PHP
PHP gehört zur Kategorie „Server-Software, Middleware, Web". xonatec überwacht PHP kontinuierlich auf neue Sicherheitslücken, priorisiert jede Meldung nach aktiver Ausnutzung (KEV), Ausnutzungswahrscheinlichkeit (EPSS) und Schweregrad (CVSS) Im zugeschnittenen Bericht erhalten Sie ausschliesslich die Meldungen, die dieses Produkt betreffen.
Schwachstellen-Reports
265 ReportsZeige 1 bis 50 von 265
-
PHP-CGI Query String Parameter Vulnerability
CVE-2012-1823 Aktiv ausgenutztIn PHP-CGI wurde eine Schwachstelle in der Verarbeitung von Query-String-Parametern gefunden, die zur Codeausführung genutzt werden kann. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 100.0 %.
EPSS: 100.00% Publiziert: Referenz: CISA KEV -
PHP-CGI OS Command Injection Vulnerability
CVE-2024-4577 Aktiv ausgenutztIn PHP-CGI besteht eine OS-Command-Injection-Schwachstelle, die Angreifern die Ausführung beliebiger Betriebssystembefehle ermöglicht. Wird laut CISA KEV aktiv ausgenutzt und wurde dort am 2024-06-12 aufgenommen. Ausnutzungswahrscheinlichkeit (EPSS): 100.0 %. Empfohlene Massnahme: PHP gemäss PHP-Changelog auf eine korrigierte Version aktualisieren.
EPSS: 99.99% Publiziert: Referenz: CISA KEV -
PHPMailer Command Injection Vulnerability
CVE-2016-10033 Aktiv ausgenutztIn PHPMailer wurde eine Command-Injection-Schwachstelle entdeckt, die von Angreifern zur Ausführung beliebiger Befehle missbraucht werden kann. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 99.7 %.
EPSS: 99.71% Publiziert: Referenz: CISA KEV -
PHP FastCGI Process Manager (FPM) Buffer Overflow
CVE-2019-11043 Aktiv ausgenutztIm PHP FastCGI Process Manager (FPM) besteht eine Buffer-Overflow-Schwachstelle. Betroffen sind laut Quellenlage Produkte von Synology und PHP; Synology führt die Lücke im Advisory Synology-SA-19:36 (PHP). Wird laut CISA KEV aktiv ausgenutzt (aufgenommen am 2022-03-25). Ausnutzungswahrscheinlichkeit (EPSS): 99.5 %. Empfohlene Massnahme: die vom Hersteller bereitgestellten PHP-Updates gemäss Advisory einspielen.
EPSS: 99.47% Publiziert: Referenz: CISA KEV -
vBulletin PHP Module – Remote Code Execution
CVE-2019-16759 Aktiv ausgenutztIn vBulletin besteht eine Schwachstelle zur Remote-Code-Ausführung über ein PHP-Modul. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 94.4 %.
EPSS: 94.43% Publiziert: Referenz: CISA KEV -
Juniper Junos OS EX/SRX Series PHP External Variable Modification Vulnerability
CVE-2023-36845 Aktiv ausgenutztIn Juniper Junos OS auf EX-Series- und SRX-Series-Geräten wurde eine Schwachstelle zur Manipulation externer PHP-Variablen gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 94.4 %.
EPSS: 94.36% Publiziert: Referenz: CISA KEV -
Juniper Junos OS EX Series PHP External Variable Modification Vulnerability
CVE-2023-36844 Aktiv ausgenutztIn Juniper Junos OS auf EX-Series-Geräten wurde eine Schwachstelle zur Manipulation externer PHP-Variablen gemeldet. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 94.2 %.
EPSS: 94.22% Publiziert: Referenz: CISA KEV -
vBulletin PHP Module – Remote Code Execution
CVE-2020-17496 Aktiv ausgenutztIm vBulletin PHP-Modul besteht eine kritische Schwachstelle zur Remote Code Execution. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 94.2 %.
EPSS: 94.18% Publiziert: Referenz: CISA KEV -
Zimbra Collaboration Suite – PHP Remote File Inclusion (aktiv ausgenutzt)
CVE-2025-68645 Aktiv ausgenutztIn der Synacor Zimbra Collaboration Suite (ZCS) besteht eine PHP Remote File Inclusion-Schwachstelle, die das Einschleusen und Ausführen von Remote-PHP-Dateien ermöglicht. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 31.8 %.
EPSS: 31.77% Publiziert: Referenz: CISA KEV -
Vitec Flamingo: Nicht authentifizierte OS-Command-Injection in gen_graphs.php
CVE-2026-61498 KritischVitec Flamingo 4.12.2 enthält im Endpunkt admin/ajax/gen_graphs.php eine OS-Command-Injection, die ohne Authentifizierung ausgenutzt werden kann. Nicht authentifizierte Angreifer können darüber aus der Ferne beliebige Befehle ausführen. Der Angriff erfolgt über das Netzwerk ohne Rechte und ohne Benutzerinteraktion (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H). CVSS-Basiswert: 9.8 (Kritisch). Ein EPSS-Wert liegt in den Quelldaten nicht vor.
CVSS: 9.8 EPSS: 2.17% Publiziert: Referenz: NVD -
WordPress Background Image Cropper 1.2: Remote Code Execution über ups.php
CVE-2024-58348 KritischDas WordPress-Plugin Background Image Cropper in Version 1.2 enthält eine Schwachstelle zur Remote Code Execution: Nicht authentifizierte Angreifer können über den Endpunkt ups.php beliebige Dateien hochladen. Laut CVSS-Vektor ist die Lücke über das Netzwerk ohne Authentisierung und ohne Nutzerinteraktion ausnutzbar. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.8 %. Betroffene Installationen sollten anhand des NVD-Eintrags geprüft werden.
CVSS: 9.8 EPSS: 0.84% Publiziert: Referenz: NVD -
DedeCMS: Command Execution in file_manage_control.php
CVE-2026-38615 KritischDedeCMS in der Version V5.7.118 ist in der Datei file_manage_control.php für Command Execution anfällig. Angreifer können darüber Befehle auf dem Server ausführen. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.8 %. Die Quelldaten nennen keine fehlerbereinigte Version und keine konkrete Massnahme.
CVSS: 9.8 EPSS: 0.82% Publiziert: Referenz: NVD -
PHP SOAP – Use-after-free durch fehlerhaften Objekt-Deduplizierungsmechanismus
CVE-2026-6722 KritischIn PHP 8.2.x vor 8.2.31, 8.3.x vor 8.3.31, 8.4.x vor 8.4.21 und 8.5.x vor 8.5.6 speichert der Objekt-Deduplizierungsmechanismus der SOAP-Erweiterung Zeiger auf PHP-Objekte in einem globalen Speicher, was zu Use-after-free-Schwachstellen führen kann. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.7 %.
CVSS: 9.8 EPSS: 0.74% Publiziert: Referenz: NVD -
FileRise: Path Traversal im Shared-Folder-Upload führt zur Übernahme des Admin-Kontos
CVE-2026-54414 KritischFileRise vor Version 3.16.0 ist im Upload-Endpunkt für geteilte Ordner (/api/folder/uploadToSharedFolder.php) für Path Traversal anfällig. Angreifer können dadurch beliebige Dateien schreiben und das Administratorkonto übernehmen. Der Angriff erfolgt über das Netzwerk ohne Rechte und ohne Benutzerinteraktion (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H). CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.7 %. Empfohlene Massnahme: auf FileRise 3.16.0 oder neuer aktualisieren.
CVSS: 9.8 EPSS: 0.72% Publiziert: Referenz: NVD -
Bludit 3.19.0: Directory Traversal in api/plugin.php
CVE-2026-50869 KritischIn der Komponente api/plugin.php von Bludit v3.19.0 können Angreifer über eine speziell präparierte Anfrage einen Directory Traversal auslösen. CVSS-Basiswert: 9.8 (Kritisch). Der CVSS-Vektor (AV:N/AC:L/PR:N/UI:N) weist die Schwachstelle als über das Netzwerk ohne Authentifizierung und ohne Benutzerinteraktion ausnutzbar aus. Ausnutzungswahrscheinlichkeit (EPSS): 0.7 %.
CVSS: 9.8 EPSS: 0.72% Publiziert: Referenz: NVD -
Guardian language-system: Command Injection über den id-Parameter in subtitles.php
CVE-2026-34106 KritischDas Guardian language-system übergibt den GET-Parameter id in subtitles.php (Zeile 19) ungefiltert an einen PHP-exec()-Aufruf. Angreifer können darüber Betriebssystembefehle einschleusen. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.7 %. Empfohlene Massnahme: Den id-Parameter vor der Übergabe an exec() strikt validieren beziehungsweise maskieren; die Quelldaten nennen keine fehlerbereinigte Version.
CVSS: 9.8 EPSS: 0.68% Publiziert: Referenz: NVD -
Guardian language-system: Command Injection über exec() in translate.php
CVE-2026-34107 KritischDas Guardian language-system übergibt den GET-Parameter id in translate.php (Zeile 14) ohne Bereinigung an einen PHP-exec()-Aufruf. Angreifer können darüber eigene Betriebssystembefehle einschleusen. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.7 %. Empfohlene Massnahme: Herstellerhinweise beachten und den externen Zugriff auf die Anwendung einschränken.
CVSS: 9.8 EPSS: 0.68% Publiziert: Referenz: NVD -
WooCommerce 7.1.0: Remote Code Execution über den Parameter product-type
CVE-2022-50972 KritischWooCommerce 7.1.0 enthält laut Quellbeschreibung eine Schwachstelle zur Remote Code Execution: Angreifer können über den Parameter product-type Shell-Befehle einschleusen und dadurch beliebigen PHP-Code ausführen. Die Lücke ist ohne vorherige Authentifizierung über das Netzwerk erreichbar. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.6 %.
CVSS: 9.8 EPSS: 0.63% Publiziert: Referenz: NVD -
Bludit CMS vor 3.18.4: Remote Code Execution über das API-Plugin
CVE-2026-38329 KritischBludit CMS vor Version 3.18.4 erlaubt Remote Code Execution über das API-Plugin. Der Endpunkt POST /api/files/{key} in bl-plugins/api/plugin.php führt laut Quelle keine Autorisierungsprüfung durch. CVSS-Basiswert: 9.8 (Kritisch). Laut CVSS-Vektor ist die Lücke über das Netz ohne Authentifizierung und ohne Benutzerinteraktion ausnutzbar. Ausnutzungswahrscheinlichkeit (EPSS): 0.6 %. Empfohlene Massnahme: Aktualisierung auf Bludit CMS 3.18.4 oder neuer.
CVSS: 9.8 EPSS: 0.63% Publiziert: Referenz: NVD -
WordPress Seotheme: Remote Code Execution durch Upload schädlicher Dateien
CVE-2023-54352 KritischIm WordPress-Theme Seotheme besteht eine Schwachstelle zur Remote Code Execution: Nicht authentifizierte Angreifer können beliebigen PHP-Code ausführen, indem sie schädliche Dateien in das Theme-Verzeichnis hochladen. Der CVSS-Vektor weist die Lücke als über das Netzwerk, ohne Authentisierung und ohne Nutzerinteraktion ausnutzbar aus. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.6 %. Betroffene WordPress-Installationen sollten gemäss NVD-Eintrag geprüft werden.
CVSS: 9.8 EPSS: 0.61% Publiziert: Referenz: NVD -
WP Activity Log: unauthentifizierte PHP Object Injection
CVE-2026-54806 KritischIn WP Activity Log besteht eine PHP Object Injection, die ohne Authentifizierung ausgenutzt werden kann. Betroffen sind laut Quelle die Versionen bis einschliesslich 5.6.3.1. CVSS-Basiswert: 9.8 (Kritisch). Der CVSS-Vektor weist die Lücke als netzwerkbasiert, ohne Authentifizierung und ohne Nutzerinteraktion ausnutzbar aus. Ausnutzungswahrscheinlichkeit (EPSS): 0.6 %. Empfohlene Massnahme: auf eine Version neuer als 5.6.3.1 aktualisieren.
CVSS: 9.8 EPSS: 0.59% Publiziert: Referenz: NVD -
YesWiki: Unsichere Code-Ausführung im Bazar-Formularfeld-Rechner
CVE-2026-52778 KritischYesWiki ist ein in PHP geschriebenes Wiki-System. In Versionen vor 4.6.6 besteht laut NVD eine Schwachstelle mit unsicherer Code-Ausführung im Formularfeld-Rechner des Bazar-Moduls (CalcField.php); die dort eingesetzte Bereinigung der Eingaben greift nicht ausreichend. Der CVSS-Vektor weist die Lücke als über das Netzwerk, ohne Authentifizierung und ohne Benutzerinteraktion ausnutzbar aus. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.6 %.
CVSS: 9.8 EPSS: 0.56% Publiziert: Referenz: NVD -
WordPress-Plugin Insert PHP: PHP-Code-Injection über Shortcodes
CVE-2017-20251 KritischDas WordPress-Plugin Insert PHP enthält in Versionen vor 3.3.1 eine PHP-Code-Injection-Schwachstelle. Nicht authentifizierte Angreifer können durch Einschleusen präparierter Shortcodes beliebigen PHP-Code ausführen. CVSS-Basiswert: 9.8 (Kritisch) bei netzbasiertem Angriffsvektor ohne erforderliche Authentifizierung oder Nutzerinteraktion. Ausnutzungswahrscheinlichkeit (EPSS): 0.6 %. Empfohlene Massnahme: das Plugin auf Version 3.3.1 oder neuer aktualisieren.
CVSS: 9.8 EPSS: 0.56% Publiziert: Referenz: NVD -
Nifty bis 1.4.1: Unauthentifizierte PHP Object Injection
CVE-2026-27429 KritischIn Nifty in Versionen bis einschliesslich 1.4.1 besteht eine unauthentifizierte PHP Object Injection. Laut CVSS-Vektor ist die Schwachstelle über das Netzwerk ohne Authentisierung und ohne Nutzerinteraktion ausnutzbar und wirkt sich vollständig auf Vertraulichkeit, Integrität und Verfügbarkeit aus. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.6 %. Betroffene Installationen sollten anhand des NVD-Eintrags geprüft werden.
CVSS: 9.8 EPSS: 0.56% Publiziert: Referenz: NVD -
Guardian language-system: Command Injection über exec() in complex_start.php
CVE-2026-34110 KritischDas Guardian language-system übergibt den GET-Parameter 'id' in complex_start.php (Zeile 14) ungefiltert an einen PHP-exec()-Aufruf. Angreifende können darüber eigene Betriebssystembefehle ausführen lassen. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %.
CVSS: 9.8 EPSS: 0.55% Publiziert: Referenz: NVD -
Guardian language-system: Command-Injection über exec() in text.php
CVE-2026-34108 KritischDas Guardian language-system übergibt den GET-Parameter id laut Quellbeschreibung ohne Bereinigung an einen PHP-exec()-Aufruf in text.php (Zeile 15). Dadurch lassen sich Betriebssystembefehle einschleusen. Die Schwachstelle ist ohne Authentifizierung über das Netzwerk ausnutzbar. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %.
CVSS: 9.8 EPSS: 0.55% Publiziert: Referenz: NVD -
Guardian language-system: Command Injection über exec() in speechmac_text.php
CVE-2026-34111 KritischDas Guardian language-system übergibt den GET-Parameter id in speechmac_text.php (Zeile 18) ohne Bereinigung an einen PHP-exec()-Aufruf, wodurch Befehle eingeschleust werden können. Laut CVSS-Vektor ist die Schwachstelle über das Netzwerk ohne Authentisierung und ohne Nutzerinteraktion ausnutzbar, mit vollständiger Auswirkung auf Vertraulichkeit, Integrität und Verfügbarkeit. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Weitere Details sind dem NVD-Eintrag zu entnehmen.
CVSS: 9.8 EPSS: 0.55% Publiziert: Referenz: NVD -
Guardian language-system: Command-Injection über exec() in transcribe.php
CVE-2026-34116 KritischDas Guardian language-system übergibt den GET-Parameter id laut Quellbeschreibung ohne Bereinigung an einen PHP-exec()-Aufruf in transcribe.php (Zeile 15). Angreifer können darüber Betriebssystembefehle einschleusen. Die Lücke ist ohne Authentifizierung über das Netzwerk erreichbar. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %.
CVSS: 9.8 EPSS: 0.55% Publiziert: Referenz: NVD -
BUK TS-G Tankstellen-Automatisierung: Improper Authentication im Konfigurationsmodul
CVE-2026-12183 KritischDas Tankstellen-Automatisierungssystem BUK TS-G von Nefteprodukttekhnika enthält in den Versionen 2.9.1 bis 2.10.2 unter Linux eine Schwachstelle bei der Authentifizierung (CWE-287) im Modul zur Systemkonfiguration. Betroffen ist laut Quelle ein AJAX-Endpunkt unterhalb von /php/. CVSS-Basiswert: 9.8 (Kritisch). Laut CVSS-Vektor ist die Lücke über das Netz ohne Authentifizierung und ohne Benutzerinteraktion ausnutzbar. Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %.
CVSS: 9.8 EPSS: 0.55% Publiziert: Referenz: NVD -
Guardian language-system: Command Injection in speech.php
CVE-2026-34109 KritischDas Guardian language-system übergibt den GET-Parameter id in speech.php ungefiltert an einen PHP-exec()-Aufruf. Angreifende können darüber beliebige Betriebssystembefehle auf dem Server ausführen. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %.
CVSS: 9.8 EPSS: 0.54% Publiziert: Referenz: NVD -
Guardian language-system: Command Injection über den GET-Parameter id in speechmac.php
CVE-2026-34112 KritischDas Guardian language-system übergibt den GET-Parameter id in speechmac.php (Zeile 18) ohne Bereinigung an einen PHP-exec()-Aufruf. Angreifer können dadurch eigene Befehle in die Kommandozeile einschleusen. CVSS-Basiswert: 9.8 (Kritisch). Laut CVSS-Vektor ist die Lücke über das Netz ohne Authentifizierung und ohne Benutzerinteraktion ausnutzbar. Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %.
CVSS: 9.8 EPSS: 0.54% Publiziert: Referenz: NVD -
Guardian language-system: Command-Injection über exec() in speech_text.php
CVE-2026-34113 KritischDas Guardian language-system übergibt den GET-Parameter id in speech_text.php (Zeile 18) ohne Filterung an einen PHP-exec()-Aufruf. Angreifer können dadurch laut Quelle eigene Betriebssystembefehle einschleusen. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Laut CVSS-Vektor ist der Angriff ohne Authentifizierung und ohne Nutzerinteraktion über das Netz möglich.
CVSS: 9.8 EPSS: 0.54% Publiziert: Referenz: NVD -
Guardian language-system: Command Injection über den id-Parameter in translate_text.php
CVE-2026-34114 KritischDas Guardian language-system übergibt den GET-Parameter id in translate_text.php (Zeile 18) ungefiltert an einen PHP-exec()-Aufruf. Angreifer können darüber Betriebssystembefehle einschleusen. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: Den id-Parameter vor der Übergabe an exec() strikt validieren beziehungsweise maskieren; die Quelldaten nennen keine fehlerbereinigte Version.
CVSS: 9.8 EPSS: 0.54% Publiziert: Referenz: NVD -
Guardian language-system: Command Injection über exec() in transcribe_amazon.php
CVE-2026-34115 KritischDas Guardian language-system übergibt den GET-Parameter id in transcribe_amazon.php (Zeile 15) ohne Bereinigung an einen PHP-exec()-Aufruf. Angreifer können darüber eigene Betriebssystembefehle einschleusen. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: Herstellerhinweise beachten und den externen Zugriff auf die Anwendung einschränken.
CVSS: 9.8 EPSS: 0.54% Publiziert: Referenz: NVD -
Guardian language-system: Command Injection in text_to_subtitles.php
CVE-2026-34117 KritischDas Guardian language-system übergibt den GET-Parameter id in text_to_subtitles.php ungefiltert an einen PHP-exec()-Aufruf. Angreifende können darüber beliebige Betriebssystembefehle auf dem Server ausführen. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %.
CVSS: 9.8 EPSS: 0.54% Publiziert: Referenz: NVD -
BuddyBoss Platform: PHP Object Injection ab Subscriber-Rolle
CVE-2026-56032 KritischDie BuddyBoss Platform erlaubt in Versionen bis einschliesslich 3.0.4 eine PHP Object Injection, die bereits mit den Rechten der Subscriber-Rolle ausgelöst werden kann. Der CVSS-Vektor (AV:N/AC:L/PR:N/UI:N) beschreibt einen netzwerkbasierten Angriff ohne Authentifizierung und ohne Benutzerinteraktion mit vollständiger Auswirkung auf Vertraulichkeit, Integrität und Verfügbarkeit. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: auf eine Version neuer als 3.0.4 aktualisieren.
CVSS: 9.8 EPSS: 0.53% Publiziert: Referenz: NVD -
ThemeREX Addons: Unauthentifizierte PHP Object Injection
CVE-2025-60205 KritischThemeREX Addons in Versionen bis einschliesslich 2.36.1.1 ist von einer unauthentifizierten PHP Object Injection betroffen. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Laut CVSS-Vektor ist die Schwachstelle ohne Rechte und ohne Nutzerinteraktion über das Netz ausnutzbar. Betroffene Installationen sollten auf eine Version oberhalb der genannten Versionsspanne aktualisiert werden.
CVSS: 9.8 EPSS: 0.53% Publiziert: Referenz: NVD -
Hot Coffee: Nicht authentifizierte PHP Object Injection
CVE-2025-69108 KritischIn Hot Coffee bis einschliesslich Version 1.7 besteht eine PHP Object Injection, die ohne vorherige Authentifizierung ausgenutzt werden kann. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %.
CVSS: 9.8 EPSS: 0.53% Publiziert: Referenz: NVD -
Unauthenticated PHP Object Injection in SeaFood Company bis 1.4
CVE-2025-69122 KritischIn SeaFood Company bis einschliesslich Version 1.4 besteht eine PHP Object Injection, die ohne vorherige Authentifizierung ausgenutzt werden kann. CVSS-Basiswert: 9.8 (Kritisch). Laut CVSS-Vektor ist die Lücke über das Netz ohne Authentifizierung und ohne Benutzerinteraktion ausnutzbar. Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %.
CVSS: 9.8 EPSS: 0.53% Publiziert: Referenz: NVD -
DokuWiki 2025-05-14b Librarian: Kontoerstellung über die register-Funktion (vom Hersteller bestritten)
CVE-2026-37106 KritischIn DokuWiki 2025-05-14b Librarian 56.2 kann ein entfernter Angreifer über die register-Funktion in inc/auth.php ein Konto anlegen. Der Hersteller bestreitet die Meldung laut Quelldaten mit dem Hinweis, dass es sich um das beabsichtigte Verhalten handelt. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Angesichts der Herstellerbestreitung sollte vor Massnahmen die eigene Registrierungskonfiguration geprüft werden; Details im NVD-Eintrag.
CVSS: 9.8 EPSS: 0.51% Publiziert: Referenz: NVD -
AI Lab: Nicht authentifizierte PHP Object Injection
CVE-2026-42380 KritischIn AI Lab besteht laut Quellbeschreibung eine PHP Object Injection, die ohne vorherige Authentifizierung ausgenutzt werden kann. Betroffen sind die Versionen vor 5.4.2. Die Lücke ist über das Netzwerk und ohne Benutzerinteraktion erreichbar und wirkt sich auf Vertraulichkeit, Integrität und Verfügbarkeit aus. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: Auf Version 5.4.2 oder neuer aktualisieren.
CVSS: 9.8 EPSS: 0.51% Publiziert: Referenz: NVD -
WP Insightly: Nicht authentifizierte PHP Object Injection (<= 1.1.4)
CVE-2026-49085 KritischDas WordPress-Plugin WP Insightly for Contact Form 7, WPForms, Elementor, Formidable and Ninja Forms enthält in den Versionen bis einschliesslich 1.1.4 eine PHP Object Injection, die ohne Authentifizierung ausgenutzt werden kann. Der Angriff erfolgt über das Netzwerk ohne Rechte und ohne Benutzerinteraktion (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H). CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: auf eine Version neuer als 1.1.4 aktualisieren.
CVSS: 9.8 EPSS: 0.48% Publiziert: Referenz: NVD -
Integration for Keap/Infusionsoft und Formular-Plugins: Unauthentifizierte PHP Object Injection
CVE-2026-49104 KritischIn der Erweiterung Integration for Keap/Infusionsoft and Contact Form 7, WPForms, Elementor, Formidable, Ninja Forms besteht eine unauthentifizierte PHP Object Injection. Betroffen sind laut NVD alle Versionen bis einschliesslich 1.2.1. CVSS-Basiswert: 9.8 (Kritisch); der Angriff ist über das Netzwerk ohne Zugangsdaten und ohne Benutzerinteraktion möglich. Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: auf eine Version neuer als 1.2.1 aktualisieren.
CVSS: 9.8 EPSS: 0.48% Publiziert: Referenz: NVD -
WP Zendesk für Contact Form 7, WPForms, Elementor, Formidable und Ninja Forms: PHP Object Injection
CVE-2026-49105 KritischDas WordPress-Plugin WP Zendesk for Contact Form 7, WPForms, Elementor, Formidable and Ninja Forms erlaubt in Versionen bis einschliesslich 1.1.4 eine PHP Object Injection ohne vorherige Authentifizierung. Der CVSS-Vektor (AV:N/AC:L/PR:N/UI:N) beschreibt einen netzwerkbasierten Angriff ohne Authentifizierung und ohne Benutzerinteraktion mit vollständiger Auswirkung auf Vertraulichkeit, Integrität und Verfügbarkeit. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: auf eine Version neuer als 1.1.4 aktualisieren.
CVSS: 9.8 EPSS: 0.48% Publiziert: Referenz: NVD -
Integration for ActiveCampaign and Contact Form 7, WPForms, Elementor, Ninja Forms: unauthentifizierte PHP Object Injection
CVE-2026-9691 KritischIn der Erweiterung „Integration for ActiveCampaign and Contact Form 7, WPForms, Elementor, Ninja Forms“ besteht eine PHP Object Injection, die ohne Authentifizierung ausgenutzt werden kann. Betroffen sind laut Quelle die Versionen bis einschliesslich 1.1.1. CVSS-Basiswert: 9.8 (Kritisch). Der CVSS-Vektor weist die Lücke als netzwerkbasiert, ohne Authentifizierung und ohne Nutzerinteraktion ausnutzbar aus. Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: auf eine Version neuer als 1.1.1 aktualisieren.
CVSS: 9.8 EPSS: 0.48% Publiziert: Referenz: NVD -
Alexantr filemanager: Remote Code Execution über filemanager.php
CVE-2026-37637 KritischIn Alexantr filemanager v1.0 erlaubt eine Schwachstelle in der Komponente filemanager.php einem entfernten Angreifer die Ausführung beliebigen Codes. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: die betroffene Komponente nicht öffentlich erreichbar betreiben und den Einsatz der Software prüfen; in den Quelldaten ist keine fehlerbereinigte Version genannt.
CVSS: 9.1 EPSS: 0.47% Publiziert: Referenz: NVD -
PHP mbstring – NUL-Byte in Encoding-Name führt zu kritischer Schwachstelle
CVE-2026-6104 KritischIn PHP 8.4.x vor 8.4.21 und 8.5.x vor 8.5.6 wird ein in einem Encoding-Namen eingebettetes NUL-Byte, das an `mb_convert_encoding()` oder verwandte mbstring-Funktionen übergeben wird, nicht korrekt verarbeitet. Dies kann zu sicherheitsrelevanten Fehlern führen. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %.
CVSS: 9.1 EPSS: 0.47% Publiziert: Referenz: NVD -
JetEngine: nicht authentifizierte PHP Object Injection
CVE-2026-52706 KritischIn JetEngine besteht eine PHP Object Injection, die ohne vorherige Authentifizierung ausgelöst werden kann. Betroffen sind Versionen bis einschliesslich 3.8.10. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: auf eine Version neuer als 3.8.10 aktualisieren.
CVSS: 9.8 EPSS: 0.47% Publiziert: Referenz: NVD -
Guardian language-system: SQL-Injection in job_info.php
CVE-2026-34099 KritischDas Guardian language-system übergibt den GET-Parameter id in job_info.php (Zeile 16) ungefiltert an eine SQL-Abfrage. Eine Authentifizierung ist laut Quelle nicht erforderlich, sodass Angreifer aus der Ferne eigene SQL-Anweisungen einschleusen können. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: Herstellerhinweise beachten und den externen Zugriff auf die Anwendung einschränken.
CVSS: 9.8 EPSS: 0.46% Publiziert: Referenz: NVD -
Uncanny Automator Pro: PHP Object Injection durch Benutzer der Rolle Subscriber
CVE-2026-56057 KritischIn Uncanny Automator Pro besteht eine PHP Object Injection, die bereits von Konten mit der Rolle Subscriber ausgelöst werden kann. Betroffen sind Versionen bis einschliesslich 7.3.0.6. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: auf eine Version neuer als 7.3.0.6 aktualisieren.
CVSS: 9.8 EPSS: 0.43% Publiziert: Referenz: NVD
Diesem Produkt-Feed folgen
Eigener RSS-Feed nur für PHP, kostenlos und ohne Anmeldung. Zustellung per E-Mail, Webhook, REST oder TAXII richten wir auf Anfrage ein.
RSS-Feed öffnen Zustellung anfragenWie folge ich dem Feed?
- 1 RSS-Feed-Link kopieren oder direkt im RSS-Reader öffnen.
- 2 Priorisierte Reports (KEV · EPSS · CVSS) landen automatisch in Ihrem Reader.
- 3 Zustellung per E-Mail, Webhook, REST oder TAXII auf Anfrage einrichten lassen.