Vulnerabilities in Apache Software Foundation

1,894 results
Vexday analysis

O portfólio da Apache Software Foundation acumula 1.872 CVEs catalogadas, das quais 215 são de severidade crítica e 83 contam com prova de conceito pública — fatores que ampliam a superfície de risco operacional para equipes de segurança. A taxa de exploração ativa é especialmente preocupante: 28 vulnerabilidades constam no catálogo KEV da CISA, representando uma proporção 3,3 vezes acima da média geral do catálogo, o que indica atenção consistente de agentes maliciosos ao ecossistema Apache. A falha mais comum é CWE-20 (validação inadequada de entrada), padrão estrutural que tende a se manifestar em múltiplos produtos e versões, exigindo revisão ampla e não pontual. Destaque para CVE-2021-40438, a vulnerabilidade de maior risco ativo no momento, com EPSS máximo de 1,0 — probabilidade de exploração na prática praticamente certa —, o que a torna prioridade imediata de remediação para qualquer organização que opere componentes Apache afetados.

CVE-2024-47554MEDIUMApache Commons IO: Possible denial of service attack on untrusted input to XmlStreamReaderEPSS 1.2%CVE-2023-31064HIGHApache InLong: Insecurity direct object references cancelling applicationsEPSS 1.2%CVE-2023-31206HIGHApache InLong: Attackers can change the immutable name and type of nodesEPSS 1.2%CVE-2023-24829HIGHApache IoTDB Workbench: apache/iotdb-web-workbench: forge the JWTToken to access workbenchEPSS 1.2%CVE-2025-59059CRITICALApache Ranger: Remote Code Execution Vulnerability in NashornScriptEngineCreatorEPSS 1.2%CVE-2022-43720MEDIUMApache Superset: Improper rendering of user inputEPSS 1.2%CVE-2022-43717MEDIUMApache Superset: Cross-Site Scripting on dashboardsEPSS 1.2%CVE-2024-24683MEDIUMApache Hop Engine: ID isn't escaped when generating HTMLEPSS 1.2%CVE-2023-51770HIGHApache DolphinScheduler: Arbitrary File Read VulnerabilityEPSS 1.2%CVE-2024-29178HIGHApache StreamPark: FreeMarker SSTI RCE VulnerabilityEPSS 1.2%CVE-2022-45470HIGHApache Hama allows XSS and information disclosureEPSS 1.2%CVE-2024-45498HIGHApache Airflow: Command Injection in an example DAGEPSS 1.2%CVE-2025-31672MEDIUMApache POI: parsing OOXML based files (xlsx, docx, etc.), poi-ooxml could read unexpected data if underlying zip has duplicate zip entry namesEPSS 1.2%CVE-2025-23196HIGHApache Ambari: Code Injection Vulnerability in Ambari Alert DefinitionEPSS 1.2%CVE-2024-43383HIGHApache Lucene.Net.Replicator: Remote Code Execution in Lucene.Net.ReplicatorEPSS 1.2%CVE-2022-26885HIGHApache DolphinScheduler config file read by task riskEPSS 1.2%CVE-2023-31098CRITICALApache InLong: Weak Password Implementation in InLongEPSS 1.2%CVE-2026-43512CRITICALApache Tomcat: Digest authenticator will authenticate any unknown userEPSS 1.2%CVE-2023-45348Apache Airflow: Configuration information leakage vulnerabilityEPSS 1.2%CVE-2023-45725Apache CouchDB, IBM Cloudant: Privilege Escalation Using _design DocumentsEPSS 1.2%