1.9
OT / ICS / SCADA / IIoT

Phoenix Contact

OT / ICS / SCADA / IIoT

Phoenix Contact gehört zur Kategorie „OT / ICS / SCADA / IIoT". xonatec überwacht Phoenix Contact kontinuierlich auf neue Sicherheitslücken, priorisiert jede Meldung nach aktiver Ausnutzung (KEV), Ausnutzungswahrscheinlichkeit (EPSS) und Schweregrad (CVSS) Im zugeschnittenen Bericht erhalten Sie ausschliesslich die Meldungen, die dieses Produkt betreffen.

19
Reports
0
Aktiv ausgenutzt
Kritisch
Höchste Priorität
0.5%
Max. EPSS

Schwachstellen-Reports

19 Reports

Zeige 1 bis 19 von 19

  1. WP Insightly: Nicht authentifizierte PHP Object Injection (<= 1.1.4)

    CVE-2026-49085 Kritisch

    Das WordPress-Plugin WP Insightly for Contact Form 7, WPForms, Elementor, Formidable and Ninja Forms enthält in den Versionen bis einschliesslich 1.1.4 eine PHP Object Injection, die ohne Authentifizierung ausgenutzt werden kann. Der Angriff erfolgt über das Netzwerk ohne Rechte und ohne Benutzerinteraktion (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H). CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: auf eine Version neuer als 1.1.4 aktualisieren.

    CVSS: 9.8 EPSS: 0.48% Publiziert: Referenz: NVD
  2. Integration for Keap/Infusionsoft und Formular-Plugins: Unauthentifizierte PHP Object Injection

    CVE-2026-49104 Kritisch

    In der Erweiterung Integration for Keap/Infusionsoft and Contact Form 7, WPForms, Elementor, Formidable, Ninja Forms besteht eine unauthentifizierte PHP Object Injection. Betroffen sind laut NVD alle Versionen bis einschliesslich 1.2.1. CVSS-Basiswert: 9.8 (Kritisch); der Angriff ist über das Netzwerk ohne Zugangsdaten und ohne Benutzerinteraktion möglich. Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: auf eine Version neuer als 1.2.1 aktualisieren.

    CVSS: 9.8 EPSS: 0.48% Publiziert: Referenz: NVD
  3. WP Zendesk für Contact Form 7, WPForms, Elementor, Formidable und Ninja Forms: PHP Object Injection

    CVE-2026-49105 Kritisch

    Das WordPress-Plugin WP Zendesk for Contact Form 7, WPForms, Elementor, Formidable and Ninja Forms erlaubt in Versionen bis einschliesslich 1.1.4 eine PHP Object Injection ohne vorherige Authentifizierung. Der CVSS-Vektor (AV:N/AC:L/PR:N/UI:N) beschreibt einen netzwerkbasierten Angriff ohne Authentifizierung und ohne Benutzerinteraktion mit vollständiger Auswirkung auf Vertraulichkeit, Integrität und Verfügbarkeit. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: auf eine Version neuer als 1.1.4 aktualisieren.

    CVSS: 9.8 EPSS: 0.48% Publiziert: Referenz: NVD
  4. Integration for ActiveCampaign and Contact Form 7, WPForms, Elementor, Ninja Forms: unauthentifizierte PHP Object Injection

    CVE-2026-9691 Kritisch

    In der Erweiterung „Integration for ActiveCampaign and Contact Form 7, WPForms, Elementor, Ninja Forms“ besteht eine PHP Object Injection, die ohne Authentifizierung ausgenutzt werden kann. Betroffen sind laut Quelle die Versionen bis einschliesslich 1.1.1. CVSS-Basiswert: 9.8 (Kritisch). Der CVSS-Vektor weist die Lücke als netzwerkbasiert, ohne Authentifizierung und ohne Nutzerinteraktion ausnutzbar aus. Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: auf eine Version neuer als 1.1.1 aktualisieren.

    CVSS: 9.8 EPSS: 0.48% Publiziert: Referenz: NVD
  5. Integration for Contact Form 7 and Constant Contact: unauthentifizierte PHP Object Injection

    CVE-2026-49106 Kritisch

    In „Integration for Contact Form 7 and Constant Contact“ besteht eine PHP Object Injection, die ohne Authentifizierung ausgenutzt werden kann. Betroffen sind laut Quelle die Versionen bis einschliesslich 1.1.6. CVSS-Basiswert: 9.8 (Kritisch). Der CVSS-Vektor weist die Lücke als netzwerkbasiert, ohne Authentifizierung und ohne Nutzerinteraktion ausnutzbar aus. Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: auf eine Version neuer als 1.1.6 aktualisieren.

    CVSS: 9.8 EPSS: 0.38% Publiziert: Referenz: NVD
  6. Integration for Salesforce and Contact Form 7: Unauthentifizierte PHP Object Injection

    CVE-2026-49109 Kritisch

    Das Plugin Integration for Salesforce and Contact Form 7, WPForms, Elementor, Formidable, Ninja Forms erlaubt eine PHP Object Injection ohne vorherige Authentifizierung. Betroffen sind laut Quelle alle Versionen bis einschliesslich 1.4.3. CVSS-Basiswert: 9.8 (Kritisch). Die Ausnutzung ist gemäss CVSS-Vektor über das Netzwerk ohne Rechte und ohne Benutzerinteraktion möglich. Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.

    CVSS: 9.8 EPSS: 0.38% Publiziert: Referenz: NVD
  7. Integration for Contact Form 7 HubSpot: Nicht authentifizierte PHP Object Injection

    CVE-2026-49763 Kritisch

    Im Plugin Integration for Contact Form 7 HubSpot bis einschliesslich Version 1.3.7 besteht laut NVD eine PHP Object Injection, die ohne vorherige Authentifizierung ausgenutzt werden kann. Der CVSS-Vektor weist die Lücke als über das Netzwerk, ohne Privilegien und ohne Benutzerinteraktion ausnutzbar aus. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.

    CVSS: 9.8 EPSS: 0.38% Publiziert: Referenz: NVD
  8. Integration for Mailchimp and Contact Form 7, WPForms, Elementor, Ninja Forms bis 1.1.8: unauthentifizierte PHP Object Injection

    CVE-2026-49765 Kritisch

    In der Erweiterung Integration for Mailchimp and Contact Form 7, WPForms, Elementor, Ninja Forms bis einschliesslich Version 1.1.8 besteht laut NVD eine PHP Object Injection. Sie ist ohne Authentifizierung ausnutzbar. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Zugeordnete überwachte Produkte: PHP, Phoenix Contact. Empfohlene Massnahme: auf eine Version neuer als 1.1.8 aktualisieren.

    CVSS: 9.8 EPSS: 0.38% Publiziert: Referenz: NVD
  9. Relyra (SAML 2.0 Service Provider für Elixir/Phoenix): Akzeptanz gefälschter SAML-Signaturen

    CVE-2026-49454 Kritisch

    Relyra ist eine strikt-per-Default konfigurierte SAML-2.0-Service-Provider-Bibliothek für Elixir und Phoenix. In den Versionen 1.0.0 und 1.1.0 werden gefälschte SAML-Signaturen akzeptiert, weil der SignatureValue nicht kryptografisch verifiziert wurde. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 9.1 EPSS: 0.14% Publiziert: Referenz: NVD
  10. Phoenix (Presence JavaScript Client) – unzureichende Prüfung ungewöhnlicher Bedingungen

    CVE-2026-56812 Hoch

    Eine Schwachstelle durch unzureichende Prüfung ungewöhnlicher oder Ausnahmebedingungen im Presence-JavaScript-Client des phoenixframework (phoenix) erlaubt es einem Angreifer mit gewöhnlichem Channel-Zugriff, einen persistenten Zustand auf Client-Seite herbeizuführen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: auf eine korrigierte Version aktualisieren.

    CVSS: 7.5 EPSS: 0.45% Publiziert: Referenz: NVD
  11. Phoenix (Phoenix.Socket): Denial of Service durch unbegrenzte Ressourcenzuweisung

    CVE-2026-56811 Hoch

    Eine Schwachstelle durch Ressourcenzuweisung ohne Limit oder Drosselung im Phoenix.Socket-Modul des phoenixframework/phoenix erlaubt einem nicht authentifizierten Angreifer, einen Denial of Service gegen einen beliebigen Endpunkt auszulösen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: auf eine fehlerbereinigte Version gemäss Hersteller-Advisory aktualisieren.

    CVSS: 7.5 EPSS: 0.42% Publiziert: Referenz: NVD
  12. WordPress-Plugin Integration for Freshsales – Stored Cross-Site Scripting

    CVE-2026-8901 Hoch

    Das WordPress-Plugin „Integration for Freshsales – Contact Form 7, WPForms, Elementor, Gravity Forms and More“ ist über Formular-Übermittlungsdaten für Stored Cross-Site Scripting anfällig. CVSS-Basiswert: 7.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: auf eine korrigierte Plugin-Version aktualisieren.

    CVSS: 7.2 EPSS: 0.16% Publiziert: Referenz: NVD
  13. Zuz Music 2.1: Persistentes Cross-Site-Scripting über Kontaktformular

    CVE-2019-25731 Hoch

    Zuz Music 2.1 enthält eine persistente Cross-Site-Scripting-Schwachstelle, die es nicht authentifizierten Angreifern erlaubt, durch präparierte Kontaktformular-Daten schädliches JavaScript einzuschleusen. CVSS-Basiswert: 7.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 7.2 EPSS: 0.08% Publiziert: Referenz: NVD
  14. Google Chrome (Android): UI-Spoofing über Contact Picker

    CVE-2026-11172 Hoch

    Eine fehlerhafte Sicherheits-UI im Contact Picker von Google Chrome unter Android vor Version 149.0.7827.53 erlaubt einem entfernten Angreifer UI-Spoofing über eine präparierte HTML-Seite (Chromium-Schweregrad: Medium). CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: Chrome auf Version 149.0.7827.53 oder neuer aktualisieren.

    CVSS: 8.8 EPSS: 0.07% Publiziert: Referenz: NVD
  15. Contact Management System 1.0 – Improper Input Validation in CRUD Endpoint

    CVE-2026-2174 Hoch

    Im Contact Management System 1.0 (code-projects) wurde eine Sicherheitslücke im CRUD-Endpoint entdeckt. Durch Manipulation des Arguments „ID” ist eine unsachgemässe Eingabeverarbeitung möglich. CVSS-Basiswert: 7.3 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 7.3 EPSS: 0.04% Publiziert: Referenz: NVD
  16. Contact Form by WD: CSRF mit Local File Inclusion

    CVE-2019-25734 Mittel

    Contact Form by WD in Version 1.13.1 enthält eine Cross-Site-Request-Forgery-Schwachstelle in Kombination mit Local File Inclusion, die es nicht authentifizierten Angreifern erlaubt, durch Ausnutzung unzureichend bereinigter Eingaben beliebige Dateien einzubinden. CVSS-Basiswert: 4.0 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 4.0 EPSS: 0.07% Publiziert: Referenz: NVD
  17. WordPress WPForms: Unzureichende Prüfung der Datenauthentizität

    CVE-2026-7792 Mittel

    Das WordPress-Plugin WPForms – Easy Form Builder ist über eine unzureichende Prüfung der Datenauthentizität angreifbar. Betroffen sind Versionen bis einschliesslich der genannten Fassung. Als betroffen ausgewiesen sind WordPress (Patchstack), WordPress (Wordfence), WordPress (WPScan) und Phoenix Contact. CVSS-Basiswert: 5.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: das Plugin auf eine korrigierte Version aktualisieren.

    CVSS: 5.3 EPSS: 0.04% Publiziert: Referenz: NVD
  18. CVE-2026-8991 – Stored XSS im Drag-and-Drop-Upload-Plugin (WordPress)

    CVE-2026-8991 Mittel

    Das WordPress-Plugin Drag and Drop Multiple File Upload for Contact Form 7 ist über die Einstellungen 'drag_n_drop_text' und 'drag_n_drop_browse_text' in allen betroffenen Versionen anfällig für Stored Cross-Site-Scripting. CVSS-Basiswert: 4.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: das Plugin auf eine korrigierte Version aktualisieren.

    CVSS: 4.4 EPSS: 0.04% Publiziert: Referenz: NVD
  19. Android – lokaler Denial of Service durch fehlende Eingabevalidierung (DataRowHandler)

    CVE-2026-0085 Mittel

    In der Funktion applySimpleFieldMaxSize von DataRowHandler.java ist es aufgrund fehlender Eingabevalidierung möglich, einen ungewöhnlich langen Kontaktnamen einzufügen. Dies kann zu einem lokalen Denial of Service führen. CVSS-Basiswert: 5.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 5.5 EPSS: 0.01% Publiziert: Referenz: NVD

Diesem Produkt-Feed folgen

Eigener RSS-Feed nur für Phoenix Contact, kostenlos und ohne Anmeldung. Zustellung per E-Mail, Webhook, REST oder TAXII richten wir auf Anfrage ein.

RSS-Feed öffnen Zustellung anfragen

Wie folge ich dem Feed?

  • 1 RSS-Feed-Link kopieren oder direkt im RSS-Reader öffnen.
  • 2 Priorisierte Reports (KEV · EPSS · CVSS) landen automatisch in Ihrem Reader.
  • 3 Zustellung per E-Mail, Webhook, REST oder TAXII auf Anfrage einrichten lassen.
Zurück zum Katalog