<?xml version="1.0" encoding="UTF-8"?>
<rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom">
  <channel>
    <title>xonatec TI-Feed: Proxmox</title>
    <link>https://feed.xonatec.ch/produkte/proxmox</link>
    <description>Priorisierte Schwachstellen-Reports für Proxmox. Kostenlos &amp; offen, stündlich aktualisiert.</description>
    <language>de</language>
    <lastBuildDate>Tue, 14 Jul 2026 00:00:00 GMT</lastBuildDate>
    <atom:link href="https://feed.xonatec.ch/rss/produkt/proxmox.xml" rel="self" type="application/rss+xml" />
    <generator>xonatec TI-Feed RSS Generator</generator>
    <item>
      <title>CVE-2022-31358 — Proxmox Virtual Environment – Reflektiertes Cross-Site-Scripting unter /api2/html/</title>
      <link>https://feed.xonatec.ch/reports/cve-2022-31358</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2022-31358</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In Proxmox Virtual Environment vor Version 7.2-3 besteht eine reflektierte Cross-Site-Scripting-Schwachstelle (XSS). Über nicht existierende Endpunkte unter dem Pfad /api2/html/ können entfernte Angreifer beliebige Web-Skripte oder HTML ausführen. CVSS-Basiswert: 9.0 (Kritisch). Empfohlene Massnahme: auf Proxmox Virtual Environment 7.2-3 oder neuer aktualisieren.

Severity: Kritisch · CVSS: 9

Betroffene Produkte: proxmox</description>
      <category>Kritisch</category><category>Proxmox</category>
    </item>
    <item>
      <title>CVE-2022-35508 — Proxmox VE und Mail Gateway: SSRF und Rechteausweitung zu root</title>
      <link>https://feed.xonatec.ch/reports/cve-2022-35508</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2022-35508</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Proxmox Virtual Environment (PVE) und Proxmox Mail Gateway (PMG) sind beim Weiterleiten von HTTP-Anfragen zwischen dem jeweiligen Proxy- und Daemon-Dienst anfällig für Server-Side Request Forgery. Ein Angreifer mit unprivilegiertem Konto kann eine präparierte HTTP-Anfrage stellen und darüber SSRF sowie das Auslesen beliebiger Dateien auf dem Server erreichen. Im Proxmox Mail Gateway ist zusätzlich eine Rechteausweitung auf das Konto root@pam möglich, sofern die Backup-Funktion je genutzt wurde, da Backup-Dateien mit den Berechtigungen 0644 abgelegt werden und einen authkey enthalten. CVSS-Basiswert: 9.8 (Kritisch). Empfohlene Massnahme: auf pve-http-server 4.1-3 aktualisieren.

Severity: Kritisch · CVSS: 9.8

Betroffene Produkte: proxmox</description>
      <category>Kritisch</category><category>Proxmox</category>
    </item>
    <item>
      <title>CVE-2023-43320 — Proxmox VE, Backup Server und Mail Gateway: Umgehung der Zwei-Faktor-Authentifizierung ermöglicht Rechteausweitung</title>
      <link>https://feed.xonatec.ch/reports/cve-2023-43320</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2023-43320</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Eine Schwachstelle in Proxmox Virtual Environment v5.4 bis v8.0, Proxmox Backup Server v1.1 bis v3.0 und Proxmox Mail Gateway v7.1 bis v8.0 erlaubt einem entfernten, authentifizierten Angreifer die Ausweitung seiner Rechte durch Umgehung der Zwei-Faktor-Authentifizierung. CVSS-Basiswert: 8.8 (Hoch). Eine aktive Ausnutzung über CISA KEV oder ein Einsatz in Ransomware-Kampagnen ist nicht belegt. Eine Ausnutzungswahrscheinlichkeit (EPSS) liegt in den Quelldaten nicht vor. Empfohlene Massnahme: auf eine bereinigte Produktversion oberhalb der genannten Bereiche aktualisieren.

Severity: Hoch · CVSS: 8.8

Betroffene Produkte: proxmox</description>
      <category>Hoch</category><category>Proxmox</category>
    </item>
    <item>
      <title>CVE-2022-35507 — Proxmox VE und Mail Gateway: CRLF-Injection in Response-Headern ermöglicht clientseitigen DoS</title>
      <link>https://feed.xonatec.ch/reports/cve-2022-35507</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2022-35507</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Eine CRLF-Injection in den Response-Headern der Weboberfläche von Proxmox Virtual Environment (PVE) und Proxmox Mail Gateway (PMG) erlaubt einem entfernten Angreifer, im Browser des Opfers Cookies zu setzen, die länger sind als der Server erwartet, und so einen clientseitigen Denial of Service auszulösen. Betroffen sind Chromium-basierte Browser, da diese die Injection von Response-Headern mittels %0d zulassen. CVSS-Basiswert: 7.1 (Hoch). Empfohlene Massnahme: auf pve-http-server 4.1-3 oder neuer aktualisieren.

Severity: Hoch · CVSS: 7.1

Betroffene Produkte: proxmox</description>
      <category>Hoch</category><category>Proxmox</category>
    </item>
    <item>
      <title>CVE-2022-28142 — Jenkins Proxmox Plugin: Globale Deaktivierung der SSL/TLS-Zertifikatsprüfung</title>
      <link>https://feed.xonatec.ch/reports/cve-2022-28142</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2022-28142</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das Jenkins-Proxmox-Plugin in Version 0.6.0 und älter deaktiviert die SSL/TLS-Zertifikatsprüfung global für die JVM des Jenkins-Controllers, sobald es so konfiguriert ist, SSL/TLS-Probleme zu ignorieren. Dadurch sind auch andere Verbindungen desselben Controllers ungeschützt und anfällig für Man-in-the-Middle-Angriffe. CVSS-Basiswert: 7.5 (Hoch). Empfohlene Massnahme: das Plugin auf eine korrigierte Version aktualisieren und die Zertifikatsprüfung nicht global deaktivieren.

Severity: Hoch · CVSS: 7.5

Betroffene Produkte: proxmox</description>
      <category>Hoch</category><category>Proxmox</category>
    </item>
    <item>
      <title>CVE-2025-57538 — Proxmox Virtual Environment: Stored XSS im HTTP-Proxy-Feld des Datacenter-Panels</title>
      <link>https://feed.xonatec.ch/reports/cve-2025-57538</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2025-57538</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Eine gespeicherte Cross-Site-Scripting-Schwachstelle (Stored XSS) im HTTP-Proxy-Feld des Datacenter-Konfigurationspanels von Proxmox Virtual Environment (PVE) 8.4 erlaubt es einem authentifizierten Benutzer, schädliche Eingaben einzuschleusen. Die Eingabe wird gespeichert und im Browserkontext anderer Benutzer ausgeführt, sobald diese die betroffene Konfigurationsseite aufrufen, was zur Ausführung beliebigen JavaScripts führen kann. CVSS-Basiswert: 5.4 (Mittel). Empfohlene Massnahme: auf eine korrigierte Proxmox-VE-Version aktualisieren.

Severity: Mittel · CVSS: 5.4

Betroffene Produkte: proxmox</description>
      <category>Mittel</category><category>Proxmox</category>
    </item>
    <item>
      <title>CVE-2025-57539 — Proxmox VE: Stored-XSS im U2F-Origin-Feld der Datacenter-Konfiguration</title>
      <link>https://feed.xonatec.ch/reports/cve-2025-57539</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2025-57539</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Eine gespeicherte Cross-Site-Scripting-Schwachstelle (Stored XSS) im U2F-Origin-Feld der Datacenter-Konfiguration von Proxmox Virtual Environment (PVE) 8.4 erlaubt authentifizierten Benutzern, bösartige Eingaben zu speichern. Die Payload wird in der Weboberfläche unsicher gerendert und ausgeführt, sobald andere Benutzer sie aufrufen, was zu Session-Hijacking oder weiteren Angriffen führen kann. CVSS-Basiswert: 5.4 (Mittel).

Severity: Mittel · CVSS: 5.4

Betroffene Produkte: proxmox</description>
      <category>Mittel</category><category>Proxmox</category>
    </item>
    <item>
      <title>CVE-2025-57540 — Stored-XSS im WebAuthn-Relying-Party-Feld von Proxmox VE 8.4</title>
      <link>https://feed.xonatec.ch/reports/cve-2025-57540</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2025-57540</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In der Datacenter-Konfiguration von Proxmox Virtual Environment (PVE) 8.4 besteht eine gespeicherte Cross-Site-Scripting-Schwachstelle (Stored XSS) im Feld WebAuthn Relying Party. Authentifizierte Nutzer können JavaScript-Code einschleusen, der später im Browser anderer Nutzer ausgeführt wird, welche die Konfigurationsseite aufrufen, und so clientseitige Angriffe ermöglichen. CVSS-Basiswert: 5.4 (Mittel). Empfohlene Massnahme: verfügbares Hersteller-Update einspielen und Konfigurationszugriff auf vertrauenswürdige Nutzer beschränken.

Severity: Mittel · CVSS: 5.4

Betroffene Produkte: proxmox</description>
      <category>Mittel</category><category>Proxmox</category>
    </item>
    <item>
      <title>CVE-2023-46854 — Proxmox proxmox-widget-toolkit: Cross-Site-Scripting über die Notiz-Bearbeitung</title>
      <link>https://feed.xonatec.ch/reports/cve-2023-46854</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2023-46854</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das in mehreren Proxmox-Produkten eingesetzte proxmox-widget-toolkit vor Version 4.0.9 erlaubt Cross-Site-Scripting (XSS) über die Funktion zum Bearbeiten von Notizen. CVSS-Basiswert: 5.4 (Mittel). Eine aktive Ausnutzung über CISA KEV oder ein Einsatz in Ransomware-Kampagnen ist nicht belegt. Eine Ausnutzungswahrscheinlichkeit (EPSS) liegt in den Quelldaten nicht vor. Empfohlene Massnahme: proxmox-widget-toolkit auf Version 4.0.9 oder neuer aktualisieren.

Severity: Mittel · CVSS: 5.4

Betroffene Produkte: proxmox</description>
      <category>Mittel</category><category>Proxmox</category>
    </item>
    <item>
      <title>CVE-2022-28141 — Jenkins Proxmox Plugin speichert Datacenter-Passwort unverschlüsselt</title>
      <link>https://feed.xonatec.ch/reports/cve-2022-28141</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2022-28141</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das Jenkins-Proxmox-Plugin in Version 0.5.0 und älter speichert das Passwort des Proxmox-Datacenters unverschlüsselt in der globalen Datei config.xml auf dem Jenkins-Controller. Nutzer mit Zugriff auf das Dateisystem des Controllers können die Zugangsdaten im Klartext auslesen. CVSS-Basiswert: 6.5 (Mittel). Empfohlene Massnahme: Zugriff auf das Controller-Dateisystem einschränken und auf eine Plugin-Version mit sicherer Zugangsdatenverwaltung aktualisieren.

Severity: Mittel · CVSS: 6.5

Betroffene Produkte: proxmox</description>
      <category>Mittel</category><category>Proxmox</category>
    </item>
    <item>
      <title>CVE-2022-28144 — Jenkins Proxmox Plugin: Fehlende Berechtigungsprüfung in mehreren HTTP-Endpunkten</title>
      <link>https://feed.xonatec.ch/reports/cve-2022-28144</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2022-28144</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Das Jenkins Proxmox Plugin 0.7.0 und aeltere Versionen führen in mehreren HTTP-Endpunkten keine Berechtigungsprüfung durch. Angreifer mit der Berechtigung Overall/Read können dadurch einen Verbindungstest zu einem selbst gewählten Host mit selbst gewähltem Benutzernamen und Passwort auslösen, die SSL/TLS-Validierung für die gesamte JVM des Jenkins-Controllers deaktivieren (siehe CVE-2022-28142) und einen Rollback mit selbst gewählten Parametern testen. CVSS-Basiswert: 6.5 (Mittel). Empfohlene Massnahme: auf eine korrigierte Version des Plugins aktualisieren.

Severity: Mittel · CVSS: 6.5

Betroffene Produkte: proxmox</description>
      <category>Mittel</category><category>Proxmox</category>
    </item>
    <item>
      <title>CVE-2022-28143 — Jenkins Proxmox Plugin: Cross-Site-Request-Forgery (CSRF)</title>
      <link>https://feed.xonatec.ch/reports/cve-2022-28143</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2022-28143</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Eine Cross-Site-Request-Forgery-Schwachstelle (CSRF) im Jenkins Proxmox Plugin 0.7.0 und früher erlaubt Angreifern, eine Verbindung zu einem von ihnen bestimmten Host mit frei gewählten Zugangsdaten aufzubauen (Verbindungstest). Dabei lässt sich als Teil des Verbindungstests die SSL/TLS-Prüfung für die gesamte JVM des Jenkins-Controllers deaktivieren (siehe CVE-2022-28142), zudem kann ein Rollback mit angreiferbestimmten Parametern ausgelöst werden. CVSS-Basiswert: 6.5 (Mittel). Eine aktive Ausnutzung über CISA KEV oder ein Einsatz in Ransomware-Kampagnen ist nicht belegt. Empfohlene Massnahme: das Proxmox Plugin auf eine korrigierte Version aktualisieren.

Severity: Mittel · CVSS: 6.5

Betroffene Produkte: proxmox</description>
      <category>Mittel</category><category>Proxmox</category>
    </item>
    <item>
      <title>CVE-2014-4156 — Proxmox VE: Benutzer-Enumeration in AccessControl.pm</title>
      <link>https://feed.xonatec.ch/reports/cve-2014-4156</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2014-4156</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Proxmox VE vor Version 3.2 enthält in der Komponente AccessControl.pm eine Schwachstelle, die eine Benutzer-Enumeration ermöglicht. Angreifer können dadurch ohne Authentifizierung gültige Benutzernamen abgrenzen und diese Information für weiterführende Angriffe nutzen. CVSS-Basiswert: 5.3 (Mittel). Eine aktive Ausnutzung über CISA KEV oder ein Einsatz in Ransomware-Kampagnen ist nicht belegt. Empfohlene Massnahme: Proxmox VE auf Version 3.2 oder neuer aktualisieren.

Severity: Mittel · CVSS: 5.3

Betroffene Produkte: proxmox</description>
      <category>Mittel</category><category>Proxmox</category>
    </item>
    <item>
      <title>CVE-2015-9058 — Proxmox Mail Gateway – Open Redirect über den destination-Parameter</title>
      <link>https://feed.xonatec.ch/reports/cve-2015-9058</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2015-9058</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In Proxmox Mail Gateway vor dem Hotfix 4.0-8-097d26a9 besteht eine Open-Redirect-Schwachstelle. Über den Parameter destination können entfernte Angreifer Benutzer auf beliebige Websites umleiten und so Phishing-Angriffe durchführen. CVSS-Basiswert: 6.1 (Mittel). Empfohlene Massnahme: den Hotfix 4.0-8-097d26a9 oder eine neuere Version einspielen.

Severity: Mittel · CVSS: 6.1

Betroffene Produkte: proxmox</description>
      <category>Mittel</category><category>Proxmox</category>
    </item>
    <item>
      <title>CVE-2015-9057 — Proxmox Mail Gateway: Mehrere Cross-Site-Scripting-Schwachstellen</title>
      <link>https://feed.xonatec.ch/reports/cve-2015-9057</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2015-9057</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Mehrere Cross-Site-Scripting-Schwachstellen (XSS) im Proxmox Mail Gateway vor Hotfix 4.0-8-097d26a9 erlauben es entfernten Angreifern, über diverse Parameter beliebiges Web-Skript oder HTML einzuschleusen. Betroffen sind mehrere Oberflächen der Verwaltung, unter anderem die Benutzer-, Quarantäne-, Warteschlangen- und SSH-Konfigurationsseiten. CVSS-Basiswert: 6.1 (Mittel). Empfohlene Massnahme: den Hotfix 4.0-8-097d26a9 beziehungsweise eine korrigierte Proxmox-Mail-Gateway-Version einspielen.

Severity: Mittel · CVSS: 6.1

Betroffene Produkte: proxmox</description>
      <category>Mittel</category><category>Proxmox</category>
    </item>
    <item>
      <title>CVE-2014-2325 — Proxmox Mail Gateway: Mehrere Cross-Site-Scripting-Schwachstellen</title>
      <link>https://feed.xonatec.ch/reports/cve-2014-2325</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2014-2325</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In Proxmox Mail Gateway vor Version 3.1-5829 erlauben mehrere Cross-Site-Scripting-Schwachstellen (XSS) entfernten Angreifern das Einschleusen beliebigen Web-Skripts oder HTML. Betroffen sind der Parameter state in objects/who/index.htm sowie die als Benutzer-E-Mail-Adresse übergebenen Werte in quarantine/spam/manage.htm. CVSS-Basiswert: 4.3 (Mittel). Empfohlene Massnahme: auf Proxmox Mail Gateway 3.1-5829 oder neuer aktualisieren.

Severity: Mittel · CVSS: 4.3

Betroffene Produkte: proxmox</description>
      <category>Mittel</category><category>Proxmox</category>
    </item>
  </channel>
</rss>
