1.5 Aktiv ausgenutzte Lücken
Server-Software, Middleware, Web

PHP

Server-Software, Middleware, Web

PHP gehört zur Kategorie „Server-Software, Middleware, Web". xonatec überwacht PHP kontinuierlich auf neue Sicherheitslücken, priorisiert jede Meldung nach aktiver Ausnutzung (KEV), Ausnutzungswahrscheinlichkeit (EPSS) und Schweregrad (CVSS) Im zugeschnittenen Bericht erhalten Sie ausschliesslich die Meldungen, die dieses Produkt betreffen.

265
Reports
9
Aktiv ausgenutzt
Kritisch
Höchste Priorität
100.0%
Max. EPSS

Schwachstellen-Reports

265 Reports

Zeige 1 bis 50 von 265

  1. PHP-CGI Query String Parameter Vulnerability

    CVE-2012-1823 Aktiv ausgenutzt

    In PHP-CGI wurde eine Schwachstelle in der Verarbeitung von Query-String-Parametern gefunden, die zur Codeausführung genutzt werden kann. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 100.0 %.

    EPSS: 100.00% Publiziert: Referenz: CISA KEV
  2. PHP-CGI OS Command Injection Vulnerability

    CVE-2024-4577 Aktiv ausgenutzt

    In PHP-CGI besteht eine OS-Command-Injection-Schwachstelle, die Angreifern die Ausführung beliebiger Betriebssystembefehle ermöglicht. Wird laut CISA KEV aktiv ausgenutzt und wurde dort am 2024-06-12 aufgenommen. Ausnutzungswahrscheinlichkeit (EPSS): 100.0 %. Empfohlene Massnahme: PHP gemäss PHP-Changelog auf eine korrigierte Version aktualisieren.

    EPSS: 99.99% Publiziert: Referenz: CISA KEV
  3. PHPMailer Command Injection Vulnerability

    CVE-2016-10033 Aktiv ausgenutzt

    In PHPMailer wurde eine Command-Injection-Schwachstelle entdeckt, die von Angreifern zur Ausführung beliebiger Befehle missbraucht werden kann. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 99.7 %.

    EPSS: 99.71% Publiziert: Referenz: CISA KEV
  4. PHP FastCGI Process Manager (FPM) Buffer Overflow

    CVE-2019-11043 Aktiv ausgenutzt

    Im PHP FastCGI Process Manager (FPM) besteht eine Buffer-Overflow-Schwachstelle. Betroffen sind laut Quellenlage Produkte von Synology und PHP; Synology führt die Lücke im Advisory Synology-SA-19:36 (PHP). Wird laut CISA KEV aktiv ausgenutzt (aufgenommen am 2022-03-25). Ausnutzungswahrscheinlichkeit (EPSS): 99.5 %. Empfohlene Massnahme: die vom Hersteller bereitgestellten PHP-Updates gemäss Advisory einspielen.

    EPSS: 99.47% Publiziert: Referenz: CISA KEV
  5. vBulletin PHP Module – Remote Code Execution

    CVE-2019-16759 Aktiv ausgenutzt

    In vBulletin besteht eine Schwachstelle zur Remote-Code-Ausführung über ein PHP-Modul. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 94.4 %.

    EPSS: 94.43% Publiziert: Referenz: CISA KEV
  6. Juniper Junos OS EX/SRX Series PHP External Variable Modification Vulnerability

    CVE-2023-36845 Aktiv ausgenutzt

    In Juniper Junos OS auf EX-Series- und SRX-Series-Geräten wurde eine Schwachstelle zur Manipulation externer PHP-Variablen gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 94.4 %.

    EPSS: 94.36% Publiziert: Referenz: CISA KEV
  7. Juniper Junos OS EX Series PHP External Variable Modification Vulnerability

    CVE-2023-36844 Aktiv ausgenutzt

    In Juniper Junos OS auf EX-Series-Geräten wurde eine Schwachstelle zur Manipulation externer PHP-Variablen gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 94.2 %.

    EPSS: 94.22% Publiziert: Referenz: CISA KEV
  8. vBulletin PHP Module – Remote Code Execution

    CVE-2020-17496 Aktiv ausgenutzt

    Im vBulletin PHP-Modul besteht eine kritische Schwachstelle zur Remote Code Execution. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 94.2 %.

    EPSS: 94.18% Publiziert: Referenz: CISA KEV
  9. Zimbra Collaboration Suite – PHP Remote File Inclusion (aktiv ausgenutzt)

    CVE-2025-68645 Aktiv ausgenutzt

    In der Synacor Zimbra Collaboration Suite (ZCS) besteht eine PHP Remote File Inclusion-Schwachstelle, die das Einschleusen und Ausführen von Remote-PHP-Dateien ermöglicht. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 31.8 %.

    EPSS: 31.77% Publiziert: Referenz: CISA KEV
  10. Vitec Flamingo: Nicht authentifizierte OS-Command-Injection in gen_graphs.php

    CVE-2026-61498 Kritisch

    Vitec Flamingo 4.12.2 enthält im Endpunkt admin/ajax/gen_graphs.php eine OS-Command-Injection, die ohne Authentifizierung ausgenutzt werden kann. Nicht authentifizierte Angreifer können darüber aus der Ferne beliebige Befehle ausführen. Der Angriff erfolgt über das Netzwerk ohne Rechte und ohne Benutzerinteraktion (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H). CVSS-Basiswert: 9.8 (Kritisch). Ein EPSS-Wert liegt in den Quelldaten nicht vor.

    CVSS: 9.8 EPSS: 2.17% Publiziert: Referenz: NVD
  11. WordPress Background Image Cropper 1.2: Remote Code Execution über ups.php

    CVE-2024-58348 Kritisch

    Das WordPress-Plugin Background Image Cropper in Version 1.2 enthält eine Schwachstelle zur Remote Code Execution: Nicht authentifizierte Angreifer können über den Endpunkt ups.php beliebige Dateien hochladen. Laut CVSS-Vektor ist die Lücke über das Netzwerk ohne Authentisierung und ohne Nutzerinteraktion ausnutzbar. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.8 %. Betroffene Installationen sollten anhand des NVD-Eintrags geprüft werden.

    CVSS: 9.8 EPSS: 0.84% Publiziert: Referenz: NVD
  12. DedeCMS: Command Execution in file_manage_control.php

    CVE-2026-38615 Kritisch

    DedeCMS in der Version V5.7.118 ist in der Datei file_manage_control.php für Command Execution anfällig. Angreifer können darüber Befehle auf dem Server ausführen. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.8 %. Die Quelldaten nennen keine fehlerbereinigte Version und keine konkrete Massnahme.

    CVSS: 9.8 EPSS: 0.82% Publiziert: Referenz: NVD
  13. PHP SOAP – Use-after-free durch fehlerhaften Objekt-Deduplizierungsmechanismus

    CVE-2026-6722 Kritisch

    In PHP 8.2.x vor 8.2.31, 8.3.x vor 8.3.31, 8.4.x vor 8.4.21 und 8.5.x vor 8.5.6 speichert der Objekt-Deduplizierungsmechanismus der SOAP-Erweiterung Zeiger auf PHP-Objekte in einem globalen Speicher, was zu Use-after-free-Schwachstellen führen kann. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.7 %.

    CVSS: 9.8 EPSS: 0.74% Publiziert: Referenz: NVD
  14. FileRise: Path Traversal im Shared-Folder-Upload führt zur Übernahme des Admin-Kontos

    CVE-2026-54414 Kritisch

    FileRise vor Version 3.16.0 ist im Upload-Endpunkt für geteilte Ordner (/api/folder/uploadToSharedFolder.php) für Path Traversal anfällig. Angreifer können dadurch beliebige Dateien schreiben und das Administratorkonto übernehmen. Der Angriff erfolgt über das Netzwerk ohne Rechte und ohne Benutzerinteraktion (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H). CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.7 %. Empfohlene Massnahme: auf FileRise 3.16.0 oder neuer aktualisieren.

    CVSS: 9.8 EPSS: 0.72% Publiziert: Referenz: NVD
  15. Bludit 3.19.0: Directory Traversal in api/plugin.php

    CVE-2026-50869 Kritisch

    In der Komponente api/plugin.php von Bludit v3.19.0 können Angreifer über eine speziell präparierte Anfrage einen Directory Traversal auslösen. CVSS-Basiswert: 9.8 (Kritisch). Der CVSS-Vektor (AV:N/AC:L/PR:N/UI:N) weist die Schwachstelle als über das Netzwerk ohne Authentifizierung und ohne Benutzerinteraktion ausnutzbar aus. Ausnutzungswahrscheinlichkeit (EPSS): 0.7 %.

    CVSS: 9.8 EPSS: 0.72% Publiziert: Referenz: NVD
  16. Guardian language-system: Command Injection über den id-Parameter in subtitles.php

    CVE-2026-34106 Kritisch

    Das Guardian language-system übergibt den GET-Parameter id in subtitles.php (Zeile 19) ungefiltert an einen PHP-exec()-Aufruf. Angreifer können darüber Betriebssystembefehle einschleusen. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.7 %. Empfohlene Massnahme: Den id-Parameter vor der Übergabe an exec() strikt validieren beziehungsweise maskieren; die Quelldaten nennen keine fehlerbereinigte Version.

    CVSS: 9.8 EPSS: 0.68% Publiziert: Referenz: NVD
  17. Guardian language-system: Command Injection über exec() in translate.php

    CVE-2026-34107 Kritisch

    Das Guardian language-system übergibt den GET-Parameter id in translate.php (Zeile 14) ohne Bereinigung an einen PHP-exec()-Aufruf. Angreifer können darüber eigene Betriebssystembefehle einschleusen. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.7 %. Empfohlene Massnahme: Herstellerhinweise beachten und den externen Zugriff auf die Anwendung einschränken.

    CVSS: 9.8 EPSS: 0.68% Publiziert: Referenz: NVD
  18. WooCommerce 7.1.0: Remote Code Execution über den Parameter product-type

    CVE-2022-50972 Kritisch

    WooCommerce 7.1.0 enthält laut Quellbeschreibung eine Schwachstelle zur Remote Code Execution: Angreifer können über den Parameter product-type Shell-Befehle einschleusen und dadurch beliebigen PHP-Code ausführen. Die Lücke ist ohne vorherige Authentifizierung über das Netzwerk erreichbar. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.6 %.

    CVSS: 9.8 EPSS: 0.63% Publiziert: Referenz: NVD
  19. Bludit CMS vor 3.18.4: Remote Code Execution über das API-Plugin

    CVE-2026-38329 Kritisch

    Bludit CMS vor Version 3.18.4 erlaubt Remote Code Execution über das API-Plugin. Der Endpunkt POST /api/files/{key} in bl-plugins/api/plugin.php führt laut Quelle keine Autorisierungsprüfung durch. CVSS-Basiswert: 9.8 (Kritisch). Laut CVSS-Vektor ist die Lücke über das Netz ohne Authentifizierung und ohne Benutzerinteraktion ausnutzbar. Ausnutzungswahrscheinlichkeit (EPSS): 0.6 %. Empfohlene Massnahme: Aktualisierung auf Bludit CMS 3.18.4 oder neuer.

    CVSS: 9.8 EPSS: 0.63% Publiziert: Referenz: NVD
  20. WordPress Seotheme: Remote Code Execution durch Upload schädlicher Dateien

    CVE-2023-54352 Kritisch

    Im WordPress-Theme Seotheme besteht eine Schwachstelle zur Remote Code Execution: Nicht authentifizierte Angreifer können beliebigen PHP-Code ausführen, indem sie schädliche Dateien in das Theme-Verzeichnis hochladen. Der CVSS-Vektor weist die Lücke als über das Netzwerk, ohne Authentisierung und ohne Nutzerinteraktion ausnutzbar aus. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.6 %. Betroffene WordPress-Installationen sollten gemäss NVD-Eintrag geprüft werden.

    CVSS: 9.8 EPSS: 0.61% Publiziert: Referenz: NVD
  21. WP Activity Log: unauthentifizierte PHP Object Injection

    CVE-2026-54806 Kritisch

    In WP Activity Log besteht eine PHP Object Injection, die ohne Authentifizierung ausgenutzt werden kann. Betroffen sind laut Quelle die Versionen bis einschliesslich 5.6.3.1. CVSS-Basiswert: 9.8 (Kritisch). Der CVSS-Vektor weist die Lücke als netzwerkbasiert, ohne Authentifizierung und ohne Nutzerinteraktion ausnutzbar aus. Ausnutzungswahrscheinlichkeit (EPSS): 0.6 %. Empfohlene Massnahme: auf eine Version neuer als 5.6.3.1 aktualisieren.

    CVSS: 9.8 EPSS: 0.59% Publiziert: Referenz: NVD
  22. YesWiki: Unsichere Code-Ausführung im Bazar-Formularfeld-Rechner

    CVE-2026-52778 Kritisch

    YesWiki ist ein in PHP geschriebenes Wiki-System. In Versionen vor 4.6.6 besteht laut NVD eine Schwachstelle mit unsicherer Code-Ausführung im Formularfeld-Rechner des Bazar-Moduls (CalcField.php); die dort eingesetzte Bereinigung der Eingaben greift nicht ausreichend. Der CVSS-Vektor weist die Lücke als über das Netzwerk, ohne Authentifizierung und ohne Benutzerinteraktion ausnutzbar aus. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.6 %.

    CVSS: 9.8 EPSS: 0.56% Publiziert: Referenz: NVD
  23. WordPress-Plugin Insert PHP: PHP-Code-Injection über Shortcodes

    CVE-2017-20251 Kritisch

    Das WordPress-Plugin Insert PHP enthält in Versionen vor 3.3.1 eine PHP-Code-Injection-Schwachstelle. Nicht authentifizierte Angreifer können durch Einschleusen präparierter Shortcodes beliebigen PHP-Code ausführen. CVSS-Basiswert: 9.8 (Kritisch) bei netzbasiertem Angriffsvektor ohne erforderliche Authentifizierung oder Nutzerinteraktion. Ausnutzungswahrscheinlichkeit (EPSS): 0.6 %. Empfohlene Massnahme: das Plugin auf Version 3.3.1 oder neuer aktualisieren.

    CVSS: 9.8 EPSS: 0.56% Publiziert: Referenz: NVD
  24. Nifty bis 1.4.1: Unauthentifizierte PHP Object Injection

    CVE-2026-27429 Kritisch

    In Nifty in Versionen bis einschliesslich 1.4.1 besteht eine unauthentifizierte PHP Object Injection. Laut CVSS-Vektor ist die Schwachstelle über das Netzwerk ohne Authentisierung und ohne Nutzerinteraktion ausnutzbar und wirkt sich vollständig auf Vertraulichkeit, Integrität und Verfügbarkeit aus. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.6 %. Betroffene Installationen sollten anhand des NVD-Eintrags geprüft werden.

    CVSS: 9.8 EPSS: 0.56% Publiziert: Referenz: NVD
  25. Guardian language-system: Command Injection über exec() in complex_start.php

    CVE-2026-34110 Kritisch

    Das Guardian language-system übergibt den GET-Parameter 'id' in complex_start.php (Zeile 14) ungefiltert an einen PHP-exec()-Aufruf. Angreifende können darüber eigene Betriebssystembefehle ausführen lassen. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %.

    CVSS: 9.8 EPSS: 0.55% Publiziert: Referenz: NVD
  26. Guardian language-system: Command-Injection über exec() in text.php

    CVE-2026-34108 Kritisch

    Das Guardian language-system übergibt den GET-Parameter id laut Quellbeschreibung ohne Bereinigung an einen PHP-exec()-Aufruf in text.php (Zeile 15). Dadurch lassen sich Betriebssystembefehle einschleusen. Die Schwachstelle ist ohne Authentifizierung über das Netzwerk ausnutzbar. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %.

    CVSS: 9.8 EPSS: 0.55% Publiziert: Referenz: NVD
  27. Guardian language-system: Command Injection über exec() in speechmac_text.php

    CVE-2026-34111 Kritisch

    Das Guardian language-system übergibt den GET-Parameter id in speechmac_text.php (Zeile 18) ohne Bereinigung an einen PHP-exec()-Aufruf, wodurch Befehle eingeschleust werden können. Laut CVSS-Vektor ist die Schwachstelle über das Netzwerk ohne Authentisierung und ohne Nutzerinteraktion ausnutzbar, mit vollständiger Auswirkung auf Vertraulichkeit, Integrität und Verfügbarkeit. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Weitere Details sind dem NVD-Eintrag zu entnehmen.

    CVSS: 9.8 EPSS: 0.55% Publiziert: Referenz: NVD
  28. Guardian language-system: Command-Injection über exec() in transcribe.php

    CVE-2026-34116 Kritisch

    Das Guardian language-system übergibt den GET-Parameter id laut Quellbeschreibung ohne Bereinigung an einen PHP-exec()-Aufruf in transcribe.php (Zeile 15). Angreifer können darüber Betriebssystembefehle einschleusen. Die Lücke ist ohne Authentifizierung über das Netzwerk erreichbar. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %.

    CVSS: 9.8 EPSS: 0.55% Publiziert: Referenz: NVD
  29. BUK TS-G Tankstellen-Automatisierung: Improper Authentication im Konfigurationsmodul

    CVE-2026-12183 Kritisch

    Das Tankstellen-Automatisierungssystem BUK TS-G von Nefteprodukttekhnika enthält in den Versionen 2.9.1 bis 2.10.2 unter Linux eine Schwachstelle bei der Authentifizierung (CWE-287) im Modul zur Systemkonfiguration. Betroffen ist laut Quelle ein AJAX-Endpunkt unterhalb von /php/. CVSS-Basiswert: 9.8 (Kritisch). Laut CVSS-Vektor ist die Lücke über das Netz ohne Authentifizierung und ohne Benutzerinteraktion ausnutzbar. Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %.

    CVSS: 9.8 EPSS: 0.55% Publiziert: Referenz: NVD
  30. Guardian language-system: Command Injection in speech.php

    CVE-2026-34109 Kritisch

    Das Guardian language-system übergibt den GET-Parameter id in speech.php ungefiltert an einen PHP-exec()-Aufruf. Angreifende können darüber beliebige Betriebssystembefehle auf dem Server ausführen. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %.

    CVSS: 9.8 EPSS: 0.54% Publiziert: Referenz: NVD
  31. Guardian language-system: Command Injection über den GET-Parameter id in speechmac.php

    CVE-2026-34112 Kritisch

    Das Guardian language-system übergibt den GET-Parameter id in speechmac.php (Zeile 18) ohne Bereinigung an einen PHP-exec()-Aufruf. Angreifer können dadurch eigene Befehle in die Kommandozeile einschleusen. CVSS-Basiswert: 9.8 (Kritisch). Laut CVSS-Vektor ist die Lücke über das Netz ohne Authentifizierung und ohne Benutzerinteraktion ausnutzbar. Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %.

    CVSS: 9.8 EPSS: 0.54% Publiziert: Referenz: NVD
  32. Guardian language-system: Command-Injection über exec() in speech_text.php

    CVE-2026-34113 Kritisch

    Das Guardian language-system übergibt den GET-Parameter id in speech_text.php (Zeile 18) ohne Filterung an einen PHP-exec()-Aufruf. Angreifer können dadurch laut Quelle eigene Betriebssystembefehle einschleusen. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Laut CVSS-Vektor ist der Angriff ohne Authentifizierung und ohne Nutzerinteraktion über das Netz möglich.

    CVSS: 9.8 EPSS: 0.54% Publiziert: Referenz: NVD
  33. Guardian language-system: Command Injection über den id-Parameter in translate_text.php

    CVE-2026-34114 Kritisch

    Das Guardian language-system übergibt den GET-Parameter id in translate_text.php (Zeile 18) ungefiltert an einen PHP-exec()-Aufruf. Angreifer können darüber Betriebssystembefehle einschleusen. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: Den id-Parameter vor der Übergabe an exec() strikt validieren beziehungsweise maskieren; die Quelldaten nennen keine fehlerbereinigte Version.

    CVSS: 9.8 EPSS: 0.54% Publiziert: Referenz: NVD
  34. Guardian language-system: Command Injection über exec() in transcribe_amazon.php

    CVE-2026-34115 Kritisch

    Das Guardian language-system übergibt den GET-Parameter id in transcribe_amazon.php (Zeile 15) ohne Bereinigung an einen PHP-exec()-Aufruf. Angreifer können darüber eigene Betriebssystembefehle einschleusen. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: Herstellerhinweise beachten und den externen Zugriff auf die Anwendung einschränken.

    CVSS: 9.8 EPSS: 0.54% Publiziert: Referenz: NVD
  35. Guardian language-system: Command Injection in text_to_subtitles.php

    CVE-2026-34117 Kritisch

    Das Guardian language-system übergibt den GET-Parameter id in text_to_subtitles.php ungefiltert an einen PHP-exec()-Aufruf. Angreifende können darüber beliebige Betriebssystembefehle auf dem Server ausführen. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %.

    CVSS: 9.8 EPSS: 0.54% Publiziert: Referenz: NVD
  36. BuddyBoss Platform: PHP Object Injection ab Subscriber-Rolle

    CVE-2026-56032 Kritisch

    Die BuddyBoss Platform erlaubt in Versionen bis einschliesslich 3.0.4 eine PHP Object Injection, die bereits mit den Rechten der Subscriber-Rolle ausgelöst werden kann. Der CVSS-Vektor (AV:N/AC:L/PR:N/UI:N) beschreibt einen netzwerkbasierten Angriff ohne Authentifizierung und ohne Benutzerinteraktion mit vollständiger Auswirkung auf Vertraulichkeit, Integrität und Verfügbarkeit. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: auf eine Version neuer als 3.0.4 aktualisieren.

    CVSS: 9.8 EPSS: 0.53% Publiziert: Referenz: NVD
  37. ThemeREX Addons: Unauthentifizierte PHP Object Injection

    CVE-2025-60205 Kritisch

    ThemeREX Addons in Versionen bis einschliesslich 2.36.1.1 ist von einer unauthentifizierten PHP Object Injection betroffen. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Laut CVSS-Vektor ist die Schwachstelle ohne Rechte und ohne Nutzerinteraktion über das Netz ausnutzbar. Betroffene Installationen sollten auf eine Version oberhalb der genannten Versionsspanne aktualisiert werden.

    CVSS: 9.8 EPSS: 0.53% Publiziert: Referenz: NVD
  38. Hot Coffee: Nicht authentifizierte PHP Object Injection

    CVE-2025-69108 Kritisch

    In Hot Coffee bis einschliesslich Version 1.7 besteht eine PHP Object Injection, die ohne vorherige Authentifizierung ausgenutzt werden kann. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %.

    CVSS: 9.8 EPSS: 0.53% Publiziert: Referenz: NVD
  39. Unauthenticated PHP Object Injection in SeaFood Company bis 1.4

    CVE-2025-69122 Kritisch

    In SeaFood Company bis einschliesslich Version 1.4 besteht eine PHP Object Injection, die ohne vorherige Authentifizierung ausgenutzt werden kann. CVSS-Basiswert: 9.8 (Kritisch). Laut CVSS-Vektor ist die Lücke über das Netz ohne Authentifizierung und ohne Benutzerinteraktion ausnutzbar. Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %.

    CVSS: 9.8 EPSS: 0.53% Publiziert: Referenz: NVD
  40. DokuWiki 2025-05-14b Librarian: Kontoerstellung über die register-Funktion (vom Hersteller bestritten)

    CVE-2026-37106 Kritisch

    In DokuWiki 2025-05-14b Librarian 56.2 kann ein entfernter Angreifer über die register-Funktion in inc/auth.php ein Konto anlegen. Der Hersteller bestreitet die Meldung laut Quelldaten mit dem Hinweis, dass es sich um das beabsichtigte Verhalten handelt. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Angesichts der Herstellerbestreitung sollte vor Massnahmen die eigene Registrierungskonfiguration geprüft werden; Details im NVD-Eintrag.

    CVSS: 9.8 EPSS: 0.51% Publiziert: Referenz: NVD
  41. AI Lab: Nicht authentifizierte PHP Object Injection

    CVE-2026-42380 Kritisch

    In AI Lab besteht laut Quellbeschreibung eine PHP Object Injection, die ohne vorherige Authentifizierung ausgenutzt werden kann. Betroffen sind die Versionen vor 5.4.2. Die Lücke ist über das Netzwerk und ohne Benutzerinteraktion erreichbar und wirkt sich auf Vertraulichkeit, Integrität und Verfügbarkeit aus. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: Auf Version 5.4.2 oder neuer aktualisieren.

    CVSS: 9.8 EPSS: 0.51% Publiziert: Referenz: NVD
  42. WP Insightly: Nicht authentifizierte PHP Object Injection (<= 1.1.4)

    CVE-2026-49085 Kritisch

    Das WordPress-Plugin WP Insightly for Contact Form 7, WPForms, Elementor, Formidable and Ninja Forms enthält in den Versionen bis einschliesslich 1.1.4 eine PHP Object Injection, die ohne Authentifizierung ausgenutzt werden kann. Der Angriff erfolgt über das Netzwerk ohne Rechte und ohne Benutzerinteraktion (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H). CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: auf eine Version neuer als 1.1.4 aktualisieren.

    CVSS: 9.8 EPSS: 0.48% Publiziert: Referenz: NVD
  43. Integration for Keap/Infusionsoft und Formular-Plugins: Unauthentifizierte PHP Object Injection

    CVE-2026-49104 Kritisch

    In der Erweiterung Integration for Keap/Infusionsoft and Contact Form 7, WPForms, Elementor, Formidable, Ninja Forms besteht eine unauthentifizierte PHP Object Injection. Betroffen sind laut NVD alle Versionen bis einschliesslich 1.2.1. CVSS-Basiswert: 9.8 (Kritisch); der Angriff ist über das Netzwerk ohne Zugangsdaten und ohne Benutzerinteraktion möglich. Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: auf eine Version neuer als 1.2.1 aktualisieren.

    CVSS: 9.8 EPSS: 0.48% Publiziert: Referenz: NVD
  44. WP Zendesk für Contact Form 7, WPForms, Elementor, Formidable und Ninja Forms: PHP Object Injection

    CVE-2026-49105 Kritisch

    Das WordPress-Plugin WP Zendesk for Contact Form 7, WPForms, Elementor, Formidable and Ninja Forms erlaubt in Versionen bis einschliesslich 1.1.4 eine PHP Object Injection ohne vorherige Authentifizierung. Der CVSS-Vektor (AV:N/AC:L/PR:N/UI:N) beschreibt einen netzwerkbasierten Angriff ohne Authentifizierung und ohne Benutzerinteraktion mit vollständiger Auswirkung auf Vertraulichkeit, Integrität und Verfügbarkeit. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: auf eine Version neuer als 1.1.4 aktualisieren.

    CVSS: 9.8 EPSS: 0.48% Publiziert: Referenz: NVD
  45. Integration for ActiveCampaign and Contact Form 7, WPForms, Elementor, Ninja Forms: unauthentifizierte PHP Object Injection

    CVE-2026-9691 Kritisch

    In der Erweiterung „Integration for ActiveCampaign and Contact Form 7, WPForms, Elementor, Ninja Forms“ besteht eine PHP Object Injection, die ohne Authentifizierung ausgenutzt werden kann. Betroffen sind laut Quelle die Versionen bis einschliesslich 1.1.1. CVSS-Basiswert: 9.8 (Kritisch). Der CVSS-Vektor weist die Lücke als netzwerkbasiert, ohne Authentifizierung und ohne Nutzerinteraktion ausnutzbar aus. Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: auf eine Version neuer als 1.1.1 aktualisieren.

    CVSS: 9.8 EPSS: 0.48% Publiziert: Referenz: NVD
  46. Alexantr filemanager: Remote Code Execution über filemanager.php

    CVE-2026-37637 Kritisch

    In Alexantr filemanager v1.0 erlaubt eine Schwachstelle in der Komponente filemanager.php einem entfernten Angreifer die Ausführung beliebigen Codes. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: die betroffene Komponente nicht öffentlich erreichbar betreiben und den Einsatz der Software prüfen; in den Quelldaten ist keine fehlerbereinigte Version genannt.

    CVSS: 9.1 EPSS: 0.47% Publiziert: Referenz: NVD
  47. PHP mbstring – NUL-Byte in Encoding-Name führt zu kritischer Schwachstelle

    CVE-2026-6104 Kritisch

    In PHP 8.4.x vor 8.4.21 und 8.5.x vor 8.5.6 wird ein in einem Encoding-Namen eingebettetes NUL-Byte, das an `mb_convert_encoding()` oder verwandte mbstring-Funktionen übergeben wird, nicht korrekt verarbeitet. Dies kann zu sicherheitsrelevanten Fehlern führen. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %.

    CVSS: 9.1 EPSS: 0.47% Publiziert: Referenz: NVD
  48. JetEngine: nicht authentifizierte PHP Object Injection

    CVE-2026-52706 Kritisch

    In JetEngine besteht eine PHP Object Injection, die ohne vorherige Authentifizierung ausgelöst werden kann. Betroffen sind Versionen bis einschliesslich 3.8.10. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: auf eine Version neuer als 3.8.10 aktualisieren.

    CVSS: 9.8 EPSS: 0.47% Publiziert: Referenz: NVD
  49. Guardian language-system: SQL-Injection in job_info.php

    CVE-2026-34099 Kritisch

    Das Guardian language-system übergibt den GET-Parameter id in job_info.php (Zeile 16) ungefiltert an eine SQL-Abfrage. Eine Authentifizierung ist laut Quelle nicht erforderlich, sodass Angreifer aus der Ferne eigene SQL-Anweisungen einschleusen können. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: Herstellerhinweise beachten und den externen Zugriff auf die Anwendung einschränken.

    CVSS: 9.8 EPSS: 0.46% Publiziert: Referenz: NVD
  50. Uncanny Automator Pro: PHP Object Injection durch Benutzer der Rolle Subscriber

    CVE-2026-56057 Kritisch

    In Uncanny Automator Pro besteht eine PHP Object Injection, die bereits von Konten mit der Rolle Subscriber ausgelöst werden kann. Betroffen sind Versionen bis einschliesslich 7.3.0.6. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: auf eine Version neuer als 7.3.0.6 aktualisieren.

    CVSS: 9.8 EPSS: 0.43% Publiziert: Referenz: NVD

Diesem Produkt-Feed folgen

Eigener RSS-Feed nur für PHP, kostenlos und ohne Anmeldung. Zustellung per E-Mail, Webhook, REST oder TAXII richten wir auf Anfrage ein.

RSS-Feed öffnen Zustellung anfragen

Wie folge ich dem Feed?

  • 1 RSS-Feed-Link kopieren oder direkt im RSS-Reader öffnen.
  • 2 Priorisierte Reports (KEV · EPSS · CVSS) landen automatisch in Ihrem Reader.
  • 3 Zustellung per E-Mail, Webhook, REST oder TAXII auf Anfrage einrichten lassen.
Zurück zum Katalog