<?xml version="1.0" encoding="UTF-8"?>
<rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom">
  <channel>
    <title>xonatec TI-Feed: Ghost/Strapi/Sitecore/Kentico/Plone</title>
    <link>https://feed.xonatec.ch/produkte/ghost-strapi-sitecore-kentico-plone</link>
    <description>Priorisierte Schwachstellen-Reports für Ghost/Strapi/Sitecore/Kentico/Plone. Kostenlos &amp; offen, stündlich aktualisiert.</description>
    <language>de</language>
    <lastBuildDate>Wed, 03 Jun 2026 00:00:00 GMT</lastBuildDate>
    <atom:link href="https://feed.xonatec.ch/rss/produkt/ghost-strapi-sitecore-kentico-plone.xml" rel="self" type="application/rss+xml" />
    <generator>xonatec TI-Feed RSS Generator</generator>
    <item>
      <title>🔴 CVE-2021-42237 — Sitecore XP – Remote Command Execution Vulnerability</title>
      <link>https://feed.xonatec.ch/reports/cve-2021-42237</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2021-42237</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Sitecore XP besteht eine Schwachstelle, die unauthentifizierte Remotecodeausführung ermöglicht. Wird laut CISA KEV aktiv ausgenutzt. Bekannter Einsatz in Ransomware-Kampagnen. Ausnutzungswahrscheinlichkeit (EPSS): 94.4 %.

Severity: Aktiv ausgenutzt · EPSS: 94.4% · aktiv ausgenutzt (KEV), Ransomware

Betroffene Produkte: ghost-strapi-sitecore-kentico-plone</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Ghost/Strapi/Sitecore/Kentico/Plone</category>
    </item>
    <item>
      <title>🔴 CVE-2019-10068 — Kentico Xperience – Deserialization of Untrusted Data</title>
      <link>https://feed.xonatec.ch/reports/cve-2019-10068</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2019-10068</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Kentico Xperience besteht eine Schwachstelle durch Deserialisierung nicht vertrauenswürdiger Daten. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 93.8 %.

Severity: Aktiv ausgenutzt · EPSS: 93.8% · aktiv ausgenutzt (KEV)

Betroffene Produkte: ghost-strapi-sitecore-kentico-plone</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Ghost/Strapi/Sitecore/Kentico/Plone</category>
    </item>
    <item>
      <title>🔴 CVE-2025-2747 — Kentico Xperience CMS – Authentication Bypass (zweite Schwachstelle)</title>
      <link>https://feed.xonatec.ch/reports/cve-2025-2747</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2025-2747</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Kentico Xperience CMS besteht eine weitere Schwachstelle, die eine Umgehung der Authentifizierung über einen alternativen Pfad oder Kanal ermöglicht. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 91.4 %.

Severity: Aktiv ausgenutzt · EPSS: 91.4% · aktiv ausgenutzt (KEV)

Betroffene Produkte: ghost-strapi-sitecore-kentico-plone</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Ghost/Strapi/Sitecore/Kentico/Plone</category>
    </item>
    <item>
      <title>🔴 CVE-2025-2746 — Kentico Xperience CMS – Authentication Bypass</title>
      <link>https://feed.xonatec.ch/reports/cve-2025-2746</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2025-2746</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Kentico Xperience CMS besteht eine Schwachstelle, die eine Umgehung der Authentifizierung über einen alternativen Pfad oder Kanal ermöglicht. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 90.2 %.

Severity: Aktiv ausgenutzt · EPSS: 90.2% · aktiv ausgenutzt (KEV)

Betroffene Produkte: ghost-strapi-sitecore-kentico-plone</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Ghost/Strapi/Sitecore/Kentico/Plone</category>
    </item>
    <item>
      <title>🔴 CVE-2019-9874 — Sitecore CMS und Experience Platform – Deserialization Vulnerability</title>
      <link>https://feed.xonatec.ch/reports/cve-2019-9874</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2019-9874</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Sitecore CMS und der Experience Platform (XP) besteht eine Schwachstelle durch Deserialisierung nicht vertrauenswürdiger Daten. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 87.6 %.

Severity: Aktiv ausgenutzt · EPSS: 87.6% · aktiv ausgenutzt (KEV)

Betroffene Produkte: ghost-strapi-sitecore-kentico-plone</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Ghost/Strapi/Sitecore/Kentico/Plone</category>
    </item>
    <item>
      <title>🔴 CVE-2019-9875 — Sitecore CMS und Experience Platform – Deserialization Vulnerability</title>
      <link>https://feed.xonatec.ch/reports/cve-2019-9875</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2019-9875</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Sitecore CMS und der Experience Platform (XP) besteht eine weitere Schwachstelle durch Deserialisierung nicht vertrauenswürdiger Daten. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 56.7 %.

Severity: Aktiv ausgenutzt · EPSS: 56.7% · aktiv ausgenutzt (KEV)

Betroffene Produkte: ghost-strapi-sitecore-kentico-plone</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Ghost/Strapi/Sitecore/Kentico/Plone</category>
    </item>
    <item>
      <title>🔴 CVE-2025-53690 — Sitecore – Deserialization of Untrusted Data (mehrere Produkte)</title>
      <link>https://feed.xonatec.ch/reports/cve-2025-53690</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2025-53690</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In mehreren Sitecore-Produkten besteht eine Schwachstelle durch Deserialisierung nicht vertrauenswürdiger Daten. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 5.2 %.

Severity: Aktiv ausgenutzt · EPSS: 5.2% · aktiv ausgenutzt (KEV)

Betroffene Produkte: ghost-strapi-sitecore-kentico-plone</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Ghost/Strapi/Sitecore/Kentico/Plone</category>
    </item>
    <item>
      <title>🔴 CVE-2025-2749 — Kentico Xperience – Path Traversal Vulnerability</title>
      <link>https://feed.xonatec.ch/reports/cve-2025-2749</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2025-2749</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Kentico Xperience besteht eine Path-Traversal-Schwachstelle. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 4.8 %.

Severity: Aktiv ausgenutzt · EPSS: 4.8% · aktiv ausgenutzt (KEV)

Betroffene Produkte: ghost-strapi-sitecore-kentico-plone</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Ghost/Strapi/Sitecore/Kentico/Plone</category>
    </item>
    <item>
      <title>CVE-2026-26980 — Ghost CMS – Unauthenticated Arbitrary Database Read</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-26980</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-26980</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Ghost (Node.js-CMS) ermöglichen die Versionen 3.24.0 bis 6.19.0 nicht authentifizierten Angreifern beliebige Lesezugriffe auf die Datenbank. Das Problem wurde in Version 6.19.1 behoben. CVSS-Basiswert: 9.4 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 56.7 %. Empfohlene Massnahme: Update auf Ghost 6.19.1 oder höher.

Severity: Kritisch · CVSS: 9.4 · EPSS: 56.7%

Betroffene Produkte: ghost-strapi-sitecore-kentico-plone</description>
      <category>Kritisch</category><category>Ghost/Strapi/Sitecore/Kentico/Plone</category>
    </item>
    <item>
      <title>CVE-2026-53943 — Ghost: unauthentifizierter Zugriff auf zwischengespeicherte Inhalte hinter geteiltem Cache</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-53943</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-53943</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Ghost ist ein Content-Management-System auf Node.js-Basis. In Versionen vor 6.37.0 kann ein nicht authentifizierter Angreifer die Schwachstelle ausnutzen, wenn Ghost hinter einer gemeinsam genutzten Caching-Schicht betrieben wird, sodass zwischengespeicherte Inhalte zwischen verschiedenen Besuchern geteilt werden. CVSS-Basiswert: 9.6 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: auf Ghost 6.37.0 oder neuer aktualisieren.

Severity: Kritisch · CVSS: 9.6 · EPSS: 0.2%

Betroffene Produkte: ghost-strapi-sitecore-kentico-plone, node-js</description>
      <category>Kritisch</category><category>Ghost/Strapi/Sitecore/Kentico/Plone</category><category>Node.js</category>
    </item>
    <item>
      <title>CVE-2026-22599 — Strapi – Datenbankabfrage-Injection (4.x / 5.x)</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-22599</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-22599</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Strapi (Open-Source-Headless-CMS) besteht in den Versionen der 4.x-Linie vor 4.26.1 und der 5.x-Linie vor 5.33.2 eine Datenbankabfrage-Injection-Schwachstelle. CVSS-Basiswert: 7.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Ein Update auf die jeweiligen gepatchten Versionen wird empfohlen.

Severity: Hoch · CVSS: 7.2 · EPSS: 0.1%

Betroffene Produkte: ghost-strapi-sitecore-kentico-plone</description>
      <category>Hoch</category><category>Ghost/Strapi/Sitecore/Kentico/Plone</category>
    </item>
    <item>
      <title>CVE-2026-27886 — Strapi – Unzureichende Bereinigung von Query-Parametern (relationale Filter)</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-27886</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-27886</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Strapi (Versionen ab 4.0.0 und vor 5.37.0) wurden Query-Parameter beim Filtern von Inhalten über relationale Felder nicht ausreichend bereinigt. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Ein Update auf Version 5.37.0 oder höher wird empfohlen.

Severity: Hoch · CVSS: 7.5 · EPSS: 0.1%

Betroffene Produkte: ghost-strapi-sitecore-kentico-plone</description>
      <category>Hoch</category><category>Ghost/Strapi/Sitecore/Kentico/Plone</category>
    </item>
    <item>
      <title>CVE-2026-29053 — Ghost CMS – Schadcode-Ausführung durch bösartige Themes</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-29053</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-29053</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Ghost, einem Node.js-basierten Content-Management-System, können speziell präparierte bösartige Themes von Version 0.7.2 bis 6.19.0 zur Ausführung beliebigen Codes auf dem Server führen. Das Problem wurde in einer neueren Version behoben. CVSS-Basiswert: 7.6 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

Severity: Hoch · CVSS: 7.6 · EPSS: 0.0%

Betroffene Produkte: ghost-strapi-sitecore-kentico-plone</description>
      <category>Hoch</category><category>Ghost/Strapi/Sitecore/Kentico/Plone</category>
    </item>
    <item>
      <title>CVE-2026-29784 — Ghost CMS – Unvollständiger CSRF-Schutz bei Session-Verifizierung</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-29784</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-29784</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Ghost, einem Node.js-basierten Content-Management-System, ermöglichen unvollständige CSRF-Schutzmassnahmen rund um den Endpunkt /session/verify von Version 5.101.6 bis 6.19.2 den Missbrauch von Einmalcodes (OTCs) in anderen Login-Sitzungen als der ursprünglichen Anfrage. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

Severity: Hoch · CVSS: 7.5 · EPSS: 0.0%

Betroffene Produkte: ghost-strapi-sitecore-kentico-plone</description>
      <category>Hoch</category><category>Ghost/Strapi/Sitecore/Kentico/Plone</category>
    </item>
    <item>
      <title>CVE-2026-59817 — CVE-2026-59817 – Ghost: manipulierbare Spenden-Checkout-Metadaten</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-59817</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-59817</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Ghost ist ein auf Node.js basierendes Content-Management-System. In den Versionen ab 6.27.0 und vor 6.44.0 erlaubte der öffentliche Spenden-Checkout-Prozess einem nicht authentifizierten Angreifer, die Metadaten des Spenden-Checkouts zu kontrollieren. CVSS-Basiswert: 5.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.

Severity: Mittel · CVSS: 5.3 · EPSS: 0.3%

Betroffene Produkte: ghost-strapi-sitecore-kentico-plone, node-js, n-able</description>
      <category>Mittel</category><category>Ghost/Strapi/Sitecore/Kentico/Plone</category><category>Node.js</category><category>N-able</category>
    </item>
    <item>
      <title>CVE-2026-57997 — Strapi users-permissions akzeptiert unerwartete JWT-Algorithmen</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-57997</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-57997</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das users-permissions-Plugin von Strapi schränkt die JWT-Algorithmen nicht ein, wenn plugin::users-permissions.jwt.algorithm nicht explizit konfiguriert ist. Dadurch werden neben HS256 auch HS384- und HS512-Tokens akzeptiert. CVSS-Basiswert: 4.8 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: den JWT-Algorithmus explizit konfigurieren und auf eine fehlerbereinigte Strapi-Version aktualisieren.

Severity: Mittel · CVSS: 4.8 · EPSS: 0.1%

Betroffene Produkte: ghost-strapi-sitecore-kentico-plone</description>
      <category>Mittel</category><category>Ghost/Strapi/Sitecore/Kentico/Plone</category>
    </item>
  </channel>
</rss>
