<?xml version="1.0" encoding="UTF-8"?>
<rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom">
  <channel>
    <title>xonatec TI-Feed: Java/OpenJDK (Oracle)</title>
    <link>https://feed.xonatec.ch/produkte/java-openjdk-oracle</link>
    <description>Priorisierte Schwachstellen-Reports für Java/OpenJDK (Oracle). Kostenlos &amp; offen, stündlich aktualisiert.</description>
    <language>de</language>
    <lastBuildDate>Tue, 14 Jul 2026 00:00:00 GMT</lastBuildDate>
    <atom:link href="https://feed.xonatec.ch/rss/produkt/java-openjdk-oracle.xml" rel="self" type="application/rss+xml" />
    <generator>xonatec TI-Feed RSS Generator</generator>
    <item>
      <title>🔴 CVE-2026-35273 — Oracle PeopleSoft Enterprise PeopleTools – Schwachstelle in der Komponente Updates Environment Management</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-35273</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-35273</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In Oracle PeopleSoft Enterprise PeopleTools besteht eine Schwachstelle in der Komponente Updates Environment Management. Betroffen sind laut Quelle die unterstützten Versionen 8.61 und 8.62; die Lücke gilt als leicht ausnutzbar. CVSS-Basiswert: 9.8 (Kritisch), Vektor CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H – der Angriff ist damit über das Netz ohne Authentifizierung und ohne Benutzerinteraktion möglich. Ausnutzungswahrscheinlichkeit (EPSS): 92.3 % – der mit Abstand höchste Wert unter den aktuell gemeldeten Oracle-Lücken dieses Zyklus und damit vorrangig zu behandeln. Wird laut CISA KEV aktiv ausgenutzt. Bekannter Einsatz in Ransomware-Kampagnen.

Severity: Kritisch · CVSS: 9.8 · EPSS: 92.3% · aktiv ausgenutzt (KEV), Ransomware

Betroffene Produkte: oracle-cpu-ebs-peoplesoft-weblogic, java-openjdk-oracle, oracle-vm-virtualbox</description>
      <category>Kritisch</category><category>KEV</category><category>Oracle (CPU/EBS/PeopleSoft/WebLogic)</category><category>Java/OpenJDK (Oracle)</category><category>Oracle VM/VirtualBox</category>
    </item>
    <item>
      <title>🔴 CVE-2021-44228 — Apache Log4j2 Remote Code Execution Vulnerability (Log4Shell)</title>
      <link>https://feed.xonatec.ch/reports/cve-2021-44228</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2021-44228</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Apache Log4j2 enthält eine Schwachstelle, die die Ausführung von Schadcode aus der Ferne (Remote Code Execution) erlaubt. Wird laut CISA KEV aktiv ausgenutzt; die Aufnahme in den KEV-Katalog erfolgte am 2021-12-10. Ausnutzungswahrscheinlichkeit (EPSS): 100.0 %. Ein CVSS-Basiswert liegt in den Quelldaten nicht vor. Im CSAF/VEX-Advisory von SICK PSIRT sind 5 Produkte mit Fix ausgewiesen und keine Produkte als weiterhin betroffen. Die Lücke betrifft eine grosse Zahl überwachter Hersteller, darunter Atlassian, Oracle, Rockwell Automation, SolarWinds sowie die Apache-Projekte selbst.

Severity: Aktiv ausgenutzt · EPSS: 100.0% · aktiv ausgenutzt (KEV)

Betroffene Produkte: asustor, atlassian-jira-confluence-bitbucket, ge-healthcare, honeywell, sick-psirt, wibu-systems, amd, java-openjdk-oracle, oracle-cpu-ebs-peoplesoft-weblogic, oracle-vm-virtualbox, rockwell-automation, solarwinds, apache-http-server-asf-projekte, apache-tomcat</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Asustor</category><category>Atlassian (Jira/Confluence/Bitbucket)</category><category>GE HealthCare</category><category>Honeywell</category><category>SICK PSIRT</category><category>Wibu-Systems</category><category>AMD</category><category>Java/OpenJDK (Oracle)</category><category>Oracle (CPU/EBS/PeopleSoft/WebLogic)</category><category>Oracle VM/VirtualBox</category><category>Rockwell Automation</category><category>SolarWinds</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category>
    </item>
    <item>
      <title>🔴 CVE-2025-61882 — Oracle E-Business Suite – nicht spezifizierte Sicherheitslücke</title>
      <link>https://feed.xonatec.ch/reports/cve-2025-61882</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2025-61882</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In der Oracle E-Business Suite besteht eine von CISA als nicht näher spezifiziert geführte Sicherheitslücke. Wird laut CISA KEV aktiv ausgenutzt (aufgenommen am 2025-10-06). Ein CVSS-Basiswert liegt in den Quelldaten nicht vor. Ausnutzungswahrscheinlichkeit (EPSS): 99.7 %. Empfohlene Massnahme: die Oracle Security Alerts prüfen und die dort bereitgestellten Patches einspielen.

Severity: Aktiv ausgenutzt · EPSS: 99.7% · aktiv ausgenutzt (KEV)

Betroffene Produkte: java-openjdk-oracle, oracle-cpu-ebs-peoplesoft-weblogic, oracle-vm-virtualbox</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Java/OpenJDK (Oracle)</category><category>Oracle (CPU/EBS/PeopleSoft/WebLogic)</category><category>Oracle VM/VirtualBox</category>
    </item>
    <item>
      <title>🔴 CVE-2025-61884 — Oracle E-Business Suite – Server-Side Request Forgery (SSRF)</title>
      <link>https://feed.xonatec.ch/reports/cve-2025-61884</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2025-61884</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In Oracle E-Business Suite besteht eine Server-Side-Request-Forgery-Schwachstelle (SSRF). Wird laut CISA KEV aktiv ausgenutzt; der Eintrag wurde am 2025-10-20 in den KEV-Katalog aufgenommen. Ausnutzungswahrscheinlichkeit (EPSS): 97.8 %. Ein CVSS-Basiswert liegt in den Quelldaten nicht vor. Betreiber sollten die Oracle Security Alerts prüfen und die dort bereitgestellten Updates einspielen.

Severity: Aktiv ausgenutzt · EPSS: 97.8% · aktiv ausgenutzt (KEV)

Betroffene Produkte: java-openjdk-oracle, oracle-cpu-ebs-peoplesoft-weblogic, oracle-vm-virtualbox</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Java/OpenJDK (Oracle)</category><category>Oracle (CPU/EBS/PeopleSoft/WebLogic)</category><category>Oracle VM/VirtualBox</category>
    </item>
    <item>
      <title>🔴 CVE-2012-4681 — Oracle Java SE JRE – Arbitrary Code Execution</title>
      <link>https://feed.xonatec.ch/reports/cve-2012-4681</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2012-4681</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In der Oracle Java SE Runtime Environment (JRE) wurde eine Schwachstelle zur Ausführung beliebigen Codes identifiziert. Wird laut CISA KEV aktiv ausgenutzt. Bekannter Einsatz in Ransomware-Kampagnen. Ausnutzungswahrscheinlichkeit (EPSS): 94.1 %.

Severity: Aktiv ausgenutzt · EPSS: 94.1% · aktiv ausgenutzt (KEV), Ransomware

Betroffene Produkte: java-openjdk-oracle</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Java/OpenJDK (Oracle)</category>
    </item>
    <item>
      <title>🔴 CVE-2012-1723 — Oracle Java SE JRE – Arbitrary Code Execution</title>
      <link>https://feed.xonatec.ch/reports/cve-2012-1723</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2012-1723</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In der Oracle Java SE Runtime Environment (JRE) wurde eine Schwachstelle zur Ausführung beliebigen Codes identifiziert. Wird laut CISA KEV aktiv ausgenutzt. Bekannter Einsatz in Ransomware-Kampagnen. Ausnutzungswahrscheinlichkeit (EPSS): 94.1 %.

Severity: Aktiv ausgenutzt · EPSS: 94.1% · aktiv ausgenutzt (KEV), Ransomware

Betroffene Produkte: java-openjdk-oracle</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Java/OpenJDK (Oracle)</category>
    </item>
    <item>
      <title>🔴 CVE-2013-0422 — Oracle JRE – Remote Code Execution</title>
      <link>https://feed.xonatec.ch/reports/cve-2013-0422</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2013-0422</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Oracle JRE wurde eine Schwachstelle zur Ausführung beliebigen Codes aus der Ferne identifiziert. Wird laut CISA KEV aktiv ausgenutzt. Bekannter Einsatz in Ransomware-Kampagnen. Ausnutzungswahrscheinlichkeit (EPSS): 93.6 %.

Severity: Aktiv ausgenutzt · EPSS: 93.6% · aktiv ausgenutzt (KEV), Ransomware

Betroffene Produkte: java-openjdk-oracle</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Java/OpenJDK (Oracle)</category>
    </item>
    <item>
      <title>🔴 CVE-2012-0507 — Oracle Java SE JRE – Arbitrary Code Execution</title>
      <link>https://feed.xonatec.ch/reports/cve-2012-0507</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2012-0507</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In der Oracle Java SE Runtime Environment (JRE) wurde eine Schwachstelle zur Ausführung beliebigen Codes identifiziert. Wird laut CISA KEV aktiv ausgenutzt. Bekannter Einsatz in Ransomware-Kampagnen. Ausnutzungswahrscheinlichkeit (EPSS): 93.6 %.

Severity: Aktiv ausgenutzt · EPSS: 93.6% · aktiv ausgenutzt (KEV), Ransomware

Betroffene Produkte: java-openjdk-oracle</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Java/OpenJDK (Oracle)</category>
    </item>
    <item>
      <title>🔴 CVE-2013-2423 — Oracle JRE – nicht spezifizierte Sicherheitslücke</title>
      <link>https://feed.xonatec.ch/reports/cve-2013-2423</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2013-2423</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Oracle JRE wurde eine nicht näher spezifizierte Sicherheitslücke gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 93.4 %.

Severity: Aktiv ausgenutzt · EPSS: 93.4% · aktiv ausgenutzt (KEV)

Betroffene Produkte: java-openjdk-oracle</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Java/OpenJDK (Oracle)</category>
    </item>
    <item>
      <title>🔴 CVE-2016-3427 — Oracle Java SE / JRockit – nicht spezifizierte Sicherheitslücke</title>
      <link>https://feed.xonatec.ch/reports/cve-2016-3427</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2016-3427</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Oracle Java SE und JRockit wurde eine nicht näher spezifizierte Sicherheitslücke gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 93.3 %.

Severity: Aktiv ausgenutzt · EPSS: 93.3% · aktiv ausgenutzt (KEV)

Betroffene Produkte: java-openjdk-oracle</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Java/OpenJDK (Oracle)</category>
    </item>
    <item>
      <title>🔴 CVE-2013-2465 — Oracle Java SE – nicht spezifizierte Sicherheitslücke</title>
      <link>https://feed.xonatec.ch/reports/cve-2013-2465</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2013-2465</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Oracle Java SE wurde eine nicht näher spezifizierte Sicherheitslücke gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Bekannter Einsatz in Ransomware-Kampagnen. Ausnutzungswahrscheinlichkeit (EPSS): 93.2 %.

Severity: Aktiv ausgenutzt · EPSS: 93.2% · aktiv ausgenutzt (KEV), Ransomware

Betroffene Produkte: java-openjdk-oracle</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Java/OpenJDK (Oracle)</category>
    </item>
    <item>
      <title>🔴 CVE-2011-3544 — Oracle Java SE JRE – Arbitrary Code Execution</title>
      <link>https://feed.xonatec.ch/reports/cve-2011-3544</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2011-3544</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In der Oracle Java SE Runtime Environment (JRE) wurde eine Schwachstelle zur Ausführung beliebigen Codes identifiziert. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 92.5 %.

Severity: Aktiv ausgenutzt · EPSS: 92.5% · aktiv ausgenutzt (KEV)

Betroffene Produkte: java-openjdk-oracle</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Java/OpenJDK (Oracle)</category>
    </item>
    <item>
      <title>🔴 CVE-2010-0840 — Oracle JRE – Nicht spezifizierte Schwachstelle</title>
      <link>https://feed.xonatec.ch/reports/cve-2010-0840</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2010-0840</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Oracle Java Runtime Environment (JRE) wurde eine nicht näher spezifizierte Schwachstelle gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 92.1 %.

Severity: Aktiv ausgenutzt · EPSS: 92.1% · aktiv ausgenutzt (KEV)

Betroffene Produkte: java-openjdk-oracle</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Java/OpenJDK (Oracle)</category>
    </item>
    <item>
      <title>🔴 CVE-2013-0431 — Oracle JRE – Sandbox Bypass</title>
      <link>https://feed.xonatec.ch/reports/cve-2013-0431</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2013-0431</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Oracle JRE wurde eine Sandbox-Bypass-Schwachstelle identifiziert, die es Angreifern ermöglicht, die Sicherheitsisolierung der Java-Laufzeitumgebung zu umgehen. Wird laut CISA KEV aktiv ausgenutzt. Bekannter Einsatz in Ransomware-Kampagnen. Ausnutzungswahrscheinlichkeit (EPSS): 91.5 %.

Severity: Aktiv ausgenutzt · EPSS: 91.5% · aktiv ausgenutzt (KEV), Ransomware

Betroffene Produkte: java-openjdk-oracle</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Java/OpenJDK (Oracle)</category>
    </item>
    <item>
      <title>🔴 CVE-2012-5076 — Oracle Java SE – Sandbox Bypass</title>
      <link>https://feed.xonatec.ch/reports/cve-2012-5076</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2012-5076</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Oracle Java SE wurde eine Sandbox-Bypass-Schwachstelle identifiziert, die es Angreifern ermöglicht, die Sicherheitsisolierung der Java-Laufzeitumgebung zu umgehen. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 91.4 %.

Severity: Aktiv ausgenutzt · EPSS: 91.4% · aktiv ausgenutzt (KEV)

Betroffene Produkte: java-openjdk-oracle</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Java/OpenJDK (Oracle)</category>
    </item>
    <item>
      <title>🔴 CVE-2015-2590 — Oracle Java SE / Java SE Embedded – Remote Code Execution</title>
      <link>https://feed.xonatec.ch/reports/cve-2015-2590</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2015-2590</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Oracle Java SE und Java SE Embedded besteht eine Schwachstelle, die eine Remote-Codeausführung ermöglicht. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 66.6 %.

Severity: Aktiv ausgenutzt · EPSS: 66.6% · aktiv ausgenutzt (KEV)

Betroffene Produkte: java-openjdk-oracle</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Java/OpenJDK (Oracle)</category>
    </item>
    <item>
      <title>🔴 CVE-2015-4902 — Oracle Java SE – Integrity Check Vulnerability</title>
      <link>https://feed.xonatec.ch/reports/cve-2015-4902</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2015-4902</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Oracle Java SE wurde eine Schwachstelle bei der Integritätsprüfung gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 18.3 %.

Severity: Aktiv ausgenutzt · EPSS: 18.3% · aktiv ausgenutzt (KEV)

Betroffene Produkte: java-openjdk-oracle, check-point</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Java/OpenJDK (Oracle)</category><category>Check Point</category>
    </item>
    <item>
      <title>🔴 CVE-2018-0147 — Cisco Secure Access Control System Java Deserialization</title>
      <link>https://feed.xonatec.ch/reports/cve-2018-0147</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2018-0147</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Im Cisco Secure Access Control System wurde eine Java-Deserialisierungsschwachstelle identifiziert, die zur Ausführung von Schadcode genutzt werden kann. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 4.0 %.

Severity: Aktiv ausgenutzt · EPSS: 4.0% · aktiv ausgenutzt (KEV)

Betroffene Produkte: cisco-webex-uc, cisco-webex, cisco, ivanti-pulse-connect-secure, withsecure-f-secure, n-able, java-openjdk-oracle</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Cisco (Webex/UC)</category><category>Cisco Webex</category><category>Cisco</category><category>Ivanti (Pulse/Connect Secure)</category><category>WithSecure (F-Secure)</category><category>N-able</category><category>Java/OpenJDK (Oracle)</category>
    </item>
    <item>
      <title>🔴 CVE-2024-21287 — Oracle Agile PLM – Incorrect Authorization</title>
      <link>https://feed.xonatec.ch/reports/cve-2024-21287</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2024-21287</guid>
      <pubDate>Mon, 01 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Oracle Agile Product Lifecycle Management (PLM) wurde eine Schwachstelle durch fehlerhafte Autorisierungsprüfungen gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 1.5 %.

Severity: Aktiv ausgenutzt · EPSS: 1.5% · aktiv ausgenutzt (KEV)

Betroffene Produkte: java-openjdk-oracle, oracle-cpu-ebs-peoplesoft-weblogic, oracle-vm-virtualbox</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Java/OpenJDK (Oracle)</category><category>Oracle (CPU/EBS/PeopleSoft/WebLogic)</category><category>Oracle VM/VirtualBox</category>
    </item>
    <item>
      <title>CVE-2026-21992 — Oracle Identity Manager / Web Services Manager – Kritische Schwachstelle in REST WebServices</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-21992</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-21992</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Oracle Identity Manager (Komponente: REST WebServices) und Oracle Web Services Manager (Komponente: Web Services) von Oracle Fusion Middleware wurde eine kritische Sicherheitslücke identifiziert. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 1.0 %.

Severity: Kritisch · CVSS: 9.8 · EPSS: 1.0%

Betroffene Produkte: java-openjdk-oracle, oracle-cpu-ebs-peoplesoft-weblogic, oracle-vm-virtualbox, ping-identity-onelogin</description>
      <category>Kritisch</category><category>Java/OpenJDK (Oracle)</category><category>Oracle (CPU/EBS/PeopleSoft/WebLogic)</category><category>Oracle VM/VirtualBox</category><category>Ping Identity/OneLogin</category>
    </item>
    <item>
      <title>CVE-2026-40128 — SAP NetWeaver AS Java – Path Traversal durch manipulierte File-Inclusion-Parameter</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-40128</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-40128</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Der SAP NetWeaver Application Server Java (Web Container) erlaubt laut NVD einem nicht authentifizierten Angreifer, eine bösartige HTTP-Logon-Anfrage zu erstellen, die File-Inclusion-Parameter manipuliert und so Path Traversal ermöglicht. Der Angriff ist netzwerkbasiert bei hoher Angriffskomplexität und mit geändertem Berechtigungsumfang (Scope Changed) möglich. CVSS-Basiswert: 9.0 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %.

Severity: Kritisch · CVSS: 9 · EPSS: 0.5%

Betroffene Produkte: sap, successfactors-sap, java-openjdk-oracle</description>
      <category>Kritisch</category><category>SAP</category><category>SuccessFactors (SAP)</category><category>Java/OpenJDK (Oracle)</category>
    </item>
    <item>
      <title>CVE-2026-57898 — CVE-2026-57898 – Unauthentifizierter Arbitrary File Write im Eclipse BaSyx Java Server SDK (MongoDB-Backend)</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-57898</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-57898</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Im Eclipse BaSyx Java Server SDK (Versionen 2.0.0-milestone-05 bis 2.0.0-milestone-12) sind Deployments mit MongoDB-Backend für einen unauthentifizierten, beliebigen Schreibzugriff auf das Dateisystem (arbitrary file write) über die AAS-Thumbnail-Verarbeitung anfällig. Die Schwachstelle lässt sich ohne vorherige Authentifizierung über das Netzwerk ausnutzen. CVSS-Basiswert: 9 (Kritisch). Aufgrund des kritischen CVSS-Werts sollte die Behebung priorisiert geprüft werden.

Severity: Kritisch · CVSS: 9 · EPSS: 0.4%

Betroffene Produkte: java-openjdk-oracle, mongodb</description>
      <category>Kritisch</category><category>Java/OpenJDK (Oracle)</category><category>MongoDB</category>
    </item>
    <item>
      <title>CVE-2026-40008 — Apache IoTDB: Unsafe Reflection im Pipe-Processor</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-40008</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-40008</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In Apache IoTDB besteht eine Schwachstelle durch unsichere Reflection: Der Pipe-Processor liest einen voll qualifizierten Java-Klassennamen aus extern kontrollierter Eingabe und instanziiert die Klasse. Dadurch lassen sich Klassen bzw. Code auswählen, die nicht vorgesehen sind. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: das Advisory des Apache-Projekts beachten und auf eine fehlerbereinigte Version aktualisieren.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.3%

Betroffene Produkte: apache-http-server-asf-projekte, apache-tomcat, java-openjdk-oracle</description>
      <category>Kritisch</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category><category>Java/OpenJDK (Oracle)</category>
    </item>
    <item>
      <title>CVE-2026-41042 — Apache Gravitino: Codeausführung über bösartige H2-JDBC-URL in testConnection</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-41042</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-41042</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In Apache Gravitino können nicht authentifizierte Aufrufer über die testConnection-API eine bösartige H2-JDBC-URL übergeben. Über den INIT-Parameter von H2 wird dabei beliebiger Java-Code auf dem Server ausgeführt. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.

Severity: Kritisch · CVSS: 9.1 · EPSS: 0.3%

Betroffene Produkte: java-openjdk-oracle, apache-http-server-asf-projekte, apache-tomcat</description>
      <category>Kritisch</category><category>Java/OpenJDK (Oracle)</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category>
    </item>
    <item>
      <title>CVE-2026-33728 — dd-trace-java: Unsichere Deserialisierung über RMI-Instrumentierung</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-33728</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-33728</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>dd-trace-java, der APM-Client von Datadog für Java, registriert in den Versionen 0.40.0 bis vor 1.60.2 über die RMI-Instrumentierung einen eigenen Endpunkt, der eingehende Daten ohne ausreichende Prüfung deserialisiert. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: Auf dd-trace-java 1.60.2 oder neuer aktualisieren.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.3%

Betroffene Produkte: java-openjdk-oracle</description>
      <category>Kritisch</category><category>Java/OpenJDK (Oracle)</category>
    </item>
    <item>
      <title>CVE-2026-33701 — OpenTelemetry Java Instrumentation – Kritische RMI-Schwachstelle</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-33701</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-33701</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In OpenTelemetry Java Instrumentation wurde in Versionen vor 2.26.1 eine kritische Schwachstelle entdeckt: Die RMI-Instrumentierung registrierte einen benutzerdefinierten Endpunkt, der missbraucht werden kann. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.2%

Betroffene Produkte: java-openjdk-oracle</description>
      <category>Kritisch</category><category>Java/OpenJDK (Oracle)</category>
    </item>
    <item>
      <title>CVE-2026-27727 — mchange-commons-java – JNDI Remote Class Loading Schwachstelle</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-27727</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-27727</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Die Java-Bibliothek mchange-commons-java enthält Code, der frühe JNDI-Implementierungen spiegelt, einschliesslich der Unterstützung für entfernte factoryClassLocation-Werte. Dies ermöglicht das Laden von Remote-Klassen und kann zu kritischen Sicherheitsproblemen führen. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.2%

Betroffene Produkte: java-openjdk-oracle</description>
      <category>Kritisch</category><category>Java/OpenJDK (Oracle)</category>
    </item>
    <item>
      <title>CVE-2016-20049 — JAD Java Decompiler – Stack-basierter Pufferüberlauf</title>
      <link>https://feed.xonatec.ch/reports/cve-2016-20049</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2016-20049</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>JAD 1.5.8e-1kali1 und frühere Versionen enthalten eine Stack-basierte Pufferüberlauf-Schwachstelle, die es Angreifern ermöglicht, beliebigen Code auszuführen, indem übermässig grosse Eingaben die Puffergrenzen überschreiten. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.1%

Betroffene Produkte: java-openjdk-oracle</description>
      <category>Kritisch</category><category>Java/OpenJDK (Oracle)</category>
    </item>
    <item>
      <title>CVE-2017-20227 — JAD Java Decompiler – Stack-basierter Pufferüberlauf (Code Execution)</title>
      <link>https://feed.xonatec.ch/reports/cve-2017-20227</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2017-20227</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>JAD Java Decompiler 1.5.8e-1kali1 und frühere Versionen enthalten eine Stack-basierte Pufferüberlauf-Schwachstelle, die Angreifern die Ausführung beliebigen Codes durch überlange Eingaben ermöglicht. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.1%

Betroffene Produkte: java-openjdk-oracle</description>
      <category>Kritisch</category><category>Java/OpenJDK (Oracle)</category>
    </item>
    <item>
      <title>CVE-2026-50076 — CVE-2026-50076 – Unsichere Deserialisierung in Apache Fory (fory-core Java SDK)</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-50076</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-50076</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Im Java-replace-resolve-Pfad des Apache Fory fory-core Java SDK vor Version 1.1.0 auf Java/JVM-Plattformen erlaubt eine Deserialisierung nicht vertrauenswürdiger Daten einem entfernten Angreifer, die Klassenregistrierung und Typprüfung zu umgehen. Über das Netzwerk lassen sich Vertraulichkeit und Integrität vollständig gefährden. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: Aktualisierung auf Apache Fory 1.1.0 oder neuer.

Severity: Kritisch · CVSS: 9.1 · EPSS: 0.1%

Betroffene Produkte: java-openjdk-oracle, apache-http-server-asf-projekte, apache-tomcat</description>
      <category>Kritisch</category><category>Java/OpenJDK (Oracle)</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category>
    </item>
    <item>
      <title>CVE-2026-47065 — Java/OpenJDK: Filter-Bypass bei der Deserialisierung über java.lang.reflect.Proxy</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-47065</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-47065</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In der Java-Deserialisierung wird resolveProxyClass nicht überschrieben, wodurch sich der acceptMatchers-Filter über java.lang.reflect.Proxy umgehen lässt. Der Fall greift, wenn der serialisierte Datenstrom einen TC_PROXYCLASSDESC-Eintrag enthält. Die Quelle bewertet den Punkt als vollständig adressiert (Assessment: Fully addressed). CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.0%

Betroffene Produkte: java-openjdk-oracle</description>
      <category>Kritisch</category><category>Java/OpenJDK (Oracle)</category>
    </item>
    <item>
      <title>CVE-2026-33117 — Azure SDK for Java – Fehlerhafte Authentifizierungs-Tag-Prüfung in Key Vault Keys</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-33117</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-33117</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Die Java Key Vault Keys-Bibliothek im Azure SDK für Java enthält einen Fehler im lokalen kryptografischen Verifizierungspfad, bei dem der Vergleich von Authentifizierungs-Tags fehlerhaft implementiert wurde. In betroffenen Anwendungen kann dies die Sicherheitsgarantien der kryptografischen Verifikation untergraben. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

Severity: Kritisch · CVSS: 9.1 · EPSS: 0.0%

Betroffene Produkte: java-openjdk-oracle</description>
      <category>Kritisch</category><category>Java/OpenJDK (Oracle)</category>
    </item>
    <item>
      <title>CVE-2026-15497 — SonicCloudOrg sonic-agent bis 2.7.2: Schwachstelle in Controller-Komponente</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-15497</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-15497</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In SonicCloudOrg sonic-agent bis einschliesslich Version 2.7.2 wurde eine Schwachstelle in einer Funktion der ExchangeController-Komponente festgestellt. CVSS-Basiswert: 7.3 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: auf eine bereinigte Version aktualisieren, sobald verfügbar.

Severity: Hoch · CVSS: 7.3 · EPSS: 0.4%

Betroffene Produkte: java-openjdk-oracle</description>
      <category>Hoch</category><category>Java/OpenJDK (Oracle)</category>
    </item>
    <item>
      <title>CVE-2026-55771 — CedarJava: Fehlerhafte Null-Prüfung in EntityIdentifier.equals() vor 4.9.0</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-55771</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-55771</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>CedarJava ist eine quelloffene Java-Implementierung der Cedar-Policy-Sprache, die für feingranulare Autorisierungsentscheidungen eingesetzt wird. In Versionen vor 4.9.0 weist die Methode EntityIdentifier.equals() eine invertierte Null-Prüfung auf. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: auf Version 4.9.0 oder neuer aktualisieren.

Severity: Hoch · CVSS: 8.8 · EPSS: 0.3%

Betroffene Produkte: java-openjdk-oracle</description>
      <category>Hoch</category><category>Java/OpenJDK (Oracle)</category>
    </item>
    <item>
      <title>CVE-2026-44752 — SAP NetWeaver AS Java – Cross-Site-Scripting über präparierte URLs</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-44752</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-44752</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Der SAP NetWeaver Application Server Java erlaubt es nicht authentifizierten Angreifern, über präparierte URLs schädlichen JavaScript-Code einzuschleusen. Ruft ein Opfer eine solche URL auf, wird das Skript im Browser des Nutzers ausgeführt (Cross-Site-Scripting). Der CVSS-Basiswert liegt bei 8.2 (Hoch). Betroffen sind Produkte von SAP, SuccessFactors (SAP) sowie Java/OpenJDK (Oracle).

Severity: Hoch · CVSS: 8.2 · EPSS: 0.3%

Betroffene Produkte: sap, successfactors-sap, java-openjdk-oracle</description>
      <category>Hoch</category><category>SAP</category><category>SuccessFactors (SAP)</category><category>Java/OpenJDK (Oracle)</category>
    </item>
    <item>
      <title>CVE-2026-37579 — SMSGate sms-core – Remote Code Execution via Codec-Komponente</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-37579</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-37579</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In SMSGate sms-core bis Version 2.1.13.6 ermöglicht eine Schwachstelle im Cmpp7FDeliverRequestMessageCodec die Remote-Ausführung beliebigen Codes durch entfernte Angreifer. CVSS-Basiswert: 7.3 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.

Severity: Hoch · CVSS: 7.3 · EPSS: 0.2%

Betroffene Produkte: java-openjdk-oracle</description>
      <category>Hoch</category><category>Java/OpenJDK (Oracle)</category>
    </item>
    <item>
      <title>CVE-2026-10037 — OpenJDK auf Ubuntu: Sandbox-Umgehung über .jar-MIME-Handler</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-10037</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-10037</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In den unter Ubuntu bereitgestellten OpenJDK-Paketen besteht eine Schwachstelle zur Umgehung der Sandbox. Die von diesen Paketen installierten MIME-Handler für .jar-Dateien führen als ausführbar markierte Dateien aus, sofern das Paket mailcap installiert ist. Dadurch kann Code unerwartet zur Ausführung kommen. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Eine aktive Ausnutzung (CISA KEV) oder ein Einsatz in Ransomware-Kampagnen sind nicht belegt.

Severity: Hoch · CVSS: 8.8 · EPSS: 0.1%

Betroffene Produkte: java-openjdk-oracle, ubuntu-usn</description>
      <category>Hoch</category><category>Java/OpenJDK (Oracle)</category><category>Ubuntu (USN)</category>
    </item>
    <item>
      <title>CVE-2026-35229 — Oracle Database Server – Schwachstelle in Java VM-Komponente</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-35229</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-35229</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In der Java VM-Komponente des Oracle Database Servers (betroffene Versionen: 19.3–19.30 und 21.3–21.21) wurde eine leicht ausnutzbare Schwachstelle gefunden. Sie ermöglicht nicht authentifizierten Angreifern den Zugriff über das Netzwerk. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

Severity: Hoch · CVSS: 7.5 · EPSS: 0.1%

Betroffene Produkte: java-openjdk-oracle</description>
      <category>Hoch</category><category>Java/OpenJDK (Oracle)</category>
    </item>
    <item>
      <title>CVE-2026-10771 — crmeb_java: Schwachstelle in RestTemplateUtil (RestTemplate.getForEntity)</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-10771</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-10771</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In crmeb crmeb_java 1.4 besteht eine Schwachstelle in der Funktion RestTemplate.getForEntity der Datei crmeb-common/src/main/java/com/zbkj/common/utils/RestTemplateUtil.java. CVSS-Basiswert: 7.3 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: auf eine fehlerbereinigte Version aktualisieren.

Severity: Hoch · CVSS: 7.3 · EPSS: 0.0%

Betroffene Produkte: java-openjdk-oracle</description>
      <category>Hoch</category><category>Java/OpenJDK (Oracle)</category>
    </item>
    <item>
      <title>CVE-2026-45300 — AsyncHttpClient (AHC): Schwachstelle in der Java-HTTP-Bibliothek</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-45300</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-45300</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Die AsyncHttpClient-Bibliothek (AHC) erlaubt Java-Anwendungen das einfache Ausführen von HTTP-Anfragen und die asynchrone Verarbeitung von Antworten. Betroffen sind laut Quelle Versionen des 2.x-Zweigs vor 2.15.0 und des 3.x-Zweigs vor einer korrigierten Version. CVSS-Basiswert: 7.4 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: auf eine korrigierte Version der Bibliothek aktualisieren.

Severity: Hoch · CVSS: 7.4 · EPSS: 0.0%

Betroffene Produkte: java-openjdk-oracle</description>
      <category>Hoch</category><category>Java/OpenJDK (Oracle)</category>
    </item>
    <item>
      <title>CVE-2025-64390 — PlayStation 4 BD-J Sandbox Escape – Privilege Escalation</title>
      <link>https://feed.xonatec.ch/reports/cve-2025-64390</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2025-64390</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In PlayStation 4 Firmware-Versionen 13.00 bis 13.02 besteht eine Privilege-Escalation-Schwachstelle: Die BD-J (Blu-ray Disc Java)-Sandbox kann über eine fehlerhafte JAR-Datei umgangen werden. CVSS-Basiswert: 7.4 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

Severity: Hoch · CVSS: 7.4 · EPSS: 0.0%

Betroffene Produkte: java-openjdk-oracle</description>
      <category>Hoch</category><category>Java/OpenJDK (Oracle)</category>
    </item>
    <item>
      <title>CVE-2026-0078 — Android DevicePolicyManagerService – Privilege Escalation durch fehlerhafte Eingabevalidierung</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-0078</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-0078</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In der Funktion setGlobalProxy von DevicePolicyManagerService.java ermöglicht eine fehlerhafte Eingabevalidierung eine Desynchronisation der Persistenz, die zu einer lokalen Rechteausweitung führen kann. CVSS-Basiswert: 7.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

Severity: Hoch · CVSS: 7.8 · EPSS: 0.0%

Betroffene Produkte: java-openjdk-oracle, google-chromeos-chrome, android-asb</description>
      <category>Hoch</category><category>Java/OpenJDK (Oracle)</category><category>Google ChromeOS/Chrome</category><category>Android (ASB)</category>
    </item>
    <item>
      <title>CVE-2026-0087 — Android – Privilege Escalation durch App-Link-Hijacking (DomainVerificationService)</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-0087</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-0087</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In der Funktion approvalLevelForDomainInternal von DomainVerificationService.java ermöglicht ein Logikfehler das Kapern beliebiger App-Links. Dies kann zu einer lokalen Rechteausweitung führen. CVSS-Basiswert: 7.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: die bereitgestellten Plattform-Updates einspielen.

Severity: Hoch · CVSS: 7.8 · EPSS: 0.0%

Betroffene Produkte: java-openjdk-oracle, google-chromeos-chrome, android-asb</description>
      <category>Hoch</category><category>Java/OpenJDK (Oracle)</category><category>Google ChromeOS/Chrome</category><category>Android (ASB)</category>
    </item>
    <item>
      <title>CVE-2026-0036 — Android StageCoordinator – Tapjacking/Overlay Privilege Escalation</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-0036</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-0036</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In der Funktion startAnimation von StageCoordinator.java besteht eine Tapjacking-Schwachstelle durch einen Overlay-Angriff, die zu einer lokalen Rechteausweitung führen kann. CVSS-Basiswert: 7.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

Severity: Hoch · CVSS: 7.8 · EPSS: 0.0%

Betroffene Produkte: java-openjdk-oracle, google-chromeos-chrome, android-asb</description>
      <category>Hoch</category><category>Java/OpenJDK (Oracle)</category><category>Google ChromeOS/Chrome</category><category>Android (ASB)</category>
    </item>
    <item>
      <title>CVE-2026-0088 — Java/OpenJDK – Privilege Escalation durch irreführende Sicherheitsdialoge (CertInstaller)</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-0088</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-0088</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In der Funktion getCallingAppLabel von CertInstaller.java ist es möglich, sensible Sicherheitsdialoge durch eine irreführende oder unzureichende Benutzeroberfläche zu verbergen. Dies kann zu einer lokalen Rechteausweitung führen. CVSS-Basiswert: 7.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

Severity: Hoch · CVSS: 7.8 · EPSS: 0.0%

Betroffene Produkte: java-openjdk-oracle, google-chromeos-chrome, android-asb</description>
      <category>Hoch</category><category>Java/OpenJDK (Oracle)</category><category>Google ChromeOS/Chrome</category><category>Android (ASB)</category>
    </item>
    <item>
      <title>CVE-2026-0089 — Java/OpenJDK – Installation nicht verifizierter Apps durch fehlende Berechtigungsprüfung (PackageInstallerService)</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-0089</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-0089</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In mehreren Funktionen von PackageInstallerService.java ermöglicht eine fehlende Berechtigungsprüfung die Installation nicht verifizierter Apps. Dies kann zu einer lokalen Rechteausweitung führen. CVSS-Basiswert: 7.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

Severity: Hoch · CVSS: 7.8 · EPSS: 0.0%

Betroffene Produkte: java-openjdk-oracle, check-point, google-chromeos-chrome, android-asb</description>
      <category>Hoch</category><category>Java/OpenJDK (Oracle)</category><category>Check Point</category><category>Google ChromeOS/Chrome</category><category>Android (ASB)</category>
    </item>
    <item>
      <title>CVE-2026-0094 — Java/OpenJDK – Privilege Escalation durch irreführende Zertifikatsgenehmigung (KeyChainActivity)</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-0094</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-0094</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In der Funktion getApplicationLabel von KeyChainActivity.java kann ein Angreifer durch eine irreführende oder unzureichende Benutzeroberfläche den Benutzer dazu verleiten, den Zugriff auf Zertifikate zu genehmigen. Dies kann zu einer lokalen Rechteausweitung führen. CVSS-Basiswert: 7.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

Severity: Hoch · CVSS: 7.8 · EPSS: 0.0%

Betroffene Produkte: java-openjdk-oracle, google-chromeos-chrome, android-asb</description>
      <category>Hoch</category><category>Java/OpenJDK (Oracle)</category><category>Google ChromeOS/Chrome</category><category>Android (ASB)</category>
    </item>
    <item>
      <title>CVE-2022-21500 — CVE-2022-21500 – Oracle Sicherheitslücke</title>
      <link>https://feed.xonatec.ch/reports/cve-2022-21500</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2022-21500</guid>
      <pubDate>Mon, 01 Jun 2026 00:00:00 GMT</pubDate>
      <description>Für Oracle-Produkte (Java/OpenJDK, CPU/EBS/PeopleSoft/WebLogic, VM/VirtualBox) wurde eine Sicherheitslücke (CVE-2022-21500) gemeldet. Ausnutzungswahrscheinlichkeit (EPSS): 70.6 %.

Severity: Mittel · EPSS: 70.6%

Betroffene Produkte: java-openjdk-oracle, oracle-cpu-ebs-peoplesoft-weblogic, oracle-vm-virtualbox</description>
      <category>Mittel</category><category>Java/OpenJDK (Oracle)</category><category>Oracle (CPU/EBS/PeopleSoft/WebLogic)</category><category>Oracle VM/VirtualBox</category>
    </item>
    <item>
      <title>CVE-2026-10550 — eladmin – Schwachstelle im Application Deployment Module (App.java)</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-10550</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-10550</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In elunez eladmin bis Version 2.7 wurde eine Schwachstelle im Application Deployment Module in der Datei App.java identifiziert. Über eine Manipulation eines Arguments kann die Schwachstelle ausgenutzt werden. CVSS-Basiswert: 6.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.7 %.

Severity: Mittel · CVSS: 6.3 · EPSS: 0.7%

Betroffene Produkte: java-openjdk-oracle</description>
      <category>Mittel</category><category>Java/OpenJDK (Oracle)</category>
    </item>
    <item>
      <title>CVE-2026-54712 — OpenTelemetry Java Instrumentation: Schwachstelle im RMI-Context-Propagation-Payload-Reader</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-54712</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-54712</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Die OpenTelemetry Java Instrumentation stellt Auto-Instrumentierung und Instrumentierungsbibliotheken für Java bereit. In Versionen vor 2.27.0 besteht eine Schwachstelle im Payload-Reader der RMI-Context-Propagation. CVSS-Basiswert: 5.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: auf Version 2.27.0 oder neuer aktualisieren.

Severity: Mittel · CVSS: 5.3 · EPSS: 0.3%

Betroffene Produkte: java-openjdk-oracle</description>
      <category>Mittel</category><category>Java/OpenJDK (Oracle)</category>
    </item>
    <item>
      <title>CVE-2026-54704 — OpenTelemetry Java Instrumentation – unzureichende Bereinigung in der JDBC-Instrumentierung</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-54704</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-54704</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In Versionen vor 2.28.0 der OpenTelemetry Java Instrumentation kann die automatische JDBC-Instrumentierung Parameter nicht zuverlässig bereinigen. Dadurch können potenziell sensible Informationen offengelegt werden. CVSS-Basiswert: 6.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: auf Version 2.28.0 oder neuer aktualisieren.

Severity: Mittel · CVSS: 6.5 · EPSS: 0.2%

Betroffene Produkte: java-openjdk-oracle</description>
      <category>Mittel</category><category>Java/OpenJDK (Oracle)</category>
    </item>
    <item>
      <title>CVE-2026-27674 — SAP NetWeaver AS Java (Web Dynpro Java): Code-Injection durch nicht authentifizierte Angreifer</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-27674</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-27674</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Aufgrund einer Code-Injection-Schwachstelle in SAP NetWeaver Application Server Java (Web Dynpro Java) könnte ein nicht authentifizierter Angreifer präparierte Eingaben liefern, die von der Anwendung interpretiert werden (weitere Details in der Quelle abgeschnitten). CVSS-Basiswert: 6.1 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

Severity: Mittel · CVSS: 6.1 · EPSS: 0.1%

Betroffene Produkte: sap, successfactors-sap, java-openjdk-oracle</description>
      <category>Mittel</category><category>SAP</category><category>SuccessFactors (SAP)</category><category>Java/OpenJDK (Oracle)</category>
    </item>
    <item>
      <title>CVE-2026-48480 — CVE-2026-48480 – OHTTP-Verifizierungsfehler in netty codec-ohttp (Java/OpenJDK)</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-48480</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-48480</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Der netty-incubator-Codec „codec.bhttp&quot; ist ein in Java geschriebener Binär-HTTP-Parser. In Versionen vor 0.0.22.Final verifiziert die codec-ohttp-Implementierung von draft-ietf-ohai-chunked-ohttp nicht ausreichend, dass ein kryptografischer Wert korrekt ist (Beschreibung in den Quelldaten abgeschnitten). Ein CVSS-Basiswert liegt in den Quelldaten nicht vor. Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: Aktualisierung auf Version 0.0.22.Final oder neuer.

Severity: Mittel · EPSS: 0.0%

Betroffene Produkte: java-openjdk-oracle</description>
      <category>Mittel</category><category>Java/OpenJDK (Oracle)</category>
    </item>
    <item>
      <title>CVE-2026-45682 — OpenTelemetry eBPF Instrumentation – CappedConcurrentHashMap-Schwachstelle</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-45682</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-45682</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In OpenTelemetry eBPF Instrumentation wurde vor Version 0.9.0 eine Schwachstelle in der benutzerdefinierten CappedConcurrentHashMap-Implementierung für das Java-TLS-State-Tracking identifiziert. CVSS-Basiswert: 5.1 (Mittel).

Severity: Mittel · CVSS: 5.1 · EPSS: 0.0%

Betroffene Produkte: java-openjdk-oracle</description>
      <category>Mittel</category><category>Java/OpenJDK (Oracle)</category>
    </item>
    <item>
      <title>CVE-2026-0085 — Android – lokaler Denial of Service durch fehlende Eingabevalidierung (DataRowHandler)</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-0085</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-0085</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In der Funktion applySimpleFieldMaxSize von DataRowHandler.java ist es aufgrund fehlender Eingabevalidierung möglich, einen ungewöhnlich langen Kontaktnamen einzufügen. Dies kann zu einem lokalen Denial of Service führen. CVSS-Basiswert: 5.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

Severity: Mittel · CVSS: 5.5 · EPSS: 0.0%

Betroffene Produkte: java-openjdk-oracle, phoenix-contact, google-chromeos-chrome, android-asb</description>
      <category>Mittel</category><category>Java/OpenJDK (Oracle)</category><category>Phoenix Contact</category><category>Google ChromeOS/Chrome</category><category>Android (ASB)</category>
    </item>
    <item>
      <title>CVE-2026-59888 — Schwachstelle in jackson-databind bei Java Records mit PropertyNamingStrategy (CVE-2026-59888)</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-59888</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-59888</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>jackson-databind stellt die allgemeine Datenbindung und das Baummodell für den Jackson Data Processor bereit. In den Versionen ab 2.15.0 bis vor 2.18.8, 2.21.4 und 3.1.4 besteht bei Java Records, die eine PropertyNamingStrategy verwenden, eine Schwachstelle. CVSS-Basiswert: 6.5 (Mittel). Der Angriff erfolgt über das Netzwerk ohne erforderliche Rechte. Empfohlene Massnahme: auf eine korrigierte Version (2.18.8, 2.21.4 bzw. 3.1.4 oder neuer) aktualisieren.

Severity: Mittel · CVSS: 6.5

Betroffene Produkte: java-openjdk-oracle</description>
      <category>Mittel</category><category>Java/OpenJDK (Oracle)</category>
    </item>
    <item>
      <title>CVE-2026-10567 — CordysCRM – Sicherheitslücke in der Save-Funktion (ModuleFormService)</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-10567</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-10567</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In 1Panel-dev CordysCRM bis Version 1.4.1 wurde eine Sicherheitslücke in der Save-Funktion von ModuleFormService.java identifiziert. Die genaue Auswirkung ist nicht vollständig bekannt. CVSS-Basiswert: 3.5 (Niedrig). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

Severity: Niedrig · CVSS: 3.5 · EPSS: 0.0%

Betroffene Produkte: java-openjdk-oracle</description>
      <category>Niedrig</category><category>Java/OpenJDK (Oracle)</category>
    </item>
    <item>
      <title>CVE-2026-10514 — CordysCRM – Eingabevalidierungsproblem in RequestParamTrimConfig</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-10514</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-10514</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In der Bibliothek 1Panel-dev CordysCRM bis Version 1.6.2 wurde eine Schwachstelle in der Datei RequestParamTrimConfig.java identifiziert. Die genaue betroffene Funktion ist unbekannt. CVSS-Basiswert: 2.4 (Niedrig). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

Severity: Niedrig · CVSS: 2.4 · EPSS: 0.0%

Betroffene Produkte: java-openjdk-oracle</description>
      <category>Niedrig</category><category>Java/OpenJDK (Oracle)</category>
    </item>
    <item>
      <title>CVE-2026-10529 — CicadasCMS – Schwachstelle in ScheduleJob-Komponente</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-10529</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-10529</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In westboy CicadasCMS wurde eine Schwachstelle in einer Funktion der ScheduleJob-Komponente identifiziert. Die genaue betroffene Funktion ist unbekannt. CVSS-Basiswert: 2.4 (Niedrig). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

Severity: Niedrig · CVSS: 2.4 · EPSS: 0.0%

Betroffene Produkte: java-openjdk-oracle</description>
      <category>Niedrig</category><category>Java/OpenJDK (Oracle)</category>
    </item>
    <item>
      <title>CVE-2026-45683 — OpenTelemetry eBPF Instrumentation – Unsichere Pointer-Dereferenz in Java TLS Probe</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-45683</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-45683</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In OpenTelemetry eBPF Instrumentation vor Version 0.9.0 liest der Java-TLS-ioctl-Probe benutzerkontrollierte ioctl-Pointer mittels bpf_probe, was eine Schwachstelle darstellt. CVSS-Basiswert: 3.8 (Niedrig).

Severity: Niedrig · CVSS: 3.8 · EPSS: 0.0%

Betroffene Produkte: java-openjdk-oracle</description>
      <category>Niedrig</category><category>Java/OpenJDK (Oracle)</category>
    </item>
  </channel>
</rss>
