<?xml version="1.0" encoding="UTF-8"?>
<rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom">
  <channel>
    <title>xonatec TI-Feed: Ping Identity/OneLogin</title>
    <link>https://feed.xonatec.ch/produkte/ping-identity-onelogin</link>
    <description>Priorisierte Schwachstellen-Reports für Ping Identity/OneLogin. Kostenlos &amp; offen, stündlich aktualisiert.</description>
    <language>de</language>
    <lastBuildDate>Wed, 03 Jun 2026 00:00:00 GMT</lastBuildDate>
    <atom:link href="https://feed.xonatec.ch/rss/produkt/ping-identity-onelogin.xml" rel="self" type="application/rss+xml" />
    <generator>xonatec TI-Feed RSS Generator</generator>
    <item>
      <title>🔴 CVE-2022-22954 — VMware Workspace ONE Access Server-Side Template Injection</title>
      <link>https://feed.xonatec.ch/reports/cve-2022-22954</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2022-22954</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In VMware Workspace ONE Access und Identity Manager wurde eine Server-Side Template Injection-Schwachstelle gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Bekannter Einsatz in Ransomware-Kampagnen. Ausnutzungswahrscheinlichkeit (EPSS): 94.4 %.

Severity: Aktiv ausgenutzt · EPSS: 94.4% · aktiv ausgenutzt (KEV), Ransomware

Betroffene Produkte: vmware-broadcom-vmsa, ping-identity-onelogin</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>VMware (Broadcom VMSA)</category><category>Ping Identity/OneLogin</category>
    </item>
    <item>
      <title>🔴 CVE-2013-4810 — HP Multiple Products – Remote Code Execution</title>
      <link>https://feed.xonatec.ch/reports/cve-2013-4810</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2013-4810</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Mehrere HP-Produkte weisen eine kritische Schwachstelle auf, die Remote Code Execution ermöglicht. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 89.7 %.

Severity: Aktiv ausgenutzt · EPSS: 89.7% · aktiv ausgenutzt (KEV)

Betroffene Produkte: ping-identity-onelogin, hp-hp-psirt</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Ping Identity/OneLogin</category><category>HP (HP PSIRT)</category>
    </item>
    <item>
      <title>🔴 CVE-2025-20281 — Cisco Identity Services Engine Injection Vulnerability</title>
      <link>https://feed.xonatec.ch/reports/cve-2025-20281</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2025-20281</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Cisco Identity Services Engine (ISE) wurde eine Injection-Schwachstelle (CVE-2025-20281) gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 34.2 %.

Severity: Aktiv ausgenutzt · EPSS: 34.2% · aktiv ausgenutzt (KEV)

Betroffene Produkte: cisco-webex-uc, cisco-webex, cisco, ping-identity-onelogin</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Cisco (Webex/UC)</category><category>Cisco Webex</category><category>Cisco</category><category>Ping Identity/OneLogin</category>
    </item>
    <item>
      <title>🔴 CVE-2025-20337 — Cisco Identity Services Engine – Injection-Schwachstelle</title>
      <link>https://feed.xonatec.ch/reports/cve-2025-20337</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2025-20337</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Cisco Identity Services Engine wurde eine Injection-Schwachstelle gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 1.4 %.

Severity: Aktiv ausgenutzt · EPSS: 1.4% · aktiv ausgenutzt (KEV)

Betroffene Produkte: cisco-webex-uc, cisco-webex, cisco, ping-identity-onelogin</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Cisco (Webex/UC)</category><category>Cisco Webex</category><category>Cisco</category><category>Ping Identity/OneLogin</category>
    </item>
    <item>
      <title>CVE-2026-21992 — Oracle Identity Manager / Web Services Manager – Kritische Schwachstelle in REST WebServices</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-21992</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-21992</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Oracle Identity Manager (Komponente: REST WebServices) und Oracle Web Services Manager (Komponente: Web Services) von Oracle Fusion Middleware wurde eine kritische Sicherheitslücke identifiziert. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 1.0 %.

Severity: Kritisch · CVSS: 9.8 · EPSS: 1.0%

Betroffene Produkte: java-openjdk-oracle, oracle-cpu-ebs-peoplesoft-weblogic, oracle-vm-virtualbox, ping-identity-onelogin</description>
      <category>Kritisch</category><category>Java/OpenJDK (Oracle)</category><category>Oracle (CPU/EBS/PeopleSoft/WebLogic)</category><category>Oracle VM/VirtualBox</category><category>Ping Identity/OneLogin</category>
    </item>
    <item>
      <title>CVE-2026-20181 — Cisco ISE und ISE-PIC: Befehlsausführung auf dem zugrunde liegenden Betriebssystem</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-20181</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-20181</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Eine Schwachstelle in Cisco ISE und ISE-PIC erlaubt einem authentifizierten, entfernten Angreifer die Ausführung beliebiger Befehle auf dem zugrunde liegenden Betriebssystem des betroffenen Geräts. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.7 %. Empfohlene Massnahme: Betroffene Software gemäss Cisco-Advisory aktualisieren.

Severity: Kritisch · CVSS: 9.1 · EPSS: 0.7%

Betroffene Produkte: cisco-webex-uc, cisco-webex, cisco, ping-identity-onelogin</description>
      <category>Kritisch</category><category>Cisco (Webex/UC)</category><category>Cisco Webex</category><category>Cisco</category><category>Ping Identity/OneLogin</category>
    </item>
    <item>
      <title>CVE-2026-46807 — Oracle Identity Manager: Leicht ausnutzbare Schwachstelle in der OIM Legacy UI</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-46807</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-46807</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Im Produkt Identity Manager von Oracle Fusion Middleware besteht eine leicht ausnutzbare Schwachstelle in der Komponente OIM Legacy UI. Betroffen sind die unterstützten Versionen 12.2.1.4.0 und 14.1.2.1.0. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.5%

Betroffene Produkte: ping-identity-onelogin</description>
      <category>Kritisch</category><category>Ping Identity/OneLogin</category>
    </item>
    <item>
      <title>CVE-2026-36537 — ThingsBoard v4.3.0.1: Authentifizierungsumgehung beim OAuth-Code-Austausch</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-36537</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-36537</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>ThingsBoard v4.3.0.1 ist für eine Authentifizierungsumgehung während des OAuth-Authorization-Code-Austauschs anfällig. Laut Quellbeschreibung vertraut die Anwendung den vom Benutzer gelieferten Identitätsdaten im user-Parameter unzulässigerweise. Die Schwachstelle ist ohne Authentifizierung über das Netzwerk ausnutzbar. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.5%

Betroffene Produkte: microsoft-exchange, ping-identity-onelogin</description>
      <category>Kritisch</category><category>Microsoft</category><category>Ping Identity/OneLogin</category>
    </item>
    <item>
      <title>CVE-2026-35268 — Oracle Identity Manager (Core): Leicht ausnutzbare Schwachstelle</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-35268</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-35268</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Im Produkt Identity Manager der Oracle Fusion Middleware (Komponente: Core) besteht eine leicht ausnutzbare Schwachstelle. Betroffen sind die unterstützten Versionen 12.2.1.4.0 und 14.1.2.1.0. CVSS-Basiswert: 9.9 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: Das zugehörige Oracle Critical Patch Update einspielen.

Severity: Kritisch · CVSS: 9.9 · EPSS: 0.4%

Betroffene Produkte: ping-identity-onelogin</description>
      <category>Kritisch</category><category>Ping Identity/OneLogin</category>
    </item>
    <item>
      <title>CVE-2026-46794 — Oracle Identity Manager Connector – Schwachstelle im Generic Unix Connector</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-46794</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-46794</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Im Produkt Identity Manager Connector der Oracle Fusion Middleware besteht eine leicht ausnutzbare Schwachstelle in der Komponente Generic Unix Connector. Betroffen sind laut Quelle die unterstützten Versionen 12.2.1.4.0 und 14.1.2.1.0. CVSS-Basiswert: 9.9 (Kritisch), Vektor CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H – bereits geringe Rechte genügen, mit Scope-Wechsel. Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: das zugehörige Oracle Critical Patch Update einspielen; Identity-Komponenten sind wegen ihrer Rolle in der Zugriffsverwaltung besonders schützenswert.

Severity: Kritisch · CVSS: 9.9 · EPSS: 0.4%

Betroffene Produkte: ping-identity-onelogin</description>
      <category>Kritisch</category><category>Ping Identity/OneLogin</category>
    </item>
    <item>
      <title>CVE-2026-35294 — Oracle Identity Manager Connector – Schwachstelle in den Mainframe Connectors</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-35294</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-35294</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Im Oracle Identity Manager Connector (Oracle Fusion Middleware, Komponente Mainframe Connectors) besteht eine leicht ausnutzbare Schwachstelle. Betroffen sind laut Quelle die unterstützten Versionen 12.2.1.4.0 und 14.1.2.1.0. CVSS-Basiswert: 9.9 (Kritisch), Vektor CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H – für die Ausnutzung über das Netz genügen niedrige Privilegien, der Scope wechselt. Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Da Identity-Komponenten Zugriffsentscheidungen für nachgelagerte Systeme treffen, ist die Lücke vorrangig zu behandeln.

Severity: Kritisch · CVSS: 9.9 · EPSS: 0.4%

Betroffene Produkte: ping-identity-onelogin</description>
      <category>Kritisch</category><category>Ping Identity/OneLogin</category>
    </item>
    <item>
      <title>CVE-2026-46792 — Oracle Identity Manager Connector (Generic Unix Connector): Leicht ausnutzbare Schwachstelle</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-46792</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-46792</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Im Produkt Identity Manager Connector der Oracle Fusion Middleware (Komponente: Generic Unix Connector) besteht eine leicht ausnutzbare Schwachstelle. Betroffen sind die unterstützten Versionen 12.2.1.4.0 und 14.1.2.1.0. CVSS-Basiswert: 9.9 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: Das zugehörige Oracle Critical Patch Update einspielen.

Severity: Kritisch · CVSS: 9.9 · EPSS: 0.4%

Betroffene Produkte: ping-identity-onelogin</description>
      <category>Kritisch</category><category>Ping Identity/OneLogin</category>
    </item>
    <item>
      <title>CVE-2026-46793 — Oracle Identity Manager Connector (Komponente Database User) – leicht ausnutzbare Schwachstelle</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-46793</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-46793</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Im Identity Manager Connector, Bestandteil von Oracle Fusion Middleware (Komponente: Database User), besteht eine leicht ausnutzbare Schwachstelle. Betroffen sind laut Quelle die Versionen 12.2.1.4.0 und 14.1.2.1.0. CVSS-Basiswert: 9.9 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: Die Patches aus dem zugehörigen Oracle Critical Patch Update einspielen.

Severity: Kritisch · CVSS: 9.9 · EPSS: 0.4%

Betroffene Produkte: ping-identity-onelogin</description>
      <category>Kritisch</category><category>Ping Identity/OneLogin</category>
    </item>
    <item>
      <title>CVE-2025-67447 — Neterbit NW-431F Router: OS-Command-Injection im Ping-Diagnosemodul</title>
      <link>https://feed.xonatec.ch/reports/cve-2025-67447</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2025-67447</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das Netzwerkdiagnose-Modul (Ping) des Neterbit NW-431F Routers in Version 20241014-IR03 und früher ist für OS-Command-Injection anfällig. Laut Quellbeschreibung bereinigt die Anwendung Benutzereingaben im IP-Adressfeld nicht ausreichend. Die Schwachstelle ist ohne Authentifizierung über das Netzwerk erreichbar. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.3%

Betroffene Produkte: ping-identity-onelogin</description>
      <category>Kritisch</category><category>Ping Identity/OneLogin</category>
    </item>
    <item>
      <title>CVE-2026-41005 — Cloud Foundry UAA – Fehlende SAML-Signaturprüfung in zwei Flows</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-41005</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-41005</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Cloud Foundry UAA behandelte in zwei SAML-Flows die XML-Verschlüsselung zum Service Provider (Vertraulichkeit) fälschlich als Ersatz für die XML-Signaturen des Identity Providers (Authentizität). Dadurch wird die Herkunft der Assertions nicht ausreichend geprüft. CVSS-Basiswert: 9.0 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

Severity: Kritisch · CVSS: 9 · EPSS: 0.1%

Betroffene Produkte: ping-identity-onelogin</description>
      <category>Kritisch</category><category>Ping Identity/OneLogin</category>
    </item>
    <item>
      <title>CVE-2026-34287 — Oracle Identity Manager Connector – Privilege Escalation (Fusion Middleware)</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-34287</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-34287</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Im Oracle Identity Manager Connector für Oracle Fusion Middleware (Komponente: Core, Version 12.2.1.4.0) besteht eine leicht ausnutzbare Schwachstelle, die nicht authentifizierten Angreifern über das Netzwerk eine Rechteausweitung ermöglicht. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

Severity: Kritisch · CVSS: 9.1 · EPSS: 0.1%

Betroffene Produkte: ping-identity-onelogin</description>
      <category>Kritisch</category><category>Ping Identity/OneLogin</category>
    </item>
    <item>
      <title>CVE-2026-49448 — authentik Source Stage: Bypass via leerem POST-Request</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-49448</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-49448</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Im Open-Source-Identity-Provider authentik lässt sich die Source-Stage vor den Versionen 2025.12.6, 2026.2.4 und 2026.5.1 durch das Senden eines leeren POST-Requests umgehen. Das Problem wurde in den genannten Versionen behoben. CVSS-Basiswert: 9.8 (Kritisch).

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.1%

Betroffene Produkte: ping-identity-onelogin</description>
      <category>Kritisch</category><category>Ping Identity/OneLogin</category>
    </item>
    <item>
      <title>CVE-2026-8644 — IBM WebSphere Application Server – Identity Spoofing</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-8644</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-8644</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>IBM WebSphere Application Server (Versionen 9.0 und 8.5) ist anfällig für Identity Spoofing. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

Severity: Kritisch · CVSS: 9.1 · EPSS: 0.1%

Betroffene Produkte: ibm-storage, ping-identity-onelogin</description>
      <category>Kritisch</category><category>IBM Storage</category><category>Ping Identity/OneLogin</category>
    </item>
    <item>
      <title>CVE-2026-46389 — UDS Identity Config: Logikfehler im Keycloak-Konfigurations-Image</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-46389</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-46389</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>UDS Identity Config erstellt das Keycloak-Konfigurations-Image (Realm, Plugins, Theme, Truststore, JARs), das vom Identity-Deployment von UDS Core genutzt wird. In den Versionen 0.11.0 bis 0.26.0 führt ein Logikfehler zu einer kritisch bewerteten Schwachstelle. CVSS-Basiswert: 10 (Kritisch) bei netzbasiertem Angriffsvektor ohne erforderliche Authentifizierung oder Nutzerinteraktion. Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: auf eine Version neuer als 0.26.0 aktualisieren.

Severity: Kritisch · CVSS: 10 · EPSS: 0.0%

Betroffene Produkte: ping-identity-onelogin</description>
      <category>Kritisch</category><category>Ping Identity/OneLogin</category>
    </item>
    <item>
      <title>CVE-2026-34285 — Oracle Identity Manager Connector – Privilege Escalation (Fusion Middleware)</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-34285</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-34285</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Im Oracle Identity Manager Connector für Oracle Fusion Middleware (Komponente: Core, Version 12.2.1.4.0) besteht eine leicht ausnutzbare Schwachstelle, die nicht authentifizierten Angreifern über das Netzwerk eine Rechteausweitung ermöglicht. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

Severity: Kritisch · CVSS: 9.1 · EPSS: 0.0%

Betroffene Produkte: ping-identity-onelogin</description>
      <category>Kritisch</category><category>Ping Identity/OneLogin</category>
    </item>
    <item>
      <title>CVE-2026-34286 — Oracle Identity Manager Connector – Privilege Escalation (Fusion Middleware)</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-34286</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-34286</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Im Oracle Identity Manager Connector für Oracle Fusion Middleware (Komponente: Core, Version 12.2.1.4.0) besteht eine leicht ausnutzbare Schwachstelle, die nicht authentifizierten Angreifern über das Netzwerk eine Rechteausweitung ermöglicht. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

Severity: Kritisch · CVSS: 9.1 · EPSS: 0.0%

Betroffene Produkte: ping-identity-onelogin</description>
      <category>Kritisch</category><category>Ping Identity/OneLogin</category>
    </item>
    <item>
      <title>CVE-2026-42849 — authentik SFE (Simple Flow Executor): Sicherheitslücke in Stage-Implementierung</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-42849</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-42849</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Im Open-Source-Identity-Provider authentik besteht vor den Versionen 2025.12.5 und 2026.2.3 eine kritische Schwachstelle in der Stage-Implementierung des Simple Flow Executor (SFE). CVSS-Basiswert: 9.3 (Kritisch).

Severity: Kritisch · CVSS: 9.3 · EPSS: 0.0%

Betroffene Produkte: ping-identity-onelogin</description>
      <category>Kritisch</category><category>Ping Identity/OneLogin</category>
    </item>
    <item>
      <title>CVE-2026-1346 — IBM Verify Identity Access / Security Verify Access – Kritische Sicherheitslücke</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-1346</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-1346</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In IBM Verify Identity Access (Container) 11.0 bis 11.0.2 sowie IBM Security Verify Access (Container) 10.0 bis 10.0.9.1 wurde eine kritische Sicherheitslücke gemeldet. CVSS-Basiswert: 9.3 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

Severity: Kritisch · CVSS: 9.3 · EPSS: 0.0%

Betroffene Produkte: ibm-storage, ping-identity-onelogin</description>
      <category>Kritisch</category><category>IBM Storage</category><category>Ping Identity/OneLogin</category>
    </item>
    <item>
      <title>CVE-2026-60121 — Vitec Flamingo: Nicht authentifizierte OS-Command-Injection in admin/ajax/ping.php</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-60121</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-60121</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Vitec Flamingo 4.12.2 enthält laut NVD eine OS-Command-Injection im Endpunkt admin/ajax/ping.php, die ohne Authentifizierung ausgenutzt werden kann. Entfernte Angreifer können darüber beliebige Befehle ausführen; ausgenutzt wird gemäss Quelle eine doppelte Verarbeitung der Eingabe. Der CVSS-Vektor weist die Lücke als über das Netzwerk, ohne Privilegien und ohne Benutzerinteraktion ausnutzbar aus, mit vollständiger Auswirkung auf Vertraulichkeit, Integrität und Verfügbarkeit. CVSS-Basiswert: 9.8 (Kritisch). Ein EPSS-Wert liegt in den Quelldaten nicht vor.

Severity: Kritisch · CVSS: 9.8

Betroffene Produkte: ping-identity-onelogin, php</description>
      <category>Kritisch</category><category>Ping Identity/OneLogin</category><category>PHP</category>
    </item>
    <item>
      <title>CVE-2026-8660 — Rapid7 InsightConnect Ping-Plugin – OS-Command-Injection über host-Parameter</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-8660</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-8660</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Eine OS-Command-Injection-Schwachstelle in der Ping-Aktion des Rapid7 InsightConnect Ping-Plugins unter Linux erlaubt entfernten Angreifern die Ausführung beliebiger Betriebssystembefehle über den host-Parameter aufgrund unzureichender Eingabevalidierung. CVSS-Basiswert: 7.7 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.7 %. Empfohlene Massnahme: verfügbare Hersteller-Updates einspielen.

Severity: Hoch · CVSS: 7.7 · EPSS: 0.7%

Betroffene Produkte: qualys-rapid7-tenable, ping-identity-onelogin, amazon-linux-alas, oracle-linux-elsa, rocky-linux</description>
      <category>Hoch</category><category>Qualys/Rapid7/Tenable</category><category>Ping Identity/OneLogin</category><category>Amazon Linux (ALAS)</category><category>Oracle Linux (ELSA)</category><category>Rocky Linux</category>
    </item>
    <item>
      <title>CVE-2025-12107 — Ping Identity – Server-Side Template Injection via Velocity Engine</title>
      <link>https://feed.xonatec.ch/reports/cve-2025-12107</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2025-12107</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Durch die Verwendung einer verwundbaren Drittanbieter-Velocity-Template-Engine können Angreifer mit Administratorrechten beliebige Template-Syntax in serverseitige Templates einschleusen und ausführen. CVSS-Basiswert: 8.4 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.6 %.

Severity: Hoch · CVSS: 8.4 · EPSS: 0.6%

Betroffene Produkte: ping-identity-onelogin</description>
      <category>Hoch</category><category>Ping Identity/OneLogin</category>
    </item>
    <item>
      <title>CVE-2025-14713 — Synology C2 Identity Edge Server – Exposed Dangerous Function (PWN2OWN 2025)</title>
      <link>https://feed.xonatec.ch/reports/cve-2025-14713</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2025-14713</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Im Synology C2 Identity Edge Server-Paket für DSM (vor Version 1.76.0-0307) wurde eine Schwachstelle durch eine exponierte gefährliche Methode oder Funktion gefunden. Entfernte Angreifer können dadurch Benutzeranmeldedaten vom Edge-Server auslesen. Die Schwachstelle wurde im Rahmen des PWN2OWN 2025-Wettbewerbs offengelegt. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %.

Severity: Hoch · CVSS: 7.5 · EPSS: 0.5%

Betroffene Produkte: synology, ping-identity-onelogin</description>
      <category>Hoch</category><category>Synology</category><category>Ping Identity/OneLogin</category>
    </item>
    <item>
      <title>CVE-2026-35265 — Schwachstelle in Oracle Fusion Middleware Identity Manager</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-35265</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-35265</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In der Komponente Security des Produkts Identity Manager (Oracle Fusion Middleware) besteht eine leicht ausnutzbare Schwachstelle. Betroffen sind laut Quelle die unterstützten Versionen 12.2.1.4.0 und 14.1.2.1.0. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: die vom Hersteller bereitgestellten Sicherheitsupdates einspielen.

Severity: Hoch · CVSS: 8.8 · EPSS: 0.4%

Betroffene Produkte: ping-identity-onelogin</description>
      <category>Hoch</category><category>Ping Identity/OneLogin</category>
    </item>
    <item>
      <title>CVE-2026-35267 — Schwachstelle in Oracle Identity Manager (REST-Webservices)</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-35267</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-35267</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Im Identity Manager von Oracle Fusion Middleware (Komponente REST-Webservices) besteht laut Quelle eine leicht ausnutzbare Schwachstelle; betroffen sind die Versionen 12.2.1.4.0 und 14.1.2.1.0. Ein Angreifer mit niedrigen Rechten kann sie über das Netzwerk ausnutzen und damit Vertraulichkeit, Integrität und Verfügbarkeit vollständig kompromittieren. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.

Severity: Hoch · CVSS: 8.8 · EPSS: 0.4%

Betroffene Produkte: ping-identity-onelogin</description>
      <category>Hoch</category><category>Ping Identity/OneLogin</category>
    </item>
    <item>
      <title>CVE-2026-20190 — Cisco ISE / ISE-PIC: Fehlerhafte Autorisierung ermöglicht Zugriff auf sensible Informationen</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-20190</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-20190</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Eine Schwachstelle in Cisco ISE und ISE-PIC könnte es einem nicht authentifizierten, entfernten Angreifer erlauben, sensible Informationen auf einem betroffenen Gerät einzusehen. Ursache ist eine fehlerhafte Autorisierungsprüfung. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.

Severity: Hoch · CVSS: 7.5 · EPSS: 0.4%

Betroffene Produkte: cisco-webex-uc, cisco-webex, cisco, ping-identity-onelogin</description>
      <category>Hoch</category><category>Cisco (Webex/UC)</category><category>Cisco Webex</category><category>Cisco</category><category>Ping Identity/OneLogin</category>
    </item>
    <item>
      <title>CVE-2026-35269 — Oracle Fusion Middleware Identity Manager – Schwachstelle in REST WebServices</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-35269</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-35269</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Eine Schwachstelle im Produkt Identity Manager von Oracle Fusion Middleware (Komponente: REST WebServices) betrifft die Versionen 12.2.1.4.0 und 14.1.2.1.0. Sie ist leicht ausnutzbar und wirkt sich auf die Integrität aus. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.

Severity: Hoch · CVSS: 7.5 · EPSS: 0.4%

Betroffene Produkte: ping-identity-onelogin</description>
      <category>Hoch</category><category>Ping Identity/OneLogin</category>
    </item>
    <item>
      <title>CVE-2026-56668 — ZITADEL: OAuth2-Token-Exchange prüft Subject-Token unzureichend</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-56668</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-56668</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>ZITADEL ist eine quelloffene Identity-Management-Plattform. In Versionen vor 4.15.3 prüft der OAuth2-Token-Exchange-Endpunkt (grant-type token-exchange) das übergebene Subject-Token nicht ausreichend. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: auf ZITADEL 4.15.3 oder neuer aktualisieren.

Severity: Hoch · CVSS: 8.1 · EPSS: 0.2%

Betroffene Produkte: ping-identity-onelogin, microsoft-exchange</description>
      <category>Hoch</category><category>Ping Identity/OneLogin</category><category>Microsoft</category>
    </item>
    <item>
      <title>CVE-2026-47201 — authentik SAML Source ACS: XML Signature Wrapping</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-47201</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-47201</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Im Open-Source-Identity-Provider authentik ist der SAML-Source-ACS-Endpunkt vor den Versionen 2025.12.5, 2026.2.3 und 2026.5.1 anfällig für XML Signature Wrapping bei der Validierung von Upstream-Antworten. CVSS-Basiswert: 8.5 (Hoch).

Severity: Hoch · CVSS: 8.5 · EPSS: 0.1%

Betroffene Produkte: ping-identity-onelogin</description>
      <category>Hoch</category><category>Ping Identity/OneLogin</category>
    </item>
    <item>
      <title>CVE-2024-1524 — Ping Identity – Datenaustausch bei Silent Just-In-Time Provisioning</title>
      <link>https://feed.xonatec.ch/reports/cve-2024-1524</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2024-1524</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Wenn das Feature „Silent Just-In-Time Provisioning” für einen Verbund-Identitätsanbieter (IDP) aktiviert ist, können während des Account-Provisionierungsvorgangs Benutzerdaten eines lokalen Kontos überschrieben werden. CVSS-Basiswert: 7.7 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

Severity: Hoch · CVSS: 7.7 · EPSS: 0.1%

Betroffene Produkte: ping-identity-onelogin</description>
      <category>Hoch</category><category>Ping Identity/OneLogin</category>
    </item>
    <item>
      <title>CVE-2026-35430 — Azure Privileged Identity Management – Authorization Bypass</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-35430</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-35430</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Azure Privileged Identity Management (PIM) ermöglicht ein Authorization Bypass durch einen benutzerkontrollierten Schlüssel autorisierten Angreifern, Rechte über ein Netzwerk auszuweiten. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

Severity: Hoch · CVSS: 8.8 · EPSS: 0.1%

Betroffene Produkte: ping-identity-onelogin</description>
      <category>Hoch</category><category>Ping Identity/OneLogin</category>
    </item>
    <item>
      <title>CVE-2025-10908 — Ping Identity – Authentication Bypass für gesperrte Konten via Magic Link/Pass Key</title>
      <link>https://feed.xonatec.ch/reports/cve-2025-10908</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2025-10908</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Aufgrund fehlender Validierung des Benutzerkontostatus während der Authentifizierung können gesperrte Konten über Magic-Link- oder Pass-Key-Methoden erfolgreich authentifiziert werden. Dies umgeht die vorgesehenen Sicherheitskontrollen. CVSS-Basiswert: 7.3 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

Severity: Hoch · CVSS: 7.3 · EPSS: 0.1%

Betroffene Produkte: ping-identity-onelogin</description>
      <category>Hoch</category><category>Ping Identity/OneLogin</category>
    </item>
    <item>
      <title>CVE-2026-49443 — authentik: Privilege Escalation über Source-Connection-Manipulation</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-49443</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-49443</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Im Open-Source-Identity-Provider authentik kann ein Angreifer mit der Möglichkeit, eine Source-Verbindung zu ändern, und einem Konto in einer der konfigurierten Quellen vor den Versionen 2025.12.6, 2026.2.4 und 2026.5.1 erweiterte Rechte erlangen. CVSS-Basiswert: 8.8 (Hoch).

Severity: Hoch · CVSS: 8.8 · EPSS: 0.1%

Betroffene Produkte: ping-identity-onelogin</description>
      <category>Hoch</category><category>Ping Identity/OneLogin</category>
    </item>
    <item>
      <title>CVE-2026-1345 — IBM Verify Identity Access / Security Verify Access – Sicherheitslücke</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-1345</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-1345</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Für IBM Verify Identity Access Container (Versionen 11.0 bis 11.0.2), IBM Security Verify Access Container (Versionen 10.0 bis 10.0.9.1) sowie die entsprechenden Nicht-Container-Varianten wurde eine Sicherheitslücke gemeldet. CVSS-Basiswert: 7.3 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

Severity: Hoch · CVSS: 7.3 · EPSS: 0.1%

Betroffene Produkte: ibm-storage, ping-identity-onelogin</description>
      <category>Hoch</category><category>IBM Storage</category><category>Ping Identity/OneLogin</category>
    </item>
    <item>
      <title>CVE-2025-10470 — Ping Identity – Unkontrolliertes Speicherwachstum im Magic Link-Authentifizierungsfluss</title>
      <link>https://feed.xonatec.ch/reports/cve-2025-10470</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2025-10470</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Der Magic-Link-Authentifizierungsfluss akzeptiert mehrere ungültige Authentifizierungsanfragen ohne ausreichendes Rate-Limiting oder Ressourcenkontrolle, was zu unkontrolliertem Speicherwachstum führt. CVSS-Basiswert: 8.6 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

Severity: Hoch · CVSS: 8.6 · EPSS: 0.1%

Betroffene Produkte: ping-identity-onelogin</description>
      <category>Hoch</category><category>Ping Identity/OneLogin</category>
    </item>
    <item>
      <title>CVE-2026-34290 — Oracle Identity Manager Connector – Sicherheitslücke in Fusion Middleware Core</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-34290</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-34290</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Im Oracle Identity Manager Connector für Oracle Fusion Middleware (Komponente: Core, Version 12.2.1.4.0) besteht eine leicht ausnutzbare Schwachstelle. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

Severity: Hoch · CVSS: 7.5 · EPSS: 0.1%

Betroffene Produkte: ping-identity-onelogin</description>
      <category>Hoch</category><category>Ping Identity/OneLogin</category>
    </item>
    <item>
      <title>CVE-2026-46414 — Microsoft UFO Framework – Unsichere Identitätsprüfung im WebSocket Control Plane</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-46414</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-46414</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Im Open-Source-Framework Microsoft UFO (Version 3.0.1-4-ge2626659) für intelligente Geräteautomatisierung vertraut die WebSocket-Steuerungsebene client-seitig übermittelten Identitäts- und Rollenfeldern ohne ausreichende Validierung. Dies ermöglicht Angreifern eine nicht autorisierte Übernahme von Berechtigungen. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

Severity: Hoch · CVSS: 8.8 · EPSS: 0.0%

Betroffene Produkte: rockwell-automation, n-able, ping-identity-onelogin</description>
      <category>Hoch</category><category>Rockwell Automation</category><category>N-able</category><category>Ping Identity/OneLogin</category>
    </item>
    <item>
      <title>CVE-2026-1343 — IBM Verify Identity Access / Security Verify Access – Sicherheitslücke</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-1343</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-1343</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Für IBM Verify Identity Access Container (Versionen 11.0 bis 11.0.2), IBM Security Verify Access Container (Versionen 10.0 bis 10.0.9.1) sowie die entsprechenden Nicht-Container-Varianten wurde eine Sicherheitslücke gemeldet. CVSS-Basiswert: 7.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

Severity: Hoch · CVSS: 7.2 · EPSS: 0.0%

Betroffene Produkte: ibm-storage, ping-identity-onelogin</description>
      <category>Hoch</category><category>IBM Storage</category><category>Ping Identity/OneLogin</category>
    </item>
    <item>
      <title>CVE-2026-4101 — IBM Verify Identity Access / Security Verify Access – Sicherheitslücke</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-4101</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-4101</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In mehreren Versionen von IBM Verify Identity Access Container (11.0–11.0.2), IBM Security Verify Access Container (10.0–10.0.9.1) sowie den entsprechenden nicht-Container-Varianten wurde eine Sicherheitslücke gemeldet. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

Severity: Hoch · CVSS: 8.1 · EPSS: 0.0%

Betroffene Produkte: ibm-storage, ping-identity-onelogin</description>
      <category>Hoch</category><category>IBM Storage</category><category>Ping Identity/OneLogin</category>
    </item>
    <item>
      <title>CVE-2024-2374 — WSO2 – XML External Entity Injection (XXE)</title>
      <link>https://feed.xonatec.ch/reports/cve-2024-2374</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2024-2374</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>XML-Parser in mehreren WSO2-Produkten akzeptieren benutzerseitig übermittelte XML-Daten, ohne die Auflösung externer Entitäten zu verhindern. Dadurch können Angreifer über manipulierte XML-Eingaben eine XML External Entity (XXE)-Attacke durchführen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

Severity: Hoch · CVSS: 7.5 · EPSS: 0.0%

Betroffene Produkte: ping-identity-onelogin</description>
      <category>Hoch</category><category>Ping Identity/OneLogin</category>
    </item>
    <item>
      <title>CVE-2019-25736 — LabF nfsAxe Ping Client: Buffer Overflow</title>
      <link>https://feed.xonatec.ch/reports/cve-2019-25736</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2019-25736</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Der Ping Client von LabF nfsAxe 3.7 enthält eine Buffer-Overflow-Schwachstelle, die es lokalen Angreifern erlaubt, durch eine bösartige Eingabe im Feld Host IP beliebigen Code auszuführen. CVSS-Basiswert: 8.4 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

Severity: Hoch · CVSS: 8.4 · EPSS: 0.0%

Betroffene Produkte: ping-identity-onelogin</description>
      <category>Hoch</category><category>Ping Identity/OneLogin</category>
    </item>
    <item>
      <title>CVE-2026-41577 — authentik SAML Source: Fehlende Validierung des Conditions-Elements</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-41577</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-41577</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Im Open-Source-Identity-Provider authentik validiert der SAML-Source-Response-Prozessor (ResponseProcessor.parse()) vor den Versionen 2025.12.5 und 2026.2.3 das Conditions-Element in Assertions nicht ausreichend. Angreifer könnten dies ausnutzen, um Authentifizierungskontrollen zu umgehen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: authentik auf Version 2025.12.5 bzw. 2026.2.3 oder neuer aktualisieren.

Severity: Hoch · CVSS: 7.5 · EPSS: 0.0%

Betroffene Produkte: ping-identity-onelogin</description>
      <category>Hoch</category><category>Ping Identity/OneLogin</category>
    </item>
    <item>
      <title>CVE-2026-1342 — IBM Verify Identity Access / Security Verify Access – Sicherheitslücke</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-1342</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-1342</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Für IBM Verify Identity Access Container (Versionen 11.0 bis 11.0.2), IBM Security Verify Access Container (Versionen 10.0 bis 10.0.9.1) sowie die entsprechenden Nicht-Container-Varianten wurde eine Sicherheitslücke gemeldet. CVSS-Basiswert: 8.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

Severity: Hoch · CVSS: 8.5 · EPSS: 0.0%

Betroffene Produkte: ibm-storage, ping-identity-onelogin</description>
      <category>Hoch</category><category>IBM Storage</category><category>Ping Identity/OneLogin</category>
    </item>
    <item>
      <title>CVE-2026-46810 — Oracle Identity Manager (Fusion Middleware) – Schwachstelle im End-User-Self-Service</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-46810</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-46810</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In der Komponente End User Self Service des Identity Managers von Oracle Fusion Middleware besteht eine leicht ausnutzbare Schwachstelle. Betroffen sind die unterstützten Versionen 12.2.1.4.0 und 14.1.2.1.0. CVSS-Basiswert: 6.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.

Severity: Mittel · CVSS: 6.5 · EPSS: 0.3%

Betroffene Produkte: ping-identity-onelogin</description>
      <category>Mittel</category><category>Ping Identity/OneLogin</category>
    </item>
    <item>
      <title>CVE-2026-55671 — ZITADEL – uneinheitliche Prüfung bei ausgehenden URL-Abrufen</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-55671</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-55671</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>ZITADEL ist eine quelloffene Identity-Management-Plattform. In den Versionen 4.0.0-rc.1 bis 4.15.1 prüfen die HTTP-Benachrichtigungskanäle, der OIDC-BackChannel-Logout sowie die Abrufe von SAML-Metadaten-URLs die Ziel-URLs nicht konsistent. Ein CVSS-Basiswert liegt in den Quelldaten nicht vor. Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.

Severity: Mittel · EPSS: 0.3%

Betroffene Produkte: ping-identity-onelogin</description>
      <category>Mittel</category><category>Ping Identity/OneLogin</category>
    </item>
    <item>
      <title>CVE-2024-1248 — Föderierte Authentifizierung – Fehlerhafte Rollentrennung bei JIT-Provisionierung</title>
      <link>https://feed.xonatec.ch/reports/cve-2024-1248</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2024-1248</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Die stille Just-in-Time-(JIT)-Provisionierung in Implementierungen föderierter Authentifizierung trennt Benutzerrollen bei der Kontoerstellung nicht korrekt, wenn ein föderierter Benutzer denselben Benutzernamen wie ein bestehender Benutzer verwendet. CVSS-Basiswert: 4.8 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.

Severity: Mittel · CVSS: 4.8 · EPSS: 0.2%

Betroffene Produkte: ping-identity-onelogin</description>
      <category>Mittel</category><category>Ping Identity/OneLogin</category>
    </item>
    <item>
      <title>CVE-2025-8591 — Reflektiertes Cross-Site-Scripting über unzureichend kodierten URL-Parameter</title>
      <link>https://feed.xonatec.ch/reports/cve-2025-8591</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2025-8591</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Die Software übernimmt Benutzereingaben aus einem URL-Parameter ohne ausreichende Ausgabe-Kodierung, bevor sie an den Browser des Nutzers zurückgegeben werden. Dadurch kann ein Angreifer schädliche Skripte einschleusen (reflektiertes Cross-Site-Scripting). CVSS-Basiswert: 6.1 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.

Severity: Mittel · CVSS: 6.1 · EPSS: 0.2%

Betroffene Produkte: n-able, ping-identity-onelogin</description>
      <category>Mittel</category><category>N-able</category><category>Ping Identity/OneLogin</category>
    </item>
    <item>
      <title>CVE-2026-45173 — Idira Identity Browser-Erweiterung: Origin-Validierungsfehler in der Verifizierungsroutine</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-45173</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-45173</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In den internen Webseiten-Verifizierungsroutinen der Idira-Identity-Browser-Erweiterung (Builds für Chrome, Firefox und Edge) vor Version 26.8.1 besteht ein Fehler bei der Origin-Validierung, den ein authentifizierter Nutzer ausnutzen kann (weitere Details in der Quelle abgeschnitten). CVSS-Basiswert: 6.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: auf Version 26.8.1 oder neuer aktualisieren.

Severity: Mittel · CVSS: 6.5 · EPSS: 0.2%

Betroffene Produkte: ping-identity-onelogin, google-chromeos-chrome</description>
      <category>Mittel</category><category>Ping Identity/OneLogin</category><category>Google ChromeOS/Chrome</category>
    </item>
    <item>
      <title>CVE-2026-41569 — authentik WS-Federation: Unsichere wreply-Validierung (Open Redirect)</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-41569</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-41569</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Im Open-Source-Identity-Provider authentik wurde vor Version 2026.2.3 der vom Benutzer übergebene wreply-Parameter im WS-Federation-Provider nur mittels eines einfachen Zeichenketten-Präfixvergleichs statt einer korrekten URL-Validierung geprüft. Dies kann zu einer Open-Redirect-Schwachstelle führen. CVSS-Basiswert: 6.1 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: auf authentik 2026.2.3 oder neuer aktualisieren.

Severity: Mittel · CVSS: 6.1 · EPSS: 0.1%

Betroffene Produkte: ping-identity-onelogin, check-point</description>
      <category>Mittel</category><category>Ping Identity/OneLogin</category><category>Check Point</category>
    </item>
    <item>
      <title>CVE-2025-13475 — Ping Identity/OneLogin: Fehlende Mandantentrennung bei Consent-Scopes</title>
      <link>https://feed.xonatec.ch/reports/cve-2025-13475</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2025-13475</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In mandantenfähigen Deployments isoliert der Mechanismus zur Verwaltung der Anwendungs-Zustimmung (Consent) die Consent-Scopes zwischen den Mandanten nicht korrekt. Eine von einem Nutzer für eine bestimmte SaaS-Anwendung erteilte Zustimmung wird dadurch nicht sauber mandantenübergreifend getrennt. CVSS-Basiswert: 3.5 (Niedrig). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: Sicherheitsupdate des Herstellers nach Verfügbarkeit einspielen.

Severity: Niedrig · CVSS: 3.5 · EPSS: 0.2%

Betroffene Produkte: ping-identity-onelogin</description>
      <category>Niedrig</category><category>Ping Identity/OneLogin</category>
    </item>
  </channel>
</rss>
