1.5 Aktiv ausgenutzte Lücken
Server-Software, Middleware, Web

PHP Seite 6

Server-Software, Middleware, Web
268
Reports
10
Aktiv ausgenutzt
Kritisch
Höchste Priorität
100.0%
Max. EPSS

Schwachstellen-Reports

268 Reports

Zeige 251 bis 268 von 268

  1. HAX CMS: Refresh-Token-Cookie ohne Secure-Flag

    CVE-2026-46398 Mittel

    HAX CMS dient der Verwaltung von Microsite-Umgebungen mit PHP- oder Node.js-Backend. Ab Version 25.0.0 und vor Version 26.0.0 wird das Cookie haxcms_refresh_token ohne das Secure-Flag gesetzt, wodurch es über unverschlüsselte Verbindungen übertragen und abgegriffen werden kann. Ein CVSS-Basiswert liegt nicht in den Quelldaten vor. Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: Auf HAX CMS 26.0.0 oder neuer aktualisieren.

    EPSS: 0.03% Publiziert: Referenz: NVD
  2. Server-Side Request Forgery in DedeCMS 5.7.88 (download.php, Link)

    CVE-2026-10581 Mittel

    In DedeCMS 5.7.88 wurde eine Sicherheitslücke in der Funktion base64_decode der Datei /plus/download.php?open=1 entdeckt. Durch Manipulation des Arguments „Link” kann eine Server-Side Request Forgery (SSRF) ausgelöst werden. CVSS-Basiswert: 6.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 6.3 EPSS: 0.03% Publiziert: Referenz: NVD
  3. Unsachgemässe Zugriffskontrolle in Bottelet DaybydayCRM (DocumentsController)

    CVE-2026-10282 Mittel

    In Bottelet DaybydayCRM bis Version 2.2.1 besteht eine Schwachstelle durch unsachgemässe Zugriffskontrolle in der Funktion „view” der Datei „app/Http/Controllers/DocumentsController.php”. CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 4.3 EPSS: 0.03% Publiziert: Referenz: NVD
  4. projectworlds Online Art Gallery Shop 1.0: Schwachstelle in adminHome.php

    CVE-2026-10874 Mittel

    In projectworlds Online Art Gallery Shop Project 1.0 wurde eine Schwachstelle in einer unbekannten Funktion der Datei /admin/adminHome.php identifiziert, die sich über die Manipulation eines Arguments ausnutzen lässt. CVSS-Basiswert: 6.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 6.3 EPSS: 0.03% Publiziert: Referenz: NVD
  5. Concrete CMS: PHP Object Injection über unserialize() (vor 9.5.2)

    CVE-2026-7888 Mittel

    Concrete CMS ist vor Version 9.5.2 anfällig für PHP Object Injection: In den Komponenten Workflow, Form-Block und File/Set fehlt bei unserialize()-Aufrufen die Einschränkung allowed_classes, was von einem nicht authentifizierten Angreifer ausgenutzt werden kann. Ein CVSS-Basiswert liegt nicht in den Quelldaten vor. Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: Auf Concrete CMS 9.5.2 oder neuer aktualisieren.

    EPSS: 0.02% Publiziert: Referenz: NVD
  6. HAX CMS: Unzureichender Abgleich durch reines Teilstring-Matching

    CVE-2026-46391 Mittel

    In HAX CMS (@haxtheweb/open-apis) führen ab Version 9.0.1 und vor Version 26.0.0 mehrere Funktionen lediglich einen Teilstring-basierten Abgleich durch, was zu einer unzureichenden Prüfung führen kann. Ein CVSS-Basiswert liegt in den Quelldaten nicht vor. Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: auf @haxtheweb/open-apis Version 26.0.0 oder neuer aktualisieren.

    EPSS: 0.02% Publiziert: Referenz: NVD
  7. Schwachstelle in der ExtractFile-Funktion von DedeCMS (CVE-2026-15700)

    CVE-2026-15700 Mittel

    In DedeCMS 5.7.118 ist die Funktion ExtractFile der Datei include/zip.class.php in der Komponente Album Publishing Feature von einer durch Manipulation ausnutzbaren Schwachstelle betroffen. CVSS-Basiswert: 4.7 (Mittel). Ein EPSS-Wert liegt in den Quelldaten nicht vor.

    CVSS: 4.7 Publiziert: Referenz: NVD
  8. Easy!Appointments bis 1.5.2: Schwachstelle in der Reschedule-Ansicht

    CVE-2026-52837 Mittel

    Easy!Appointments ist ein selbst gehosteter Terminplaner. In Versionen bis einschliesslich 1.5.2 besteht eine Schwachstelle in der Buchungs-Reschedule-Ansicht unter /index.php/booking/reschedule/. Ein CVSS-Basiswert liegt in den Quelldaten nicht vor. Empfohlene Massnahme: auf eine Version oberhalb von 1.5.2 aktualisieren.

    Publiziert: Referenz: NVD
  9. NamelessMC 2.2.4 – Reflected XSS in Queries-Endpunkt

    CVE-2026-32250 Mittel

    In NamelessMC 2.2.4, einer Webseiten-Software für Minecraft-Server, wurde eine Reflected Cross-Site Scripting (XSS)-Schwachstelle im id-Parameter des Endpunkts /index.php?route=/queries entdeckt. CVSS-Basiswert: 4.3 (Mittel).

    CVSS: 4.3 Publiziert: Referenz: NVD
  10. NamelessMC 2.2.4 – Unzureichende Autorisierung in get_quotes.php

    CVE-2026-33398 Mittel

    In NamelessMC 2.2.4 prüft die Datei modules/Forum/pages/forum/get_quotes.php lediglich, ob der Aufrufer eingeloggt ist, und liest danach Posts anhand eines angreiferkontrollierten Parameters. Eine ausreichende Berechtigungsprüfung fehlt.

    Publiziert: Referenz: NVD
  11. NamelessMC 2.2.4 – Fehlende Autorisierung in ForumPostReactionContext.php

    CVE-2026-35443 Mittel

    In NamelessMC 2.2.4 überprüft die Datei modules/Forum/classes/ForumPostReactionContext.php lediglich, ob der Aufrufer das Forum einsehen kann, erzwingt jedoch keine weiteren Zugriffsrechte für Reaktionen auf Forum-Posts.

    Publiziert: Referenz: NVD
  12. NamelessMC – Profilseite verarbeitet Wall-Posts ohne Berechtigungsprüfung

    CVE-2026-35447 Mittel

    In NamelessMC 2.2.4 (Website-Software für Minecraft-Server) werden auf der Profilseite Wall-Post-Einreichungen und -Antworten verarbeitet, ohne zuvor zu prüfen, ob der zugreifende Nutzer die entsprechende Berechtigung besitzt. Die Schwachstelle ist als Mittel eingestuft.

    Publiziert: Referenz: NVD
  13. NamelessMC – Fehlende Blockier-/Privatsphäre-Prüfung bei Profilpost-Reaktionen

    CVE-2026-40314 Mittel

    In NamelessMC 2.2.4 prüft die Klasse `ProfilePostReactionContext` lediglich, ob ein Wall-Post vorhanden ist, erzwingt jedoch keine Blockier- oder Privatsphäre-Einstellungen. Die Schwachstelle ist als Mittel eingestuft.

    Publiziert: Referenz: NVD
  14. PHP: Sicherheitshinweis zu CVE-2026-12184

    CVE-2026-12184 Mittel

    Für PHP ist die Schwachstelle CVE-2026-12184 ausgewiesen. Nähere technische Details liegen in den Quelldaten nicht vor. Ein CVSS-Basiswert ist nicht angegeben. Empfohlene Massnahme: das PHP-Changelog beachten und auf eine bereinigte Version aktualisieren.

    Referenz: PHP
  15. code-projects Online Job Portal 1.0: Cross-Site-Scripting in DetailJob.php

    CVE-2026-15678 Niedrig

    In der Anwendung code-projects Online Job Portal 1.0 wurde eine Schwachstelle in einer nicht näher bestimmten Funktion der Datei /Admin/DetailJob.php festgestellt. Durch Manipulation der Eingaben lässt sich Cross-Site-Scripting (XSS) auslösen. CVSS-Basiswert: 3.5 (Niedrig). Eine Ausnutzungswahrscheinlichkeit (EPSS) liegt in den Quelldaten nicht vor; eine aktive Ausnutzung (CISA KEV) oder ein Einsatz in Ransomware-Kampagnen sind nicht belegt.

    CVSS: 3.5 EPSS: 0.20% Publiziert: Referenz: NVD
  16. Schwachstelle in Online Hospital Management System 1.0 (viewdoctortimings.php)

    CVE-2026-10299 Niedrig

    In code-projects Online Hospital Management System 1.0 wurde in der Datei viewdoctortimings.php eine Sicherheitslücke identifiziert. CVSS-Basiswert: 3.8 (Niedrig). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 3.8 EPSS: 0.05% Publiziert: Referenz: NVD
  17. Easy!Appointments: Server-Side Request Forgery in Caldav::connect_to_server

    CVE-2026-52840 Niedrig

    Der selbst gehostete Terminplaner Easy!Appointments übergibt in Versionen vor 1.6.0 in der Funktion Caldav::connect_to_server (application/controllers/Caldav.php) die aus der Anfrage stammende caldav_url an einen HTTP-Client, was eine Server-Side Request Forgery ermöglicht. CVSS-Basiswert: 2.7 (Niedrig). Empfohlene Massnahme: auf Easy!Appointments 1.6.0 oder neuer aktualisieren.

    CVSS: 2.7 Publiziert: Referenz: NVD
  18. Easy!Appointments – Schwachstelle in Google::oauth (provider_id)

    CVE-2026-52841 Niedrig

    Der selbst gehostete Terminplaner Easy!Appointments speichert in Versionen vor 1.6.0 in Google::oauth (application/controllers/Google.php:278) die per URL übergebene provider_id in der Sitzung. CVSS-Basiswert: 3.1 (Niedrig). Eine aktive Ausnutzung über CISA KEV ist nicht bekannt. Empfohlene Massnahme: Update auf Easy!Appointments 1.6.0 oder neuer einspielen.

    CVSS: 3.1 Publiziert: Referenz: NVD

Diesem Produkt-Feed folgen

Eigener RSS-Feed nur für PHP, kostenlos und ohne Anmeldung. Zustellung per E-Mail, Webhook, REST oder TAXII richten wir auf Anfrage ein.

RSS-Feed öffnen Zustellung anfragen

Wie folge ich dem Feed?

  • 1 RSS-Feed-Link kopieren oder direkt im RSS-Reader öffnen.
  • 2 Priorisierte Reports (KEV · EPSS · CVSS) landen automatisch in Ihrem Reader.
  • 3 Zustellung per E-Mail, Webhook, REST oder TAXII auf Anfrage einrichten lassen.
Zurück zum Katalog