Vulnerabilidades en Apache Software Foundation

1899 resultados
Análisis Vexday

O portfólio da Apache Software Foundation acumula 1.872 CVEs catalogadas, das quais 215 são de severidade crítica e 83 contam com prova de conceito pública — fatores que ampliam a superfície de risco operacional para equipes de segurança. A taxa de exploração ativa é especialmente preocupante: 28 vulnerabilidades constam no catálogo KEV da CISA, representando uma proporção 3,3 vezes acima da média geral do catálogo, o que indica atenção consistente de agentes maliciosos ao ecossistema Apache. A falha mais comum é CWE-20 (validação inadequada de entrada), padrão estrutural que tende a se manifestar em múltiplos produtos e versões, exigindo revisão ampla e não pontual. Destaque para CVE-2021-40438, a vulnerabilidade de maior risco ativo no momento, com EPSS máximo de 1,0 — probabilidade de exploração na prática praticamente certa —, o que a torna prioridade imediata de remediação para qualquer organização que opere componentes Apache afetados.

CVE-2023-35908Apache Airflow: Access to DAGs without relevant permissionEPSS 0.8%CVE-2023-48362CRITICALApache Drill: XXE Vulnerability in XML Format ReaderEPSS 0.8%CVE-2024-25090MEDIUMApache Roller: Insufficient input validation for some user profile and bookmark fields when Roller in untested-users modeEPSS 0.8%CVE-2017-5646For versions of Apache Knox from 0.2.0 to 0.11.0 - an authenticated user may use a specially crafted URL to impersonate another user while aEPSS 0.8%CVE-2023-34395HIGHApache Airflow ODBC Provider: Remote code execution vulnerabilityEPSS 0.8%CVE-2024-36471HIGHApache Allura: sensitive information exposure via DNS rebindingEPSS 0.8%CVE-2026-25903HIGHApache NiFi: Missing Authorization of Restricted Permissions for Component UpdatesEPSS 0.8%CVE-2026-40021MEDIUMApache Log4net: Silent log event loss in XmlLayout and XmlLayoutSchemaLog4J due to unescaped XML 1.0 forbidden charactersEPSS 0.8%CVE-2022-44730Apache XML Graphics Batik: Information disclosure vulnerabilityEPSS 0.7%CVE-2024-40761MEDIUMApache Answer: Avatar URL leaked user email addressesEPSS 0.7%CVE-2024-22369HIGHApache Camel: Camel-SQL: Unsafe Deserialization from JDBCAggregationRepositoryEPSS 0.7%CVE-2025-27820HIGHApache HttpComponents: PSL (Public Suffix List) validation bypassEPSS 0.7%CVE-2025-29847HIGHApache Linkis: Arbitrary File Read via Double URL Encoding BypassEPSS 0.7%CVE-2025-68161MEDIUMApache Log4j Core: Missing TLS hostname verification in Socket appenderEPSS 0.7%CVE-2024-45626MEDIUMApache James: denial of service through JMAP HTML to text conversionEPSS 0.7%CVE-2023-32672MEDIUMApache Superset: SQL parser edge case bypasses data access authorizationEPSS 0.7%CVE-2026-24098MEDIUMApache Airflow: Assigning single DAG permission leaked all DAGs Import ErrorsEPSS 0.7%CVE-2026-31987HIGHApache Airflow: JWT token appearing in logsEPSS 0.7%CVE-2025-48913CRITICALApache CXF: Untrusted JMS configuration can lead to RCEEPSS 0.7%CVE-2024-31979HIGHApache StreamPipes: Possibility of SSRF in pipeline element installation processEPSS 0.7%