PHP Seite 2
Schwachstellen-Reports
265 ReportsZeige 51 bis 100 von 265
-
Uncanny Automator Pro: PHP Object Injection durch Benutzer der Rolle Subscriber
CVE-2026-56057 KritischIn Uncanny Automator Pro besteht eine PHP Object Injection, die bereits von Konten mit der Rolle Subscriber ausgelöst werden kann. Betroffen sind Versionen bis einschliesslich 7.3.0.6. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: auf eine Version neuer als 7.3.0.6 aktualisieren.
CVSS: 9.8 EPSS: 0.43% Publiziert: Referenz: NVD -
Plumbing: Unauthentifizierte PHP Object Injection
CVE-2025-69127 KritischPlumbing in Versionen bis einschliesslich 1.6 ist von einer unauthentifizierten PHP Object Injection betroffen. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Laut CVSS-Vektor ist der Angriff über das Netz, ohne Rechte und ohne Nutzerinteraktion möglich. Betroffene Installationen sollten auf eine Version oberhalb der genannten Versionsspanne aktualisiert werden.
CVSS: 9.8 EPSS: 0.39% Publiziert: Referenz: NVD -
Reisen bis 1.4.1: Unauthentifizierte PHP Object Injection
CVE-2025-69111 KritischIn Reisen in Versionen bis einschliesslich 1.4.1 besteht eine unauthentifizierte PHP Object Injection. Laut CVSS-Vektor ist die Schwachstelle über das Netzwerk ohne Authentisierung und ohne Nutzerinteraktion ausnutzbar und wirkt sich vollständig auf Vertraulichkeit, Integrität und Verfügbarkeit aus. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Betroffene Installationen sollten anhand des NVD-Eintrags geprüft werden.
CVSS: 9.8 EPSS: 0.39% Publiziert: Referenz: NVD -
Fusion Builder: PHP Object Injection durch Benutzer mit Contributor-Rechten
CVE-2026-54194 KritischFusion Builder ist für eine PHP Object Injection anfällig, die von Konten mit Contributor-Rechten ausgenutzt werden kann. Betroffen sind laut Quelle alle Versionen bis einschliesslich 3.15.4. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.
CVSS: 9.8 EPSS: 0.39% Publiziert: Referenz: NVD -
Broadcast Live Video vor 7.1.3: Unauthentifizierte PHP Object Injection
CVE-2026-27053 KritischBroadcast Live Video ist in Versionen vor 7.1.3 für unauthentifizierte PHP Object Injection anfällig. Angreifende benötigen dafür keine gültige Anmeldung. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: Aktualisierung auf Version 7.1.3 oder neuer.
CVSS: 9.8 EPSS: 0.39% Publiziert: Referenz: NVD -
Integration for Salesforce and Contact Form 7: Unauthentifizierte PHP Object Injection
CVE-2026-49109 KritischDas Plugin Integration for Salesforce and Contact Form 7, WPForms, Elementor, Formidable, Ninja Forms erlaubt eine PHP Object Injection ohne vorherige Authentifizierung. Betroffen sind laut Quelle alle Versionen bis einschliesslich 1.4.3. CVSS-Basiswert: 9.8 (Kritisch). Die Ausnutzung ist gemäss CVSS-Vektor über das Netzwerk ohne Rechte und ohne Benutzerinteraktion möglich. Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.
CVSS: 9.8 EPSS: 0.38% Publiziert: Referenz: NVD -
Integration for Contact Form 7 and Constant Contact: unauthentifizierte PHP Object Injection
CVE-2026-49106 KritischIn „Integration for Contact Form 7 and Constant Contact“ besteht eine PHP Object Injection, die ohne Authentifizierung ausgenutzt werden kann. Betroffen sind laut Quelle die Versionen bis einschliesslich 1.1.6. CVSS-Basiswert: 9.8 (Kritisch). Der CVSS-Vektor weist die Lücke als netzwerkbasiert, ohne Authentifizierung und ohne Nutzerinteraktion ausnutzbar aus. Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: auf eine Version neuer als 1.1.6 aktualisieren.
CVSS: 9.8 EPSS: 0.38% Publiziert: Referenz: NVD -
Integration for Contact Form 7 HubSpot: Nicht authentifizierte PHP Object Injection
CVE-2026-49763 KritischIm Plugin Integration for Contact Form 7 HubSpot bis einschliesslich Version 1.3.7 besteht laut NVD eine PHP Object Injection, die ohne vorherige Authentifizierung ausgenutzt werden kann. Der CVSS-Vektor weist die Lücke als über das Netzwerk, ohne Privilegien und ohne Benutzerinteraktion ausnutzbar aus. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.
CVSS: 9.8 EPSS: 0.38% Publiziert: Referenz: NVD -
Integration for Mailchimp and Contact Form 7, WPForms, Elementor, Ninja Forms bis 1.1.8: unauthentifizierte PHP Object Injection
CVE-2026-49765 KritischIn der Erweiterung Integration for Mailchimp and Contact Form 7, WPForms, Elementor, Ninja Forms bis einschliesslich Version 1.1.8 besteht laut NVD eine PHP Object Injection. Sie ist ohne Authentifizierung ausnutzbar. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Zugeordnete überwachte Produkte: PHP, Phoenix Contact. Empfohlene Massnahme: auf eine Version neuer als 1.1.8 aktualisieren.
CVSS: 9.8 EPSS: 0.38% Publiziert: Referenz: NVD -
Happyforms: Unauthentifizierte PHP Object Injection
CVE-2026-49768 KritischIn Happyforms besteht eine unauthentifizierte PHP Object Injection. Betroffen sind laut NVD alle Versionen bis einschliesslich 1.26.13. CVSS-Basiswert: 9.8 (Kritisch); der Angriff ist über das Netzwerk ohne Zugangsdaten und ohne Benutzerinteraktion möglich. Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: auf eine Version neuer als 1.26.13 aktualisieren.
CVSS: 9.8 EPSS: 0.38% Publiziert: Referenz: NVD -
wpForo Forum: Unauthentifizierte PHP Object Injection
CVE-2026-49769 KritischDas WordPress-Plugin wpForo Forum erlaubt in Versionen bis einschliesslich 3.1.0 eine PHP Object Injection ohne vorherige Authentifizierung. Der CVSS-Vektor (AV:N/AC:L/PR:N/UI:N) beschreibt einen netzwerkbasierten Angriff ohne Authentifizierung und ohne Benutzerinteraktion mit vollständiger Auswirkung auf Vertraulichkeit, Integrität und Verfügbarkeit. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: auf eine Version neuer als 3.1.0 aktualisieren.
CVSS: 9.8 EPSS: 0.38% Publiziert: Referenz: NVD -
WP Travel Engine: unauthentifizierte PHP Object Injection
CVE-2026-49770 KritischIn WP Travel Engine besteht eine PHP Object Injection, die ohne Authentifizierung ausgenutzt werden kann. Betroffen sind laut Quelle die Versionen bis einschliesslich 6.7.12. CVSS-Basiswert: 9.8 (Kritisch). Der CVSS-Vektor weist die Lücke als netzwerkbasiert, ohne Authentifizierung und ohne Nutzerinteraktion ausnutzbar aus. Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: auf eine Version neuer als 6.7.12 aktualisieren.
CVSS: 9.8 EPSS: 0.38% Publiziert: Referenz: NVD -
OttoKit: nicht authentifizierte PHP Object Injection
CVE-2026-49781 KritischIn OttoKit besteht eine PHP Object Injection, die ohne vorherige Authentifizierung ausgelöst werden kann. Betroffen sind Versionen bis einschliesslich 1.1.27. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: auf eine Version neuer als 1.1.27 aktualisieren.
CVSS: 9.8 EPSS: 0.38% Publiziert: Referenz: NVD -
Xerte Online Tools: Remote Code Execution über den Antivirus-Binärpfad
CVE-2026-12116 KritischIn den Xerte Online Tools lässt sich in den Server-Einstellungen der Pfad zur Antivirus-Binärdatei auf einen PHP-Interpreter umbiegen. Angreifende können darüber PHP-Dateien hochladen und ausführen lassen, was zu Remote Code Execution führt. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.
CVSS: 9.8 EPSS: 0.38% Publiziert: Referenz: NVD -
Elementra: Nicht authentifizierte PHP Object Injection
CVE-2026-39529 KritischIn Elementra besteht laut Quellbeschreibung eine PHP Object Injection, die ohne vorherige Authentifizierung ausgenutzt werden kann. Betroffen sind die Versionen bis einschliesslich 1.0.9. Der CVSS-Vektor weist die Lücke als über das Netzwerk und ohne Benutzerinteraktion ausnutzbar aus, mit vollständiger Auswirkung auf Vertraulichkeit, Integrität und Verfügbarkeit. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.
CVSS: 9.8 EPSS: 0.38% Publiziert: Referenz: NVD -
WooCommerce Product Filters vor 2.0.6: Unauthentifizierte PHP Object Injection
CVE-2026-40725 KritischIn WooCommerce Product Filters in Versionen vor 2.0.6 besteht eine unauthentifizierte PHP Object Injection. Laut CVSS-Vektor ist die Schwachstelle über das Netzwerk ohne Authentisierung und ohne Nutzerinteraktion ausnutzbar und wirkt sich vollständig auf Vertraulichkeit, Integrität und Verfügbarkeit aus. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Betroffene Installationen sollten anhand des NVD-Eintrags geprüft werden.
CVSS: 9.8 EPSS: 0.38% Publiziert: Referenz: NVD -
JetEngine bis 3.8.9.1: PHP Object Injection durch Nutzer mit Contributor-Rechten
CVE-2026-49075 KritischIn JetEngine bis einschliesslich Version 3.8.9.1 besteht laut NVD eine PHP Object Injection, die sich mit Contributor-Rechten ausnutzen lässt. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Zugeordnetes überwachtes Produkt: PHP. Empfohlene Massnahme: auf eine Version neuer als 3.8.9.1 aktualisieren.
CVSS: 9.8 EPSS: 0.38% Publiziert: Referenz: NVD -
Thrive Apprentice: nicht authentifizierte PHP Object Injection
CVE-2026-49107 KritischIn Thrive Apprentice besteht eine PHP Object Injection, die ohne vorherige Authentifizierung ausgelöst werden kann. Betroffen sind Versionen vor 10.8.10.2. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: auf Version 10.8.10.2 oder neuer aktualisieren.
CVSS: 9.8 EPSS: 0.38% Publiziert: Referenz: NVD -
Guardian language-system: SQL-Injection über den Parameter id in media.php
CVE-2026-34100 KritischDas Guardian language-system übergibt den GET-Parameter id laut Quellbeschreibung ungefiltert an eine SQL-Abfrage in media.php (Zeile 17). Angreifer können darüber SQL-Injection ausführen. Die Lücke ist ohne Authentifizierung über das Netzwerk erreichbar und wirkt sich auf Vertraulichkeit, Integrität und Verfügbarkeit aus. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.
CVSS: 9.8 EPSS: 0.37% Publiziert: Referenz: NVD -
Guardian language-system: SQL-Injection in text_file.php
CVE-2026-34101 KritischDas Guardian language-system übergibt den GET-Parameter id in text_file.php ungefiltert an eine SQL-Abfrage. Angreifende können darüber eigene SQL-Anweisungen einschleusen und auf die Datenbank zugreifen. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.
CVSS: 9.8 EPSS: 0.37% Publiziert: Referenz: NVD -
Guardian language-system: SQL-Injection in job_info_get.php
CVE-2026-34102 KritischDas Guardian language-system übergibt den GET-Parameter 'id' in job_info_get.php (Zeile 16) ungefiltert an eine SQL-Abfrage. Authentifizierte Angreifende können darüber eigene SQL-Anweisungen einschleusen. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.
CVSS: 9.8 EPSS: 0.37% Publiziert: Referenz: NVD -
Guardian language-system: SQL-Injection über den id-Parameter in subtitles.php
CVE-2026-34103 KritischDas Guardian language-system übergibt den GET-Parameter id in subtitles.php ungefiltert an eine SQL-Abfrage (Zeile 16), wodurch SQL-Injection möglich ist. Laut CVSS-Vektor ist die Schwachstelle über das Netzwerk ohne Authentisierung und ohne Nutzerinteraktion ausnutzbar, mit vollständiger Auswirkung auf Vertraulichkeit, Integrität und Verfügbarkeit. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Weitere Details sind dem NVD-Eintrag zu entnehmen.
CVSS: 9.8 EPSS: 0.37% Publiziert: Referenz: NVD -
Guardian language-system: SQL Injection über den GET-Parameter name in designer.php
CVE-2026-34104 KritischDas Guardian language-system übergibt den GET-Parameter name in designer.php (Zeile 124) ungefiltert an eine SQL-Abfrage. Ein authentifizierter Angreifer kann darüber laut Quelle eigene SQL-Anweisungen einschleusen. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.
CVSS: 9.8 EPSS: 0.37% Publiziert: Referenz: NVD -
Guardian language-system: SQL-Injection in translate_text.php
CVE-2026-34105 KritischDas Guardian language-system übergibt den GET-Parameter id in translate_text.php (Zeile 15) ungefiltert an eine SQL-Abfrage. Dadurch können Angreifer laut Quelle eigene SQL-Befehle einschleusen. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Laut CVSS-Vektor ist der Angriff ohne Authentifizierung und ohne Nutzerinteraktion über das Netz möglich.
CVSS: 9.8 EPSS: 0.37% Publiziert: Referenz: NVD -
Nur-Alam39 bus-ticket: unauthentifizierte SQL-Injection in bus_info.php
CVE-2026-55740 KritischDie Anwendung bus-ticket von Nur-Alam39 (keine veröffentlichten Versionen, letzter Commit 459cabdbeb99c00225b26e46e3c2c30ae1de7bad) enthält laut NVD eine SQL-Injection in bus_info.php. Der Parameter busid wird dabei ungeprüft übernommen; die Lücke ist ohne Authentifizierung ausnutzbar. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Zugeordnetes überwachtes Produkt: PHP.
CVSS: 9.8 EPSS: 0.37% Publiziert: Referenz: NVD -
ClipBucket v5: Blind SQL Injection in actions/progress_video.php
CVE-2026-45060 KritischClipBucket v5, eine Open-Source-Plattform zum Teilen von Videos, ist vor Version 5.5.3 - #129 über den Endpunkt actions/progress_video.php für Blind SQL Injection anfällig. Jeder nicht authentifizierte Nutzer kann die Lücke ausnutzen. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: auf Version 5.5.3 - #129 oder neuer aktualisieren.
CVSS: 9.8 EPSS: 0.36% Publiziert: Referenz: NVD -
Booktics: unauthentifizierte PHP Object Injection
CVE-2026-57621 KritischIn Booktics besteht eine PHP Object Injection, die ohne Authentifizierung ausgenutzt werden kann. Betroffen sind laut Quelle die Versionen bis einschliesslich 1.0.21. CVSS-Basiswert: 9.8 (Kritisch). Der CVSS-Vektor weist die Lücke als netzwerkbasiert, ohne Authentifizierung und ohne Nutzerinteraktion ausnutzbar aus. Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: auf eine Version neuer als 1.0.21 aktualisieren.
CVSS: 9.8 EPSS: 0.34% Publiziert: Referenz: NVD -
Novalnet Payment Gateway for WooCommerce: nicht authentifizierte PHP Object Injection
CVE-2026-57677 KritischIm Novalnet Payment Gateway for WooCommerce besteht eine PHP Object Injection, die ohne vorherige Authentifizierung ausgelöst werden kann. Betroffen sind Versionen bis einschliesslich 12.10.3. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: auf eine Version neuer als 12.10.3 aktualisieren.
CVSS: 9.8 EPSS: 0.34% Publiziert: Referenz: NVD -
damasac thaipalliative_lte: SQL-Injection über den Parameter idFormMain
CVE-2026-38581 KritischIn damasac thaipalliative_lte bis einschliesslich Version 3.0 besteht eine SQL-Injection-Schwachstelle. Entfernte Angreifer können laut Quelle über den Parameter idFormMain an /substudy/ezform.php (Zeile 14) beliebige SQL-Befehle ausführen. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Der Angriff ist ohne Authentifizierung und ohne Nutzerinteraktion über das Netz möglich.
CVSS: 9.8 EPSS: 0.33% Publiziert: Referenz: NVD -
Moderno: Nicht authentifizierte PHP Object Injection
CVE-2026-49108 KritischIn Moderno vor Version 1.43 besteht laut NVD eine PHP Object Injection, die ohne vorherige Authentifizierung ausgenutzt werden kann. Der CVSS-Vektor weist die Lücke als über das Netzwerk, ohne Privilegien und ohne Benutzerinteraktion ausnutzbar aus, mit vollständiger Auswirkung auf Vertraulichkeit, Integrität und Verfügbarkeit. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.
CVSS: 9.8 EPSS: 0.30% Publiziert: Referenz: NVD -
PHP SoapServer – Unsichere Session-Persistenz ermöglicht kritische Schwachstelle
CVE-2026-7261 KritischIn PHP 8.2.x vor 8.2.31, 8.3.x vor 8.3.31, 8.4.x vor 8.4.21 und 8.5.x vor 8.5.6 wird bei Konfiguration von `SoapServer` mit `SOAP_PERSISTENCE_SESSION` das Handler-Objekt sessionübergreifend persistiert, was zu einer kritischen Sicherheitslücke führt. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.
CVSS: 9.8 EPSS: 0.30% Publiziert: Referenz: NVD -
PHP PDO Firebird – Unsachgemässe Verarbeitung von NUL-Bytes in SQL-Abfragen
CVE-2025-14179 KritischIn PHP-Versionen 8.2.x vor 8.2.31, 8.3.x vor 8.3.31, 8.4.x vor 8.4.21 und 8.5.x vor 8.5.6 verarbeitet der PDO-Firebird-Treiber NUL-Bytes beim Vorbereiten von SQL-Abfragen unsachgemäss. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.
CVSS: 9.8 EPSS: 0.30% Publiziert: Referenz: NVD -
Coolify – fehlerhafte Autorisierung in der cloneTo()-Livewire-Aktion
CVE-2026-34037 KritischCoolify ist ein quelloffenes, selbst hostbares Werkzeug zur Verwaltung von Servern, Anwendungen und Datenbanken. Vor Version 4.0.0-beta.464 autorisiert die Livewire-Aktion cloneTo() in ResourceOperations.php nur die Quelle unzureichend. CVSS-Basiswert: 9.9 (Kritisch) – Angriff über das Netzwerk mit niedrigen Rechten und ohne Nutzerinteraktion, mit Scope-Wechsel und hoher Auswirkung auf Vertraulichkeit und Integrität. Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: auf Coolify 4.0.0-beta.464 oder neuer aktualisieren.
CVSS: 9.9 EPSS: 0.25% Publiziert: Referenz: NVD -
Cotonti 1.0.0: Cross-Site Request Forgery im Rechte-Handler der Administration
CVE-2026-55742 KritischCotonti 1.0.0 (Master-Branch, Commit f43f1fc3) ist anfällig für Cross-Site Request Forgery im Rechte-Handler der Administration. Betroffen ist die Rechte-Aktualisierung ('a=update') in system/admin/admin.rights.php, die ohne ausreichende Absicherung gegen untergeschobene Anfragen ausgeführt wird. Die Ausnutzung setzt eine Nutzerinteraktion voraus. CVSS-Basiswert: 9.6 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.
CVSS: 9.6 EPSS: 0.23% Publiziert: Referenz: NVD -
ArkSigner Software: PHP Remote File Inclusion
CVE-2025-11023 KritischIn ArkSigner Software besteht laut Quellbeschreibung eine PHP-Remote-File-Inclusion-Schwachstelle: Funktionalität aus einer nicht vertrauenswürdigen Quelle wird eingebunden, weil der Dateiname für Include-/Require-Anweisungen nicht ausreichend kontrolliert wird. Die Lücke ist ohne Authentifizierung über das Netzwerk erreichbar. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.
CVSS: 9.8 EPSS: 0.16% Publiziert: Referenz: NVD -
Intrado 911 Emergency Gateway: Path Traversal in download_debuglog_file.php
CVE-2026-6074 KritischDas Intrado 911 Emergency Gateway (EGW) in den Versionen 5.x, 6.x und 7.x enthält eine Path-Traversal-Schwachstelle im Endpunkt download_debuglog_file.php, der für den Download von Debug-Logs verwendet wird. Ein nicht authentifizierter Angreifer kann die Anfrage manipulieren. CVSS-Basiswert: 9.8 (Kritisch). Die Lücke ist gemäss CVSS-Vektor über das Netzwerk ohne Rechte und ohne Benutzerinteraktion ausnutzbar. Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 9.8 EPSS: 0.08% Publiziert: Referenz: NVD -
PDF Signer 3.0: Server-Side Template Injection ermöglicht Remote Code Execution
CVE-2019-25729 KritischPDF Signer 3.0 enthält eine Server-Side-Template-Injection-Schwachstelle. Nicht authentifizierte Angreifende können über den Cookie-Parameter CSRF-TOKEN PHP-Befehle einschleusen und dadurch beliebigen Code ausführen. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 9.8 EPSS: 0.04% Publiziert: Referenz: NVD -
FrankenPHP – Fehlerhafte Unicode-Verarbeitung im CGI-Pfad-Splitting
CVE-2026-24895 KritischIn FrankenPHP vor Version 1.11.2 verarbeitet die CGI-Pfadaufteilungslogik Unicode-Zeichen bei der Gross-/Kleinschreibungskonvertierung fehlerhaft. Der Splitindex wird dabei inkorrekt berechnet, was von Angreifern ausgenutzt werden kann. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 9.8 EPSS: 0.03% Publiziert: Referenz: NVD -
Vitec Flamingo: Nicht authentifizierte OS-Command-Injection in admin/ajax/ping.php
CVE-2026-60121 KritischVitec Flamingo 4.12.2 enthält laut NVD eine OS-Command-Injection im Endpunkt admin/ajax/ping.php, die ohne Authentifizierung ausgenutzt werden kann. Entfernte Angreifer können darüber beliebige Befehle ausführen; ausgenutzt wird gemäss Quelle eine doppelte Verarbeitung der Eingabe. Der CVSS-Vektor weist die Lücke als über das Netzwerk, ohne Privilegien und ohne Benutzerinteraktion ausnutzbar aus, mit vollständiger Auswirkung auf Vertraulichkeit, Integrität und Verfügbarkeit. CVSS-Basiswert: 9.8 (Kritisch). Ein EPSS-Wert liegt in den Quelldaten nicht vor.
CVSS: 9.8 Publiziert: Referenz: NVD -
php-censor: Manipulierbarer Webhook-Endpunkt in GitBuild.php
CVE-2026-10273 HochIn php-censor bis Version 2.1.6 besteht eine Schwachstelle in einer Funktion der Datei src/Model/Build/GitBuild.php der Webhook-Endpunkt-Komponente. Eine Manipulation der Argumente ermöglicht die Ausnutzung über das Netzwerk. CVSS-Basiswert: 7.3 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 1.0 %.
CVSS: 7.3 EPSS: 1.02% Publiziert: Referenz: NVD -
Jettweb Haber Sitesi V3 – Authentication Bypass (login.php)
CVE-2019-25515 HochIn Jettweb PHP Hazir Haber Sitesi Scripti V3 besteht eine Authentication-Bypass-Schwachstelle in der Datei login.php des Administrationspanels, die nicht authentifizierten Angreifern Administratorzugriff ermöglicht. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 1.0 %.
CVSS: 7.5 EPSS: 0.99% Publiziert: Referenz: NVD -
PHP SOAP – Fehler im Typemap-Dekodierungsprozess
CVE-2026-7262 HochIn PHP 8.2.x vor 8.2.31, 8.3.x vor 8.3.31, 8.4.x vor 8.4.21 und 8.5.x vor 8.5.6 enthält der Dekodierungsprozess des SOAP-Servers bei konfigurierter Typemap einen Fehler, der zu Sicherheitsproblemen führen kann. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.8 %.
CVSS: 7.5 EPSS: 0.78% Publiziert: Referenz: NVD -
PHP Object Injection im WordPress-Plugin Admin Columns
CVE-2026-7654 HochDas WordPress-Plugin Admin Columns ist in Versionen bis einschliesslich 7.0.18 über PHP Object Injection angreifbar, was zu Remote Code Execution führen kann; Ursache ist die Verwendung von unserialize() ohne ausreichende Absicherung. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %. Empfohlene Massnahme: Das Plugin auf eine Version neuer als 7.0.18 aktualisieren.
CVSS: 8.8 EPSS: 0.47% Publiziert: Referenz: NVD -
PHP metaphone() – Vorzeichenbehafteter Integer-Fehler
CVE-2026-7568 HochIn der PHP-Funktion metaphone() in ext/standard/metaphone.c wird eine vorzeichenbehaftete Integer-Variable zur Positionsverfolgung verwendet, was zu einem Fehler führen kann. Betroffen sind PHP-Versionen 8.2.* vor 8.2.31, 8.3.* vor 8.3.31, 8.4.* vor 8.4.21 sowie 8.5.* vor 8.5.6. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %.
CVSS: 7.5 EPSS: 0.46% Publiziert: Referenz: NVD -
Jettweb Haber Sitesi V3 – SQL-Injection (q-Parameter)
CVE-2019-25513 HochIn Jettweb PHP Hazir Haber Sitesi Scripti V3 besteht eine SQL-Injection-Schwachstelle, die nicht authentifizierten Angreifern erlaubt, Datenbankabfragen über den Parameter 'q' zu manipulieren. CVSS-Basiswert: 8.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.
CVSS: 8.2 EPSS: 0.41% Publiziert: Referenz: NVD -
Cockpit CMS – Path-Traversal in der Bucket-Datei-Storage-API
CVE-2026-57856 HochCockpit CMS enthält eine Path-Traversal-Schwachstelle in der Bucket-Datei-Storage-API (/system/buckets/api). Die Methode api() in modules/System/Controller/Buckets.php bereinigt den Bucket-Namen mit einem regulären Ausdruck, der eine Traversierung über den vorgesehenen Pfad hinaus nicht vollständig verhindert. CVSS-Basiswert: 8.8 (Hoch). Empfohlene Massnahme: auf eine bereinigte Cockpit-CMS-Version aktualisieren, sobald verfügbar.
CVSS: 8.8 EPSS: 0.39% Publiziert: Referenz: NVD -
PHP DOM – DOMNode::C14N() erzeugt zirkuläre Liste bei XML-Verarbeitung
CVE-2026-7263 HochIn PHP 8.4.x vor 8.4.21 und 8.5.x vor 8.5.6 kann die Methode `DOMNode::C14N()` XML-Daten fehlerhaft verarbeiten und dabei eine zirkuläre verkettete Liste in der Datenstruktur des XML-Dokuments erzeugen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.
CVSS: 7.5 EPSS: 0.35% Publiziert: Referenz: NVD -
PHP – Vorzeichenfehler in urldecode() und weiteren Funktionen
CVE-2026-7258 HochIn PHP 8.2.x vor 8.2.31, 8.3.x vor 8.3.31, 8.4.x vor 8.4.21 und 8.5.x vor 8.5.6 übergeben mehrere Funktionen wie `urldecode()` vorzeichenbehaftete Zeichen (signed char) an ctype-Funktionen wie `isxdigit()`, was auf bestimmten Plattformen zu undefinierten Verhalten und Sicherheitslücken führen kann. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.
CVSS: 7.5 EPSS: 0.34% Publiziert: Referenz: NVD -
Simple Machines Forum – Autorisierungsumgehung in AttachmentApprove.php
CVE-2026-39903 HochSimple Machines Forum in Version 2.1 vor 2.1.8 und 3.0 vor 3.0 Alpha 5 enthält in Sources/Actions/AttachmentApprove.php eine Autorisierungsumgehung, die durch einen Ein-Zeichen-Operatorfehler ausgelöst wird. CVSS-Basiswert: 7.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.
CVSS: 7.1 EPSS: 0.33% Publiziert: Referenz: NVD -
Class and Exam Timetabling System – Schwachstelle in edit_exam2.php
CVE-2026-15597 HochIm SourceCodester Class and Exam Timetabling System (Version 1.0) besteht eine Schwachstelle in einer unbekannten Funktion der Datei /edit_exam2.php, die sich durch Manipulation eines Arguments ausnutzen lässt. CVSS-Basiswert: 7.3 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Eine aktive Ausnutzung über CISA KEV ist nicht bekannt. Die Datenlage nennt keine Herstellermassnahme; die Lage sollte beobachtet und ein Update eingespielt werden, sobald verfügbar.
CVSS: 7.3 EPSS: 0.33% Publiziert: Referenz: NVD
Diesem Produkt-Feed folgen
Eigener RSS-Feed nur für PHP, kostenlos und ohne Anmeldung. Zustellung per E-Mail, Webhook, REST oder TAXII richten wir auf Anfrage ein.
RSS-Feed öffnen Zustellung anfragenWie folge ich dem Feed?
- 1 RSS-Feed-Link kopieren oder direkt im RSS-Reader öffnen.
- 2 Priorisierte Reports (KEV · EPSS · CVSS) landen automatisch in Ihrem Reader.
- 3 Zustellung per E-Mail, Webhook, REST oder TAXII auf Anfrage einrichten lassen.