Vulnerabilities in Apache Software Foundation

1,894 results
Vexday analysis

O portfólio da Apache Software Foundation acumula 1.872 CVEs catalogadas, das quais 215 são de severidade crítica e 83 contam com prova de conceito pública — fatores que ampliam a superfície de risco operacional para equipes de segurança. A taxa de exploração ativa é especialmente preocupante: 28 vulnerabilidades constam no catálogo KEV da CISA, representando uma proporção 3,3 vezes acima da média geral do catálogo, o que indica atenção consistente de agentes maliciosos ao ecossistema Apache. A falha mais comum é CWE-20 (validação inadequada de entrada), padrão estrutural que tende a se manifestar em múltiplos produtos e versões, exigindo revisão ampla e não pontual. Destaque para CVE-2021-40438, a vulnerabilidade de maior risco ativo no momento, com EPSS máximo de 1,0 — probabilidade de exploração na prática praticamente certa —, o que a torna prioridade imediata de remediação para qualquer organização que opere componentes Apache afetados.

CVE-2024-23349MEDIUMApache Answer: XSS vulnerability when submitting summaryEPSS 1.1%CVE-2022-34158User Group Privilege EscalationEPSS 1.1%CVE-2023-42780Apache Airflow: Improper access control vulnerability in the "List dag warnings" featureEPSS 1.1%CVE-2024-32638MEDIUMApache APISIX: Forward-Auth Request SmugglingEPSS 1.1%CVE-2023-50379HIGHApache Ambari: authenticated users could perform command injection to perform RCEEPSS 1.1%CVE-2025-24859LOWApache Roller: Insufficient Session Expiration on Password ChangeEPSS 1.1%CVE-2023-25197apache fineract: SQL injection vulnerability in certain procedure calls EPSS 1.1%CVE-2022-47500MEDIUMApache Helix: Open redirectEPSS 1.1%CVE-2022-45855HIGHApache Ambari: Allows authenticated metrics consumers to perform RCEEPSS 1.1%CVE-2023-49068Apache DolphinScheduler: Information Leakage VulnerabilityEPSS 1.1%CVE-2022-42009HIGHApache Ambari: A malicious authenticated user can remotely execute arbitrary code in the context of the application.EPSS 1.1%CVE-2025-48431HIGHApache Thrift: Specially crafted input can crash a c_glib Thrift server with invalid pointer error.EPSS 1.1%CVE-2022-38369Login check vulnerability by session IdEPSS 1.1%CVE-2020-17521Apache Groovy provides extension methods to aid with creating temporary directories. Prior to this fix, Groovy's implementation of those extEPSS 1.1%CVE-2024-31869MEDIUMApache Airflow: Sensitive configuration for providers displayed when "non-sensitive-only" config usedEPSS 1.0%CVE-2023-51747HIGHSMTP smuggling in Apache JamesEPSS 1.0%CVE-2023-22888Apache Airflow: Scheduler remote DoSEPSS 1.0%CVE-2025-32896MEDIUMApache SeaTunnel: Unauthenticated insecure accessEPSS 1.0%CVE-2023-51656Apache IoTDB: Unsafe deserialize map in Sync ToolEPSS 1.0%CVE-2023-26512CRITICALApache EventMesh RabbitMQ-Connector plugin allows RCE through deserialization of untrusted dataEPSS 1.0%