<?xml version="1.0" encoding="UTF-8"?>
<rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom">
  <channel>
    <title>xonatec TI-Feed: N-able (N-central / Take Control)</title>
    <link>https://feed.xonatec.ch/produkte/n-able</link>
    <description>Priorisierte Schwachstellen-Reports für N-able (N-central / Take Control). Kostenlos &amp; offen, stündlich aktualisiert.</description>
    <language>de</language>
    <lastBuildDate>Wed, 03 Jun 2026 00:00:00 GMT</lastBuildDate>
    <atom:link href="https://feed.xonatec.ch/rss/produkt/n-able.xml" rel="self" type="application/rss+xml" />
    <generator>xonatec TI-Feed RSS Generator</generator>
    <item>
      <title>🔴 CVE-2026-35616 — Fortinet FortiClient EMS – Improper Access Control</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-35616</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-35616</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Fortinet FortiClientEMS (Versionen 7.4.5 und 7.4.6) ermöglicht eine fehlerhafte Zugriffskontrolle einem nicht authentifizierten Angreifer die Ausführung nicht autorisierter Code oder Befehle über manipulierte Anfragen. CVSS-Basiswert: 9.8 (Kritisch). Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 34.8 %.

Severity: Kritisch · CVSS: 9.8 · EPSS: 34.8% · aktiv ausgenutzt (KEV)

Betroffene Produkte: fortinet, n-able</description>
      <category>Kritisch</category><category>KEV</category><category>Fortinet</category><category>N-able</category>
    </item>
    <item>
      <title>🔴 CVE-2026-20131 — Cisco FMC/SCC – Deserialisierung nicht vertrauenswürdiger Daten (Remote Code Execution)</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-20131</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-20131</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Im webbasierten Verwaltungsinterface von Cisco Secure Firewall Management Center (FMC) Software und Cisco Security Cloud Control (SCC) wurde eine Schwachstelle durch Deserialisierung nicht vertrauenswürdiger Daten gefunden, die einem nicht authentifizierten, entfernten Angreifer ermöglicht, beliebigen Java-Code als Root auszuführen. CVSS-Basiswert: 10.0 (Kritisch). Wird laut CISA KEV aktiv ausgenutzt. Bekannter Einsatz in Ransomware-Kampagnen. Ausnutzungswahrscheinlichkeit (EPSS): 1.4 %.

Severity: Kritisch · CVSS: 10 · EPSS: 1.4% · aktiv ausgenutzt (KEV), Ransomware

Betroffene Produkte: cisco-webex-uc, cisco-webex, cisco, ivanti-pulse-connect-secure, withsecure-f-secure, n-able</description>
      <category>Kritisch</category><category>KEV</category><category>Cisco (Webex/UC)</category><category>Cisco Webex</category><category>Cisco</category><category>Ivanti (Pulse/Connect Secure)</category><category>WithSecure (F-Secure)</category><category>N-able</category>
    </item>
    <item>
      <title>🔴 CVE-2026-33825 — Microsoft Defender – Unzureichende Zugriffskontrolle ermöglicht Privilege Escalation</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-33825</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-33825</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Microsoft Defender wurde eine unzureichende Granularität der Zugriffskontrolle festgestellt, die es einem authentifizierten Angreifer ermöglicht, lokal Berechtigungen zu eskalieren. Wird laut CISA KEV aktiv ausgenutzt. CVSS-Basiswert: 7.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 7.1 %.

Severity: Hoch · CVSS: 7.8 · EPSS: 7.1% · aktiv ausgenutzt (KEV)

Betroffene Produkte: microsoft-defender, n-able</description>
      <category>Hoch</category><category>KEV</category><category>Microsoft Defender</category><category>N-able</category>
    </item>
    <item>
      <title>🔴 CVE-2023-22515 — Atlassian Confluence Data Center und Server – Broken Access Control</title>
      <link>https://feed.xonatec.ch/reports/cve-2023-22515</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2023-22515</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In Atlassian Confluence Data Center und Server besteht eine Broken-Access-Control-Schwachstelle, die unberechtigten Zugriff auf geschützte Funktionen ermöglicht. Wird laut CISA KEV aktiv ausgenutzt und wurde dort am 2023-10-05 aufgenommen. Ausnutzungswahrscheinlichkeit (EPSS): 99.2 %. Betroffene Instanzen sollten anhand der Atlassian-Security-Advisories geprüft und aktualisiert werden.

Severity: Aktiv ausgenutzt · EPSS: 99.2% · aktiv ausgenutzt (KEV)

Betroffene Produkte: atlassian-jira-confluence-bitbucket, n-able</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Atlassian (Jira/Confluence/Bitbucket)</category><category>N-able</category>
    </item>
    <item>
      <title>🔴 CVE-2023-23752 — Joomla! – Improper Access Control</title>
      <link>https://feed.xonatec.ch/reports/cve-2023-23752</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2023-23752</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Joomla! besteht eine Schwachstelle durch fehlerhafte Zugriffskontrollen. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 94.5 %.

Severity: Aktiv ausgenutzt · EPSS: 94.5% · aktiv ausgenutzt (KEV)

Betroffene Produkte: joomla, n-able</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Joomla</category><category>N-able</category>
    </item>
    <item>
      <title>🔴 CVE-2022-44877 — CWP Control Web Panel – OS Command Injection</title>
      <link>https://feed.xonatec.ch/reports/cve-2022-44877</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2022-44877</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Im CWP Control Web Panel wurde eine OS-Command-Injection-Schwachstelle identifiziert, die eine Befehlsausführung auf Systemebene ermöglicht. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 94.5 %.

Severity: Aktiv ausgenutzt · EPSS: 94.5% · aktiv ausgenutzt (KEV)

Betroffene Produkte: n-able</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>N-able</category>
    </item>
    <item>
      <title>🔴 CVE-2023-24489 — Citrix Content Collaboration ShareFile – Improper Access Control</title>
      <link>https://feed.xonatec.ch/reports/cve-2023-24489</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2023-24489</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Citrix Content Collaboration ShareFile besteht eine Schwachstelle durch unsachgemässe Zugriffskontrolle. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 94.4 %.

Severity: Aktiv ausgenutzt · EPSS: 94.4% · aktiv ausgenutzt (KEV)

Betroffene Produkte: citrix-netscaler, zimbra, n-able</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Citrix/NetScaler</category><category>Synacor / Zimbra</category><category>N-able</category>
    </item>
    <item>
      <title>🔴 CVE-2019-7238 — Sonatype Nexus Repository Manager – Incorrect Access Control</title>
      <link>https://feed.xonatec.ch/reports/cve-2019-7238</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2019-7238</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Im Sonatype Nexus Repository Manager wurde eine fehlerhafte Zugriffskontrolle gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 94.4 %.

Severity: Aktiv ausgenutzt · EPSS: 94.4% · aktiv ausgenutzt (KEV)

Betroffene Produkte: n-able</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>N-able</category>
    </item>
    <item>
      <title>🔴 CVE-2021-44515 — Zoho Desktop Central – Authentication Bypass</title>
      <link>https://feed.xonatec.ch/reports/cve-2021-44515</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2021-44515</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Zoho Desktop Central wurde eine Schwachstelle zur Umgehung der Authentifizierung entdeckt. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 94.3 %.

Severity: Aktiv ausgenutzt · EPSS: 94.3% · aktiv ausgenutzt (KEV)

Betroffene Produkte: n-able</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>N-able</category>
    </item>
    <item>
      <title>🔴 CVE-2024-27348 — Apache HugeGraph-Server – Improper Access Control</title>
      <link>https://feed.xonatec.ch/reports/cve-2024-27348</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2024-27348</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Apache HugeGraph-Server wurde eine Schwachstelle durch unzureichende Zugriffskontrolle (Improper Access Control) gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 94.3 %.

Severity: Aktiv ausgenutzt · EPSS: 94.3% · aktiv ausgenutzt (KEV)

Betroffene Produkte: apache-http-server-asf-projekte, apache-tomcat, n-able</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category><category>N-able</category>
    </item>
    <item>
      <title>🔴 CVE-2020-17519 — Apache Flink – Improper Access Control</title>
      <link>https://feed.xonatec.ch/reports/cve-2020-17519</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2020-17519</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Apache Flink wurde eine Schwachstelle durch unzureichende Zugriffssteuerung gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 94.3 %.

Severity: Aktiv ausgenutzt · EPSS: 94.3% · aktiv ausgenutzt (KEV)

Betroffene Produkte: apache-http-server-asf-projekte, apache-tomcat, n-able</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category><category>N-able</category>
    </item>
    <item>
      <title>🔴 CVE-2023-38205 — Adobe ColdFusion – Improper Access Control</title>
      <link>https://feed.xonatec.ch/reports/cve-2023-38205</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2023-38205</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Adobe ColdFusion wurde eine Schwachstelle durch unzureichende Zugriffskontrolle (Improper Access Control) gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 94.3 %.

Severity: Aktiv ausgenutzt · EPSS: 94.3% · aktiv ausgenutzt (KEV)

Betroffene Produkte: adobe-apsb, magento-adobe-commerce, n-able</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Adobe (APSB)</category><category>Magento/Adobe Commerce</category><category>N-able</category>
    </item>
    <item>
      <title>🔴 CVE-2019-7192 — QNAP Photo Station – Improper Access Control</title>
      <link>https://feed.xonatec.ch/reports/cve-2019-7192</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2019-7192</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In QNAP Photo Station wurde eine Schwachstelle durch unzureichende Zugriffssteuerung (CVE-2019-7192) gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Bekannter Einsatz in Ransomware-Kampagnen. Ausnutzungswahrscheinlichkeit (EPSS): 94.3 %.

Severity: Aktiv ausgenutzt · EPSS: 94.3% · aktiv ausgenutzt (KEV), Ransomware

Betroffene Produkte: qnap, n-able</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>QNAP</category><category>N-able</category>
    </item>
    <item>
      <title>🔴 CVE-2023-29298 — Adobe ColdFusion – Improper Access Control</title>
      <link>https://feed.xonatec.ch/reports/cve-2023-29298</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2023-29298</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Adobe ColdFusion wurde eine Schwachstelle durch unzureichende Zugriffskontrolle (Improper Access Control) gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 94.3 %.

Severity: Aktiv ausgenutzt · EPSS: 94.3% · aktiv ausgenutzt (KEV)

Betroffene Produkte: adobe-apsb, magento-adobe-commerce, n-able</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Adobe (APSB)</category><category>Magento/Adobe Commerce</category><category>N-able</category>
    </item>
    <item>
      <title>🔴 CVE-2023-27350 — PaperCut MF/NG – Unzureichende Zugriffskontrolle</title>
      <link>https://feed.xonatec.ch/reports/cve-2023-27350</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2023-27350</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In PaperCut MF/NG wurde eine Schwachstelle durch unzureichende Zugriffskontrolle gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Bekannter Einsatz in Ransomware-Kampagnen. Ausnutzungswahrscheinlichkeit (EPSS): 94.3 %.

Severity: Aktiv ausgenutzt · EPSS: 94.3% · aktiv ausgenutzt (KEV), Ransomware

Betroffene Produkte: papercut, n-able</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>PaperCut</category><category>N-able</category>
    </item>
    <item>
      <title>🔴 CVE-2020-10189 — Zoho ManageEngine Desktop Central – File Upload Vulnerability</title>
      <link>https://feed.xonatec.ch/reports/cve-2020-10189</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2020-10189</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Zoho ManageEngine Desktop Central wurde eine Schwachstelle zum unberechtigten Datei-Upload entdeckt. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 94.2 %.

Severity: Aktiv ausgenutzt · EPSS: 94.2% · aktiv ausgenutzt (KEV)

Betroffene Produkte: n-able</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>N-able</category>
    </item>
    <item>
      <title>🔴 CVE-2024-20767 — Adobe ColdFusion – Improper Access Control</title>
      <link>https://feed.xonatec.ch/reports/cve-2024-20767</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2024-20767</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Adobe ColdFusion wurde eine Schwachstelle durch unzureichende Zugriffskontrolle (Improper Access Control) gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 94.1 %.

Severity: Aktiv ausgenutzt · EPSS: 94.1% · aktiv ausgenutzt (KEV)

Betroffene Produkte: adobe-apsb, magento-adobe-commerce, n-able</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Adobe (APSB)</category><category>Magento/Adobe Commerce</category><category>N-able</category>
    </item>
    <item>
      <title>🔴 CVE-2020-26919 — Netgear JGS516PE – Fehlende Zugriffskontrolle</title>
      <link>https://feed.xonatec.ch/reports/cve-2020-26919</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2020-26919</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Im Netgear JGS516PE besteht eine Schwachstelle durch fehlende Zugriffssteuerung auf Funktionsebene (Missing Function Level Access Control). Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 93.8 %.

Severity: Aktiv ausgenutzt · EPSS: 93.8% · aktiv ausgenutzt (KEV)

Betroffene Produkte: netgear-readynas, n-able</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Netgear (ReadyNAS)</category><category>N-able</category>
    </item>
    <item>
      <title>🔴 CVE-2023-7028 — GitLab CE/EE – Improper Access Control</title>
      <link>https://feed.xonatec.ch/reports/cve-2023-7028</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2023-7028</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In GitLab Community und Enterprise Editions wurde eine Schwachstelle durch fehlerhafte Zugriffskontrolle gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 93.4 %.

Severity: Aktiv ausgenutzt · EPSS: 93.4% · aktiv ausgenutzt (KEV)

Betroffene Produkte: gitlab, n-able</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>GitLab</category><category>N-able</category>
    </item>
    <item>
      <title>🔴 CVE-2022-23134 — Zabbix Frontend – Improper Access Control</title>
      <link>https://feed.xonatec.ch/reports/cve-2022-23134</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2022-23134</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Im Zabbix Frontend wurde eine fehlerhafte Zugriffskontrolle gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 92.6 %.

Severity: Aktiv ausgenutzt · EPSS: 92.6% · aktiv ausgenutzt (KEV)

Betroffene Produkte: n-able</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>N-able</category>
    </item>
    <item>
      <title>🔴 CVE-2022-26143 — MiCollab / MiVoice Business Express – Access Control Vulnerability</title>
      <link>https://feed.xonatec.ch/reports/cve-2022-26143</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2022-26143</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In MiCollab und MiVoice Business Express von Mitel wurde eine Schwachstelle zur Umgehung der Zugriffskontrolle bekannt. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 89.1 %.

Severity: Aktiv ausgenutzt · EPSS: 89.1% · aktiv ausgenutzt (KEV)

Betroffene Produkte: n-able, mitel</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>N-able</category><category>Mitel</category>
    </item>
    <item>
      <title>🔴 CVE-2021-22941 — Citrix ShareFile – Improper Access Control</title>
      <link>https://feed.xonatec.ch/reports/cve-2021-22941</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2021-22941</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Citrix ShareFile besteht eine Schwachstelle durch unsachgemässe Zugriffskontrolle (Improper Access Control). Wird laut CISA KEV aktiv ausgenutzt. Bekannter Einsatz in Ransomware-Kampagnen. Ausnutzungswahrscheinlichkeit (EPSS): 88.5 %.

Severity: Aktiv ausgenutzt · EPSS: 88.5% · aktiv ausgenutzt (KEV), Ransomware

Betroffene Produkte: citrix-netscaler, n-able</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Citrix/NetScaler</category><category>N-able</category>
    </item>
    <item>
      <title>🔴 CVE-2025-31125 — Vite (Vitejs) – Improper Access Control</title>
      <link>https://feed.xonatec.ch/reports/cve-2025-31125</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2025-31125</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Im Build-Tool Vite (Vitejs) wurde eine Schwachstelle durch unzureichende Zugriffskontrolle bekannt. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 83.2 %.

Severity: Aktiv ausgenutzt · EPSS: 83.2% · aktiv ausgenutzt (KEV)

Betroffene Produkte: n-able</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>N-able</category>
    </item>
    <item>
      <title>🔴 CVE-2025-40536 — SolarWinds Web Help Desk – Security Control Bypass</title>
      <link>https://feed.xonatec.ch/reports/cve-2025-40536</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2025-40536</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Im SolarWinds Web Help Desk wurde eine Schwachstelle zur Umgehung von Sicherheitskontrollen (Security Control Bypass) identifiziert. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 81.6 %.

Severity: Aktiv ausgenutzt · EPSS: 81.6% · aktiv ausgenutzt (KEV)

Betroffene Produkte: solarwinds, n-able</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>SolarWinds</category><category>N-able</category>
    </item>
    <item>
      <title>🔴 CVE-2008-0015 — Microsoft Windows Video ActiveX Control – Remote Code Execution</title>
      <link>https://feed.xonatec.ch/reports/cve-2008-0015</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2008-0015</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Eine Schwachstelle im Microsoft Windows Video ActiveX Control ermöglicht die Ausführung von Remote-Code. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 81.6 %.

Severity: Aktiv ausgenutzt · EPSS: 81.6% · aktiv ausgenutzt (KEV)

Betroffene Produkte: microsoft-windows, n-able</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Microsoft Windows</category><category>N-able</category>
    </item>
    <item>
      <title>🔴 CVE-2025-12480 — Gladinet Triofox – Improper Access Control</title>
      <link>https://feed.xonatec.ch/reports/cve-2025-12480</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2025-12480</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Gladinet Triofox wurde eine Schwachstelle durch unzureichende Zugriffskontrolle bekannt, die unbefugten Zugriff auf das System ermöglichen kann. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 79.9 %.

Severity: Aktiv ausgenutzt · EPSS: 79.9% · aktiv ausgenutzt (KEV)

Betroffene Produkte: n-able</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>N-able</category>
    </item>
    <item>
      <title>🔴 CVE-2024-21338 — Microsoft Windows Kernel – Unzureichende Zugriffskontrolle (IOCTL)</title>
      <link>https://feed.xonatec.ch/reports/cve-2024-21338</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2024-21338</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Im Windows-Kernel wurde eine Schwachstelle durch einen exponierten IOCTL mit unzureichender Zugriffskontrolle gemeldet, die eine Privilegienerweiterung ermöglicht. Wird laut CISA KEV aktiv ausgenutzt. Bekannter Einsatz in Ransomware-Kampagnen. Ausnutzungswahrscheinlichkeit (EPSS): 79.4 %.

Severity: Aktiv ausgenutzt · EPSS: 79.4% · aktiv ausgenutzt (KEV), Ransomware

Betroffene Produkte: microsoft-windows, n-able</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Microsoft Windows</category><category>N-able</category>
    </item>
    <item>
      <title>🔴 CVE-2021-22017 — VMware vCenter Server Improper Access Control</title>
      <link>https://feed.xonatec.ch/reports/cve-2021-22017</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2021-22017</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In VMware vCenter Server wurde eine Schwachstelle durch fehlerhafte Zugriffskontrolle gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 74.8 %.

Severity: Aktiv ausgenutzt · EPSS: 74.8% · aktiv ausgenutzt (KEV)

Betroffene Produkte: vmware-broadcom-vmsa, n-able</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>VMware (Broadcom VMSA)</category><category>N-able</category>
    </item>
    <item>
      <title>🔴 CVE-2021-21551 — Dell dbutil-Treiber – Unzureichende Zugangskontrolle</title>
      <link>https://feed.xonatec.ch/reports/cve-2021-21551</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2021-21551</guid>
      <pubDate>Mon, 13 Jul 2026 00:00:00 GMT</pubDate>
      <description>Im Dell dbutil-Treiber wurde eine Schwachstelle durch unzureichende Zugangskontrolle identifiziert. Wird laut CISA KEV aktiv ausgenutzt; Aufnahme in den KEV-Katalog am 2022-03-31. Ausnutzungswahrscheinlichkeit (EPSS): 74.5 %. Ein CVSS-Basiswert liegt in den Quelldaten nicht vor.

Severity: Aktiv ausgenutzt · EPSS: 74.5% · aktiv ausgenutzt (KEV)

Betroffene Produkte: dell-bios-dsa, dell-emc-powerstore-isilon-unity, n-able</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Dell (BIOS/DSA)</category><category>Dell EMC (PowerStore/Isilon/Unity)</category><category>N-able</category>
    </item>
    <item>
      <title>🔴 CVE-2025-48703 — CWP Control Web Panel – OS Command Injection</title>
      <link>https://feed.xonatec.ch/reports/cve-2025-48703</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2025-48703</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Im CWP Control Web Panel wurde eine OS-Command-Injection-Schwachstelle identifiziert, die eine Befehlsausführung auf Systemebene ermöglicht. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 69.8 %.

Severity: Aktiv ausgenutzt · EPSS: 69.8% · aktiv ausgenutzt (KEV)

Betroffene Produkte: n-able</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>N-able</category>
    </item>
    <item>
      <title>🔴 CVE-2025-68613 — n8n – Improper Control of Dynamically-Managed Code Resources</title>
      <link>https://feed.xonatec.ch/reports/cve-2025-68613</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2025-68613</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In n8n wurde eine Schwachstelle durch unsachgemässe Kontrolle dynamisch verwalteter Code-Ressourcen gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 65.8 %.

Severity: Aktiv ausgenutzt · EPSS: 65.8% · aktiv ausgenutzt (KEV)

Betroffene Produkte: n-able</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>N-able</category>
    </item>
    <item>
      <title>🔴 CVE-2025-33053 — Microsoft Windows – External Control of File Name or Path</title>
      <link>https://feed.xonatec.ch/reports/cve-2025-33053</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2025-33053</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Microsoft Windows wurde eine Schwachstelle durch unkontrollierte externe Steuerung von Dateinamen oder Pfaden gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 50.3 %.

Severity: Aktiv ausgenutzt · EPSS: 50.3% · aktiv ausgenutzt (KEV)

Betroffene Produkte: microsoft-windows, n-able</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Microsoft Windows</category><category>N-able</category>
    </item>
    <item>
      <title>🔴 CVE-2025-32463 — Sudo Inclusion of Functionality from Untrusted Control Sphere</title>
      <link>https://feed.xonatec.ch/reports/cve-2025-32463</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2025-32463</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Sudo wurde eine Schwachstelle durch Einbindung von Funktionalität aus einer nicht vertrauenswürdigen Kontrollsphäre identifiziert. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 47.5 %.

Severity: Aktiv ausgenutzt · EPSS: 47.5% · aktiv ausgenutzt (KEV)

Betroffene Produkte: asustor, n-able</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Asustor</category><category>N-able</category>
    </item>
    <item>
      <title>🔴 CVE-2025-33073 — Microsoft Windows SMB Client – Improper Access Control</title>
      <link>https://feed.xonatec.ch/reports/cve-2025-33073</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2025-33073</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Im SMB-Client von Microsoft Windows wurde eine Schwachstelle durch fehlerhafte Zugriffskontrolle entdeckt. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 44.3 %.

Severity: Aktiv ausgenutzt · EPSS: 44.3% · aktiv ausgenutzt (KEV)

Betroffene Produkte: microsoft-windows, n-able</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Microsoft Windows</category><category>N-able</category>
    </item>
    <item>
      <title>🔴 CVE-2025-24989 — Microsoft Power Pages – Improper Access Control</title>
      <link>https://feed.xonatec.ch/reports/cve-2025-24989</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2025-24989</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Microsoft Power Pages wurde eine Schwachstelle durch unzureichende Zugriffskontrolle bekannt, die unbefugten Zugriff ermöglichen kann. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 31.6 %.

Severity: Aktiv ausgenutzt · EPSS: 31.6% · aktiv ausgenutzt (KEV)

Betroffene Produkte: n-able</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>N-able</category>
    </item>
    <item>
      <title>🔴 CVE-2022-26871 — Trend Micro Apex Central – Arbitrary File Upload</title>
      <link>https://feed.xonatec.ch/reports/cve-2022-26871</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2022-26871</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Trend Micro Apex Central wurde eine Schwachstelle zum beliebigen Datei-Upload (Arbitrary File Upload) gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 21.3 %.

Severity: Aktiv ausgenutzt · EPSS: 21.3% · aktiv ausgenutzt (KEV)

Betroffene Produkte: trend-micro-zdi, n-able</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Trend Micro / ZDI</category><category>N-able</category>
    </item>
    <item>
      <title>🔴 CVE-2020-2506 — QNAP Helpdesk – Improper Access Control</title>
      <link>https://feed.xonatec.ch/reports/cve-2020-2506</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2020-2506</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In QNAP Helpdesk wurde eine Schwachstelle durch unzureichende Zugriffssteuerung (CVE-2020-2506) gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 18.0 %.

Severity: Aktiv ausgenutzt · EPSS: 18.0% · aktiv ausgenutzt (KEV)

Betroffene Produkte: qnap, n-able</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>QNAP</category><category>N-able</category>
    </item>
    <item>
      <title>🔴 CVE-2022-23748 — Dante Discovery – Process Control Vulnerability</title>
      <link>https://feed.xonatec.ch/reports/cve-2022-23748</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2022-23748</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Dante Discovery wurde eine Schwachstelle in der Prozesssteuerung gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 10.3 %.

Severity: Aktiv ausgenutzt · EPSS: 10.3% · aktiv ausgenutzt (KEV)

Betroffene Produkte: n-able</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>N-able</category>
    </item>
    <item>
      <title>🔴 CVE-2025-8876 — N-able N-Central – Command Injection</title>
      <link>https://feed.xonatec.ch/reports/cve-2025-8876</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2025-8876</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In N-able N-Central wurde eine Command-Injection-Schwachstelle gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 9.2 %.

Severity: Aktiv ausgenutzt · EPSS: 9.2% · aktiv ausgenutzt (KEV)

Betroffene Produkte: n-able</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>N-able</category>
    </item>
    <item>
      <title>🔴 CVE-2025-48928 — TeleMessage TM SGNL – Core Dump File Exposure</title>
      <link>https://feed.xonatec.ch/reports/cve-2025-48928</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2025-48928</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In TeleMessage TM SGNL wurde eine Schwachstelle bekannt, bei der Core-Dump-Dateien einer nicht autorisierten Kontrollsphäre zugänglich werden können, was zur Offenlegung sensibler Informationen führen kann. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 8.3 %.

Severity: Aktiv ausgenutzt · EPSS: 8.3% · aktiv ausgenutzt (KEV)

Betroffene Produkte: n-able</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>N-able</category>
    </item>
    <item>
      <title>🔴 CVE-2024-49035 — Microsoft Partner Center – Improper Access Control</title>
      <link>https://feed.xonatec.ch/reports/cve-2024-49035</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2024-49035</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Im Microsoft Partner Center wurde eine Schwachstelle durch unzureichende Zugriffskontrolle bekannt, die unbefugten Zugriff ermöglichen kann. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 5.5 %.

Severity: Aktiv ausgenutzt · EPSS: 5.5% · aktiv ausgenutzt (KEV)

Betroffene Produkte: n-able</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>N-able</category>
    </item>
    <item>
      <title>🔴 CVE-2025-59230 — Microsoft Windows – Improper Access Control</title>
      <link>https://feed.xonatec.ch/reports/cve-2025-59230</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2025-59230</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Microsoft Windows wurde eine Schwachstelle durch fehlerhafte Zugriffskontrolle gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 5.0 %.

Severity: Aktiv ausgenutzt · EPSS: 5.0% · aktiv ausgenutzt (KEV)

Betroffene Produkte: microsoft-windows, n-able</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Microsoft Windows</category><category>N-able</category>
    </item>
    <item>
      <title>🔴 CVE-2018-0147 — Cisco Secure Access Control System Java Deserialization</title>
      <link>https://feed.xonatec.ch/reports/cve-2018-0147</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2018-0147</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Im Cisco Secure Access Control System wurde eine Java-Deserialisierungsschwachstelle identifiziert, die zur Ausführung von Schadcode genutzt werden kann. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 4.0 %.

Severity: Aktiv ausgenutzt · EPSS: 4.0% · aktiv ausgenutzt (KEV)

Betroffene Produkte: cisco-webex-uc, cisco-webex, cisco, ivanti-pulse-connect-secure, withsecure-f-secure, n-able, java-openjdk-oracle</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Cisco (Webex/UC)</category><category>Cisco Webex</category><category>Cisco</category><category>Ivanti (Pulse/Connect Secure)</category><category>WithSecure (F-Secure)</category><category>N-able</category><category>Java/OpenJDK (Oracle)</category>
    </item>
    <item>
      <title>🔴 CVE-2024-40766 — SonicWall SonicOS – Fehlerhafte Zugriffskontrolle</title>
      <link>https://feed.xonatec.ch/reports/cve-2024-40766</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2024-40766</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In SonicWall SonicOS wurde eine fehlerhafte Zugriffskontrolle (Improper Access Control) gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Bekannter Einsatz in Ransomware-Kampagnen. Ausnutzungswahrscheinlichkeit (EPSS): 3.4 %.

Severity: Aktiv ausgenutzt · EPSS: 3.4% · aktiv ausgenutzt (KEV), Ransomware

Betroffene Produkte: sonicwall, n-able</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>SonicWall</category><category>N-able</category>
    </item>
    <item>
      <title>🔴 CVE-2018-13374 — Fortinet FortiOS und FortiADC Improper Access Control</title>
      <link>https://feed.xonatec.ch/reports/cve-2018-13374</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2018-13374</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Fortinet FortiOS und FortiADC wurde eine Schwachstelle durch unzureichende Zugriffskontrolle gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Bekannter Einsatz in Ransomware-Kampagnen. Ausnutzungswahrscheinlichkeit (EPSS): 3.4 %.

Severity: Aktiv ausgenutzt · EPSS: 3.4% · aktiv ausgenutzt (KEV), Ransomware

Betroffene Produkte: fortinet, n-able</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Fortinet</category><category>N-able</category>
    </item>
    <item>
      <title>🔴 CVE-2025-8875 — N-able N-Central – Insecure Deserialization</title>
      <link>https://feed.xonatec.ch/reports/cve-2025-8875</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2025-8875</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In N-able N-Central wurde eine unsichere Deserialisierungsschwachstelle gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 3.0 %.

Severity: Aktiv ausgenutzt · EPSS: 3.0% · aktiv ausgenutzt (KEV)

Betroffene Produkte: n-able</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>N-able</category>
    </item>
    <item>
      <title>🔴 CVE-2020-24557 — Trend Micro – Improper Access Control in mehreren Produkten</title>
      <link>https://feed.xonatec.ch/reports/cve-2020-24557</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2020-24557</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In mehreren Trend-Micro-Produkten wurde eine Schwachstelle durch unzureichende Zugriffskontrolle gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 1.9 %.

Severity: Aktiv ausgenutzt · EPSS: 1.9% · aktiv ausgenutzt (KEV)

Betroffene Produkte: trend-micro-zdi, n-able</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Trend Micro / ZDI</category><category>N-able</category>
    </item>
    <item>
      <title>🔴 CVE-2025-35939 — Craft CMS – External Control of Assumed-Immutable Web Parameter</title>
      <link>https://feed.xonatec.ch/reports/cve-2025-35939</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2025-35939</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Craft CMS wurde eine Schwachstelle identifiziert, bei der externe Kontrolle über als unveränderlich angenommene Web-Parameter möglich ist. Laut CISA-CSAF-Daten sind 2 Produkte betroffen, für 2 ist ein Fix verfügbar. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 1.2 %.

Severity: Aktiv ausgenutzt · EPSS: 1.2% · aktiv ausgenutzt (KEV)

Betroffene Produkte: cisa-ics-cert-aggregator, n-able</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>CISA ICS-CERT (Aggregator)</category><category>N-able</category>
    </item>
    <item>
      <title>🔴 CVE-2021-25337 — Samsung Mobile Devices – Improper Access Control</title>
      <link>https://feed.xonatec.ch/reports/cve-2021-25337</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2021-25337</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Samsung Mobile Devices wurde eine fehlerhafte Zugriffskontrolle gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 0.8 %.

Severity: Aktiv ausgenutzt · EPSS: 0.8% · aktiv ausgenutzt (KEV)

Betroffene Produkte: n-able</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>N-able</category>
    </item>
    <item>
      <title>🔴 CVE-2021-25369 — Samsung Mobile Devices – Improper Access Control (CVE-2021-25369)</title>
      <link>https://feed.xonatec.ch/reports/cve-2021-25369</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2021-25369</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Samsung Mobile Devices wurde eine weitere fehlerhafte Zugriffskontrolle gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.

Severity: Aktiv ausgenutzt · EPSS: 0.2% · aktiv ausgenutzt (KEV)

Betroffene Produkte: n-able</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>N-able</category>
    </item>
    <item>
      <title>CVE-2026-38615 — DedeCMS: Command Execution in file_manage_control.php</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-38615</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-38615</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>DedeCMS in der Version V5.7.118 ist in der Datei file_manage_control.php für Command Execution anfällig. Angreifer können darüber Befehle auf dem Server ausführen. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.8 %. Die Quelldaten nennen keine fehlerbereinigte Version und keine konkrete Massnahme.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.8%

Betroffene Produkte: n-able, php</description>
      <category>Kritisch</category><category>N-able</category><category>PHP</category>
    </item>
    <item>
      <title>CVE-2026-57517 — Control Web Panel: Blinde SQL-Injection ohne Authentifizierung</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-57517</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-57517</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Control Web Panel vor Version 0.9.8.1225 enthält eine blinde SQL-Injection. Nicht authentifizierte Angreifer können darüber aus der Ferne beliebige SQL-Abfragen ausführen, indem sie ungefilterte Eingaben übermitteln. CVSS-Basiswert: 9.8 (Kritisch); der Angriff ist über das Netzwerk ohne Zugangsdaten und ohne Benutzerinteraktion möglich. Ausnutzungswahrscheinlichkeit (EPSS): 0.6 %. Empfohlene Massnahme: Update auf Control Web Panel 0.9.8.1225 oder neuer.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.6%

Betroffene Produkte: n-able</description>
      <category>Kritisch</category><category>N-able</category>
    </item>
    <item>
      <title>CVE-2026-57811 — Realtyna Organic IDX (WordPress) – Code Injection</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-57811</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-57811</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Im WordPress-Plugin Realtyna Organic IDX (real-estate-listing-realtyna-wpl) besteht eine Schwachstelle durch unzureichende Kontrolle der Codegenerierung (Code Injection), die das Einbinden von entferntem Code erlaubt. CVSS-Basiswert: 10 (Kritisch) – Angriff über das Netzwerk ohne Rechte und ohne Nutzerinteraktion, mit Scope-Wechsel und voller Auswirkung auf Vertraulichkeit, Integrität und Verfügbarkeit. Ausnutzungswahrscheinlichkeit (EPSS): 0.6 %. Empfohlene Massnahme: das Plugin auf eine vom Hersteller als korrigiert ausgewiesene Version aktualisieren.

Severity: Kritisch · CVSS: 10 · EPSS: 0.6%

Betroffene Produkte: n-able</description>
      <category>Kritisch</category><category>N-able</category>
    </item>
    <item>
      <title>CVE-2026-49973 — Hermes WebUI: unauthentifizierte Übernahme der Ersteinrichtung über _set_password</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-49973</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-49973</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Hermes WebUI vor Version 0.51.358 enthält eine fehlerhafte Zugriffskontrolle. Nicht authentifizierte Angreifer aus dem Netz können die Ersteinrichtung übernehmen, indem sie den Parameter _set_password übermitteln. Damit lässt sich die Kontrolle über die Instanz erlangen, bevor der reguläre Betreiber sie einrichtet. CVSS-Basiswert: 9.4 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: auf Hermes WebUI 0.51.358 oder neuer aktualisieren.

Severity: Kritisch · CVSS: 9.4 · EPSS: 0.5%

Betroffene Produkte: n-able</description>
      <category>Kritisch</category><category>N-able</category>
    </item>
    <item>
      <title>CVE-2026-24611 — MetForm Pro: unauthentifizierte Umgehung der Zugriffskontrolle bis Version 3.9.1</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-24611</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-24611</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das Plugin MetForm Pro enthält in den Versionen bis einschliesslich 3.9.1 eine fehlerhafte Zugriffskontrolle, die ohne Authentifizierung ausgenutzt werden kann. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: auf eine Version neuer als 3.9.1 aktualisieren.

Severity: Kritisch · CVSS: 9.1 · EPSS: 0.4%

Betroffene Produkte: n-able</description>
      <category>Kritisch</category><category>N-able</category>
    </item>
    <item>
      <title>CVE-2026-25470 — WordPress-Plugin ACPT (Pro) – Custom Post Types: Code Injection</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-25470</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-25470</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Im WordPress-Plugin ACPT (Pro) – Custom Post Types besteht laut NVD eine Code-Injection-Schwachstelle, die das Einbinden und Ausführen entfernten Codes erlaubt. CVSS-Basiswert: 10 (Kritisch), Vektor CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H – ausnutzbar ohne Authentifizierung über das Netz. Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Die betroffenen Versionsstände sind in den Quelldaten abgeschnitten; empfohlen ist, das Plugin auf die aktuelle Version zu aktualisieren.

Severity: Kritisch · CVSS: 10 · EPSS: 0.4%

Betroffene Produkte: n-able, wordpress-patchstack, wordpress-wordfence, wordpress-wpscan</description>
      <category>Kritisch</category><category>N-able</category><category>WordPress (Patchstack)</category><category>WordPress (Wordfence)</category><category>WordPress (WPScan)</category>
    </item>
    <item>
      <title>CVE-2026-58172 — Ocelot: Umgehung IP-basierter Zugriffsbeschränkungen über WebSocket-Upgrade</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-58172</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-58172</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Ocelot bis Version 24.1.0 (behoben in Commit f156fd4) enthält eine Schwachstelle zur Umgehung von Sicherheitskontrollen, die es gesperrten Clients erlaubt, IP-basierte Zugriffsbeschränkungen durch das Senden von WebSocket-Upgrade-Anfragen zu umgehen. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.

Severity: Kritisch · CVSS: 9.1 · EPSS: 0.4%

Betroffene Produkte: n-able</description>
      <category>Kritisch</category><category>N-able</category>
    </item>
    <item>
      <title>CVE-2026-53086 — Linux-Kernel: Race Condition im bcmgenet-Timeout-Handler</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-53086</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-53086</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Im Linux-Kernel wurde eine Race Condition im Timeout-Handler des Netzwerktreibers bcmgenet behoben. Laut NVD versucht bcmgenet_timeout alle TX-Queues stillzulegen, wenn nur eine einzelne Queue in einen Timeout läuft. Der CVSS-Vektor weist die Lücke als über das Netzwerk, ohne Privilegien und ohne Benutzerinteraktion ausnutzbar aus. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: die Kernel-Updates der betroffenen Distributionen einspielen.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.4%

Betroffene Produkte: amazon-linux-alas, oracle-linux-elsa, rocky-linux, net-microsoft, n-able</description>
      <category>Kritisch</category><category>Amazon Linux (ALAS)</category><category>Oracle Linux (ELSA)</category><category>Rocky Linux</category><category>.NET / Microsoft</category><category>N-able</category>
    </item>
    <item>
      <title>CVE-2026-56004 — obs tar_scm – Shellcode-Injection im Mercurial-Handler</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-56004</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-56004</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Im Mercurial-Handler des Source-Service obs tar_scm vor Version 0.12.4 besteht eine Shellcode-Injection. Angreifer, die eine _service-Datei bereitstellen können, sind dadurch in der Lage, Code im Kontext des Source-Service auszuführen. CVSS-Basiswert: 10 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: obs tar_scm auf Version 0.12.4 oder neuer aktualisieren.

Severity: Kritisch · CVSS: 10 · EPSS: 0.4%

Betroffene Produkte: n-able</description>
      <category>Kritisch</category><category>N-able</category>
    </item>
    <item>
      <title>CVE-2026-58473 — Cognee: Fehlerhafte Zugriffskontrolle erlaubt Überschreiben der LLM-Provider-Konfiguration</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-58473</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-58473</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Cognee vor Version 1.2.0 enthält eine Schwachstelle durch fehlerhafte Zugriffskontrolle, die nicht authentifizierten Angreifern durch Selbstregistrierung eines Kontos das Überschreiben der globalen LLM-Provider-Konfiguration erlaubt. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: Aktualisierung auf Version 1.2.0.

Severity: Kritisch · CVSS: 9.1 · EPSS: 0.4%

Betroffene Produkte: n-able</description>
      <category>Kritisch</category><category>N-able</category>
    </item>
    <item>
      <title>CVE-2026-25787 — N-able – unzureichende Validierung des Technology-Object-Namens im Web-Interface</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-25787</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-25787</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Betroffene Geräte validieren und bereinigen den Namen eines Technology Object (TO) nicht ausreichend, der auf der Seite „Motion Control Diagnostics“ der Web-Oberfläche dargestellt wird. Dadurch kann ein authentifizierter Angreifer die Verarbeitung beeinflussen. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.

Severity: Kritisch · CVSS: 9.1 · EPSS: 0.4%

Betroffene Produkte: n-able</description>
      <category>Kritisch</category><category>N-able</category>
    </item>
    <item>
      <title>CVE-2026-56081 — Cap-go – Fehler in der Authentifizierungslogik ermöglicht Kontoübernahme</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-56081</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-56081</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Cap-go vor Version 12.128.2 enthält einen Fehler in der Authentifizierungslogik: Ein Angreifer kann ein Konto registrieren und kontrollieren, das an die E-Mail-Adresse eines Opfers gebunden ist, bevor diese Adresse verifiziert wurde. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.

Severity: Kritisch · CVSS: 9.1 · EPSS: 0.4%

Betroffene Produkte: n-able</description>
      <category>Kritisch</category><category>N-able</category>
    </item>
    <item>
      <title>CVE-2026-5433 — Honeywell Control Network Module – Command Injection</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-5433</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-5433</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Das Honeywell Control Network Module (CNM) enthält eine Command-Injection-Schwachstelle im Webinterface. Ein Angreifer könnte diese Lücke über Befehlstrennzeichen ausnutzen, was potenziell zu Remote Code Execution führt. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.

Severity: Kritisch · CVSS: 9.1 · EPSS: 0.3%

Betroffene Produkte: honeywell, n-able</description>
      <category>Kritisch</category><category>Honeywell</category><category>N-able</category>
    </item>
    <item>
      <title>CVE-2026-52704 — WooCommerce PDF Invoice Builder – Code Injection (Remote Code Inclusion)</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-52704</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-52704</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Im Plugin WooCommerce PDF Invoice Builder von Edgar Rojas besteht eine Schwachstelle durch unzureichende Kontrolle der Code-Generierung (Code Injection), die Remote Code Inclusion ermöglicht. CVSS-Basiswert: 10 (Kritisch), Vektor CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H – aus dem Netz ohne Rechte oder Nutzerinteraktion ausnutzbar, mit Scope-Wechsel. Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: das Plugin auf eine bereinigte Version aktualisieren oder bis zur Verfügbarkeit eines Fixes deaktivieren.

Severity: Kritisch · CVSS: 10 · EPSS: 0.3%

Betroffene Produkte: n-able</description>
      <category>Kritisch</category><category>N-able</category>
    </item>
    <item>
      <title>CVE-2026-50886 — Firefly III: Fehlerhafte Zugriffskontrolle in der Webhook-Verwaltung (SSRF)</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-50886</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-50886</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Eine fehlerhafte Zugriffskontrolle in der Webhook-Verwaltungskomponente von Project Firefly III v6.5.9 erlaubt Angreifern, über eine manipulierte POST-Anfrage interne Ressourcen zu scannen. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.

Severity: Kritisch · CVSS: 9.1 · EPSS: 0.3%

Betroffene Produkte: n-able</description>
      <category>Kritisch</category><category>N-able</category>
    </item>
    <item>
      <title>CVE-2026-49774 — RD Station – Code Injection (Remote Code Inclusion)</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-49774</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-49774</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Im Plugin RD Station von Filipe Nasc besteht eine Schwachstelle durch unzureichende Kontrolle der Code-Generierung (Code Injection), die Remote Code Inclusion ermöglicht. Betroffen sind laut Quelle alle Versionen bis einschliesslich 5.6.0. CVSS-Basiswert: 9.9 (Kritisch), Vektor CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H – geringe Rechte genügen, mit Scope-Wechsel. Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: das Plugin auf eine Version neuer als 5.6.0 aktualisieren oder bis zur Verfügbarkeit eines Fixes deaktivieren.

Severity: Kritisch · CVSS: 9.9 · EPSS: 0.3%

Betroffene Produkte: n-able</description>
      <category>Kritisch</category><category>N-able</category>
    </item>
    <item>
      <title>CVE-2026-48881 — TrueBooker (≤ 1.1.9) – nicht authentifizierte fehlerhafte Zugriffskontrolle</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-48881</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-48881</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Laut NVD besteht in TrueBooker in Versionen bis einschliesslich 1.1.9 eine nicht authentifizierte fehlerhafte Zugriffskontrolle (Broken Access Control). Der Angriff ist über das Netzwerk ohne Authentifizierung und ohne Benutzerinteraktion möglich und betrifft Vertraulichkeit und Integrität. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.

Severity: Kritisch · CVSS: 9.1 · EPSS: 0.3%

Betroffene Produkte: n-able</description>
      <category>Kritisch</category><category>N-able</category>
    </item>
    <item>
      <title>CVE-2026-10539 — Control-M/Server – unzureichende Eingabefilterung ermöglicht unautorisierte Ausführung</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-10539</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-10539</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Ein Kommunikationskommando von Control-M/Server filtert bzw. bereinigt laut NVD vom Benutzer gelieferte Eingaben unzureichend. Unter bestimmten Bedingungen kann dies einem nicht authentifizierten Angreifer die unautorisierte Ausführung ermöglichen. Der Angriff ist netzwerkbasiert, erfordert jedoch eine hohe Angriffskomplexität. CVSS-Basiswert: 9.0 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.

Severity: Kritisch · CVSS: 9 · EPSS: 0.2%

Betroffene Produkte: n-able</description>
      <category>Kritisch</category><category>N-able</category>
    </item>
    <item>
      <title>CVE-2026-7198 — Improper Access Control in Progress Sitefinity Web Services</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-7198</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-7198</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Progress Sitefinity 15.4.8623 (vor Version 15.4.8630) ermöglicht eine fehlerhafte Zugriffskontrolle in den Web Services einem nicht authentifizierten Angreifer aus der Ferne, auf eigentlich eingeschränkte Inhalte zuzugreifen. CVSS-Basiswert: 9.8 (Kritisch). Betroffene Produkte: N-able, Progress.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.2%

Betroffene Produkte: n-able, progress-moveit</description>
      <category>Kritisch</category><category>N-able</category><category>Progress</category>
    </item>
    <item>
      <title>CVE-2024-10534 — Dataprom PACS/ACSS – Origin Validation Error (Traffic Injection)</title>
      <link>https://feed.xonatec.ch/reports/cve-2024-10534</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2024-10534</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In den Zutrittskontroll- und Personaleinsatzsystemen von Dataprom Informatics (PACS/ACSS) wurde eine Origin-Validation-Schwachstelle gemeldet, die Traffic Injection ermöglicht. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.2%

Betroffene Produkte: n-able</description>
      <category>Kritisch</category><category>N-able</category>
    </item>
    <item>
      <title>CVE-2026-51538 — EIPStackGroup OpENer 2.3.0: Fehlerhafte Zugriffskontrolle bei Encapsulation-Sitzungen</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-51538</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-51538</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In EIPStackGroup OpENer 2.3.0 (Commit 76b95cf) besteht eine Schwachstelle durch fehlerhafte Zugriffskontrolle (Incorrect Access Control) bei der Verarbeitung von Encapsulation-Sitzungen. Sie tritt auf, wenn der Server kritische Encapsulation-Befehle verarbeitet. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.

Severity: Kritisch · CVSS: 9.1 · EPSS: 0.2%

Betroffene Produkte: n-able</description>
      <category>Kritisch</category><category>N-able</category>
    </item>
    <item>
      <title>CVE-2024-5683 — Next4Biz CRM &amp; BPM: Code Injection ermöglicht Remote Code Inclusion</title>
      <link>https://feed.xonatec.ch/reports/cve-2024-5683</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2024-5683</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In der Business-Process-Management-Software von Next4Biz CRM &amp; BPM besteht eine unzureichende Kontrolle bei der Code-Erzeugung (Code Injection). Angreifende können darüber fremden Code einbinden und ausführen lassen (Remote Code Inclusion). CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.2%

Betroffene Produkte: n-able</description>
      <category>Kritisch</category><category>N-able</category>
    </item>
    <item>
      <title>CVE-2025-11023 — ArkSigner Software: PHP Remote File Inclusion</title>
      <link>https://feed.xonatec.ch/reports/cve-2025-11023</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2025-11023</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In ArkSigner Software besteht laut Quellbeschreibung eine PHP-Remote-File-Inclusion-Schwachstelle: Funktionalität aus einer nicht vertrauenswürdigen Quelle wird eingebunden, weil der Dateiname für Include-/Require-Anweisungen nicht ausreichend kontrolliert wird. Die Lücke ist ohne Authentifizierung über das Netzwerk erreichbar. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.2%

Betroffene Produkte: n-able, php</description>
      <category>Kritisch</category><category>N-able</category><category>PHP</category>
    </item>
    <item>
      <title>CVE-2025-13590 — CVE-2025-13590 – N-able: Arbitrary File Upload via REST API</title>
      <link>https://feed.xonatec.ch/reports/cve-2025-13590</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2025-13590</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Ein Angreifer mit Administratorrechten kann über eine System-REST-API eine beliebige Datei an einen benutzerkontrollierten Speicherort hochladen, was zu Remote Code Execution führen kann. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

Severity: Kritisch · CVSS: 9.1 · EPSS: 0.1%

Betroffene Produkte: n-able</description>
      <category>Kritisch</category><category>N-able</category>
    </item>
    <item>
      <title>CVE-2024-9142 — Olgu Computer Systems e-Belediye – Falsche Berechtigungen für kritische Ressourcen</title>
      <link>https://feed.xonatec.ch/reports/cve-2024-9142</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2024-9142</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In der e-Belediye-Lösung von Olgu Computer Systems wurde eine Schwachstelle durch fehlerhafte Pfad- und Berechtigungszuweisung für kritische Ressourcen gemeldet, die Manipulation von Dateisystemzugriffen ermöglicht. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.1%

Betroffene Produkte: n-able</description>
      <category>Kritisch</category><category>N-able</category>
    </item>
    <item>
      <title>CVE-2026-21515 — CVE-2026-21515 – Offenlegung sensibler Informationen in Azure IoT Central (Privilege Escalation)</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-21515</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-21515</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Azure IoT Central wurde eine Schwachstelle entdeckt, die einem autorisierten Angreifer über das Netzwerk die Eskalation von Berechtigungen durch Offenlegung sensibler Informationen ermöglicht. CVSS-Basiswert: 9.9 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

Severity: Kritisch · CVSS: 9.9 · EPSS: 0.1%

Betroffene Produkte: n-able</description>
      <category>Kritisch</category><category>N-able</category>
    </item>
    <item>
      <title>CVE-2026-23781 — CVE-2026-23781 – Hartcodierte Standard-Zugangsdaten in BMC Control-M/MFT</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-23781</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-23781</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In BMC Control-M/MFT 9.0.20 bis 9.0.22 sind Standard-Debug-Zugangsdaten im Klartext im Anwendungspaket hartcodiert hinterlegt. Falls diese unverändert bleiben, können Angreifer die Anmeldedaten ausnutzen. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.1%

Betroffene Produkte: n-able</description>
      <category>Kritisch</category><category>N-able</category>
    </item>
    <item>
      <title>CVE-2025-62319 — Boolean-basierte Blind-SQL-Injection</title>
      <link>https://feed.xonatec.ch/reports/cve-2025-62319</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2025-62319</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Es besteht eine Boolean-basierte SQL-Injection – eine Form der Blind-SQL-Injection, bei der Angreifende über Eingabefelder Boolesche Bedingungen (TRUE oder FALSE) in SQL-Abfragen einschleusen und die Datenbank so schrittweise auslesen können. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.0%

Betroffene Produkte: n-able</description>
      <category>Kritisch</category><category>N-able</category>
    </item>
    <item>
      <title>CVE-2026-34184 — CVE-2026-34184 – Fehlende Autorisierung in Hydrosystem Control System (Verzeichniszugriff)</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-34184</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-34184</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Das Hydrosystem Control System erzwingt für bestimmte Verzeichnisse keine Autorisierung, wodurch ein nicht authentifizierter Angreifer alle Dateien in diesen Verzeichnissen lesen und teilweise ausführen kann. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

Severity: Kritisch · CVSS: 9.1 · EPSS: 0.0%

Betroffene Produkte: n-able</description>
      <category>Kritisch</category><category>N-able</category>
    </item>
    <item>
      <title>CVE-2025-8025 — Dinosoft ERP: fehlende Authentifizierung und fehlerhafte Zugriffskontrolle</title>
      <link>https://feed.xonatec.ch/reports/cve-2025-8025</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2025-8025</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In Dinosoft ERP von Dinosoft Business Solutions fehlt die Authentifizierung für eine kritische Funktion, zusätzlich ist die Zugriffskontrolle fehlerhaft umgesetzt. Angreifer können laut Quelle auf Funktionen zugreifen, die nicht ordnungsgemäss durch ACLs eingeschränkt sind. CVSS-Basiswert: 9.8 (Kritisch). Laut CVSS-Vektor ist die Lücke über das Netz ohne Authentifizierung und ohne Benutzerinteraktion ausnutzbar. Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.0%

Betroffene Produkte: n-able</description>
      <category>Kritisch</category><category>N-able</category>
    </item>
    <item>
      <title>CVE-2024-5619 — PruvaSoft Apinizer Management Console: Autorisierungsumgehung über benutzergesteuerten Schlüssel</title>
      <link>https://feed.xonatec.ch/reports/cve-2024-5619</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2024-5619</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In der Apinizer Management Console von PruvaSoft Informatics besteht eine Autorisierungsumgehung über einen benutzergesteuerten Schlüssel (Authorization Bypass Through User-Controlled Key). Angreifer können laut Quelle falsch konfigurierte Zugriffskontroll-Sicherheitsstufen ausnutzen. CVSS-Basiswert: 9.6 (Kritisch). Der CVSS-Vektor weist die Lücke als netzwerkbasiert und ohne Nutzerinteraktion ausnutzbar aus; sie erfordert niedrige Privilegien und wirkt über den betroffenen Sicherheitskontext hinaus (Scope: Changed). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

Severity: Kritisch · CVSS: 9.6 · EPSS: 0.0%

Betroffene Produkte: n-able</description>
      <category>Kritisch</category><category>N-able</category>
    </item>
    <item>
      <title>CVE-2026-58479 — Sustainable Irrigation Platform (SIP) – Command Injection im cli_control-Plugin</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-58479</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-58479</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Die Sustainable Irrigation Platform (SIP) enthält bis einschliesslich Version 5.2.16 im optionalen cli_control-Plugin eine Command-Injection-Schwachstelle. Diese lässt sich ohne Authentifizierung oder per Cross-Site Request Forgery ausnutzen, wodurch Angreifer eingeschleuste Befehle ausführen können. CVSS-Basiswert: 9.8 (Kritisch).

Severity: Kritisch · CVSS: 9.8

Betroffene Produkte: n-able</description>
      <category>Kritisch</category><category>N-able</category>
    </item>
    <item>
      <title>CVE-2026-4415 — Gigabyte Control Center – Arbitrary File Write</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-4415</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-4415</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Im Gigabyte Control Center ermöglicht eine Arbitrary-File-Write-Schwachstelle nicht authentifizierten Remote-Angreifern das Schreiben beliebiger Dateien an beliebige Speicherorte, wenn die Pairing-Funktion aktiviert ist. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.8 %.

Severity: Hoch · CVSS: 8.1 · EPSS: 0.8%

Betroffene Produkte: supermicro-asus-gigabyte, n-able</description>
      <category>Hoch</category><category>Supermicro/ASUS/Gigabyte</category><category>N-able</category>
    </item>
    <item>
      <title>CVE-2026-9614 — Ivanti Neurons for ITSM – Fehlerhafte Zugriffskontrolle ermöglicht administrativen Zugriff</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-9614</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-9614</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Eine fehlerhafte Zugriffskontrolle in Ivanti Neurons for ITSM (Cloud und On-Premises) ermöglicht einem authentifizierten Remote-Angreifer, administrativen Zugriff auf das System zu erlangen. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.

Severity: Hoch · CVSS: 8.8 · EPSS: 0.4%

Betroffene Produkte: n-able, ivanti-epmm, ivanti-pulse-connect-secure</description>
      <category>Hoch</category><category>N-able</category><category>Ivanti</category><category>Ivanti (Pulse/Connect Secure)</category>
    </item>
    <item>
      <title>CVE-2026-4249 — WSO2-Produkte: Unzureichende Validierung von JSON-Payloads im Throttling</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-4249</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-4249</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Der Mechanismus zur Behandlung von Throttling-Ereignissen in mehreren WSO2-Produkten akzeptiert benutzergelieferte JSON-Payloads ohne ausreichende Prüfung von Struktur und Inhalt. Dies ermöglicht einem nicht authentifizierten, entfernten Angreifer laut Quellbeschreibung einen Missbrauch. CVSS-Basiswert: 8.6 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: die betroffenen WSO2-Produkte gemäss Hersteller-Advisory aktualisieren.

Severity: Hoch · CVSS: 8.6 · EPSS: 0.3%

Betroffene Produkte: n-able</description>
      <category>Hoch</category><category>N-able</category>
    </item>
    <item>
      <title>CVE-2026-23780 — CVE-2026-23780 – SQL Injection in BMC Control-M/MFT Debug-Schnittstelle</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-23780</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-23780</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In BMC Control-M/MFT 9.0.20 bis 9.0.22 wurde eine SQL-Injection-Schwachstelle in der Debug-Schnittstelle der MFT-API entdeckt. Ein authentifizierter Angreifer kann aufgrund fehlender Eingabevalidierung bösartige SQL-Abfragen einschleusen. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.

Severity: Hoch · CVSS: 8.8 · EPSS: 0.2%

Betroffene Produkte: n-able</description>
      <category>Hoch</category><category>N-able</category>
    </item>
    <item>
      <title>CVE-2025-52868 — QNAP Qsync Central – Buffer Overflow</title>
      <link>https://feed.xonatec.ch/reports/cve-2025-52868</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2025-52868</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In QNAP Qsync Central wurde eine Buffer-Overflow-Schwachstelle gemeldet. Ein entfernter Angreifer mit einem Benutzerkonto kann die Lücke ausnutzen, um Speicher zu modifizieren oder Prozesse zum Absturz zu bringen. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

Severity: Hoch · CVSS: 8.1 · EPSS: 0.1%

Betroffene Produkte: qnap, n-able</description>
      <category>Hoch</category><category>QNAP</category><category>N-able</category>
    </item>
    <item>
      <title>CVE-2025-52869 — QNAP Qsync Central – Buffer Overflow</title>
      <link>https://feed.xonatec.ch/reports/cve-2025-52869</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2025-52869</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In QNAP Qsync Central wurde eine Buffer-Overflow-Schwachstelle gemeldet. Ein entfernter Angreifer mit einem Benutzerkonto kann die Lücke ausnutzen, um Speicher zu modifizieren oder Prozesse zum Absturz zu bringen. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

Severity: Hoch · CVSS: 8.1 · EPSS: 0.1%

Betroffene Produkte: qnap, n-able</description>
      <category>Hoch</category><category>QNAP</category><category>N-able</category>
    </item>
    <item>
      <title>CVE-2026-22682 — OpenHarness: Fehlerhafte Zugriffskontrolle in den integrierten Datei-Werkzeugen</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-22682</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-22682</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>OpenHarness enthält vor Commit 166fcfe eine Schwachstelle bei der Zugriffskontrolle in den integrierten Datei-Werkzeugen. Ursache ist eine inkonsistente Parameterverarbeitung bei der Durchsetzung von Berechtigungen, wodurch Angreifer diese umgehen können. CVSS-Basiswert: 7.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: auf eine Version ab Commit 166fcfe aktualisieren.

Severity: Hoch · CVSS: 7.1 · EPSS: 0.1%

Betroffene Produkte: n-able</description>
      <category>Hoch</category><category>N-able</category>
    </item>
    <item>
      <title>CVE-2025-53440 — PHP Remote File Inclusion in Axiomthemes Confidant</title>
      <link>https://feed.xonatec.ch/reports/cve-2025-53440</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2025-53440</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Im WordPress-Theme Confidant des Herstellers Axiomthemes wurde eine Schwachstelle zur PHP Local File Inclusion über eine unsachgemässe Kontrolle von Dateinamen in Include/Require-Anweisungen identifiziert. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

Severity: Hoch · CVSS: 8.1 · EPSS: 0.1%

Betroffene Produkte: n-able, php</description>
      <category>Hoch</category><category>N-able</category><category>PHP</category>
    </item>
    <item>
      <title>CVE-2025-58705 — PHP Remote File Inclusion in Axiomthemes Crafti</title>
      <link>https://feed.xonatec.ch/reports/cve-2025-58705</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2025-58705</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Im WordPress-Theme Crafti des Herstellers Axiomthemes wurde eine Schwachstelle zur PHP Local File Inclusion über eine unsachgemässe Kontrolle von Dateinamen in Include/Require-Anweisungen identifiziert. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

Severity: Hoch · CVSS: 8.1 · EPSS: 0.1%

Betroffene Produkte: n-able, php</description>
      <category>Hoch</category><category>N-able</category><category>PHP</category>
    </item>
    <item>
      <title>CVE-2025-58024 — PHP Remote File Inclusion in UnboundStudio Accordion FAQ</title>
      <link>https://feed.xonatec.ch/reports/cve-2025-58024</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2025-58024</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Im WordPress-Plugin Accordion FAQ des Herstellers UnboundStudio wurde eine Schwachstelle zur PHP Local File Inclusion über eine unsachgemässe Kontrolle von Dateinamen in Include/Require-Anweisungen identifiziert. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

Severity: Hoch · CVSS: 7.5 · EPSS: 0.1%

Betroffene Produkte: n-able, php</description>
      <category>Hoch</category><category>N-able</category><category>PHP</category>
    </item>
    <item>
      <title>CVE-2026-9492 — Gigabyte Control Center – unzureichende Zugriffskontrolle im MBStorage-Modul</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-9492</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-9492</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das MBStorage-DRAM-Beleuchtungssteuerungsmodul im Gigabyte Control Center (GCC) von GIGABYTE Technology weist eine Schwachstelle durch unzureichende Zugriffskontrolle auf. Authentifizierte lokale Angreifer können speziell gestaltete Anfragen senden. CVSS-Basiswert: 7.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

Severity: Hoch · CVSS: 7.8 · EPSS: 0.1%

Betroffene Produkte: n-able, supermicro-asus-gigabyte</description>
      <category>Hoch</category><category>N-able</category><category>Supermicro/ASUS/Gigabyte</category>
    </item>
    <item>
      <title>CVE-2026-23782 — CVE-2026-23782 – Offenlegung von API-Zugangsdaten in BMC Control-M/MFT</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-23782</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-23782</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In BMC Control-M/MFT 9.0.20 bis 9.0.22 ermöglicht ein API-Management-Endpunkt nicht authentifizierten Benutzern das Abrufen eines API-Bezeichners sowie des zugehörigen geheimen Schlüssels. Mit diesen Informationen können Angreifer weitergehende Aktionen durchführen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

Severity: Hoch · CVSS: 7.5 · EPSS: 0.1%

Betroffene Produkte: n-able</description>
      <category>Hoch</category><category>N-able</category>
    </item>
    <item>
      <title>CVE-2025-13506 — Nebim V3 ERP – Ausführung mit unnötigen Privilegien (Ausweitung auf das Betriebssystem)</title>
      <link>https://feed.xonatec.ch/reports/cve-2025-13506</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2025-13506</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In Nebim V3 ERP besteht eine Schwachstelle durch Ausführung mit unnötigen Privilegien (Execution with Unnecessary Privileges), die eine Ausweitung der Kontrolle von der Datenbank auf das Betriebssystem ermöglicht. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: verfügbare Hersteller-Updates gemäss Advisory einspielen.

Severity: Hoch · CVSS: 8.8 · EPSS: 0.1%

Betroffene Produkte: n-able</description>
      <category>Hoch</category><category>N-able</category>
    </item>
    <item>
      <title>CVE-2026-53406 — Zoom Contact Center: Rechteausweitung durch unzureichende Datenauthentizitätsprüfung</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-53406</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-53406</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In der Funktion Remote Control für Zoom Contact Center für Windows vor Version 7.0.0 kann eine unzureichende Prüfung der Datenauthentizität einem authentifizierten Benutzer eine lokale Rechteausweitung ermöglichen. Als betroffen ausgewiesen sind Zoom und N-able. CVSS-Basiswert: 7.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: auf Version 7.0.0 oder neuer aktualisieren.

Severity: Hoch · CVSS: 7.8 · EPSS: 0.1%

Betroffene Produkte: zoom, n-able</description>
      <category>Hoch</category><category>Zoom</category><category>N-able</category>
    </item>
    <item>
      <title>CVE-2026-10591 — Amazon Kiro IDE – Unzureichende Zugriffskontrolle beim Schreiben von Dateien</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-10591</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-10591</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Amazon Kiro IDE wurde vor Version 0.11 eine Schwachstelle durch unzureichende Zugriffskontrolleinschränkungen im Datei-Schreib-Tool identifiziert. Nicht authentifizierte Angreifer könnten über manipulierte Anweisungen beliebige Befehle aus der Ferne ausführen. CVSS-Basiswert: 8.8 (Hoch).

Severity: Hoch · CVSS: 8.8 · EPSS: 0.1%

Betroffene Produkte: n-able, amazon-linux-alas</description>
      <category>Hoch</category><category>N-able</category><category>Amazon Linux (ALAS)</category>
    </item>
    <item>
      <title>CVE-2026-3120 — SambaBox: Code-Injection ermöglicht OS-Command-Injection</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-3120</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-3120</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In SambaBox von Profelis Information and Consulting besteht eine Schwachstelle durch unzureichende Kontrolle der Code-Generierung (Code Injection), die OS-Command-Injection ermöglicht. Als betroffen ausgewiesen ist N-able. CVSS-Basiswert: 7.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: die vom Hersteller bereitgestellten Updates einspielen.

Severity: Hoch · CVSS: 7.2 · EPSS: 0.1%

Betroffene Produkte: n-able</description>
      <category>Hoch</category><category>N-able</category>
    </item>
    <item>
      <title>CVE-2025-30269 — QNAP Qsync Central – Format-String-Schwachstelle</title>
      <link>https://feed.xonatec.ch/reports/cve-2025-30269</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2025-30269</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In QNAP Qsync Central wurde eine Schwachstelle durch unkontrollierte externe Format-Strings gemeldet. Ein entfernter Angreifer mit einem Benutzerkonto kann die Lücke ausnutzen, um geheime Informationen zu erlangen. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

Severity: Hoch · CVSS: 8.1 · EPSS: 0.1%

Betroffene Produkte: qnap, n-able</description>
      <category>Hoch</category><category>QNAP</category><category>N-able</category>
    </item>
    <item>
      <title>CVE-2025-30276 — QNAP Qsync Central – Out-of-Bounds Write</title>
      <link>https://feed.xonatec.ch/reports/cve-2025-30276</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2025-30276</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In QNAP Qsync Central wurde eine Out-of-Bounds-Write-Schwachstelle gemeldet. Ein entfernter Angreifer mit einem Benutzerkonto kann die Lücke ausnutzen, um Speicher zu modifizieren oder zu beschädigen. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

Severity: Hoch · CVSS: 8.8 · EPSS: 0.1%

Betroffene Produkte: qnap, n-able</description>
      <category>Hoch</category><category>QNAP</category><category>N-able</category>
    </item>
  </channel>
</rss>
