<?xml version="1.0" encoding="UTF-8"?>
<rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom">
  <channel>
    <title>xonatec TI-Feed: Apache HTTP Server / ASF-Projekte</title>
    <link>https://feed.xonatec.ch/produkte/apache-http-server-asf-projekte</link>
    <description>Priorisierte Schwachstellen-Reports für Apache HTTP Server / ASF-Projekte. Kostenlos &amp; offen, stündlich aktualisiert.</description>
    <language>de</language>
    <lastBuildDate>Wed, 03 Jun 2026 00:00:00 GMT</lastBuildDate>
    <atom:link href="https://feed.xonatec.ch/rss/produkt/apache-http-server-asf-projekte.xml" rel="self" type="application/rss+xml" />
    <generator>xonatec TI-Feed RSS Generator</generator>
    <item>
      <title>🔴 CVE-2026-34197 — Apache ActiveMQ – Improper Input Validation (Jolokia JMX-HTTP Bridge)</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-34197</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-34197</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Apache ActiveMQ Classic exponiert die Jolokia JMX-HTTP-Bridge mit unzureichender Eingabevalidierung, was zu Code-Injection führen kann. CVSS-Basiswert: 8.8 (Hoch). Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 96.7 %.

Severity: Hoch · CVSS: 8.8 · EPSS: 96.7% · aktiv ausgenutzt (KEV)

Betroffene Produkte: apache-http-server-asf-projekte, apache-tomcat</description>
      <category>Hoch</category><category>KEV</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category>
    </item>
    <item>
      <title>🔴 CVE-2021-44228 — Apache Log4j2 Remote Code Execution Vulnerability (Log4Shell)</title>
      <link>https://feed.xonatec.ch/reports/cve-2021-44228</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2021-44228</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Apache Log4j2 enthält eine Schwachstelle, die die Ausführung von Schadcode aus der Ferne (Remote Code Execution) erlaubt. Wird laut CISA KEV aktiv ausgenutzt; die Aufnahme in den KEV-Katalog erfolgte am 2021-12-10. Bekannter Einsatz in Ransomware-Kampagnen. Ausnutzungswahrscheinlichkeit (EPSS): 100.0 %. Ein CVSS-Basiswert liegt in den Quelldaten nicht vor. Im CSAF/VEX-Advisory von SICK PSIRT sind 5 Produkte mit Fix ausgewiesen und keine Produkte als weiterhin betroffen. Die Lücke betrifft eine grosse Zahl überwachter Hersteller, darunter Atlassian, Oracle, Rockwell Automation, SolarWinds sowie die Apache-Projekte selbst.

Severity: Aktiv ausgenutzt · EPSS: 100.0% · aktiv ausgenutzt (KEV), Ransomware

Betroffene Produkte: asustor, atlassian-jira-confluence-bitbucket, ge-healthcare, honeywell, sick-psirt, wibu-systems, amd, java-openjdk-oracle, oracle-cpu-ebs-peoplesoft-weblogic, oracle-vm-virtualbox, rockwell-automation, solarwinds, apache-http-server-asf-projekte, apache-tomcat, omnissa-workspace-one-horizon</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Asustor</category><category>Atlassian (Jira/Confluence/Bitbucket)</category><category>GE HealthCare</category><category>Honeywell</category><category>SICK PSIRT</category><category>Wibu-Systems</category><category>AMD</category><category>Java/OpenJDK (Oracle)</category><category>Oracle (CPU/EBS/PeopleSoft/WebLogic)</category><category>Oracle VM/VirtualBox</category><category>Rockwell Automation</category><category>SolarWinds</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category><category>Omnissa</category>
    </item>
    <item>
      <title>🔴 CVE-2021-40438 — Apache HTTP Server – Server-Side Request Forgery (SSRF)</title>
      <link>https://feed.xonatec.ch/reports/cve-2021-40438</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2021-40438</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Apache HTTP Server wurde eine Server-Side Request Forgery (SSRF)-Schwachstelle identifiziert, die es Angreifern ermöglicht, den Server als Proxy für interne Anfragen zu missbrauchen. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 100.0 %.

Severity: Aktiv ausgenutzt · EPSS: 100.0% · aktiv ausgenutzt (KEV)

Betroffene Produkte: honeywell, zimbra, apache-http-server-asf-projekte, apache-tomcat</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Honeywell</category><category>Synacor / Zimbra</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category>
    </item>
    <item>
      <title>🔴 CVE-2017-5638 — Apache Struts Remote Code Execution</title>
      <link>https://feed.xonatec.ch/reports/cve-2017-5638</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2017-5638</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Apache Struts wurde eine Schwachstelle gemeldet, die Remote Code Execution ermöglicht. Wird laut CISA KEV aktiv ausgenutzt. Bekannter Einsatz in Ransomware-Kampagnen. Ausnutzungswahrscheinlichkeit (EPSS): 100.0 %.

Severity: Aktiv ausgenutzt · EPSS: 100.0% · aktiv ausgenutzt (KEV), Ransomware

Betroffene Produkte: apache-http-server-asf-projekte, apache-tomcat</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category>
    </item>
    <item>
      <title>🔴 CVE-2013-2251 — Apache Struts – Unzureichende Eingabevalidierung</title>
      <link>https://feed.xonatec.ch/reports/cve-2013-2251</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2013-2251</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Apache Struts wurde eine Schwachstelle durch unzureichende Eingabevalidierung gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 100.0 %.

Severity: Aktiv ausgenutzt · EPSS: 100.0% · aktiv ausgenutzt (KEV)

Betroffene Produkte: apache-http-server-asf-projekte, apache-tomcat</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category>
    </item>
    <item>
      <title>🔴 CVE-2018-11776 — Apache Struts Remote Code Execution</title>
      <link>https://feed.xonatec.ch/reports/cve-2018-11776</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2018-11776</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Apache Struts wurde eine Schwachstelle gemeldet, die Remote Code Execution ermöglicht. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 100.0 %.

Severity: Aktiv ausgenutzt · EPSS: 100.0% · aktiv ausgenutzt (KEV)

Betroffene Produkte: apache-http-server-asf-projekte, apache-tomcat</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category>
    </item>
    <item>
      <title>🔴 CVE-2021-41773 — Apache HTTP Server – Path Traversal</title>
      <link>https://feed.xonatec.ch/reports/cve-2021-41773</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2021-41773</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Apache HTTP Server wurde eine Path Traversal-Schwachstelle gemeldet, die unbefugten Zugriff auf Dateien ausserhalb des vorgesehenen Verzeichnisses ermöglicht. Wird laut CISA KEV aktiv ausgenutzt. Bekannter Einsatz in Ransomware-Kampagnen. Ausnutzungswahrscheinlichkeit (EPSS): 100.0 %.

Severity: Aktiv ausgenutzt · EPSS: 100.0% · aktiv ausgenutzt (KEV), Ransomware

Betroffene Produkte: apache-http-server-asf-projekte, apache-tomcat</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category>
    </item>
    <item>
      <title>🔴 CVE-2017-12617 — Apache Tomcat Remote Code Execution</title>
      <link>https://feed.xonatec.ch/reports/cve-2017-12617</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2017-12617</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Apache Tomcat wurde eine Schwachstelle gemeldet, die Remote Code Execution ermöglicht. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 100.0 %.

Severity: Aktiv ausgenutzt · EPSS: 100.0% · aktiv ausgenutzt (KEV)

Betroffene Produkte: apache-http-server-asf-projekte, apache-tomcat</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category>
    </item>
    <item>
      <title>🔴 CVE-2024-45195 — Apache OFBiz – Forced Browsing</title>
      <link>https://feed.xonatec.ch/reports/cve-2024-45195</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2024-45195</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Apache OFBiz wurde eine Schwachstelle durch erzwungenes Browsen (Forced Browsing) gemeldet, die unbefugten Zugriff auf geschützte Ressourcen ermöglichen kann. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 100.0 %.

Severity: Aktiv ausgenutzt · EPSS: 100.0% · aktiv ausgenutzt (KEV)

Betroffene Produkte: apache-http-server-asf-projekte, apache-tomcat</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category>
    </item>
    <item>
      <title>🔴 CVE-2021-45046 — Apache Log4j2 Deserialization of Untrusted Data</title>
      <link>https://feed.xonatec.ch/reports/cve-2021-45046</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2021-45046</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Apache Log4j2 ist von einer Deserialisierungs-Schwachstelle nicht vertrauenswürdiger Daten betroffen. Wird laut CISA KEV aktiv ausgenutzt; Aufnahme in den KEV-Katalog am 2023-05-01. Bekannter Einsatz in Ransomware-Kampagnen. Ein CVSS-Basiswert liegt in den Quelldaten nicht vor. Ausnutzungswahrscheinlichkeit (EPSS): 100.0 %. Zahlreiche Hersteller führen die Lücke in eigenen Advisories, darunter Asustor, Honeywell, Wibu-Systems, Rockwell Automation und SolarWinds.

Severity: Aktiv ausgenutzt · EPSS: 100.0% · aktiv ausgenutzt (KEV), Ransomware

Betroffene Produkte: asustor, honeywell, wibu-systems, rockwell-automation, solarwinds, apache-http-server-asf-projekte, apache-tomcat, omnissa-workspace-one-horizon</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Asustor</category><category>Honeywell</category><category>Wibu-Systems</category><category>Rockwell Automation</category><category>SolarWinds</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category><category>Omnissa</category>
    </item>
    <item>
      <title>🔴 CVE-2021-42013 — Apache HTTP Server – Path Traversal</title>
      <link>https://feed.xonatec.ch/reports/cve-2021-42013</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2021-42013</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Apache HTTP Server wurde eine Path Traversal-Schwachstelle gemeldet, die unbefugten Zugriff auf Dateien ausserhalb des vorgesehenen Verzeichnisses ermöglicht. Wird laut CISA KEV aktiv ausgenutzt. Bekannter Einsatz in Ransomware-Kampagnen. Ausnutzungswahrscheinlichkeit (EPSS): 100.0 %.

Severity: Aktiv ausgenutzt · EPSS: 100.0% · aktiv ausgenutzt (KEV), Ransomware

Betroffene Produkte: apache-http-server-asf-projekte, apache-tomcat</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category>
    </item>
    <item>
      <title>🔴 CVE-2024-38475 — Apache HTTP Server – Improper Escaping of Output</title>
      <link>https://feed.xonatec.ch/reports/cve-2024-38475</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2024-38475</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Apache HTTP Server wurde eine Schwachstelle durch unsachgemässes Escaping von Ausgaben (Improper Escaping of Output) gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 100.0 %.

Severity: Aktiv ausgenutzt · EPSS: 100.0% · aktiv ausgenutzt (KEV)

Betroffene Produkte: apache-http-server-asf-projekte, apache-tomcat</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category>
    </item>
    <item>
      <title>🔴 CVE-2025-24813 — Apache Tomcat – Path Equivalence Vulnerability</title>
      <link>https://feed.xonatec.ch/reports/cve-2025-24813</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2025-24813</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Apache Tomcat ist von einer Path-Equivalence-Schwachstelle betroffen, die aktiv ausgenutzt wird. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 99.9 %.

Severity: Aktiv ausgenutzt · EPSS: 99.9% · aktiv ausgenutzt (KEV)

Betroffene Produkte: avaya, ge-healthcare, apache-http-server-asf-projekte, apache-tomcat</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Avaya</category><category>GE HealthCare</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category>
    </item>
    <item>
      <title>🔴 CVE-2020-13927 — Apache Airflow Experimental API – Authentication Bypass</title>
      <link>https://feed.xonatec.ch/reports/cve-2020-13927</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2020-13927</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In der experimentellen API von Apache Airflow wurde eine Schwachstelle zur Umgehung der Authentifizierung (Authentication Bypass) gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 99.7 %.

Severity: Aktiv ausgenutzt · EPSS: 99.7% · aktiv ausgenutzt (KEV)

Betroffene Produkte: apache-http-server-asf-projekte, apache-tomcat</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category>
    </item>
    <item>
      <title>🔴 CVE-2023-46604 — Apache ActiveMQ – Deserialization of Untrusted Data</title>
      <link>https://feed.xonatec.ch/reports/cve-2023-46604</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2023-46604</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In Apache ActiveMQ besteht eine Schwachstelle durch unsichere Deserialisierung nicht vertrauenswürdiger Daten. Wird laut CISA KEV aktiv ausgenutzt; Aufnahme in den KEV-Katalog am 2023-11-02. Bekannter Einsatz in Ransomware-Kampagnen. Ein CVSS-Basiswert liegt in den Quelldaten nicht vor. Ausnutzungswahrscheinlichkeit (EPSS): 99.7 %. Betroffen sind neben ActiveMQ selbst auch Produkte von Rockwell Automation, SolarWinds und Veritas, die eigene Advisories dazu führen.

Severity: Aktiv ausgenutzt · EPSS: 99.7% · aktiv ausgenutzt (KEV), Ransomware

Betroffene Produkte: rockwell-automation, solarwinds, veritas, apache-http-server-asf-projekte, apache-tomcat</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Rockwell Automation</category><category>SolarWinds</category><category>Veritas</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category>
    </item>
    <item>
      <title>🔴 CVE-2017-12615 — Apache Tomcat Remote Code Execution auf Windows</title>
      <link>https://feed.xonatec.ch/reports/cve-2017-12615</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2017-12615</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Apache Tomcat unter Windows weist eine Schwachstelle auf, die entfernten Angreifern die Ausführung von beliebigem Code erlaubt. Betroffen sind laut Zuordnung Produkte von Synology, Apache HTTP Server/ASF-Projekte, Apache Tomcat und Microsoft. Wird laut CISA KEV aktiv ausgenutzt. Bekannter Einsatz in Ransomware-Kampagnen. Ein CVSS-Basiswert liegt in den Quelldaten nicht vor. Ausnutzungswahrscheinlichkeit (EPSS): 99.6 %. Synology führt die Lücke im Advisory Synology-SA-17:54 Tomcat.

Severity: Aktiv ausgenutzt · EPSS: 99.6% · aktiv ausgenutzt (KEV), Ransomware

Betroffene Produkte: synology, apache-http-server-asf-projekte, apache-tomcat, microsoft-windows, microsoft-exchange, microsoft-sharepoint</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Synology</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category><category>Microsoft Windows</category><category>Microsoft</category>
    </item>
    <item>
      <title>🔴 CVE-2017-9805 — Apache Struts – Deserialization of Untrusted Data</title>
      <link>https://feed.xonatec.ch/reports/cve-2017-9805</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2017-9805</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Apache Struts wurde eine Schwachstelle durch Deserialisierung nicht vertrauenswürdiger Daten gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 99.5 %.

Severity: Aktiv ausgenutzt · EPSS: 99.5% · aktiv ausgenutzt (KEV)

Betroffene Produkte: apache-http-server-asf-projekte, apache-tomcat</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category>
    </item>
    <item>
      <title>🔴 CVE-2024-38856 — Apache OFBiz – Incorrect Authorization</title>
      <link>https://feed.xonatec.ch/reports/cve-2024-38856</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2024-38856</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Apache OFBiz wurde eine Schwachstelle durch fehlerhafte Autorisierungsprüfungen gemeldet. Die Lücke ermöglicht es Angreifern, nicht autorisierte Aktionen auszuführen. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 99.4 %.

Severity: Aktiv ausgenutzt · EPSS: 99.4% · aktiv ausgenutzt (KEV)

Betroffene Produkte: apache-http-server-asf-projekte, apache-tomcat</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category>
    </item>
    <item>
      <title>🔴 CVE-2024-32113 — Apache OFBiz – Path Traversal</title>
      <link>https://feed.xonatec.ch/reports/cve-2024-32113</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2024-32113</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Apache OFBiz wurde eine Path Traversal-Schwachstelle gemeldet, die unbefugten Zugriff auf Dateien ausserhalb des vorgesehenen Verzeichnisses ermöglicht. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 99.4 %.

Severity: Aktiv ausgenutzt · EPSS: 99.4% · aktiv ausgenutzt (KEV)

Betroffene Produkte: apache-http-server-asf-projekte, apache-tomcat</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category>
    </item>
    <item>
      <title>🔴 CVE-2020-1938 — Apache Tomcat – Improper Privilege Management</title>
      <link>https://feed.xonatec.ch/reports/cve-2020-1938</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2020-1938</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Apache Tomcat wurde eine Schwachstelle durch unsachgemässes Rechtemanagement (Improper Privilege Management) gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 99.3 %.

Severity: Aktiv ausgenutzt · EPSS: 99.3% · aktiv ausgenutzt (KEV)

Betroffene Produkte: apache-http-server-asf-projekte, apache-tomcat</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category>
    </item>
    <item>
      <title>🔴 CVE-2024-27348 — Apache HugeGraph-Server – Improper Access Control</title>
      <link>https://feed.xonatec.ch/reports/cve-2024-27348</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2024-27348</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Apache HugeGraph-Server wurde eine Schwachstelle durch unzureichende Zugriffskontrolle (Improper Access Control) gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 99.2 %.

Severity: Aktiv ausgenutzt · EPSS: 99.2% · aktiv ausgenutzt (KEV)

Betroffene Produkte: apache-http-server-asf-projekte, apache-tomcat, n-able</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category><category>N-able</category>
    </item>
    <item>
      <title>🔴 CVE-2020-11978 — Apache Airflow – Command Injection</title>
      <link>https://feed.xonatec.ch/reports/cve-2020-11978</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2020-11978</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Apache Airflow wurde eine Command-Injection-Schwachstelle gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 99.1 %.

Severity: Aktiv ausgenutzt · EPSS: 99.1% · aktiv ausgenutzt (KEV)

Betroffene Produkte: apache-http-server-asf-projekte, apache-tomcat</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category>
    </item>
    <item>
      <title>🔴 CVE-2017-9791 — Apache Struts 1 – Unzureichende Eingabevalidierung</title>
      <link>https://feed.xonatec.ch/reports/cve-2017-9791</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2017-9791</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Apache Struts 1 wurde eine Schwachstelle durch unzureichende Eingabevalidierung gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 98.9 %.

Severity: Aktiv ausgenutzt · EPSS: 98.9% · aktiv ausgenutzt (KEV)

Betroffene Produkte: apache-http-server-asf-projekte, apache-tomcat</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category>
    </item>
    <item>
      <title>🔴 CVE-2019-17558 — Apache Solr VelocityResponseWriter – Remote Code Execution</title>
      <link>https://feed.xonatec.ch/reports/cve-2019-17558</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2019-17558</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Im Apache Solr VelocityResponseWriter-Plug-in wurde eine Schwachstelle gemeldet, die Remote Code Execution ermöglicht. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 98.6 %.

Severity: Aktiv ausgenutzt · EPSS: 98.6% · aktiv ausgenutzt (KEV)

Betroffene Produkte: apache-http-server-asf-projekte, apache-tomcat</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category>
    </item>
    <item>
      <title>🔴 CVE-2016-3088 — Apache ActiveMQ – Unzureichende Eingabevalidierung</title>
      <link>https://feed.xonatec.ch/reports/cve-2016-3088</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2016-3088</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Apache ActiveMQ wurde eine Schwachstelle durch unzureichende Eingabevalidierung gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 98.5 %.

Severity: Aktiv ausgenutzt · EPSS: 98.5% · aktiv ausgenutzt (KEV)

Betroffene Produkte: apache-http-server-asf-projekte, apache-tomcat</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category>
    </item>
    <item>
      <title>🔴 CVE-2020-17519 — Apache Flink – Improper Access Control</title>
      <link>https://feed.xonatec.ch/reports/cve-2020-17519</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2020-17519</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Apache Flink wurde eine Schwachstelle durch unzureichende Zugriffssteuerung gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 97.9 %.

Severity: Aktiv ausgenutzt · EPSS: 97.9% · aktiv ausgenutzt (KEV)

Betroffene Produkte: apache-http-server-asf-projekte, apache-tomcat, n-able</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category><category>N-able</category>
    </item>
    <item>
      <title>🔴 CVE-2023-27524 — Apache Superset – Unsichere Standardkonfiguration</title>
      <link>https://feed.xonatec.ch/reports/cve-2023-27524</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2023-27524</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Apache Superset wurde eine Schwachstelle durch unsichere Standardinitialisierung von Ressourcen (Insecure Default Initialization of Resource) gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 97.4 %.

Severity: Aktiv ausgenutzt · EPSS: 97.4% · aktiv ausgenutzt (KEV)

Betroffene Produkte: apache-http-server-asf-projekte, apache-tomcat</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category>
    </item>
    <item>
      <title>🔴 CVE-2020-1956 — Apache Kylin – OS Command Injection</title>
      <link>https://feed.xonatec.ch/reports/cve-2020-1956</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2020-1956</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Apache Kylin wurde eine OS Command Injection-Schwachstelle gemeldet, die eine Befehlseinschleusung über das Betriebssystem ermöglicht. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 97.3 %.

Severity: Aktiv ausgenutzt · EPSS: 97.3% · aktiv ausgenutzt (KEV)

Betroffene Produkte: apache-http-server-asf-projekte, apache-tomcat</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category>
    </item>
    <item>
      <title>🔴 CVE-2023-33246 — Apache RocketMQ – Command Execution</title>
      <link>https://feed.xonatec.ch/reports/cve-2023-33246</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2023-33246</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Apache RocketMQ wurde eine Schwachstelle zur Befehlsausführung (Command Execution) gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 96.6 %.

Severity: Aktiv ausgenutzt · EPSS: 96.6% · aktiv ausgenutzt (KEV)

Betroffene Produkte: apache-http-server-asf-projekte, apache-tomcat</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category>
    </item>
    <item>
      <title>🔴 CVE-2022-24112 — Apache APISIX – Authentication Bypass</title>
      <link>https://feed.xonatec.ch/reports/cve-2022-24112</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2022-24112</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Apache APISIX wurde eine Authentication Bypass-Schwachstelle gemeldet, die eine Umgehung der Authentifizierung ermöglicht. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 96.2 %.

Severity: Aktiv ausgenutzt · EPSS: 96.2% · aktiv ausgenutzt (KEV)

Betroffene Produkte: apache-http-server-asf-projekte, apache-tomcat</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category>
    </item>
    <item>
      <title>🔴 CVE-2020-17530 — Apache Struts Remote Code Execution</title>
      <link>https://feed.xonatec.ch/reports/cve-2020-17530</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2020-17530</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Apache Struts wurde eine Schwachstelle gemeldet, die Remote Code Execution ermöglicht. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 95.9 %.

Severity: Aktiv ausgenutzt · EPSS: 95.9% · aktiv ausgenutzt (KEV)

Betroffene Produkte: apache-http-server-asf-projekte, apache-tomcat</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category>
    </item>
    <item>
      <title>🔴 CVE-2016-4437 — Apache Shiro – Code Execution</title>
      <link>https://feed.xonatec.ch/reports/cve-2016-4437</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2016-4437</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Apache Shiro wurde eine Schwachstelle zur Codeausführung gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 93.0 %.

Severity: Aktiv ausgenutzt · EPSS: 93.0% · aktiv ausgenutzt (KEV)

Betroffene Produkte: apache-http-server-asf-projekte, apache-tomcat</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category>
    </item>
    <item>
      <title>🔴 CVE-2022-33891 — Apache Spark – Command Injection</title>
      <link>https://feed.xonatec.ch/reports/cve-2022-33891</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2022-33891</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Apache Spark wurde eine Command Injection-Schwachstelle gemeldet, die das Einschleusen von Befehlen ermöglicht. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 93.0 %.

Severity: Aktiv ausgenutzt · EPSS: 93.0% · aktiv ausgenutzt (KEV)

Betroffene Produkte: apache-http-server-asf-projekte, apache-tomcat</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category>
    </item>
    <item>
      <title>🔴 CVE-2022-24706 — Apache CouchDB – Unsichere Standardkonfiguration</title>
      <link>https://feed.xonatec.ch/reports/cve-2022-24706</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2022-24706</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Apache CouchDB wurde eine Schwachstelle durch unsichere Standardinitialisierung von Ressourcen (Insecure Default Initialization of Resource) gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 92.5 %.

Severity: Aktiv ausgenutzt · EPSS: 92.5% · aktiv ausgenutzt (KEV)

Betroffene Produkte: apache-http-server-asf-projekte, apache-tomcat</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category>
    </item>
    <item>
      <title>🔴 CVE-2016-8735 — Apache Tomcat Remote Code Execution</title>
      <link>https://feed.xonatec.ch/reports/cve-2016-8735</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2016-8735</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Apache Tomcat wurde eine Schwachstelle gemeldet, die Remote Code Execution ermöglicht. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 90.3 %.

Severity: Aktiv ausgenutzt · EPSS: 90.3% · aktiv ausgenutzt (KEV)

Betroffene Produkte: apache-http-server-asf-projekte, apache-tomcat</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category>
    </item>
    <item>
      <title>🔴 CVE-2019-0193 — Apache Solr DataImportHandler – Code Injection</title>
      <link>https://feed.xonatec.ch/reports/cve-2019-0193</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2019-0193</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Im Apache Solr DataImportHandler wurde eine Code-Injection-Schwachstelle gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 83.5 %.

Severity: Aktiv ausgenutzt · EPSS: 83.5% · aktiv ausgenutzt (KEV)

Betroffene Produkte: apache-http-server-asf-projekte, apache-tomcat</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category>
    </item>
    <item>
      <title>🔴 CVE-2012-0391 — Apache Struts 2 – Unzureichende Eingabevalidierung</title>
      <link>https://feed.xonatec.ch/reports/cve-2012-0391</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2012-0391</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Apache Struts 2 wurde eine Schwachstelle durch unzureichende Eingabevalidierung gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 75.1 %.

Severity: Aktiv ausgenutzt · EPSS: 75.1% · aktiv ausgenutzt (KEV)

Betroffene Produkte: apache-http-server-asf-projekte, apache-tomcat</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category>
    </item>
    <item>
      <title>🔴 CVE-2019-0211 — Apache HTTP Server Privilege Escalation Vulnerability</title>
      <link>https://feed.xonatec.ch/reports/cve-2019-0211</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2019-0211</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Im Apache HTTP Server wurde eine Schwachstelle zur Privilegienerweiterung gemeldet, die lokalen Angreifern höhere Rechte verschaffen kann. Betroffen sind Produkte von Synology, Apache HTTP Server/ASF-Projekte und Apache Tomcat. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 65.0 %.

Severity: Aktiv ausgenutzt · EPSS: 65.0% · aktiv ausgenutzt (KEV)

Betroffene Produkte: synology, apache-http-server-asf-projekte, apache-tomcat</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Synology</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category>
    </item>
    <item>
      <title>🔴 CVE-2006-1547 — Apache Struts 1 ActionForm Denial-of-Service</title>
      <link>https://feed.xonatec.ch/reports/cve-2006-1547</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2006-1547</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Apache Struts 1 wurde eine Denial-of-Service-Schwachstelle über das ActionForm-Objekt gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 54.6 %.

Severity: Aktiv ausgenutzt · EPSS: 54.6% · aktiv ausgenutzt (KEV)

Betroffene Produkte: apache-http-server-asf-projekte, apache-tomcat</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category>
    </item>
    <item>
      <title>CVE-2026-33453 — Apache Camel Camel-CoAP – Header-Injection durch unkontrollierte Objektattribute</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-33453</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-33453</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Die Komponente Apache Camel Camel-CoAP ist anfällig für eine unkontrollierte Modifikation dynamisch bestimmter Objektattribute, was eine Camel-Message-Header-Injection ermöglicht. CVSS-Basiswert: 10.0 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 6.1 %.

Severity: Kritisch · CVSS: 10 · EPSS: 6.1%

Betroffene Produkte: apache-http-server-asf-projekte, apache-tomcat</description>
      <category>Kritisch</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category>
    </item>
    <item>
      <title>CVE-2026-33264 — Unbeschränktes import_string() in BaseSerialization.deserialize() beim Laden serialisierter DAGs</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-33264</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-33264</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Ein Fehler in BaseSerialization.deserialize() erlaubte ein unbeschränktes import_string() von durch Angreifer kontrollierten Klassenpfaden, wenn Scheduler beziehungsweise API-Server einen serialisierten DAG luden. Laut Quelle konnte ein DAG-Autor auf diesem Weg eigene Klassenpfade einbetten. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 1.6 %. Laut CVSS-Vektor ist der Angriff über das Netz, ohne Rechte und ohne Nutzerinteraktion möglich.

Severity: Kritisch · CVSS: 9.8 · EPSS: 1.6%

Betroffene Produkte: apache-http-server-asf-projekte, apache-tomcat</description>
      <category>Kritisch</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category>
    </item>
    <item>
      <title>CVE-2026-40047 — Apache Camel: Argument Injection in der Docling-Komponente</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-40047</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-40047</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In der Docling-Komponente von Apache Camel werden Argument-Trennzeichen in Kommandos unzureichend neutralisiert (Argument Injection). Die Komponente camel-docling ruft das externe Kommando docling auf, wobei sich zusätzliche Argumente einschleusen lassen. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 1.6 %.

Severity: Kritisch · CVSS: 9.1 · EPSS: 1.6%

Betroffene Produkte: apache-http-server-asf-projekte, apache-tomcat</description>
      <category>Kritisch</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category>
    </item>
    <item>
      <title>CVE-2026-40860 — Apache Camel JMS – Unsichere Deserialisierung von ObjectMessage</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-40860</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-40860</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Apache Camel deserialisierte die Methode JmsBinding.extractBodyFromJms() eingehende JMS-ObjectMessage-Werte über javax.jms.ObjectMessage.getObject() ohne ausreichende Prüfung. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 1.0 %.

Severity: Kritisch · CVSS: 9.8 · EPSS: 1.0%

Betroffene Produkte: apache-http-server-asf-projekte, apache-tomcat</description>
      <category>Kritisch</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category>
    </item>
    <item>
      <title>CVE-2024-36265 — Incorrect Authorization in Apache Submarine Server Core</title>
      <link>https://feed.xonatec.ch/reports/cve-2024-36265</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2024-36265</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Eine fehlerhafte Autorisierung im Apache Submarine Server Core erlaubt es Angreifern, die Authentifizierung zu umgehen. Betroffen ist Apache Submarine Server Core ab Version 0.8.0; die Komponente ist laut Quelle bei Zuweisung nicht mehr unterstützt (UNSUPPORTED WHEN ASSIGNED). CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.7 %.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.7%

Betroffene Produkte: apache-http-server-asf-projekte, apache-tomcat</description>
      <category>Kritisch</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category>
    </item>
    <item>
      <title>CVE-2026-43867 — Apache Camel PQC: Deserialisierung nicht vertrauenswürdiger Daten</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-43867</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-43867</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Die Komponente camel-pqc von Apache Camel ist für die Deserialisierung nicht vertrauenswürdiger Daten anfällig. Sie speichert laut Quelle Metadaten von Post-Quantum-Schlüsseln (KeyMetadata) über austauschbare KeyLifecycleManager-Implementierungen persistent ab. CVSS-Basiswert: 9.8 (Kritisch). Laut CVSS-Vektor ist die Lücke über das Netz ohne Authentifizierung und ohne Benutzerinteraktion ausnutzbar. Ausnutzungswahrscheinlichkeit (EPSS): 0.7 %.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.7%

Betroffene Produkte: apache-http-server-asf-projekte, apache-tomcat</description>
      <category>Kritisch</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category>
    </item>
    <item>
      <title>CVE-2026-50628 — OAuthRequestFilter: Logikfehler bei der IP-Prüfung erlaubt Zugriff von beliebigen Adressen</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-50628</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-50628</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Ein Logikfehler im OAuthRequestFilter verwirft legitime Anfragen von der gebundenen IP-Adresse, lässt Anfragen von allen anderen IP-Adressen dagegen ungeprüft zu. Die Aktivierung dieser Sicherheitsfunktion kehrt ihre Wirkung damit ins Gegenteil um. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.7 %.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.7%

Betroffene Produkte: apache-http-server-asf-projekte, apache-tomcat</description>
      <category>Kritisch</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category>
    </item>
    <item>
      <title>CVE-2026-29167 — Apache HTTP Server: Use-after-free in mod_ldap</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-29167</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-29167</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Der Apache HTTP Server enthält bei Verwendung von mod_ldap in einer Per-Directory-Konfiguration eine Use-after-free-Schwachstelle. Betroffen sind die Versionen 2.4.0 bis 2.4.67. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.7 %. Empfohlene Massnahme: Der Hersteller empfiehlt ein Upgrade auf eine nicht betroffene Version gemäss Advisory.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.7%

Betroffene Produkte: apache-http-server-asf-projekte, apache-tomcat</description>
      <category>Kritisch</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category>
    </item>
    <item>
      <title>CVE-2026-42027 — Apache OpenNLP ExtensionLoader: Beliebige Klassen-Instanziierung</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-42027</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-42027</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Im Apache OpenNLP ExtensionLoader ermöglicht eine Schwachstelle die Instanziierung beliebiger Klassen über den Model Manifest, was zur Codeausführung missbraucht werden kann. Betroffen sind Versionen vor 2.5.9 und vor 3.0.0-M3. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.6 %.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.6%

Betroffene Produkte: apache-http-server-asf-projekte, apache-tomcat</description>
      <category>Kritisch</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category>
    </item>
    <item>
      <title>CVE-2026-50203 — Apache Airflow SFTP-Provider – Path Traversal</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-50203</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-50203</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Eine Path-Traversal-Schwachstelle im SFTP-Provider (`SFTPHook.retrieve_directory` bzw. `SFTPOperator(operation=get)`) erlaubt einem bösartigen oder kompromittierten entfernten SFTP-Server, Dateien ausserhalb des konfigurierten lokalen Zielverzeichnisses zu schreiben. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.6 %.

Severity: Kritisch · CVSS: 9.1 · EPSS: 0.6%

Betroffene Produkte: apache-http-server-asf-projekte, apache-tomcat</description>
      <category>Kritisch</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category>
    </item>
    <item>
      <title>CVE-2026-53913 — Apache Camel Keycloak: Fehlerhafte Authentifizierung in der KeycloakSecurityPolicy</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-53913</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-53913</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Die Komponente Apache Camel Keycloak ist von fehlerhafter Authentifizierung betroffen: Die KeycloakSecurityPolicy von camel-keycloak schützt eine kritische Funktion nicht zuverlässig und versagt im Fehlerfall nicht sicher, sondern öffnet den Zugriff (Failing Open). Der CVSS-Vektor (AV:N/AC:L/PR:N/UI:N) beschreibt einen Angriff über das Netzwerk ohne Authentifizierung und ohne Benutzerinteraktion mit vollständiger Auswirkung auf Vertraulichkeit, Integrität und Verfügbarkeit. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.6 %.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.6%

Betroffene Produkte: apache-http-server-asf-projekte, apache-tomcat</description>
      <category>Kritisch</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category>
    </item>
    <item>
      <title>CVE-2026-42535 — Apache HTTP Server mod_dav_fs: Manipulation der DAV-Property-Datenbanken</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-42535</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-42535</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Ein Fehler in der Pfadverarbeitung von mod_dav_fs in Apache 2.4.67 und älter erlaubt es einem WebDAV-Content-Author, vertrauenswürdige DAV-Property-Datenbanken direkt zu manipulieren. Das kann laut Quelle zum Absturz von Kindprozessen führen. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: auf eine Version neuer als Apache 2.4.67 aktualisieren.

Severity: Kritisch · CVSS: 9.1 · EPSS: 0.5%

Betroffene Produkte: apache-http-server-asf-projekte, apache-tomcat</description>
      <category>Kritisch</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category>
    </item>
    <item>
      <title>CVE-2026-49875 — Apache CXF: XXE durch fehlende JAXP-Härtung der SAXParserFactory</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-49875</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-49875</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Die Klassen EndpointReferenceUtils und W3CMultiSchemaFactory von Apache CXF erzeugen eine SAXParserFactory ohne die notwendigen JAXP-Härtungseinstellungen. Dadurch ist eine Auflösung externer Entitäten über Out-of-Band-Kanäle (XXE) möglich. CVSS-Basiswert: 9.8 (Kritisch). Laut CVSS-Vektor ist die Lücke über das Netzwerk ohne Authentifizierung und ohne Benutzerinteraktion ausnutzbar. Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.5%

Betroffene Produkte: apache-http-server-asf-projekte, apache-tomcat</description>
      <category>Kritisch</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category>
    </item>
    <item>
      <title>CVE-2026-24014 — Apache IoTDB: Unzureichende Pfadprüfung beim Anlegen von Trigger-Instanzen</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-24014</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-24014</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Die interne RPC-Schnittstelle des Apache IoTDB DataNode baut beim Anlegen von Trigger-Instanzen einen Dateipfad aus dem Namen des hochgeladenen Trigger-JARs, ohne ihn ausreichend zu validieren. Kritisch wird das laut Quellbeschreibung, wenn der interne DataNode-RPC-Port erreichbar ist. Die Schwachstelle ist ohne Authentifizierung über das Netzwerk ausnutzbar. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.5%

Betroffene Produkte: apache-http-server-asf-projekte, apache-tomcat</description>
      <category>Kritisch</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category>
    </item>
    <item>
      <title>CVE-2026-49257 — mcp-pinot – MCP-Server ohne Authentifizierung an 0.0.0.0:8080 gebunden</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-49257</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-49257</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>mcp-pinot ist ein Python-basierter Model-Context-Protocol-Server (MCP) für den Zugriff auf Apache Pinot. In Version 3.0.1 und älter startet mcp-pinot standardmässig einen HTTP-MCP-Server, der an 0.0.0.0:8080 gebunden wird und damit auf allen Netzwerkschnittstellen erreichbar ist. CVSS-Basiswert: 10 (Kritisch), Vektor CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H – ohne Rechte oder Nutzerinteraktion ausnutzbar, mit Scope-Wechsel. Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: auf eine Version neuer als 3.0.1 aktualisieren und den Dienst nur an localhost oder ein vertrauenswürdiges Interface binden.

Severity: Kritisch · CVSS: 10 · EPSS: 0.5%

Betroffene Produkte: python, apache-http-server-asf-projekte, apache-tomcat</description>
      <category>Kritisch</category><category>Python</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category>
    </item>
    <item>
      <title>CVE-2026-49268 — LDAP-Injection in DefaultLdapRealm über nicht bereinigten Benutzernamen</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-49268</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-49268</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Ein entfernter Angreifer kann LDAP-Sonderzeichen in die Konstruktion des Distinguished Name (DN) in der Klasse DefaultLdapRealm einschleusen. Vom Benutzer gelieferte Eingaben werden dabei direkt in die LDAP-DN-Vorlage verkettet (LDAP-Injection). CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %.

Severity: Kritisch · CVSS: 9.1 · EPSS: 0.5%

Betroffene Produkte: apache-http-server-asf-projekte, apache-tomcat</description>
      <category>Kritisch</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category>
    </item>
    <item>
      <title>CVE-2026-46454 — Apache Camel Cometd: fehlende Header-Filterung bei eingehenden Bayeux-Nachrichten</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-46454</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-46454</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Die Komponente camel-cometd von Apache Camel übernimmt eingehende Bayeux-(CometD-)Nachrichten-Header ohne Anwendung eines Header-Filters in den Camel Exchange. Dadurch besteht eine Schwachstelle durch unzureichende Eingabevalidierung. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: das Advisory des Apache-Projekts beachten und auf eine fehlerbereinigte Version aktualisieren.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.5%

Betroffene Produkte: apache-http-server-asf-projekte, apache-tomcat</description>
      <category>Kritisch</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category>
    </item>
    <item>
      <title>CVE-2026-44631 — Apache HTTP Server: Buffer Underwrite bei präparierten regulären Ausdrücken</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-44631</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-44631</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Der Apache HTTP Server enthält eine Buffer-Underwrite-Schwachstelle, die über präparierte reguläre Ausdrücke in der Konfiguration ausgelöst wird. Betroffen sind die Versionen 2.4.0 bis 2.4.67. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: Der Hersteller empfiehlt ein Upgrade auf eine nicht betroffene Version gemäss Advisory.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.5%

Betroffene Produkte: apache-http-server-asf-projekte, apache-tomcat</description>
      <category>Kritisch</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category>
    </item>
    <item>
      <title>CVE-2026-46456 — Apache Camel: Unzureichende Eingabevalidierung in der AWS2-SQS-Komponente</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-46456</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-46456</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Die Komponente camel-aws2-sqs von Apache Camel übernimmt eingehende Message-Attribute über eine komponentenspezifische HeaderFilterStrategy in den Camel Exchange. Die Eingabevalidierung ist dabei unzureichend. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.5%

Betroffene Produkte: apache-http-server-asf-projekte, apache-tomcat</description>
      <category>Kritisch</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category>
    </item>
    <item>
      <title>CVE-2026-24013 — Apache IoTDB: Authentifizierungsumgehung durch gefälschte sessionId in Thrift-RPC-Handlern</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-24013</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-24013</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In Apache IoTDB besteht eine Schwachstelle zur Authentifizierungsumgehung durch Spoofing. Bestimmte Thrift-RPC-Query-Handler prüfen den Parameter sessionId nicht streng genug, sodass ein Angreifer Anfragen mit einer gefälschten Session konstruieren kann. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %.

Severity: Kritisch · CVSS: 9.1 · EPSS: 0.5%

Betroffene Produkte: apache-http-server-asf-projekte, apache-tomcat</description>
      <category>Kritisch</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category>
    </item>
    <item>
      <title>CVE-2026-48204 — Apache Camel: Unzureichende Eingabevalidierung und Zugriffskontrolle in camel-mongodb-gridfs</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-48204</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-48204</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Die Komponente Camel MongoDB GridFS von Apache Camel weist eine unzureichende Eingabevalidierung in Kombination mit einer fehlerhaften Zugriffskontrolle auf. Der camel-mongodb-gridfs-Producer wählt die auszuführende GridFS-Operation anhand von Eingabedaten aus, was von Angreifern missbraucht werden kann. CVSS-Basiswert: 9.8 (Kritisch). Die Schwachstelle ist laut CVSS-Vektor über das Netzwerk ohne Authentifizierung und ohne Benutzerinteraktion ausnutzbar. Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.5%

Betroffene Produkte: apache-http-server-asf-projekte, apache-tomcat</description>
      <category>Kritisch</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category>
    </item>
    <item>
      <title>CVE-2026-50627 — Apache CXF: Fehlende Prüfung des &apos;aud&apos;-Claims bei JWT-Access-Tokens</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-50627</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-50627</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Die Klasse JwtAccessTokenValidator in Apache CXF validiert den &apos;aud&apos;-Claim (Audience) eingehender JWT-Access-Tokens nicht. Dadurch kann ein für einen Resource Server ausgestelltes JWT erfolgreich gegen einen anderen Resource Server wiederverwendet werden. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.

Severity: Kritisch · CVSS: 9.1 · EPSS: 0.4%

Betroffene Produkte: apache-http-server-asf-projekte, apache-tomcat</description>
      <category>Kritisch</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category>
    </item>
    <item>
      <title>CVE-2026-45558 — Roxy-WI – angreifbare HAProxy-section-save-Endpunkte</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-45558</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-45558</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Roxy-WI ist eine Weboberfläche zur Verwaltung von HAProxy-, Nginx-, Apache- und Keepalived-Servern. In Version 8.2.6.4 und älter sind die HAProxy-section-save-Endpunkte (POST /api/service/haproxy/&lt;server_id&gt;/section/) angreifbar; die Quellbeschreibung liegt nur gekürzt vor. CVSS-Basiswert: 9.9 (Kritisch), Vektor CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H – für die Ausnutzung über das Netz genügen niedrige Privilegien, der Scope wechselt. Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Da Roxy-WI die Konfiguration der verwalteten Server schreibt, betrifft eine Kompromittierung die gesamte dahinterliegende Proxy-/Webserver-Landschaft.

Severity: Kritisch · CVSS: 9.9 · EPSS: 0.4%

Betroffene Produkte: haproxy, nginx, apache-http-server-asf-projekte, apache-tomcat</description>
      <category>Kritisch</category><category>HAProxy</category><category>nginx</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category>
    </item>
    <item>
      <title>CVE-2026-56140 — Apache Camel: Unzureichende Eingabevalidierung in der AWS-SNS-Komponente</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-56140</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-56140</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Die AWS-SNS-Komponente von Apache Camel weist eine unzureichende Eingabevalidierung auf. Die Komponente camel-aws2-sns filtert Camel-Header über die komponentenspezifische Sns2HeaderFilterStrategy, die diese Filterung nicht vollständig durchsetzt. CVSS-Basiswert: 9.8 (Kritisch). Laut CVSS-Vektor ist die Lücke über das Netzwerk ohne Authentifizierung und ohne Benutzerinteraktion ausnutzbar. Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.4%

Betroffene Produkte: apache-http-server-asf-projekte, apache-tomcat</description>
      <category>Kritisch</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category>
    </item>
    <item>
      <title>CVE-2026-46455 — Apache Camel Keycloak: Unzureichender Ablauf von Sitzungen</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-46455</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-46455</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Die Apache-Camel-Keycloak-Komponente weist eine Schwachstelle durch unzureichenden Ablauf von Sitzungen (Insufficient Session Expiration) auf. Laut Quellbeschreibung baut der Security-Helper KeycloakSecurityHelper.parseAndVerifyAccessToken einen Keycloak-TokenVerifier fehlerhaft auf. Die Lücke ist ohne Authentifizierung über das Netzwerk ausnutzbar. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.4%

Betroffene Produkte: apache-http-server-asf-projekte, apache-tomcat</description>
      <category>Kritisch</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category>
    </item>
    <item>
      <title>CVE-2026-32966 — Apache DolphinScheduler: fehlende Autorisierungsprüfung in der DataSource-API</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-32966</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-32966</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In der DataSource-API von Apache DolphinScheduler fehlt eine Autorisierungsprüfung, wodurch Metadaten beliebiger Datenquellen offengelegt werden können. Betroffen sind Versionen vor 3.4.2. CVSS-Basiswert: 9.8 (Kritisch). Laut CVSS-Vektor ist die Lücke über das Netz ohne Authentifizierung und ohne Benutzerinteraktion ausnutzbar. Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: Aktualisierung auf Apache DolphinScheduler 3.4.2 oder neuer gemäss Herstellerempfehlung.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.4%

Betroffene Produkte: apache-http-server-asf-projekte, apache-tomcat</description>
      <category>Kritisch</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category>
    </item>
    <item>
      <title>CVE-2026-39999 — Apache APISIX: Authentifizierungsumgehung über das jwt-auth-Plugin</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-39999</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-39999</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In Apache APISIX besteht eine Schwachstelle zur Authentifizierungsumgehung durch Spoofing. Bei bestimmten Konfigurationen des jwt-auth-Plugins kann ein Angreifer die Authentifizierung vollständig umgehen. Der CVSS-Vektor weist die Lücke als über das Netz ohne Authentifizierung und ohne Nutzerinteraktion ausnutzbar aus. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: die Konfiguration des jwt-auth-Plugins prüfen und die vom Hersteller bereitgestellte Aktualisierung einspielen.

Severity: Kritisch · CVSS: 9.1 · EPSS: 0.4%

Betroffene Produkte: apache-http-server-asf-projekte, apache-tomcat</description>
      <category>Kritisch</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category>
    </item>
    <item>
      <title>CVE-2025-55017 — Apache IoTDB: Path Traversal</title>
      <link>https://feed.xonatec.ch/reports/cve-2025-55017</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2025-55017</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In Apache IoTDB besteht eine Path-Traversal-Schwachstelle (unzureichende Beschränkung eines Pfadnamens auf ein zulässiges Verzeichnis). Betroffen sind die Versionen ab 2.0.0 vor 2.0.6 sowie ab 1.0.0 vor 1.3.6. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: auf Apache IoTDB 2.0.6 bzw. 1.3.6 oder neuer aktualisieren.

Severity: Kritisch · CVSS: 9.1 · EPSS: 0.4%

Betroffene Produkte: apache-http-server-asf-projekte, apache-tomcat</description>
      <category>Kritisch</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category>
    </item>
    <item>
      <title>CVE-2025-64152 — Apache IoTDB: Path Traversal</title>
      <link>https://feed.xonatec.ch/reports/cve-2025-64152</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2025-64152</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In Apache IoTDB besteht eine Path-Traversal-Schwachstelle (unzureichende Beschränkung eines Pfadnamens auf ein zulässiges Verzeichnis). Betroffen sind die Versionen ab 1.0.0 vor 1.3.6 sowie ab 2.0.0 vor 2.0.7. Der CVSS-Vektor weist die Lücke als über das Netz ohne Authentifizierung und ohne Nutzerinteraktion ausnutzbar aus. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: auf Apache IoTDB 1.3.6 bzw. 2.0.7 oder neuer aktualisieren.

Severity: Kritisch · CVSS: 9.1 · EPSS: 0.4%

Betroffene Produkte: apache-http-server-asf-projekte, apache-tomcat</description>
      <category>Kritisch</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category>
    </item>
    <item>
      <title>CVE-2026-45556 — Roxy-WI: WAF-Regel-Speicherung akzeptiert beliebige Konfigurationsdateinamen</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-45556</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-45556</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Roxy-WI ist eine Weboberfläche zur Verwaltung von HAProxy-, Nginx-, Apache- und Keepalived-Servern. In den Versionen bis einschliesslich 8.2.6.4 akzeptiert der Endpunkt POST /waf/&lt;service&gt;/&lt;server_ip&gt;/rule/&lt;rule_id&gt;/save einen frei wählbaren Konfigurationsdateinamen. CVSS-Basiswert: 9.9 (Kritisch) bei netzbasiertem Angriffsvektor mit nur geringen Rechten und ohne Nutzerinteraktion. Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: auf eine Version neuer als 8.2.6.4 aktualisieren.

Severity: Kritisch · CVSS: 9.9 · EPSS: 0.4%

Betroffene Produkte: haproxy, nginx, apache-http-server-asf-projekte, apache-tomcat</description>
      <category>Kritisch</category><category>HAProxy</category><category>nginx</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category>
    </item>
    <item>
      <title>CVE-2026-48203 — Apache Camel Solr – Injection- und SSRF-Schwachstelle</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-48203</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-48203</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In der Apache-Camel-Solr-Komponente bestehen laut NVD mehrere Schwachstellen: unzureichende Neutralisierung von Sonderzeichen in der Ausgabe (Injection), mangelhafte Eingabevalidierung sowie Server-Side Request Forgery (SSRF). Der Angriff ist über das Netzwerk ohne Authentifizierung und ohne Benutzerinteraktion möglich. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.

Severity: Kritisch · CVSS: 9.1 · EPSS: 0.4%

Betroffene Produkte: apache-http-server-asf-projekte, apache-tomcat</description>
      <category>Kritisch</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category>
    </item>
    <item>
      <title>CVE-2026-48205 — Apache Camel DNS – Server-Side Request Forgery (SSRF)</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-48205</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-48205</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In der DNS-Komponente von Apache Camel ermöglichen unzureichende Eingabevalidierung und eine Server-Side Request Forgery (SSRF), dass die camel-dns-Producer DNS-Operationsparameter wie den abzufragenden Resolver oder Namen aus nicht vertrauenswürdiger Quelle verarbeiten. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.

Severity: Kritisch · CVSS: 9.1 · EPSS: 0.4%

Betroffene Produkte: apache-http-server-asf-projekte, apache-tomcat</description>
      <category>Kritisch</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category>
    </item>
    <item>
      <title>CVE-2026-53434 — Apache Tomcat – fehlerhafte Fehlerbehandlung bei CRL-Konfiguration für FFM-Connector</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-53434</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-53434</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In Apache Tomcat besteht laut NVD eine Schwachstelle der Klasse „Detection of Error Condition Without Action“ bei der Konfiguration von CRLs für einen FFM-basierten Connector. Betroffen sind unter anderem Apache Tomcat 11.0.0-M1 bis 11.0.22 sowie ab 10.1.x. Der Angriff ist netzwerkbasiert ohne Authentifizierung möglich. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: auf eine bereinigte Apache-Tomcat-Version aktualisieren.

Severity: Kritisch · CVSS: 9.1 · EPSS: 0.4%

Betroffene Produkte: apache-http-server-asf-projekte, apache-tomcat</description>
      <category>Kritisch</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category>
    </item>
    <item>
      <title>CVE-2026-55276 — Apache Tomcat – fehlerhafte Kontrollfluss-Implementierung bei web.xml-Auswertung</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-55276</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-55276</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Eine Schwachstelle durch eine grundsätzlich fehlerhafte Kontrollfluss-Implementierung (Always-Incorrect Control Flow) in Apache Tomcat führte dazu, dass spezielle Rollen und leere Autorisierungs-Constraints nicht berücksichtigt wurden, wenn die effektive web.xml protokolliert wurde. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: betroffene Tomcat-Version gemäss Apache-Advisory aktualisieren.

Severity: Kritisch · CVSS: 9.1 · EPSS: 0.4%

Betroffene Produkte: apache-http-server-asf-projekte, apache-tomcat</description>
      <category>Kritisch</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category>
    </item>
    <item>
      <title>CVE-2026-28564 — Apache IoTDB: REST-Basic-Authentifizierung akzeptiert veraltete Zugangsdaten aus dem Cache</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-28564</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-28564</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Apache IoTDB beendet Sitzungen nicht ausreichend und ist für eine Authentifizierungsumgehung per Capture-Replay anfällig: Die REST-Basic-Authentifizierung akzeptiert veraltete, zwischengespeicherte Zugangsdaten. Angreifer können abgefangene Anmeldedaten dadurch weiterverwenden, obwohl sie nicht mehr gültig sein sollten. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Die Quelldaten nennen keine konkrete Massnahme; die betroffenen Versionsangaben sind in der NVD-Meldung nur unvollständig überliefert.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.4%

Betroffene Produkte: apache-http-server-asf-projekte, apache-tomcat</description>
      <category>Kritisch</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category>
    </item>
    <item>
      <title>CVE-2026-40005 — Apache IoTDB: Path Traversal ermöglicht Schreiben beliebiger Dateien</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-40005</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-40005</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In Apache IoTDB besteht eine unzureichende Beschränkung von Pfadangaben (Path Traversal). Ein Angreifer kann dadurch beliebige Dateien überall dort schreiben, wo der IoTDB-Prozess Schreibrechte besitzt. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: Die Aktualisierung gemäss dem Apache-Advisory für IoTDB einspielen.

Severity: Kritisch · CVSS: 9.1 · EPSS: 0.3%

Betroffene Produkte: apache-http-server-asf-projekte, apache-tomcat</description>
      <category>Kritisch</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category>
    </item>
    <item>
      <title>CVE-2026-32967 — Apache DolphinScheduler: Fehlerhafte Autorisierung der experimentellen /v2-Schnittstelle</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-32967</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-32967</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In Apache DolphinScheduler besteht eine Schwachstelle durch fehlerhafte Autorisierung an der experimentellen Schnittstelle /v2. Betroffen sind laut Quelle alle Versionen vor 3.4.2. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: Auf Apache DolphinScheduler 3.4.2 oder neuer aktualisieren.

Severity: Kritisch · CVSS: 9.1 · EPSS: 0.3%

Betroffene Produkte: apache-http-server-asf-projekte, apache-tomcat</description>
      <category>Kritisch</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category>
    </item>
    <item>
      <title>CVE-2026-40008 — Apache IoTDB: Unsafe Reflection im Pipe-Processor</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-40008</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-40008</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In Apache IoTDB besteht eine Schwachstelle durch unsichere Reflection: Der Pipe-Processor liest einen voll qualifizierten Java-Klassennamen aus extern kontrollierter Eingabe und instanziiert die Klasse. Dadurch lassen sich Klassen bzw. Code auswählen, die nicht vorgesehen sind. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: das Advisory des Apache-Projekts beachten und auf eine fehlerbereinigte Version aktualisieren.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.3%

Betroffene Produkte: apache-http-server-asf-projekte, apache-tomcat, java-openjdk-oracle</description>
      <category>Kritisch</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category><category>Java/OpenJDK (Oracle)</category>
    </item>
    <item>
      <title>CVE-2026-47898 — Apache Lucene.Net: XML External Entity (XXE) in Lucene.Net.Analysis.Common</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-47898</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-47898</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In der Bibliothek Lucene.Net.Analysis.Common von Apache Lucene.Net werden XML-Referenzen auf externe Entitäten nicht ausreichend eingeschränkt (XXE). Betroffen sind Versionen ab 4.8.0-beta. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.3%

Betroffene Produkte: apache-http-server-asf-projekte, apache-tomcat, net-microsoft</description>
      <category>Kritisch</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category><category>.NET / Microsoft</category>
    </item>
    <item>
      <title>CVE-2026-33454 — Apache Camel-Mail – Header-Injection durch unzureichende Filterung</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-33454</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-33454</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Die Apache Camel-Mail-Komponente ist anfällig für eine Camel-Message-Header-Injection. Die verwendete Header-Filterstrategie (MailHeaderFilterStrategy) filtert ausgehende Richtungen unzureichend, was die Manipulation von Mail-Headern ermöglicht. CVSS-Basiswert: 9.4 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.

Severity: Kritisch · CVSS: 9.4 · EPSS: 0.3%

Betroffene Produkte: apache-http-server-asf-projekte, apache-tomcat</description>
      <category>Kritisch</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category>
    </item>
    <item>
      <title>CVE-2026-41042 — Apache Gravitino: Codeausführung über bösartige H2-JDBC-URL in testConnection</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-41042</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-41042</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In Apache Gravitino können nicht authentifizierte Aufrufer über die testConnection-API eine bösartige H2-JDBC-URL übergeben. Über den INIT-Parameter von H2 wird dabei beliebiger Java-Code auf dem Server ausgeführt. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.

Severity: Kritisch · CVSS: 9.1 · EPSS: 0.3%

Betroffene Produkte: java-openjdk-oracle, apache-http-server-asf-projekte, apache-tomcat</description>
      <category>Kritisch</category><category>Java/OpenJDK (Oracle)</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category>
    </item>
    <item>
      <title>CVE-2026-41409 — Apache MINA – Unvollständiger Fix für CVE-2024-52046 (Deserialisierung)</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-41409</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-41409</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Der Fix für CVE-2024-52046 in Apache MINA AbstractIoBuffer.getObject() war unvollständig: Die Klassen-Allowlist für erlaubte Deserialisierungen wurde zu spät – nach einem statischen Initializer – angewendet. Dadurch blieb die unsichere Deserialisierung weiterhin möglich. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.3%

Betroffene Produkte: apache-http-server-asf-projekte, apache-tomcat</description>
      <category>Kritisch</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category>
    </item>
    <item>
      <title>CVE-2026-45552 — Roxy-WI: unvollständige JWT-Absicherung des Install-Blueprints</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-45552</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-45552</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Roxy-WI, eine Weboberfläche zur Verwaltung von HAProxy-, Nginx-, Apache- und Keepalived-Servern, deklariert laut NVD in Version 8.2.6.4 und älter im Install-Blueprint lediglich bp.before_request → @jwt_required(), womit die Absicherung der Routen unvollständig bleibt. CVSS-Basiswert: 9.9 (Kritisch), Vektor CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H. Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: Roxy-WI auf eine Version neuer als 8.2.6.4 aktualisieren; betroffen sind die damit verwalteten Webserver-Dienste.

Severity: Kritisch · CVSS: 9.9 · EPSS: 0.3%

Betroffene Produkte: haproxy, nginx, apache-http-server-asf-projekte, apache-tomcat</description>
      <category>Kritisch</category><category>HAProxy</category><category>nginx</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category>
    </item>
    <item>
      <title>CVE-2026-49871 — cas-auth-Plugin: Cross-Site Request Forgery in der Standardkonfiguration</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-49871</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-49871</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Im cas-auth-Plugin besteht in der Standardkonfiguration eine Cross-Site-Request-Forgery-Schwachstelle (CSRF). Ein entfernter Angreifer, der ein Opfer auf eine von ihm kontrollierte Webseite lockt, kann die Lücke laut Quelle ausnutzen. CVSS-Basiswert: 9.3 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.

Severity: Kritisch · CVSS: 9.3 · EPSS: 0.3%

Betroffene Produkte: apache-http-server-asf-projekte, apache-tomcat</description>
      <category>Kritisch</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category>
    </item>
    <item>
      <title>CVE-2026-42778 — Apache MINA – Unvollständiger Fix für CVE-2026-41409 in Branches 2.1.x und 2.2.x</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-42778</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-42778</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Der Fix für CVE-2026-41409 wurde nicht auf die Branches 2.1.x und 2.2.x von Apache MINA angewendet. Das ursprüngliche Problem betrifft die Methode AbstractIoBuffer.getObject(), in der der Fix für CVE-2024-52046 unvollständig implementiert wurde. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.3%

Betroffene Produkte: apache-http-server-asf-projekte, apache-tomcat</description>
      <category>Kritisch</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category>
    </item>
    <item>
      <title>CVE-2026-58319 — Apache Doris FE – administrative REST-APIs ohne Authentifizierung erreichbar</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-58319</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-58319</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Bestimmte administrative HTTP-REST-APIs des Apache Doris Frontend (FE) waren ohne ordnungsgemässe Authentifizierung erreichbar. Ein nicht authentifizierter Angreifer mit Netzwerkzugriff auf den FE-HTTP-Dienst konnte dadurch unautorisierte administrative Aktionen ausführen. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: Netzwerkzugriff auf den FE-HTTP-Dienst einschränken und Updates gemäss Herstellerangaben einspielen.

Severity: Kritisch · CVSS: 9.1 · EPSS: 0.3%

Betroffene Produkte: apache-http-server-asf-projekte, apache-tomcat</description>
      <category>Kritisch</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category>
    </item>
    <item>
      <title>CVE-2026-41293 — Apache Tomcat – Unzureichende Eingabevalidierung</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-41293</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-41293</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Apache Tomcat wurde eine Schwachstelle durch unzureichende Eingabevalidierung identifiziert. Betroffen sind mehrere Versionszweige, darunter 11.0.0-M1 bis 11.0.21, 10.1.0-M1 bis 10.1.54 sowie 9.0.0.M1 und spätere. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.3%

Betroffene Produkte: apache-http-server-asf-projekte, apache-tomcat</description>
      <category>Kritisch</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category>
    </item>
    <item>
      <title>CVE-2026-40453 — Apache Camel: Unvollständiger Fix für CVE-2025-27636 ermöglicht Header-Injection</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-40453</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-40453</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Der Fix für CVE-2025-27636 in Apache Camel setzte setLowerCase(true) in HttpHeaderFilterStrategy, um Varianten von Header-Namen wie „CAmelExecCommandExecutable” herauszufiltern. Dieser Fix ist unvollständig und kann weiterhin für die Ausführung von Befehren über manipulierte Header ausgenutzt werden. CVSS-Basiswert: 9.9 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.

Severity: Kritisch · CVSS: 9.9 · EPSS: 0.2%

Betroffene Produkte: apache-http-server-asf-projekte, apache-tomcat</description>
      <category>Kritisch</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category>
    </item>
    <item>
      <title>CVE-2026-49230 — Apache APISIX – Authentifizierungsumgehung im jwe-decrypt-Plugin</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-49230</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-49230</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In Apache APISIX ist das jwe-decrypt-Plugin in der Standardkonfiguration durch eine fehlerhafte Prüfung des Integritätswerts anfällig für eine Authentifizierungsumgehung. Angreifer können damit die Authentifizierung umgehen. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.

Severity: Kritisch · CVSS: 9.1 · EPSS: 0.2%

Betroffene Produkte: apache-http-server-asf-projekte, apache-tomcat</description>
      <category>Kritisch</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category>
    </item>
    <item>
      <title>CVE-2026-33557 — Apache Kafka – Unsichere Standard-JWT-Validierungsklasse (SASL/OAUTHBEARER)</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-33557</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-33557</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Apache Kafka ist die Broker-Eigenschaft für die JWT-Validierung (sasl.oauthbearer.jwt.validator.class) standardmässig auf eine unsichere Klasse gesetzt, was eine potenzielle Sicherheitslücke darstellt. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.

Severity: Kritisch · CVSS: 9.1 · EPSS: 0.2%

Betroffene Produkte: apache-http-server-asf-projekte, apache-tomcat, rabbitmq-kafka</description>
      <category>Kritisch</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category><category>RabbitMQ/Kafka</category>
    </item>
    <item>
      <title>CVE-2026-41041 — Apache Gravitino: URL-Path-Injection über nicht kodierte, benutzerdefinierte Bezeichner</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-41041</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-41041</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In Apache Gravitino lassen sich über nicht kodierte, von Benutzern gelieferte Bezeichner Pfade in URLs manipulieren (URL-Path-Injection). Betroffen sind die Versionen ab 1.0.0 vor 1.2.1. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: Laut Quelle wird Anwendern ein Upgrade auf eine fehlerbereinigte Version empfohlen.

Severity: Kritisch · CVSS: 9.1 · EPSS: 0.2%

Betroffene Produkte: apache-http-server-asf-projekte, apache-tomcat</description>
      <category>Kritisch</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category>
    </item>
    <item>
      <title>CVE-2026-44087 — Apache APISIX: Identitäts-Spoofing im openid-connect-Plugin</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-44087</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-44087</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In Apache APISIX wird die Authentizität von Daten unzureichend geprüft. Das Plugin openid-connect bietet in der Standardkonfiguration eine Angriffsfläche, über die Angreifer Identitäts-Header fälschen können. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.

Severity: Kritisch · CVSS: 9.1 · EPSS: 0.2%

Betroffene Produkte: apache-http-server-asf-projekte, apache-tomcat</description>
      <category>Kritisch</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category>
    </item>
    <item>
      <title>CVE-2026-45550 — Roxy-WI: Unzureichende Berechtigungsprüfung im Endpunkt PUT /smon/check</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-45550</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-45550</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Roxy-WI ist eine Weboberfläche zur Verwaltung von HAProxy-, Nginx-, Apache- und Keepalived-Servern. In Version 8.2.6.4 und älter prüft der Endpunkt PUT /smon/check (app/routes/smon/routes.py:117-138) die Berechtigungen nur unzureichend, sodass angemeldete Benutzer mit geringen Rechten Aktionen ausserhalb ihres Zuständigkeitsbereichs auslösen können. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.

Severity: Kritisch · CVSS: 9.1 · EPSS: 0.2%

Betroffene Produkte: haproxy, nginx, apache-http-server-asf-projekte, apache-tomcat, check-point</description>
      <category>Kritisch</category><category>HAProxy</category><category>nginx</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category><category>Check Point</category>
    </item>
    <item>
      <title>CVE-2026-41873 — Apache Pony Mail: HTTP Request Smuggling – Admin-Übernahme</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-41873</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-41873</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Apache Pony Mail (nicht mehr unterstützt) ermöglicht eine Schwachstelle durch inkonsistente Interpretation von HTTP-Anfragen (HTTP Request/Response Smuggling) die Übernahme von Administrator-Konten. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.2%

Betroffene Produkte: apache-http-server-asf-projekte, apache-tomcat</description>
      <category>Kritisch</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category>
    </item>
    <item>
      <title>CVE-2026-59084 — Apache Tomcat: Unzureichende Dokumentation zur sicheren EncryptInterceptor-Konfiguration</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-59084</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-59084</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Eine unzureichende technische Dokumentation in Apache Tomcat führte dazu, dass die Voraussetzungen für eine sichere Konfiguration des EncryptInterceptor nicht klar beschrieben waren. Dadurch konnte der Interceptor unbeabsichtigt unsicher betrieben werden. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Eine aktive Ausnutzung über CISA KEV oder ein Ransomware-Bezug ist nicht bekannt. Empfohlene Massnahme: die Dokumentationshinweise beachten, die EncryptInterceptor-Konfiguration entsprechend absichern und verfügbare Aktualisierungen einspielen.

Severity: Kritisch · CVSS: 9.1 · EPSS: 0.2%

Betroffene Produkte: apache-http-server-asf-projekte, apache-tomcat</description>
      <category>Kritisch</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category>
    </item>
    <item>
      <title>CVE-2026-59083 — Apache Tomcat – Umgehung von Security Constraints im Rewrite-Valve</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-59083</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-59083</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Eine fehlerhafte Verarbeitung von URL-Encoding (Hex-Encoding) im Rewrite-Valve von Apache Tomcat erlaubt bei bestimmten Konfigurationen die Umgehung von Security Constraints. Betroffen ist Apache Tomcat ab Version 11.0. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: die Rewrite-Valve-Konfiguration prüfen und auf eine bereinigte Tomcat-Version aktualisieren, sobald verfügbar.

Severity: Kritisch · CVSS: 9.1 · EPSS: 0.2%

Betroffene Produkte: apache-http-server-asf-projekte, apache-tomcat</description>
      <category>Kritisch</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category>
    </item>
    <item>
      <title>CVE-2026-27446 — Apache ActiveMQ Artemis – Fehlende Authentifizierung ermöglicht Broker-Manipulation</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-27446</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-27446</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Apache Artemis bzw. Apache ActiveMQ Artemis fehlt für kritische Funktionen eine Authentifizierung (CWE-306). Ein nicht authentifizierter entfernter Angreifer kann über das Core-Protokoll einen Ziel-Broker zu unerlaubten Aktionen zwingen. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.2%

Betroffene Produkte: apache-http-server-asf-projekte, apache-tomcat</description>
      <category>Kritisch</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category>
    </item>
    <item>
      <title>CVE-2026-48207 — Apache Fury (PyFory) – Deserialisierung nicht vertrauenswürdiger Daten</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-48207</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-48207</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Apache Fury (PyFory) kann der ReduceSerializer die dokumentierten DeserializationPolicy-Validierungshooks während der Wiederherstellung des Reduce-Zustands und der globalen Namensauflösung umgehen. Dies ermöglicht die Deserialisierung nicht vertrauenswürdiger Daten mit potenziell schwerwiegenden Folgen. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.1%

Betroffene Produkte: apache-http-server-asf-projekte, apache-tomcat</description>
      <category>Kritisch</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category>
    </item>
    <item>
      <title>CVE-2026-43512 — Apache Tomcat – Authentication Bypass in Digest-Authentifizierung (DEPRECATED)</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-43512</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-43512</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Apache Tomcat besteht eine als veraltet (DEPRECATED) markierte Schwachstelle in der Digest-Authentifizierung, die eine Umgehung der Authentifizierung ermöglicht. Betroffen sind Versionen von 11.0.0-M1 bis 11.0.21 sowie von 10.1.0-M1 bis 10.1.54. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.1%

Betroffene Produkte: apache-http-server-asf-projekte, apache-tomcat</description>
      <category>Kritisch</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category>
    </item>
    <item>
      <title>CVE-2026-42812 — Apache Iceberg – Manipulation von Metadaten-Pfaden ermöglicht unbefugten Datenzugriff</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-42812</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-42812</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Apache Iceberg sind Metadaten-Dateien Steuerungsdateien, die festlegen, welche Datendateien zur Tabelle gehören. Der optionale Tabellen-Property-Parameter write.metadata.path kann missbraucht werden, um Metadaten-Dateien an einen nicht autorisierten Speicherort zu schreiben und so unbefugten Zugriff auf Daten zu erlangen. CVSS-Basiswert: 9.9 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

Severity: Kritisch · CVSS: 9.9 · EPSS: 0.1%

Betroffene Produkte: apache-http-server-asf-projekte, apache-tomcat</description>
      <category>Kritisch</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category>
    </item>
    <item>
      <title>CVE-2026-42810 — Apache Polaris – Wildcard-Zeichen in Tabellennamen ermöglichen übermässige S3-Zugriffsrechte</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-42810</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-42810</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Apache Polaris akzeptiert wörtliche Wildcard-Zeichen (*) in Namespace- und Tabellennamen. Beim Aufbau temporärer S3-Zugriffsrichtlinien für delegierten Tabellenzugriff werden diese Zeichen unbehandelt übernommen, was zu übermässig weitreichenden Zugriffsrechten führen kann. CVSS-Basiswert: 9.9 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

Severity: Kritisch · CVSS: 9.9 · EPSS: 0.1%

Betroffene Produkte: apache-http-server-asf-projekte, apache-tomcat</description>
      <category>Kritisch</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category>
    </item>
  </channel>
</rss>
