Vulnerabilities in Apache Software Foundation

1,899 results
Vexday analysis

O portfólio da Apache Software Foundation acumula 1.872 CVEs catalogadas, das quais 215 são de severidade crítica e 83 contam com prova de conceito pública — fatores que ampliam a superfície de risco operacional para equipes de segurança. A taxa de exploração ativa é especialmente preocupante: 28 vulnerabilidades constam no catálogo KEV da CISA, representando uma proporção 3,3 vezes acima da média geral do catálogo, o que indica atenção consistente de agentes maliciosos ao ecossistema Apache. A falha mais comum é CWE-20 (validação inadequada de entrada), padrão estrutural que tende a se manifestar em múltiplos produtos e versões, exigindo revisão ampla e não pontual. Destaque para CVE-2021-40438, a vulnerabilidade de maior risco ativo no momento, com EPSS máximo de 1,0 — probabilidade de exploração na prática praticamente certa —, o que a torna prioridade imediata de remediação para qualquer organização que opere componentes Apache afetados.

CVE-2026-53404HIGHApache Tomcat: Bad ornext processing in RewriteValveEPSS 0.2%CVE-2025-53960MEDIUMApache StreamPark: Uses the user’s password as the secret keyEPSS 0.2%CVE-2025-54981HIGHApache StreamPark: Weak Encryption Algorithm in StreamParkEPSS 0.2%CVE-2026-44087MEDIUMApache APISIX: Openid-connect plugin Identity Header SpoofingEPSS 0.2%CVE-2025-52435HIGHApache Mynewt NimBLE: Invalid error handling in pause encryption procedure in NimBLE controllerEPSS 0.2%CVE-2026-40557MEDIUMApache Storm Prometheus Reporter: Disabling TLS verification for Prometheus Reporter also disables it for all other connectionsEPSS 0.2%CVE-2026-55956MEDIUMApache Tomcat: Security constraints for default servlet ignored methodEPSS 0.2%CVE-2026-49267MEDIUMApache Airflow: No certificate validation on SMTP STARTTLS connectionsEPSS 0.2%CVE-2026-35563HIGHApache Directory LDAP API: LDAP client implementation does not verify if the server certificate matches the intended LDAP hostnameEPSS 0.2%CVE-2026-50229MEDIUMApache Tomcat: XSS in number guess exampleEPSS 0.2%CVE-2025-27446HIGHApache APISIX Java Plugin Runner: Local listening file permissions in APISIX plugin runner allow a local attacker to elevate privilegesEPSS 0.2%CVE-2026-44119MEDIUMApache HTTP Server: escalation of privilege through expressions in .htaccess in multiple modulesEPSS 0.2%CVE-2026-27315MEDIUMApache Cassandra: cqlsh history sensitive information leakEPSS 0.2%CVE-2026-27173HIGHApache Airflow CNCF Kubernetes provider: JWT Token Exposure in KubernetesExecutor Command-Line ArgumentsEPSS 0.2%CVE-2026-45188LOWApache Kvrocks: Replication Fullsync Path Traversal via Unvalidated Filename HandlingEPSS 0.2%CVE-2026-55955MEDIUMApache Tomcat: EncryptInterceptor not protected against replay attacksEPSS 0.1%CVE-2026-47897HIGHApache Lucene.Net: Arbitrary file write from malicious server to Lucene.Net.Replicator clientEPSS CVE-2026-47898MEDIUMApache Lucene.Net: XXE vulnerability in Lucene.Net.Analysis.Common PatternParserEPSS CVE-2026-47896HIGHApache Lucene.Net: Unauthenticated arbitrary file read on the Lucene.Net.Replicator replication serverEPSS