Phoenix Contact
Phoenix Contact gehört zur Kategorie „OT / ICS / SCADA / IIoT". xonatec überwacht Phoenix Contact kontinuierlich auf neue Sicherheitslücken, priorisiert jede Meldung nach aktiver Ausnutzung (KEV), Ausnutzungswahrscheinlichkeit (EPSS) und Schweregrad (CVSS) Im zugeschnittenen Bericht erhalten Sie ausschliesslich die Meldungen, die dieses Produkt betreffen.
Schwachstellen-Reports
19 ReportsZeige 1 bis 19 von 19
-
WP Insightly: Nicht authentifizierte PHP Object Injection (<= 1.1.4)
CVE-2026-49085 KritischDas WordPress-Plugin WP Insightly for Contact Form 7, WPForms, Elementor, Formidable and Ninja Forms enthält in den Versionen bis einschliesslich 1.1.4 eine PHP Object Injection, die ohne Authentifizierung ausgenutzt werden kann. Der Angriff erfolgt über das Netzwerk ohne Rechte und ohne Benutzerinteraktion (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H). CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: auf eine Version neuer als 1.1.4 aktualisieren.
CVSS: 9.8 EPSS: 0.48% Publiziert: Referenz: NVD -
Integration for Keap/Infusionsoft und Formular-Plugins: Unauthentifizierte PHP Object Injection
CVE-2026-49104 KritischIn der Erweiterung Integration for Keap/Infusionsoft and Contact Form 7, WPForms, Elementor, Formidable, Ninja Forms besteht eine unauthentifizierte PHP Object Injection. Betroffen sind laut NVD alle Versionen bis einschliesslich 1.2.1. CVSS-Basiswert: 9.8 (Kritisch); der Angriff ist über das Netzwerk ohne Zugangsdaten und ohne Benutzerinteraktion möglich. Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: auf eine Version neuer als 1.2.1 aktualisieren.
CVSS: 9.8 EPSS: 0.48% Publiziert: Referenz: NVD -
WP Zendesk für Contact Form 7, WPForms, Elementor, Formidable und Ninja Forms: PHP Object Injection
CVE-2026-49105 KritischDas WordPress-Plugin WP Zendesk for Contact Form 7, WPForms, Elementor, Formidable and Ninja Forms erlaubt in Versionen bis einschliesslich 1.1.4 eine PHP Object Injection ohne vorherige Authentifizierung. Der CVSS-Vektor (AV:N/AC:L/PR:N/UI:N) beschreibt einen netzwerkbasierten Angriff ohne Authentifizierung und ohne Benutzerinteraktion mit vollständiger Auswirkung auf Vertraulichkeit, Integrität und Verfügbarkeit. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: auf eine Version neuer als 1.1.4 aktualisieren.
CVSS: 9.8 EPSS: 0.48% Publiziert: Referenz: NVD -
Integration for ActiveCampaign and Contact Form 7, WPForms, Elementor, Ninja Forms: unauthentifizierte PHP Object Injection
CVE-2026-9691 KritischIn der Erweiterung „Integration for ActiveCampaign and Contact Form 7, WPForms, Elementor, Ninja Forms“ besteht eine PHP Object Injection, die ohne Authentifizierung ausgenutzt werden kann. Betroffen sind laut Quelle die Versionen bis einschliesslich 1.1.1. CVSS-Basiswert: 9.8 (Kritisch). Der CVSS-Vektor weist die Lücke als netzwerkbasiert, ohne Authentifizierung und ohne Nutzerinteraktion ausnutzbar aus. Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: auf eine Version neuer als 1.1.1 aktualisieren.
CVSS: 9.8 EPSS: 0.48% Publiziert: Referenz: NVD -
Integration for Contact Form 7 and Constant Contact: unauthentifizierte PHP Object Injection
CVE-2026-49106 KritischIn „Integration for Contact Form 7 and Constant Contact“ besteht eine PHP Object Injection, die ohne Authentifizierung ausgenutzt werden kann. Betroffen sind laut Quelle die Versionen bis einschliesslich 1.1.6. CVSS-Basiswert: 9.8 (Kritisch). Der CVSS-Vektor weist die Lücke als netzwerkbasiert, ohne Authentifizierung und ohne Nutzerinteraktion ausnutzbar aus. Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: auf eine Version neuer als 1.1.6 aktualisieren.
CVSS: 9.8 EPSS: 0.38% Publiziert: Referenz: NVD -
Integration for Salesforce and Contact Form 7: Unauthentifizierte PHP Object Injection
CVE-2026-49109 KritischDas Plugin Integration for Salesforce and Contact Form 7, WPForms, Elementor, Formidable, Ninja Forms erlaubt eine PHP Object Injection ohne vorherige Authentifizierung. Betroffen sind laut Quelle alle Versionen bis einschliesslich 1.4.3. CVSS-Basiswert: 9.8 (Kritisch). Die Ausnutzung ist gemäss CVSS-Vektor über das Netzwerk ohne Rechte und ohne Benutzerinteraktion möglich. Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.
CVSS: 9.8 EPSS: 0.38% Publiziert: Referenz: NVD -
Integration for Contact Form 7 HubSpot: Nicht authentifizierte PHP Object Injection
CVE-2026-49763 KritischIm Plugin Integration for Contact Form 7 HubSpot bis einschliesslich Version 1.3.7 besteht laut NVD eine PHP Object Injection, die ohne vorherige Authentifizierung ausgenutzt werden kann. Der CVSS-Vektor weist die Lücke als über das Netzwerk, ohne Privilegien und ohne Benutzerinteraktion ausnutzbar aus. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.
CVSS: 9.8 EPSS: 0.38% Publiziert: Referenz: NVD -
Integration for Mailchimp and Contact Form 7, WPForms, Elementor, Ninja Forms bis 1.1.8: unauthentifizierte PHP Object Injection
CVE-2026-49765 KritischIn der Erweiterung Integration for Mailchimp and Contact Form 7, WPForms, Elementor, Ninja Forms bis einschliesslich Version 1.1.8 besteht laut NVD eine PHP Object Injection. Sie ist ohne Authentifizierung ausnutzbar. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Zugeordnete überwachte Produkte: PHP, Phoenix Contact. Empfohlene Massnahme: auf eine Version neuer als 1.1.8 aktualisieren.
CVSS: 9.8 EPSS: 0.38% Publiziert: Referenz: NVD -
Relyra (SAML 2.0 Service Provider für Elixir/Phoenix): Akzeptanz gefälschter SAML-Signaturen
CVE-2026-49454 KritischRelyra ist eine strikt-per-Default konfigurierte SAML-2.0-Service-Provider-Bibliothek für Elixir und Phoenix. In den Versionen 1.0.0 und 1.1.0 werden gefälschte SAML-Signaturen akzeptiert, weil der SignatureValue nicht kryptografisch verifiziert wurde. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 9.1 EPSS: 0.14% Publiziert: Referenz: NVD -
Phoenix (Presence JavaScript Client) – unzureichende Prüfung ungewöhnlicher Bedingungen
CVE-2026-56812 HochEine Schwachstelle durch unzureichende Prüfung ungewöhnlicher oder Ausnahmebedingungen im Presence-JavaScript-Client des phoenixframework (phoenix) erlaubt es einem Angreifer mit gewöhnlichem Channel-Zugriff, einen persistenten Zustand auf Client-Seite herbeizuführen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: auf eine korrigierte Version aktualisieren.
CVSS: 7.5 EPSS: 0.45% Publiziert: Referenz: NVD -
Phoenix (Phoenix.Socket): Denial of Service durch unbegrenzte Ressourcenzuweisung
CVE-2026-56811 HochEine Schwachstelle durch Ressourcenzuweisung ohne Limit oder Drosselung im Phoenix.Socket-Modul des phoenixframework/phoenix erlaubt einem nicht authentifizierten Angreifer, einen Denial of Service gegen einen beliebigen Endpunkt auszulösen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: auf eine fehlerbereinigte Version gemäss Hersteller-Advisory aktualisieren.
CVSS: 7.5 EPSS: 0.42% Publiziert: Referenz: NVD -
WordPress-Plugin Integration for Freshsales – Stored Cross-Site Scripting
CVE-2026-8901 HochDas WordPress-Plugin „Integration for Freshsales – Contact Form 7, WPForms, Elementor, Gravity Forms and More“ ist über Formular-Übermittlungsdaten für Stored Cross-Site Scripting anfällig. CVSS-Basiswert: 7.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: auf eine korrigierte Plugin-Version aktualisieren.
CVSS: 7.2 EPSS: 0.16% Publiziert: Referenz: NVD -
Zuz Music 2.1: Persistentes Cross-Site-Scripting über Kontaktformular
CVE-2019-25731 HochZuz Music 2.1 enthält eine persistente Cross-Site-Scripting-Schwachstelle, die es nicht authentifizierten Angreifern erlaubt, durch präparierte Kontaktformular-Daten schädliches JavaScript einzuschleusen. CVSS-Basiswert: 7.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 7.2 EPSS: 0.08% Publiziert: Referenz: NVD -
Google Chrome (Android): UI-Spoofing über Contact Picker
CVE-2026-11172 HochEine fehlerhafte Sicherheits-UI im Contact Picker von Google Chrome unter Android vor Version 149.0.7827.53 erlaubt einem entfernten Angreifer UI-Spoofing über eine präparierte HTML-Seite (Chromium-Schweregrad: Medium). CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: Chrome auf Version 149.0.7827.53 oder neuer aktualisieren.
CVSS: 8.8 EPSS: 0.07% Publiziert: Referenz: NVD -
Contact Management System 1.0 – Improper Input Validation in CRUD Endpoint
CVE-2026-2174 HochIm Contact Management System 1.0 (code-projects) wurde eine Sicherheitslücke im CRUD-Endpoint entdeckt. Durch Manipulation des Arguments „ID” ist eine unsachgemässe Eingabeverarbeitung möglich. CVSS-Basiswert: 7.3 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 7.3 EPSS: 0.04% Publiziert: Referenz: NVD -
Contact Form by WD: CSRF mit Local File Inclusion
CVE-2019-25734 MittelContact Form by WD in Version 1.13.1 enthält eine Cross-Site-Request-Forgery-Schwachstelle in Kombination mit Local File Inclusion, die es nicht authentifizierten Angreifern erlaubt, durch Ausnutzung unzureichend bereinigter Eingaben beliebige Dateien einzubinden. CVSS-Basiswert: 4.0 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 4.0 EPSS: 0.07% Publiziert: Referenz: NVD -
WordPress WPForms: Unzureichende Prüfung der Datenauthentizität
CVE-2026-7792 MittelDas WordPress-Plugin WPForms – Easy Form Builder ist über eine unzureichende Prüfung der Datenauthentizität angreifbar. Betroffen sind Versionen bis einschliesslich der genannten Fassung. Als betroffen ausgewiesen sind WordPress (Patchstack), WordPress (Wordfence), WordPress (WPScan) und Phoenix Contact. CVSS-Basiswert: 5.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: das Plugin auf eine korrigierte Version aktualisieren.
CVSS: 5.3 EPSS: 0.04% Publiziert: Referenz: NVD -
CVE-2026-8991 – Stored XSS im Drag-and-Drop-Upload-Plugin (WordPress)
CVE-2026-8991 MittelDas WordPress-Plugin Drag and Drop Multiple File Upload for Contact Form 7 ist über die Einstellungen 'drag_n_drop_text' und 'drag_n_drop_browse_text' in allen betroffenen Versionen anfällig für Stored Cross-Site-Scripting. CVSS-Basiswert: 4.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: das Plugin auf eine korrigierte Version aktualisieren.
CVSS: 4.4 EPSS: 0.04% Publiziert: Referenz: NVD -
Android – lokaler Denial of Service durch fehlende Eingabevalidierung (DataRowHandler)
CVE-2026-0085 MittelIn der Funktion applySimpleFieldMaxSize von DataRowHandler.java ist es aufgrund fehlender Eingabevalidierung möglich, einen ungewöhnlich langen Kontaktnamen einzufügen. Dies kann zu einem lokalen Denial of Service führen. CVSS-Basiswert: 5.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 5.5 EPSS: 0.01% Publiziert: Referenz: NVD
Diesem Produkt-Feed folgen
Eigener RSS-Feed nur für Phoenix Contact, kostenlos und ohne Anmeldung. Zustellung per E-Mail, Webhook, REST oder TAXII richten wir auf Anfrage ein.
RSS-Feed öffnen Zustellung anfragenWie folge ich dem Feed?
- 1 RSS-Feed-Link kopieren oder direkt im RSS-Reader öffnen.
- 2 Priorisierte Reports (KEV · EPSS · CVSS) landen automatisch in Ihrem Reader.
- 3 Zustellung per E-Mail, Webhook, REST oder TAXII auf Anfrage einrichten lassen.