<?xml version="1.0" encoding="UTF-8"?>
<rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom">
  <channel>
    <title>xonatec TI-Feed: RabbitMQ/Kafka</title>
    <link>https://feed.xonatec.ch/produkte/rabbitmq-kafka</link>
    <description>Priorisierte Schwachstellen-Reports für RabbitMQ/Kafka. Kostenlos &amp; offen, stündlich aktualisiert.</description>
    <language>de</language>
    <lastBuildDate>Wed, 03 Jun 2026 00:00:00 GMT</lastBuildDate>
    <atom:link href="https://feed.xonatec.ch/rss/produkt/rabbitmq-kafka.xml" rel="self" type="application/rss+xml" />
    <generator>xonatec TI-Feed RSS Generator</generator>
    <item>
      <title>CVE-2026-33557 — Apache Kafka – Unsichere Standard-JWT-Validierungsklasse (SASL/OAUTHBEARER)</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-33557</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-33557</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Apache Kafka ist die Broker-Eigenschaft für die JWT-Validierung (sasl.oauthbearer.jwt.validator.class) standardmässig auf eine unsichere Klasse gesetzt, was eine potenzielle Sicherheitslücke darstellt. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.

Severity: Kritisch · CVSS: 9.1 · EPSS: 0.2%

Betroffene Produkte: apache-http-server-asf-projekte, apache-tomcat, rabbitmq-kafka</description>
      <category>Kritisch</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category><category>RabbitMQ/Kafka</category>
    </item>
    <item>
      <title>CVE-2026-10143 — kafka-python – Denial of Service bei der SCRAM-Authentifizierung</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-10143</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-10143</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>kafka-python vor 2.3.2 enthält eine Denial-of-Service-Schwachstelle in der Verarbeitung der SCRAM-Authentifizierung, über die ein bösartiger oder zwischengeschalteter Broker (Machine-in-the-Middle) die Ereignisschleife des Clients einfrieren kann. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: Aktualisierung auf kafka-python 2.3.2 oder neuer.

Severity: Hoch · CVSS: 7.5 · EPSS: 0.5%

Betroffene Produkte: rabbitmq-kafka, python</description>
      <category>Hoch</category><category>RabbitMQ/Kafka</category><category>Python</category>
    </item>
    <item>
      <title>CVE-2026-41731 — Spring for Apache Kafka: unsichere Präfix-Prüfung vertrauenswürdiger Pakete im Kafka-Header-Mapper</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-41731</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-41731</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Der JsonKafkaHeaderMapper sowie der veraltete DefaultKafkaHeaderMapper glichen Typ-Header über eine reine Präfix-Prüfung gegen die Liste vertrauenswürdiger Pakete ab. Dadurch wurden mit einem als vertrauenswürdig eingestuften Paket implizit auch alle dessen Unterpakete als vertrauenswürdig behandelt. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: Auf die vom Hersteller bereitgestellte, korrigierte Version aktualisieren.

Severity: Hoch · CVSS: 8.1 · EPSS: 0.5%

Betroffene Produkte: vmware-broadcom-vmsa, spring-broadcom-tanzu, apache-http-server-asf-projekte, apache-tomcat, rabbitmq-kafka</description>
      <category>Hoch</category><category>VMware (Broadcom VMSA)</category><category>Spring (Broadcom/Tanzu)</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category><category>RabbitMQ/Kafka</category>
    </item>
    <item>
      <title>CVE-2026-57220 — RabbitMQ: Fehlende Frame-Size-Begrenzung im Stream-Listener</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-57220</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-57220</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>RabbitMQ ist ein Messaging- und Streaming-Broker. Vor Version 4.2.6 erzwingt der RabbitMQ-Stream-Listener die konfigurierte Frame-Size-Begrenzung beim Zusammenbau von Frames während der Authentifizierung nicht. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: Update auf Version 4.2.6.

Severity: Hoch · CVSS: 7.5 · EPSS: 0.4%

Betroffene Produkte: broadcom-symantec, spring-broadcom-tanzu, vmware-broadcom-vmsa, rabbitmq-kafka</description>
      <category>Hoch</category><category>Broadcom/Symantec</category><category>Spring (Broadcom/Tanzu)</category><category>VMware (Broadcom VMSA)</category><category>RabbitMQ/Kafka</category>
    </item>
    <item>
      <title>CVE-2026-57219 — RabbitMQ: Offenlegung des OAuth-2-Client-Secrets über den veralteten Endpunkt /api/auth</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-57219</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-57219</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In RabbitMQ vor den Versionen 3.13.15, 4.0.20, 4.1.11 und 4.2.6 kann der veraltete Endpunkt GET /api/auth auf entsprechend konfigurierten Installationen das OAuth-2-Client-Secret offenlegen. Als betroffen ausgewiesen sind Broadcom/Symantec, Spring (Broadcom/Tanzu), VMware (Broadcom VMSA) und RabbitMQ/Kafka. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: die vom Hersteller bereitgestellten Updates einspielen.

Severity: Hoch · CVSS: 7.5 · EPSS: 0.4%

Betroffene Produkte: broadcom-symantec, spring-broadcom-tanzu, vmware-broadcom-vmsa, rabbitmq-kafka</description>
      <category>Hoch</category><category>Broadcom/Symantec</category><category>Spring (Broadcom/Tanzu)</category><category>VMware (Broadcom VMSA)</category><category>RabbitMQ/Kafka</category>
    </item>
    <item>
      <title>CVE-2026-10142 — kafka-python: Denial of Service im Protokoll-Parser</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-10142</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-10142</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>kafka-python vor Version 2.3.2 enthält eine Denial-of-Service-Schwachstelle im Protokoll-Parser. Ein bösartiger Broker oder ein Machine-in-the-Middle-Angreifer kann dadurch Speicher erschöpfen oder Verbindungen aufhängen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: kafka-python auf Version 2.3.2 oder neuer aktualisieren.

Severity: Hoch · CVSS: 7.5 · EPSS: 0.3%

Betroffene Produkte: rabbitmq-kafka, python</description>
      <category>Hoch</category><category>RabbitMQ/Kafka</category><category>Python</category>
    </item>
    <item>
      <title>CVE-2026-57212 — RabbitMQ: DoS über übergrosse JSON-Bodies in der Management-HTTP-API</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-57212</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-57212</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>RabbitMQ ist ein Messaging- und Streaming-Broker. Vor den Versionen 3.13.14, 4.0.19, 4.1.10 und 4.2.5 akzeptiert die rabbitmq_management-HTTP-API übergrosse, gültige JSON-Bodies auf den with_decode- und direct_request-Pfaden, was einen Denial of Service ermöglicht. CVSS-Basiswert: 7.7 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: Auf RabbitMQ 3.13.14, 4.0.19, 4.1.10 bzw. 4.2.5 oder neuer aktualisieren.

Severity: Hoch · CVSS: 7.7 · EPSS: 0.3%

Betroffene Produkte: broadcom-symantec, spring-broadcom-tanzu, vmware-broadcom-vmsa, rabbitmq-kafka</description>
      <category>Hoch</category><category>Broadcom/Symantec</category><category>Spring (Broadcom/Tanzu)</category><category>VMware (Broadcom VMSA)</category><category>RabbitMQ/Kafka</category>
    </item>
    <item>
      <title>CVE-2026-57215 — Foreign Bindings auf amq.rabbitmq.reply-to in RabbitMQ</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-57215</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-57215</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>RabbitMQ, ein Messaging- und Streaming-Broker, erlaubt in Versionen vor 3.13.15, 4.0.20, 4.1.11 und 4.2.6 foreign bindings auf amq.rabbitmq.reply-to-Ziele, weil flüchtige direct-reply-to-Queues nicht ausreichend abgesichert sind. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: auf eine der fehlerbereinigten RabbitMQ-Versionen aktualisieren.

Severity: Hoch · CVSS: 8.8 · EPSS: 0.2%

Betroffene Produkte: broadcom-symantec, spring-broadcom-tanzu, vmware-broadcom-vmsa, rabbitmq-kafka</description>
      <category>Hoch</category><category>Broadcom/Symantec</category><category>Spring (Broadcom/Tanzu)</category><category>VMware (Broadcom VMSA)</category><category>RabbitMQ/Kafka</category>
    </item>
    <item>
      <title>CVE-2026-44838 — RabbitMQ – Fehlerhafte Topic-Autorisierung im MQTT-Plugin</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-44838</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-44838</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>RabbitMQ ist ein Messaging- und Streaming-Broker. In den Versionen 4.2.0 bis vor 4.2.4 erlaubt das MQTT-Plugin eine Autorisierung auf Topic-Ebene über reguläre Ausdrücke mit Variablensubstitution, die von Administratoren fehlerhaft konfiguriert werden kann. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: Auf RabbitMQ 4.2.4 oder neuer aktualisieren.

Severity: Hoch · CVSS: 8.1 · EPSS: 0.0%

Betroffene Produkte: broadcom-symantec, spring-broadcom-tanzu, vmware-broadcom-vmsa, rabbitmq-kafka</description>
      <category>Hoch</category><category>Broadcom/Symantec</category><category>Spring (Broadcom/Tanzu)</category><category>VMware (Broadcom VMSA)</category><category>RabbitMQ/Kafka</category>
    </item>
    <item>
      <title>CVE-2026-27134 — Strimzi (Apache Kafka auf Kubernetes) – Schwachstelle bei benutzerdefinierter CA</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-27134</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-27134</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Strimzi, das Apache Kafka auf Kubernetes oder OpenShift betreibt, enthält in den Versionen 0.49.0 bis 0.50.0 eine Schwachstelle beim Einsatz einer benutzerdefinierten Cluster- oder Clients-CA. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

Severity: Hoch · CVSS: 8.1 · EPSS: 0.0%

Betroffene Produkte: rabbitmq-kafka</description>
      <category>Hoch</category><category>RabbitMQ/Kafka</category>
    </item>
    <item>
      <title>CVE-2026-44393 — OpenStack oslo.messaging: Fehlende TLS-Hostname-Verifizierung</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-44393</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-44393</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In OpenStack oslo.messaging 1.0.0 bis 17.3.0 führt der RabbitMQ-Treiber beim Verbindungsaufbau zum Message-Broker keine TLS-Hostname-Verifizierung durch. CVSS-Basiswert: 7.4 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: auf eine fehlerbereinigte Version aktualisieren.

Severity: Hoch · CVSS: 7.4 · EPSS: 0.0%

Betroffene Produkte: openstack, rabbitmq-kafka</description>
      <category>Hoch</category><category>OpenStack</category><category>RabbitMQ/Kafka</category>
    </item>
    <item>
      <title>CVE-2026-57216 — RabbitMQ: Authentifizierungs-Schwachstelle bei loopback-beschränkten Nutzern</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-57216</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-57216</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>RabbitMQ ist ein Messaging- und Streaming-Broker. Vor den Versionen 3.13.15, 4.0.20, 4.1.11 und 4.2.6 konnte die Authentifizierung über AMQP 0-9-1, AMQP 1.0 und das Stream-Protokoll einem loopback-beschränkten Nutzer wie guest unerwünschten Zugriff erlauben. CVSS-Basiswert: 6.8 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: auf Version 3.13.15, 4.0.20, 4.1.11 bzw. 4.2.6 oder höher aktualisieren.

Severity: Mittel · CVSS: 6.8 · EPSS: 0.3%

Betroffene Produkte: broadcom-symantec, spring-broadcom-tanzu, vmware-broadcom-vmsa, rabbitmq-kafka</description>
      <category>Mittel</category><category>Broadcom/Symantec</category><category>Spring (Broadcom/Tanzu)</category><category>VMware (Broadcom VMSA)</category><category>RabbitMQ/Kafka</category>
    </item>
    <item>
      <title>CVE-2026-57214 — RabbitMQ Management-UI – Cross-Site-Scripting über ungenügend maskierte Argumente</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-57214</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-57214</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In RabbitMQ vor Version 4.2.5 rendert die Management-Oberfläche das Argument x-internal-purpose einer Queue oder eines Exchange ohne ausreichende Maskierung in ein HTML-title-Attribut, wodurch Cross-Site-Scripting (XSS) möglich wird. Zur Ausnutzung ist eine Benutzerinteraktion erforderlich. CVSS-Basiswert: 5.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: auf RabbitMQ 4.2.5 oder neuer aktualisieren.

Severity: Mittel · CVSS: 5.4 · EPSS: 0.3%

Betroffene Produkte: broadcom-symantec, spring-broadcom-tanzu, vmware-broadcom-vmsa, rabbitmq-kafka</description>
      <category>Mittel</category><category>Broadcom/Symantec</category><category>Spring (Broadcom/Tanzu)</category><category>VMware (Broadcom VMSA)</category><category>RabbitMQ/Kafka</category>
    </item>
    <item>
      <title>CVE-2026-57211 — RabbitMQ (Windows): Path-Traversal im Management-Plugin</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-57211</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-57211</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>RabbitMQ ist ein Messaging- und Streaming-Broker. Vor den Versionen 4.1.11 und 4.2.6 kann unter Windows der Static-File-Handler rabbit_mgmt_wm_static des RabbitMQ-Management-Plugins URL-kodierte Backslashes weitergeben, was einen Path-Traversal-Angriff ermöglicht. CVSS-Basiswert: 6.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: Auf RabbitMQ 4.1.11 bzw. 4.2.6 aktualisieren.

Severity: Mittel · CVSS: 6.5 · EPSS: 0.3%

Betroffene Produkte: broadcom-symantec, spring-broadcom-tanzu, vmware-broadcom-vmsa, rabbitmq-kafka, microsoft-windows</description>
      <category>Mittel</category><category>Broadcom/Symantec</category><category>Spring (Broadcom/Tanzu)</category><category>VMware (Broadcom VMSA)</category><category>RabbitMQ/Kafka</category><category>Microsoft Windows</category>
    </item>
    <item>
      <title>CVE-2026-57217 — RabbitMQ: Umgehung der Topic-Autorisierung bei Metadaten-Ausfällen</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-57217</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-57217</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>RabbitMQ ist ein Messaging- und Streaming-Broker. In Versionen vor 3.13.15, 4.0.21, 4.1.11 und 4.2.6 kann die Topic-Autorisierung während Ausfällen des Metadaten-Speichers eingeschränkte Topic-Schreib- und Bind-Vorgänge zulassen. CVSS-Basiswert: 6.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: Auf RabbitMQ 3.13.15, 4.0.21, 4.1.11 bzw. 4.2.6 oder neuer aktualisieren.

Severity: Mittel · CVSS: 6.5 · EPSS: 0.3%

Betroffene Produkte: broadcom-symantec, spring-broadcom-tanzu, vmware-broadcom-vmsa, rabbitmq-kafka</description>
      <category>Mittel</category><category>Broadcom/Symantec</category><category>Spring (Broadcom/Tanzu)</category><category>VMware (Broadcom VMSA)</category><category>RabbitMQ/Kafka</category>
    </item>
    <item>
      <title>CVE-2026-57218 — RabbitMQ: Nachrichtenempfang nach Ablauf des OAuth-Tokens</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-57218</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-57218</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>RabbitMQ ist ein Messaging- und Streaming-Broker. In Versionen vor 4.2.6 erlaubt AMQP 0-9-1, dass ein bestehender Consumer auch nach Ablauf des OAuth-Tokens oder nach einem connection.update_secret-Refresh weiterhin Nachrichten empfängt. CVSS-Basiswert: 6.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: Update auf RabbitMQ 4.2.6 oder neuer.

Severity: Mittel · CVSS: 6.5 · EPSS: 0.3%

Betroffene Produkte: broadcom-symantec, spring-broadcom-tanzu, vmware-broadcom-vmsa, rabbitmq-kafka</description>
      <category>Mittel</category><category>Broadcom/Symantec</category><category>Spring (Broadcom/Tanzu)</category><category>VMware (Broadcom VMSA)</category><category>RabbitMQ/Kafka</category>
    </item>
    <item>
      <title>CVE-2026-57221 — RabbitMQ: Fehlende Autorisierungsprüfung bei passiven Declare-Operationen</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-57221</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-57221</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>RabbitMQ ist ein Messaging- und Streaming-Broker. Vor den Versionen 3.13.15, 4.0.20, 4.1.11, 4.2.6 führt RabbitMQ bei passiven AMQP-0-9-1-Operationen queue.declare und exchange.declare keine Autorisierungsprüfungen durch. Als betroffen ausgewiesen sind Broadcom/Symantec, Spring (Broadcom/Tanzu), VMware (Broadcom VMSA) und RabbitMQ/Kafka. CVSS-Basiswert: 5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: auf eine korrigierte Version aktualisieren.

Severity: Mittel · CVSS: 5 · EPSS: 0.3%

Betroffene Produkte: broadcom-symantec, spring-broadcom-tanzu, vmware-broadcom-vmsa, rabbitmq-kafka</description>
      <category>Mittel</category><category>Broadcom/Symantec</category><category>Spring (Broadcom/Tanzu)</category><category>VMware (Broadcom VMSA)</category><category>RabbitMQ/Kafka</category>
    </item>
    <item>
      <title>CVE-2026-41727 — Spring Kafka Retry-Topic Header Validation</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-41727</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-41727</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Die Retry-Topic-Infrastruktur von Spring Kafka validierte benutzerkontrollierte Header-Werte nicht ausreichend, bevor sie darauf reagierte. Ein Producer konnte einen Datensatz mit einem manipulierten retry_topic-attempts-Header senden. CVSS-Basiswert: 6.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.

Severity: Mittel · CVSS: 6.5 · EPSS: 0.2%

Betroffene Produkte: vmware-broadcom-vmsa, spring-broadcom-tanzu, apache-http-server-asf-projekte, apache-tomcat, rabbitmq-kafka</description>
      <category>Mittel</category><category>VMware (Broadcom VMSA)</category><category>Spring (Broadcom/Tanzu)</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category><category>RabbitMQ/Kafka</category>
    </item>
    <item>
      <title>CVE-2026-57213 — RabbitMQ – Cross-Site-Scripting im Federation-Management-Plugin</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-57213</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-57213</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In RabbitMQ vor 3.13.14, 4.0.19, 4.1.10 und 4.2.5 rendert das Plugin rabbitmq_federation_management das Feld consumer_tag auf der Federation-Status-Seite ohne ausreichende Neutralisierung, wodurch Cross-Site-Scripting möglich wird. CVSS-Basiswert: 4.8 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: Update auf eine bereinigte RabbitMQ-Version einspielen.

Severity: Mittel · CVSS: 4.8 · EPSS: 0.2%

Betroffene Produkte: broadcom-symantec, spring-broadcom-tanzu, vmware-broadcom-vmsa, rabbitmq-kafka</description>
      <category>Mittel</category><category>Broadcom/Symantec</category><category>Spring (Broadcom/Tanzu)</category><category>VMware (Broadcom VMSA)</category><category>RabbitMQ/Kafka</category>
    </item>
    <item>
      <title>CVE-2026-44839 — RabbitMQ: Schwachstelle im Messaging- und Streaming-Broker</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-44839</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-44839</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>RabbitMQ ist ein Messaging- und Streaming-Broker; eine Schwachstelle betrifft die Versionen von 3.7.0 bis vor 4.1.2 und 4.0.13. Laut Quelle ist der Fehler in den Versionen 4.1.2 und 4.0.13 behoben. CVSS-Basiswert: 4.8 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: auf RabbitMQ 4.1.2 bzw. 4.0.13 oder neuer aktualisieren.

Severity: Mittel · CVSS: 4.8 · EPSS: 0.0%

Betroffene Produkte: broadcom-symantec, spring-broadcom-tanzu, vmware-broadcom-vmsa, rabbitmq-kafka</description>
      <category>Mittel</category><category>Broadcom/Symantec</category><category>Spring (Broadcom/Tanzu)</category><category>VMware (Broadcom VMSA)</category><category>RabbitMQ/Kafka</category>
    </item>
    <item>
      <title>CVE-2026-41115 — Apache Kafka – Fehlerhafte Autorisierung bei CONSUMER_GROUP_DESCRIBE</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-41115</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-41115</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Apache Kafka wurde bei der Implementierung des CONSUMER_GROUP_DESCRIBE-API (Opcode 69) die DESCRIBE-Operation fälschlicherweise gegen die GROUP-Ressource statt der korrekten Ressource geprüft. Dies stellt eine unzureichende Autorisierungsprüfung dar. CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

Severity: Mittel · CVSS: 4.3 · EPSS: 0.0%

Betroffene Produkte: apache-http-server-asf-projekte, apache-tomcat, rabbitmq-kafka</description>
      <category>Mittel</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category><category>RabbitMQ/Kafka</category>
    </item>
    <item>
      <title>CVE-2026-45080 — Klaw (Apache Kafka) – Unsachgemässe Zugriffskontrolle mit Offenlegung von Passwort-Hashes</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-45080</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-45080</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Im Klaw-Portal für Apache-Kafka-Verwaltung besteht vor Version 2.10.4 eine Schwachstelle durch unsachgemässe Zugriffskontrolle, die die Offenlegung von Passwort-Hashes ermöglicht. Das Problem wurde in Version 2.10.4 behoben.

Severity: Mittel

Betroffene Produkte: apache-http-server-asf-projekte, apache-tomcat, rabbitmq-kafka, n-able</description>
      <category>Mittel</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category><category>RabbitMQ/Kafka</category><category>N-able</category>
    </item>
    <item>
      <title>CVE-2026-9844 — Roche navify Digital Pathology: Standard-Zugangsdaten in RabbitMQ</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-9844</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-9844</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Roche Diagnostics navify Digital Pathology sind Standard-Zugangsdaten (Default Credentials) im RabbitMQ-Management-Interface aktiv. Ein Angreifer kann diese bekannten Zugangsdaten nutzen, um sich unberechtigten Zugriff zu verschaffen. Betroffen ist das navify Digital Pathology-Produkt.

Severity: Mittel

Betroffene Produkte: draeger-b-braun-medtronic-bd-baxter-roche-olympus, western-digital, rabbitmq-kafka</description>
      <category>Mittel</category><category>Draeger/B. Braun/Medtronic/BD/Baxter/Roche/Olympus</category><category>Western Digital</category><category>RabbitMQ/Kafka</category>
    </item>
    <item>
      <title>CVE-2026-44367 — Klaw (Apache Kafka) – Inkonsistente Behandlung von Benutzerregistrierung und Login</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-44367</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-44367</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Im Klaw-Portal für Apache-Kafka-Verwaltung besteht vor Version 2.10.4 eine Schwachstelle durch inkonsistente Behandlung der Benutzerregistrierung und des Anmeldemechanismus. CVSS-Basiswert: 2.7 (Niedrig).

Severity: Niedrig · CVSS: 2.7

Betroffene Produkte: apache-http-server-asf-projekte, apache-tomcat, rabbitmq-kafka</description>
      <category>Niedrig</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category><category>RabbitMQ/Kafka</category>
    </item>
  </channel>
</rss>
