1.5 Aktiv ausgenutzte Lücken
Server-Software, Middleware, Web

PHP Seite 3

Server-Software, Middleware, Web
268
Reports
10
Aktiv ausgenutzt
Kritisch
Höchste Priorität
100.0%
Max. EPSS

Schwachstellen-Reports

268 Reports

Zeige 101 bis 150 von 268

  1. PHP – Vorzeichenfehler in urldecode() und weiteren Funktionen

    CVE-2026-7258 Hoch

    In PHP 8.2.x vor 8.2.31, 8.3.x vor 8.3.31, 8.4.x vor 8.4.21 und 8.5.x vor 8.5.6 übergeben mehrere Funktionen wie `urldecode()` vorzeichenbehaftete Zeichen (signed char) an ctype-Funktionen wie `isxdigit()`, was auf bestimmten Plattformen zu undefinierten Verhalten und Sicherheitslücken führen kann. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.

    CVSS: 7.5 EPSS: 0.34% Publiziert: Referenz: NVD
  2. Simple Machines Forum – Autorisierungsumgehung in AttachmentApprove.php

    CVE-2026-39903 Hoch

    Simple Machines Forum in Version 2.1 vor 2.1.8 und 3.0 vor 3.0 Alpha 5 enthält in Sources/Actions/AttachmentApprove.php eine Autorisierungsumgehung, die durch einen Ein-Zeichen-Operatorfehler ausgelöst wird. CVSS-Basiswert: 7.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.

    CVSS: 7.1 EPSS: 0.33% Publiziert: Referenz: NVD
  3. Class and Exam Timetabling System – Schwachstelle in edit_exam2.php

    CVE-2026-15597 Hoch

    Im SourceCodester Class and Exam Timetabling System (Version 1.0) besteht eine Schwachstelle in einer unbekannten Funktion der Datei /edit_exam2.php, die sich durch Manipulation eines Arguments ausnutzen lässt. CVSS-Basiswert: 7.3 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Eine aktive Ausnutzung über CISA KEV ist nicht bekannt. Die Datenlage nennt keine Herstellermassnahme; die Lage sollte beobachtet und ein Update eingespielt werden, sobald verfügbar.

    CVSS: 7.3 EPSS: 0.33% Publiziert: Referenz: NVD
  4. code-projects Online Job Portal 1.0: Schwachstelle in /JobSeekerInsert.php (Parameter txtFile)

    CVE-2026-15677 Hoch

    In der Anwendung code-projects Online Job Portal 1.0 besteht eine Schwachstelle in einer nicht näher bezeichneten Funktion der Datei /JobSeekerInsert.php. Durch Manipulation des Arguments txtFile lässt sich die Schwachstelle ausnutzen. Laut CVSS-Vektor ist der Angriff netzbasiert und ohne vorherige Authentifizierung oder Nutzerinteraktion möglich. CVSS-Basiswert: 7.3 (Hoch). Eine Ausnutzungswahrscheinlichkeit (EPSS) liegt in den Quelldaten nicht vor. Empfohlene Massnahme: auf eine korrigierte Version aktualisieren, sobald verfügbar, und den Zugriff auf die betroffene Funktion bis dahin einschränken.

    CVSS: 7.3 EPSS: 0.29% Publiziert: Referenz: NVD
  5. Cockpit CMS: Fehlende Autorisierung in der Bucket-Storage-API

    CVE-2026-57855 Hoch

    Cockpit CMS enthält in der Bucket-File-Storage-API (/system/buckets/api) eine Schwachstelle durch fehlende Autorisierung. Die Methode api() in modules/System/Controller/Buckets.php führt Bucket-Befehle aus, ohne die Berechtigung ausreichend zu prüfen. CVSS-Basiswert: 8.8 (Hoch). Ein Angreifer mit niedrigen Rechten kann so unautorisiert auf die Bucket-Verwaltung zugreifen.

    CVSS: 8.8 EPSS: 0.28% Publiziert: Referenz: NVD
  6. SQL-Injection in code-projects Online Job Portal 1.0 (/Admin/EditUser.php)

    CVE-2026-15675 Hoch

    In code-projects Online Job Portal 1.0 wurde eine Schwachstelle in einer Funktion der Datei /Admin/EditUser.php gemeldet. Durch Manipulation des Parameters UserId lässt sich eine SQL-Injection auslösen; der Angriff ist laut Quelldaten über das Netzwerk möglich. CVSS-Basiswert: 7.3 (Hoch).

    CVSS: 7.3 EPSS: 0.26% Publiziert: Referenz: NVD
  7. code-projects Online Job Portal: SQL-Injection in /Admin/DeleteUser.php

    CVE-2026-15676 Hoch

    In code-projects Online Job Portal bis Version 1.0 besteht in einer unbekannten Funktion der Datei /Admin/DeleteUser.php eine SQL-Injection. Durch Manipulation der Eingaben lässt sich die Schwachstelle laut Quelle ausnutzen. Der Angriff erfolgt über das Netzwerk ohne Rechte und ohne Benutzerinteraktion (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L). CVSS-Basiswert: 7.3 (Hoch).

    CVSS: 7.3 EPSS: 0.26% Publiziert: Referenz: NVD
  8. OOP CMS Blog 1.0 – SQL-Injection

    CVE-2018-25199 Hoch

    In OOP CMS Blog 1.0 bestehen SQL-Injection-Schwachstellen, die es nicht authentifizierten Angreifern ermöglichen, beliebige SQL-Abfragen durch mehrere Parameter einzuschleusen. CVSS-Basiswert: 8.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.

    CVSS: 8.2 EPSS: 0.24% Publiziert: Referenz: NVD
  9. Jettweb Haber Sitesi V2 – Authentication Bypass im Admin-Panel

    CVE-2019-25510 Hoch

    In Jettweb PHP Hazir Haber Sitesi Scripti V2 besteht eine Authentication-Bypass-Schwachstelle im Administrationspanel, die nicht authentifizierten Angreifern Administratorzugriff ermöglicht. CVSS-Basiswert: 8.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.

    CVSS: 8.2 EPSS: 0.20% Publiziert: Referenz: NVD
  10. Authentication Bypass im Adminbereich von Jettweb PHP Hazir Haber Sitesi Scripti V1

    CVE-2019-25520 Hoch

    Im Administrationspanel von „Jettweb PHP Hazir Haber Sitesi Scripti V1” besteht eine Authentifizierungsumgehung, die es nicht authentifizierten Angreifern ermöglicht, administrativen Zugang zu erlangen. CVSS-Basiswert: 8.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.

    CVSS: 8.2 EPSS: 0.20% Publiziert: Referenz: NVD
  11. SQL-Injection (Time-Based) in Netartmedia PHP Mall 4.1

    CVE-2019-25541 Hoch

    „Netartmedia PHP Mall 4.1” enthält mehrere SQL-Injection-Schwachstellen, die es nicht authentifizierten Angreifern ermöglichen, über nicht validierte Parameter zeitbasierte SQL-Befehle einzuschleusen und Datenbankabfragen zu manipulieren. CVSS-Basiswert: 8.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.

    CVSS: 8.2 EPSS: 0.18% Publiziert: Referenz: NVD
  12. Newsletters WordPress-Plugin: PHP-Objektinjektion durch unsichere Deserialisierung

    CVE-2026-12583 Hoch

    Das WordPress-Plugin Newsletters vor Version 4.15 verhindert nicht die Deserialisierung nicht vertrauenswürdiger Eingaben, die über ein öffentliches Formular gespeichert werden. Dadurch können nicht authentifizierte Angreifer ein PHP-Objekt einschleusen (PHP Object Injection). CVSS-Basiswert: 8.1 (Hoch). Empfohlene Massnahme: das Plugin auf Version 4.15 oder höher aktualisieren.

    CVSS: 8.1 EPSS: 0.17% Publiziert: Referenz: NVD
  13. Jettweb Haber Sitesi V3 – SQL-Injection (kelime, POST, Variante 2)

    CVE-2019-25514 Hoch

    In Jettweb PHP Hazir Haber Sitesi Scripti V3 besteht eine SQL-Injection-Schwachstelle, die Angreifern erlaubt, schadhafte SQL-Befehle über den Parameter kelime in POST-Anfragen einzuschleusen. CVSS-Basiswert: 8.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 8.2 EPSS: 0.13% Publiziert: Referenz: NVD
  14. Jettweb Rent A Car V4 – SQL-Injection im Admin-Panel

    CVE-2019-25488 Hoch

    In Jettweb Hazir Rent A Car Scripti V4 bestehen mehrere SQL-Injection-Schwachstellen im Admin-Panel, die nicht authentifizierten Angreifern ermöglichen, Datenbankabfragen über GET-Parameter zu manipulieren. CVSS-Basiswert: 8.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 8.2 EPSS: 0.13% Publiziert: Referenz: NVD
  15. PHP Remote File Inclusion in Axiomthemes Confidant

    CVE-2025-53440 Hoch

    Im WordPress-Theme Confidant des Herstellers Axiomthemes wurde eine Schwachstelle zur PHP Local File Inclusion über eine unsachgemässe Kontrolle von Dateinamen in Include/Require-Anweisungen identifiziert. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 8.1 EPSS: 0.11% Publiziert: Referenz: NVD
  16. PHP Remote File Inclusion in Axiomthemes Crafti

    CVE-2025-58705 Hoch

    Im WordPress-Theme Crafti des Herstellers Axiomthemes wurde eine Schwachstelle zur PHP Local File Inclusion über eine unsachgemässe Kontrolle von Dateinamen in Include/Require-Anweisungen identifiziert. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 8.1 EPSS: 0.11% Publiziert: Referenz: NVD
  17. PHP Remote File Inclusion in UnboundStudio Accordion FAQ

    CVE-2025-58024 Hoch

    Im WordPress-Plugin Accordion FAQ des Herstellers UnboundStudio wurde eine Schwachstelle zur PHP Local File Inclusion über eine unsachgemässe Kontrolle von Dateinamen in Include/Require-Anweisungen identifiziert. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 7.5 EPSS: 0.11% Publiziert: Referenz: NVD
  18. Jettweb Rent A Car V2 – SQL-Injection

    CVE-2019-25482 Hoch

    In Jettweb PHP Hazir Rent A Car Sitesi Scripti V2 besteht eine SQL-Injection-Schwachstelle, die nicht authentifizierten Angreifern erlaubt, Datenbankabfragen über den Parameter arac_kateg zu manipulieren. CVSS-Basiswert: 8.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 8.2 EPSS: 0.10% Publiziert: Referenz: NVD
  19. Jettweb Ilan Sitesi V2 – SQL-Injection

    CVE-2019-25508 Hoch

    In Jettweb Php Hazir Ilan Sitesi Scripti V2 besteht eine SQL-Injection-Schwachstelle, die nicht authentifizierten Angreifern erlaubt, Datenbankabfragen über den Parameter 'kat' zu manipulieren. CVSS-Basiswert: 8.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 8.2 EPSS: 0.10% Publiziert: Referenz: NVD
  20. Jettweb Haber Sitesi V3 – SQL-Injection (videoid)

    CVE-2019-25511 Hoch

    In Jettweb PHP Hazir Haber Sitesi Scripti V3 besteht eine SQL-Injection-Schwachstelle, die nicht authentifizierten Angreifern erlaubt, Datenbankabfragen über den Parameter videoid zu manipulieren. CVSS-Basiswert: 8.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 8.2 EPSS: 0.10% Publiziert: Referenz: NVD
  21. Jettweb Haber Sitesi V1 – SQL-Injection (gallery_id)

    CVE-2019-25516 Hoch

    In Jettweb PHP Hazir Haber Sitesi Scripti V1 besteht eine SQL-Injection-Schwachstelle, die nicht authentifizierten Angreifern erlaubt, Datenbankabfragen über den Parameter gallery_id zu manipulieren. CVSS-Basiswert: 8.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 8.2 EPSS: 0.10% Publiziert: Referenz: NVD
  22. SQL-Injection in Jettweb PHP Hazir Haber Sitesi Scripti V1 (Parameter cid)

    CVE-2019-25517 Hoch

    Im PHP-Skript „Jettweb PHP Hazir Haber Sitesi Scripti V1” besteht eine SQL-Injection-Schwachstelle, die es nicht authentifizierten Angreifern ermöglicht, Datenbankabfragen über den Parameter „cid” zu manipulieren. CVSS-Basiswert: 8.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 8.2 EPSS: 0.10% Publiziert: Referenz: NVD
  23. SQL-Injection in Jettweb PHP Hazir Haber Sitesi Scripti V1 (Parameter poll)

    CVE-2019-25518 Hoch

    Im PHP-Skript „Jettweb PHP Hazir Haber Sitesi Scripti V1” besteht eine SQL-Injection-Schwachstelle, die es nicht authentifizierten Angreifern ermöglicht, Datenbankabfragen über den Parameter „poll” zu manipulieren. CVSS-Basiswert: 8.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 8.2 EPSS: 0.10% Publiziert: Referenz: NVD
  24. ealpha072 Student-Management-System – Schwachstelle in admin/config.php

    CVE-2026-10777 Hoch

    Im ealpha072 Student-Management-System wurde eine Schwachstelle in einer nicht näher bestimmten Funktion der Datei admin/config.php identifiziert. Sie ist laut Quelle aus der Ferne ausnutzbar. CVSS-Basiswert: 7.3 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 7.3 EPSS: 0.10% Publiziert: Referenz: NVD
  25. Authentifizierungsumgehung in code-projects Hotel and Tourism Reservation System 1.0

    CVE-2026-10288 Hoch

    In „code-projects Hotel and Tourism Reservation System 1.0” besteht eine Schwachstelle in der Funktion „password_verify” der Admin-Login-Datei „/admin/login.php”, die eine Authentifizierungsumgehung ermöglicht. CVSS-Basiswert: 7.3 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 7.3 EPSS: 0.10% Publiziert: Referenz: NVD
  26. Mehrere SQL-Injections in Netartmedia PHP Mall 4.1

    CVE-2019-25540 Hoch

    „Netartmedia PHP Mall 4.1” enthält mehrere SQL-Injection-Schwachstellen, die es nicht authentifizierten Angreifern ermöglichen, Datenbankabfragen über verschiedene Parameter zu manipulieren. CVSS-Basiswert: 8.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 8.2 EPSS: 0.09% Publiziert: Referenz: NVD
  27. PHP EI-Tube Script 3 – SQL-Injection über den Suchparameter

    CVE-2019-25732 Hoch

    Das PHP-Skript EI-Tube Script 3 enthält eine SQL-Injection-Schwachstelle, die es nicht authentifizierten Angreifern erlaubt, über den Suchparameter beliebige SQL-Abfragen auszuführen. CVSS-Basiswert: 8.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 8.2 EPSS: 0.07% Publiziert: Referenz: NVD
  28. FrankenPHP – Session-Isolation-Fehler im Worker-Modus

    CVE-2026-24894 Hoch

    In FrankenPHP, einem modernen Applikationsserver für PHP, wurde vor Version 1.11.2 im Worker-Modus die Superglobale $_SESSION nicht korrekt zwischen Anfragen zurückgesetzt. Dies ermöglicht es einem nachfolgenden Request, auf Session-Daten eines vorherigen Requests zuzugreifen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 7.5 EPSS: 0.06% Publiziert: Referenz: NVD
  29. SourceCodester Online Food Ordering System 2.0 – Schwachstelle in index.php

    CVE-2026-10694 Hoch

    Im SourceCodester Online Food Ordering System 2.0 wurde eine Schwachstelle in der Funktion include der Datei /index.php entdeckt. Durch Manipulation des Parameters page kann ein Angreifer die Schwachstelle ausnutzen. CVSS-Basiswert: 7.3 (Hoch).

    CVSS: 7.3 EPSS: 0.05% Publiziert: Referenz: NVD
  30. code-projects Vehicle Management System 1.0: Schwachstelle im Formular zur Fahrerregistrierung

    CVE-2026-11344 Hoch

    In code-projects Vehicle Management System 1.0 besteht eine Schwachstelle in einer Funktion der Datei newdriver.php der Komponente New Driver Registration Form. Eine Manipulation ermöglicht die Ausnutzung. CVSS-Basiswert: 7.3 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 7.3 EPSS: 0.04% Publiziert: Referenz: NVD
  31. Server-Side Request Forgery in SourceCodester SEO Meta Tag Extractor 1.0

    CVE-2026-10287 Hoch

    In SourceCodester SEO Meta Tag Extractor 1.0 besteht eine Server-Side Request Forgery (SSRF)-Schwachstelle in der Funktion „get_headers” der Datei „/index.php”, ausgelöst durch Manipulation des Parameters „url”. CVSS-Basiswert: 7.3 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 7.3 EPSS: 0.04% Publiziert: Referenz: NVD
  32. Jettweb Haber Sitesi V3 – SQL-Injection (kelime, POST)

    CVE-2019-25512 Hoch

    In Jettweb PHP Hazir Haber Sitesi Scripti V3 besteht eine SQL-Injection-Schwachstelle, die Angreifern erlaubt, schadhafte SQL-Befehle über den Parameter kelime in POST-Anfragen einzuschleusen. CVSS-Basiswert: 8.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 8.2 EPSS: 0.04% Publiziert: Referenz: NVD
  33. SQL-Injection in Jettweb PHP Hazir Haber Sitesi Scripti V1 (Parameter option)

    CVE-2019-25519 Hoch

    Im PHP-Skript „Jettweb PHP Hazir Haber Sitesi Scripti V1” besteht eine SQL-Injection-Schwachstelle, die es Angreifern ermöglicht, Datenbankabfragen über den Parameter „option” durch eingeschleuste SQL-Befehle zu manipulieren. CVSS-Basiswert: 8.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 8.2 EPSS: 0.04% Publiziert: Referenz: NVD
  34. Student Admission System 1.0 – SQL-Injection in index.php

    CVE-2026-10620 Hoch

    Im code-projects Student Admission System 1.0 wurde eine SQL-Injection-Schwachstelle in der Datei /index.php gefunden. Durch Manipulation der Parameter eid oder did kann ein Angreifer schadhaften SQL-Code einschleusen. CVSS-Basiswert: 7.3 (Hoch).

    CVSS: 7.3 EPSS: 0.04% Publiziert: Referenz: NVD
  35. CloudClassroom-PHP-Project – Schwachstelle in postquerypublic.php

    CVE-2026-2058 Hoch

    Im CloudClassroom-PHP-Project (mathurvishal, bis Commit 5dadec098b) wurde eine Schwachstelle in der Datei /postquerypublic.php identifiziert. CVSS-Basiswert: 7.3 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 7.3 EPSS: 0.04% Publiziert: Referenz: NVD
  36. SourceCodester Ship Ferry Ticket Reservation System: Schwachstelle in /admin/login.php

    CVE-2026-10877 Hoch

    Im SourceCodester Ship Ferry Ticket Reservation System bis Version 1.0 wurde eine Schwachstelle in einer unbekannten Funktion der Datei /admin/login.php (Komponente Admin Login) festgestellt. Als betroffen ausgewiesen ist PHP. CVSS-Basiswert: 7.3 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 7.3 EPSS: 0.03% Publiziert: Referenz: NVD
  37. Hotel and Tourism Reservation System: SQL-Injection in details.php

    CVE-2026-11342 Hoch

    In code-projects Hotel and Tourism Reservation System 1.0 erlaubt eine unbekannte Funktion der Datei /details.php über die Manipulation des Parameters `room` eine SQL-Injection. Die Schwachstelle ist über das Netzwerk ohne Authentifizierung ausnutzbar. CVSS-Basiswert: 7.3 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 7.3 EPSS: 0.03% Publiziert: Referenz: NVD
  38. SourceCodester Pizzafy E-Commerce System – SQL-Injection in Login-Funktion

    CVE-2026-10704 Hoch

    Im SourceCodester Pizzafy E-Commerce System 1.0 wurde eine Schwachstelle in der Login-Funktion der Administrationsoberfläche (Datei /admin/admin_class_novo.php) gemeldet. CVSS-Basiswert: 7.3 (Hoch).

    CVSS: 7.3 EPSS: 0.03% Publiziert: Referenz: NVD
  39. student_management_system_by_php: Schwachstelle in add_user_check.php

    CVE-2026-10227 Hoch

    In raisulislamg4 student_management_system_by_php wurde eine Schwachstelle in einer unbekannten Funktion der Datei add_user_check.php gefunden, die über das Netzwerk ohne Authentifizierung ausgenutzt werden kann. CVSS-Basiswert: 7.3 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 7.3 EPSS: 0.03% Publiziert: Referenz: NVD
  40. Code-Ausführung via GET-Parameter in Hotel and Tourism Reservation System 1.0

    CVE-2026-10290 Hoch

    In code-projects Hotel and Tourism Reservation System 1.0 wurde eine Schwachstelle im GET-Parameter-Handler der Datei tour.php identifiziert. CVSS-Basiswert: 7.3 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 7.3 EPSS: 0.03% Publiziert: Referenz: NVD
  41. HAX CMS (PHP): Unsichere Datei-Upload-Prüfung im saveFile-Endpunkt

    CVE-2026-46392 Hoch

    HAX CMS verwaltet ein Microsite-Universum mit PHP- oder NodeJs-Backends. In HAX CMS PHP vor Version 26.0.0 prüft der saveFile-Endpunkt Upload-Erweiterungen nur ohne Berücksichtigung der Gross-/Kleinschreibung und schreibt den Dateinamen entsprechend. CVSS-Basiswert: 8.7 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: HAX CMS PHP auf Version 26.0.0 oder neuer aktualisieren.

    CVSS: 8.7 EPSS: 0.03% Publiziert: Referenz: NVD
  42. graphql-go – Quadratische Feldvergleiche ermöglichen Denial of Service

    CVE-2026-40476 Hoch

    In graphql-go (Go-Implementierung von GraphQL) bis Version 15.31.4 führt die Validierungsregel `OverlappingFieldsCanBeMerged` O(n²)-Paarvergleiche von Feldern mit demselben Antwortnamen durch, was Denial-of-Service-Angriffe ermöglicht. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 7.5 EPSS: 0.03% Publiziert: Referenz: NVD
  43. Chanjet CRM 1.0 – Schwachstelle im HTTP-GET-Request-Handler (jxf_dump_systable.php)

    CVE-2026-11456 Hoch

    In Chanjet CRM 1.0 betrifft eine Schwachstelle einen unbekannten Teil der Datei /tools/jxf_dump_systable.php der Komponente HTTP-GET-Request-Handler. Durch Manipulation des Arguments lässt sich die Schwachstelle laut Quelle ausnutzen. CVSS-Basiswert: 7.3 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 7.3 EPSS: 0.03% Publiziert: Referenz: NVD
  44. HAX CMS: Unsichere Salt-Erzeugung mit uniqid (PHP)

    CVE-2026-46493 Hoch

    HAX CMS verwaltet Microsite-Umgebungen mit PHP- oder NodeJs-Backends. Versionen vor 26.0.1 verwenden die für diesen Zweck ungeeignete Funktion uniqid zur Erzeugung von Salts. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: Update auf Version 26.0.1.

    CVSS: 7.5 EPSS: 0.03% Publiziert: Referenz: NVD
  45. DedeCMS 5.7.88 – SQL-Injection in flink.php

    CVE-2026-10607 Hoch

    In DedeCMS 5.7.88 wurde eine SQL-Injection-Schwachstelle in der Funktion dede_htmlspecialchars der Datei /plus/flink.php identifiziert. Durch Manipulation des Parameters msg kann ein Angreifer schadhaften SQL-Code einschleusen. CVSS-Basiswert: 7.3 (Hoch).

    CVSS: 7.3 EPSS: 0.02% Publiziert: Referenz: NVD
  46. DedeCMS 5.7.88 – SQL-Injection in carbuyaction.php

    CVE-2026-10608 Hoch

    In DedeCMS 5.7.88 wurde eine SQL-Injection-Schwachstelle in der Funktion RemoveXSS der Datei /plus/carbuyaction.php entdeckt. Die Parameter postname und des können manipuliert werden, um schadhaften SQL-Code einzuschleusen. CVSS-Basiswert: 7.3 (Hoch).

    CVSS: 7.3 EPSS: 0.02% Publiziert: Referenz: NVD
  47. FreeScout – Schwachstelle in E-Mail-Verarbeitungs-Pipeline (FetchEmails)

    CVE-2026-47123 Hoch

    In FreeScout vor Version 1.8.220 enthält die E-Mail-Verarbeitungs-Pipeline im `FetchEmails`-Befehl zwei Code-Pfade zur Identifizierung von Nachrichten, die zu einer Sicherheitslücke führen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 7.5 EPSS: 0.01% Publiziert: Referenz: NVD
  48. Auth0-PHP SDK – Unzureichende Cookie-Verschlüsselung

    CVE-2026-34236 Hoch

    Im Auth0-PHP SDK (Versionen 8.0.0 bis vor 8.19.0) werden Cookies mit unzureichender Verschlüsselung gesichert. Anwendungen, die auf diesem SDK basieren, sind dadurch potenziell angreifbar. CVSS-Basiswert: 8.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 8.2 EPSS: 0.01% Publiziert: Referenz: NVD
  49. Simple and Nice Shopping Cart Script: Schwachstelle in userproductdeletequery.php

    CVE-2026-15703 Hoch

    Im SourceCodester Simple and Nice Shopping Cart Script 1.0 besteht eine Schwachstelle in der Datei /admin/userproductdeletequery.php, die sich über eine Manipulation aus der Ferne ausnutzen lässt. CVSS-Basiswert: 7.3 (Hoch). Es liegen keine Hinweise auf aktive Ausnutzung (CISA KEV) oder einen Einsatz in Ransomware-Kampagnen vor.

    CVSS: 7.3 Publiziert: Referenz: NVD
  50. PHP Remote File Inclusion in Axiomthemes Spin

    CVE-2025-58707 Hoch

    Im WordPress-Theme Spin des Herstellers Axiomthemes wurde eine Schwachstelle zur PHP Local File Inclusion über eine unsachgemässe Kontrolle von Dateinamen in Include/Require-Anweisungen identifiziert. CVSS-Basiswert: 8.1 (Hoch).

    CVSS: 8.1 Publiziert: Referenz: NVD

Diesem Produkt-Feed folgen

Eigener RSS-Feed nur für PHP, kostenlos und ohne Anmeldung. Zustellung per E-Mail, Webhook, REST oder TAXII richten wir auf Anfrage ein.

RSS-Feed öffnen Zustellung anfragen

Wie folge ich dem Feed?

  • 1 RSS-Feed-Link kopieren oder direkt im RSS-Reader öffnen.
  • 2 Priorisierte Reports (KEV · EPSS · CVSS) landen automatisch in Ihrem Reader.
  • 3 Zustellung per E-Mail, Webhook, REST oder TAXII auf Anfrage einrichten lassen.
Zurück zum Katalog