Vulnerabilidades em Apache Software Foundation

1.899 resultados
Análise Vexday

O portfólio da Apache Software Foundation acumula 1.872 CVEs catalogadas, das quais 215 são de severidade crítica e 83 contam com prova de conceito pública — fatores que ampliam a superfície de risco operacional para equipes de segurança. A taxa de exploração ativa é especialmente preocupante: 28 vulnerabilidades constam no catálogo KEV da CISA, representando uma proporção 3,3 vezes acima da média geral do catálogo, o que indica atenção consistente de agentes maliciosos ao ecossistema Apache. A falha mais comum é CWE-20 (validação inadequada de entrada), padrão estrutural que tende a se manifestar em múltiplos produtos e versões, exigindo revisão ampla e não pontual. Destaque para CVE-2021-40438, a vulnerabilidade de maior risco ativo no momento, com EPSS máximo de 1,0 — probabilidade de exploração na prática praticamente certa —, o que a torna prioridade imediata de remediação para qualquer organização que opere componentes Apache afetados.

CVE-2025-59775HIGHApache HTTP Server: NTLM Leakage on Windows through UNC SSRFEPSS 0.8%CVE-2026-50633HIGHApache CXF: JNDI Injection vulnerability in DispatchMDBMessageListenerImplEPSS 0.8%CVE-2024-56128MEDIUMApache Kafka: SCRAM authentication vulnerable to replay attacks when used without encryptionEPSS 0.8%CVE-2026-41284HIGHApache Tomcat: Unbounded read in WebDAV LOCK and PROPFIND handlingEPSS 0.8%CVE-2025-66168MEDIUMApache ActiveMQ, Apache ActiveMQ All Module, Apache ActiveMQ MQTT Module: MQTT control packet remaining length field is not properly validatedEPSS 0.8%CVE-2025-30473HIGHApache Airflow Common SQL Provider: Remote Code Execution via Sql InjectionEPSS 0.8%CVE-2025-30474MEDIUMApache Commons VFS: Failing to find an FTP file can reveal the URI's password in an error messageEPSS 0.8%CVE-2025-55668MEDIUMApache Tomcat: session fixation via rewrite valveEPSS 0.8%CVE-2024-24773MEDIUMApache Superset: Improper validation of SQL statements allows for unauthorized access to dataEPSS 0.8%CVE-2023-27525LOWApache Superset: Incorrect default permissions for Gamma roleEPSS 0.8%CVE-2024-43204HIGHApache HTTP Server: SSRF with mod_headers setting Content-Type headerEPSS 0.8%CVE-2025-65082MEDIUMApache HTTP Server: CGI environment variable overrideEPSS 0.8%CVE-2026-30898HIGHApache Airflow: Bad example of BashOperator shell injection via dag_run.confEPSS 0.8%CVE-2026-42403HIGHApache Neethi: Circular Policy Reference Infinite LoopEPSS 0.8%CVE-2023-51437HIGHApache Pulsar: Timing attack in SASL token signature verificationEPSS 0.8%CVE-2026-39816HIGHApache NiFi: Missing Execute Code Required Permission on TinkerpopClientServiceEPSS 0.8%CVE-2025-24783HIGHApache Cocoon: continuations may not be privateEPSS 0.8%CVE-2026-45249MEDIUMApache ECharts: XSS in Lines series tooltip renderingEPSS 0.8%CVE-2017-12628The JMX server embedded in Apache James, also used by the command line client is exposed to a java de-serialization issue, and thus can be uEPSS 0.8%CVE-2025-48768MEDIUMApache NuttX RTOS: fs/inode: fs_inoderemove root inode removalEPSS 0.8%