1.5 Aktiv ausgenutzte Lücken
Server-Software, Middleware, Web

PHP Seite 2

Server-Software, Middleware, Web
265
Reports
10
Aktiv ausgenutzt
Kritisch
Höchste Priorität
100.0%
Max. EPSS

Schwachstellen-Reports

265 Reports

Zeige 51 bis 100 von 265

  1. Uncanny Automator Pro: PHP Object Injection durch Benutzer der Rolle Subscriber

    CVE-2026-56057 Kritisch

    In Uncanny Automator Pro besteht eine PHP Object Injection, die bereits von Konten mit der Rolle Subscriber ausgelöst werden kann. Betroffen sind Versionen bis einschliesslich 7.3.0.6. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: auf eine Version neuer als 7.3.0.6 aktualisieren.

    CVSS: 9.8 EPSS: 0.43% Publiziert: Referenz: NVD
  2. Plumbing: Unauthentifizierte PHP Object Injection

    CVE-2025-69127 Kritisch

    Plumbing in Versionen bis einschliesslich 1.6 ist von einer unauthentifizierten PHP Object Injection betroffen. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Laut CVSS-Vektor ist der Angriff über das Netz, ohne Rechte und ohne Nutzerinteraktion möglich. Betroffene Installationen sollten auf eine Version oberhalb der genannten Versionsspanne aktualisiert werden.

    CVSS: 9.8 EPSS: 0.39% Publiziert: Referenz: NVD
  3. Reisen bis 1.4.1: Unauthentifizierte PHP Object Injection

    CVE-2025-69111 Kritisch

    In Reisen in Versionen bis einschliesslich 1.4.1 besteht eine unauthentifizierte PHP Object Injection. Laut CVSS-Vektor ist die Schwachstelle über das Netzwerk ohne Authentisierung und ohne Nutzerinteraktion ausnutzbar und wirkt sich vollständig auf Vertraulichkeit, Integrität und Verfügbarkeit aus. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Betroffene Installationen sollten anhand des NVD-Eintrags geprüft werden.

    CVSS: 9.8 EPSS: 0.39% Publiziert: Referenz: NVD
  4. Fusion Builder: PHP Object Injection durch Benutzer mit Contributor-Rechten

    CVE-2026-54194 Kritisch

    Fusion Builder ist für eine PHP Object Injection anfällig, die von Konten mit Contributor-Rechten ausgenutzt werden kann. Betroffen sind laut Quelle alle Versionen bis einschliesslich 3.15.4. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.

    CVSS: 9.8 EPSS: 0.39% Publiziert: Referenz: NVD
  5. Broadcast Live Video vor 7.1.3: Unauthentifizierte PHP Object Injection

    CVE-2026-27053 Kritisch

    Broadcast Live Video ist in Versionen vor 7.1.3 für unauthentifizierte PHP Object Injection anfällig. Angreifende benötigen dafür keine gültige Anmeldung. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: Aktualisierung auf Version 7.1.3 oder neuer.

    CVSS: 9.8 EPSS: 0.39% Publiziert: Referenz: NVD
  6. Integration for Salesforce and Contact Form 7: Unauthentifizierte PHP Object Injection

    CVE-2026-49109 Kritisch

    Das Plugin Integration for Salesforce and Contact Form 7, WPForms, Elementor, Formidable, Ninja Forms erlaubt eine PHP Object Injection ohne vorherige Authentifizierung. Betroffen sind laut Quelle alle Versionen bis einschliesslich 1.4.3. CVSS-Basiswert: 9.8 (Kritisch). Die Ausnutzung ist gemäss CVSS-Vektor über das Netzwerk ohne Rechte und ohne Benutzerinteraktion möglich. Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.

    CVSS: 9.8 EPSS: 0.38% Publiziert: Referenz: NVD
  7. Integration for Contact Form 7 and Constant Contact: unauthentifizierte PHP Object Injection

    CVE-2026-49106 Kritisch

    In „Integration for Contact Form 7 and Constant Contact“ besteht eine PHP Object Injection, die ohne Authentifizierung ausgenutzt werden kann. Betroffen sind laut Quelle die Versionen bis einschliesslich 1.1.6. CVSS-Basiswert: 9.8 (Kritisch). Der CVSS-Vektor weist die Lücke als netzwerkbasiert, ohne Authentifizierung und ohne Nutzerinteraktion ausnutzbar aus. Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: auf eine Version neuer als 1.1.6 aktualisieren.

    CVSS: 9.8 EPSS: 0.38% Publiziert: Referenz: NVD
  8. Integration for Contact Form 7 HubSpot: Nicht authentifizierte PHP Object Injection

    CVE-2026-49763 Kritisch

    Im Plugin Integration for Contact Form 7 HubSpot bis einschliesslich Version 1.3.7 besteht laut NVD eine PHP Object Injection, die ohne vorherige Authentifizierung ausgenutzt werden kann. Der CVSS-Vektor weist die Lücke als über das Netzwerk, ohne Privilegien und ohne Benutzerinteraktion ausnutzbar aus. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.

    CVSS: 9.8 EPSS: 0.38% Publiziert: Referenz: NVD
  9. Integration for Mailchimp and Contact Form 7, WPForms, Elementor, Ninja Forms bis 1.1.8: unauthentifizierte PHP Object Injection

    CVE-2026-49765 Kritisch

    In der Erweiterung Integration for Mailchimp and Contact Form 7, WPForms, Elementor, Ninja Forms bis einschliesslich Version 1.1.8 besteht laut NVD eine PHP Object Injection. Sie ist ohne Authentifizierung ausnutzbar. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Zugeordnete überwachte Produkte: PHP, Phoenix Contact. Empfohlene Massnahme: auf eine Version neuer als 1.1.8 aktualisieren.

    CVSS: 9.8 EPSS: 0.38% Publiziert: Referenz: NVD
  10. Happyforms: Unauthentifizierte PHP Object Injection

    CVE-2026-49768 Kritisch

    In Happyforms besteht eine unauthentifizierte PHP Object Injection. Betroffen sind laut NVD alle Versionen bis einschliesslich 1.26.13. CVSS-Basiswert: 9.8 (Kritisch); der Angriff ist über das Netzwerk ohne Zugangsdaten und ohne Benutzerinteraktion möglich. Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: auf eine Version neuer als 1.26.13 aktualisieren.

    CVSS: 9.8 EPSS: 0.38% Publiziert: Referenz: NVD
  11. wpForo Forum: Unauthentifizierte PHP Object Injection

    CVE-2026-49769 Kritisch

    Das WordPress-Plugin wpForo Forum erlaubt in Versionen bis einschliesslich 3.1.0 eine PHP Object Injection ohne vorherige Authentifizierung. Der CVSS-Vektor (AV:N/AC:L/PR:N/UI:N) beschreibt einen netzwerkbasierten Angriff ohne Authentifizierung und ohne Benutzerinteraktion mit vollständiger Auswirkung auf Vertraulichkeit, Integrität und Verfügbarkeit. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: auf eine Version neuer als 3.1.0 aktualisieren.

    CVSS: 9.8 EPSS: 0.38% Publiziert: Referenz: NVD
  12. WP Travel Engine: unauthentifizierte PHP Object Injection

    CVE-2026-49770 Kritisch

    In WP Travel Engine besteht eine PHP Object Injection, die ohne Authentifizierung ausgenutzt werden kann. Betroffen sind laut Quelle die Versionen bis einschliesslich 6.7.12. CVSS-Basiswert: 9.8 (Kritisch). Der CVSS-Vektor weist die Lücke als netzwerkbasiert, ohne Authentifizierung und ohne Nutzerinteraktion ausnutzbar aus. Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: auf eine Version neuer als 6.7.12 aktualisieren.

    CVSS: 9.8 EPSS: 0.38% Publiziert: Referenz: NVD
  13. OttoKit: nicht authentifizierte PHP Object Injection

    CVE-2026-49781 Kritisch

    In OttoKit besteht eine PHP Object Injection, die ohne vorherige Authentifizierung ausgelöst werden kann. Betroffen sind Versionen bis einschliesslich 1.1.27. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: auf eine Version neuer als 1.1.27 aktualisieren.

    CVSS: 9.8 EPSS: 0.38% Publiziert: Referenz: NVD
  14. Xerte Online Tools: Remote Code Execution über den Antivirus-Binärpfad

    CVE-2026-12116 Kritisch

    In den Xerte Online Tools lässt sich in den Server-Einstellungen der Pfad zur Antivirus-Binärdatei auf einen PHP-Interpreter umbiegen. Angreifende können darüber PHP-Dateien hochladen und ausführen lassen, was zu Remote Code Execution führt. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.

    CVSS: 9.8 EPSS: 0.38% Publiziert: Referenz: NVD
  15. Elementra: Nicht authentifizierte PHP Object Injection

    CVE-2026-39529 Kritisch

    In Elementra besteht laut Quellbeschreibung eine PHP Object Injection, die ohne vorherige Authentifizierung ausgenutzt werden kann. Betroffen sind die Versionen bis einschliesslich 1.0.9. Der CVSS-Vektor weist die Lücke als über das Netzwerk und ohne Benutzerinteraktion ausnutzbar aus, mit vollständiger Auswirkung auf Vertraulichkeit, Integrität und Verfügbarkeit. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.

    CVSS: 9.8 EPSS: 0.38% Publiziert: Referenz: NVD
  16. WooCommerce Product Filters vor 2.0.6: Unauthentifizierte PHP Object Injection

    CVE-2026-40725 Kritisch

    In WooCommerce Product Filters in Versionen vor 2.0.6 besteht eine unauthentifizierte PHP Object Injection. Laut CVSS-Vektor ist die Schwachstelle über das Netzwerk ohne Authentisierung und ohne Nutzerinteraktion ausnutzbar und wirkt sich vollständig auf Vertraulichkeit, Integrität und Verfügbarkeit aus. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Betroffene Installationen sollten anhand des NVD-Eintrags geprüft werden.

    CVSS: 9.8 EPSS: 0.38% Publiziert: Referenz: NVD
  17. JetEngine bis 3.8.9.1: PHP Object Injection durch Nutzer mit Contributor-Rechten

    CVE-2026-49075 Kritisch

    In JetEngine bis einschliesslich Version 3.8.9.1 besteht laut NVD eine PHP Object Injection, die sich mit Contributor-Rechten ausnutzen lässt. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Zugeordnetes überwachtes Produkt: PHP. Empfohlene Massnahme: auf eine Version neuer als 3.8.9.1 aktualisieren.

    CVSS: 9.8 EPSS: 0.38% Publiziert: Referenz: NVD
  18. Thrive Apprentice: nicht authentifizierte PHP Object Injection

    CVE-2026-49107 Kritisch

    In Thrive Apprentice besteht eine PHP Object Injection, die ohne vorherige Authentifizierung ausgelöst werden kann. Betroffen sind Versionen vor 10.8.10.2. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: auf Version 10.8.10.2 oder neuer aktualisieren.

    CVSS: 9.8 EPSS: 0.38% Publiziert: Referenz: NVD
  19. Guardian language-system: SQL-Injection über den Parameter id in media.php

    CVE-2026-34100 Kritisch

    Das Guardian language-system übergibt den GET-Parameter id laut Quellbeschreibung ungefiltert an eine SQL-Abfrage in media.php (Zeile 17). Angreifer können darüber SQL-Injection ausführen. Die Lücke ist ohne Authentifizierung über das Netzwerk erreichbar und wirkt sich auf Vertraulichkeit, Integrität und Verfügbarkeit aus. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.

    CVSS: 9.8 EPSS: 0.37% Publiziert: Referenz: NVD
  20. Guardian language-system: SQL-Injection in text_file.php

    CVE-2026-34101 Kritisch

    Das Guardian language-system übergibt den GET-Parameter id in text_file.php ungefiltert an eine SQL-Abfrage. Angreifende können darüber eigene SQL-Anweisungen einschleusen und auf die Datenbank zugreifen. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.

    CVSS: 9.8 EPSS: 0.37% Publiziert: Referenz: NVD
  21. Guardian language-system: SQL-Injection in job_info_get.php

    CVE-2026-34102 Kritisch

    Das Guardian language-system übergibt den GET-Parameter 'id' in job_info_get.php (Zeile 16) ungefiltert an eine SQL-Abfrage. Authentifizierte Angreifende können darüber eigene SQL-Anweisungen einschleusen. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.

    CVSS: 9.8 EPSS: 0.37% Publiziert: Referenz: NVD
  22. Guardian language-system: SQL-Injection über den id-Parameter in subtitles.php

    CVE-2026-34103 Kritisch

    Das Guardian language-system übergibt den GET-Parameter id in subtitles.php ungefiltert an eine SQL-Abfrage (Zeile 16), wodurch SQL-Injection möglich ist. Laut CVSS-Vektor ist die Schwachstelle über das Netzwerk ohne Authentisierung und ohne Nutzerinteraktion ausnutzbar, mit vollständiger Auswirkung auf Vertraulichkeit, Integrität und Verfügbarkeit. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Weitere Details sind dem NVD-Eintrag zu entnehmen.

    CVSS: 9.8 EPSS: 0.37% Publiziert: Referenz: NVD
  23. Guardian language-system: SQL Injection über den GET-Parameter name in designer.php

    CVE-2026-34104 Kritisch

    Das Guardian language-system übergibt den GET-Parameter name in designer.php (Zeile 124) ungefiltert an eine SQL-Abfrage. Ein authentifizierter Angreifer kann darüber laut Quelle eigene SQL-Anweisungen einschleusen. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.

    CVSS: 9.8 EPSS: 0.37% Publiziert: Referenz: NVD
  24. Guardian language-system: SQL-Injection in translate_text.php

    CVE-2026-34105 Kritisch

    Das Guardian language-system übergibt den GET-Parameter id in translate_text.php (Zeile 15) ungefiltert an eine SQL-Abfrage. Dadurch können Angreifer laut Quelle eigene SQL-Befehle einschleusen. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Laut CVSS-Vektor ist der Angriff ohne Authentifizierung und ohne Nutzerinteraktion über das Netz möglich.

    CVSS: 9.8 EPSS: 0.37% Publiziert: Referenz: NVD
  25. Nur-Alam39 bus-ticket: unauthentifizierte SQL-Injection in bus_info.php

    CVE-2026-55740 Kritisch

    Die Anwendung bus-ticket von Nur-Alam39 (keine veröffentlichten Versionen, letzter Commit 459cabdbeb99c00225b26e46e3c2c30ae1de7bad) enthält laut NVD eine SQL-Injection in bus_info.php. Der Parameter busid wird dabei ungeprüft übernommen; die Lücke ist ohne Authentifizierung ausnutzbar. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Zugeordnetes überwachtes Produkt: PHP.

    CVSS: 9.8 EPSS: 0.37% Publiziert: Referenz: NVD
  26. ClipBucket v5: Blind SQL Injection in actions/progress_video.php

    CVE-2026-45060 Kritisch

    ClipBucket v5, eine Open-Source-Plattform zum Teilen von Videos, ist vor Version 5.5.3 - #129 über den Endpunkt actions/progress_video.php für Blind SQL Injection anfällig. Jeder nicht authentifizierte Nutzer kann die Lücke ausnutzen. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: auf Version 5.5.3 - #129 oder neuer aktualisieren.

    CVSS: 9.8 EPSS: 0.36% Publiziert: Referenz: NVD
  27. Booktics: unauthentifizierte PHP Object Injection

    CVE-2026-57621 Kritisch

    In Booktics besteht eine PHP Object Injection, die ohne Authentifizierung ausgenutzt werden kann. Betroffen sind laut Quelle die Versionen bis einschliesslich 1.0.21. CVSS-Basiswert: 9.8 (Kritisch). Der CVSS-Vektor weist die Lücke als netzwerkbasiert, ohne Authentifizierung und ohne Nutzerinteraktion ausnutzbar aus. Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: auf eine Version neuer als 1.0.21 aktualisieren.

    CVSS: 9.8 EPSS: 0.34% Publiziert: Referenz: NVD
  28. Novalnet Payment Gateway for WooCommerce: nicht authentifizierte PHP Object Injection

    CVE-2026-57677 Kritisch

    Im Novalnet Payment Gateway for WooCommerce besteht eine PHP Object Injection, die ohne vorherige Authentifizierung ausgelöst werden kann. Betroffen sind Versionen bis einschliesslich 12.10.3. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: auf eine Version neuer als 12.10.3 aktualisieren.

    CVSS: 9.8 EPSS: 0.34% Publiziert: Referenz: NVD
  29. damasac thaipalliative_lte: SQL-Injection über den Parameter idFormMain

    CVE-2026-38581 Kritisch

    In damasac thaipalliative_lte bis einschliesslich Version 3.0 besteht eine SQL-Injection-Schwachstelle. Entfernte Angreifer können laut Quelle über den Parameter idFormMain an /substudy/ezform.php (Zeile 14) beliebige SQL-Befehle ausführen. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Der Angriff ist ohne Authentifizierung und ohne Nutzerinteraktion über das Netz möglich.

    CVSS: 9.8 EPSS: 0.33% Publiziert: Referenz: NVD
  30. Moderno: Nicht authentifizierte PHP Object Injection

    CVE-2026-49108 Kritisch

    In Moderno vor Version 1.43 besteht laut NVD eine PHP Object Injection, die ohne vorherige Authentifizierung ausgenutzt werden kann. Der CVSS-Vektor weist die Lücke als über das Netzwerk, ohne Privilegien und ohne Benutzerinteraktion ausnutzbar aus, mit vollständiger Auswirkung auf Vertraulichkeit, Integrität und Verfügbarkeit. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.

    CVSS: 9.8 EPSS: 0.30% Publiziert: Referenz: NVD
  31. PHP SoapServer – Unsichere Session-Persistenz ermöglicht kritische Schwachstelle

    CVE-2026-7261 Kritisch

    In PHP 8.2.x vor 8.2.31, 8.3.x vor 8.3.31, 8.4.x vor 8.4.21 und 8.5.x vor 8.5.6 wird bei Konfiguration von `SoapServer` mit `SOAP_PERSISTENCE_SESSION` das Handler-Objekt sessionübergreifend persistiert, was zu einer kritischen Sicherheitslücke führt. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.

    CVSS: 9.8 EPSS: 0.30% Publiziert: Referenz: NVD
  32. PHP PDO Firebird – Unsachgemässe Verarbeitung von NUL-Bytes in SQL-Abfragen

    CVE-2025-14179 Kritisch

    In PHP-Versionen 8.2.x vor 8.2.31, 8.3.x vor 8.3.31, 8.4.x vor 8.4.21 und 8.5.x vor 8.5.6 verarbeitet der PDO-Firebird-Treiber NUL-Bytes beim Vorbereiten von SQL-Abfragen unsachgemäss. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.

    CVSS: 9.8 EPSS: 0.30% Publiziert: Referenz: NVD
  33. Coolify – fehlerhafte Autorisierung in der cloneTo()-Livewire-Aktion

    CVE-2026-34037 Kritisch

    Coolify ist ein quelloffenes, selbst hostbares Werkzeug zur Verwaltung von Servern, Anwendungen und Datenbanken. Vor Version 4.0.0-beta.464 autorisiert die Livewire-Aktion cloneTo() in ResourceOperations.php nur die Quelle unzureichend. CVSS-Basiswert: 9.9 (Kritisch) – Angriff über das Netzwerk mit niedrigen Rechten und ohne Nutzerinteraktion, mit Scope-Wechsel und hoher Auswirkung auf Vertraulichkeit und Integrität. Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: auf Coolify 4.0.0-beta.464 oder neuer aktualisieren.

    CVSS: 9.9 EPSS: 0.25% Publiziert: Referenz: NVD
  34. Cotonti 1.0.0: Cross-Site Request Forgery im Rechte-Handler der Administration

    CVE-2026-55742 Kritisch

    Cotonti 1.0.0 (Master-Branch, Commit f43f1fc3) ist anfällig für Cross-Site Request Forgery im Rechte-Handler der Administration. Betroffen ist die Rechte-Aktualisierung ('a=update') in system/admin/admin.rights.php, die ohne ausreichende Absicherung gegen untergeschobene Anfragen ausgeführt wird. Die Ausnutzung setzt eine Nutzerinteraktion voraus. CVSS-Basiswert: 9.6 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.

    CVSS: 9.6 EPSS: 0.23% Publiziert: Referenz: NVD
  35. ArkSigner Software: PHP Remote File Inclusion

    CVE-2025-11023 Kritisch

    In ArkSigner Software besteht laut Quellbeschreibung eine PHP-Remote-File-Inclusion-Schwachstelle: Funktionalität aus einer nicht vertrauenswürdigen Quelle wird eingebunden, weil der Dateiname für Include-/Require-Anweisungen nicht ausreichend kontrolliert wird. Die Lücke ist ohne Authentifizierung über das Netzwerk erreichbar. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.

    CVSS: 9.8 EPSS: 0.16% Publiziert: Referenz: NVD
  36. Intrado 911 Emergency Gateway: Path Traversal in download_debuglog_file.php

    CVE-2026-6074 Kritisch

    Das Intrado 911 Emergency Gateway (EGW) in den Versionen 5.x, 6.x und 7.x enthält eine Path-Traversal-Schwachstelle im Endpunkt download_debuglog_file.php, der für den Download von Debug-Logs verwendet wird. Ein nicht authentifizierter Angreifer kann die Anfrage manipulieren. CVSS-Basiswert: 9.8 (Kritisch). Die Lücke ist gemäss CVSS-Vektor über das Netzwerk ohne Rechte und ohne Benutzerinteraktion ausnutzbar. Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 9.8 EPSS: 0.08% Publiziert: Referenz: NVD
  37. PDF Signer 3.0: Server-Side Template Injection ermöglicht Remote Code Execution

    CVE-2019-25729 Kritisch

    PDF Signer 3.0 enthält eine Server-Side-Template-Injection-Schwachstelle. Nicht authentifizierte Angreifende können über den Cookie-Parameter CSRF-TOKEN PHP-Befehle einschleusen und dadurch beliebigen Code ausführen. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 9.8 EPSS: 0.04% Publiziert: Referenz: NVD
  38. FrankenPHP – Fehlerhafte Unicode-Verarbeitung im CGI-Pfad-Splitting

    CVE-2026-24895 Kritisch

    In FrankenPHP vor Version 1.11.2 verarbeitet die CGI-Pfadaufteilungslogik Unicode-Zeichen bei der Gross-/Kleinschreibungskonvertierung fehlerhaft. Der Splitindex wird dabei inkorrekt berechnet, was von Angreifern ausgenutzt werden kann. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 9.8 EPSS: 0.03% Publiziert: Referenz: NVD
  39. Vitec Flamingo: Nicht authentifizierte OS-Command-Injection in admin/ajax/ping.php

    CVE-2026-60121 Kritisch

    Vitec Flamingo 4.12.2 enthält laut NVD eine OS-Command-Injection im Endpunkt admin/ajax/ping.php, die ohne Authentifizierung ausgenutzt werden kann. Entfernte Angreifer können darüber beliebige Befehle ausführen; ausgenutzt wird gemäss Quelle eine doppelte Verarbeitung der Eingabe. Der CVSS-Vektor weist die Lücke als über das Netzwerk, ohne Privilegien und ohne Benutzerinteraktion ausnutzbar aus, mit vollständiger Auswirkung auf Vertraulichkeit, Integrität und Verfügbarkeit. CVSS-Basiswert: 9.8 (Kritisch). Ein EPSS-Wert liegt in den Quelldaten nicht vor.

    CVSS: 9.8 Publiziert: Referenz: NVD
  40. php-censor: Manipulierbarer Webhook-Endpunkt in GitBuild.php

    CVE-2026-10273 Hoch

    In php-censor bis Version 2.1.6 besteht eine Schwachstelle in einer Funktion der Datei src/Model/Build/GitBuild.php der Webhook-Endpunkt-Komponente. Eine Manipulation der Argumente ermöglicht die Ausnutzung über das Netzwerk. CVSS-Basiswert: 7.3 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 1.0 %.

    CVSS: 7.3 EPSS: 1.02% Publiziert: Referenz: NVD
  41. Jettweb Haber Sitesi V3 – Authentication Bypass (login.php)

    CVE-2019-25515 Hoch

    In Jettweb PHP Hazir Haber Sitesi Scripti V3 besteht eine Authentication-Bypass-Schwachstelle in der Datei login.php des Administrationspanels, die nicht authentifizierten Angreifern Administratorzugriff ermöglicht. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 1.0 %.

    CVSS: 7.5 EPSS: 0.99% Publiziert: Referenz: NVD
  42. PHP SOAP – Fehler im Typemap-Dekodierungsprozess

    CVE-2026-7262 Hoch

    In PHP 8.2.x vor 8.2.31, 8.3.x vor 8.3.31, 8.4.x vor 8.4.21 und 8.5.x vor 8.5.6 enthält der Dekodierungsprozess des SOAP-Servers bei konfigurierter Typemap einen Fehler, der zu Sicherheitsproblemen führen kann. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.8 %.

    CVSS: 7.5 EPSS: 0.78% Publiziert: Referenz: NVD
  43. PHP Object Injection im WordPress-Plugin Admin Columns

    CVE-2026-7654 Hoch

    Das WordPress-Plugin Admin Columns ist in Versionen bis einschliesslich 7.0.18 über PHP Object Injection angreifbar, was zu Remote Code Execution führen kann; Ursache ist die Verwendung von unserialize() ohne ausreichende Absicherung. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: Das Plugin auf eine Version neuer als 7.0.18 aktualisieren.

    CVSS: 8.8 EPSS: 0.47% Publiziert: Referenz: NVD
  44. PHP metaphone() – Vorzeichenbehafteter Integer-Fehler

    CVE-2026-7568 Hoch

    In der PHP-Funktion metaphone() in ext/standard/metaphone.c wird eine vorzeichenbehaftete Integer-Variable zur Positionsverfolgung verwendet, was zu einem Fehler führen kann. Betroffen sind PHP-Versionen 8.2.* vor 8.2.31, 8.3.* vor 8.3.31, 8.4.* vor 8.4.21 sowie 8.5.* vor 8.5.6. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %.

    CVSS: 7.5 EPSS: 0.46% Publiziert: Referenz: NVD
  45. Jettweb Haber Sitesi V3 – SQL-Injection (q-Parameter)

    CVE-2019-25513 Hoch

    In Jettweb PHP Hazir Haber Sitesi Scripti V3 besteht eine SQL-Injection-Schwachstelle, die nicht authentifizierten Angreifern erlaubt, Datenbankabfragen über den Parameter 'q' zu manipulieren. CVSS-Basiswert: 8.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.

    CVSS: 8.2 EPSS: 0.41% Publiziert: Referenz: NVD
  46. Cockpit CMS – Path-Traversal in der Bucket-Datei-Storage-API

    CVE-2026-57856 Hoch

    Cockpit CMS enthält eine Path-Traversal-Schwachstelle in der Bucket-Datei-Storage-API (/system/buckets/api). Die Methode api() in modules/System/Controller/Buckets.php bereinigt den Bucket-Namen mit einem regulären Ausdruck, der eine Traversierung über den vorgesehenen Pfad hinaus nicht vollständig verhindert. CVSS-Basiswert: 8.8 (Hoch). Empfohlene Massnahme: auf eine bereinigte Cockpit-CMS-Version aktualisieren, sobald verfügbar.

    CVSS: 8.8 EPSS: 0.39% Publiziert: Referenz: NVD
  47. PHP DOM – DOMNode::C14N() erzeugt zirkuläre Liste bei XML-Verarbeitung

    CVE-2026-7263 Hoch

    In PHP 8.4.x vor 8.4.21 und 8.5.x vor 8.5.6 kann die Methode `DOMNode::C14N()` XML-Daten fehlerhaft verarbeiten und dabei eine zirkuläre verkettete Liste in der Datenstruktur des XML-Dokuments erzeugen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.

    CVSS: 7.5 EPSS: 0.35% Publiziert: Referenz: NVD
  48. PHP – Vorzeichenfehler in urldecode() und weiteren Funktionen

    CVE-2026-7258 Hoch

    In PHP 8.2.x vor 8.2.31, 8.3.x vor 8.3.31, 8.4.x vor 8.4.21 und 8.5.x vor 8.5.6 übergeben mehrere Funktionen wie `urldecode()` vorzeichenbehaftete Zeichen (signed char) an ctype-Funktionen wie `isxdigit()`, was auf bestimmten Plattformen zu undefinierten Verhalten und Sicherheitslücken führen kann. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.

    CVSS: 7.5 EPSS: 0.34% Publiziert: Referenz: NVD
  49. Simple Machines Forum – Autorisierungsumgehung in AttachmentApprove.php

    CVE-2026-39903 Hoch

    Simple Machines Forum in Version 2.1 vor 2.1.8 und 3.0 vor 3.0 Alpha 5 enthält in Sources/Actions/AttachmentApprove.php eine Autorisierungsumgehung, die durch einen Ein-Zeichen-Operatorfehler ausgelöst wird. CVSS-Basiswert: 7.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.

    CVSS: 7.1 EPSS: 0.33% Publiziert: Referenz: NVD
  50. Class and Exam Timetabling System – Schwachstelle in edit_exam2.php

    CVE-2026-15597 Hoch

    Im SourceCodester Class and Exam Timetabling System (Version 1.0) besteht eine Schwachstelle in einer unbekannten Funktion der Datei /edit_exam2.php, die sich durch Manipulation eines Arguments ausnutzen lässt. CVSS-Basiswert: 7.3 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Eine aktive Ausnutzung über CISA KEV ist nicht bekannt. Die Datenlage nennt keine Herstellermassnahme; die Lage sollte beobachtet und ein Update eingespielt werden, sobald verfügbar.

    CVSS: 7.3 EPSS: 0.33% Publiziert: Referenz: NVD

Diesem Produkt-Feed folgen

Eigener RSS-Feed nur für PHP, kostenlos und ohne Anmeldung. Zustellung per E-Mail, Webhook, REST oder TAXII richten wir auf Anfrage ein.

RSS-Feed öffnen Zustellung anfragen

Wie folge ich dem Feed?

  • 1 RSS-Feed-Link kopieren oder direkt im RSS-Reader öffnen.
  • 2 Priorisierte Reports (KEV · EPSS · CVSS) landen automatisch in Ihrem Reader.
  • 3 Zustellung per E-Mail, Webhook, REST oder TAXII auf Anfrage einrichten lassen.
Zurück zum Katalog