PHP Seite 6
Schwachstellen-Reports
268 ReportsZeige 251 bis 268 von 268
-
HAX CMS: Refresh-Token-Cookie ohne Secure-Flag
CVE-2026-46398 MittelHAX CMS dient der Verwaltung von Microsite-Umgebungen mit PHP- oder Node.js-Backend. Ab Version 25.0.0 und vor Version 26.0.0 wird das Cookie haxcms_refresh_token ohne das Secure-Flag gesetzt, wodurch es über unverschlüsselte Verbindungen übertragen und abgegriffen werden kann. Ein CVSS-Basiswert liegt nicht in den Quelldaten vor. Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: Auf HAX CMS 26.0.0 oder neuer aktualisieren.
EPSS: 0.03% Publiziert: Referenz: NVD -
Server-Side Request Forgery in DedeCMS 5.7.88 (download.php, Link)
CVE-2026-10581 MittelIn DedeCMS 5.7.88 wurde eine Sicherheitslücke in der Funktion base64_decode der Datei /plus/download.php?open=1 entdeckt. Durch Manipulation des Arguments „Link” kann eine Server-Side Request Forgery (SSRF) ausgelöst werden. CVSS-Basiswert: 6.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 6.3 EPSS: 0.03% Publiziert: Referenz: NVD -
Unsachgemässe Zugriffskontrolle in Bottelet DaybydayCRM (DocumentsController)
CVE-2026-10282 MittelIn Bottelet DaybydayCRM bis Version 2.2.1 besteht eine Schwachstelle durch unsachgemässe Zugriffskontrolle in der Funktion „view” der Datei „app/Http/Controllers/DocumentsController.php”. CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 4.3 EPSS: 0.03% Publiziert: Referenz: NVD -
projectworlds Online Art Gallery Shop 1.0: Schwachstelle in adminHome.php
CVE-2026-10874 MittelIn projectworlds Online Art Gallery Shop Project 1.0 wurde eine Schwachstelle in einer unbekannten Funktion der Datei /admin/adminHome.php identifiziert, die sich über die Manipulation eines Arguments ausnutzen lässt. CVSS-Basiswert: 6.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 6.3 EPSS: 0.03% Publiziert: Referenz: NVD -
Concrete CMS: PHP Object Injection über unserialize() (vor 9.5.2)
CVE-2026-7888 MittelConcrete CMS ist vor Version 9.5.2 anfällig für PHP Object Injection: In den Komponenten Workflow, Form-Block und File/Set fehlt bei unserialize()-Aufrufen die Einschränkung allowed_classes, was von einem nicht authentifizierten Angreifer ausgenutzt werden kann. Ein CVSS-Basiswert liegt nicht in den Quelldaten vor. Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: Auf Concrete CMS 9.5.2 oder neuer aktualisieren.
EPSS: 0.02% Publiziert: Referenz: NVD -
HAX CMS: Unzureichender Abgleich durch reines Teilstring-Matching
CVE-2026-46391 MittelIn HAX CMS (@haxtheweb/open-apis) führen ab Version 9.0.1 und vor Version 26.0.0 mehrere Funktionen lediglich einen Teilstring-basierten Abgleich durch, was zu einer unzureichenden Prüfung führen kann. Ein CVSS-Basiswert liegt in den Quelldaten nicht vor. Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: auf @haxtheweb/open-apis Version 26.0.0 oder neuer aktualisieren.
EPSS: 0.02% Publiziert: Referenz: NVD -
Schwachstelle in der ExtractFile-Funktion von DedeCMS (CVE-2026-15700)
CVE-2026-15700 MittelIn DedeCMS 5.7.118 ist die Funktion ExtractFile der Datei include/zip.class.php in der Komponente Album Publishing Feature von einer durch Manipulation ausnutzbaren Schwachstelle betroffen. CVSS-Basiswert: 4.7 (Mittel). Ein EPSS-Wert liegt in den Quelldaten nicht vor.
CVSS: 4.7 Publiziert: Referenz: NVD -
Easy!Appointments bis 1.5.2: Schwachstelle in der Reschedule-Ansicht
CVE-2026-52837 MittelEasy!Appointments ist ein selbst gehosteter Terminplaner. In Versionen bis einschliesslich 1.5.2 besteht eine Schwachstelle in der Buchungs-Reschedule-Ansicht unter /index.php/booking/reschedule/. Ein CVSS-Basiswert liegt in den Quelldaten nicht vor. Empfohlene Massnahme: auf eine Version oberhalb von 1.5.2 aktualisieren.
Publiziert: Referenz: NVD -
NamelessMC 2.2.4 – Reflected XSS in Queries-Endpunkt
CVE-2026-32250 MittelIn NamelessMC 2.2.4, einer Webseiten-Software für Minecraft-Server, wurde eine Reflected Cross-Site Scripting (XSS)-Schwachstelle im id-Parameter des Endpunkts /index.php?route=/queries entdeckt. CVSS-Basiswert: 4.3 (Mittel).
CVSS: 4.3 Publiziert: Referenz: NVD -
NamelessMC 2.2.4 – Unzureichende Autorisierung in get_quotes.php
CVE-2026-33398 MittelIn NamelessMC 2.2.4 prüft die Datei modules/Forum/pages/forum/get_quotes.php lediglich, ob der Aufrufer eingeloggt ist, und liest danach Posts anhand eines angreiferkontrollierten Parameters. Eine ausreichende Berechtigungsprüfung fehlt.
Publiziert: Referenz: NVD -
NamelessMC 2.2.4 – Fehlende Autorisierung in ForumPostReactionContext.php
CVE-2026-35443 MittelIn NamelessMC 2.2.4 überprüft die Datei modules/Forum/classes/ForumPostReactionContext.php lediglich, ob der Aufrufer das Forum einsehen kann, erzwingt jedoch keine weiteren Zugriffsrechte für Reaktionen auf Forum-Posts.
Publiziert: Referenz: NVD -
NamelessMC – Profilseite verarbeitet Wall-Posts ohne Berechtigungsprüfung
CVE-2026-35447 MittelIn NamelessMC 2.2.4 (Website-Software für Minecraft-Server) werden auf der Profilseite Wall-Post-Einreichungen und -Antworten verarbeitet, ohne zuvor zu prüfen, ob der zugreifende Nutzer die entsprechende Berechtigung besitzt. Die Schwachstelle ist als Mittel eingestuft.
Publiziert: Referenz: NVD -
NamelessMC – Fehlende Blockier-/Privatsphäre-Prüfung bei Profilpost-Reaktionen
CVE-2026-40314 MittelIn NamelessMC 2.2.4 prüft die Klasse `ProfilePostReactionContext` lediglich, ob ein Wall-Post vorhanden ist, erzwingt jedoch keine Blockier- oder Privatsphäre-Einstellungen. Die Schwachstelle ist als Mittel eingestuft.
Publiziert: Referenz: NVD -
PHP: Sicherheitshinweis zu CVE-2026-12184
CVE-2026-12184 MittelFür PHP ist die Schwachstelle CVE-2026-12184 ausgewiesen. Nähere technische Details liegen in den Quelldaten nicht vor. Ein CVSS-Basiswert ist nicht angegeben. Empfohlene Massnahme: das PHP-Changelog beachten und auf eine bereinigte Version aktualisieren.
Referenz: PHP -
code-projects Online Job Portal 1.0: Cross-Site-Scripting in DetailJob.php
CVE-2026-15678 NiedrigIn der Anwendung code-projects Online Job Portal 1.0 wurde eine Schwachstelle in einer nicht näher bestimmten Funktion der Datei /Admin/DetailJob.php festgestellt. Durch Manipulation der Eingaben lässt sich Cross-Site-Scripting (XSS) auslösen. CVSS-Basiswert: 3.5 (Niedrig). Eine Ausnutzungswahrscheinlichkeit (EPSS) liegt in den Quelldaten nicht vor; eine aktive Ausnutzung (CISA KEV) oder ein Einsatz in Ransomware-Kampagnen sind nicht belegt.
CVSS: 3.5 EPSS: 0.20% Publiziert: Referenz: NVD -
Schwachstelle in Online Hospital Management System 1.0 (viewdoctortimings.php)
CVE-2026-10299 NiedrigIn code-projects Online Hospital Management System 1.0 wurde in der Datei viewdoctortimings.php eine Sicherheitslücke identifiziert. CVSS-Basiswert: 3.8 (Niedrig). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 3.8 EPSS: 0.05% Publiziert: Referenz: NVD -
Easy!Appointments: Server-Side Request Forgery in Caldav::connect_to_server
CVE-2026-52840 NiedrigDer selbst gehostete Terminplaner Easy!Appointments übergibt in Versionen vor 1.6.0 in der Funktion Caldav::connect_to_server (application/controllers/Caldav.php) die aus der Anfrage stammende caldav_url an einen HTTP-Client, was eine Server-Side Request Forgery ermöglicht. CVSS-Basiswert: 2.7 (Niedrig). Empfohlene Massnahme: auf Easy!Appointments 1.6.0 oder neuer aktualisieren.
CVSS: 2.7 Publiziert: Referenz: NVD -
Easy!Appointments – Schwachstelle in Google::oauth (provider_id)
CVE-2026-52841 NiedrigDer selbst gehostete Terminplaner Easy!Appointments speichert in Versionen vor 1.6.0 in Google::oauth (application/controllers/Google.php:278) die per URL übergebene provider_id in der Sitzung. CVSS-Basiswert: 3.1 (Niedrig). Eine aktive Ausnutzung über CISA KEV ist nicht bekannt. Empfohlene Massnahme: Update auf Easy!Appointments 1.6.0 oder neuer einspielen.
CVSS: 3.1 Publiziert: Referenz: NVD
Diesem Produkt-Feed folgen
Eigener RSS-Feed nur für PHP, kostenlos und ohne Anmeldung. Zustellung per E-Mail, Webhook, REST oder TAXII richten wir auf Anfrage ein.
RSS-Feed öffnen Zustellung anfragenWie folge ich dem Feed?
- 1 RSS-Feed-Link kopieren oder direkt im RSS-Reader öffnen.
- 2 Priorisierte Reports (KEV · EPSS · CVSS) landen automatisch in Ihrem Reader.
- 3 Zustellung per E-Mail, Webhook, REST oder TAXII auf Anfrage einrichten lassen.