf eine fehlerbereinigte Version aktualisieren und die wirksame SSL-Konfiguration überprüfen.
CVSS: 7.5 EPSS: 0.06% Publiziert: Referenz: NVD -
Spring AI – Unbeabsichtigte Datenexposition in Chat-Memory-Komponente
CVE-2026-41712 HochDie Chat-Memory-Komponente von Spring AI enthielt eine problematische Standardkonfiguration, die bei fehlender expliziter Überschreibung zu unbeabsichtigter Datenexposition zwischen verschiedenen Nutzern führen konnte. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 7.5 EPSS: 0.04% Publiziert: Referenz: NVD -
VMware Fusion TOCTOU-Schwachstelle in SETUID-Binary
CVE-2026-41702 HochVMware Fusion enthält eine TOCTOU-Schwachstelle (Time-of-check Time-of-use), die bei einer Operation eines SETUID-Binaries auftritt. Ein lokaler Angreifer ohne Administratorrechte könnte diese Lücke ausnutzen. CVSS-Basiswert: 7.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 7.8 EPSS: 0.04% Publiziert: Referenz: NVD -
Spring AI – Prompt Injection über Konversationsspeicher
CVE-2026-41713 HochEin Angreifer kann manipulierte Eingaben in den Konversationsspeicher einschleusen, die vom Modell auf unbeabsichtigte Weise interpretiert werden. Anwendungen, die den betroffenen Advisor mit nutzerkontrollierten Eingaben verwenden, sind gefährdet. CVSS-Basiswert: 8.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 8.2 EPSS: 0.04% Publiziert: Referenz: NVD -
VMware Tools for Windows XXE-Schwachstelle
CVE-2022-22977 HochVMware Tools for Windows (Version 12.0.0, 11.x.y und 10.x.y) enthält eine XML External Entity (XXE)-Schwachstelle. Ein lokaler Angreifer ohne Administratorrechte im Windows-Gastsystem kann diese ausnutzen. CVSS-Basiswert: 7.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 7.1 EPSS: 0.04% Publiziert: Referenz: NVD -
Brocade Fabric OS – Ausbruch aus der Restricted Shell via configdownload
CVE-2018-6439 HochEine Schwachstelle im configdownload-Befehl der Kommandozeilen-Schnittstelle (CLI) von Brocade Fabric OS in Versionen vor 8.2.1, 8.1.2f, 8.0.2f und 7.4.2d kann es einem lokalen Angreifer ermöglichen, aus der eingeschränkten Shell (Restricted Shell) auszubrechen. CVSS-Basiswert: 7.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: auf eine der fehlerbereinigten Fabric-OS-Versionen aktualisieren.
CVSS: 7.8 EPSS: 0.04% Publiziert: Referenz: NVD -
Brocade ASCG 3.4.0 – Authentication Bypass
CVE-2026-0869 HochIn Brocade ASCG 3.4.0 ermöglicht eine Authentifizierungsumgehung nicht autorisierten Benutzern die Durchführung von ASCG-Operationen im Zusammenhang mit Brocade Support Link (BSL) und der Streaming-Konfiguration; zudem kann die ASC-Funktion deaktiviert werden. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 8.8 EPSS: 0.04% Publiziert: Referenz: NVD -
Spring Boot Actuator – Authentication Bypass
CVE-2026-22733 HochIn Spring Boot-Anwendungen mit Actuator kann eine Schwachstelle zur Umgehung der Authentifizierung führen, wenn ein Endpunkt, der Authentifizierung erfordert, unter dem vom Actuator verwendeten Pfad deklariert ist. CVSS-Basiswert: 8.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 8.2 EPSS: 0.04% Publiziert: Referenz: NVD -
Spring Boot Actuator – Authentication Bypass
CVE-2026-22731 HochSpring-Boot-Anwendungen mit Actuator können unter bestimmten Pfadkonfigurationen für eine Authentifizierungsumgehung anfällig sein. Geschützte Endpunkte können ohne gültige Authentifizierung erreichbar sein. CVSS-Basiswert: 8.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 8.2 EPSS: 0.04% Publiziert: Referenz: NVD -
Spring AI – JSONPath Injection (Authentication Bypass)
CVE-2026-22729 HochIn Spring AI wurde eine JSONPath-Injection-Schwachstelle im AbstractFilterExpressionConverter entdeckt. Authentifizierte Benutzer können durch manipulierte Filterausdrücke metadatenbasierte Zugriffskontrollen umgehen. CVSS-Basiswert: 8.6 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 8.6 EPSS: 0.03% Publiziert: Referenz: NVD -
RabbitMQ – Fehlerhafte Topic-Autorisierung im MQTT-Plugin
CVE-2026-44838 HochRabbitMQ ist ein Messaging- und Streaming-Broker. In den Versionen 4.2.0 bis vor 4.2.4 erlaubt das MQTT-Plugin eine Autorisierung auf Topic-Ebene über reguläre Ausdrücke mit Variablensubstitution, die von Administratoren fehlerhaft konfiguriert werden kann. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: Auf RabbitMQ 4.2.4 oder neuer aktualisieren.
CVSS: 8.1 EPSS: 0.03% Publiziert: Referenz: NVD -
Spring AI – Injection in FilterExpressionConverter-Implementierungen
CVE-2026-40967 HochVerschiedene FilterExpressionConverter-Implementierungen in Spring AI übersetzen Filterausdrücke in vektorstore-spezifische Abfragesprachen, ohne Schlüssel und Werte ausreichend zu bereinigen, was Injection-Angriffe ermöglicht. CVSS-Basiswert: 8.6 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 8.6 EPSS: 0.03% Publiziert: Referenz: NVD -
Brocade Fabric OS – Privilege Escalation via bind-Befehl
CVE-2025-58383 HochIn Brocade Fabric OS vor Version 9.2.1c2 kann ein Benutzer mit Administratorrechten den bind-Befehl ausführen, um Privilegien zu eskalieren und Sicherheitskontrollen zu umgehen. CVSS-Basiswert: 7.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 7.2 EPSS: 0.03% Publiziert: Referenz: NVD -
Spring AI – SQL Injection (MariaDBFilterExpressionConverter)
CVE-2026-22730 HochIn Spring AI wurde eine SQL-Injection-Schwachstelle im MariaDBFilterExpressionConverter gemeldet. Angreifer können metadatenbasierte Zugriffskontrollen umgehen und beliebige SQL-Befehle ausführen. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 8.8 EPSS: 0.03% Publiziert: Referenz: NVD -
Spring AI MilvusVectorStore – Filter-Expression-Injection
CVE-2026-41705 HochDie Implementierung von MilvusVectorStore#doDelete(List) in Spring AI ist anfällig für Filter-Expression-Injection durch unsanitisierte Dokument-IDs. CVSS-Basiswert: 8.6 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 8.6 EPSS: 0.03% Publiziert: Referenz: NVD -
Spring AI – SQL-Injection in CosmosDBVectorStore
CVE-2026-40978 HochEine SQL-Injection-Schwachstelle in Spring AIs CosmosDBVectorStore ermöglicht Angreifern die Ausführung beliebiger SQL-Abfragen über manipulierte Dokument-IDs. Betroffen sind Spring AI Versionen 1.0.0 bis 1.0.5. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 8.8 EPSS: 0.02% Publiziert: Referenz: NVD -
Spring Cloud Config – Unbeabsichtigte Secret-Exposition via Google Secrets Manager
CVE-2026-40981 HochEin Angreifer kann durch manipulierte Anfragen an den Spring Cloud Config Server (bei Verwendung von Google Secrets Manager als Backend) Geheimnisse aus nicht vorgesehenen GCP-Projekten auslesen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 7.5 EPSS: 0.02% Publiziert: Referenz: NVD -
Spring Cloud Config Server – TOCTOU-Angriff auf Git-Basisverzeichnis
CVE-2026-41002 HochDas vom Spring Cloud Config Server genutzte Basisverzeichnis zum Klonen von Git-Repositories ist anfällig für Time-of-Check-Time-of-Use (TOCTOU)-Angriffe. CVSS-Basiswert: 7.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 7.2 EPSS: 0.01% Publiziert: Referenz: NVD -
Brocade Fabric OS – Unsichere Speicherung von Dateiinhalten in Bash-Shell
CVE-2026-0383 HochIn Brocade Fabric OS können authentifizierte lokale Angreifer mit Bash-Shell-Zugriff unsicher gespeicherte Dateiinhalte einsehen, darunter den Verlauf des History-Befehls. CVSS-Basiswert: 7.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 7.8 EPSS: 0.01% Publiziert: Referenz: NVD -
Spring Boot – Lokale Übernahme des ApplicationTemp-Verzeichnisses
CVE-2026-40973 HochEin lokaler Angreifer auf demselben Host kann unter bestimmten Bedingungen die Kontrolle über das von ApplicationTemp verwendete Verzeichnis übernehmen, wenn server.servlet.session.persistent auf true gesetzt ist. CVSS-Basiswert: 7.0 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 7.0 EPSS: 0.01% Publiziert: Referenz: NVD -
Brocade SANnav – SQL-Abfragen in Support-Datei exponiert
CVE-2025-12774 HochIm Migrationsskript für Brocade SANnav vor Version 3.0 können Datenbank-SQL-Abfragen in der SANnav-Support-Speicherdatei gesammelt werden. Ein Angreifer mit Zugriff auf diese Support-Datei kann so potenziell sensible Informationen einsehen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 7.5 EPSS: 0.01% Publiziert: Referenz: NVD -
Brocade Fabric OS – Privilege Escalation via seccertmgmt/seccryptocfg
CVE-2025-9711 HochIn Brocade Fabric OS vor Version 9.2.1c3 können lokale authentifizierte Benutzer über die Export-Option der Befehle seccertmgmt und seccryptocfg ihre Rechte auf „root” ausweiten. CVSS-Basiswert: 7.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 7.8 EPSS: 0.01% Publiziert: Referenz: NVD -
CVE-2026-41851 – Denial of Service über SpEL-Ausdrücke (Spring)
CVE-2026-41851 MittelAnwendungen, die von Benutzern gelieferte Spring-Expression-Language-Ausdrücke (SpEL) auswerten, können anfällig für einen Denial of Service sein, wenn die Auswertung eines SpEL-Ausdrucks eine unbegrenzte Berechnung auslöst. CVSS-Basiswert: 5.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: auf eine korrigierte Spring-Version aktualisieren und die Auswertung nicht vertrauenswürdiger SpEL-Ausdrücke unterbinden.
CVSS: 5.3 EPSS: 0.36% Publiziert: Referenz: NVD -
RabbitMQ: Authentifizierungs-Schwachstelle bei loopback-beschränkten Nutzern
CVE-2026-57216 MittelRabbitMQ ist ein Messaging- und Streaming-Broker. Vor den Versionen 3.13.15, 4.0.20, 4.1.11 und 4.2.6 konnte die Authentifizierung über AMQP 0-9-1, AMQP 1.0 und das Stream-Protokoll einem loopback-beschränkten Nutzer wie guest unerwünschten Zugriff erlauben. CVSS-Basiswert: 6.8 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: auf Version 3.13.15, 4.0.20, 4.1.11 bzw. 4.2.6 oder höher aktualisieren.
CVSS: 6.8 EPSS: 0.34% Publiziert: Referenz: NVD -
Spring MVC/WebFlux: Path-Traversal bei statischen Ressourcen
CVE-2026-41843 MittelSpring-MVC- und -WebFlux-Anwendungen sind beim Auflösen statischer Ressourcen anfällig für Path-Traversal-Angriffe. Betroffen sind laut Quelle Spring Framework 7.0.0 bis 7.0.7, 6.2.0 bis 6.2.18 sowie 6.1.0 und frühere Versionen. CVSS-Basiswert: 5.9 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: Auf eine fehlerbereinigte Spring-Framework-Version aktualisieren.
CVSS: 5.9 EPSS: 0.34% Publiziert: Referenz: NVD
Diesem Produkt-Feed folgen
Eigener RSS-Feed nur für VMware (Broadcom VMSA), kostenlos und ohne Anmeldung. Zustellung per E-Mail, Webhook, REST oder TAXII richten wir auf Anfrage ein.
RSS-Feed öffnen Zustellung anfragenWie folge ich dem Feed?
- 1 RSS-Feed-Link kopieren oder direkt im RSS-Reader öffnen.
- 2 Priorisierte Reports (KEV · EPSS · CVSS) landen automatisch in Ihrem Reader.
- 3 Zustellung per E-Mail, Webhook, REST oder TAXII auf Anfrage einrichten lassen.