1.2 Aktiv ausgenutzte Lücken
Virtualisierung, Hypervisor, Cloud-Infra

VMware (Broadcom VMSA) Seite 3

Virtualisierung, Hypervisor, Cloud-Infra
129
Reports
33
Aktiv ausgenutzt
Kritisch
Höchste Priorität
100.0%
Max. EPSS

Schwachstellen-Reports

129 Reports

Zeige 101 bis 129 von 129

  1. Spring Data Commons – Denial of Service über @ProjectedPayload

    CVE-2026-41721 Mittel

    Spring Data Commons enthält eine Schwachstelle, die zu einem Denial-of-Service-Zustand führen kann, wenn Spring Data Web Support in Verbindung mit einer Controller-Methode mit @ProjectedPayload aktiviert ist. CVSS-Basiswert: 5.9 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.

    CVSS: 5.9 EPSS: 0.33% Publiziert: Referenz: NVD
  2. Spring Framework (MVC/WebFlux): Information Disclosure bei statischen Ressourcen

    CVE-2026-41841 Mittel

    Spring-MVC- und -WebFlux-Anwendungen sind beim Auflösen statischer Ressourcen für Information-Disclosure-Angriffe anfällig. Betroffen sind laut Quelle Spring Framework 7.0.0 bis 7.0.7 sowie 6.2.0 bis 6.2.18. CVSS-Basiswert: 5.9 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.

    CVSS: 5.9 EPSS: 0.31% Publiziert: Referenz: NVD
  3. RabbitMQ Management-UI – Cross-Site-Scripting über ungenügend maskierte Argumente

    CVE-2026-57214 Mittel

    In RabbitMQ vor Version 4.2.5 rendert die Management-Oberfläche das Argument x-internal-purpose einer Queue oder eines Exchange ohne ausreichende Maskierung in ein HTML-title-Attribut, wodurch Cross-Site-Scripting (XSS) möglich wird. Zur Ausnutzung ist eine Benutzerinteraktion erforderlich. CVSS-Basiswert: 5.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: auf RabbitMQ 4.2.5 oder neuer aktualisieren.

    CVSS: 5.4 EPSS: 0.30% Publiziert: Referenz: NVD
  4. Spring Data Commons: Denial of Service beim Parsen von Sort-Parametern

    CVE-2026-41711 Mittel

    Anwendungen, die Spring Data Commons verwenden, können durch einen StackOverflowException beim Parsen von Sort-Parametern für einen Denial-of-Service-Angriff anfällig sein. CVSS-Basiswert: 5.9 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: Auf eine von Spring bereitgestellte, korrigierte Version aktualisieren.

    CVSS: 5.9 EPSS: 0.28% Publiziert: Referenz: NVD
  5. RabbitMQ (Windows): Path-Traversal im Management-Plugin

    CVE-2026-57211 Mittel

    RabbitMQ ist ein Messaging- und Streaming-Broker. Vor den Versionen 4.1.11 und 4.2.6 kann unter Windows der Static-File-Handler rabbit_mgmt_wm_static des RabbitMQ-Management-Plugins URL-kodierte Backslashes weitergeben, was einen Path-Traversal-Angriff ermöglicht. CVSS-Basiswert: 6.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: Auf RabbitMQ 4.1.11 bzw. 4.2.6 aktualisieren.

    CVSS: 6.5 EPSS: 0.28% Publiziert: Referenz: NVD
  6. RabbitMQ: Umgehung der Topic-Autorisierung bei Metadaten-Ausfällen

    CVE-2026-57217 Mittel

    RabbitMQ ist ein Messaging- und Streaming-Broker. In Versionen vor 3.13.15, 4.0.21, 4.1.11 und 4.2.6 kann die Topic-Autorisierung während Ausfällen des Metadaten-Speichers eingeschränkte Topic-Schreib- und Bind-Vorgänge zulassen. CVSS-Basiswert: 6.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: Auf RabbitMQ 3.13.15, 4.0.21, 4.1.11 bzw. 4.2.6 oder neuer aktualisieren.

    CVSS: 6.5 EPSS: 0.27% Publiziert: Referenz: NVD
  7. RabbitMQ: Nachrichtenempfang nach Ablauf des OAuth-Tokens

    CVE-2026-57218 Mittel

    RabbitMQ ist ein Messaging- und Streaming-Broker. In Versionen vor 4.2.6 erlaubt AMQP 0-9-1, dass ein bestehender Consumer auch nach Ablauf des OAuth-Tokens oder nach einem connection.update_secret-Refresh weiterhin Nachrichten empfängt. CVSS-Basiswert: 6.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: Update auf RabbitMQ 4.2.6 oder neuer.

    CVSS: 6.5 EPSS: 0.27% Publiziert: Referenz: NVD
  8. RabbitMQ: Fehlende Autorisierungsprüfung bei passiven Declare-Operationen

    CVE-2026-57221 Mittel

    RabbitMQ ist ein Messaging- und Streaming-Broker. Vor den Versionen 3.13.15, 4.0.20, 4.1.11, 4.2.6 führt RabbitMQ bei passiven AMQP-0-9-1-Operationen queue.declare und exchange.declare keine Autorisierungsprüfungen durch. Als betroffen ausgewiesen sind Broadcom/Symantec, Spring (Broadcom/Tanzu), VMware (Broadcom VMSA) und RabbitMQ/Kafka. CVSS-Basiswert: 5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: auf eine korrigierte Version aktualisieren.

    CVSS: 5.0 EPSS: 0.27% Publiziert: Referenz: NVD
  9. Spring Data MongoDB – Unzureichende Validierung bei Regex-Parameterbindung

    CVE-2026-41696 Mittel

    Spring-Data-MongoDB-Repository-Query-Methoden mit @Query-Annotation und Regex-Parameterbindung führen eine unzureichende Validierung des gebundenen Parameters durch. Ein Angreifer kann einen präparierten String übergeben. CVSS-Basiswert: 5.9 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.

    CVSS: 5.9 EPSS: 0.26% Publiziert: Referenz: NVD
  10. Spring WebFlux: Denial of Service bei Verarbeitung von Multipart-Anfragen

    CVE-2026-41840 Mittel

    Spring-WebFlux-Anwendungen sind bei der Verarbeitung von Multipart-Anfragen anfällig für Denial-of-Service-Angriffe. Betroffen sind laut Quelle u. a. Spring Framework 7.0.0 bis 7.0.7, 6.2.0 bis 6.2.18 sowie 6.1.0 (weitere Versionen in der Quelle). CVSS-Basiswert: 5.9 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.

    CVSS: 5.9 EPSS: 0.25% Publiziert: Referenz: NVD
  11. Spring Kafka Retry-Topic Header Validation

    CVE-2026-41727 Mittel

    Die Retry-Topic-Infrastruktur von Spring Kafka validierte benutzerkontrollierte Header-Werte nicht ausreichend, bevor sie darauf reagierte. Ein Producer konnte einen Datensatz mit einem manipulierten retry_topic-attempts-Header senden. CVSS-Basiswert: 6.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.

    CVSS: 6.5 EPSS: 0.24% Publiziert: Referenz: NVD
  12. RabbitMQ – Cross-Site-Scripting im Federation-Management-Plugin

    CVE-2026-57213 Mittel

    In RabbitMQ vor 3.13.14, 4.0.19, 4.1.10 und 4.2.5 rendert das Plugin rabbitmq_federation_management das Feld consumer_tag auf der Federation-Status-Seite ohne ausreichende Neutralisierung, wodurch Cross-Site-Scripting möglich wird. CVSS-Basiswert: 4.8 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: Update auf eine bereinigte RabbitMQ-Version einspielen.

    CVSS: 4.8 EPSS: 0.24% Publiziert: Referenz: NVD
  13. Spring Security: Schwachstelle in CookieRequestCache/CookieServerRequestCache

    CVE-2026-41706 Mittel

    Spring Securitys CookieRequestCache und CookieServerRequestCache speichern die Pre-Authentication-Request-URL in einem Browser-Cookie, damit Nutzer nach der Anmeldung an ihr ursprüngliches Ziel zurückgeleitet werden können. CVSS-Basiswert: 6.1 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: Auf eine von Spring bereitgestellte, korrigierte Version aktualisieren.

    CVSS: 6.1 EPSS: 0.21% Publiziert: Referenz: NVD
  14. Spring Data REST – Offenlegung interner Details über Fehlermeldungen

    CVE-2026-41730 Mittel

    Spring Data REST serialisiert die vollständige Exception-Cause-Chain in die HTTP-Fehlerantworten und kann dadurch Interna der Persistenzschicht gegenüber HTTP-Clients offenlegen. CVSS-Basiswert: 5.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.

    CVSS: 5.3 EPSS: 0.20% Publiziert: Referenz: NVD
  15. Spring WebFlux: Rechteausweitung durch Session-ID-Austausch bei kompromittierter Subdomain

    CVE-2026-41839 Mittel

    Eine Spring-WebFlux-Anwendung mit einer kompromittierten Subdomain – etwa durch Cross-Site-Scripting (XSS) – ist anfällig für einen Eskalationsangriff, bei dem eine bekannte Session-ID gegen die eines authentifizierten Nutzers ausgetauscht wird. CVSS-Basiswert: 4.2 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Eine aktive Ausnutzung über CISA KEV oder ein Ransomware-Bezug ist nicht bekannt. Empfohlene Massnahme: verfügbare Hersteller-Updates einspielen.

    CVSS: 4.2 EPSS: 0.20% Publiziert: Referenz: NVD
  16. Spring Data REST – Querydsl akzeptiert beliebige Property-Pfade als Filter

    CVE-2026-41837 Mittel

    Die Querydsl-Integration von Spring Data REST akzeptiert beliebige persistente Property-Pfade als Filter-Schlüssel in Request-Parametern und berücksichtigt Jackson-Anpassungen nicht, bevor diese an Querydsl übergeben werden. CVSS-Basiswert: 5.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: Update auf eine bereinigte Spring-Data-REST-Version einspielen.

    CVSS: 5.3 EPSS: 0.19% Publiziert: Referenz: NVD
  17. Multipart Request Smuggling in Spring MVC und WebFlux

    CVE-2026-41853 Mittel

    Spring-MVC- und Spring-WebFlux-Anwendungen sind anfällig für Multipart-Request-Smuggling-Angriffe. Betroffen sind laut Quelle Spring Framework 7.0.0 bis 7.0.7, 6.2.0 bis 6.2.18, 6.1.0 bis 6.1.27 sowie 5.3.0 und neuere Versionen der 5.3er-Reihe. CVSS-Basiswert: 5.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: auf eine fehlerbereinigte Spring-Framework-Version aktualisieren.

    CVSS: 5.3 EPSS: 0.19% Publiziert: Referenz: NVD
  18. Spring Security Authorization Server: Unzureichende Validierung von request_uri

    CVE-2026-41008 Mittel

    Der Autorisierungsendpunkt des Spring Security Authorization Server validiert den Parameter request_uri unzureichend. Ein Angreifer kann eine bösartige Autorisierungsanfrage mit einem ungültigen request_uri erstellen. CVSS-Basiswert: 6.1 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.

    CVSS: 6.1 EPSS: 0.17% Publiziert: Referenz: NVD
  19. CVE-2026-41838 – Vorhersagbare WebSocket-Session-IDs (Spring)

    CVE-2026-41838 Mittel

    Die IDs für WebSocket-Sitzungen im spring-websocket-Modul sind nicht kryptografisch unvorhersagbar. In Kombination mit unzureichenden Autorisierungsregeln lässt sich dies möglicherweise ausnutzen. CVSS-Basiswert: 4.8 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: auf eine korrigierte Spring-Version aktualisieren und die Autorisierungsregeln überprüfen.

    CVSS: 4.8 EPSS: 0.17% Publiziert: Referenz: NVD
  20. Security-Bypass in Spring WebFlux bei Kotlin Router DSL

    CVE-2026-41847 Mittel

    Spring-WebFlux-Anwendungen können bei Verwendung der Kotlin Router DSL für eine Umgehung von Sicherheitsprüfungen anfällig sein. Betroffen sind laut Quelle Spring Framework 5.3.0 bis 5.3.48. CVSS-Basiswert: 4.8 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: auf eine fehlerbereinigte Spring-Framework-Version aktualisieren.

    CVSS: 4.8 EPSS: 0.17% Publiziert: Referenz: NVD
  21. Spring MVC: HTML/JavaScript-Injection über CSS-Attribute in JSP-Form-Tags

    CVE-2026-41846 Mittel

    Spring-MVC-Anwendungen, die benutzerdefinierte Werte in den Attributen cssClass, cssErrorClass oder cssStyle von JSP-Form-Tags akzeptieren, erlauben die Injektion beliebigen HTML- bzw. JavaScript-Codes. CVSS-Basiswert: 5.9 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 5.9 EPSS: 0.14% Publiziert: Referenz: NVD
  22. Spring MVC/WebFlux: Open Redirect bei Wildcard-Mapping

    CVE-2026-41844 Mittel

    Eine Spring-MVC- oder Spring-WebFlux-Anwendung, die ein Mapping für „/**" ohne explizit angegebenen View-Namen konfiguriert, erlaubt es einem Angreifer, einen Link zu erstellen, der in einer 302-Weiterleitung auf eine beliebige Zieladresse resultiert. CVSS-Basiswert: 4.2 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 4.2 EPSS: 0.13% Publiziert: Referenz: NVD
  23. Spring Framework: SSRF über UriComponentsBuilder (fehlerhaftes Host-Parsing)

    CVE-2026-41854 Mittel

    Aufgrund eines fehlerhaften Host-Parsings können Anwendungen, die den UriComponentsBuilder zum Parsen und Validieren einer extern bereitgestellten URL nutzen, für Server-Side Request Forgery (SSRF) anfällig sein. CVSS-Basiswert: 4.2 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: Betroffenes Spring-Framework gemäss Broadcom/Tanzu-Advisory aktualisieren.

    CVSS: 4.2 EPSS: 0.12% Publiziert: Referenz: NVD
  24. Spring Security: Falsche Benutzernamen-Extraktion aus X.509-Zertifikaten

    CVE-2026-47838 Mittel

    SubjectDnX509PrincipalExtractor verarbeitet bestimmte fehlerhafte CN-Werte in X.509-Zertifikaten nicht korrekt, was zum Auslesen des falschen Werts für den Benutzernamen führen kann. Mit einem sorgfältig präparierten Zertifikat lässt sich dies ausnutzen. CVSS-Basiswert: 6.8 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 6.8 EPSS: 0.12% Publiziert: Referenz: NVD
  25. Spring Cloud Function – OOM-Fehler durch unendliche Rekursion im Routing

    CVE-2026-40989 Mittel

    In Spring Cloud Function kann eine unendliche Rekursion im Routing-Layer bei der Anfrageverarbeitung zu einem Out-of-Memory-Fehler führen. Betroffen sind Versionen von Spring Cloud Function 3.2.x vor 3.2.16. CVSS-Basiswert: 5.7 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 5.7 EPSS: 0.07% Publiziert: Referenz: NVD
  26. RabbitMQ: Schwachstelle im Messaging- und Streaming-Broker

    CVE-2026-44839 Mittel

    RabbitMQ ist ein Messaging- und Streaming-Broker; eine Schwachstelle betrifft die Versionen von 3.7.0 bis vor 4.1.2 und 4.0.13. Laut Quelle ist der Fehler in den Versionen 4.1.2 und 4.0.13 behoben. CVSS-Basiswert: 4.8 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: auf RabbitMQ 4.1.2 bzw. 4.0.13 oder neuer aktualisieren.

    CVSS: 4.8 EPSS: 0.03% Publiziert: Referenz: NVD
  27. Spring Framework: Regular-Expression-Denial-of-Service (ReDoS)

    CVE-2026-41848 Niedrig

    Anwendungen können für einen Regular-Expression-Denial-of-Service (ReDoS) anfällig sein, wenn ein Angreifer ein Muster bereitstellen kann, das direkt oder indirekt an eine der betroffenen Methoden übergeben wird. CVSS-Basiswert: 3.7 (Niedrig). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.

    CVSS: 3.7 EPSS: 0.32% Publiziert: Referenz: NVD
  28. Spring Expression Language (SpEL): Ungewollter Methodenaufruf

    CVE-2026-41852 Niedrig

    Eine Schwachstelle in der Auswertungslogik der Spring Expression Language (SpEL) erlaubt den Aufruf beliebiger argumentloser Methoden, selbst in eingeschränkten oder schreibgeschützten Kontexten. CVSS-Basiswert: 3.7 (Niedrig). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.

    CVSS: 3.7 EPSS: 0.16% Publiziert: Referenz: NVD
  29. Spring Security SAML: Entschlüsselung ohne gültige Signatur

    CVE-2026-41694 Niedrig

    Spring Security SAML entschlüsselt SAML-Responses sowie Elemente von SAML-LogoutRequests und LogoutResponses, ohne eine gültige Signatur zu verlangen. Dadurch könnten Angreifer entsprechende SAML-Payloads präparieren. CVSS-Basiswert: 3.7 (Niedrig). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: auf eine fehlerbereinigte Version aktualisieren.

    CVSS: 3.7 EPSS: 0.14% Publiziert: Referenz: NVD

Diesem Produkt-Feed folgen

Eigener RSS-Feed nur für VMware (Broadcom VMSA), kostenlos und ohne Anmeldung. Zustellung per E-Mail, Webhook, REST oder TAXII richten wir auf Anfrage ein.

RSS-Feed öffnen Zustellung anfragen

Wie folge ich dem Feed?

  • 1 RSS-Feed-Link kopieren oder direkt im RSS-Reader öffnen.
  • 2 Priorisierte Reports (KEV · EPSS · CVSS) landen automatisch in Ihrem Reader.
  • 3 Zustellung per E-Mail, Webhook, REST oder TAXII auf Anfrage einrichten lassen.
Zurück zum Katalog